銀行信息科技外包風(fēng)險(xiǎn)評(píng)估工作實(shí)施方案

1、銀行信息科技外包風(fēng)險(xiǎn)評(píng)估工作實(shí)施方案 為深入了解和掌握信息科技外包風(fēng)險(xiǎn)狀況，促進(jìn)信息科技外包健康發(fā)展，有力推動(dòng)信息科技外包風(fēng)險(xiǎn)管理長(zhǎng)效機(jī)制建設(shè)。根據(jù)銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引、河南銀監(jiān)局辦公室轉(zhuǎn)發(fā)中國(guó)銀監(jiān)會(huì)辦公廳關(guān)于開(kāi)展信息科技外包風(fēng)險(xiǎn)專項(xiàng)治理工作的通知（豫銀監(jiān)辦發(fā)2013109號(hào)）要求，我行決定對(duì)信息科技外包進(jìn)行風(fēng)險(xiǎn)評(píng)估。現(xiàn)結(jié)合我行信息科技外包實(shí)際，特制定本實(shí)施方案。 一、評(píng)估的背景和目標(biāo) （一）開(kāi)展信息科技外包風(fēng)險(xiǎn)評(píng)估的背景。目前個(gè)別銀行由于信息科技項(xiàng)目外包，銀行疏于管控，缺乏有效控制，外包機(jī)構(gòu)技術(shù)保障不足，造成客戶信息泄露，資金安全面臨風(fēng)險(xiǎn)。另外，外包服務(wù)中斷，易形成數(shù)據(jù)丟失

2、風(fēng)險(xiǎn)。為控制風(fēng)險(xiǎn)，我行擬通過(guò)有步驟地、循序漸進(jìn)地推進(jìn)信息科技外包風(fēng)險(xiǎn)評(píng)估，全面識(shí)別目前面臨的主要風(fēng)險(xiǎn)和潛在風(fēng)險(xiǎn)，針對(duì)不同環(huán)節(jié)出現(xiàn)的風(fēng)險(xiǎn)和風(fēng)險(xiǎn)程度及時(shí)采取措施，有效防控風(fēng)險(xiǎn)，構(gòu)建科學(xué)的風(fēng)險(xiǎn)管理機(jī)制。 （二）開(kāi)展信息科技外包風(fēng)險(xiǎn)評(píng)估的意義。 通過(guò)開(kāi)展信息科技外包風(fēng)險(xiǎn)評(píng)估，可以從制度、流程、協(xié)議等方面查找并發(fā)現(xiàn)我行主要外包項(xiàng)目存在的缺陷和不足，并通過(guò)完善制度、優(yōu)化流程、修改協(xié)議等措施，提高我行信息科技外包整體風(fēng)險(xiǎn)防控能力。 （三）評(píng)估目標(biāo)。 1、清查信息科技外包領(lǐng)域已發(fā)生的各類風(fēng)險(xiǎn)事件，收集損失數(shù)據(jù)，深入分析導(dǎo)致風(fēng)險(xiǎn)事件發(fā)生的內(nèi)外部原因。 2、以風(fēng)險(xiǎn)為導(dǎo)向，全面排查信息科技外包項(xiàng)目運(yùn)行中存在的各類風(fēng)

3、險(xiǎn)隱患，查找風(fēng)險(xiǎn)管理中存在的各種問(wèn)題。 3、在定性定量分析風(fēng)險(xiǎn)事件和損失、風(fēng)險(xiǎn)隱患、風(fēng)險(xiǎn)管理情況的基礎(chǔ)上，判斷未來(lái)內(nèi)外部環(huán)境改變后風(fēng)險(xiǎn)變化趨勢(shì)，多角度、系統(tǒng)性地提出整改意見(jiàn)，建立健全風(fēng)險(xiǎn)控制機(jī)制，強(qiáng)化風(fēng)險(xiǎn)防范，促進(jìn)業(yè)務(wù)優(yōu)化和發(fā)展。 二、評(píng)估對(duì)象及范圍 結(jié)合河南銀監(jiān)局辦公室轉(zhuǎn)發(fā)中國(guó)銀監(jiān)會(huì)辦公廳關(guān)于開(kāi)展信息科技外包風(fēng)險(xiǎn)專項(xiàng)治理工作的通知（豫銀監(jiān)辦發(fā)2013109號(hào)）要求及我行信息科技外包實(shí)際，本次外包風(fēng)險(xiǎn)評(píng)估僅限科技信息部、運(yùn)營(yíng)管理部、授信管理部、計(jì)劃財(cái)務(wù)部、小微信貸事業(yè)部以及電子銀行部 6個(gè)部門業(yè)務(wù)系統(tǒng)外包活動(dòng)。待添加的隱藏文字內(nèi)容2（一）評(píng)估對(duì)象。涉及外包項(xiàng)目的系統(tǒng)主要有綜合業(yè)務(wù)系統(tǒng)、財(cái)務(wù)和信

