第一篇：銀行業(yè)金融機(jī)構(gòu)外包風(fēng)險(xiǎn)管理指引

銀行業(yè)金融機(jī)構(gòu)外包風(fēng)險(xiǎn)管理指引

第一章 總則

第一條 為了規(guī)范銀行業(yè)金融機(jī)構(gòu)的外包活動(dòng)，保障銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)持續(xù)經(jīng)營，依據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》等有關(guān)法律法規(guī)，制定本指引。

第二條 在中華人民共和國境內(nèi)設(shè)立的銀行業(yè)金融機(jī)構(gòu)適用本指引。

第三條 本指引中的外包是指銀行業(yè)金融機(jī)構(gòu)將原來由自身負(fù)責(zé)處理的某些業(yè)務(wù)活動(dòng)委托給服務(wù)提供商進(jìn)行持續(xù)處理的行為。服務(wù)提供商包括獨(dú)立第三方，銀行業(yè)金融機(jī)構(gòu)母公司或其所屬集團(tuán)設(shè)立在中國境內(nèi)、外的子公司、關(guān)聯(lián)公司或附屬機(jī)構(gòu)。

第四條 銀行業(yè)金融機(jī)構(gòu)的董事會(huì)和高級管理層應(yīng)當(dāng)承擔(dān)外包活動(dòng)的最終責(zé)任。

第五條 銀行業(yè)金融機(jī)構(gòu)開展外包活動(dòng)應(yīng)當(dāng)制定外包的風(fēng)險(xiǎn)管理框架以及相關(guān)制度，并將其納入全面風(fēng)險(xiǎn)管理體系。

第六條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)審慎經(jīng)營原則制定其外包戰(zhàn)略發(fā)展規(guī)劃，確定與其風(fēng)險(xiǎn)管理水平相適宜的外包活動(dòng)范圍。

第七條 銀行業(yè)金融機(jī)構(gòu)的戰(zhàn)略管理、核心管理以及內(nèi)部審計(jì)等職能不宜外包。

第二章組織結(jié)構(gòu)

第八條 銀行業(yè)金融機(jī)構(gòu)外包管理的組織架構(gòu)應(yīng)當(dāng)包括董事會(huì)、高級管理層及外包管理團(tuán)隊(duì)。

第九條 董事會(huì)的職責(zé)主要包括以下方面：

（一）審議批準(zhǔn)外包的戰(zhàn)略發(fā)展規(guī)劃；

（二）審議批準(zhǔn)外包的風(fēng)險(xiǎn)管理制度；

（三）審議批準(zhǔn)本機(jī)構(gòu)的外包范圍及相關(guān)安排；

（四）定期審閱本機(jī)構(gòu)外包活動(dòng)相關(guān)報(bào)告；

（五）定期安排內(nèi)部審計(jì)，確保審計(jì)范圍涵蓋所有的外包安排。

第十條 高級管理層的職責(zé)主要包括以下方面：

（一）制定外包戰(zhàn)略發(fā)展規(guī)劃；

（二）制定外包風(fēng)險(xiǎn)管理的政策、操作流程和內(nèi)控制度；

（三）確定外包業(yè)務(wù)的范圍及相關(guān)安排；

（四）確定外包管理團(tuán)隊(duì)職責(zé)，并對其行為進(jìn)行有效監(jiān)督。

第十一條 外包管理團(tuán)隊(duì)的職責(zé)主要包括以下方面：

（一）執(zhí)行外包風(fēng)險(xiǎn)管理的政策、操作流程和內(nèi)控制度；

（二）負(fù)責(zé)外包活動(dòng)的日常管理，包括盡職調(diào)查、合同執(zhí)行情況的監(jiān)督及風(fēng)險(xiǎn)狀況的監(jiān)督；

（三）向高級管理層提出有關(guān)外包活動(dòng)發(fā)展和風(fēng)險(xiǎn)管控的意見和建議；

（四）在發(fā)現(xiàn)外包服務(wù)提供商業(yè)的業(yè)務(wù)活動(dòng)存在缺陷時(shí)，采取及時(shí)有效的措施；

（五）高級管理層確定的其他職責(zé)

第三章風(fēng)險(xiǎn)管理

第十二條 銀行業(yè)金融機(jī)構(gòu)在制定外包活動(dòng)政策時(shí)，應(yīng)當(dāng)評估以下風(fēng)險(xiǎn)因素：

（一）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)關(guān)注外包活動(dòng)的戰(zhàn)略風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)、聲譽(yù)風(fēng)險(xiǎn)、合規(guī)風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)、國別風(fēng)險(xiǎn)等風(fēng)險(xiǎn)；

（二）影響外包活動(dòng)的外部因素；

（三）本機(jī)構(gòu)對外包活動(dòng)的風(fēng)險(xiǎn)管控能力；

（四）服務(wù)提供商的技術(shù)能力及專業(yè)能力，業(yè)務(wù)策略和業(yè)務(wù)規(guī)模，業(yè)務(wù)連續(xù)性及破產(chǎn)風(fēng)險(xiǎn)，風(fēng)險(xiǎn)控制能力及外包服務(wù)的集中度；

（五）其他關(guān)注的事項(xiàng)。

第十三條 銀行業(yè)金融機(jī)構(gòu)在進(jìn)行外包活動(dòng)時(shí)應(yīng)當(dāng)對服務(wù)提供商進(jìn)行盡職調(diào)查，盡職調(diào)查應(yīng)當(dāng)包括以下事項(xiàng)：

（一）管理能力和行業(yè)地位；

（二）財(cái)務(wù)穩(wěn)健性；

（三）經(jīng)營聲譽(yù)和企業(yè)文化；

（四）技術(shù)實(shí)力和服務(wù)質(zhì)量；

（五）突發(fā)事件應(yīng)對能力；

（六）對銀行業(yè)的熟悉程度；

（七）對其他銀行業(yè)金融機(jī)構(gòu)提供服務(wù)的情況；

（八）銀行業(yè)金融機(jī)構(gòu)認(rèn)為重要的其他事項(xiàng)。銀行業(yè)金融機(jī)構(gòu)的外包活動(dòng)涉及多個(gè)服務(wù)提供商時(shí)，應(yīng)當(dāng)對這些服務(wù)提供商進(jìn)行關(guān)聯(lián)關(guān)系的調(diào)查。

第十四條 銀行業(yè)金融機(jī)構(gòu)開展外包活動(dòng)時(shí)應(yīng)當(dāng)簽訂書面合同或協(xié)議，明確雙方的權(quán)利義務(wù)。合同或協(xié)議應(yīng)當(dāng)包括但不限于以下內(nèi)容：

（一）外包服務(wù)的范圍和標(biāo)準(zhǔn)；

（二）外包服務(wù)的保密性和安全性的安排；

（三）外包服務(wù)的業(yè)務(wù)連續(xù)性的安排；

（四）外包服務(wù)的審計(jì)和檢查；

（五）外包爭端的解決機(jī)制；

（六）合同或協(xié)議變更或終止的過渡安排；

（七）違約責(zé)任。

對于具有專業(yè)技術(shù)性的外包活動(dòng)，可簽訂服務(wù)標(biāo)準(zhǔn)協(xié)議。

第十五條 銀行業(yè)金融機(jī)構(gòu)在外包活動(dòng)中應(yīng)當(dāng)建立嚴(yán)格的客戶信息保密制度，并依法履行告知義務(wù)。

第十六條 銀行業(yè)金融機(jī)構(gòu)在外包合同中應(yīng)當(dāng)要求外包服務(wù)提供商承諾以下事項(xiàng)：

（一）定期通報(bào)外包活動(dòng)的有關(guān)事項(xiàng)；

（二）及時(shí)通報(bào)外包活動(dòng)的突發(fā)性事件；

（三）配合銀行業(yè)金融機(jī)構(gòu)接受銀行業(yè)監(jiān)督管理機(jī)構(gòu)的檢查；

（四）保障客戶信息的安全性，當(dāng)客戶信息不安全或客戶權(quán)利受到影響時(shí)，銀行業(yè)金融機(jī)構(gòu)有權(quán)隨時(shí)終止外包合同；

（五）不得以銀行業(yè)金融機(jī)構(gòu)的名義開展活動(dòng)；

（六）銀行業(yè)金融機(jī)構(gòu)認(rèn)為應(yīng)當(dāng)承諾的其他事項(xiàng)。第十七條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)關(guān)注外包服務(wù)提供商分包的風(fēng)險(xiǎn)，并在合同中明確以下事項(xiàng)：

（一）服務(wù)提供商分包的規(guī)則；

（二）分包服務(wù)提供商應(yīng)當(dāng)嚴(yán)格遵守主服務(wù)提供商與銀行業(yè)金融機(jī)構(gòu)確定的外包合同或協(xié)議中的相關(guān)條款；

（三）主服務(wù)商應(yīng)當(dāng)確認(rèn)在業(yè)務(wù)分包后繼續(xù)保證對服務(wù)水平和系統(tǒng)控制負(fù)總責(zé)；

（四）不得將外包活動(dòng)的主要業(yè)務(wù)分包。

第十八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在合同中約定服務(wù)提供商不得將外包活動(dòng)轉(zhuǎn)包或變相轉(zhuǎn)包。

第十九條 銀行業(yè)金融機(jī)構(gòu)在開展跨境外包活動(dòng)時(shí)，應(yīng)當(dāng)遵守以下原則：

（一）審慎評估法律和管制風(fēng)險(xiǎn)；

（二）確?？蛻粜畔⒌陌踩?；

（三）選擇境外服務(wù)提供商時(shí)，應(yīng)當(dāng)明確其所在國家或地區(qū)監(jiān)管當(dāng)局已與我國銀行業(yè)監(jiān)督管理機(jī)構(gòu)簽訂諒解備忘錄或雙方認(rèn)可的其他約定。

第二十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)事先制定和建立外包突發(fā)事件應(yīng)急預(yù)案和機(jī)制。通過采取替代方案、尋求合同項(xiàng)下的保險(xiǎn)安排等措施，確保業(yè)務(wù)活動(dòng)的正常經(jīng)營。

第二十一條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)定期對外包活動(dòng)進(jìn)行全面審計(jì)與評價(jià)。

第四章監(jiān)督管理

第二十二條 銀行業(yè)金融機(jī)構(gòu)在開展外包活動(dòng)時(shí)，應(yīng)當(dāng)定期向所在地銀行業(yè)監(jiān)督管理機(jī)構(gòu)遞交本機(jī)構(gòu)外包活動(dòng)的評估報(bào)告。

第二十三條 銀行業(yè)金融機(jī)構(gòu)在開展外包活動(dòng)時(shí)如遇到對本機(jī)構(gòu)的業(yè)務(wù)經(jīng)營、客戶信息安全、聲譽(yù)等產(chǎn)生重大影響事件，應(yīng)當(dāng)及時(shí)向所在地銀行業(yè)監(jiān)督管理機(jī)構(gòu)報(bào)告。

第二十四條 銀行業(yè)監(jiān)督管理機(jī)構(gòu)及其派出機(jī)構(gòu)根據(jù)需要對外包活動(dòng)進(jìn)行現(xiàn)場檢查，采集外包活動(dòng)過程中數(shù)據(jù)信息和相關(guān)資料，并將檢查結(jié)果納入對該機(jī)構(gòu)的監(jiān)管評級。

第二十五條 對外包活動(dòng)存在以下情形的，銀行業(yè)監(jiān)督管理機(jī)構(gòu)可以要求銀行業(yè)金融機(jī)構(gòu)糾正或采取替代方案，并視情況予以問責(zé)。

（一）違反相關(guān)法律、行政法規(guī)及規(guī)章；

（二）違反本機(jī)構(gòu)風(fēng)險(xiǎn)管理政策、內(nèi)控制度及操作流程等；

（三）存在重大風(fēng)險(xiǎn)隱患；

（四）其他認(rèn)定的情形。

第五章附則

第二十六條 經(jīng)銀行業(yè)監(jiān)督管理機(jī)構(gòu)批準(zhǔn)的其他金融機(jī)構(gòu)開展外包活動(dòng)時(shí)遵照本指引執(zhí)行。

第二十七條 本指引由中國銀行業(yè)監(jiān)督管理委員會(huì)負(fù)責(zé)解釋。

第二十八條 本指引自發(fā)布之日起實(shí)施。

第二篇：銀行業(yè)金融機(jī)構(gòu)全面風(fēng)險(xiǎn)管理指引

中國銀監(jiān)會(huì)關(guān)于《銀行業(yè)金融機(jī)構(gòu)全面風(fēng)險(xiǎn)管理指引（征求意見稿）》公開征求意見的公告

為進(jìn)一步引導(dǎo)銀行業(yè)金融機(jī)構(gòu)樹立全面風(fēng)險(xiǎn)管理意識，完善全面風(fēng)險(xiǎn)管理體系，持續(xù)提高風(fēng)險(xiǎn)管理水平，中國銀監(jiān)會(huì)起草了《銀行業(yè)金融機(jī)構(gòu)全面風(fēng)險(xiǎn)管理指引（征求意見稿）》，現(xiàn)向社會(huì)公開征求意見。公眾可以通過以下途徑反饋意見：

一、通過電子郵件。

二、通過傳真。

三、通過信函方式將意見寄至：北京市西城區(qū)金融大街甲15號中國銀監(jiān)會(huì)審慎規(guī)制局（郵編：100140），并請?jiān)谛欧馍献⒚鳌叭骘L(fēng)險(xiǎn)管理征求意見”字樣。

意見反饋截止時(shí)間為2016年8月6日。[1]

中國銀監(jiān)會(huì)

2016年7月6日

銀行業(yè)金融機(jī)構(gòu)全面風(fēng)險(xiǎn)管理指引[1]（征求意見稿）

第一章 總則

第一條（立法依據(jù)）為提高銀行業(yè)金融機(jī)構(gòu)全面風(fēng)險(xiǎn)管理水平，促進(jìn)銀行體系安全穩(wěn)健運(yùn)行，根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》等法律法規(guī)，制定本指引。

