银行业务外包风险评估工作实施方案

2024-05-31

银行业务外包风险评估工作实施方案（精选8篇）

篇1：银行业务外包风险评估工作实施方案

银行业务外包风险评估工作实施方案

为深入了解和掌握业务外包风险状况，促进业务外包健康发展，同时推动巴塞尔新资本协议实施，推广使用操作风险管理工具，总行决定对我行业务外包进行风险评估。根据总行《关于开展今年下半年专项风险评估工作的通知》（农银办发【今年】726号）及《中国农业银行河南省分行业务外包风险评估工作实施方案》要求，结合我行业务外包实际，特制定本实施方案。

一、评估的背景和目标

（一）开展业务外包风险评估的背景。

一是总行《中国农业银行今年风险管理工作要点》明确制定了上半年开展清算中心业务风险评估，下半年开展后台中心风险评估总体工作布署，但鉴于全行“三大中心”建设各行进度不同，大部分行下半年“三大中心”建设未全面完成，不能在全行进行后台中心风险评估，总行决定在后台中心、业务外包、小额农贷三个板块领域开展专项风险评估，我行被总行划分在业务外包板块进行风险评估。二是实施操作风险经济资本高级计量法的要求。总行已将经济资本分配到各部门、各级行，为确保计量数据的准确，“让数据和事实说话”，总行逐步在主要业务条线开展风险评估，通过有步骤的、循序渐进的推进各条线风险评估，全面识别不同条线面临的主要风险和潜在风险，针对不同环节风险和风险程度及时采取措施，有效防控风险，构建科学的风险管理机制。

（二）开展业务外包风险评估的意义。

通过开展业务外包风险评估，可以从制度、流程、协议等方面查找并发现我行主要外包业务存在的缺陷和不足，并通过完善制度、优化流程、修改协议等措施，提高我行业务外包整体风险防控能力。

（三）评估目标。

1、清查业务外包领域已发生的各类风险事件，收集损失数据，深入分析导致风险事件发生的内外部原因。

2、以风险为导向，全面排查业务运行中存在的各类风险隐患，查找风险管理中存在的各种问题。

3、在定性定量分析风险事件和损失、风险隐患、风险管理情况的基础上，判断未来内外部环境改变后风险变化趋势，多角度、系统性地提出整改意见，建立健全风险控制机制，强化风险防范，促进业务优化和发展。

二、评估对象及范围

结合总行评估要点所涉及的主要业务领域及我行业务外包实际，本次业务外包风险评估仅限运营管理、信用卡和安全保卫3个业务条线外包活动，具体业务产品或管理活动详见风险评估内容及要点（见附件2）。

（一）评估对象。

我行业务外包风险评估对象为市分行运营管理部、电子银行部（信用卡业务）、安全保卫部及各县级支行与三个条线业务外包相关的业务管理部门。

（二）评估范围。

一是风险事件及损失评估。收集范围为2008年1月1日至今年9月30日发生的业务外包类风险事件和损失。主要为：操作风险事件及损失、外包供应商违约事件及损失等。

二是风险隐患评估。包括：产品、设备、流程、系统、人员、制度、操作、管理、监督检查、体制机制等方面存在的问题和隐患；外部欺诈、客户信用、外包供应商势力等外部因素存在的问题和隐患；未来1-2年内，内外部环境变化导致的问题和隐患。

三是风险管理情况评估。风险识别与监控、风险评级、风险分类分级、风险报告与分析、风险处置与应急、风险抵补、风险考核等方面存在的问题和缺陷。

（三）评估方式。

本次业务外包风险评估采取自查评估和现场督导评估。一是自查评估。市分行运营管理部、电子银行部（信用卡业务）、安全保卫部及县级支行与三个条线业务外包相关的业务管理部门，在本级行业务外包风险评估领导小组组织下进行业务外包自查评估。各支行的派驻风险合规经理要参与派驻行业务外包的自查。二是现场督导评估。省分行业务外包风险评估领导小组将视各二级分行（县支行）自查评估情况，组织相关人员对辖内二级分行风险评估自查情况进行督导抽查。对于政策制度、流程环节、风险管理类要点，可通过访谈的方式，结合要点内容，查找业务外包存在的问题和隐患。

三、工作组织及部门职责

（一）工作组织。

1、成立业务外包风险评估工作领导小组。市分行成立业务外包风险评估工作领导小组，统筹安排和协调组织全市业务外包风险评估工作。领导小组组成如下：

组

长：董洪武（分管信贷管理工作副行长）。

副组长：信贷管理部、运营管理部、电子银行部、安全保卫部部门负责人。

成员：信贷管理部、运营管理部、电子银行部、安全保卫部、财务会计部、内控合规部、信息技术管理部指定1-2名业务专业人员为成员。

市分行业务外包风险评估工作领导小组下设办公室，信贷管理部承担领导小组办公室工作职责。

2、成立4个业务外包自评估小组，分别为运营业务外包小组、信用卡业务外包小组、安全保卫业务外包小组、综合支持保障小组。每个小组选派本部门2-3名业务骨干为组员，具体负责组织实施本业务条线自评估阶段有关工作（市分行业务外包评估领导小组工作职责一览表见附件1）。

（二）部门职责。

1、运营业务外包小组。组长由运营管理部负责人担任，小组成员由运营管理部选派2-3名业务骨干组成。其主要职责包括：

①对会计凭证扫描补录、会计凭证专用包寄递、银企对账单制作寄递等业务外包进行风险评估，采取访谈、调阅资料等方式，按照分行确定的评估内容及要点逐项进行核实，填写访谈记录（附件3），对于发现的问题填写风险隐患统计表（附件4）。

②通过评估查找掌握相关的风险事件和风险隐患，填写风险隐患统计表（附件4）、风险事件统计表（附件5）。

③根据运营管理条线评估自查情况，撰写运营条线业务外包风险评估报告，评估报告的内容应至少包括：评估的范围、银企对账业务外包开展情况的总体评价、风险事件分析、主要的风险隐患、风险整改措施及风险管理意见。

2、信用卡业务外包小组。组长由电子银行部负责人担任，小组成员由电子银行部选派2-3名业务骨干组成。其主要职责包括：

①对商户收单、贷记卡申请资料集中录入等业务外包进行风险评估，采取访谈、调阅资料等方式，按照分行确定的评估内容及要点逐项进行核实，填写访谈记录（附件3），对于发现的问题填写风险隐患统计表（附件4）。

②通过评估查找掌握相关的风险事件和风险隐患，填写风险隐患统计表（附件4）、风险事件统计表（附件5）。

③根据信用卡业务条线评估自查情况，撰写POS商户服务和信用卡对账单打印寄送业务外包风险评估报告，评估报告的内容应至少包括：评估的范围、POS商户服务和信用卡对账单打印寄送业务外包开展情况的总体评价、风险事件分析、主要的风险隐患、风险整改措施及风险管理意见。

3、安全保卫业务外包小组。组长由安全保卫部负责人担任，小组成员由安全保卫部选派2-3名业务骨干组成。其主要职责包括：

①对市场化守护押运、自助机具巡查、保安服务、视频监控中心监控业务外包进行现场评估，根据各单位提交的各类评估表格、报告和材料，抽取部分经营行，采取访谈、调阅资料等方式，按照分行确定的评估内容及要点逐项进行核实，填写访谈记录（附件3），对于发现的问题填写风险隐患统计表（附件4）。

②通过现场评估查找掌握相关的风险事件和风险隐患，审核被抽查单位上报的风险事件、风险隐患和业务统计数据，对于发现的漏报、错报、多报，数据不准确、内容不规范、材料不全面等情况，及时对风险事件统计表（附件4）、风险隐患统计表（附件5）及相关附件材料进行补充、调整和修改。

③根据安全保卫条线评估自查情况，撰写守库押运、保安服务业务外包风险评估报告，评估报告的内容应至少包括：评估的范围、全行守库押运、网点保安业务外包开展情况的总体评价、风险事件分析、主要的风险隐患、风险整改措施及风险管理意见。

