银行运维类IT外包商准入与退出管理实施细则模版

信息科技外包商准入管理实施细则总则为规范和加强**银行(以下简称本行)IT外包商管理，推进外包商提供延续、稳定、优质的服务,有效监控IＴ外包风险，依据有关中国银监会《银行业银行等金融机构信息科技外包风险监管指引》(银监发【*】５号)的要求,特制订本细则。本细则所称ＩT外包商管理是指对ＩT外包商（以下简称外包商）的准入、尽职调查、退出等方面的管理工作。任何参加本行信息科技建设或拟参加本行信息科技建设的外包商，都应依据有关本细则内容进行管理。IT外包商管理的职责与分工信息技术部设备室为本行IT外包商主管部门,主要负责以下外包商管理工作:建立并定时完善外包商准入与退出管理体系,包括管理制度、管理流程、标准等;组织并实施外包商的准入资格／资质审核;组织并实施外包商的尽职调查;组织并实施外包商的退出管理。使用ＩＴ外包资源进行科技项目建设并负责对项目进行管理的部门，包括信息科技部内处室及业务部门,为ＩT外包项目实施部门（以下简称项目实施部门),主要负责和参加以下外包商管理工作：沟通协调有关外包商参加准入评估工作;对外包商协议的执行情形进行监督;对外包商实施退出管理对外包商的风险事件及违规事件进行报告及跟踪处理;负责监督外包商执行整改计划。项目实施部门在外包商管理的详细工作由项目经理执行。外包商准入管理准入管理概述外包商在参加本行信息科技建设前必须经过本行的准入评估，经审核满足相应外包服务领域的准入指标后才能取得该外包服务领域的准入资格/资质。外包商级准入评估是指依据有关有关指标,确定外包商在各个服务领域的准入资格/资质。外包商级准入评估涉及的服务领域包括软件开发、硬件开发、运维、咨询、测试以及人力外包。针对每个外包服务领域，外包商级准入资格/资质分为A级准入资格/资质和B级准入资格／资质两种，其中:取得Ａ级准入资格／资质的外包商，在相应外包服务领域承接项目总款项无限制;取得B级准入资格/资质的外包商,在准入期内,在相应服务领域承接项目总款项不得超过该领域年度预算的10%。外包商级准入评估外包商级准入评估工作采取如下三种开展方式,准入期不超过一自然年:年度准入：在每年年初，结合本年度系统建设情形以及上一年度的合作情形，对去年通过取得外包商级准入资格/资质的外包商，进行集中重检；批量准入：在日常准入管理工作中，针对新增外包商、提升准入级别、增加服务领域的准入申请，进行批量准入评估；单一准入：该方式为非常规流程，主要应对突发、紧急的外包商准入需求。信息技术部设备室负责制订并定时更新外包商准入“白名单”,“白名单”成员可以直接取得所属服务领域的Ａ级准入资格/资质,入选“白名单”的企业主要为:涉及国家重要产业、规模较大的大型国有企业。外包商级准入评估工作包括标准评估及补充评估两个环节。外包商级准入标准评估审核内容主要包括外包商的基础信息、财务信息、内部监控与管理能力信息、技术能力信息、与本行的历史合作信息等,详尽信息内容及准入指标请参见《IT外包商准入标准评估内容及准入指标》（附件一)。外包商满足所有B级标准准入指标时可取得Ｂ级准入资格/资质,满足所有Ａ级标准准入指标时可取得Ａ级准入资格／资质。需重点管控的外包商（如重要、行业重点、应急备选、知识独有型等关系类型的外包商）原则上需取得A级准入资格/资质。针对未满足标准评估准入指标的外包商,信息技术部设备室可依据有关未满足指标情形和实际项目需求情形（如外包商处于*场垄断地位、外包商负责本行信息系统的迭代开发、需从外包商处获取特殊价值等)决定是否对外包商进行外包商级准入补充评估，详细判定标准请参见《IT外包商准入标准评估内容及准入指标》(附件一)在外包商级准入补充评估阶段，外包项目实施部门应协助信息技术部设备室,针对外包商不满足的标准准入指标，收集有关补充材料，共同讨论分析外包商不满足指标所造成或产生的风险是否能监控在可接受的范围内，并建立相应的补充监控措施，包括（但不限于）:合作领域限制、增强企业监控频率、付款模式限制、签订应急附加协议等。通过外包商级准入补充评估的外包商可取得相应服务领域相应等级的有条件准入资格/资质，但外包商需在将来承接项目过程中履行相应的补充监控措施。