第二條（適用范圍）本指引適用于在中華人民共和國境內(nèi)依法設(shè)立的銀行業(yè)金融機(jī)構(gòu)。本指引所稱銀行業(yè)金融機(jī)構(gòu)，是指在中華人民共和國境內(nèi)設(shè)立的商業(yè)銀行、城市信用合作社、農(nóng)村信用合作社等吸收公眾存款的金融機(jī)構(gòu)以及開發(fā)性金融機(jī)構(gòu)、政策性銀行。

第三條（總體要求-管理內(nèi)容）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立全面風(fēng)險(xiǎn)管理體系，采取定性和定量相結(jié)合的方法，識別、計(jì)量、評估、監(jiān)測、報(bào)告、控制或緩釋所承擔(dān)的各類風(fēng)險(xiǎn)。

各類風(fēng)險(xiǎn)包括信用風(fēng)險(xiǎn)、市場風(fēng)險(xiǎn)、流動(dòng)性風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)、國別風(fēng)險(xiǎn)、銀行賬戶利率風(fēng)險(xiǎn)、聲譽(yù)風(fēng)險(xiǎn)、戰(zhàn)略風(fēng)險(xiǎn)、信息科技風(fēng)險(xiǎn)以及其他風(fēng)險(xiǎn)。

銀行業(yè)金融機(jī)構(gòu)的全面風(fēng)險(xiǎn)管理體系應(yīng)當(dāng)考慮風(fēng)險(xiǎn)之間的關(guān)聯(lián)性，審慎評估各類風(fēng)險(xiǎn)之間的相互影響，防范跨境、跨業(yè)風(fēng)險(xiǎn)。

第四條（總體要求-管理原則）銀行業(yè)金融機(jī)構(gòu)全面風(fēng)險(xiǎn)管理應(yīng)當(dāng)遵循以下基本原則：

（一）匹配性原則。全面風(fēng)險(xiǎn)管理體系應(yīng)當(dāng)與風(fēng)險(xiǎn)狀況和系統(tǒng)重要性等相適應(yīng)，并根據(jù)環(huán)境變化予以調(diào)整。

（二）全覆蓋原則。全面風(fēng)險(xiǎn)管理應(yīng)當(dāng)覆蓋各項(xiàng)業(yè)務(wù)條線，本外幣、表內(nèi)外、境內(nèi)外業(yè)務(wù)；覆蓋所有分支機(jī)構(gòu)、附屬機(jī)構(gòu)，部門、崗位和人員；覆蓋所有風(fēng)險(xiǎn)種類和不同風(fēng)險(xiǎn)之間的相互影響；貫穿決策、執(zhí)行和監(jiān)督全部管理環(huán)節(jié)。

（三）獨(dú)立性原則。銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立獨(dú)立的全面風(fēng)險(xiǎn)管理組織架構(gòu)，賦予風(fēng)險(xiǎn)管理?xiàng)l線足夠的授權(quán)、人力資源及其他資源配置，建立科學(xué)合理的報(bào)告渠道，與業(yè)務(wù)條線之間形成相互制衡的運(yùn)行機(jī)制。

（四）有效性原則。銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)將全面風(fēng)險(xiǎn)管理的結(jié)果應(yīng)用于經(jīng)營管理，根據(jù)風(fēng)險(xiǎn)狀況、市場和宏觀經(jīng)濟(jì)情況評估資本和流動(dòng)性的充足性，有效抵御所承擔(dān)的總體風(fēng)險(xiǎn)和各類風(fēng)險(xiǎn)。第五條（全面風(fēng)險(xiǎn)管理要素）銀行業(yè)金融機(jī)構(gòu)全面風(fēng)險(xiǎn)管理體系應(yīng)當(dāng)包括但不限于以下要素：

（一）風(fēng)險(xiǎn)治理架構(gòu)；

（二）風(fēng)險(xiǎn)管理策略、風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)限額；

（三）風(fēng)險(xiǎn)管理政策和程序；

（四）管理信息系統(tǒng)和數(shù)據(jù)質(zhì)量控制機(jī)制；

（五）內(nèi)部控制和審計(jì)體系。

第六條（風(fēng)險(xiǎn)文化）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在全行層面推行穩(wěn)健的風(fēng)險(xiǎn)文化，形成與本行相適應(yīng)的風(fēng)險(xiǎn)管理理念、價(jià)值準(zhǔn)則、職業(yè)操守，建立培訓(xùn)、傳達(dá)和監(jiān)督機(jī)制，推動(dòng)全行人員理解和執(zhí)行。

第七條（責(zé)任主體）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)承擔(dān)全面風(fēng)險(xiǎn)管理的主體責(zé)任，建立全面風(fēng)險(xiǎn)管理制度，保障制度執(zhí)行，對全面風(fēng)險(xiǎn)管理體系自我評估，健全自我約束機(jī)制。

第八條（監(jiān)督管理）銀行業(yè)監(jiān)督管理機(jī)構(gòu)依法對銀行業(yè)金融機(jī)構(gòu)全面風(fēng)險(xiǎn)管理實(shí)施監(jiān)管。

第九條（披露要求）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)按照銀行業(yè)監(jiān)督管理機(jī)構(gòu)的規(guī)定，向公眾披露全面風(fēng)險(xiǎn)管理情況。

第二章 風(fēng)險(xiǎn)治理架構(gòu)

第十條（總體要求）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立組織架構(gòu)健全、職責(zé)邊界清晰的風(fēng)險(xiǎn)治理架構(gòu)，明確董事會(huì)、監(jiān)事會(huì)、高級管理層，業(yè)務(wù)部門、風(fēng)險(xiǎn)管理部門和內(nèi)審部門在風(fēng)險(xiǎn)管理中的職責(zé)分工，建立多層次、相互銜接、有效制衡的運(yùn)行機(jī)制。

第十一條（董事會(huì)職責(zé)）銀行業(yè)金融機(jī)構(gòu)董事會(huì)承擔(dān)全面風(fēng)險(xiǎn)管理的最終責(zé)任，履行以下職責(zé)：

（一）建立風(fēng)險(xiǎn)文化；

（二）制定風(fēng)險(xiǎn)管理策略；

（三）設(shè)定的風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)限額；

（四）審批風(fēng)險(xiǎn)管理政策和程序；

（五）監(jiān)督高級管理層開展全面風(fēng)險(xiǎn)管理；

（六）審議全面風(fēng)險(xiǎn)管理報(bào)告；

（七）審批全面風(fēng)險(xiǎn)和各類重要風(fēng)險(xiǎn)的信息披露；

（八）聘任風(fēng)險(xiǎn)總監(jiān)（首席風(fēng)險(xiǎn)官）或其他高級管理人員，牽頭負(fù)責(zé)全面風(fēng)險(xiǎn)管理；

（九）其他與風(fēng)險(xiǎn)管理有關(guān)的職責(zé)。

董事會(huì)可以授權(quán)其下設(shè)的風(fēng)險(xiǎn)管理委員會(huì)履行其全面風(fēng)險(xiǎn)管理的部分職責(zé)。第十二條（委員會(huì)間的溝通機(jī)制）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立風(fēng)險(xiǎn)管理委員會(huì)與董事會(huì)下設(shè)的戰(zhàn)略委員會(huì)、審計(jì)委員會(huì)、提名委員會(huì)等其他專門委員會(huì)的溝通機(jī)制，確保信息充分共享并能夠支持風(fēng)險(xiǎn)管理相關(guān)決策。

第十三條（監(jiān)事會(huì)職責(zé)）銀行業(yè)金融機(jī)構(gòu)監(jiān)事會(huì)承擔(dān)全面風(fēng)險(xiǎn)管理的監(jiān)督責(zé)任，負(fù)責(zé)監(jiān)督檢查董事會(huì)和高級管理層在風(fēng)險(xiǎn)管理方面的履職盡責(zé)情況并督促整改。相關(guān)監(jiān)督檢查情況應(yīng)當(dāng)納入監(jiān)事會(huì)工作報(bào)告。第十四條（高級管理層職責(zé)）銀行業(yè)金融機(jī)構(gòu)高級管理層承擔(dān)全面風(fēng)險(xiǎn)管理的實(shí)施責(zé)任，執(zhí)行董事會(huì)的決議，應(yīng)當(dāng)履行以下職責(zé)：

（一）建立適應(yīng)全面風(fēng)險(xiǎn)管理的經(jīng)營管理架構(gòu)，明確全面風(fēng)險(xiǎn)管理職能部門、業(yè)務(wù)部門以及其他部門在風(fēng)險(xiǎn)管理中的職責(zé)分工，建立部門之間有效制衡、相互協(xié)調(diào)的運(yùn)行機(jī)制；

（二）制定清晰的執(zhí)行和問責(zé)機(jī)制，確保風(fēng)險(xiǎn)偏好、風(fēng)險(xiǎn)管理策略和風(fēng)險(xiǎn)限額得到充分傳達(dá)和有效實(shí)施；

（三）對董事會(huì)設(shè)定的風(fēng)險(xiǎn)限額進(jìn)行細(xì)化并執(zhí)行，包括但不限于行業(yè)、區(qū)域、客戶、產(chǎn)品等維度；

（四）制定風(fēng)險(xiǎn)管理政策和程序，定期評估，必要時(shí)調(diào)整；

（五）評估全面風(fēng)險(xiǎn)和各類重要風(fēng)險(xiǎn)管理狀況并向董事會(huì)報(bào)告；

（六）建立完備的管理信息系統(tǒng)和數(shù)據(jù)質(zhì)量控制機(jī)制；

（七）對突破風(fēng)險(xiǎn)偏好、風(fēng)險(xiǎn)限額以及違反風(fēng)險(xiǎn)管理政策和程序的情況進(jìn)行監(jiān)督，根據(jù)董事會(huì)的授權(quán)進(jìn)行處理；

（八）風(fēng)險(xiǎn)管理的其他職責(zé)。

第十五條（風(fēng)險(xiǎn)總監(jiān)或獨(dú)立高管）規(guī)模較大或業(yè)務(wù)復(fù)雜的銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)設(shè)立風(fēng)險(xiǎn)總監(jiān)（首席風(fēng)險(xiǎn)官）。董事會(huì)應(yīng)當(dāng)將風(fēng)險(xiǎn)總監(jiān)（首席風(fēng)險(xiǎn)官）納入高級管理人員。風(fēng)險(xiǎn)總監(jiān)（首席風(fēng)險(xiǎn)官）或其他牽頭負(fù)責(zé)全面風(fēng)險(xiǎn)管理的高級管理人員應(yīng)當(dāng)保持充分的獨(dú)立性，不得分管業(yè)務(wù)經(jīng)營條線，可以直接向董事會(huì)報(bào)告全面風(fēng)險(xiǎn)管理情況。

調(diào)整風(fēng)險(xiǎn)總監(jiān)（首席風(fēng)險(xiǎn)官）的，應(yīng)當(dāng)事先得到董事會(huì)批準(zhǔn)，并公開披露。銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)向銀行業(yè)監(jiān)督管理機(jī)構(gòu)報(bào)告風(fēng)險(xiǎn)總監(jiān)（首席風(fēng)險(xiǎn)官）的調(diào)整原因。

第十六條（全面風(fēng)險(xiǎn)管理的職責(zé)分工）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)確定業(yè)務(wù)條線承擔(dān)風(fēng)險(xiǎn)管理的直接責(zé)任；風(fēng)險(xiǎn)管理?xiàng)l線承擔(dān)制定政策和流程，日常監(jiān)測和管理風(fēng)險(xiǎn)的責(zé)任；內(nèi)審部門承擔(dān)業(yè)務(wù)部門和風(fēng)險(xiǎn)管理部門履責(zé)情況的審計(jì)責(zé)任。

第十七條（全面風(fēng)險(xiǎn)管理職能部門職責(zé)）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)設(shè)立或者指定部門負(fù)責(zé)全面風(fēng)險(xiǎn)管理，牽頭履行全面風(fēng)險(xiǎn)的日常管理，包括但不限于以下職責(zé)：

（一）實(shí)施全面風(fēng)險(xiǎn)管理體系建設(shè)，牽頭協(xié)調(diào)各類具體風(fēng)險(xiǎn)管理部門；

（二）識別、計(jì)量、評估、監(jiān)測、控制或緩釋全面風(fēng)險(xiǎn)和各類重要風(fēng)險(xiǎn)，及時(shí)向高級管理人員報(bào)告；

（三）持續(xù)監(jiān)控風(fēng)險(xiǎn)偏好、風(fēng)險(xiǎn)管理策略、風(fēng)險(xiǎn)限額及風(fēng)險(xiǎn)管理政策和程序的執(zhí)行情況，對突破風(fēng)險(xiǎn)偏好、風(fēng)險(xiǎn)限額以及違反風(fēng)險(xiǎn)管理政策和程序的情況及時(shí)預(yù)警、報(bào)告并提出處理建議。

（四）組織開展風(fēng)險(xiǎn)評估，及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)隱患和管理漏洞，持續(xù)提高風(fēng)險(xiǎn)管理的有效性。

第十八條（分支機(jī)構(gòu)要求）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)采取必要措施，保證全面風(fēng)險(xiǎn)管理的政策流程在基層分支機(jī)構(gòu)得到理解與執(zhí)行，建立與基層分支機(jī)構(gòu)風(fēng)險(xiǎn)狀況相匹配的風(fēng)險(xiǎn)管理架構(gòu)。

在境外設(shè)有機(jī)構(gòu)的銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立適當(dāng)?shù)木惩怙L(fēng)險(xiǎn)管理框架、政策和流程。第十九條（資源保障）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)賦予全面風(fēng)險(xiǎn)管理職能部門和各類風(fēng)險(xiǎn)管理部門充足的資源、獨(dú)立性、授權(quán)，保證其能夠及時(shí)獲得風(fēng)險(xiǎn)管理所需的數(shù)據(jù)和信息，滿足履行風(fēng)險(xiǎn)管理職責(zé)的需要。