4、综合支持保障小组。组长由市分行信贷管理部负责人担任。小组成员由信贷管理部选派2名业务骨干，财务会计部、内控合规部、信息技术管理部各选派1名业务骨干组成。其主要职责：一是牵头制定全市外包业务风险评估工作实施方案并组织实施。二是组织召开风险评估工作领导小组及评估小组会议。三是撰写全行外包业务风险评估报告。四是负责收集法律支持等检查资料、参与现场评估、针对风险评估结果提出整改意见，并负责评估后本条线风险隐患的整改督办。

各县级支行要比照市分行成立业务外包评估工作领导小组，组织辖内运营管理、信用卡、安全保卫等相关条线业务外包风险评估。支行业务外包自评估工作由支行负责安全保卫的副行长牵头开展，派驻风险合规经理参与驻地行业务外包自评估及审核工作。

（三）分层评估。

为避免各级行对全行普遍共用的制度、流程、系统等评估要点在风险评估理解上的偏差，更合理的分配和协调评估人员工作，省分行统一了评估制度、流程、系统等评估要点，并进行WORD文档说明，二级分行对于制度、流程、系统等缺陷问题，也可结合工作实际提出建设性意见。二级分行及县级支行主要负责业务外包的操作风险隐患排查、风险事件报告、填报相关统计报表及自查报告，自查报告要对辖内出现的典型案例进行描述分析。

四、工作具体安排

本次外包业务风险评估工作拟自10月8日开始，至11月17日结束，分为准备部署、评估实施、市分行分析报告和省分行现场督导四个阶段，具体工作步骤如下：

（一）准备部署阶段（10月8日至10月18日）。

1、成立业务外包风险评估工作领导小组。按照总、分行评估工作要求，市分行成立以市分行党委委员、副行长董洪武为组长，信贷管理部、运营管理部、电子银行部、安全保卫部、财务会计部、内控合规部等部门为成员的评估工作领导小组，具体组织全行业务外包风险评估工作。

2、制订评估实施方案。市分行信贷管理部牵头，会商运营管理部、电子银行部、安全保卫部制订全行业务外包风险评估实施方案，明确评估范围和评估方法，细化评估步骤，落实评估责任。实施方案报领导小组组长审定后印发实施。

3、下发正式通知，安排部署评估工作。《关于开展业务外包专项风险评估工作的通知》经行领导审定后印发，各行、相关部门认真按照要求组织和落实业务外包风险评估工作。

（二）自查阶段（10月19日-11月2日）。

市分行运营管理部、安全保卫部、电子银行部及县级支行与三个条线业务外包相关的业务管理部门，要严格按照评估目标、对象及范围（重点是附件2所列的评估内容及要点）分别对银企对账、守库押运、保安服务、POS商户服务、信用卡对账单寄送业务外包情况开展自查，逐项对评估要点内容进行作答，并根据自查情况及相关要求填制各类统计表，整理相关材料，撰写自查报告（自查报告内容至少包括：自查的范围、清算业务开展情况的总体评价、风险事件分析、主要的风险隐患及典型案例分析、风险整改措施及风险管理意见）。二级分行各条线相关统计表、自查报告及附件资料于11月2日前报送市分行业务外包领导小组办公室，同时报上级行本业务条线评估小组。

（三）市分行总结报告阶段（11月3日-11月6日）

市分行业务外包领导小组办公室结合市分行各条线自查评估等相关评估材料，汇总撰写全行业务外包风险评估报告，风险评估报告经市分行风险管理委员会审议后，于11月6日前报省分行风险管理部。

（四）现场督导评估阶段（11月7日-11月17）

省分行根据各行自查评估情况，抽取部分二级分行及县支行开展现场评估，核查各行自查结果的准确性、真实性。

五、相关要求

（一）高度重视，切实落实相关人员和责任，认真做好风险评估相关工作。要按照评估目标、对象及范围全面、充分、真实反映风险，针对业务外包评估要点，逐条、逐项仔细进行自查。每一项评估要点内容必须阐明现状、问题及产生原因，做到结论清晰、论据充足、表述有条理，有证明材料支持评估结论。由于各行业务外包存在差异，对于附件2所列评估内容及要点本级行不能进行评估时，应对不能评估的内容作出说明，并经上级行同意，可对附件2所列评估内容及要点暂不进行评估。各类统计表要认真填写，报表所有内容及数据必须客观、准确，不得杜撰、造假、遗漏。对于《风险事件统计表》（附件5），要求填报的风险事件须如实反映，不得隐瞒不报和漏报，相关部门负责人要在表格中申明和承诺已填报所有事件。自查报告要按照评估内容和要点逐项说明检查情况，详细阐明所面临的主要风险及问题，做到逻辑清楚、事实充分、数据详实、结论客观严谨。

（二）各行评估工作领导小组要定期召开评估工作会，及时了解、调度评估工作进程，研究工作中遇到的问题并及时协调解决。二级分行领导小组办公室要建立每周通报机制，按周向省分行领导小组办公室报告评估工作进展情况及评估工作中遇到的问题。

（三）建立联系人制度。各县级支行要指定1名联系人负责与市分行沟通联系，联系人名单于10月21日前通过信使报送至市分行信贷管理部（刘适遇）。评估工作中如遇问题，请及时与市分行（信贷管理部、运营管理部、电子银行部、安全保卫部）联系。

附件：1-

1、市分行业务外包评估领导小组工作职责一览表

2、评估内容及要点

3、访谈记录

4、风险隐患统计表

5、风险事件统计表

6、业务外包统计表

篇2：银行业务外包风险评估工作实施方案

篇一

银行业商业模式正在经历很大的变革，我国金融服务外包行业规模呈现爆发式增长，市场规模已达150亿元。然而，监管盲区长期存在，金融服务外包潜在风险也被市场所担忧。

《经济参考报》记者22日从银行业权威渠道获悉，近期，银监会对商业银行下发了一份《银行业金融机构信息科技外包风险管理指引(征求意见稿)》(以下简称《指引》)，首次对金融服务外包提出具体要求。《指引》明确指出，银监会有权要求服务提供商接受外部机构的审计，并且将与其派出机构对银行业金融机构信息科技外包工作进行监督检查，对服务提供商提供的外包服务活动风险情况进行延伸检查，监督检查结果应纳入对银行业金融机构的监管评级。据悉，目前已有地方银监局开始摸底商业银行的金融服务外包项目。

现状

金融服务外包行业规模达150亿元

“今年前三季度我国出口只增长了7

.4%，但与此形成鲜明对比的是我国服务外包产业保持着旺盛的生产活力。”商务部部长助理李荣灿对记者透露，“据初步统计显示，今年前三季度我国企业承接服务外包合同金额308亿美元，同比增长54%。其中承接国际服务外包合同资金金额213亿美元，同比增长46

.5%。”李荣灿认为，当前，我国金融行业结构调整势在必行，这要求金融企业专注于主营业务，开展精细化运作，而对于非主营业务则需要通过外包的方式降低成本，提高效益，不断提升自身的核心能力。因此，金融服务外包的兴起有其必然性。

早在90年代末，我国国内银行业建立起了一套自己的业务系统，业务系统之间的数据交互越来越形成一张网状，2007年到2012年，很多金融机构不但建设了自己的数据平台，而且还拥有一些商业智能分析的系统，但是，从我国整个银行业来看，并不是所有机构都有资源和能力创新数据系统以及后台操作系统，因此外包服务商借机进入金融市场，为其提供应用开发、后台系统处理、客服中心等一系列服务。

中国服务外包研究中心副主任金世和认为，尽管金融服务外包市场规模已达到了150亿元，但在全球金融服务外包市场份额的占比依然很小，仅占0.2%，这意味着，金融服务外包市场的发展潜力巨大。

