法律法规知识点汇编
(第十四期)
目录
※商业银行信息科技风险管理指引 (1)
※商业银行业务连续性监管指引 (3)
※银行业金融机构外包风险管理指引 (7)
2014年9月24日
商业银行信息科技风险管理指引
※信息科技风险:是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。(第4条)
多选题:信息科技风险,是指信息科技在商业银行运用过程中,由于下列哪些情形产生的操作、法律和声誉等风险?(ABCD)
A.自然因素
B.人为因素
C.技术漏洞
D.管理缺陷
※信息科技风险管理的第一责任人:商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引贯彻落实。(第6条)
判断题:商业银行董事会是信息科技风险管理的第一责任人。(×)
※信息科技风险管理策略:商业银行应制定全面的信息科技风险管理策略,包括但不限于下述领域:(一)信息分级与保护。
(二)信息系统开发、测试和维护。(三)信息科技运行和维护。(四)访问控制。 (五)物理安全。(六)人员安全。(七)业务连续性计划与应急处臵。(第15条)
多选题:商业银行应制定全面的信息科技风险管理策略,包括但不限于以下哪些领域?(ABCD)
A.信息分级与保护
B.信息科技运行和维护
C.物理安全
D. 业务连续性计划与应急处臵
※岗位制约:商业银行应将信息科技运行与系统开发和维护
分离,确保信息科技部门内部的岗位制约;对数据中心的岗位和职责做出明确规定。(第41条)
单选题:商业银行应将( A )分离,确保信息科技部门内部的岗位制约;对数据中心的岗位和职责做出明确规定。
A. 信息科技运行与系统开发和维护
B. 系统管理和网络
C. 数据库管理系统和网络
D. 硬件管理和软件管理
※大规模系统开发的部门参与:商业银行在进行大规模系统开发时,应要求信息科技风险管理部门和内部审计部门参与,保证系统开发符合本银行信息科技风险管理标准。(第66条) 单选题:商业银行在进行大规模系统开发时,应要求信息科技风险管理部门和( A )参与,保证系统开发符合本银行信息科技风险管理标准。
A.内部审计部
B.财务部
C.业务部
D.监察部
商业银行业务连续性监管指引
※业务连续性管理定义:是指商业银行为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序。(第2条)
※重要业务运营中断事件:是指因下述原因导致信息系统服务异常、重要业务停止运营的事件。主要包括:(一)信息技术故障:信息系统技术故障、配套设施故障; (二)外部服务中断:第三方无法合作或提供服务等;(三)人为破坏:黑客攻击、恐怖袭击等; (四)自然灾害:火灾、雷击、海啸、地震、重大疫情等。(第4条)
※业务连续性管理承担最终责任:董(理)事会是商业银行业务连续性生管理的决策机构,对业务连续性管理承担最终责任。(第10条)
※业务连续性管理的部门职责:商业银行应当明确业务连续性管理执行部门,包括业务条线部门与信息科技部门。业务条线部门负责风险评估、业务影响分析,确定重要业务恢复目标和恢复策略,负责业务条线重要业务应急响应与恢复;信息科技部门负责信息技术应急响应与恢复。(第14条)
多选题:商业银行应当明确业务连续性管理执行部门,包括业务条线部门与信息科技部门。业务条线部门负责( ABCD ),负责业务条线重要业务应急响应与恢复。
A.风险评估
B.业务影响分析
C.确定重要业务恢复目标和策略
D.负责重要业务应急响应与恢复
※重要业务恢复时间:原则上,重要业务恢复时间目标不得大于4小时,重要业务恢复点目标不得大于半小时。(第25条) 单选题:根据业务连续性管理要求,原则上重要业务恢复时间目标不得大于( A )。
A.4小时
B.2小时
C.1小时
D.0.5小时
※业务连续性计划演练频率:商业银行应当至少每三年对全部重要业务开展一次业务连续性计划演练。在重大业务活动、重大社会活动等关键时点,或在关键资源发生重大变化之前,也应当开展业务连续性计划的专项演练。(第49条)
单选题:商业银行应当至少每( D )对全部重要业务开展一次业务连续性计划演练。
A.半年
B.一年
C.二年
D.三年
※新产品开发的业务连续性管理:商业银行在开发新业务产品时,应当同步考虑是否将其纳入业务连续性管理范畴。对纳入业务连续性管理的,应当在上线前制定业务连续性计划并实施演练。(第56条)
单选题:商业银行在开发新业务产品时,应当同步考虑是否将其纳入业务连续性管理范畴。对纳入业务连续性管理的,应当在( A )制定业务连续性计划并实施演练。
A.上线前
B.上线中
C.上线后
D.维护时
※运营中断事件分级(节选):银监会及其派出机构对银行业运营中断事件进行分级。当运营中断事件同时满足多个级别的定级条件时,按最高级别确定事件等级。
(一)特别重大运营中断事件(Ⅰ级)
1.重要信息系统服务中断,或重要数据损毁、丢失、泄露,造成经济秩序混乱或重大经济损失等特别严重损害的事件;
2.在业务服务时段导致一个(含)以上省的多家金融机构业务无法正常开展达3个小时(含)以上的事件;
3.在业务服务时段导致单家金融机构两个(含)以上省业务无法正常开展达3个小时(含)以上,或一个省业务无法正常开展达6个小时(含)以上的事件;
4.业务服务时段以外,故障或事件救治未果、可能产生上述1至3类事件的事件。
(二)重大运营中断事件(Ⅱ级)
1.重要信息系统服务中断,或重要数据损毁、丢失、泄露,对银行或客户利益造成严重损害的事件;
2.在业务服务时段导致一个(含)以上省的多家金融机构业务无法正常开展达半个小时(含)以上的事件;
3.在业务服务时段导致单家金融机构两个(含)以上省业务无法正常开展达半个小时(含)以上,或一个省业务无法正常开展达3个小时(含)以上的事件;
4.业务服务时段以外,故障或事件救治未果、可能产生上述
1至3类事件的事件。
(三)较大运营中断事件(Ⅲ级)
1.重要信息系统服务中断,或重要数据损毁、丢失、泄露,对银行或客户利益造成较大损害的事件;
2.在业务服务时段导致一个省(自治区、直辖市)业务无法正常开展达半个小时(含)以上的事件;
3.业务服务时段以外,故障或事件救治未果、可能产生上述1至2类事件的事件。(第79条)
多选题:下列属于银行业特别重大运营中断事件(Ⅰ级)的是( ABCD )
A.重要信息系统服务中断造成特别严重经济损失的。
B.在业务服务时段导致一个(含)以上省的多家金融机构业务无法正常开展达3个小时(含)以上的。
C.在业务服务时段导致单家金融机构两个以上省业务无法正常开展达3个小时(含)以上。
D.在业务服务时段导致单家金融机构一个省(自治区、直辖市)业务无法正常开展达6个小时(含)以上的事件。
※运营中断报告:按照属地监管原则,银监机构在商业银行运营中断事件发生后2小时内,将事件及处臵情况上报银监会处臵工作小组。(第80条)