第三章 風(fēng)險(xiǎn)管理策略、風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)限額

第二十條（風(fēng)險(xiǎn)管理策略）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)制定清晰的風(fēng)險(xiǎn)管理策略，至少每年評估其有效性。風(fēng)險(xiǎn)管理策略應(yīng)當(dāng)反映風(fēng)險(xiǎn)偏好、風(fēng)險(xiǎn)狀況以及市場和宏觀經(jīng)濟(jì)變化，并在銀行內(nèi)部得到充分傳導(dǎo)。

第二十一條（風(fēng)險(xiǎn)偏好總體要求）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)制定書面的風(fēng)險(xiǎn)偏好，定性指標(biāo)和定量指標(biāo)并重。風(fēng)險(xiǎn)偏好的設(shè)定應(yīng)當(dāng)與戰(zhàn)略目標(biāo)、經(jīng)營計(jì)劃、資本規(guī)劃、績效考評和薪酬機(jī)制銜接，在全行傳達(dá)并執(zhí)行。

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)每年對風(fēng)險(xiǎn)偏好至少進(jìn)行一次評估。

第二十二條（風(fēng)險(xiǎn)偏好內(nèi)容）銀行業(yè)金融機(jī)構(gòu)制定的風(fēng)險(xiǎn)偏好，應(yīng)當(dāng)包括但不限于以下內(nèi)容：

（一）戰(zhàn)略目標(biāo)和經(jīng)營計(jì)劃的制定依據(jù)，風(fēng)險(xiǎn)偏好與戰(zhàn)略目標(biāo)、經(jīng)營計(jì)劃的關(guān)聯(lián)性；

（二）為實(shí)現(xiàn)戰(zhàn)略目標(biāo)和經(jīng)營計(jì)劃愿意承擔(dān)的風(fēng)險(xiǎn)總量；

（三）愿意承擔(dān)的各類風(fēng)險(xiǎn)的最大水平；

（四）風(fēng)險(xiǎn)偏好的定量指標(biāo)，包括利潤、風(fēng)險(xiǎn)、資本、流動(dòng)性以及其他相關(guān)指標(biāo)的目標(biāo)值或目標(biāo)區(qū)間。上述定量指標(biāo)通過風(fēng)險(xiǎn)限額、經(jīng)營計(jì)劃、績效考評等方式傳導(dǎo)至業(yè)務(wù)條線、分支機(jī)構(gòu)、附屬機(jī)構(gòu)的安排；

（五）對不能定量的風(fēng)險(xiǎn)偏好的定性描述，包括承擔(dān)此類風(fēng)險(xiǎn)的原因、采取的管理措施；

（六）資本、流動(dòng)性抵御總體風(fēng)險(xiǎn)和各類風(fēng)險(xiǎn)的水平；

（七）可能導(dǎo)致風(fēng)險(xiǎn)偏好目標(biāo)的情形和處置方法。

風(fēng)險(xiǎn)偏好應(yīng)當(dāng)明確董事會(huì)、高級管理層和首席風(fēng)險(xiǎn)官、業(yè)務(wù)條線、風(fēng)險(xiǎn)部門和審計(jì)部門在制定和實(shí)施風(fēng)險(xiǎn)偏好過程中的職責(zé)。

第二十三條（風(fēng)險(xiǎn)偏好執(zhí)行報(bào)告）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立監(jiān)測分析各業(yè)務(wù)條線、分支機(jī)構(gòu)、附屬機(jī)構(gòu)執(zhí)行風(fēng)險(xiǎn)偏好的機(jī)制。

當(dāng)風(fēng)險(xiǎn)偏好目標(biāo)被突破時(shí)，應(yīng)當(dāng)及時(shí)分析原因、制定解決方案并實(shí)施。

第二十四條（風(fēng)險(xiǎn)偏好調(diào)整）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立風(fēng)險(xiǎn)偏好的調(diào)整制度。根據(jù)業(yè)務(wù)規(guī)模、復(fù)雜程度、風(fēng)險(xiǎn)狀況的變化，對風(fēng)險(xiǎn)偏好進(jìn)行調(diào)整。

第二十五條（風(fēng)險(xiǎn)限額管理）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)制定風(fēng)險(xiǎn)限額管理的政策和程序，建立風(fēng)險(xiǎn)限額設(shè)定、限額調(diào)整、超限額報(bào)告和處理制度。

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)風(fēng)險(xiǎn)偏好，按照客戶、行業(yè)、區(qū)域、產(chǎn)品等維度設(shè)定風(fēng)險(xiǎn)限額。風(fēng)險(xiǎn)限額應(yīng)當(dāng)綜合考慮資本、風(fēng)險(xiǎn)集中度、流動(dòng)性、交易目的等。

全面風(fēng)險(xiǎn)管理職能部門應(yīng)當(dāng)對風(fēng)險(xiǎn)限額進(jìn)行監(jiān)控，并向董事會(huì)和高級管理層報(bào)送風(fēng)險(xiǎn)限額使用情況。

第四章 風(fēng)險(xiǎn)管理政策和程序 第二十六條（風(fēng)險(xiǎn)管理政策和程序）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)制定風(fēng)險(xiǎn)管理政策和程序，包括但不限于以下內(nèi)容：

（一）全面風(fēng)險(xiǎn)管理的方法，包括各類風(fēng)險(xiǎn)的識別、計(jì)量、評估、監(jiān)測、報(bào)告、控制或緩釋，風(fēng)險(xiǎn)加總的方法和程序；

（二）風(fēng)險(xiǎn)定性管理和定量管理的方法；

（三）風(fēng)險(xiǎn)管理報(bào)告；

（四）壓力測試安排；

（五）新產(chǎn)品、重大業(yè)務(wù)和機(jī)構(gòu)變更的風(fēng)險(xiǎn)評估；

（六）資本和流動(dòng)性充足情況評估；

（七）應(yīng)急計(jì)劃和恢復(fù)計(jì)劃。

第二十七條（風(fēng)險(xiǎn)的識別、計(jì)量、評估、監(jiān)測、報(bào)告和控制或緩釋）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在集團(tuán)和法人層面對各附屬機(jī)構(gòu)、分支機(jī)構(gòu)、業(yè)務(wù)條線，對表內(nèi)和表外、境內(nèi)和境外、本幣和外幣業(yè)務(wù)涉及的各類風(fēng)險(xiǎn)，進(jìn)行識別、計(jì)量、評估、監(jiān)測、報(bào)告、控制或緩釋。

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)制定每項(xiàng)業(yè)務(wù)對應(yīng)的風(fēng)險(xiǎn)管理政策和程序。未制定的，不得開展該項(xiàng)業(yè)務(wù)。

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)有效評估和管理各類風(fēng)險(xiǎn)。對能夠量化的風(fēng)險(xiǎn)，應(yīng)當(dāng)通過風(fēng)險(xiǎn)計(jì)量技術(shù)，加強(qiáng)對相關(guān)風(fēng)險(xiǎn)的計(jì)量、控制、緩釋；對難以量化的風(fēng)險(xiǎn)，應(yīng)當(dāng)建立風(fēng)險(xiǎn)識別、評估、控制和報(bào)告機(jī)制，確保相關(guān)風(fēng)險(xiǎn)得到有效管理。

第二十八條（政策和程序的一致性）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立風(fēng)險(xiǎn)統(tǒng)一集中管理的制度，確保全面風(fēng)險(xiǎn)管理對各類風(fēng)險(xiǎn)管理的統(tǒng)領(lǐng)性，各類風(fēng)險(xiǎn)管理與全面風(fēng)險(xiǎn)管理政策和程序的一致性。

第二十九條（風(fēng)險(xiǎn)加總的方法和程序）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立風(fēng)險(xiǎn)加總的政策、程序，選取合理可行的加總方法，充分考慮集中度風(fēng)險(xiǎn)及風(fēng)險(xiǎn)之間的相互影響和相互傳染，確保在不同層次上和總體上及時(shí)識別風(fēng)險(xiǎn)。

第三十條（內(nèi)部模型）銀行業(yè)金融機(jī)構(gòu)采用內(nèi)部模型計(jì)量風(fēng)險(xiǎn)的，應(yīng)當(dāng)遵守相關(guān)監(jiān)管要求，確保風(fēng)險(xiǎn)計(jì)量的一致性、客觀性和準(zhǔn)確性。董事會(huì)和高級管理層應(yīng)當(dāng)理解模型結(jié)果的局限性、不確定性和模型使用的固有風(fēng)險(xiǎn)。

第三十一條（風(fēng)險(xiǎn)管理報(bào)告）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立全面風(fēng)險(xiǎn)管理報(bào)告制度，明確報(bào)告的內(nèi)容、頻率、路線。

報(bào)告內(nèi)容至少包括總體風(fēng)險(xiǎn)和各類風(fēng)險(xiǎn)的整體狀況；風(fēng)險(xiǎn)管理策略、風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)限額的執(zhí)行情況；風(fēng)險(xiǎn)在行業(yè)、地區(qū)、客戶、產(chǎn)品等維度的分布；資本和流動(dòng)性抵御風(fēng)險(xiǎn)的水平。

第三十二條（壓力測試安排）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立壓力測試體系，明確壓力測試的治理結(jié)構(gòu)、政策文檔、方法流程、情景設(shè)計(jì)、保障支持、驗(yàn)證評估以及壓力測試結(jié)果運(yùn)用。

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)定期開展壓力測試。壓力測試的開展應(yīng)當(dāng)覆蓋各類風(fēng)險(xiǎn)和表內(nèi)外主要業(yè)務(wù)領(lǐng)域，并考慮各類風(fēng)險(xiǎn)之間的相互影響。

壓力測試結(jié)果應(yīng)當(dāng)運(yùn)用于銀行業(yè)金融機(jī)構(gòu)的風(fēng)險(xiǎn)管理和各項(xiàng)經(jīng)營管理決策中。第三十三條（新產(chǎn)品、重大業(yè)務(wù)和機(jī)構(gòu)變更的風(fēng)險(xiǎn)評估）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立專門的政策和流程，評估開發(fā)新產(chǎn)品或?qū)ΜF(xiàn)有產(chǎn)品進(jìn)行重大改動(dòng)、拓展新的業(yè)務(wù)領(lǐng)域、設(shè)立新機(jī)構(gòu)、從事重大收購和投資等可能帶來的風(fēng)險(xiǎn)，并建立內(nèi)部審批流程和退出安排。銀行業(yè)金融機(jī)構(gòu)開展上述活動(dòng)時(shí)，應(yīng)當(dāng)經(jīng)風(fēng)險(xiǎn)管理部門審查同意，并經(jīng)董事會(huì)或董事會(huì)指定的專門委員會(huì)批準(zhǔn)。

第三十四條（資本和流動(dòng)性充足情況評估）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)狀況及時(shí)評估資本和流動(dòng)性的充足情況，確保資本、流動(dòng)性能夠抵御風(fēng)險(xiǎn)。

第三十五條（應(yīng)急計(jì)劃）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)制定應(yīng)急計(jì)劃，確保能夠及時(shí)應(yīng)對和處理緊急或危機(jī)情況。應(yīng)急計(jì)劃應(yīng)當(dāng)說明可能出現(xiàn)的風(fēng)險(xiǎn)以及在壓力情況（包括會(huì)嚴(yán)重威脅銀行生存能力的壓力情景）下應(yīng)當(dāng)采取的措施。銀行業(yè)金融機(jī)構(gòu)的應(yīng)急計(jì)劃應(yīng)當(dāng)涵蓋對境外分支機(jī)構(gòu)和附屬機(jī)構(gòu)的應(yīng)急安排。銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)定期更新、演練或測試上述計(jì)劃，確保其充分性和可行性。

第三十六條（恢復(fù)計(jì)劃）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)按照相關(guān)監(jiān)管規(guī)定的要求，根據(jù)銀行的風(fēng)險(xiǎn)狀況和系統(tǒng)重要性，制定并定期更新完善本機(jī)構(gòu)的恢復(fù)計(jì)劃，明確本機(jī)構(gòu)在壓力情況下能夠繼續(xù)提供持續(xù)穩(wěn)定運(yùn)營的各項(xiàng)關(guān)鍵性金融服務(wù)并恢復(fù)正常運(yùn)營的行動(dòng)方案。

第三十七條（附屬機(jī)構(gòu)）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)制定覆蓋其附屬機(jī)構(gòu)的風(fēng)險(xiǎn)管理政策和程序，保持機(jī)構(gòu)風(fēng)險(xiǎn)管理的一致性、有效性。銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)要求并確保各附屬機(jī)構(gòu)在整體風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)管理政策框架下，建立自身的風(fēng)險(xiǎn)管理組織架構(gòu)、政策流程，促進(jìn)全面風(fēng)險(xiǎn)管理的一致性和有效性。

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立健全防火墻制度，規(guī)范內(nèi)部交易，防止風(fēng)險(xiǎn)傳染。第三十八條（外包風(fēng)險(xiǎn)管理）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)制定外包風(fēng)險(xiǎn)管理制度，確定與其風(fēng)險(xiǎn)管理水平相適應(yīng)的外包活動(dòng)范圍。

第三十九條（風(fēng)險(xiǎn)管理應(yīng)用）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)將風(fēng)險(xiǎn)偏好、風(fēng)險(xiǎn)管理策略、風(fēng)險(xiǎn)限額、風(fēng)險(xiǎn)管理政策和程序等要素與資本管理、業(yè)務(wù)管理相結(jié)合，在戰(zhàn)略和經(jīng)營計(jì)劃制定、新產(chǎn)品審批、內(nèi)部定價(jià)、績效考評和薪酬政策等日常經(jīng)營管理中充分應(yīng)用并得到有效實(shí)施。

第四十條（文檔管理）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對風(fēng)險(xiǎn)偏好、風(fēng)險(xiǎn)管理策略、風(fēng)險(xiǎn)限額、風(fēng)險(xiǎn)管理政策和程序建立規(guī)范的文檔記錄。