但是，从市场需求来看，对于国内商业银行而言，国有大行基本上都拥有自己的IT团队和产品、系统研发团队，因此，金融外包服务提供商最大的合作机会是中小银行，中小银行为了自身发展需要，也对外包服务需求旺盛。“作为中小银行来说，应该说大部分业务都需要靠外包来完成。因为从自身的能力来看，无论是人力资源还是技术，都与大银行相比存在差距，因此只能走外包这条路，一方面是节约成本，另一方面也是通过这种分工提高效率。”上海银行信息技术部副总经理桑登云坦言，“但是，从目前我国金融服务外包市场的发展水平来看，也有局限性，我们也正在从一种被动式的外包转变到去思考它的运作模式和管理方法。”

在与金融外包服务提供商的合作项目上，光大银行信息科技部负责人姜健对《经济参考报》记者表示“从行业的角度来看，银行过去做IT建设方面常见的形式基本上是和合作伙伴共同开发建设一套系统，共同去运维某个项目，其实我们现在的外包项目中很多会选择对行业经验比较丰富的解决方案公司，或者是产品型的公司，对于专业的外包公司来说现阶段来讲其实合作得相对较少，主要是在人力资源的补充上。但如果是按照调结构的策略下，未来在自助的平台下，规范管理机制下可能对专业性的外包公司需求可能比以前有一个比较大的提升。”

风险

外包市场管理模式尚不成熟

事实上，我国银行业金融机构对外包服务提供商还未形成统一的评估体系、定价机制以及管理模式。银监会方面认为，银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险，可能造成集中性的服务中断、质量下降、安全事件等。据了解，金融服务外包提供商和银行之间的合作基本上是靠双方制定的合同来约束，但事实上，最终出现风险之后大多依然由银行来承担。

在银监会下发的《指引》中可见对金融服务外包的风险提示，银监会认为，信息科技的外包可能产生如下风险，并导致银行业金融机构的战略、声誉、合规风险：第一，科技能力丧失，即银行业金融机构过度依赖外部资源导致失去科技创新及控制能力，影响业务创新与发展;第二，业务中断，即支持业务运营的外包服务无法持续提供导致业务中断;第三，信息泄露，即包含客户信息在内的银行非公开数据被服务提供商非法获得或泄露;第四，服务水平下降，即由于外包服务质量问题或内外部协作效率低下，使得银行业金融机构信息科技服务水平下降。

银监会在《指引》中所称信息科技外包是指银行业金融机构将原本由自身处理的信息科技活动委托给服务提供商进行处理的行为。包括：系统开发、系统测试、基础设施及系统运维、人力外包、管理咨询等。

从整个金融外包服务市场的环境来看，“服务提供商的水平普遍不高，除了市场原因以外，还有一个重要的原因，IT外包行业，或者是软件行业是一个典型的知识密集型行业，而我国的外包服务企业普遍比较重视从客户关系，对技能、方法论体系以及人才的培训机制基本上还没有有效地建立，所以一方面不能够满足目前客户的要求，另一方面银行参与其中如果涉及到后台系统的产品，必然也存在一定的操作和管理风险。”

有市场人士对《经济参考报》记者表示，“金融行业是一个特殊的行业领域，近年来，正是由于金融服务外包行业的快速发展，信息泄露等案件发生率增高，然而银行与服务外包商的合作过程中，监管规则存在缺失，因此面对这一银行有需求的新兴服务市场，监管部门的监管地位也比较尴尬。”

监管

银监会要求实施“名单制”管理

据银监会内部知情人士对《经济参考报》记者透露，针对银行与金融系统信息安全问题，银监会已酝酿新成立信息科技监管部，银监会主席尚福林也强调，各银行业金融机构要加强银行业信息科技监管督导和专项排查。

早在2009年6月1日，银监会发布的《商业银行信息科技风险管理指引》中，就对信息科技业务外包提出要求，比如涉及银行客户资料的外包在准备实施时应以书面材料正式报告银监会或其派出机构，并告知相关客户;又比如银行客户资料与外包服务商其他客户资料须有效隔离、按照“必须知道”和“最小授权”原则对外包服务商相关人员授权、要求外包服务商保证其相关人员遵守保密规定等。

此次，银监会针对金融服务外包提出了更具体的要求，包括“银监会及其派出机构对银行业金融机构信息科技外包工作进行监督和检查，并对服务提供商提供的外包服务活动风险情况进行延伸检查。银监会有权要求外包服务提供商接受外部机构的审计。监督检查结果应纳入到银行业金融机构的监管评级。”

另外，对于风险较高的信息科技外包服务，银监会或其派出机构可暂缓、中止服务。直至银行业金融机构、外包服务提供商有效改正。同时，为了防范因高机构集中度外包服务导致的行业性、区域性信息科技风险，银监会实行重点外包服务机构风险监测机制，定期对银行业发布重点外包服务机构名单，对其进行非现场风险监测和延伸现场检查。同时也对外包服务提供商制定“黑名单”管理机制。

“这意味着，监管层已经出手开始规范银行与外包服务提供商的合作，并且很有可能要深入监管到外包公司里面去，如果银行把主要业务、核心业务给到外包公司合作的话，那么，作为银行里面的审计部门就将成为第三道防线，这对银行研究外包服务提供商的准入门槛、评估体系都提出了一定的要求。”姜健对《经济参考报》记者说。

篇二

根据总行《关于开展业务外包风险评价工作的通知》和省行要求，近日，工商银行淄博分行在全辖部署开展业务外包风险评价工作。

一、高度重视。

成立了业务外包风险评价领导小组，由分管内控合规专业的行领导任组长，成员由内控合规部、个人金融部、办公室、运行管理部、风险管理部、公司业务部、财务会计部、信息科技部、人力资源部等部门的负责人为成员，领导小组下设办公室，办公室设在内控合规部。

二、认真培训。

派员到省行参加了视频培训后，下发行文，要求各支行和市行部室认真学习总行《业务外包风险评价方案》，将业务外包风险评价工作作为提升全行业务外包风险管理水平，规范业务外包管理的重要手段，明确责任，注重实效。

三、开展评价。

业务外包风险评价工作由内控合规部牵头负责组织实施，相关部室成立评价组，采取自评自纠的方式，严格按照总行评价方案各项要求，确保评价工作全面、完整、准确的完成。

篇三

近年来，随着银行业务的快速发展、同业竞争的日益加剧，银行业务外包呈现较快的发展态势。业务外包可以有效解决用工压力、提高专业化服务水平，但同时也产生了外包风险。应如何加强业务外包管理，防范外包风险成为银行关注的热点问题。

业务风险需警惕

承包方业务处理不规范引发风险。承包方因业务处理不规范而出现重大差错、因人员管理不到位发生重大违规事件，这就会给银行造成经济损失。有的承包方在业务承接过程中侵犯他人知识产权，导致银行使用其产品后被第三人诉讼侵权，易引发法律纠纷。在业务外包过程中，如果承包方属于垄断行业或单一业务来源的，容易造成外包价格的不合理，导致其成本过高而难以发挥业务外包的优势。

承包方缺乏外包资质引发风险。主要表现为承包方因本身不具备独立法人资格，缺少具备专业资格的从业人员、缺乏从事相关项目的经验而无法完成所承接的外包业务。此外，一旦银行对承包方准入要求不严格，易使报价较低的承包方中标，这样就容易导致因外包业务质量不达标而无法满足银行的业务需要。承包方因缺乏资质极易引发违约风险，具体表现在，一方面因为承包方自身资历和能力有限无法按合同约定的要求，持续提供优质服务。另一方面承包方在履行合同期间因其经营管理、财务状况等发生重大变化导致丧失履约能力，无法继续提供合同约定的服务义务。

银行未规范评估体系引发风险。在操作过程中，银行尚未形成规范统一的评估体系、科学合理的定价机制和先进有效的管理模式。这也容易造成对外包人员的管理疏忽，如外包押运业务中，之前的提解人员是银行员工，言行举动等相关信息银行都能及时掌握，实行业务外包后，对人员管理、问题纠改的针对性不强，造成管理滞后;在现金清分整点外包过程中，对外包员工疏于管理，员工的责任心不强，在需要突击工作任务时无后备人员，存在大额整点差错等风险隐患。