外包商级准入评估详细流程如下：信息技术部设备室发起外包商级准入评估工作,包括年度准入、批量准入及单一准入,将外包商与“白名单”进行核对，属于“白名单”的外包商直接准入通过并获得所属服务领域的A级准入资格/资质;针对非“白名单”外包商,信息技术部设备室从外包商信息库提取外包商信息；或通知外包商填写并及时提交《ＩT外包商信息登记表》（见附件二)、《IT外包商基本情形汇总报告》（见附件三）及其附件文档；信息技术部设备室检查标准评估所需信息,依据有关外包商级标准准入指标审核该外包商是否可取得相应服务领域相应等级的准入资格/资质,并在《IT外包商准入检查单》（见附件四)中登记外包商级标准评估结果；针对需要进行外包商级补充评估的外包商,信息技术部设备室从外包商信息库提取或通知外包项目实施部门及外包商提供补充材料;信息技术部设备室联同外包项目实施部门开展外包商级准入补充评估，共同审核补充材料,审核外包商是否可以取得相应服务领域的准入资格/资质，并在《IT外包商准入检查单》中记录补充评估结果;信息技术部设备室将补充评估结果报送信息科技部管理层审批；信息技术部设备室结合外包商级准入标准评估结果及外包商级补充评估结果发布外包商级准入名单。详尽流程请参见《IT外包商准入评估流程图》（附件五)。外包商级准入评估结果共分为如下五种情形：A级准入通过:取得A级准入资格／资质，可参加项目级准入评估;B级准入通过:取得Ｂ级准入资格/资质,可参加项目级准入评估;A级有条件准入通过:取得Ａ级准入资格/资质，但因未满足A级标准准入指标，所有目组应在项目级准入及确定合作外包商时谨慎选择该类外包商，并在将来合作中依照外包商级补充评估中所制订的补充监控措施进行管理;B级有条件准入通过：取得B级准入资格/资质，但因未满足B级标准准入指标,所有目组应在项目级准入及确定合作外包商时谨慎选择该类外包商，并在将来合作中依照外包商级补充评估中所制订的补充监控措施进行管理；准入未通过：该类型外包商不得参加项目级准入评估。供应商准入评选结果记入《IT外包商清单》(附件八)。外包商尽职调查对重要的外包商,在与其签订协议前应当深入开展尽职调查。在尽职调查时应当关注外包商如下几方面的内容：技术和行业经验,包括(但不限于）:服务能力和支持技术、服务经验、服务人员技能、*场评估、监管评估等。内部监控和管理能力,包括（但不限于)：内部监控机制和管理流程的完善程度、内部监控技术和工具等。延续经营状况，包括（但不限于）：从业时间、*场地位及发展趋势、资金的安全性、近期盈利情形等。尽职调查履行后，应形成《重要外包商尽职调查报告》,报告模板请参见附件六.外包商退出管理外包商退出是指本行依据有关退出条件，主动终止与供应商的ＩT外包合作关系,将其列入黑名单，不再与其开展新的IT外包合作。对于现有IＴ外包项目,应启动项目应急预案,并寻求尽速替代。存在以下情形之一的外包商，应主动退出与其IＴ外包合作：严重违反国家法律、法规的；严重违约、擅自变更或者终止已生效协议的；泄露本行商业秘密、技术秘密等非公开信息的；侵犯本行知识所有权的；故意提供虚假资质材料、隐瞒真实情形的；信誉和财务发生严重危机的;提供的产品质量和服务出现重大问题，并造成不良后果的;中标后无正当理由拒绝签订协议的；供应商经营条件发生变化,无法继续提供符合标准的服务；对服务质量进行检查,连续3次未能达到服务标准;其他可能严重影响本行声誉以及给本行带来风险或损失的情形；外包商绩效考核评估连续两年为“差”。外包商退出的详细流程如下：信息技术部设备室与有关处室和项目组确认情形，并核实有关外包商达到退出条件，向有关处室和项目组提出外包商退出建议。项目组自接到外包商退出建议起,应积极寻求外包商替代方案，并定时向信息技术部设备室通报外包商替代进度。项目主管部门依据有关所发生情形的严重程度、影响程度以及补救措施的贯彻情形，经业务部门和信息科技部审批后,确定是否要求该外包商退出,并反馈至信息技术部设备室进行外包商信息更新，外包商不再具备参加本行新建IT外包项目的资格/资质。信息技术部设备室将外包商退出的信息通知信息科技部商务管理岗,停止向该外包商的付款事项。项目组重新选择确定新外包商或采取自建措施,并与现有外包商履行知识转移和人职工或员工作交接。在贯彻外包商替代措施后,信息技术部设备室向有关外包商发出《IT外包商退出通知书》(请参见附件七），同时，信息技术部设备室将外包商退出结果告知有关处室和项目组，启动将来有关的商务流程。依据有关供