第五章 管理信息系統(tǒng)和數(shù)據(jù)質(zhì)量

第四十一條（風(fēng)險(xiǎn)管理信息系統(tǒng)）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)具備完善的風(fēng)險(xiǎn)管理信息系統(tǒng)，能夠在集團(tuán)和法人層面計(jì)量、評估、展示、報(bào)告、加總所有風(fēng)險(xiǎn)類別、產(chǎn)品和交易對手風(fēng)險(xiǎn)暴露的規(guī)模和構(gòu)成。

第四十二條（系統(tǒng)功能）銀行業(yè)金融機(jī)構(gòu)相關(guān)風(fēng)險(xiǎn)管理信息系統(tǒng)應(yīng)當(dāng)具備以下主要功能，支持風(fēng)險(xiǎn)報(bào)告和管理決策的需要。

（一）支持識別、計(jì)量、評估、監(jiān)測和報(bào)告所有類別的重要風(fēng)險(xiǎn)；

（二）支持風(fēng)險(xiǎn)限額管理，對超出風(fēng)險(xiǎn)限額的情況進(jìn)行實(shí)時(shí)監(jiān)測、預(yù)警和控制；

（三）能夠計(jì)量、評估和報(bào)告所有風(fēng)險(xiǎn)類別、產(chǎn)品和交易對手的風(fēng)險(xiǎn)狀況，滿足全面風(fēng)險(xiǎn)管理需要。

（四）支持按照業(yè)務(wù)條線、機(jī)構(gòu)、資產(chǎn)類型、行業(yè)、地區(qū)、集中度等多個(gè)維度展示和報(bào)告風(fēng)險(xiǎn)暴露情況；

（五）支持不同頻率的定期報(bào)告和壓力情況下的數(shù)據(jù)加工和風(fēng)險(xiǎn)加總需求；

（六）支持壓力測試工作，評估各種不利情景對全行及主要業(yè)務(wù)條線的影響； 第四十三條（信息科技基礎(chǔ)設(shè)施）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立與業(yè)務(wù)規(guī)模、風(fēng)險(xiǎn)狀況等相匹配的信息科技基礎(chǔ)設(shè)施。

第四十四條（數(shù)據(jù)質(zhì)量）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立健全數(shù)據(jù)質(zhì)量控制機(jī)制，積累真實(shí)、準(zhǔn)確、連續(xù)、完整的內(nèi)部和外部數(shù)據(jù)，用于風(fēng)險(xiǎn)識別、計(jì)量、評估、監(jiān)測、報(bào)告，資本和流動(dòng)性充足情況的評估。

第六章 內(nèi)部控制和審計(jì)

第四十五條（內(nèi)控要求）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)合理確定各項(xiàng)業(yè)務(wù)活動(dòng)和管理活動(dòng)的風(fēng)險(xiǎn)控制點(diǎn)，采取適當(dāng)?shù)目刂拼胧瑘?zhí)行標(biāo)準(zhǔn)統(tǒng)一的業(yè)務(wù)流程和管理流程，確保規(guī)范運(yùn)作。

第四十六條（內(nèi)審要求）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)將全面風(fēng)險(xiǎn)管理納入內(nèi)部審計(jì)范疇，定期審查和評價(jià)全面風(fēng)險(xiǎn)管理的充分性和有效性。

銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計(jì)活動(dòng)應(yīng)獨(dú)立于業(yè)務(wù)經(jīng)營、風(fēng)險(xiǎn)管理和合規(guī)管理，遵循獨(dú)立性、客觀性原則，不斷提升內(nèi)部審計(jì)人員的專業(yè)能力和職業(yè)操守。

全面風(fēng)險(xiǎn)管理的內(nèi)部審計(jì)報(bào)告應(yīng)當(dāng)直接提交董事會(huì)和監(jiān)事會(huì)。董事會(huì)應(yīng)當(dāng)針對內(nèi)部審計(jì)發(fā)現(xiàn)的問題，督促高級管理層及時(shí)采取整改措施。內(nèi)部審計(jì)部門應(yīng)當(dāng)跟蹤檢查整改措施的實(shí)施情況，并及時(shí)向董事會(huì)提交有關(guān)報(bào)告。

第七章 監(jiān)督管理

第四十七條（報(bào)備及報(bào)告要求）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)將風(fēng)險(xiǎn)管理策略、風(fēng)險(xiǎn)偏好、風(fēng)險(xiǎn)限額、風(fēng)險(xiǎn)管理政策和程序等報(bào)送銀行業(yè)監(jiān)督管理機(jī)構(gòu)，并至少按報(bào)送全面風(fēng)險(xiǎn)管理報(bào)告。

第四十八條（監(jiān)管內(nèi)容）銀行業(yè)監(jiān)督管理機(jī)構(gòu)應(yīng)當(dāng)將銀行業(yè)金融機(jī)構(gòu)全面風(fēng)險(xiǎn)管理納入法人監(jiān)管體系中，并根據(jù)本指引全面評估銀行業(yè)金融機(jī)構(gòu)風(fēng)險(xiǎn)管理體系的健全性和有效性，提出監(jiān)管意見，督促銀行業(yè)金融機(jī)構(gòu)持續(xù)加以完善。

第四十九條（監(jiān)管方式）銀行業(yè)監(jiān)督管理機(jī)構(gòu)通過非現(xiàn)場監(jiān)管和現(xiàn)場檢查等實(shí)施對銀行業(yè)金融機(jī)構(gòu)全面風(fēng)險(xiǎn)管理的持續(xù)監(jiān)管，具體方式包括但不限于監(jiān)管評級、風(fēng)險(xiǎn)提示、現(xiàn)場檢查、監(jiān)管通報(bào)、監(jiān)管會(huì)談、與內(nèi)外部審計(jì)師會(huì)談等。

第五十條（監(jiān)管溝通）銀行業(yè)監(jiān)督管理機(jī)構(gòu)應(yīng)當(dāng)就全面風(fēng)險(xiǎn)管理情況與銀行業(yè)金融機(jī)構(gòu)董事會(huì)、監(jiān)事會(huì)、高級管理層等進(jìn)行充分溝通，并視情況在銀行董事會(huì)、監(jiān)事會(huì)會(huì)議上通報(bào)。

第五十一條（監(jiān)管措施）對不能滿足本指引及其他關(guān)于全面風(fēng)險(xiǎn)管理要求的銀行業(yè)金融機(jī)構(gòu)，銀行業(yè)監(jiān)督管理機(jī)構(gòu)可以要求其制定整改方案，責(zé)令限期改正，并視情況采取相應(yīng)的監(jiān)管措施。

第八章 附則

第五十二條（與具體風(fēng)險(xiǎn)監(jiān)管要求的關(guān)系）各類具體風(fēng)險(xiǎn)的監(jiān)管要求按照銀行業(yè)監(jiān)督管理機(jī)構(gòu)的有關(guān)規(guī)制執(zhí)行。第五十三條（參照執(zhí)行）經(jīng)銀行業(yè)監(jiān)督管理機(jī)構(gòu)批準(zhǔn)設(shè)立的其他金融機(jī)構(gòu)參照本指引執(zhí)行。

第五十四條（施行時(shí)間）本指引自2016年 月 日起施行。本指引實(shí)施前發(fā)布的有關(guān)規(guī)范性文件如與本指引不一致的，按照本指引執(zhí)行。[1]

解讀一

為提升銀行業(yè)金融機(jī)構(gòu)全面風(fēng)險(xiǎn)管理水平，引導(dǎo)銀行業(yè)金融機(jī)構(gòu)更好服務(wù)實(shí)體經(jīng)濟(jì)，銀監(jiān)會(huì)近日發(fā)布了《銀行業(yè)金融機(jī)構(gòu)全面風(fēng)險(xiǎn)管理指引》（以下簡稱《指引》）。銀監(jiān)會(huì)有關(guān)部門負(fù)責(zé)人就《指引》相關(guān)問題回答了記者的提問。

一、《指引》制定的背景是什么？

答：《指引》制定的背景主要有三方面：一是我國銀行業(yè)風(fēng)險(xiǎn)管理缺乏統(tǒng)領(lǐng)性規(guī)制。近年來，銀監(jiān)會(huì)陸續(xù)制定了各類審慎監(jiān)管規(guī)則，覆蓋了資本管理、信用風(fēng)險(xiǎn)、市場風(fēng)險(xiǎn)、流動(dòng)性風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)、并表管理等各個(gè)領(lǐng)域，比較系統(tǒng)，但仍然缺乏一個(gè)針對全面風(fēng)險(xiǎn)管理的統(tǒng)領(lǐng)性、綜合性規(guī)則。因此，有必要制定關(guān)于全面風(fēng)險(xiǎn)管理的審慎規(guī)制，為銀行建立完善的全面風(fēng)險(xiǎn)管理體系提供政策依據(jù)和指導(dǎo)。二是銀行業(yè)金融機(jī)構(gòu)全面風(fēng)險(xiǎn)管理實(shí)踐有待完善。我國銀行業(yè)在全面風(fēng)險(xiǎn)管理體系建設(shè)上已取得一定的成果，但實(shí)踐中仍然存在以下問題有待完善：第一，全面風(fēng)險(xiǎn)管理的統(tǒng)籌性和有效性有待提升。第二，中小銀行業(yè)金融機(jī)構(gòu)全面風(fēng)險(xiǎn)管理體系建設(shè)起步相對較晚，精細(xì)化程度有待提高。第三，銀行業(yè)金融機(jī)構(gòu)全面風(fēng)險(xiǎn)管理成果的應(yīng)用較多基于銀監(jiān)會(huì)的監(jiān)管要求，深度和廣度仍有很大的拓展空間。三是國際監(jiān)管改革對風(fēng)險(xiǎn)管理提出了新的要求。2008年國際金融危機(jī)后，國際組織和各國監(jiān)管機(jī)構(gòu)都在積極完善金融機(jī)構(gòu)全面風(fēng)險(xiǎn)管理相關(guān)制度。2012年，巴塞爾委員會(huì)修訂了《有效銀行監(jiān)管核心原則》，完善和細(xì)化了原則15“風(fēng)險(xiǎn)管理體系”的各項(xiàng)標(biāo)準(zhǔn)。之后，巴塞爾委員會(huì)和金融穩(wěn)定理事會(huì)針對公司治理、風(fēng)險(xiǎn)偏好、風(fēng)險(xiǎn)文化和風(fēng)險(xiǎn)報(bào)告等全面風(fēng)險(xiǎn)管理要素陸續(xù)發(fā)布了一系列政策文件，提出了更具體的要求?！吨敢返闹贫仁欠e極適應(yīng)國際監(jiān)管改革新要求的結(jié)果，又有助于提升我國銀行業(yè)風(fēng)險(xiǎn)管理水平。

二、《指引》制定的主要思路是什么？

答：《指引》的起草主要基于以下思路：一是形成系統(tǒng)化的全面風(fēng)險(xiǎn)管理規(guī)制。二是提出風(fēng)險(xiǎn)管理的統(tǒng)領(lǐng)性框架，強(qiáng)化全面性和關(guān)聯(lián)性視角。三是提高可操作性，提供全面風(fēng)險(xiǎn)管理和監(jiān)管指南。四是引入《核心原則》最低標(biāo)準(zhǔn)，反映國際監(jiān)管改革最新成果。五是充分考慮各類機(jī)構(gòu)的差異化情況。六是注重與已有規(guī)制的銜接。

三、《指引》對全面風(fēng)險(xiǎn)管理有哪些原則性規(guī)定？

答：《指引》對銀行業(yè)金融機(jī)構(gòu)全面風(fēng)險(xiǎn)管理提出四點(diǎn)管理原則：一是匹配性原則。全面風(fēng)險(xiǎn)管理體系應(yīng)當(dāng)與風(fēng)險(xiǎn)狀況和系統(tǒng)重要性等相適應(yīng)，并根據(jù)環(huán)境變化進(jìn)行調(diào)整。二是全覆蓋原則。全面風(fēng)險(xiǎn)管理應(yīng)當(dāng)覆蓋各個(gè)業(yè)務(wù)條線，包括本外幣、表內(nèi)外、境內(nèi)外業(yè)務(wù)；覆蓋所有分支機(jī)構(gòu)、附屬機(jī)構(gòu)，部門、崗位和人員；覆蓋所有風(fēng)險(xiǎn)種類和不同風(fēng)險(xiǎn)之間的相互影響；貫穿決策、執(zhí)行和監(jiān)督全部管理環(huán)節(jié)。三是獨(dú)立性原則。銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立獨(dú)立的全面風(fēng)險(xiǎn)管理組織架構(gòu)，賦予風(fēng)險(xiǎn)管理?xiàng)l線足夠的授權(quán)、人力資源及其他資源配置，建立科學(xué)合理的報(bào)告渠道，與業(yè)務(wù)條線之間形成相互制衡的運(yùn)行機(jī)制。四是有效性原則。銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)將全面風(fēng)險(xiǎn)管理的結(jié)果應(yīng)用于經(jīng)營管理，根據(jù)風(fēng)險(xiǎn)狀況、市場和宏觀經(jīng)濟(jì)情況評估資本和流動(dòng)性的充足性，有效抵御所承擔(dān)的總體風(fēng)險(xiǎn)和各類風(fēng)險(xiǎn)。

四、《指引》對全面風(fēng)險(xiǎn)管理提出哪些主要要求？

答：《指引》提出了銀行業(yè)金融機(jī)構(gòu)全面風(fēng)險(xiǎn)管理體系的五個(gè)主要要素，包括風(fēng)險(xiǎn)治理架構(gòu)，風(fēng)險(xiǎn)管理策略、風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)限額，風(fēng)險(xiǎn)管理政策和程序，管理信息系統(tǒng)和數(shù)據(jù)質(zhì)量控制，內(nèi)部控制和審計(jì)體系等?！吨敢穼σ陨弦氐木唧w內(nèi)容也進(jìn)行了規(guī)定。