客户信息被泄密引发风险。主要包括银企集中对账、贷记卡资料录入、贷记卡不良委托催收中因外包人员工作疏忽而导致的客户信息泄密。如，客户对账单在由第三方邮寄时，由外包方打印封装并邮递，对账单中写有客户个人重要信息，在贷记卡资料录入时，外包人员掌握申请客户的资料信息，这些环节一旦监管不善，易产生客户信息被泄密风险。

银行监管不全面引发风险。即对外包机构是否按照外包合同的约定履行义务，这点银行缺乏规范的监督和管理办法。如，对外包机构与外包服务人员订立书面劳动合同、薪酬支付、社会保险(放心保)费缴纳等履行义务事项的监督不到位;对外包公司的外包服务人员进行岗前公共职业培训的监督不到位等。再如外包协议明确规定外包人员劳动关系归属外包公司，工资福利保险均由外包公司发放缴纳，但在实践中也发现部分外包人员未与外包公司签订用工协议，外包公司没有全部替外包人员缴纳社会养老保险等非法用工情况的发生。

外包合同违约引发风险。一方面表现为承包方资历有限无法按合同约定要求持续提供优质服务等违约行为，致使银行业务优势在外包业务中难以发挥。另一方面表现为承包方在履行合同期间由于经营管理、财务状况等发生重大变化而丧失履约能力，无法继续提供合同约定的服务义务，银行若未采取有效应对措施，很有可能遭受重大损失。

风险防范对策

随着银行业务规模扩张和提高效率、降低成本等业务需求的增强，部分非核心业务的外包运作模式呈扩张趋势。对此，银行必须结合风险可控的管理要求，制定规范的操作办法，平稳有序的开展外包业务。

建立完善的外包业务制度。合理确定业务外包的范围，根据银监会发布的《商业银行外包风险管理办法》中规定的外包业务进行分类，以突出管控重点。同时明确业务外包的方式、条件、程序和实施等内容，在避免将核心业务外包的同时，还要确保方案的完整性和可持续性。在认真听取外部专业人员对业务外包的意见后，根据其合理化建议来完善实施方案。

加强业务开展前的调查工作。银行在业务开展前应深入调研，确保承包方的主体合法性。调查承包方的专业资质、技术实力及其从业人员的职业履历和专业技能。此外，要综合考虑内外部因素，对业务外包的人工成本、营销成本、业务收入、人力资源等指标进行测算分析，合理确定外包价格，严格控制业务外包成本。同时严格按照规定的程序和权限从候选承包方中通过招标形式，择优做出选择，并建立严格的回避制度和监督处罚机制，避免相关人员在选择承包方过程中出现受贿和舞弊违法行为。

强化法律审查明确自身责任。在合同的内容和范围方面，明确承包方提供的服务类型，界定服务环节、服务要求、服务费用等。《合同法》作为界定双方权利义务的依据，明确银行有权督促承包方改进服务流程和方法，承包方有责任按照合同协议规定的方式和频率，对存在的问题进行限期整改;在强化合同的服务和质量标准方面，应当规定承包方最低的服务水平要求;在合同的保密事项方面，应具体约定对于涉及银行机密的业务和事项，承包方有责任履行保密义务的责任。

篇3：银行业务外包风险评估工作实施方案

银行外包业务的新形势

随着银行业务的发展, 外包业务不仅在银行业务的覆盖范围、对银行的作用和影响随之增大, 也越来越引起银行和监管部门的重视。2009年9月7日, 中国人民银行、商务部、银监会、证监会、保监会、外汇局联合发布《关于金融支持服务外包产业发展的若干意见》 (银发[2009]284号) , 该意见对金融机构能够开展外包的业务范围也有了一个大致的界定;2010年6月28日, 银监会还发布了《银行业金融机构外包风险管理指引》, 该文件对银行外包业务的组织架构、风险管理和监督管理进行了明确要求和规定, 目的是规范银行业金融机构的外包活动, 保障银行业金融机构业务持续经营, 全面提升银行业外包业务的风险防控能力。

银行外包业务已由最初的从饭堂、清洁、物业管理等银行非经营性业务外包, 发展到银行卡制作、营销、不良贷款催收外包、银企对账、票据传递、款箱运送 (守库押运) 外包等经营性业务。业务涉及到后台会计营运管理、安全保卫、信息技术管理、信用卡、个人金融、私人银行、等多个业务领域。但近年来随着银行后台业务集约化程度的提高, 后台业务外包的种类和范围不断扩大, 业务外包在促进后台业务发展的同时也呈现出新的风险。

银行外包业务的风险分析

内部操作风险

内部操作风险是银行工作人员操作失误或违规操作而产生的风险隐患。主要原因是经办机构或经办人员对外包业务的风险认识不足、对制度的不了解、执行力不足、有章不循等。如办理票据及凭证等外包业务时, 银行员工未按照相关规定和外包业务合同的要求, 如未按双方约定的合同条款交接传递外包业务事项, 传递过程出现疏漏, 出现会计凭证丢失或毁损等情况, 发生交接错漏将难以确定责任, 不但影响业务正常处理和后续检核, 还容易引发与客户之间纠纷。

内部管理风险

内部管理风险主要表现为:一是外包业务相关制度不健全、不完善, 对外包业务缺乏相关指引;二是外包业务保密管理存在缺陷, 银行与服务供应商、服务供应商与外包人员之间未签订保密协议, 或者虽签订了保密协议但协议条款不完备或未严格执行;三是外包业务日常监管机制不健全, 对外包业务未建立较为完善的日常检查和监督机制, 外包人员在出现业务差错后得不到及时纠正;四是外包业务重大风险和突发事件应急处理措施不完备, 在出现突发性业务高峰、服务供应商非正常退出及其它紧急情况时, 银行无法及时进行应急处理。如办理的外包押运服务, 出现现金不能及时调缴的情况, 将会影响客户资金正常到账以及业务正常开展, 甚至出现业务中断, 引发法律纠纷和银行声誉。

法律风险

目前银行面临的主要法律风险主要表现在以下方面:一是外包业务合同条款存在漏洞, 签订的外包合同不完备, 存在因委托事项、权限不明确, 导致银行与外包服务供应商间的责任不清的情况, 对于因此而造成第三方损失的, 银行可能需要对第三方承担损失赔偿责任;二是在银行与外包服务供应商合作期满, 尚未续签书面协议期间, 双方常以合作期间的操作习惯为委托内容, 而无明确的委托事项和权限, 容易被缺乏职业操守的外包服务供应商利用, 超过权限代理或无权代理, 一旦出现不利后果, 将导致银行对外承担民事责任;三是外包服务供应商能力有限, 无法按照银行的要求完成委托事项, 影响银行业务的顺利开展, 并引起不必要的法律纠纷。

外部客户风险

外部客户风险是指对外包服务供应商的选择不恰当, 外包服务供应商不具备相应资质和条件以及外包人员素质、外包作业场地管理等不符合要求等情况引发的风险, 如外包服务供应商准入标准量化不够, 或者降低准入标准, 将业务委托给专业及管理能力不符合要求的服务供应商处理, 导致业务质量和效率较低, 不能满足业务需要;外包业务没有设置相对独立的工作场地, 没有按照国家标准或我行相关规定要求安装监控设备或消防设施, 对工作场所的现场管理不到位, 如出现业务差错或现金盗失时不易区分责任, 则容易产生纠纷和资金风险隐患。外部监管风险

2009年9月7日, 中国人民银行、商务部、银监会、证监会、保监会、外汇局联合发布《关于金融支持服务外包产业发展的若干意见》 (银发[2009]284号) , 该《意见》要求金融机构要在符合监管要求的前提下, 积极探索将非核心后台业务如呼叫中心、客户服务、簿记核算、凭证打印等, 发包给有实力、有资质的服务外包企业。由此可见, 监管部门对金融机构实施非核心业务外包持鼓励和肯定的态度, 同时对金融机构能够开展外包的业务范围也有了一个大致的界定。

如何防范银行外包业务的风险?