判断题:按照属地监管原则,银监机构在商业银行运营中断事件发生后2小时内,应将事件及处臵情况上报银监会处臵工作小组。(√)
银行业金融机构外包风险管理指引
※适用范围:外包是指银行业金融机构将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为。(第3条)
单选题:《银行业金融机构外包风险管理指引》中的外包指银行业金融机构将原来由自身负责处理的某些业务活动委托给(B)进行持续处理的行为。
A. 服务制造商
B. 服务提供商
C. 服务销售商
D. 服务维修商
※外包活动的最终责任主体:银行业金融机构的董事会和高级管理层应当承担外包活动的最终责任。(第4条)
单选题:银行业金融机构的董事会和( C )应当承担外包活动的最终责任。
A.社员代表大会
B.监事会
C.高级管理层
D.外包管理团队
※关联关系调查:银行业金融机构的外包活动涉及多个服务提供商时,应当对这些服务提供商进行关联关系的调查。(第13条)。
单选题:银行业金融机构的外包活动涉及多个服务提供商时,应当对这些服务提供商进行( D )的调查。
A.管理能力
B.盈利能力
C.技术实力
D.关联关系
※不宜外包的职能:银行业金融机构的战略管理、核心管理以及内部审计等职能不宜外包。(第7条)
多选题:银行业金融机构下列哪些职能不宜外包( ABC )
A.战略管理
B.核心管理
C.内部审计
D.绩效系统
※外包服务提供商承诺事项:银行业金融机构在外包合同中应当要求外包服务提供商承诺以下事项:(一)定期通报外包活动的有关事项;(二)及时通报外包活动的突发性事件;(三)配合银行业金融机构接受银行业监督管理机构的检查;(四)保障客户信息的安全性,当客户信息不安全或客户权利受到影响时,银行业金融机构有权随时终止外包合同;(五)不得以银行业金融机构的名义开展活动;(六)银行业金融机构认为应当承诺的其他事项。(第16条)
多选题:银行业金融机构在外包合同中应当要求外包服务提供商承诺以下事项(ABCD)
A. 定期通报外包活动的有关事项
B. 配合银行业金融机构接受银行业监督管理机构的检查
C. 保障客户信息的安全性
D. 不得以银行业金融机构的名义开展活动
※不得转包:银行业金融机构应当在合同中约定服务提供商不得将外包活动转包或变相转包。(第18条)
判断题:银行业金融机构应当在合同中约定服务提供商不得将外包活动转包或变相转包。(√)
XX银行信息科技外包风险管理办法 第一章总则 第一条为了规范XX银行(以下简称“本行”)信息科技外包管理,控制外包服务风险,根据中国银监会《商业银行信息科技风险管理指引》和《银行业金融机构信息科技外包风险监管指引》,结合本行实际,制定本办法。 第二条信息科技外包系指因本行技术人员技术力量不足或特殊情况,将原本由自身负责处理的信息科技活动委托给服务供应商进行处理的行为。 第三条本行外包管理原则包括: (一)自主可控原则。信息科技外包活动以不妨碍核心能力建设、关键技术自主可控为导向。 (二)协调统一原则。符合科技风险管理策略,保持外包风险、成本和效益的平衡。 (三)预防优先原则。审慎管理信息科技外包活动,秉承事前预防重于事后控制、日常防控重于应急处理的原则。 (四)动态优化原则。根据外部监管要求、信息科技发展趋势和本行业务发展需求,持续优化本行信息科技风险外包管理策略和工作机制。 第四条本办法适用于本行与信息科技相关外包活动的管理。 第五条本行的信息科技外包活动应遵守国家相关法律法规及监管部门的相关规定。 第二章组织架构与职责分工 第六条本行外包管理的组织架构包括董事会、信息科技管理委员会、外包风险主管部门、外包管理执行团队、外包管理审计部门。 第七条董事会承担信息科技外包管理的最终责任。主要职责包括: (一)审议批准信息科技外包战略; (二)审议批准外包管理基本制度;
(三)审议批准本机构的外包范围及相关安排; (四)定期审阅本机构外包活动相关报告; (五)银监会信息科技外包风险监管指引要求的其它工作。 第八条高级管理层设信息科技管理委员会,负责全行科技外包工作的日常决策工作。主要职责包括: (一)制定外包战略发展规划; (二)确定外包业务的范围及相关安排; (三)确定科技外包管理团队职责,并对其行为进行有效监督; (四)定期审阅本行外包活动相关报告; (五)指导内部审计部门独立开展外包审计工作; (六)董事会确定的其它职责。 第九条风险管理部门负责制定外包风险管理的制度,组织识别和评估信息科技外包风险,监督、评价外包管理工作,对外包执行情况进行监督检查,定期向高级管理层汇报信息科技外包活动相关风险情况。 第十条外包管理执行团队由信息科技部、计划财务部、法律合规部等相关部门组成。外包管理执行团队具体负责科技外包项目的执行和管理工作,主要职责包括: (一)信息科技部门实施全行信息科技外包管理战略;执行供应商准入、评价和退出管理;制定保障外包服务连续性的应急管理措施;分析和评估外包存在的潜在风险,制定相应的风险防范措施,监督和管理外包实施过程,定期或不定期向风险管理部提交有关外包风险报告、进行风险事件报告。 (二)业务需求部门负责业务需求的整体规划与编写、外包业务可行性评估分析、业务功能及范围选型、业务验收测试、业务推广等工作,并参与项目的实施。 (三)计划财务部门是全行信息科技外包项目招投标工作的组织单位,负责科技外包项目的招投标活动的组织协调工作。
信息科技风险管理办法 第一章总则 第一条为有效防范运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我行各项业务安全、持续、稳健运行,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《商业银行信息科技风险管理指引》、《营口沿海银操作风险管理指引》,以及国家信息安全相关要求和有关法律法规,制定本管理办法。 第二条本管理办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在我行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。 第三条本管理办法所称信息科技风险,是指信息科技在我行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第四条信息科技风险管理的目标是通过建立有效的机制,实现对我行信息科技风险的识别、计量、监测和控制,促进我行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章机构职责 第五条根据我行信息科技治理的要求,法定代表人是本机构信息科技风险管理的第一责任人,负责组织本管理办法的贯彻落实, 董事会应履行以下信息科技管理职责: (一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。 (二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 (三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。 (四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。 (五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。 (六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。