其中，關(guān)于風(fēng)險(xiǎn)偏好，《指引》規(guī)定銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)制定書面的風(fēng)險(xiǎn)偏好，做到定性指標(biāo)和定量指標(biāo)并重，并提出了風(fēng)險(xiǎn)偏好應(yīng)包括的七項(xiàng)具體內(nèi)容。關(guān)于風(fēng)險(xiǎn)限額，《指引》提出，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)制定風(fēng)險(xiǎn)限額管理的政策和程序，建立風(fēng)險(xiǎn)限額設(shè)定、限額調(diào)整、超限額報(bào)告和處理制度。同時(shí)，在風(fēng)險(xiǎn)限額臨近監(jiān)管指標(biāo)限額時(shí)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)啟動(dòng)相應(yīng)的糾正措施和報(bào)告程序，采取必要的風(fēng)險(xiǎn)分散措施，并向銀行業(yè)監(jiān)督管理機(jī)構(gòu)報(bào)告。

五、《指引》對全面風(fēng)險(xiǎn)管理的責(zé)任主體提出哪些要求？

答：《指引》采用了風(fēng)險(xiǎn)管理“三道防線”的理念，強(qiáng)調(diào)銀行業(yè)金融機(jī)構(gòu)董事會(huì)承擔(dān)全面風(fēng)險(xiǎn)管理的最終責(zé)任。銀行業(yè)金融機(jī)構(gòu)監(jiān)事會(huì)承擔(dān)全面風(fēng)險(xiǎn)管理的監(jiān)督責(zé)任，負(fù)責(zé)監(jiān)督檢查董事會(huì)和高級管理層在風(fēng)險(xiǎn)管理方面的履職盡責(zé)情況并督促整改。銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)設(shè)立或指定部門負(fù)責(zé)全面風(fēng)險(xiǎn)管理，牽頭履行全面風(fēng)險(xiǎn)的日常管理。銀行業(yè)金融機(jī)構(gòu)各業(yè)務(wù)經(jīng)營條線承擔(dān)風(fēng)險(xiǎn)管理的直接責(zé)任。

六、《指引》是否充分考慮各類機(jī)構(gòu)的差異性？

答：《指引》定位于為銀行業(yè)金融機(jī)構(gòu)完善全面風(fēng)險(xiǎn)管理體系提供系統(tǒng)性指導(dǎo)框架。在此基礎(chǔ)上，《指引》充分考慮了各類銀行業(yè)金融機(jī)構(gòu)的差異化情況。一是區(qū)分適用和參照執(zhí)行。適用范圍明確為我國境內(nèi)設(shè)立的銀行業(yè)金融機(jī)構(gòu)，經(jīng)銀行業(yè)監(jiān)督管理機(jī)構(gòu)批準(zhǔn)設(shè)立的其他金融機(jī)構(gòu)參照本指引執(zhí)行。二是明確匹配性原則。考慮到各類機(jī)構(gòu)特點(diǎn)的差異性，《指引》明確提出全面風(fēng)險(xiǎn)管理體系應(yīng)當(dāng)與風(fēng)險(xiǎn)狀況和系統(tǒng)重要性等相匹配，并根據(jù)環(huán)境變化進(jìn)行調(diào)整。三是部分條款增加了適用的前提條件。如對規(guī)模較大或業(yè)務(wù)復(fù)雜的銀行業(yè)金融機(jī)構(gòu)提出設(shè)立風(fēng)險(xiǎn)總監(jiān)（首席風(fēng)險(xiǎn)官）的要求。[2]

解讀二

銀行業(yè)金融機(jī)構(gòu)全面風(fēng)險(xiǎn)管理指引[1]

中國銀監(jiān)會(huì)就《銀行業(yè)金融機(jī)構(gòu)全面風(fēng)險(xiǎn)管理指引（征求意見稿）》公開征求意見 為提升銀行業(yè)金融機(jī)構(gòu)全面風(fēng)險(xiǎn)管理水平，中國銀監(jiān)會(huì)起草了《銀行業(yè)金融機(jī)構(gòu)全面風(fēng)險(xiǎn)管理指引（征求意見稿）》（以下簡稱《指引》），現(xiàn)向社會(huì)公開征求意見。銀監(jiān)會(huì)將根據(jù)各界反饋意見，進(jìn)一步修改完善《指引》，適時(shí)發(fā)布。

近年來，為加強(qiáng)和規(guī)范商業(yè)銀行風(fēng)險(xiǎn)管理，銀監(jiān)會(huì)借鑒國際金融監(jiān)管改革成果，緊密結(jié)合我國銀行業(yè)實(shí)際，陸續(xù)制定了各類審慎監(jiān)管規(guī)則，覆蓋了資本管理、信用風(fēng)險(xiǎn)、市場風(fēng)險(xiǎn)、流動(dòng)性風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)、并表管理等各個(gè)領(lǐng)域，初步建立起一套較為完整的風(fēng)險(xiǎn)管理規(guī)制體系。在此基礎(chǔ)上，銀監(jiān)會(huì)從現(xiàn)有規(guī)則中梳理提煉出共性要素，同時(shí)參照巴塞爾銀行委員會(huì)《有效銀行監(jiān)管核心原則》的基本要求，借鑒國際經(jīng)驗(yàn)，起草了《指引》，形成了我國銀行業(yè)全面風(fēng)險(xiǎn)管理的統(tǒng)領(lǐng)性、綜合性規(guī)則，引導(dǎo)銀行業(yè)樹立全面風(fēng)險(xiǎn)管理意識，建立穩(wěn)健的風(fēng)險(xiǎn)文化，健全風(fēng)險(xiǎn)管理治理架構(gòu)和要素，完善全面風(fēng)險(xiǎn)管理體系，持續(xù)提高風(fēng)險(xiǎn)管理水平。

《指引》共8章54條，包括總則，風(fēng)險(xiǎn)治理架構(gòu)，風(fēng)險(xiǎn)管理策略、風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)限額，風(fēng)險(xiǎn)管理政策和程序，管理信息系統(tǒng)和數(shù)據(jù)質(zhì)量，內(nèi)部控制和審計(jì)，監(jiān)督管理及附則，強(qiáng)調(diào)銀行業(yè)金融機(jī)構(gòu)按照匹配性、全覆蓋、獨(dú)立性和有效性的原則，建立健全全面風(fēng)險(xiǎn)管理體系，并加強(qiáng)外部監(jiān)管。

第三篇：銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引

中國銀行業(yè)監(jiān)督管理委員會(huì)

銀監(jiān)發(fā)[2013]5號

中國銀監(jiān)會(huì)關(guān)于印發(fā)銀行業(yè)金融機(jī)構(gòu)信息科技外

包風(fēng)險(xiǎn)監(jiān)管指引的通知

各銀監(jiān)局，各政策性銀行、國有商業(yè)銀行、股份制商業(yè)銀行、金融資產(chǎn)管理公司，郵儲銀行，各省級農(nóng)村信用聯(lián)社，銀監(jiān)會(huì)直接監(jiān)管的信托公司、企業(yè)集團(tuán)財(cái)務(wù)公司、金融租賃公司：

現(xiàn)將《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》印發(fā)給你們，請遵照執(zhí)行。

2013年2月16日

銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引

第一章 總則

第一條

為規(guī)范銀行業(yè)金融機(jī)構(gòu)的信息科技外包活動(dòng)，降低信息科技外包風(fēng)險(xiǎn)，根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》等法律法規(guī)，制定本指引。

第二條

在中華人民共和國境內(nèi)設(shè)立的政策性銀行、商業(yè)銀行、農(nóng)村合作銀行、省（自治區(qū)）農(nóng)村信用社聯(lián)合社適用本指引。銀監(jiān)會(huì)監(jiān)管的其他金融機(jī)構(gòu)參照本指引執(zhí)行。第三條

本指引所稱信息科技外包是指銀行業(yè)金融機(jī)構(gòu)將原本由自身負(fù)責(zé)處理的信息科技活動(dòng)委托給服務(wù)提供商進(jìn)行處理的行為，包含項(xiàng)目外包、人力資源外包等形式。原則上包括以下類型：

（一）研發(fā)咨詢類外包：科技管理及科技治理等咨詢設(shè)計(jì)外包，規(guī)劃、需求、系統(tǒng)開發(fā)、測試外包；

（二）系統(tǒng)運(yùn)行維護(hù)類外包：包括數(shù)據(jù)中心（災(zāi)備中心）、機(jī)房配套設(shè)施、網(wǎng)絡(luò)、系統(tǒng)的運(yùn)維外包，自助設(shè)備、POS機(jī)等遠(yuǎn)程終端及辦公設(shè)備的運(yùn)維外包；

（三）業(yè)務(wù)外包中的信息科技活動(dòng)：市場拓展、業(yè)務(wù)操作、企業(yè)管理、資產(chǎn)處臵等外包中的系統(tǒng)開發(fā)、運(yùn)行維護(hù)和數(shù)據(jù)處理活動(dòng)。

第四條

本指引所稱關(guān)聯(lián)外包是指服務(wù)提供商為銀行業(yè)金融機(jī)構(gòu)的母公司或其所屬集團(tuán)子公司、關(guān)聯(lián)公司或附屬機(jī)構(gòu)提供信息科技外包。

第五條

信息科技外包可能產(chǎn)生如下風(fēng)險(xiǎn)，并導(dǎo)致銀行業(yè)金融機(jī)構(gòu)的戰(zhàn)略、聲譽(yù)、合規(guī)風(fēng)險(xiǎn)：

（一）科技能力喪失：銀行業(yè)金融機(jī)構(gòu)過度依賴外部資源導(dǎo)致失去科技控制及創(chuàng)新能力，影響業(yè)務(wù)創(chuàng)新與發(fā)展；

（二）業(yè)務(wù)中斷：支持業(yè)務(wù)運(yùn)營的外包服務(wù)無法持續(xù)提供導(dǎo)致業(yè)務(wù)中斷；

（三）信息泄露：包含客戶信息在內(nèi)的銀行業(yè)金融機(jī)構(gòu)非公開數(shù)據(jù)被服務(wù)提供商非法獲得或泄露；

（四）服務(wù)水平下降：由于外包服務(wù)質(zhì)量問題或內(nèi)外部協(xié)作效率低下，使得銀行業(yè)金融機(jī)構(gòu)信息科技服務(wù)水平下降。

第六條

本指引所稱機(jī)構(gòu)集中度風(fēng)險(xiǎn)是指銀行業(yè)金融機(jī)構(gòu)將信息科技外包服務(wù)集中交由少量服務(wù)提供商承接而產(chǎn)生的風(fēng)險(xiǎn)，該風(fēng)險(xiǎn)可能造成集中性的服務(wù)中斷、質(zhì)量下降、安全事件等。

第七條

本指引所稱同業(yè)托管機(jī)構(gòu)是指作為外包服務(wù)提供商為其他同行業(yè)金融機(jī)構(gòu)提供信息科技外包服務(wù)的銀行業(yè)金融機(jī)構(gòu)。

第八條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)將信息科技外包管理納入全面風(fēng)險(xiǎn)管理體系，建立與本機(jī)構(gòu)信息科技戰(zhàn)略目標(biāo)相適應(yīng)的外包管理體系，控制或降低由于外包而引發(fā)的風(fēng)險(xiǎn)。

第九條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立信息科技外包管理組織架構(gòu)，制定外包管理戰(zhàn)略，定期進(jìn)行外包風(fēng)險(xiǎn)評估，通過服務(wù)提供商準(zhǔn)入、評價(jià)、退出等手段建立及維護(hù)符合自身戰(zhàn)略目標(biāo)的供應(yīng)商關(guān)系管理策略。

第十條

銀行業(yè)金融機(jī)構(gòu)在實(shí)施信息科技外包時(shí)應(yīng)當(dāng)堅(jiān)持以下原則：

（一）以不妨礙核心能力建設(shè)、積極掌握關(guān)鍵技術(shù)為導(dǎo)向；

（二）保持外包風(fēng)險(xiǎn)、成本和效益的平衡；

（三）強(qiáng)調(diào)外包風(fēng)險(xiǎn)的事前控制，保持管控力度；

（四）根據(jù)外包管理及技術(shù)發(fā)展趨勢，持續(xù)改進(jìn)外包策略和措施。

第十一條

銀行業(yè)金融機(jī)構(gòu)在實(shí)施信息科技外包時(shí)，不得將信息科技管理責(zé)任外包。

第十二條

對于不涉及銀行客戶及內(nèi)部信息轉(zhuǎn)移的信息科技產(chǎn)品采購、維保，及通訊線路租用、支付或清算系統(tǒng)接入等信息科技公共基礎(chǔ)設(shè)施服務(wù)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)充分評估其信息科技風(fēng)險(xiǎn)，按照本指引第五章要求進(jìn)行管理。

第二章 外包管理組織架構(gòu)

第十三條

銀行業(yè)金融機(jī)構(gòu)董事會(huì)及高級管理層應(yīng)當(dāng)嚴(yán)格落實(shí)信息科技外包風(fēng)險(xiǎn)管理的相關(guān)職責(zé), 明確信息科技外包風(fēng)險(xiǎn)管理的主管部門，制定并審批信息科技外包戰(zhàn)略，審議信息科技外包管理流程及制度，督促并監(jiān)控信息科技外包風(fēng)險(xiǎn)管理效果。

第十四條

信息科技外包風(fēng)險(xiǎn)主管部門的主要職責(zé)包括：

（一）對外包風(fēng)險(xiǎn)進(jìn)行識別、評估與風(fēng)險(xiǎn)提示；

（二）監(jiān)督、評價(jià)外包管理工作，并督促外包風(fēng)險(xiǎn)管理的持續(xù)改善；

（三）向高級管理層定期匯報(bào)信息科技外包活動(dòng)相關(guān)風(fēng)險(xiǎn)管理情況；

（四）董事會(huì)或高級管理層確定的其他信息科技外包風(fēng)險(xiǎn)管理職責(zé)。

第十五條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在信息科技管理部門或信息科技外包活動(dòng)執(zhí)行部門內(nèi)建立信息科技外包管理執(zhí)行團(tuán)隊(duì)，并配備足夠人員履行以下職責(zé)：