加强外包业务的管理, 规范并完善外包业务合同的签订流程

一是规范外包业务内部操作流程, 严格按照相关制度及外包业务合同条款的要求办理外包业务;二是规范并完善业务外包合同流程, 如银行与服务外包供应商在合作前应先签订外包合同, 严禁逆程序减程序操作, 签订的外包合同必须要求涵盖外包业务的所有环节, 以减少因操作失误给我行带来的法律风险。

逐步健全外包业务管理体系, 加强外包业务过程管理与风险控制

一是细化外包业务制度, 从实际出发, 根据具体情况细化相应的外包业务管理办法;二是加强外包业务安全监督检查与持续监管, 如定期对外包供应商履约能力、履约程度等进行全面检查与考核;定期对服务外包供应商的驻行人员的岗位操作、自备设施的性能进行检查, 并形成定期检查报告制度;三是建立并完善突发事件应急预案, 以保证供应商出现意外情况时, 银行业务能够正常有序的开展。

加强外包服务商准入的管理, 慎重选择合适的服务外包供应商

在选定服务外包供应商时, 银行应对供应商进行全面、科学、合理的评价, 包括供应商的从业资质、外包业务技术能力、关键人员的业务能力、业务操作和控制能力及财务状况、自身发展的稳定性、等, 选择业务能力强、信誉好、具有丰富经验、有充足资源完成外包工作的合格的服务供应商, 以规避对外包服务商的选择不当或不符合条件引发的风险。

合理确定外包金融服务的范围, 规避外部监管风险

目前, 各行业与监管当局认为, 受监管实体越来越多地依赖外包业务, 可能会影响到其管理风险及服从监管要求的能力, 以及严重影响到受监管实体的可持续性发展及其履行客户责任的能力。因此, 合理确定外包金融服务的范围和内容, 也应引起重视和关注。

篇4：试论银行外包业务风险管理

关键词：银行；外包业务；风险管理.

一、银行业务外包的种类

（一）计算机技术资源的外包。计算机技术资源外包它主要指的是银行通过寻找一个专业的企业或者外包服务公司对本银行的需要新系统的开发与技术支持、信息系统的维护和管理、系统的备份并不重要的业务外包出去。使其能更好的为银行提供安全和技术上的保障。

（二）专业性服务的外包。专业性服务外包是指银行将服务性的工作承包出去为银行和客户提供更好更专业的服务。专业性的服务外包主要包括税务顾问、现金的取送业务、银行金库监视系统、营业大厅客户安危的服务等。随着经融产品和服务在专业性的不断加强，面对这类需要专业的设备和技能要做支撑的服务。银行专业性的服务外包模式可以使得银行在获得外来服务承包商提供的优质服务体验的同时，还可以使银在其他的金融业务和金融服务渠道得到扩宽，也可使银行的职员在业务的繁琐上得到可以逐步精简，从而减轻繁琐业务膨胀后为银行所带来的反应迟钝和创新缺乏等一系列的问题及麻烦。提高组织的灵活性和服务能力。

（三）后勤事物的外包。我国银行后勤事物外包主要是指将银行的贸易性经融服务的后勤处理作业及凭证保存等外部出去。减少银行工作人员的工作，提高银行工作人员的工作效率。

二、银行内外部的存在的相应的风险

（一）银行员工在业务方面操作产生的风险。银行员工在业务方面操作产生的风险主要是指银行的工作人员在业务的处理上按银行的相关操作规定，而出现错误性操作和失误行操作从而使银行在业务方面产生不必要的风险。这种风险主要体现在银行业务执行人员和执行部门的主要负责人对银行业务外包的风险所要面临的处理执行力不足和对预防风险制度的不了解及有章不循等方面。

（二）银行业务外包在法律方面存在着一定的风险。一是银行本身与外部服务商在业务合作期满后，还尚未续签协议的时间段，银行和外部服务商还是以合约未满时的相关操守规则及相关的处理方法，而并没有在确定没有在续签的时间段内双方该如何处理和继续合作的相关事项及权限，使得一些缺乏职业道德及操守的承包商利用这一漏洞超权和越权，一旦出现不利的后果，将导致银行承担民事责任。二是外包业务在与外包服务商签订合约时，因对相关法律法规无法做到规范性的了解，从而使合约存在很多的隐性漏洞，一旦外包业务服务商在处理业务时出现了问题。容易造成客户无法避免的损失，最终银行有可能要对客户负全责。三是外包服务商的存在技能、财力、人力资源等方面的能力不足，导致无法按照银行的要求在其合同规定的时间内完成，严重的影响银行和客户之间业务往来的的顺利展开，产生不必要的纠纷。

（三）银行外部在客户方面的风险。外部客户风险主要是因银行在对业务外包时选择不当，而这一类不合格的承包服务商它们缺乏专业的技能知识和职业素养，它们往往会对所承包的业务因无法做到规范性处理，对于有些无法处理的业务，不及时与银行交流，往往草草了事，从而引发一系列的风险和危机。

三、做好银行业务外包时要提前预防的风险管理

（一）重点做好外包服务商的风险管理。银行在选择外包服务商时，外部服务商的好坏往往关系到银行整个外包流程是否能够顺利完成的重要因素，所以银行在防范这种对外包的风险时，应对外包服务商进行综合性的分析及预测，该服务承包商是否符合银行需要外包业务的工作，运用科学手段的来评价和服务商。既要在签订合约时明确供应商的权限和事项，还应将服务商在对业务处理时各方面都需要做到监督和管理。密切的关注服务商在业务处理时是否存在敷衍了事的情况，并随时了解服务商在提供服务的同时存在损银行声誉情况。

（二）加强银行外包业务日常监督和监管。银行可以根据与外包服务商在签订合约时制定的相关规定及要求，银行可以履行监督职能，加强对外包服务商日常业务质量监督检查。对涉及到重要的事项，应及时安排相关的外包质量监督人员，履行合同监督职能，以确保各项条款条例的合法顺利的完成。

（三）银行在外包业务时应同时建立和完善的外包服务商

考评机制。银行在外包业务时应同时建立和完善外包服务商考评机制，这样做可以规范外包服务商的职业操守，同时也可以随时了解外部服务上的工作处于什么样的状态，为其在业务合同履行完成后支付费用时提供主要的参考依据。

（四）建立业务外包应急预案。银行在密切关注外包服务商各项工作时，还需随时关注应急预案要求所制定相关的外包业务处理时的应急预案，以備银行在面对出现突发状况时能够及时变迅速的处理，而使外部业务不会受到影响。

（五）建立银行外包业务退出机制。当银行的外包业务的外包服务商在经营条件，财务状况出现异变的时候，导致外包业务服务商无法继续提供符合标准的服务，或者是外包服务商在合同规定履行期间发生了重大事故及工作质量在检查时且多次不能达到标准和要求的情况下，银行对于这一些的情况应该及时做出退出机制处理，以确保外包业务的开展不受其影响。而为银行带来不必要的麻烦，从而导致银行的服务水平，和客源下降。影响银行的盈利。

参考文献：

[1] 王世华，何帆.中国的短期国际资本流动:现状、流动途径和影响因素 [J].世界经济, 2007(7).

[2] 朱孟楠，邓文轩.破解中小企业融资难的新路径——刍议商业银行主导整合中小企业金融服务 [J].江西社会科学, 2013(4).