4、貸管理系統(tǒng)、微小企業(yè)貸款管理系統(tǒng)。（二）評(píng)估范圍。 一是風(fēng)險(xiǎn)事件及損失評(píng)估。收集范圍為 2012年1月1日至2013年6月 30 日信息科技外包項(xiàng)目發(fā)生的風(fēng)險(xiǎn)事件和損失。主要為：操作風(fēng)險(xiǎn)事件及損失、外包供應(yīng)商違約事件及損失等。 二是風(fēng)險(xiǎn)隱患評(píng)估。包括：產(chǎn)品、設(shè)備、流程、系統(tǒng)、人員、制度、操作、管理、監(jiān)督檢查、體制機(jī)制等方面存在的問(wèn)題和隱患；外部欺詐、客戶信用、外包供應(yīng)商勢(shì)力等外部因素存在的問(wèn)題和隱患；未來(lái) 2年內(nèi)，內(nèi)外部環(huán)境變化導(dǎo)致的問(wèn)題和隱患。 三是風(fēng)險(xiǎn)管理情況評(píng)估。風(fēng)險(xiǎn)識(shí)別與監(jiān)控、風(fēng)險(xiǎn)評(píng)級(jí)、風(fēng)險(xiǎn)分類分級(jí)、風(fēng)險(xiǎn)報(bào)告與分析、風(fēng)險(xiǎn)處置與應(yīng)急、風(fēng)險(xiǎn)抵補(bǔ)、風(fēng)險(xiǎn)考核等方面存在的問(wèn)題和缺陷。 （三）評(píng)估

5、方式。 本次信息科技外包風(fēng)險(xiǎn)評(píng)估采取自查評(píng)估和現(xiàn)場(chǎng)督導(dǎo)評(píng)估。一是自查。二是現(xiàn)場(chǎng)檢查評(píng)估。總行信息科技外包風(fēng)險(xiǎn)評(píng)估領(lǐng)導(dǎo)小組將視自查評(píng)估情況，組織相關(guān)人員對(duì)風(fēng)險(xiǎn)評(píng)估自查情況進(jìn)行督導(dǎo)抽查。對(duì)于政策制度、流程環(huán)節(jié)、風(fēng)險(xiǎn)管理類要點(diǎn)，可通過(guò)訪談的方式，結(jié)合要點(diǎn)內(nèi)容，查找外包存在的問(wèn)題和隱患。 三、工作組織及部門職責(zé) （一）工作組織。 1、成立信息科技外包風(fēng)險(xiǎn)評(píng)估工作領(lǐng)導(dǎo)小組。統(tǒng)籌安排和協(xié)調(diào)組織全行信息科技外包風(fēng)險(xiǎn)評(píng)估工作。領(lǐng)導(dǎo)小組組成如下： 組 長(zhǎng)：聶國(guó)慶行長(zhǎng)；副組長(zhǎng)：白煥英。 成 員：信息科技部、授信管理部、運(yùn)營(yíng)管理部、電子銀行部、計(jì)劃財(cái)務(wù)部、小微信貸事業(yè)部、內(nèi)控稽核部部門負(fù)責(zé)人。信息科技外包風(fēng)險(xiǎn)評(píng)估工

6、作領(lǐng)導(dǎo)小組下設(shè)辦公室，設(shè)在內(nèi)控稽核部。內(nèi)控稽核部承擔(dān)領(lǐng)導(dǎo)小組辦公室工作職責(zé)。（二）部門職責(zé)。 1、科技信息部負(fù)責(zé)系統(tǒng)運(yùn)營(yíng)過(guò)程中出現(xiàn)問(wèn)題的維護(hù)，運(yùn)營(yíng)管理部負(fù)責(zé)運(yùn)營(yíng)結(jié)算業(yè)務(wù)，授信管理部負(fù)責(zé)信貸業(yè)務(wù)，計(jì)劃財(cái)務(wù)部負(fù)責(zé)財(cái)務(wù)管理業(yè)務(wù)，電子銀行部負(fù)責(zé)銀行卡業(yè)務(wù)。2、各部門根據(jù)評(píng)估自查情況，撰寫(xiě)外包風(fēng)險(xiǎn)評(píng)估報(bào)告，評(píng)估報(bào)告的內(nèi)容應(yīng)至少包括：評(píng)估的范圍、外包開(kāi)展情況的總體評(píng)價(jià)、風(fēng)險(xiǎn)事件分析、主要的風(fēng)險(xiǎn)隱患、風(fēng)險(xiǎn)整改措施及風(fēng)險(xiǎn)管理意見(jiàn)。3、自查階段（8 月1日-2 日） 市分行運(yùn)營(yíng)管理部、安全保衛(wèi)部、電子銀行部及縣級(jí)支行與三個(gè)條線業(yè)務(wù)外包相關(guān)的業(yè)務(wù)管理部門，要嚴(yán)格按照評(píng)估目標(biāo)、對(duì)象及范圍（重點(diǎn)是附件 2 所列的評(píng)估