（一）實(shí)施信息科技外包戰(zhàn)略；

（二）制定并執(zhí)行信息科技外包管理制度與流程；

（三）執(zhí)行供應(yīng)商準(zhǔn)入、評價(jià)、退出管理，建立并維護(hù)供應(yīng)商關(guān)系管理策略；

（四）制定保障外包服務(wù)持續(xù)性的應(yīng)急管理方案，并組織實(shí)施定期演練；

（五）對外包過程中的各項(xiàng)管理活動(dòng)進(jìn)行監(jiān)控及分析，定期向信息科技及外包風(fēng)險(xiǎn)管理主管部門報(bào)告外包活動(dòng)情況。

第三章 信息科技外包戰(zhàn)略及風(fēng)險(xiǎn)管理

第一節(jié) 信息科技外包戰(zhàn)略

第十六條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)以提升信息科技隊(duì)伍能力，提高科技管理及創(chuàng)新水平，掌握信息科技核心技能為目標(biāo)，基于信息科技戰(zhàn)略、外包市場環(huán)境、自身風(fēng)險(xiǎn)控制能力和風(fēng)險(xiǎn)偏好制定信息科技外包戰(zhàn)略，包括：不能外包的職能、資源能力建設(shè)方案、供應(yīng)商關(guān)系管理策略和外包分級管理策略。

第十七條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)自身信息科技戰(zhàn)略明確不能外包的職能。涉及戰(zhàn)略管理、風(fēng)險(xiǎn)管理、內(nèi)部審計(jì)及其他有關(guān)信息科技核心競爭力的職能不得外包。第十八條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)外包戰(zhàn)略制定資源、能力建設(shè)方案，通過補(bǔ)充人員、提升技能、知識轉(zhuǎn)移等方式，有針對性地獲取或提升管理及技術(shù)能力，降低對服務(wù)提供商的依賴。

第十九條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立與自身規(guī)模、市場地位相適應(yīng)的供應(yīng)商關(guān)系管理策略。通過準(zhǔn)入和退出機(jī)制合理管控各類高風(fēng)險(xiǎn)服務(wù)提供商的數(shù)量，實(shí)現(xiàn)以下目標(biāo)：防范行業(yè)壟斷和機(jī)構(gòu)集中度風(fēng)險(xiǎn)，通過引入適當(dāng)?shù)母偁幵诮档筒少彸杀镜耐瑫r(shí)提高服務(wù)質(zhì)量，合理管控服務(wù)提供商的數(shù)量從而降低風(fēng)險(xiǎn)及管理成本等。

第二十條

銀行業(yè)金融機(jī)構(gòu)可以按照外包服務(wù)性質(zhì)和重要性程度對服務(wù)提供商進(jìn)行分級管理，對不同級別的服務(wù)提供商采取差異化的管控措施，在有效管理重要風(fēng)險(xiǎn)的前提下降低管理成本。

第二十一條

銀行業(yè)金融機(jī)構(gòu)要同母公司或集團(tuán)公司協(xié)同做好外包服務(wù)及服務(wù)提供商的管理工作，但應(yīng)當(dāng)保持關(guān)聯(lián)外包有關(guān)決策的獨(dú)立性，避免因關(guān)聯(lián)關(guān)系而降低外包活動(dòng)的風(fēng)險(xiǎn)控制水平。

第二節(jié) 信息科技外包風(fēng)險(xiǎn)管理

第二十二條

銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)管理部門應(yīng)當(dāng)至少每年開展一次全面的外包風(fēng)險(xiǎn)管理評估，保持評估的獨(dú)立性，并向高級管理層提交評估報(bào)告。評估內(nèi)容包括：信息科技外包戰(zhàn)略執(zhí)行情況、外包信息安全、機(jī)構(gòu)集中度、服務(wù)連續(xù)性、服務(wù)質(zhì)量、政策及市場變化對外包服務(wù)的影響分析等。

第二十三條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對重要的外包服務(wù)提供商進(jìn)行定期的風(fēng)險(xiǎn)評估，保持評估的獨(dú)立性。至少在三年內(nèi)覆蓋所有重要的服務(wù)提供商。評估內(nèi)容包括：服務(wù)提供商合規(guī)情況、服務(wù)的執(zhí)行效果等，評估結(jié)果應(yīng)當(dāng)作為服務(wù)提供商準(zhǔn)入及退出的重要依據(jù)。

第二十四條

銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計(jì)部門應(yīng)當(dāng)定期開展信息科技外包風(fēng)險(xiǎn)管理審計(jì)工作，至少每三年對重要的外包服務(wù)活動(dòng)進(jìn)行一次全面審計(jì)。發(fā)生外包風(fēng)險(xiǎn)事件后應(yīng)當(dāng)及時(shí)開展專項(xiàng)審計(jì)。

第四章 信息科技外包管理

第一節(jié) 外包風(fēng)險(xiǎn)評估及準(zhǔn)入

第二十五條

外包項(xiàng)目立項(xiàng)前，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)審慎檢查項(xiàng)目與信息科技外包戰(zhàn)略的一致性，根據(jù)項(xiàng)目內(nèi)容、范圍、性質(zhì)對其進(jìn)行風(fēng)險(xiǎn)識別和評估，制定相應(yīng)的風(fēng)險(xiǎn)處臵措施，不因外包活動(dòng)的引入而增加整體剩余風(fēng)險(xiǎn)。重大外包項(xiàng)目應(yīng)向董事會(huì)、高管層報(bào)告。

第二十六條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)供應(yīng)商關(guān)系管理策略，結(jié)合風(fēng)險(xiǎn)評估結(jié)果及服務(wù)提供商的準(zhǔn)入標(biāo)準(zhǔn)，對備選服務(wù)提供商進(jìn)行初步篩選，防范引入高機(jī)構(gòu)集中度風(fēng)險(xiǎn)特點(diǎn)的服務(wù)提供商、或引入增加整體風(fēng)險(xiǎn)的服務(wù)提供商。

第二十七條

對于外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況，銀行業(yè)金融機(jī)構(gòu)可參照本節(jié)內(nèi)容對其進(jìn)行管理。

第二節(jié) 服務(wù)提供商盡職調(diào)查

第二十八條

對重要的服務(wù)提供商，銀行業(yè)金融機(jī)構(gòu)在與其簽訂合同前應(yīng)當(dāng)深入開展盡職調(diào)查，必要時(shí)可聘請第三方機(jī)構(gòu)協(xié)助調(diào)查。

第二十九條

銀行業(yè)金融機(jī)構(gòu)在盡職調(diào)查時(shí)應(yīng)當(dāng)關(guān)注服務(wù)提供商的技術(shù)和行業(yè)經(jīng)驗(yàn)，包括但不限于：服務(wù)能力和支持技術(shù)、服務(wù)經(jīng)驗(yàn)、服務(wù)人員技能、市場評價(jià)、監(jiān)管評價(jià)等。

第三十條

銀行業(yè)金融機(jī)構(gòu)在盡職調(diào)查時(shí)應(yīng)當(dāng)關(guān)注服務(wù)提供商的內(nèi)部控制和管理能力，包括但不限于：內(nèi)部控制機(jī)制和管理流程的完善程度、內(nèi)部控制技術(shù)和工具等。

第三十一條

銀行業(yè)金融機(jī)構(gòu)在盡職調(diào)查時(shí)應(yīng)當(dāng)關(guān)注服務(wù)提供商的持續(xù)經(jīng)營狀況，包括但不限于：從業(yè)時(shí)間、市場地位及發(fā)展趨勢、資金的安全性、近期盈利情況等。

第三十二條

對于關(guān)聯(lián)外包，銀行業(yè)金融機(jī)構(gòu)不得因關(guān)聯(lián)關(guān)系而降低對服務(wù)提供商的要求，應(yīng)當(dāng)在盡職調(diào)查階段詳細(xì)分析服務(wù)提供商技術(shù)、內(nèi)控和管理水平，確認(rèn)其有足夠能力實(shí)施外包

服務(wù)、處理突發(fā)事件等。

第三十三條

對于外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況，銀行業(yè)金融機(jī)構(gòu)可參照本節(jié)內(nèi)容對其進(jìn)行管理。

第三節(jié) 外包服務(wù)合同及要求

第三十四條

銀行業(yè)金融機(jī)構(gòu)在實(shí)施外包服務(wù)項(xiàng)目前，應(yīng)當(dāng)與服務(wù)提供商簽訂服務(wù)合同。合同應(yīng)當(dāng)根據(jù)外包服務(wù)需求、風(fēng)險(xiǎn)評估及盡職調(diào)查結(jié)果確定詳細(xì)程度和重點(diǎn)。

第三十五條

銀行業(yè)金融機(jī)構(gòu)在合同或協(xié)議中應(yīng)當(dāng)明確以下內(nèi)容，包括但不限于：

（一）服務(wù)范圍、服務(wù)內(nèi)容、工作時(shí)限及安排、責(zé)任分配、交付物要求以及后續(xù)合作中的相關(guān)限定條件；

（二）合規(guī)與內(nèi)控要求，對法律法規(guī)及銀行業(yè)金融機(jī)構(gòu)內(nèi)部管理制度的遵從要求、監(jiān)管政策的通報(bào)貫徹機(jī)制、服務(wù)提供商的內(nèi)控措施；

（三）服務(wù)連續(xù)性要求，服務(wù)提供商的服務(wù)連續(xù)性管理目標(biāo)應(yīng)當(dāng)滿足銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)連續(xù)性目標(biāo)要求；

（四）銀行業(yè)金融機(jī)構(gòu)監(jiān)控和檢查的權(quán)利、頻率，服務(wù)提供商配合其內(nèi)、外部審計(jì)機(jī)構(gòu)檢查，及配合銀行業(yè)監(jiān)管機(jī)構(gòu)檢查的責(zé)任；

（五）政策或環(huán)境變化因素等在內(nèi)的合同變更或終止的觸發(fā)條件，外包服務(wù)提供商在過渡期間應(yīng)該履行的主要職責(zé)及合同變更或終止的過渡安排，包括信息、資料和設(shè)施的交接處臵等過渡期間相關(guān)服務(wù)的安排；

（六）外包服務(wù)過程中產(chǎn)生、加工、交互的信息和知識產(chǎn)權(quán)的歸屬權(quán)以及允許服務(wù)提供商使用的內(nèi)容及范圍，對服務(wù)提供商使用合法軟、硬件產(chǎn)品的要求；

（七）服務(wù)要求或服務(wù)水平條款，至少應(yīng)當(dāng)包括如下內(nèi)容：外包服務(wù)的關(guān)鍵要素、服務(wù)時(shí)效和可用性、數(shù)據(jù)的機(jī)密性和完整性要求、變更的控制、安全標(biāo)準(zhǔn)的遵守情況、技術(shù)支持水平等；

（八）爭端解決機(jī)制、違約及賠償條款，至少包括如下內(nèi)容：服務(wù)質(zhì)量違約、安全違約、知識產(chǎn)權(quán)違約等，及在各種違約情況下的賠償以及外包爭端的解決機(jī)制；

（九）報(bào)告條款，至少包括常規(guī)報(bào)告內(nèi)容和報(bào)告頻度、突發(fā)事件時(shí)的報(bào)告路線、報(bào)告方式及時(shí)限要求。

第三十六條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在合同或協(xié)議中明確服務(wù)提供商在安全和保密方面的責(zé)任，以及針對安全及保密要求需采取的具體措施。包括但不限于：

（一）禁止服務(wù)提供商在合同允許范圍外使用或者披露銀行業(yè)金融機(jī)構(gòu)的信息，以防止信息被非授權(quán)使用；

（二）在合同或協(xié)議中約定服務(wù)提供商對銀行客戶信息安全和銀行客戶權(quán)利的保護(hù)條款、事故處理方式及違約賠償條款；

（三）在合同或協(xié)議中約定服務(wù)提供商不得以所服務(wù)的銀行業(yè)金融機(jī)構(gòu)名義開展活動(dòng)；

（四）服務(wù)提供商接觸銀行業(yè)金融機(jī)構(gòu)信息時(shí)，需滿足安全和保密相關(guān)條款的要求；

（五）在發(fā)生銀監(jiān)會(huì)規(guī)定的信息科技突發(fā)事件，或發(fā)生可能引發(fā)系統(tǒng)性、區(qū)域性銀行業(yè)信息科技風(fēng)險(xiǎn)類突發(fā)事件時(shí)，服務(wù)提供商應(yīng)及時(shí)向銀行業(yè)金融機(jī)構(gòu)報(bào)告，包括事件的影響以及處臵

和糾正措施。

第三十七條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在合同或協(xié)議中明確要求服務(wù)提供商不得將外包服務(wù)轉(zhuǎn)包和變相轉(zhuǎn)包。在涉及外包服務(wù)分包時(shí)應(yīng)當(dāng)要求：

（一）不得將外包服務(wù)的主要業(yè)務(wù)分包；

（二）主服務(wù)提供商對服務(wù)水平負(fù)總責(zé)，確保分包服務(wù)提供商能夠嚴(yán)格遵守外包合同或協(xié)議；

（三）主服務(wù)提供商對分包商進(jìn)行監(jiān)控，并對分包商的變更履行通知或報(bào)告審批義務(wù)。

第四節(jié) 外包服務(wù)安全管理

第三十八條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)制定和落實(shí)信息安全管控措施，防范因外包活動(dòng)引起的信息泄露、信息篡改、信息不可用、非法入侵、物理環(huán)境或設(shè)施遭受破壞等風(fēng)險(xiǎn)。具體措施包括：

（一）對外包人員進(jìn)行信息安全培訓(xùn)，提高風(fēng)險(xiǎn)管理意識，確保信息安全管控措施在外包服務(wù)過程中有效落實(shí)；

（二）明確外包活動(dòng)需要訪問或使用的信息資產(chǎn)，包括場地、辦公設(shè)施、計(jì)算機(jī)、服務(wù)器、軟件、數(shù)據(jù)、信息、物理訪問控制設(shè)備、賬號、網(wǎng)絡(luò)寬帶、網(wǎng)絡(luò)端口等，按“必需知道”和“最小授權(quán)”原則進(jìn)行訪問授權(quán)；