篇5：如何管控外包业务风险

业务外包的法律性质

业务外包是指企业利用专业化分工优势，将日常经营中的部分业务委托给本企业以外的专业服务机构或其他经济组织完成的经营行为。从法律上来说，业务外包的发包方与承包方是基于平等合作产生的合同法律关系。业务外包涉及的合同类型比较广泛，其中承揽合同是典型的提供劳务的合同，确立了所有提供劳务合同的一般规则。讨论业务外包的法律关系，可以承揽合同作为基准。按照《合同法》关于承揽合同权利义务的规定，业务外包是以完成一定的工作为目的，承包方应按照与发包方约定的标准和要求完成工作，并交付工作成果；发包方的主要目的是取得承包方完成的工作成果，并依据工作成果给付承包方报酬。

业务外包不可异化为劳务派遣

2012年修改的《劳动合同法》颁布后，一些用人单位以业务外包、劳务承揽等方式加以应对，但与业务外包提供商签订的合同却充满了劳务派遣的色彩，将业务外包异化为劳务派遣关系。《劳务派遣暂行规定》第27条规定：“用人单位以承揽、外包等名义，按劳务派遣用工形式使用劳动者的，按照本规定处理。”因此，必须理清业务外包与劳务派遣的关系，让业务外包名副其实，避免形成“假外包、真派遣”的困境。

根据有关法律规定，业务外包与劳务派遣存在以下不同点。一是标的物不同。业务外包不仅要求承包方提供一定的劳务，更为重要的是提供相应的工作成果。劳务派遣则是劳务派遣单位向用工单位派遣劳动者，即劳动力是劳务派遣关系的标的物。这直接导致二者的计酬方式存在明显不同，业务外包按量计酬，而劳动派遣则按人头计酬。

二是员工人身依附性不同。业务外包中发包方对承包方的员工没有直接的指挥、管理权，发包方仅可以对承包方完成业务外包的工作进行必要的监督检查。而劳务派遣中，被派遣的劳动者则要服从用工单位指挥、命令，遵守用工单位的规章制度。这就意味着，业务外包合同中不宜存在对承包方员工进行直接管理的条款。

三是对外承担法律责任的主体不同。在业务外包中，承包方对第三人造成损害或造成自身损害的，发包方一般不承担赔偿责任。而在劳务派遣中，被派遣的劳动者因执行工作任务造成他人损害的，由用工单位承担赔偿责任；劳务派遣单位有过错的，承担相应的补充责任。还要明确的是，尽管委代办可以纳入业务外包的射程之内，但考虑到委代办与劳动关系极易混淆，实践中也多次出现法院将委代办确认为劳动关系的案例，因而，委代办模式应审慎使用。

业务外包风险管控应注意

根据《合同法》等有关法律规定，结合财政部颁布的《企业内部控制应用指引第13号——业务外包》，业务外包风险管控方面应注意以下问题。

选择好业务外包服务提供商。业务外包的承包方应当满足以下条件：一是承包方是依法成立和合法经营的专业服务机构或其他经济组织，具有相应的经营范围和固定的办公场所。二是承包方应当具备相应的专业资质，其从业人员符合岗位要求和任职条件，并具有相应的专业技术资格。三是承包方的技术及经验水平符合本企业业务外包的要求。邮政业务外包的承包方一般应具有物流服务、信息服务、物业服务等经营范围。选择承包方应当引入竞争机制，采用招标、竞争性谈判等方式，且不宜将劳务派遣企业作为外包服务提供商。

准确界定业务外包的具体范围。应避免将企业的核心业务外包。考虑到邮政企业按照国家规定承担着邮政普遍服务的义务，邮政营业窗口服务外包应审慎对待，并要遵守国家以及地方关于邮政营业场所自办转为代办的监督管理规定。签订规范的业务外包合同。业务外包合同内容主要包括：外包业务的内容和范围，双方的权利和义务，服务和质量标准，保密事项，费用结算标准和违约责任等事项。外包业务需要保密的，应当明确规定承包方的保密义务和责任，要求承包方向其从业人员提示保密要求和应承担的责任。签订业务外包合同要与劳务派遣协议的条款相区分，其中费用结算、承包方从业人员管理、民事责任承担等尤其要注意。

强化业务外包实施过程中的管理。严格执行业务外包制度、工作流程和相关要求，并采取有效措施确保承包方严格履行合同。对承包方的履约能力进行持续评估，特别是对于重大业务外包，应当建立相应的应急机制，避免业务外包失败造成企业经营活动中断。

修改后的《劳动合同法》以及与之配套的《劳务派遣暂行规定》（人力资源和社会保障部令第22号）对劳务派遣作出了严格的规范，大大压缩了劳务派遣的适用空间。作为替代措施，业务外包也得到广泛运用。邮政企业在运用业务外包过程中，应当加强法律政策研究，做好顶层设计，最大限度地管控法律风险。

业务外包的法律性质

业务外包不可异化为劳务派遣

业务外包风险管控应注意

根据《合同法》等有关法律规定，结合财政部颁布的《企业内部控制应用指引第13号——业务外包》，业务外包风险管控方面应注意以下问题。

准确界定业务外包的具体范围。应避免将企业的核心业务外包。考虑到邮政企业按照国家规定承担着邮政普遍服务的义务，邮政营业窗口服务外包应审慎对待，并要遵守国家以及地方关于邮政营业场所自办转为代办的监督管理规定。

签订规范的业务外包合同。业务外包合同内容主要包括：外包业务的内容和范围，双方的权利和义务，服务和质量标准，保密事项，费用结算标准和违约责任等事项。外包业务需要保密的，应当明确规定承包方的保密义务和责任，要求承包方向其从业人员提示保密要求和应承担的责任。签订业务外包合同要与劳务派遣协议的条款相区分，其中费用结算、承包方从业人员管理、民事责任承担等尤其要注意。

篇6：商业银行业务外包的风险及其防范

选择合适的外包机构。外包机构的选择，是确保银行业务外包顺利实现的关键。外包机构的经验、能力、技术、资本、信誉、对金融行业的熟悉程度、自身发展的稳定性、已有的类似业绩等等都是影响外包业务能否按约完成的重要因素。因此，银行必须慎重结合外包业务的需求，科学、合理地评价和选用外包机构。

组建合理的外包结构。外包业务的完成状况在很大程度上取决于外包业务的.安排状况，尤其要确保外包机构准确地把握银行对业务外包的预期和目标。为此，银行必须注意以下几点：(1)通过谈判与外包机构签订一个可操作性的合同，该合同应能准确、清楚地表述双方的预期和责任。多数外包业务合同周期较长，尤其是信息技术的外包，银行必须在合同的签订上注意保持合同对未来环境变化的充分估计。(2)为了确保合同的完备，应该在合同中规定如下内容：外包服务的范围;协议涉及的术语界定;对各种附属服务最低标准的规定;支付要求;激励条款;保留与第三者合作的权利;合同分包的可否;数据与资料的所有权的保护及保密;承诺、保证、责任与追偿权;纠纷解决机制与法律适用;协议终止与破产问题;应急措施与商业回复计划;不可抗力等等。(3)合同必须对服务机构的人员与技术准备及维持作出明确约定。服务机构外包成功与否，在很大程度上依赖于其管理员或者技术人员的稳定。(4)鉴于外包合同的重要性，银行应该注意结合运用外聘律师审查与内部法律顾问审查相结合的机制。

处理好人力资源的管理问题。业务外包操作的风险在很大程度上受制于外包机构的人员素质和职业道德水准。银行业的某些特殊性，诸如银行客户数据信息的高度保密要求等等，更是有赖于外包机构雇员和管理人员的职业素质。因此，银行应注意在外包合同中，就外包机构的人员素质和义务作出严格而明确的规定。特别需要对接触银行业务酌有关人员进行宣传，告知其各种法律的强制性义务和道德性义务。

构建良好的控制机制并确保独立确认。外包业务由独立的外包机构自主按照合同要求来完成，银行对外包机构的控制直接关系到预期目标的实现。因此，银行必须清楚地在合同中界定对外包机构的安全控制，并应通过适当的履行措施来保持这种控制的有效性，尤其需要在合同中要求外包机构在自己的内部建立相应的内控机制，确保银行控制目标的有效执行。基于此，银行应该通过合同构建自己内部或者外部审计，建立对外包机构进行审查和评估的有效机制。

设计必要的应急规划。针对外包机构可能发生的不履行合同或者不能履行合同等紧急问题，银行应规划应急措施，并通过合同来确保其可执行性。

另外，为有效地控制外包风险，除银行自身需要作出预防外，外部健全的监管机制也是一个重要因素。从国际经验来看，一些国家和地区已经有专门性的监管规章规范银行业务外包问题，以促使银行有效控制风险，并为监管当局的有效监管提供依据。美国以及我国台湾地区的银行监管机构都已经有了针对业务外包问题的规章或指引。为此，我们必须构建相应的监管制度，一方面指引外包业务在控制风险的前提下正常开展，另一面也为监管当局的监管提供可操作性的规程和依据。