加强业务外包管理防范业务外包风险 ——财政部会计司解读《企业内部控制应用指引第13号——业务外包》 《企业内部控制应用指引第13号——业务外包》所称的业务外包,是指企业利用专业化分工优势,将日常经营中的部分业务委托给本企业以外的专业服务机构或经济组织(以下简称承包方)完成的经营行为,通常包括研发、资信调查、可行性研究、委托加工、物业管理、客户服务、IT服务等。随着社会主义市场发展及国际产业分工呈细化趋势,我国业务外包市场必将有较大发展。适应这种发展趋势,财政部研究制定了《企业内部控制应用指引第13号——业务外包》,对于规范业务外包行为,防范业务外包风险,具有重要的意义。本文就此进行解读。 一、业务外包流程 业务外包流程主要包括:制定业务外包实施方案、审核批准、选择承包方、签订业务外包合同、组织实施业务外包活动、业务外包过程管理、验收、会计控制等环节。如下图所示。该图列示的业务外包流程适用于各类企业的一般业务外包,具有通用性。企业在实际开展业务外包时,可以参照此流程,并结合自身情况予以扩充和具体化。 业务外包基本流程图
二、各环节的主要风险点及管控措施 (一)制定业务外包实施方案 制定业务外包实施方案,是指企业根据年度生产经营计划和业务外包管理制度,结合确定的业务外包范围,制定实施方案。该环节的风险主要是:企业缺乏业务外包管理制度,导致制定实施方案时无据可依;
业务外包管理制度未明确业务外包范围,可能导致有关部门在制定实施方案时,将不宜外包的核心业务进行外包;实施方案不合理、不符合企业生产经营特点或内容不完整,可能导致业务外包失败。 主要管控措施:第一,建立和完善业务外包管理制度,根据各类业务与核心主业的关联度、对外包业务的控制程度以及外部市场成熟度等标准,合理确定业务外包的范围,并根据是否对企业生产经营有重大影响对外包业务实施分类管理,以突出管控重点,同时明确规定业务外包的方式、条件、程序和实施等相关内容。第二,严格按照业务外包管理制度规定的业务外包范围、方式、条件、程序和实施等内容制定实施方案,避免将核心业务外包,同时确保方案的完整性。第三,根据企业年度预算以及生产经营计划,对实施方案的重要方面进行深入评估以及复核,包括承包方的选择方案、外包业务的成本效益及风险、外包合同期限、外包方式、员工培训计划等,确保方案的可行性。第四,认真听取外部专业人员对业务外包的意见,并根据其合理化建议完善实施方案。 (二)审核批准 审核批准,是指企业应当按照规定的权限和程序审核批准业务外包实施方案。该环节的主要风险是:审批制度不健全,导致对业务外包的审批不规范;审批不严格或者越权审批,导致业务外包决策出现重大疏漏,可能引发严重后果;未能对业务外包实施方案是否符合成本效益原则进行合理审核以及做出恰当判断,导致业务外包不经济。 主要管控措施:第一,建立和完善业务外包的审核批准制度。明确授权批准的方式、权限、程序、责任和相关控制措施,规定各层级人员应当在授权范围内进行审批,不得超越权限审批。同时加大对分公司重大业务外包的管控力度,避免因分公司越权进行业务外包给企业带来不
. .. . .. .. 大洼恒丰村镇银行信息科技外包 风险管理办法 大洼恒丰村镇银行信息科技部
变更履历 *变化状态:C——创建,A——增加,M——修改,D——删除
目录 第一章总则 (4) 第二章外包管理组织架构 (5) 第三章信息科技外包战略及风险管理 (6) 第一节信息科技外包战略 (6) 第二节信息科技外包风险管理 (7) 第四章信息科技外包管理 (8) 第一节外包风险评估及准入 (8) 第二节服务提供商尽职调查 (10) 第三节外包服务合同及要求 (10) 第四节外包服务安全管理 (12) 第五节外包服务监控与评价 (13) 第六节外包服务中断与终止 (14) 第八章监督管理 (17) 第九章附则 (18)
第一章总则 第一条为规范我行的信息科技外包活动,降低信息科技外包风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《银行业金融机构信息科技外包风险监管指引》等法律法规,制定本办法。 第二条本办法所称信息科技外包是指我行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。包括以下类型:(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包; (二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包; (三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。 第三条我行应将信息科技外包管理纳入全面风险管理体系,建立与本行信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。 第四条我行在实施信息科技外包时应当坚持以下原则:(一)以不妨碍核心能力建设、积极掌握关键技术为导向; (二)保持外包风险、成本和效益的平衡;
商业银行信息科技风险管理解决方案 本帖最后由 infosec123 于 2009-9-23 17:16 编辑 背景 为加强商业银行的信息科技风险管理,提升信息科技风险管理能力,09年3月份银监会正式发布了《商业银行信息科技风险管理指引》(以下简称《指引》),这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后,银监会发布的又一重要风险管理指引。该指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。它和操作风险、信用风险、市场风险一样,是商业银行面临的主要风险。现阶段商业银行已经基本完成了信息化建设,在金融管制放松、业务全球化、金融创新步伐加快以及信息技术的迅猛发展的大背景下,国际银行业金融机构的信息科技风险有增大的趋势,国际银行业和监管当局都日益重视信息科技与操作风险的管理和监管。目前,国际上宣布实施新资本协议的国家和地区都按照新协议的要求,明确将操作风险纳入资本监管的范畴,而信息科技风险是操作风险的重要组成部分。 需求分析合规性需求: 近年来,国家各部门不断推出了各种监管要求,对IT管控领域也提出了明确的要求。其中与银行业信息科技风险相关的法律、法规与行业监管指引有: 2002年,美国国会发布了SOX《萨班斯[url=; 2004年9月30日,中国银监会发布了[url=; 2006年,银监会发布《电子银行安全评估指引》、《[url=;
