《商业银行外包风险管理指引》.docx

商业银行外包风险管理指引商业银行外包风险管理指引 第一章 总 则 第一条 为了防范商业银行外包风险，保障商业银行业务持 续经营，依据中华人民共和国银行业监督管理法、中华人民 共和国商业银行法等有关法律法规，制定本指引。 第二条 本指引适用于中华人民共和国境内设立的政策性 银行、商业银行、外国银行分行等机构。 第三条 本指引中的外包是指商业银行将原本应由自身负 责处理的某些事务或某些业务活动委托给服务提供商进行处理 的经营行为。服务提供商包括独立第三方，商业银行或其所属集 团设立在中国境内或者境外的子公司、关联公司或附属机构。 第四条 商业银行的董事会和高级管理层应承担外包活动 的最终责任。 第五条 商业银行开展外包活动应制定外包的风险管理框 架以及相关制度，并将其纳入全面风险管理体系。 第二章 外包范围 第六条 商业银行应根据审慎经营原则制定其外包战略发 展规划，确定与其风险管理水平相适宜的外包活动范围，尤其是 重要业务的外包活动范围。 1 第七条 商业银行在确定某项外包业务是否为重要业务时， 应评估以下因素： 是否涵盖到商业银行大部分的信息技术、财务会计、 信贷处理及客户信息等业务事项； 业务一旦中断是否对商业银行的业务经营、声誉或利 润等产生重大影响。 在无法确定某项即将被外包的业务是否为重要业务时，可向 所在地监管机构进行咨询。 第八条 重要业务可参考但不限于下述业务事项： 业务操作环节：贸易融资及结算有关的单据处理和系 统操作等服务；授信业务的贷前调查和贷后催收；信用卡营销与 催收；电子银行客户服务等； 数据处理：联行对帐；会计业务的影像处理及数据录 入；客户数据录入及维护；数据查询等； 信息技术：业务操作系统软件的开发和维护、网络安 全设计建设、网络银行应用系统设计开发和 IT 重要基础设备服 务等； 第九条 商业银行涉及到战略管理和风险管理职能的业务 不宜外包。 商业银行涉及到内部审计职能的业务不宜外包给独立第三 方。 2 第三章 组织架构 第十条 商业银行外包管理的组织架构应包括董事会、高级 管理层及外包管理团队。 第十一条 董事会的职责主要包括以下方面： 审议批准外包的战略发展规划； 审议批准外包的风险管理策略； 批准所有重要业务的外包安排； 定期审阅外包安排的有关报告； 定期安排内部审计，确保审计范围涵盖所有的外包安 排； 第十二条 高级管理层的职责主要包括以下方面： 制定外包战略发展规划，经董事会批准后实施； 制定外包风险管理的政策、操作流程和内控程度，经 董事会批准后实施； 确保重要业务的外包安排在执行前及时向董事会及监 管机构报告； 明确外包管理团队职责，并对其行为进行有效监督。 第十三条 外包管理团队的职责主要包括以下方面： 执行外包风险管理的政策、操作流程和内控制度； 负责外包活动的日常管理，包括尽职调查、合同执行 情况的监督及风险状况的监控； 3 向董事会和高级经营层提出有关外包活动发展和风险 管控的意见和建议； 第十四条 在华外国银行分行进行外包活动时，由管理层承 担相应职责。 第四章 风险管理 第十五条 商业银行应关注外包活动的战略风险、声誉风 险、合规风险、操作风险、国家风险等风险。 第十六条 商业银行重要业务的外包必须经过和得到董事 会的审核批准。 第十七条 商业银行董事会在核准外包业务时，应评价或评 估以下事项： 可能影响服务提供商进行外包业务能力的实际因素； 评价服务提供商的财务实力、技术能力以及业务存量 与流量； 评估服务提供商的风险控制、业绩标准、业务策略、 管理程序、监督过程等方面； 判断服务提供商与银行竞争对手是否存在外包安排； 评估重要业务的业务连续性； 其他关注的事项。 第十八条 商业银行在进行外包活动时应进行尽职调查，尽 职调查时应注重评估服务提供商下述有关内容： 管理能力和行业地位； 4 财务稳健性； 经营声誉和企业文化； 技术实力和服务质量； 突发事件应对能力； 对银行业的熟悉程度； 对其他银行提供服务的情况； 商业银行认为重要的其他事项。 商业银行的外包活动涉及多个服务提供商时，应对这些服务 提供商进行关联关系的调查。 第十九条 所有外包活动务都必须签订书面合同或协议，明 确双方的权利义务。合同或协议至少应该包括以下相关条款： 外包服务的范围和标准； 外包服务的保密性和安全性； 外包服务的业务连续性； 外包服务的审计和检查； 外包争端的解决安排； 未履行责任的赔偿，补救和追索权； 对于具有专业技术性的外包业务，可签订服务标准协议。 第二十条 商业银行董事会和高级管理层应承担分包或转 包的最终责任。本指引中所提到的分包或转包指服务提供商就一 项其外包的经营活动与第三方签约，将这项业务的一部分进一步 外包给第三方。 5 第二十一条 商业银行在服务提供商在分包或转包时，应明 确以下事项： 外包合同或外包协议中应明确设立服务提供商分包或 转包的规则或限制； 分包服务提供商应严格遵守主服务提供商与商业银行 确定的外包合同或协议中的所有条款，包括安全和机密标准与相 关条款； 主服务商应确认在业务进一步分包后继续保证其为服 务水平和系统控制负总责； 应在合同中约定服务提供商不得将外包活动全部转包 或分包。 第二十二条 商业银行在开展跨境外包活动时，应遵守以下 原则： 审慎评估境外国家的经济与政治环境、技术风险以及 境外权限的法律和管制风险； 确保国家秘密、商业秘密和客户信息的安全； 商业银行在选择境外服务提供商时，应明确其所在国家或地 区监管当局已与我国银行业监管机构签订谅解备忘录。 第二十三条 商业银行应制定和建立业务外包的突发事件 应急预案和机制，防范外包活动中断出现的风险，以确保银行业 务的正常经营。 第二十四条 商业银行应至少每年一次委托外部审计机构 6 对外包活动进行全面的外部审计评价。 第五章 监督管理 第二十五条 商业银行在开展外包活动时，应向所在地银行 业监管机构报送以下材料： 外包活动的战略发展规划； 外包活动的风险管理制度； 外包管理的组织架构； 监管部门要求的其他事项； 第二十六条 商业银行开展的重要业务和跨境外包活动应 事先向所在地银行业监管机构报告。报告内容包括但不限于： 外包合同的文本草案； 对服务提供商的风险评估报告； 业务连续性及突发事件应急预案； 外包信息的安全及保密措施。 第二十七条 商业银行在开展业务外包时如遇下列事项，应 及时向所在地银行业监管机构报告： 合同期内终止合同； 突发事件的发生； 服务提供商违反法律、法规的情况； 第二十八条 商业银行应在每年 4 月前向所在地监管机构提 交上一年度外包活动的内、外部审计报告。 第二十九条 银监会及其派出机构定期对商业银行的业务外 7 包活动进行现场检查，并将检查结果纳入对该机构的监管评级。 第六章 附 则 第三十条 城市信用社、农村合作金融机构以及非银行金融 机构参照执行。 第三十一条第三十二条本指引由银监会负责解释。 本指引自发布之日起实施。 8