篇7：投资公司外包业务风险控制制度

第一章总则

第一条为了规范公司基金托管与运营外包业务。根据《中华人民共和国证券投资基金法》、《私募投资基金监督管理暂行办法》、《私募投资基金管理人内部控制指引》、《基金业务外包服务指引》等法律法规、规范性法律文件及相关监管要求制定本制度。

第二条督管理。

第三条督管理。

第四条基金托管机构是指依法设立的具有托管资质的商业银行或者其公司风险管理委员会负责运营外包机构的选择、评定、确认与监公司投资决策委员会负责基金托管机构的选择、评定、确认与监他具备托管资格的金融机构。商业银行担任基金托管机构的，由国务院证券监督管理机构会同国务院银行业监督管理机构核准；其他金融机构担任基金托管机构的，由国务院证券监督管理机构核准。

第五条外包服务机构是指基金业务外包服务机构（以下简称“外包机构”）为基金管理人提供销售、销售支付、份额登记、估值核算、信息技术系统等业务的服务。

第六条外包机构包括为私募基金管理人提供募集服务的在中国证监会注册取得基金销售业务资格且成为中国基金业协会会员的机构（简称基金销售机构），为私募基金募集机构提供支付结算服务、私募基金募集结算资金监督、份额登记等与私募基金募集业务相关服务的机构。

第二章外包机构的遴选与管理

第七条公司开展业务外包应根据审慎经营原则制定业务外包实施规划，外包活动范围应与公司经营水平相适宜。

第八条公司可委托外包机构办理基金份额（权益）登记。办理基金份额登记业务的机构应保证登记数据的真实、准确和完整，可开立注册登记账户，用

于基金投资人认（申）购资金、赎回资金和分红资金的归集、存放与交收，并设置有效机制，切实保障投资人资金安全。

第九条公司可委托外包机构办理估值核算，办理估值核算业务的机构应按照合同或协议的要求，保证估值核算的准确性和及时性。

第十条公司XX部门负责外包遴选工作，遴选工作应主要核查以下内容：

（一）品牌影响力：外包机构应品牌信誉良好，无不良记录。

（二）外包资质：外包机构应为按照《基金业务外包服务指引（试行）》的要求到中国证券投资基金业协会备案，并加入基金业协会成为会员的机构

（三）运营团队：外包机构应拥有稳定、专业的运营团队。外包机构及其从业人员，应当遵守法律法规及合同或协议的规定，诚实信用、勤勉尽责、恪尽职守，防止利益冲突，不得从事侵占基金资产和客户资产、利用基金未公开信息进行交易等违法违规活动。外包机构在开展外包业务的同时，提供托管服务的，应设立专门的团队，外包业务与基金托管业务团队之间应建立必要的业务隔离，有效防范潜在的利益冲突。

（四）IT系统：外包机构应拥有稳定、专业的系统开发和运维团队，系统配置完善，并且有持续优化的意愿，做好风险隔离，并定期向管理人提供数据。

（五）风控机制：外包机构应风控机制完备，并与托管业务进行办公场所与团队隔离。外包机构应具备开展外包业务的能力和风险控制能力，审慎评估外包服务的潜在风险与利益冲突，建立严格的防火墙制度与业务隔离制度，有效执行信息隔离等内部控制制度，切实防范利益输送。

（六）资源源投入：费率合理，并有意愿加大资源投入力度开展长期业务合作。

第十一条公司对外包的评定流程如下：

（一）尽职调查：公司在委托外包机构开展外包活动前，应根据备选外包机构的范围，对其人员配备、防火墙制度、业务隔离措施、利益输送防范措施、软硬件设施、专业能力、诚信状况、过往业绩、按时定期向基金业协会报送外包业务情况表和外包运营情况报告等情况进行全面、现场调查。

（二）业务谈判：公司XX部门与运营外包机构成员洽谈详细业务操作流程、费率及协议等重要因素，并达成一致意向。

（三）选定：根据实际考察结果进行综合评估，确定运营外包机构，并经合规部门审定后签订书面外包服务合同及协议，明确双方权利义务及违约责任，协议条款至少应包括以下内容：

1.外包服务所涉及的基金资产和客户资产应独立于外包机构的自有财产。外包机构破产或者清算时，外包服务所涉及的基金资产和客户资产不属于其破产财产或清算财产。

2.外包机构应对提供外包业务所涉及的基金资产和客户资产实行严格的分账管理，保证提供外包业务的不同基金资产和客户资产之间、外包业务所涉基金资产和客户资产与外包机构其他业务之间的账户设置相互独立，确保基金资产和客户资产的安全、独立，任何单位或者个人不得以任何形式挪用基金资产和客户资产。

3.外包机构在开展外包业务的同时，提供托管服务的，应设立专门的团队与业务系统，外包业务与基金托管业务团队之间建立必要的业务隔离，有效防范潜在的利益冲突。

4.办理私募基金销售、销售支付业务的机构开立销售结算资金归集账户的，应由监督机构负责实施有效监督，在监督协议中明确保障投资者资金安全的连带责任条款。

5.开展基金销售业务的各参与方应签署书面协议明确各方权责。协议内容应包括对基金持有人的持续服务责任、反洗钱义务履职及责任划分、基金销售信息交换及资金交收权利义务等。

第十二条外包机构及其从业人员，应当遵守法律法规及合同或协议的规定，诚实信用、勤勉尽责、恪尽职守，防止利益冲突，不得从事侵占基金资产和客户资产、利用基金未公开信息进行交易等违法违规活动。

第十三条外包合同签订后，公司XX部门负责已双方根据项目运营实际情况，确认基金涉及的相关外包业务流程。

第十四条在开展业务外包的各阶段，公司应关注外包机构是否存在与外包服务相冲突的业务，以及外包机构是否采取有效隔离措施，每年开展一次全面的外包业务风险评估。

第三章监督管理

第十五条

公司XX部门应定期与托管机构和运营外包机构召开例会，定期沟通，了解托管机构是否合规运作，同时托管机构应定期向管理人提供托管报告；了解运营外包机构的人员配备情况、业务操作的专业能力、业务隔离措施、软硬件设施等基本运作情况，保证满足业务发展的实际需求。

第十六条

公司XX部门应根据签订的托管协议及外包服务协议，不定期考察托管机构及运营外包机构是否严格按合同履行其义务和职责，如若发现未履行或履行不严格，可对其发出口头或书面的警告，情节严重的，可发送公函或律师函。

第十七条

篇8：银行业务外包风险评估工作实施方案

随着国家不断放宽对中小银行的限制, 鼓励中小银行加快发展, 以城商行为代表的广大中小商业银行已建成具有较强竞争力的现代金融企业。在信息化和大数据时代, 科技支撑作为中小银行发展的主要手段之一, 已经大大滞后于现实需求, 科技支撑与整个机构的战略目标实现的深层次问题也逐渐暴露出来。IT人力资源匮乏、自身IT力量对业务发展的支持力度不足、信息化建设滞后等问题制约了中小银行业务发展和创新能力。

为了有效弥补自身人力资源、技术和能力上的欠缺, 同时满足对业务发展的支撑, 与大银行缩短差距, 中小银行都开始依赖于信息技术外包的方式满足自身发展需要。通过信息科技外包, 可以有效降低IT部门的综合运营成本、实现资源优化配置、获得专业化团队的支持、加快IT应用的步伐、推动业务创新。目前, 中小银行的信息科技服务外包需求旺盛, 服务规模呈现爆发式增长, 目前整个市场规模已突破150亿元。

然而, 信息科技服务外包在有效加快中小银行信息化进程的同时, 也带来了较大的信息科技服务外包潜在风险。中国银监会为加强对信息科技服务外包风险的防范和监管, 在2013年2月出台了《银行业金融机构信息科技外包风险管理指引》 (以下简称“《指引》”) , 《指引》中明确了信息科技服务外包风险的类型, 金融机构在防范信息科技外包风险上的职责和工作, 同时对服务外包商也提出了更具体的要求。