业务外包主要风险及其内部控制 业务外包是企业利用专业化分工优势,将日常经营中的部分业务委托给本企业以外的专业服务机构或其他经济组织(承包方)完成的经营行为。业务外包作为一种新的经营模式在企业生产经营中发挥着重要的作用。目前,业务外包活动已经广泛应用于电信、手机、金融等各行各业,为企业降低交易成本、实现规模经济、获取外部稀缺资源、提高经营效率提供了活力。但是由于开展业务外包过程中会面临许多不确定因素,从而给企业的生产经营带来风险。因此企业应当制定和完善业务外包制度,加强业务外包的风险管理,从而有效的规避风险,充分发挥业务外包的优势。 中国论文网https://www.doczj.com/doc/d6832264.html,/2/view-4027895.htm 一、业务外包风险 业务外包在给企业带来收益的同时也产生了风险。从业务外包活动的流程来看,主要包括制定业务外包实施方案、审核批准、选择承包方、签订业务外包合同、组织实施业务外包活动、业务外包过程管理、验收、会计控制等环节。每一个环节组织不当都会给企业带来风险,进而直接关系到其能否为企业带来预期的利润提升和战略目标的实现。 (一)外包业务选择不当风险 在业务外包决策中,企业首先要回答的问题就是选择哪
些业务外包。一般来说,企业应当尽量选择哪些与自身核心业务关联性不大,相对独立的非核心业务进行外包。然而在实践中,公司的核心业务和非核心业务边界不清晰,管理层受制于专业知识和能力所限,有可能将不宜外包的业务外包出去,使企业丧失核心竞争力,这将对企业造成不可估量的严重后果。 (二)外包承包商选择不当风险 外包承包商的选择对于外包业务能否有效开展产生重要的影响。企业对于重要业务的外包没有建立外包承包商的遴选机制,或者确定外包承包商的决策权过于集中,容易导致由于失去权力制衡而产生的商业贿赂;外包承包商定价过高,从而使外包成本超过外包所带来的收益从而使企业遭受损失;缺乏对外包承包商资格审查制度,对承包商的专业能力、财务状况、经营状况以及信用水平等缺乏了解,如果外包承办商不具备相应的专业资质,从业人员也不具备相应的专业技术与职业资格,缺乏从事相关项目的经验,从而导致双方产生严重分歧而陷入法律纠纷。 (三)合同不完备风险 确定承包方后,企业应当及时与选定的承包方签订业务外包合同,约定业务外包的内容和范围,双方权利和义务,服务和质量标准,保密事项,费用结算标准和违约责任等事项。该环节的主要风险是:合同条款未能针对业务外包风险
银行业金融机构信息科技外包风险监管指引 第一章总则 第一条为规范银行业金融机构的信息科技外包活动,降低信息科技外包风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本指引。 第二条在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省(自治区)农村信用社联合社适用本指引。银监会监管的其他金融机构参照本指引执行。 第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。原则上包括以下类型: (一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包; (二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包; (三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。 第四条本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。 第五条信息科技外包可能产生如下风险,并导致银行业金融机构的战略、声誉、合规风险: (一)科技能力丧失:银行业金融机构过度依赖外部资源导致失去科技控制及创新能力,影响业务创新与发展; (二)业务中断:支持业务运营的外包服务无法持续提供导致业务中断; (三)信息泄露:包含客户信息在内的银行业金融机构非公开数据
被服务提供商非法获得或泄露; (四)服务水平下降:由于外包服务质量问题或内外部协作效率低下,使得银行业金融机构信息科技服务水平下降。 第六条本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险,该风险可能造成集中性的服务中断、质量下降、安全事件等。 第七条本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。 第八条银行业金融机构应当将信息科技外包管理纳入全面风险管理体系,建立与本机构信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。 第九条银行业金融机构应当建立信息科技外包管理组织架构,制定外包管理战略,定期进行外包风险评估,通过服务提供商准入、评价、退出等手段建立及维护符合自身战略目标的供应商关系管理策略。 第十条银行业金融机构在实施信息科技外包时应当坚持以下原则: (一)以不妨碍核心能力建设、积极掌握关键技术为导向; (二)保持外包风险、成本和效益的平衡; (三)强调外包风险的事前控制,保持管控力度; (四)根据外包管理及技术发展趋势,持续改进外包策略和措施。 第十一条银行业金融机构在实施信息科技外包时,不得将信息科技管理责任外包。 第十二条对于不涉及银行客户及内部信息转移的信息科技产品采购、维保,及通讯线路租用、支付或清算系统接入等信息科技公共基础设施服务,银行业金融机构应当充分评估其信息科技风险,按照本指引第五章要求进行管理。 第二章外包管理组织架构 第十三条银行业金融机构董事会及高级管理层应当严格落实信息科技外包风险管理的相关职责, 明确信息科技外包风险管理的主管