（三）對重要或核心的信息系統(tǒng)開發(fā)交付物進(jìn)行源代碼檢查和安全掃描；

（四）定期對服務(wù)提供商進(jìn)行安全檢查，獲取服務(wù)提供商自評估或第三方評估報(bào)告。

第三十九條

銀行業(yè)金融機(jī)構(gòu)對關(guān)聯(lián)外包服務(wù)提供商定期進(jìn)行的安全檢查，不得以服務(wù)提供商的自評估替代，不得因關(guān)聯(lián)關(guān)系而影響檢查的獨(dú)立性、客觀性及公正性。

第四十條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)關(guān)注外包服務(wù)引入的新技術(shù)或新應(yīng)用對現(xiàn)有治理模式及安全架構(gòu)的沖擊，及時(shí)完善信息安全管控體系，避免因新技術(shù)或應(yīng)用的引入而增加額外的信息安全風(fēng)險(xiǎn)。

第五節(jié) 外包服務(wù)監(jiān)控與評價(jià)

第四十一條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對外包服務(wù)過程進(jìn)行持續(xù)監(jiān)控，要求服務(wù)提供商建立階段性服務(wù)目標(biāo)及任務(wù)，并跟蹤任務(wù)的執(zhí)行情況，及時(shí)發(fā)現(xiàn)和糾正服務(wù)過程中存在的各類異常情況。

第四十二條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)信息科技外包需求、合同、服務(wù)水平協(xié)議等建立明確的服務(wù)質(zhì)量監(jiān)控指標(biāo)，并進(jìn)行相應(yīng)監(jiān)控。常見指標(biāo)包括：

（一）信息系統(tǒng)和設(shè)備及基礎(chǔ)設(shè)施的可用率、設(shè)備的開機(jī)率；

（二）故障次數(shù)、故障解決率、故障的響應(yīng)時(shí)間；

（三）服務(wù)的次數(shù)、客戶滿意度；

（四）各階段業(yè)務(wù)需求的及時(shí)完成率、程序的缺陷數(shù)、需求變更率；

（五）外包人員工作飽和率、外包人員的考核合格率。

第四十三條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立明確的服務(wù)目錄、服務(wù)水平協(xié)議以及服務(wù)水平監(jiān)控評價(jià)機(jī)制,并確保外包服務(wù)監(jiān)控基礎(chǔ)數(shù)據(jù)和評價(jià)結(jié)果的真實(shí)性和完整性，且數(shù)據(jù)至少需保存到服務(wù)結(jié)束后一年。

第四十四條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對服務(wù)提供商的財(cái)務(wù)、內(nèi)控及安全管理進(jìn)行持續(xù)監(jiān)控，關(guān)注其因破產(chǎn)、兼并、關(guān)鍵人員流失、投入不足和管理不善等因素引發(fā)的財(cái)務(wù)狀況惡化及內(nèi)部管理混亂等情況，防范外包服務(wù)意外終止或服務(wù)質(zhì)量的急劇下降。

第四十五條

銀行業(yè)金融機(jī)構(gòu)監(jiān)控到異常情況時(shí)，應(yīng)當(dāng)及時(shí)督促服務(wù)提供商采取糾正措施，情節(jié)嚴(yán)重的或未及時(shí)糾正的，應(yīng)當(dāng)約談服務(wù)提供商高管人員并限期整改。

第四十六條

外包服務(wù)結(jié)束時(shí)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對服務(wù)提供商進(jìn)行評價(jià)，評價(jià)結(jié)果應(yīng)當(dāng)作為服務(wù)提供商準(zhǔn)入的重要參考依據(jù)。

第四十七條

對于關(guān)聯(lián)外包，銀行業(yè)金融機(jī)構(gòu)董事會(huì)及高級管理層應(yīng)當(dāng)推動(dòng)母公司或所屬集團(tuán)將外包服務(wù)質(zhì)量納入對服務(wù)提供商的業(yè)績評價(jià)范圍，建立外包服務(wù)重大事件問責(zé)機(jī)制。同時(shí)，應(yīng)當(dāng)要求服務(wù)提供商在其內(nèi)部建立與外包服務(wù)水平相關(guān)的績效考核機(jī)制。

第六節(jié) 外包服務(wù)中斷與終止

第四十八條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)考慮信息科技外包的引入對業(yè)務(wù)連續(xù)性管理的影響，有針對性地完善業(yè)務(wù)連續(xù)性管理計(jì)劃，包括但不限于：

（一）識別出重要業(yè)務(wù)所涉及的服務(wù)提供商和資源；

（二）通過合同、協(xié)議等形式明確要求服務(wù)提供商提前準(zhǔn)備并維護(hù)好相關(guān)資源；

（三）對服務(wù)提供商業(yè)務(wù)連續(xù)性管理進(jìn)行監(jiān)控，并評價(jià)其管理水平；

（四）在進(jìn)行業(yè)務(wù)連續(xù)性計(jì)劃演練時(shí)將相關(guān)的服務(wù)提供商納入演練范圍。

第四十九條

為降低外包突發(fā)事件的可能性及影響，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)事先對業(yè)務(wù)連續(xù)性管理造成重大影響的外包服務(wù)建立風(fēng)險(xiǎn)控制、緩釋或轉(zhuǎn)移措施，包括但不限于以下內(nèi)容：

（一）在外包服務(wù)實(shí)施過程中持續(xù)收集服務(wù)提供商相關(guān)信息，盡早發(fā)現(xiàn)可能導(dǎo)致服務(wù)中斷的情況；

（二）與服務(wù)提供商事先約定在其服務(wù)質(zhì)量不能滿足合同要求的情況下獲取其外包服務(wù)資源的優(yōu)先權(quán)；

（三）要求服務(wù)提供商制定服務(wù)中斷相關(guān)的應(yīng)急處理預(yù)案，如提供備份人員；

（四）對于涉及重要業(yè)務(wù)的外包服務(wù)，銀行業(yè)金融機(jī)構(gòu)需考慮預(yù)先在其內(nèi)部配臵相應(yīng)的人力資源，掌握必要的技能，以在外包服務(wù)中斷期間自行維持最低限度的服務(wù)能力。

第五十條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)針對重要外包服務(wù)中斷的場景，擬定相應(yīng)的應(yīng)急計(jì)劃，并定期進(jìn)行演練，考慮因素包括但不限于以下內(nèi)容：

（一）事件場景，如重要人員流失導(dǎo)致服務(wù)無法持續(xù)，服務(wù)提供商主動(dòng)退出，因資質(zhì)變更、被收購、兼并或破產(chǎn)等原因?qū)е碌姆?wù)提供商被動(dòng)退出等；

（二）事件持續(xù)時(shí)間和恢復(fù)可能性；

（三）事件影響范圍和可能的應(yīng)急措施；

（四）服務(wù)提供商自行恢復(fù)服務(wù)的可能性和時(shí)間；

（五）備選的服務(wù)提供商以及外包服務(wù)遷移方案；

（六）外包服務(wù)過渡給銀行業(yè)金融機(jī)構(gòu)自行運(yùn)作的可能性、時(shí)效及資源需求。

第五十一條

對于無法滿足外包服務(wù)要求或發(fā)生重大事件的情況，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在充分評估其影響及制定退出計(jì)劃的前提下，考慮主動(dòng)要求服務(wù)提供商終止服務(wù)，情節(jié)特別嚴(yán)重的，可考慮取消準(zhǔn)入資質(zhì)，并報(bào)監(jiān)管機(jī)構(gòu)申請對其備案。對于關(guān)聯(lián)外包，銀行業(yè)金融機(jī)構(gòu)不得因?yàn)殛P(guān)聯(lián)關(guān)系而影響服務(wù)提供商退出機(jī)制的落實(shí)。

第五章 機(jī)構(gòu)集中度風(fēng)險(xiǎn)管理

第五十二條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)依據(jù)服務(wù)提供商所承接外包服務(wù)的數(shù)量、金額在本行重要信息科技服務(wù)中的占比，服務(wù)提供商所承接外包服務(wù)在銀行業(yè)服務(wù)市場占比情況，識別具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商。同時(shí)，還應(yīng)識別服務(wù)提供商之間為集團(tuán)子公司、關(guān)聯(lián)公司或附屬機(jī)構(gòu)所產(chǎn)生的機(jī)構(gòu)集中度風(fēng)險(xiǎn)。

第五十三條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)積極采用分散信息科技外包活動(dòng)、提高自主研發(fā)運(yùn)行能力等形式，降低機(jī)構(gòu)集中度，減少對外包服務(wù)提供商的依賴。

第五十四條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)要求具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商提供充分的證據(jù)，證明其內(nèi)部控制和管理能力、持續(xù)運(yùn)營能力等。

第五十五條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)要求具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商為銀行業(yè)金融機(jī)構(gòu)配備相對獨(dú)立的資源，包括服務(wù)團(tuán)隊(duì)、場地、系統(tǒng)、設(shè)備等；并對資源進(jìn)行定期檢查，確保資源及時(shí)到位。

第五十六條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)要求具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商在外包服務(wù)中斷應(yīng)急預(yù)案中，明確外包服務(wù)的優(yōu)先級，并進(jìn)行服務(wù)中斷應(yīng)急演練，服務(wù)提供商應(yīng)當(dāng)至少參與服務(wù)交接、敏感信息處臵等演練過程。

第五十七條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)特別加強(qiáng)對具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商的財(cái)務(wù)、內(nèi)控、安全管理情況的持續(xù)監(jiān)控，建立信息收集機(jī)制，及時(shí)掌握風(fēng)險(xiǎn)事件情況，防范外包服務(wù)意外終止或服務(wù)質(zhì)量急劇下降對本機(jī)構(gòu)產(chǎn)生大面積影響。

第五十八條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商增強(qiáng)監(jiān)督頻率與力度，必要時(shí)可指派專人進(jìn)行現(xiàn)場監(jiān)督。

第五十九條

對于具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況，銀行業(yè)金融機(jī)構(gòu)可參照本節(jié)內(nèi)容對其進(jìn)行外包管理。

第六章 跨境及非駐場外包管理

第一節(jié) 跨境外包風(fēng)險(xiǎn)管理

第六十條

跨境外包是指在境外其他國家或地區(qū)實(shí)施的信息科技外包服務(wù)活動(dòng)。

第六十一條

跨境外包除具有本指引前述風(fēng)險(xiǎn)外，還包括由于某一國家或地區(qū)經(jīng)濟(jì)、政治、社會(huì)變化及事件而產(chǎn)生的國別風(fēng)險(xiǎn)，及由于外包實(shí)施場地遠(yuǎn)離銀行業(yè)金融機(jī)構(gòu)而產(chǎn)生的非駐場風(fēng)險(xiǎn)。

第六十二條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)充分了解并持續(xù)監(jiān)控服務(wù)提供商所在國家或地區(qū)狀況，通過建立業(yè)務(wù)連續(xù)性計(jì)劃防范跨境外包所帶來的國別風(fēng)險(xiǎn)。

第六十三條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)關(guān)注國外法律法規(guī)、監(jiān)管要求對其獲取服務(wù)提供商外包管理信息可能造成的影響。實(shí)施跨境外包應(yīng)當(dāng)以不妨礙銀行業(yè)金融機(jī)構(gòu)有效履行外包服務(wù)監(jiān)控管理職能及監(jiān)管機(jī)構(gòu)延伸檢查為前提。

第六十四條

銀行業(yè)金融機(jī)構(gòu)在選擇跨境外包時(shí)，應(yīng)當(dāng)明確其所在國家或地區(qū)監(jiān)管當(dāng)局已與銀監(jiān)會(huì)簽訂諒解備忘錄或雙方認(rèn)可的其他約定。

第六十五條

銀行業(yè)金融機(jī)構(gòu)在選擇跨境外包時(shí)，還應(yīng)當(dāng)充分審查評估服務(wù)提供商保護(hù)客戶信息的能力，并將其作為選擇服務(wù)提供商的重要指標(biāo)。涉及客戶信息的跨境外包，應(yīng)當(dāng)在符合監(jiān)管法規(guī)政策并獲得客戶授權(quán)的前提下開展。

第六十六條

銀行業(yè)金融機(jī)構(gòu)在實(shí)施跨境外包時(shí)，其合同應(yīng)當(dāng)包括法律選擇和司法管轄權(quán)的約定，明確爭議解決時(shí)所適用的法律及司法管轄權(quán)，原則上應(yīng)當(dāng)要求服務(wù)提供商依照中國的法律解決糾紛。

第二節(jié) 非駐場外包風(fēng)險(xiǎn)管理

第六十七條

非駐場外包是指服務(wù)提供商不在銀行業(yè)金融機(jī)構(gòu)現(xiàn)場提供服務(wù)的外包形式。由于銀行業(yè)金融機(jī)構(gòu)不能對其內(nèi)部控制及風(fēng)險(xiǎn)管理措施進(jìn)行直接管控，應(yīng)當(dāng)在信息安全、知識產(chǎn)權(quán)保護(hù)、質(zhì)量監(jiān)控、法律合規(guī)等方面加強(qiáng)對服務(wù)提供商的風(fēng)險(xiǎn)管理。

第六十八條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立針對非駐場外包服務(wù)的內(nèi)部控制及風(fēng)險(xiǎn)管理要求的最低標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)應(yīng)當(dāng)作為選擇服務(wù)提供商的最低要求。

第六十九條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對重要的非駐場外包服務(wù)進(jìn)行實(shí)地檢查。實(shí)地檢查原則上一年不少于一次，檢查結(jié)果作為外包服務(wù)提供商項(xiàng)目考核及準(zhǔn)入的重要指標(biāo)。