二、评估模型和标准构建

在信息科技外包风险管理中, 信息科技外包风险评估至关重要。通过风险评估, 可以有效识别总体外包风险水平和外包活动中所面临的主要风险, 从而可以执行有效的风险处置措施, 也有效保证信息科技外包战略目标的达成。本文提出的信息科技外包风险评估模型可以为中小商业银行评估和管理自身的外包风险提供参考和借鉴, 为外包风险管理工作奠定基础。

信息科技外包风险评估是从信息科技外包依赖度和信息科技外包管控力两个维度进行, 其中信息科技外包依赖度反映了固有风险水平, 信息科技外包管控力反映了银行的控制能力。并将信息科技外包依赖度和管控力分成高、中、低三个层级, 按照3分进行成熟度划分。高的信息科技外包依赖度引入较大的信息科技服务外包风险, 需要更加成熟的信息科技外包管理能力与之相匹配。运用“风险热力图”的方法根据“依赖度-管控力”将信息科技外包风险化分为高风险、中风险、低风险, 其中红色区域表示高风险, 即信息科技外包管控力与外包依赖度难以匹配;黄色区域表示中风险, 即信息科技外包管控力与外包依赖度较为匹配;蓝色区域表示低风险, 即信息科技外包管控力与外包依赖度高度匹配, 如图1所示。

信息科技外包依赖度评估是从业务流程外包程度、关键应用外包程度、应用开发外包程度、运维外包程度和信息科技咨询服务程度五个维度进行评估。针对评估维度, 又设计了9个具体指标用于数据的收集、调研和评估, 反映了中小商业银行信息科技外包的依赖程度 (参见表1) 。

信息科技外包管控能力评估是从信息科技外包战略、外包商准入、外包服务合同的签订、外包日常管理、外包应急管理、外包商监控与评价、重要外包商安全管理和重要外包商服务水平八个维度进行评估, 针对评估维度, 设计了43个具体指标用于数据的收集、调研和评估, 指标大都源于《指引》, 反映了中小商业银行信息科技外包管控能力 (具体参见表2) 。

三、外包风险评估过程和结果

本文选取15家中小商业银行进行研究, 其中资产规模在1000亿以上的4家, 500亿到1000亿的5家, 500亿以下的6家。实现跨区经营的有9家, 未跨区经营的有6家。

通过调研, 获取15家银行的信息科技外包依赖度指标数据, 并分为高、中、低, 再通过加权平均, 形成五个维度的依赖度, 可以有效反映出15家银行总体外包依赖度水平, 具体如图2所示。从图中可以看出,

第一, 业务流程外包、关键应用外包和应用开发外包依赖度较高, 体现了目前存在大部分机构的应用系统和关键应用系统仍然依赖于外包开发, 其中网银系统大部分完全托管于第三方, 应用开发项目较多且大部分依赖与外包商。

第二, 同时, 也可以看到在系统运维依赖度上较低, 目前调研的15家机构都具有很强的运维水平和实力, 可以有效地保障系统的稳定运行。

第三, 此外, 由于中小商业自身IT资源匮乏、能力较为薄弱, 而信息科技咨询服务程度较低, 一定程度上体现了机构在提升信息科技治理、风险管理等软实力上的投入较少, 还不够重视。

经过汇总, 总体信息科技外包依赖度为2.11, 达到中等水平, 充分体现了目前中小商业银行的信息科技建设主要还是依赖于外包, 但也可以看出已经有部分机构开始加大对自主研发的投入, 增强自身研发实力。

金通融过调研, 获取15家中小商业银行的信息科N技O外.包1管1, 控2力01指4i标n数an据c, e并分为高、中、低, 再通过 (加C权u平m均u, la形t成iv八et个y N维O度.的5管70控) 力, 可以有效反映出15家银行机构总体的管理力水平, 具体如图3所示。从图中可以看出:

第一, 在外包商准入、外包服务合同签订和外包商日常管理等方面管控工作开展比较到位, 展现出在外包商管理的部分重要环节上具有较高的管理能力和水平, 可以有效地防范外包风险。

第二, 在信息科技外包战略方面还需要进一步完善, 缺乏明晰的信息科技外包战略, 未明确信息科技外包的范围, 未建立信息科技外包风险和效益评估机制。

第三, 在外包服务水平、外包商监控与评价和外包应急管理等重要环节方面还存在不足, 如对重要外包商尽职调查开展不足, 外包服务质量监控和考核指标的不够深入细化, 未建立适当的信息科技外包应急预案和策略。

第四, 在重要外包商安全管理方面比较薄弱, 如未开展重要外包商实施前的监管报备、重要外包商信息安全风险评估以及对重要外包商的信息安全审计等。

经过汇总, 总体信息科技外包管控能力符合度为2.23, 充分体现了中小商业银行对信息科技外包风险管理的重视, 展现了较为成熟的信息科技外包管理能力, 但是与《指引》的要求相比, 还存在一定的不足, 需要进一步完善。

通过对15家中小商业银行信息科技外包依赖度和管控力的数据调研分析, 整体信息科技外包依赖度为中, 信息科技外包管控力也为中, 信息科技外包管控力与依赖度基本匹配, 参见图4中阴影部分。通过“信息科技外包风险热力图”, 可以看出目前中小商业银行总体信息科技外包风险处于中风险水平。

四、信息科技外包风险应对措施

中小商业银行应充分参照银监会出台的《指引》中的相关规定, 针对目前中小商业银行银行普遍缺乏明确的科技外包战略, 自主研发团队匮乏、研发水平弱、外包依赖度高, 外包日常管理不够完善, 外包服务质量监控和考核不足, 外包信息安全管理方面比较薄弱等2现0状14和年问题第, 制11定期信息中科旬技刊外包风险应对措施, 提高外包管时控力, 代有效 (防总范第科技57能0力期丧) 失、业务中断、信息泄露和服务水平下降T等im风险es。具体措施包括:

(一) 制定科技外包战略, 逐步掌握科技核心技术

银行应制定与业务总体策略相匹配的信息科技外包战略, 合理确定外包服务的范围, 对于非核心业务的信息系统建设和投产可酌情外包, 对于核心业务的信息技术, 银行应掌握在自己手里。

(二) 提高自主开发水平, 合理降低外包依赖程度

银行应建立自己的研发团队, 提升研发能力, 加强对信息系统的自主研发。对于没有实力完全开发的系统, 可以采用合作开发的方式, 完成后逐步过渡到自己维护。

(三) 严把外包服务准入, 有效强化外包日常管理

银行应在外包服务选择时, 应充分评估外包商资质水平、财务水平等, 开展对外包商的尽职调查, 并通过外包合同严格约束外包服务。在外包服务过程中, 还应建立专门的管理或协调组织, 加强对外包商的管理和外包人员管理。

(四) 做好外包监控考核, 持续提升外包服务质量

银行应建立服务水平监控评价机制, 明确服务质量监控指标, 金定期对融外包服务开展服务水平监控。同时, 还应建立N起O科.1学1的, 2评0价14i体n系an, 对c外e包商定期开展考核, 提升 (外C包u服m务u质la量ti。vety N O.570)

(五) 严防外包信息安全, 充分提升外包应急管理

银行可以通过与外包人员签订保密协议, 禁止外包人员进入内网、接触敏感数据或访问生产系统, 防止发生敏感信息泄露等风险。同时, 也要针对外包服务的意外突发情况, 如外包骨干人员变动等, 做好相应的应急机制, 提升应急处置能力。

摘要：本文从信息科技外包依赖度和外包管控力两个维度构建信息科技外包风险评估方法, 通过对15家中小商业银行信息科技外包现状的调研, 分析和评估中小商业银行的信息科技外包风险情况, 并基于分析结果提出切实有效的应对措施。

关键词：信息科技外包依赖度,信息科技外包管控力,信息科技外包风险评估,中小商业银行