********商业银行行股份有限公司********银行信息科技风险专项自查报告 ************中心: 为认真贯彻《关于开展2019年度信息科技风险专项检查的通知》精神,充分做好做好国庆期间金融网络和信息系统安全保障工作,防范我行信息科技风险,保障计算机系统运行和操作安全,建立和完善信息科技风险管理机制。根据《****农商银行系统重点业务风险点排查指引(试行)》规定及人民银行、银保监局和公安局关于网络安全保障工作要求。我行由分管信息科技领导、信息技术部组成自查工作小组,于8月19日-23日开展自查工作。现将自查情况汇报如下: 一、总体情况 随着当前信息化建设步伐不断加快,我行各项业务对于信息系统的依赖日益加深,随之而来的系统和网络安全已成为安全管理的关键环节,其中薄弱环节成为信息科技风险的重要内容,网络安全运行工作事关经营、管理大局。从防范科技风险的高度充分认识到加强系统和网络安全运行工作的必要性和重要意义,正确处理了发展与安全的关系,一手抓信息化建设,一手抓风险防范。截至报告日,全行上下已经按照统一标准建立起较完善的网络和信息安全风险防范体系。
二、组织架构、制度建设及管理情况 (一)信息科技治理组织架构 1.强化“三会一层”履职。成立了以高管层和主要业务部门参加的信息科技管理委员会,定期或不定期履行职责,审议信息科技相关重大事件,本年度共计召开信息科技管理会议2次。 2.加大专业人员配备。设立首席信息官。参与我行与信息科技运用有关的业务发展决策,确保信息科技发展战略符合本行的总体业务战略和信息科技风险管理策略。 3.明确部门职责分工。明晰信息科技实施、风险管理及审计职责。信息技术部负责信息科技实施、管理工作,各支行设立兼职或专职计算机管理员,配合信息技术部开展应用推广、故障处理、设备维护工作;合规与风险管理部负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面;内部审计部负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划。 (二)信息科技管理制度建设 1.安全管理方面。对安全管理活动中的各类管理内容建立安全管理制度,制定了由安全策略、管理制度等构成的全面的信息安全管理总则《********商业银行行计算机信息安全管理办法》,安全管理办法经信息科技管理委员会审定,审定周期为一年一次,并且及时发现缺漏或不足对制度进行修订。 2.应急管理方面。建立了较为完善的信息系统应急管理办法《********商业银行行计算机信息系统应急管理办法》,
附件:信息科技风险管理分类应对策略 根据信息科技风险分类情况,以二级风险为限,制定信息科技风险分类应对策略如下: A1.信息科技治理风险应对策略 信息科技治理风险包括三个二级风险:信息科技组织风险、道德文化风险以及人员管理风险。每个二级风险的内容和应对策 略如下: 风险 编号 风险名称风险描述风险应对策略 1.1信息科技组织 在信息科技风险管理机构及专建立完善的信息科技治理架构。以法风险业委员会设置、履职等方面的定代表人为第一责任人,囊括理事 不确定因素,以及在部门/岗位 会、监事会、风险管理委员会、信息 设置、职责划分、垂直归口管 科技风险管理委员会、信息科技部、理等方面的不确定因素所带来 稽核审计部、风险管理部、人力资源的影响。 部、监察部等部门。明确各部门在信 息科技风险管理工作中的职责; 每个部门根据在信息科技风险管 理中的职责设立相应的岗位,合理 分配相应的责、权、利,执行信息 科技风险管理工作; 省联社各部门应指导、监督办事 处、各县级农村合作金融机构相应 部门的信息科技风险管理工作。 1.2道德文化风险在文化培育、融合、再造等过 在建立道德、诚信、公正的氛围,对 程中的不确定因素,以及员工 员工进行相关的培训,作为员工日常 在价值观认同、行为规范遵循 工作的行为准则之一; 等方面的不确定因素所带来的影响。建立畅通的沟通渠道,任何与陕西省农村合作金融机构道德文化标 准的偏离都得到及时和充分的反映,并被立即调查和纠正。 1.3人员管理风险在从人员聘用到离职整个服务 建立完善的人员招聘、培训、考核、 期间内的不确定因素所带来的激励、离职等制度和流程,并确保得 影响。 到有效执行; 加强信息科技风险管理专业人员 配备,提高信息科技风险管理水 平;
信息科技外包风险管理评估报告 XXXXXXXXXX局: 根据指引的文件精神,XXXX有序开展了信息安全外包风险管理工作,XXXX领导对管理系统十分重视,采取相关措施防范信息科技外包风险,认真落实有关规定。现就xxxx年度信息科技外包风险评估情况做如下总结: 一、信息科技外包战略执行情况: (一)XXXX信息科技外包战略:XXXX以不妨碍核心能力建设、积极掌握关键技术为导向;保持外包风险、成本和效益的平衡;强调外包风险的事前控制,保持管控力度;根据外包管理及技术发展趋势,持续改进外包策略和措施为基本战略,通过学习银监会发布的各项制度,结合自身情况实施信息科技外包风险管理。在信息科技外包过程中充分利用评估、排查等手段,建立信息科技外包风险管理体制,明确外包风险管理组织架构以及具体的职责分工,推进对重大信息安全和服务持续性等重点环节的监督,促进信息科技外包风险管理长效性的发展。 (二)执行情况: 1.XXXX为防范信息科技外包风险计划制定专门的信息科技外包风险管理方案。XXXX根据实际情况进行分工,风险管理部负责风险辨识、协助自查、编写制度、制作报告,信息部负责系统监测、制度
设定、以及系统数据评估和风险识别。 2.针对信息科技外包风险管理面临的风险,结合过往工作经验,XXXX根据外包商的注册资金、项目经验、企业延续性、过往合作关系等相关资质,在与外包商签订合作协议前对其风险等级进行初步评估,具体评估标准如下: 3. XXXX专门针对信息科技外包风险评估工作制定了《信息科技外包风险评级表》,根据外包商项目服务期间及后期验收的具体情况,结合自身信息科技专业知识,按季度对现有外包商进行风险评估,并将评估结果记入该表。风险管理部根据法律法规对风险评级表结果进行复核,撰写《信息科技外包风险管理工作评估报告》,提出管理意见向XXXX管理层和北京银监局汇报。 二、外包信息安全: (一)外包信息安全工作情况 1.信息安全组织管理:XXXX任命信息部XXX 为具体负责人,专职负责对外包商服务全过程进行管理。
贷款催收外包业务风险及防范 个人消费贷款具有笔数多、金额小、客户群体复杂等特点,银行贷后管理人员相对较少,信息量小,近年来,商业银行因内部控制存在薄弱环节和外部信用环境差,产生了大量不良个人消费贷款,传统的清收方法耗时长,成本高,效果不明显,已不能满足清收需要,因此,部分银行将不良消费贷款外包清收。 一、当前外包清收模式及风险控制方法外包,是指金融机构将自身提供的服务交由外部服务商的一种安排。目前银行外包清收不良个人消费贷款的品种主要包括个人住房按揭贷款、汽车消费贷款、助业贷款、装修贷款、工程机械贷款等,清收不良贷款的范围主要是可疑类和损失类贷款。当前的外包清收及风险控制主要有以下两种模式。 (一)完整外包模式。外包清收的前台实施部门具体负责不良资产包的选定、外包公司准入、协议签署及执行过程中的风险控制;后台管理部门负责外包业务的监督、检查以及向管理层汇报等工作;银行决策部门负责制订清收决策,对外包业务风险及实施情况进行总结评价。外包公司作为具体清收机构,负责对不良资产调查摸底、风险排查和清收管理工作。具体风险控制过程如下:前台部门每天与外包公司进行账务核对,定期对外包公司实地检查;后台部门定期对前台和外包公司检查,针对清收工作出现的问题与潜在的风险,提出解决方案,指导、协调清收工作;管理层定期对外包业务实施情况进行总结和风险评价,并制订相应风险控制决策。 (二)部分外包模式。有的银行外包业务处于尝试阶段,发生的业务量较小。由不良个人消费贷款管理部门----零售业务部负责对外包清收业务进行统一管理,与外包公司签订风险代理协议,委托其进行前期调查,信贷人员与外包公司人员共同进行清收。 二、外包清收成效及优点经过一段时间的实践,实施外包清收的银行都取得了较好效果。如某银行个人不良消费贷款笔数多,金额大,贷后管理人员少,一个信贷人员少则管理几百户,多则管理上千户,每天忙于电话催收,根本谈不上实地催收,2005年上半年汽车消费贷款风险全面爆发后,该行贷后管理工作更是雪上加霜。2005年7月,该行对1028笔14967万元不良贷款清收和部分贷款风险情况调查工作实施了外包。截至2005年底,外包公司共清收压缩不良贷款7151万元,不良贷款回收率为47 78%,并对5635笔可能存在问题的贷款进行了风险排查,实行逐户催收,客户还款意愿明显增强。实施不良贷款外包清收政策的优点主要体现在以下几方面: 一是可以使银行专注发展核心业务,解决银行贷后管理人员相对较少的问题。使银行有更多的精力专注个贷业务真实性调查和实质性审查,加强准入关风险控制,规范个贷业务发展;二是节约了催收成本支出。某银行通过成本核算,认为与自身催收相比,外包清收节约了350多万元催收成本;三是利用外包公司具备的专业清收信息管理系统、清收手段和清收团队,可以对不良个人消费贷款进行分类管理和动态监测,加强了贷后监控和风险管理。 三、当前外包业务中存在的问题及潜在的风险 (一)外包业务内部控制制度建设有待加强。银行外包业务管理办法不够细化,缺乏立项、可行性研究、审批及执行监控等环节规定,特别是缺乏具体的实施细则和操作流程以及分析统计制度、执行监督制度、应急报告制度和后评价制度。如在准入执行程序方面,对外包公司的准入程序和标准定性方面的规定较多,定量
如何控制软件项目外包中的风险 中国软件行业一方面紧跟世界潮流,技术与模式日新月异,另一方面具有中国特色,行业与地域存在壁垒。作为品牌和实力正处于培育发展阶段的软件公司,在市场拓展过程中为了克服积累不够或水土不服等弱点,实现“利润最大化,成本最小化”,把自己不擅长或非发展方向的项目进行外包是非常普遍的现象。 软件项目外包其实质是软件开发过程从公司内部部分或全部延伸到公司外部的管理规范与管理技术。与内部实施相比,管理难度有过之而无不及。在实践中,也有很多公司在外包之初,设想得很好,以为可以一包了之,但最终却落得个钱花了不少,项目却一点也推不动,或者拿到的根本就不是所想要的。 为了促进探索企业在软件项目外包管理的规范化,本文结合笔者所在的公司在外包项目中得失,对如何成功地达到软件项目外包的目标,以及相关的策略、监理等要素进行分析,谨供参考。 外包中的监理 欧美企业愿意向印度、爱尔兰、中国等软件生产“蓝领”国家进行软件外包时,并非意味着它们不能开发,而是他们不开发,原因很简单,就是节省成本和控制质量。此类外包的发包方位处强势,全程可控,也形成了严格而规范的流程。而回首国内企业的软件工程外包,背景就复杂得多。 有的是“主动外包”,强势出击,客户可控;有的是“被动外包”,策略联盟,短板受制;有的则是“绑架外包”,客户指定,余地甚微。面对不同类型的外包动机,我们在讨论外包风险时容易陷于甲方店大欺客或丙方反仆为主之类的表象,缺乏对外包目标的准确定位。目标不明,导致以监理为核心的外包管理很容易“左倾”控死(丙方)和“右倾”失控(于丙方),最终结果是无法向甲方兑现自己作为乙方的承诺。 因此,因此我们进行软件工程项目外包时,一定要根据动机类型,结合甲方丙方特点,理清目标定位。继而选择监理策略,确定监理规范与流程。公司通过外包要达到的主要目标可以分为: 1、求名。为了打开行业局面,取得战略突破,在竞标过程中一切为了“中标”,甲方指定能接受。可以无实,但必须有名。中标后非不为,实难为,必须外包。监理的策略底限应该是尽量避免项目失败,控制资本面的风险。 2、追求利润。该软件工程非公司长期发展方向,中标后非难为,实不为。寻求外包,降低成本,获取软件工程项目边际利润。或者整体中标,硬件盈利,软件外包。监理的策略是里程碑产品质量可控,及时发现问题。 3、技术经验。该软件工程为公司发展方向,但技术层面存在“短板”。外包的目标是通过监理掌握技术,吸收精华。监理策略是组成内部项目团队,技术层面全过程跟踪。行评审审核之名,图技术学习之利。 4、行业业务。该软件工程为公司发展方向,但业务流程模型需要借鉴。与追求技术经验类似,监理策略是组成内部项目团队,技术与业务全程跟踪,通过监理学习先进的行业业务理念与模型等。监理的目标是软件工程的可重复。 显然,不同的项目条件不同,追求的目标不一样。我们在策划外包时,首先应该根据项目具体情况和公司战略取向,确定要达到主要目标。再来策划具体的范围、进度、成本、质量、风险等关键过程域和知
业务外包主要风险及其内部控制三篇 第1条 业务外包的主要风险及其内部控制业务外包的主要风险及其内部控制业务外包是企业利用专业化分工,将其部分日常业务委托给企业外部的专业服务机构或其他经济组织(承包商)的一种业务运作。 外包作为一种新的商业模式,在企业的生产经营中发挥着重要的作用。 目前,外包活动已经广泛应用于电信、手机、金融等行业,为企业提供活力,降低交易成本、实现规模经济、获取外部稀缺资源、提高运营效率。 然而,由于外包过程中的诸多不确定因素,给企业的生产经营带来了风险。 因此,企业应制定和完善外包制度,加强外包风险管理,从而有效规避风险,充分发挥外包优势。 1 、外包风险外包给企业带来好处的同时也带来了风险。 从外包活动的流程来看,主要包括以下环节:制定外包实施计划、审批、承包商选择、签订外包合同、组织实施外包活动、外包流程管理、验收、会计控制等。 各环节组织不当会给企业带来风险,这直接关系到能否给企业带来预期的利润增长和战略目标的实现。 (1)外包业务选择不当的风险在外包业务决策中,企业应该
首先回答的问题是外包哪些业务。 一般来说,企业应该尽最大努力选择与核心业务关系不大、相对独立于外包的非核心业务。 然而,在实践中,公司核心业务和非核心业务的界限并不明确,管理层受到其专业知识和能力的限制。不适合外包的业务有可能被外包,从而使企业失去核心竞争力,这将给企业带来不可估量的严重后果。 (2)外包承包商选择不当外包承包商的选择将对外包业务的有效发展产生重要影响。 企业没有建立重要业务外包的外包承包商选择机制,或者外包承包商的决策权过于集中,容易因失去权力平衡而导致商业贿赂。外包承包商定价过高,从而使外包成本超过外包带来的收益,从而给企业造成损失。外包承包商缺乏资质审查制度,对承包商专业能力、财务状况、经营状况和信用水平缺乏了解等。如果外包承包商不具备相应的专业资质,员工不具备相应的专业技术和专业资质,且缺乏相关项目的经验,导致双方存在严重分歧并陷入法律纠纷。 (3)在确定不完全合同风险的承包商后,企业应及时与选定的承包商签订外包合同,约定外包的内容和范围、双方的权利和义务、服务和质量标准、保密事项、成本结算标准、违约责任等事项。 这一环节的主要风险是合同条款未能对外包风险做出明确约定,承包商违约责任未明确界定,导致企业陷入合同纠纷和诉讼。外包合同价格不合理或成本过高,给企业造成损失。
