银行外包风险管理建议模版.docx

《银行外包风险管理建议模版.docx》由会员分享，可在线阅读，更多相关《银行外包风险管理建议模版.docx（7页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、IT外包风险管理建议（信息技术部年）第一章 总则第一条 为深化信息技术部对IT外包风险的管理，建立规范的IT外包风险管理体系，实现对IT外包风险的识别、计量、处置、监测与监控，提升I外包风险管理能力，结合科技部外包管理有关规定，特拟定本管理建议。第二条 本管理建议适用于信息技术部内负责外包项目承接、管理与监督的各部室。第三条 本管理建议所称T外包是指信息技术部将原本由自身负责处理的信息科技活动委托给供应商进行处理的行为,包括（但不限于）开发、测试、运维、咨询、产品采购、人力外包、自助设备维护等领域。第四条 本管理建议所称IT外包风险是指在T外包的执行与管理过程中,因自然因素、人为因素、技术漏洞

2、和管理缺陷所致使的科技能力丧失、业务中断、信息泄露、服务水平下降等风险,主要分布在组织环境层面、外包流程层面、操作管理层面及各领域的专有流程层面,并可能致使战略、声誉、合规等风险。第二章 有关方及职责第五条 本管理建议中的外包风险管理方包括信息技术部高管层、安全内控室、外包管理室、运行调度室、系统支持室、安全管理室等,外包项目承办方主要为所有目实施团队。外包风险管理方及外包项目承办方应当严格贯彻IT外包风险管理的有关职责。第六条 外包风险管理方主要职责包括:（一） 拟定I外包风险管理策略;（二） 拟定并审议IT外包管理流程及制度；（三） 牵头对外包风险进行识别、评估与风险提示;（四） 监督、评

3、估外包管理工作,并督促外包风险管理的处置与延续改善；（五） 向高级管理层定时报告IT外包服务开展有关风险管理情形。第七条 外包项目承办方主要职责包括:（一） 执行T外包风险管理策略；（二） 执行外包风险的识别、评估与处置工作，监督与推进外包服务执行的合规性；（三） 对外包服务的风险管理进行分析，定时向外包风险管理方报告外包服务情形。第三章 IT外包风险管理第八条 I外包风险管理包括风险识别、风险分析与评估、风险处置、风险监控及风险报告的全生命周期管理。应贯穿于信息科技日常管理工作中,长期管控外包风险。第一节 风险识别第九条 应对IT外包服务的流程及日常操作管理,进行充份的IT外包风险识别。第十

4、条 在外包管理流程发生较大变化或外包项目发生重大变更时,应及时识别变化所带来的新风险。第十一条 对于IT外包风险事件影响程度较大或发生频率上升较快的外包项目，应及时进行IT外包风险的再识别。第十二条 外包风险的识别包括以下来源:（一） 国际通用或行业认可的信息科技监控标准及认证体系(如COBI、ISO2701、CMMI-AC等)以及行业最佳实践；（二） 国内外银行业监管指引的要求；（三） 行业过往信息科技安全事件及风险提示；（四） 信息技术部所面临的内部因素(如战略目标、人力资源、组织架构、业务流程等)和外部环境因素(如技术进步、法律法规变化、*场结构调整、行业变化等）。第二节 风险分析与评估

5、第十三条 将不考虑内部监控结构前提下而存在的外包风险定义为固有风险。第十四条 依照IT外包风险所属流程对固有风险进行归类,形成T外包风险监控矩阵（见附件0）中的风险信息,并对固有风险发生的可能性、风险的影响程度进行分析与评估，得出固有风险等级(见附件0）。第十五条 对 “高集中度供应商”、“行业重点供应商”以及“重要非驻场供应商”等特殊属性的风险,应在外包风险监控矩阵中单独作为一个流程进行风险监控。第三节 风险处置第十六条 建立T外包管理制度及所有细化的管理办法，规范外包服务的管理流程，明确各室组对外包服务管理的角色与职责。第十七条 建立IT供应商合规手册,将手册在供应商第一次进场时进行发放，

6、并对其进行安全培训,确保供应商知晓其应当履行的在IT外包风险管理中的义务。在供应商在外包服务过程中,针对其可能出现的信息科技风险，进行流程管理和日常行为的规范。第十八条 结合外包管理办法及IT供应商合规手册中的相应监控措施,针对外包风险实施有关系统安全加固工作。第四节 风险监控第十九条 建立供应商风险考核机制，监督供应商义务的履行情形:（一） 对供应商的合规情形和违规整改情形的检查工作,以定时自查上报(见附件0)及不定时抽查等形式开展，对供应商违反T供应商合规手册的行为进行记录与汇总;（二） 建立供应商风险考核评分机制，对违规行为进行计量与扣分，并指定专人对供应商的得分进行维护与更新；（三）

7、建立供应商风险考核应用体系，针对供应商违规扣分的情形，明确相应的处罚机制及培训机制。第二十条 建立关键风险指标日常监控机制,定时监控风险状况及变化趋势: （一） 依照各关键风险指标的统计频率，收集用于指标计算的基础数据后计算指标值(见附件05），并依据有关已设定的阈值标准判定指标所属区域(容忍区、预警区、干预区);（二） 建立关键风险指标报告机制，上报关键风险指标计算及判定结果,并针对落在预警区和干预区中的指标提出详细应对方案；（三） 贯彻应对方案，并对其效果进行跟踪、报告。第二十一条 依据供应商风险考核的结果及关键风险指标的监控情形,判定IT外包风险监控的执行情形,计入IT外包风险监控矩阵(

8、见附件0）的评估结论部分。将经过监控后的风险定义为剩余风险，计算剩余风险级别（见附件03），并延续进行同比或环比的跟踪。第五节 风险报告第二十二条 建立IT外包风险的报告机制和沟通渠道，外包风险管理方每年在开展外包风险管理评估工作后,须向管理层提交年度IT外包风险评估报告。第二十三条 每年须向中国银监会或其派出机构报送年度IT外包情形报送材料,包括:（一） 年度外包风险评估报告;（见附件0)（二） 年度行业重点供应商风险评估报告;（见附件07）（三） 本年度内正在执行或终止的重要外包服务情形(见附件08）,包括：1. 外包服务名称;2. 外包服务重大事件情形;3. 外包服务变更情形；4. 本期终止的，还应当提供外包服务评估;（四） 银监会规定的其他材料。附件01:外包风险监控矩阵附件02：T外包风险管理-固有风险分析附件0:IT外包风险管理-剩余风险分析附件0:IT外包风险自查报告表附件0：外包关键风险指标附件0:年度IT外包风险评估报告附件0:年度行业重点供应商风险评估报告附件8:本年度内正在执行或终止的重要IT外包服务情形报告表(以监管机构未来实际发放的报告表为准)