7、內(nèi)容及要點(diǎn)）分別對(duì)銀企對(duì)賬、守庫(kù)押運(yùn)、保安服務(wù)、pos 商戶服務(wù)、信用卡對(duì)賬單寄送業(yè)務(wù)外包情況開(kāi)展自查，逐項(xiàng)對(duì)評(píng)估要點(diǎn)內(nèi)容進(jìn)行作答，并根據(jù)自查情況及相關(guān)要求填制各類統(tǒng)計(jì)表，整理相關(guān)材料，撰寫(xiě)自查報(bào)告（自查報(bào)告內(nèi)容至少包括：自查的范圍、清算業(yè)務(wù)開(kāi)展情況的總體評(píng)價(jià)、風(fēng)險(xiǎn)事件分析、主要的風(fēng)險(xiǎn)隱患及典型案例分析、 。 風(fēng)險(xiǎn)整改措施及風(fēng)險(xiǎn)管理意見(jiàn)） 二級(jí) 自查報(bào)告及附件資料于 11 月 2 日前報(bào)送市分分行各條線相關(guān)統(tǒng)計(jì)表、行業(yè)務(wù)外包領(lǐng)導(dǎo)小組辦公室，同時(shí)報(bào)上級(jí)行本業(yè)務(wù)條線評(píng)估小組。 （三）市分行總結(jié)報(bào)告階段（11 月 3 日11 月 6 日） 市分行業(yè)務(wù)外包領(lǐng)導(dǎo)小組辦公室結(jié)合市分行各條線自查評(píng)估等相關(guān)評(píng)

8、估材料，匯總撰寫(xiě)全行業(yè)務(wù)外包風(fēng)險(xiǎn)評(píng)估報(bào)告，風(fēng)險(xiǎn)評(píng)估報(bào)告經(jīng)市分行風(fēng)險(xiǎn)管理委員會(huì)審議后，于 11 月 6 日前報(bào)省分行風(fēng)險(xiǎn)管理部。 （四）現(xiàn)場(chǎng)督導(dǎo)評(píng)估階段（11 月 7 日-11 月 17） 省分行根據(jù)各行自查評(píng)估情況，抽取部分二級(jí)分行及縣支行開(kāi)展現(xiàn)場(chǎng)評(píng)估，核查各行自查結(jié)果的準(zhǔn)確性、真實(shí)性。 五、相關(guān)要求 （一）高度重視，切實(shí)落實(shí)相關(guān)人員和責(zé)任，認(rèn)真做好風(fēng)險(xiǎn)評(píng)估相關(guān)工作。要按照評(píng)估目標(biāo)、對(duì)象及范圍全面、充分、真實(shí)反映風(fēng)險(xiǎn)，針對(duì)業(yè)務(wù)外包評(píng)估要點(diǎn)，逐條、逐項(xiàng)仔細(xì)進(jìn)行自查。每一項(xiàng)評(píng)估要點(diǎn)內(nèi)容必須闡明現(xiàn)狀、問(wèn)題及產(chǎn)生原因，做到結(jié)論清晰、論據(jù)充足、表述有條理，有證明材料支持評(píng)估結(jié)論。由于各行業(yè)務(wù)外包存在差異

9、，對(duì)于附件 2 所列評(píng)估內(nèi)容及要點(diǎn)本級(jí)行不能進(jìn)行評(píng)估時(shí)，應(yīng)對(duì)不能評(píng)估的內(nèi)容作出說(shuō)明，并經(jīng)上級(jí)行同意，可對(duì)附件 2 所列評(píng)估內(nèi)容及要點(diǎn)暫不進(jìn)行評(píng)估。各類統(tǒng)計(jì)表要認(rèn)真填寫(xiě)，報(bào)表所有內(nèi)容及數(shù)據(jù)必須 （附件客觀、準(zhǔn)確，不得杜撰、造假、遺漏。對(duì)于風(fēng)險(xiǎn)事件統(tǒng)計(jì)表 ，要求填報(bào)的風(fēng)險(xiǎn)事件須如實(shí)反映，不得隱瞞不報(bào)和漏報(bào)，相關(guān)部5）門負(fù)責(zé)人要在表格中申明和承諾已填報(bào)所有事件。自查報(bào)告要按照評(píng) 詳細(xì)闡明所面臨的主要風(fēng)險(xiǎn)及問(wèn)題，估內(nèi)容和要點(diǎn)逐項(xiàng)說(shuō)明檢查情況，做到邏輯清楚、事實(shí)充分、數(shù)據(jù)詳實(shí)、結(jié)論客觀嚴(yán)謹(jǐn)。 （二）各行評(píng)估工作領(lǐng)導(dǎo)小組要定期召開(kāi)評(píng)估工作會(huì)，及時(shí)了解、調(diào)度評(píng)估工作進(jìn)程，研究工作中遇到的問(wèn)題并及時(shí)協(xié)調(diào)解決。二級(jí)分行領(lǐng)導(dǎo)小組辦公室要建立每周通報(bào)機(jī)制，按周向省分行領(lǐng)導(dǎo)小組辦公室報(bào)告評(píng)估工作進(jìn)展情況及評(píng)估工作中遇到的問(wèn)題。 （三）建立聯(lián)系人制度。各縣級(jí)支行要指定 1 名聯(lián)系人負(fù)責(zé)與市分行溝通聯(lián)系，聯(lián)