信息科技风险管理报告 根据《银行业金融机构全面风险管理指引》《**农村商业银行股份有限公司董事会议事规则》及有关要求,现将**(以下简称“本行”)2019年度信息科技风险管理报告报告如下。 一、2019年基本情况 按照《**农村商业银行股份有限公司岗位职责》,本行信息科技管理工作归口于电子金融部,设信息系统维护岗2人。成立了计算机信息安全管理工作领导小组和信息系统重大突发事件应急管理领导小组等,组织架构齐全。 二、2019年主要工作 (一)内部控制工作。本行结合内部控制评价工作对相关的科技管理制度和操作规程进行梳理和归类,及时修改相关制度办法,使其具有系统性、可操作性。现执行的制度有《**农村商业银行股份有限公司信息系统设施设备管理办法(试行)》、《**农村商业银行股份有限公司信息系统数据安全管理办法(试行)》、《**农村商业银行股份有限公司员工介质管理办法》、《**农村商业银行股份有限公司信息系统突发事件应急预案(试行)》、《**农村商业银行股份有限公司便携式移动金融服务终端管理暂行办法》等规章制度。 (二)系统管理工作。信息系统由**省农村信用合作联社开发、测试和维护,我行对全辖机具设备和线路进行调试、维护和管理,确保信息系统的正常运行。一是省中心已对数据建立异地
灾备,保证极端情况下生产系统正常运行。本行进行了各系统在不同运营商线路切换的演练。二是关注系统安全漏洞最新情况,及时对新发现的安全漏洞打上安全补丁,目前系统已是最新最完整版本,已安装了最新补丁。三是系统均安装了省联社指定桌面管理系统和病毒查杀软件,对病毒、恶意代码进行安全防护。同时,严格控制操作人员在机器上运行可能携带恶意代码、病毒的脚本的外来第三方软件。 (三)设备管理工作。本行对业务设备领用、报废进行全流程管理。设置有一名专职科技人员对业务设备进行日常巡检、维护、更换,确保业务设备不掉线及正常工作。科技人员按照规定对计算机进行必要的设备日常监测、检查、记录,并及时掌握设备的运行状况。通过查阅ITSM管理平台,及时受理各网点提交的系统运行故障、业务处理差错、业务需求申请等业务工单,对其审核后,提交相关部门处理。对营业网点上报的网络故障信息及时给予电话指导或现场处理。 (四)机房管理工作。本行使用电信、移动、联通终端设备,路由器和交换机均放置总行三楼机房,机房场地、安全通道、防水等符合机房建设要求,灾害防御措施完善、设备齐全,供配电系统、空调系统、机房防雷和消防系统符合相关技术要求。 (五)安全管理工作 1.网络安全工作。我行将外网与生产网络实行物理隔离,对所有进入内网的终端均进行绑定,路由器远程登录采取ssh认
. 信息科技外包风险管理评估报告 XXXXXXXXXX局: 根据指引的文件精神,XXXX有序开展了信息安全外包风险管理工作,XXXX领导对管理系统十分重视,采取相关措施防范信息科技外包风险,认真落实有关规定。现就xxxx年度信息科技外包风险评估情况 做如下总结: 一、信息科技外包战略执行情况: (一)XXXX信息科技外包战略:XXXX以不妨碍核心能力建设、积极 掌握关键技术为导向;保持外包风险、成本和效益的平衡;强调外包风险的事前控制,保持管控力度;根据外包管理及技术发展趋势,持续改进外包策略和措施为基本战略,通过学习银监会发布的各项制度,结合自身情况实施信息科技外包风险管理。在信息科技外包过程中充分利用评估、排查等手段,建立信息科技外包风险管理体制,明确外包风险管理组织架构以及具体的职责分工,推进对重大信息安全和服务持续性等重点环节的监督,促进信息科技外包风险管理长效性的发展。 (二)执行情况: 1.XXXX为防范信息科技外包风险计划制定专门的信息科技外包风险 管理方案。XXXX根据实际情况进行分工,风险管理部负责风险辨识、
协助自查、编写制度、制作报告,信息部负责系统监测、制度设定、以及系统数据评估和风险识别。 页脚. . 2.针对信息科技外包风险管理面临的风险,结合过往工作经验,XXXX 根据外包商的注册资金、项目经验、企业延续性、过往合作关系等相关资质,在与外包商签订合作协议前对其风险等级进行初步评估,具体评估标准如下: 3. XXXX专门针对信息科技外包风险评估工作制定了《信息科技外包风险评级表》,根据外包商项目服务期间及后期验收的具体情况,结合自身信息科技专业知识,按季度对现有外包商进行风险评估,并将评估结果记入该表。风险管理部根据法律法规对风险评级表结果进行
商业银行业务外包的风险体现及审计对策研究银监会自2005年开始允许国内金融机构业务外包,2006年发布的《电子银行业务管理办法》与《银行金融机构信息系统管理指引》两文件中对外包业务以及风险已有所提及。今年6月7日,银监会正式发布并实施的《银行业金融机构外包风险管理指引》,涵盖了银行业外包的方方面面,是我国第一份专门针对商业银行外包进行规范的文件。尤其是在总则中明确提到“银行业金融机构的战略管理、核心管理以及内部审计等职能不宜外包”、“定期安排内部审计,确保审计范围涵盖所有的外包安排”,反映了内部审计的重要性以及对外包业务风险控制应该发挥的作用。笔者结合近年参与实施外包业务管理审计的认识,对商业银行的外包业务风险及审计对策进行了总结,供内部审计同仁参考。 一、商业银行业务外包的涵义商业银行业务外包是指“银行业金融机构将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为。服务提供商包括独立第三方,银行业金融机构母公司或其所属集团设立在中国境内、外的子公司、关联公司或附属机构。”1[1]商业银行采取业务外包策略往往基于以下考虑:降低营运成本、转移操作风险;提高产品或服务质量和效率、提升客户满意度;克服资源有限性、增强银行核心竞争力等。 二、国内外商业银行外包业务现状国外的商业银行业务外包首先从信息技术外包开始,主要涉及银行通信网络管理、银行信息系统管理、应用系统开发和维护、系统备份、灾难恢复、自助服务、呼叫中心、网上银行等新型业务处理系统以及数据分析系统、办公自动化系统等,更多属于业务处理环节的外包;第二阶段是分段业务流程的外包,将支持银行内部的运作或客户的后端服务切分成相对完整的流程段后整体外包,甚至包括整个IT系统的外包,而不仅限于某项具体的任务外包。通过所谓业务流程的优化组合,银行保留优势核心的流程段、外包非优势外围的流程段,以获得更高商业价值、更有效率的运作模式。当前,随着世界银行业的发展和银行业务的不断创新,各个层面上的专业专注组合构成了商业银行的核心竞争力,单一银行独立的业务全流程研发往往不足以确保竞争优势,导致很多银行尤其是中小银行将研发环节外包给专门的研发中心,即知识处理外包。 相对于国外,国内商业银行的外包业务起步较晚,初始阶段的尝试、摸索是从后勤服务剥离、信息技术开发部分模块外包开始的,如90年代现金社会化押运、2002年深圳发展银行灾难备份支援服务外包等。至今,国内商业银行在以下方面已有了外包实践,大部分尚处于业务处理环节的外包阶段。 1.信息技术类外包。具体为信息技术应用开发外包(指委托外包服务商对银行应用开发项目的设计、开发和推广实施)、信息系统运行维护外包(指委托外包服务商对银行应用系统日常的巡检、技术支持等运维工作)、信息技术基础设施运行维护外包(指委托外包服务商为银行信息技术基础设施提供日常的故障维修及巡检等运维工作)、自助银行设备保养(指委托外包服务商为银行自助设备提供日常的故障维修及软件升级等运维工作)。 2.营运业务类外包。主要包括会计凭证影像信息采集、会计档案整理、对账单制作与寄递、会计资料运送、会计档案集中保管、后台信息录入和现金清分整点等。 3.专业性服务类外包。主要包括现金押运、金库守押、报警服务、营业网点安保、法律事务等。 4.业务处理程序外包,主要包括个人信贷业务客户身份及亲笔签名的核对、信用卡客户资料的输入与装封、不良贷款催收、柜面服务质量监测、手机银行营销、特约商户发展、电话推广营销等。
浅谈银行业信息科技外包风险及管理 发表时间:2018-08-13T11:29:51.117Z 来源:《基层建设》2018年第20期作者:蔡志刚 [导读] 摘要:随着社会经济的快速发展,信息技术扮演着越来越重要的作用,而且银行业也对信息技术的依赖不断加深,因此银行业的安全和国家金融体系的稳定直接受到银行信息系统的安全性、稳定性和高效性的影响。 盘谷银行(中国)有限公司 200002 摘要:随着社会经济的快速发展,信息技术扮演着越来越重要的作用,而且银行业也对信息技术的依赖不断加深,因此银行业的安全和国家金融体系的稳定直接受到银行信息系统的安全性、稳定性和高效性的影响。 关键词:银行信息;科技外包;风险; 一、银行信息科技外包策略及现状 随着经济的快速发展,我国银行近几年业务发展迅速,科技力量不足的矛盾日益突出,基于信息科技战略、外包市场环境、自身风险控制能力制定了“保持核心技术能力,适度引进外包,防控外包风险”的科技外包策略。具体来说,在开发外包方面,坚持核心银行系统自主开发,重要系统采用合作开发模式、内部管理系统购买业内成熟产品进行客户化,在安全及运维外包方面,优先考虑国产化的外包服务,如信息安全系统首选国内产品。网络、PC服务器及储存等设备在开发测试环境尝试使用国产化产品,逐步破解“核心技术受制于人”的难题,提高自主可控能力。 信息科技外包工作的开展,解决了银行自身信息科技人员不足的问题,使我行能够在较高的起点实施项目,从而实现信息化建设的跨越式发展提供了有力支撑。与此同时,我们也发现在外包管理工作中,存在信息科技外包管理体系有待完善、外包风险意识需要进一步加强、外包管理相对粗放、对服务商的约束机制还不到位等问题。 二、银行业信息科技外包所面临的风险 2.1 银行业务发展战略与外包服务不匹配的风险 如果银行在选择外包服务商时,并没有实践的进行考察和精密的评估,而任意选择一个外包商,这会致使外包项目以及银行业务想要发展的策略出现不匹配的现象,因此,会给银行的稳定发展带来一定影响,这样的外包项目如果外包出现,银行发现了存在的风险隐患,这时如果想要终止合同,银行就必须要给服务商赔偿很多的违约金作为赔偿,要想再跟服务商建立信息科技外包服务就一定要支付比以前更多的费用,服务商有可能会考虑再次合作的事宜,因此,如果外包与银行业务发展不匹配的战略风险会给银行今后的发展带来很大的影响。 2.2外包服务商提供服务无法达到标准的风险 外包商在提供服务的时候,往往会出现很多不同的问题,对这些存在的问题如果不积极采取有关措施会给银行业务带来风险,经常出现的业务有下文几种: 2.2.1当前,外包服务商的服务水平经常会受到物力和人力以及整体实力等因素的影响,不能达到银行合同标准的服务水平。 2.2.2如果银行没有给客户更优质的服务水平,会致使客户对银行的整体服务标准十分不满意,使银行丢失更多的客户。 2.2.3目前,有个别的服务商在接受工作后,并没有按照银行的要求去做,又或者去做一些违反法律法规的事,给银行的信誉造成很大的不良信誉,严重的导致银行遭受巨大的损失。 2.2.4很多服务商会因为技术问题,又或者是维护时的问题而发生一些不必要的矛盾,从而导致银行系统设备不能正常工作,致使银行的办事效率降低,这样会极大的引起客户的不满意。 2.3选择外包商的风险 该风险的出现主要是由于银行在选择外包商时没有经过充分考察、评估,以及对他们服务水平、技术水平、财力水平等都没有整体进行评估,而是单纯的只关注某一方面的特点,根本没有将IT外包的整体服务水平考虑进去,最后选择了服务水平质量不高的外包服务商。 2.4制定外包合同的风险 银行跟外包商签订合同的时候,一定要进行详细的了解并且实地进行全面的科学考察,如果没有经过全面、科学的考虑,银行将会在遇到意外或问题时处于非常被动的地位,因为这种片面的评估,将会使服务商的服务水平、服务标准以及在将会发生故障时得不到最好的服务。这同样也是我国目前大多银行在外包合同执行期间所面临的共同问题,服务商不能很好的执行服务,甚至有些技术根本就不能过关,对日常的检查也是不能按时执行,这些现象的发生将会在很大程度上导致银行的服务水平降低,工作效率也会出现明显的降低,来给银行的利益造成很大的损失。 2.5重要信息遭到泄露的风险 当前外包服务商受其整体综合实力不高的影响,没有完善的法律法规体系,致使有些工作人员在向银行提供服务时,把银行内部一些非常重要的机密信息泄露出去,给银行的声誉和发展造成巨大损失的潜在风险,即重要信息遭到泄露的风险。由于这种风险的涉及面非常广泛,并且不很难有效控制,因此相对而言其有较高的发生概率。 2.6知识产权的风险 这类风险主要包括以下几个方面:一是外包服务中开发技术的专利;二是版权的归属问题;三是源代码的归属问题,等等这些都是银行在和外包服务商签订协议时没有法律规定的,而且如果合同中存在一些不恰当的规定或者是没有进行详细的规定,这些问题都会给以后的合作过程带来很大的纠纷。 三、银行业信息科技外包风险管理 3.1建立信息科技外包服务管理机构 目前,银行业金融机构在外包过程中,仅当外包商选择或发生了法律纠纷时,才成立临时性机构来处理相关外包事务,管理机构的缺失给外包服务的管理和监督带来不便,无法充分保障外包服务的质量。 信息科技外包服务管理机构应该建立健全外包服务管理相关制度,做到对外包服务相关事务的处理有制度可依循,防范在外包立项、审批、采购、实施、服务过程中出现的各种风险。 控制外包服务项目预算经费;核查外包服务项目与金融机构发展趋势、信息科技外包战略是否一致;在筛选服务供应商时,国产供应