第七十條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)對外包服務(wù)提供商非駐場外包服務(wù)內(nèi)部控制、質(zhì)量管理、信息安全的有效性評估，評估結(jié)果作為供應(yīng)商準(zhǔn)入的重要依據(jù)。對于高風(fēng)險(xiǎn)的服務(wù)提供商，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)責(zé)令其進(jìn)行限期整改，對于逾期未改的服務(wù)提供商應(yīng)當(dāng)暫?；蛉∠浞?wù)資格。

第七十一條

對于非駐場外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況，銀行業(yè)金融機(jī)構(gòu)可以參照本節(jié)內(nèi)容對其進(jìn)行外包管理，但同業(yè)托管機(jī)構(gòu)須將為其他同行業(yè)金融機(jī)構(gòu)提供的信息科技外包服務(wù)視同自身信息科技服務(wù)的重要組成部分，不得區(qū)別對待，降低對自身提供外包服務(wù)的風(fēng)險(xiǎn)管控水平。

第七章 銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)風(fēng)險(xiǎn)管理要求

第七十二條

銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)是指集中為銀行業(yè)金融機(jī)構(gòu)提供外包服務(wù)，同時(shí)滿足下述條件，如其外包服務(wù)失敗可能導(dǎo)致銀行業(yè)大面積數(shù)據(jù)損毀、丟失、泄露或信息系統(tǒng)服務(wù)中斷，造成經(jīng)濟(jì)損失的機(jī)構(gòu)，具體條件如下：

(一)承擔(dān)集中存貯客戶數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包服務(wù)；或承擔(dān)銀行業(yè)金融機(jī)構(gòu)客戶資料、交易數(shù)據(jù)等敏感信息的批量分析或處理服務(wù)；或承擔(dān)銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)中心、災(zāi)備中心機(jī)房及基礎(chǔ)設(shè)施外包服務(wù)；且上述服務(wù)均為非駐場外包服務(wù)。

(二)服務(wù)的法人銀行業(yè)金融機(jī)構(gòu)數(shù)量、服務(wù)合同金額占有本服務(wù)領(lǐng)域市場份額的三分之一以上；或服務(wù)的跨區(qū)域經(jīng)營法人銀行業(yè)金融機(jī)構(gòu)數(shù)量達(dá)到3家或以上；或服務(wù)的其他類型法人銀行業(yè)金融機(jī)構(gòu)數(shù)量達(dá)到10家或以上。

第七十三條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)監(jiān)管機(jī)構(gòu)發(fā)布的銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)風(fēng)險(xiǎn)提示，按照如下要求進(jìn)行管理：

(一)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)是中華人民共和國境內(nèi)注冊的獨(dú)立法人實(shí)體，注冊資本和實(shí)收資本不少于1000萬，注冊成立時(shí)間不少于3年。

(二)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)擁有健全的組織架構(gòu)，并針對所提供的外包服務(wù)建立有效的風(fēng)險(xiǎn)治理架構(gòu)，至少應(yīng)當(dāng)建立由公司高級管理層直接領(lǐng)導(dǎo)、針對銀行業(yè)金融機(jī)構(gòu)外包服務(wù)的、專職信息科技風(fēng)險(xiǎn)管理團(tuán)隊(duì)，為持續(xù)的外包服務(wù)提供保證。

(三)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)建立與所承擔(dān)的服務(wù)范圍和規(guī)模相適應(yīng)的服務(wù)管理體系，建立完善的信息安全、服務(wù)質(zhì)量、服務(wù)持續(xù)性等管理制度體系，擁有有效的檢查、監(jiān)控和考核機(jī)制，確保管理規(guī)范有效執(zhí)行。

(四)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)具有足夠的技術(shù)能力、人力資源和設(shè)施、環(huán)境，滿足外包服務(wù)的質(zhì)量和安全管理要求。銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)承擔(dān)的銀行業(yè)金融機(jī)構(gòu)外包服務(wù)場地應(yīng)當(dāng)設(shè)臵在中國境內(nèi)。第七十四條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)要求銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)具有如下相關(guān)領(lǐng)域資質(zhì)認(rèn)證:(一)具有完善的信息安全管理體系、業(yè)務(wù)連續(xù)性管理體系，并通過業(yè)界公認(rèn)較為權(quán)威的信息安全管理和業(yè)務(wù)連續(xù)性管理資質(zhì)認(rèn)證。

(二)具有完善的質(zhì)量管理體系，并通過業(yè)界公認(rèn)較為權(quán)威的質(zhì)量管理資質(zhì)認(rèn)證。

(三)承擔(dān)銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)中心、災(zāi)備中心機(jī)房及基礎(chǔ)設(shè)施外包服務(wù)的銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)，其機(jī)房及基礎(chǔ)設(shè)施應(yīng)當(dāng)達(dá)到國家電子計(jì)算機(jī)機(jī)房最高標(biāo)準(zhǔn)。

(四)承擔(dān)集中存貯客戶數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包服務(wù)，或承擔(dān)銀行業(yè)金融機(jī)構(gòu)客戶資料、交易數(shù)據(jù)等敏感信息的批量分析或處理服務(wù)的銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)，應(yīng)當(dāng)具有完善的運(yùn)行服務(wù)管理體系，并通過業(yè)界公認(rèn)較為權(quán)威的運(yùn)行服務(wù)管理資質(zhì)認(rèn)證。

第七十五條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在風(fēng)險(xiǎn)管理、審計(jì)方面對銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)提出如下要求：

(一)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)具有信息科技風(fēng)險(xiǎn)的管理體系，有效識別、監(jiān)測、評估和控制風(fēng)險(xiǎn)。銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)至少每季度向所服務(wù)的銀行業(yè)金融機(jī)構(gòu)報(bào)送外包風(fēng)險(xiǎn)監(jiān)控報(bào)告，針對監(jiān)控發(fā)現(xiàn)的潛在風(fēng)險(xiǎn)或風(fēng)險(xiǎn)事件，及時(shí)采取控制或緩釋措施。

(二)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)每年聘請獨(dú)立的審計(jì)機(jī)構(gòu),對自身外包服務(wù)進(jìn)行風(fēng)險(xiǎn)評估,風(fēng)險(xiǎn)評估報(bào)告需報(bào)送所服務(wù)的銀行業(yè)金融機(jī)構(gòu)，并抄送銀監(jiān)會(huì)或其派出機(jī)構(gòu)。

(三)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)對其外包服務(wù)團(tuán)隊(duì)成員進(jìn)行背景調(diào)查，確保其過往無不良記錄，且應(yīng)當(dāng)與項(xiàng)目成員簽訂保密協(xié)議，并保留至少10年的法律追訴期。

第八章 監(jiān)督管理

第七十六條

銀行業(yè)金融機(jī)構(gòu)開展以下信息科技外包服務(wù)時(shí),應(yīng)當(dāng)在外包合同簽訂前二十個(gè)工作日向銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告，針對銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)，銀監(jiān)會(huì)及其派出機(jī)構(gòu)可以采取風(fēng)險(xiǎn)提示、約見談話、監(jiān)管質(zhì)詢等措施。

（一）信息科技工作整體外包；

（二）數(shù)據(jù)中心或?yàn)?zāi)備中心整體外包；

（三）涉及將銀行業(yè)金融機(jī)構(gòu)客戶資料、交易數(shù)據(jù)等敏感信息交由服務(wù)提供商進(jìn)行分析或處理的信息科技外包；

（四）以非駐場形式實(shí)施的、集中存貯客戶數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包；

（五）關(guān)聯(lián)外包；

（六）涉及跨境的信息科技外包；

（七）其他銀監(jiān)會(huì)認(rèn)為重要的信息科技外包。

第七十七條

銀行業(yè)金融機(jī)構(gòu)信息科技外包活動(dòng)中發(fā)生如下重大事件時(shí)，應(yīng)當(dāng)在兩個(gè)工作日內(nèi)向銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告。

（一）銀行業(yè)金融機(jī)構(gòu)客戶信息等敏感數(shù)據(jù)泄露；

（二）數(shù)據(jù)損毀或者重要業(yè)務(wù)運(yùn)營中斷；

（三）由于不可抗力或服務(wù)提供商重大經(jīng)營、財(cái)務(wù)問題，導(dǎo)致或可能導(dǎo)致多家銀行業(yè)金融機(jī)構(gòu)外包服務(wù)中斷;

（四）其他重大的服務(wù)提供商違法違規(guī)事件；

（五）銀監(jiān)會(huì)規(guī)定需要報(bào)告的其他重大事件。

第七十八條

銀行業(yè)金融機(jī)構(gòu)在開展外包風(fēng)險(xiǎn)管理評估工作后，應(yīng)當(dāng)將風(fēng)險(xiǎn)評估報(bào)告報(bào)送銀監(jiān)會(huì)或其派出機(jī)構(gòu)。

第七十九條

銀監(jiān)會(huì)及其派出機(jī)構(gòu)對銀行業(yè)金融機(jī)構(gòu)信息科技外包工作進(jìn)行監(jiān)督和檢查，監(jiān)督檢查結(jié)果納入對銀行業(yè)金融機(jī)構(gòu)的監(jiān)管評級。

第八十條

對于風(fēng)險(xiǎn)較高的信息科技外包服務(wù)，銀監(jiān)會(huì)或其派出機(jī)構(gòu)可以要求銀行業(yè)金融機(jī)構(gòu)暫緩、中止該類外包服務(wù)，直至銀行業(yè)金融機(jī)構(gòu)、外包服務(wù)提供商有效改正。

第八十一條

銀行業(yè)金融機(jī)構(gòu)違反本指引規(guī)定的，銀監(jiān)會(huì)或其派出機(jī)構(gòu)可要求其糾正或采取替代方案，并視情況予以問責(zé)。因管理過失導(dǎo)致外包活動(dòng)嚴(yán)重危及銀行業(yè)金融機(jī)構(gòu)穩(wěn)健運(yùn)行、損害存款人和其他客戶合法權(quán)益的，依法追究銀行業(yè)金融機(jī)構(gòu)管理責(zé)任。

第八十二條

銀監(jiān)會(huì)實(shí)行銀行業(yè)信息科技外包服務(wù)活動(dòng)風(fēng)險(xiǎn)監(jiān)測機(jī)制，定期對銀行業(yè)金融機(jī)構(gòu)發(fā)布銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)名單和風(fēng)險(xiǎn)提示，防范因高機(jī)構(gòu)集中度外包服務(wù)導(dǎo)致的系統(tǒng)性、區(qū)域性信息科技風(fēng)險(xiǎn)。第八十三條

銀監(jiān)會(huì)應(yīng)當(dāng)對具有機(jī)構(gòu)集中度特點(diǎn)的銀行業(yè)金融機(jī)構(gòu)信息科技外包服務(wù)進(jìn)行重點(diǎn)風(fēng)險(xiǎn)監(jiān)測、評估，根據(jù)需要，可以要求銀行業(yè)金融機(jī)構(gòu)與重點(diǎn)外包服務(wù)機(jī)構(gòu)會(huì)談，就其外包服務(wù)活動(dòng)和風(fēng)險(xiǎn)的重大事項(xiàng)作出說明。

第八十四條

銀監(jiān)會(huì)應(yīng)當(dāng)組織銀行業(yè)金融機(jī)構(gòu)實(shí)地核查銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)承擔(dān)的銀行業(yè)金融機(jī)構(gòu)信息科技服務(wù)活動(dòng)，原則上每兩年進(jìn)行一次，也可以委托其他第三方機(jī)構(gòu)審計(jì)的形式實(shí)施。

第八十五條

銀監(jiān)會(huì)可以根據(jù)銀行業(yè)金融機(jī)構(gòu)信息科技服務(wù)活動(dòng)風(fēng)險(xiǎn)評估和實(shí)地核查結(jié)果，對銀行業(yè)金融機(jī)構(gòu)發(fā)出監(jiān)管提示，要求其督促銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)對風(fēng)險(xiǎn)問題實(shí)施整改。

第八十六條

銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)配合銀行業(yè)金融機(jī)構(gòu)及銀監(jiān)會(huì)的風(fēng)險(xiǎn)監(jiān)測和實(shí)地核查。

第八十七條

銀監(jiān)會(huì)組織相關(guān)銀行業(yè)金融機(jī)構(gòu)對銀行業(yè)信息科技外包服務(wù)提供商建立服務(wù)管理記錄，并對其進(jìn)行風(fēng)險(xiǎn)評估和評級。

第八十八條

服務(wù)提供商在外包服務(wù)中存在以下情形的，銀監(jiān)會(huì)定期向銀行業(yè)發(fā)布服務(wù)提供商風(fēng)險(xiǎn)預(yù)警，公布機(jī)構(gòu)名單、服務(wù)信息等，要求銀行業(yè)金融機(jī)構(gòu)禁止相關(guān)服務(wù)提供商承擔(dān)銀行業(yè)信息科技外包服務(wù)，禁止期至少為兩年。外包服務(wù)提供商兩年內(nèi)仍未整改的，延長其禁止期。

（一）違反國家法律、法規(guī)和監(jiān)管政策，情節(jié)嚴(yán)重的；

（二）竊取、泄露銀行業(yè)金融機(jī)構(gòu)敏感信息，情節(jié)嚴(yán)重的；

（三）因管理過失，多次發(fā)生重要信息系統(tǒng)服務(wù)中斷或數(shù)據(jù)損毀、丟失、泄露事件的；

（四）服務(wù)質(zhì)量低下并給多家銀行業(yè)金融機(jī)構(gòu)造成損失，多次提示仍未整改的；

（五）對風(fēng)險(xiǎn)監(jiān)測和實(shí)地檢查發(fā)現(xiàn)的問題，逾期仍未整改的；

（六）存在其他違法違規(guī)行為，或發(fā)生其他重大信息科技風(fēng)險(xiǎn)事件的。

第八十九條

銀監(jiān)會(huì)負(fù)責(zé)監(jiān)督銀行業(yè)金融機(jī)構(gòu)對信息科技外包服務(wù)提供商實(shí)施準(zhǔn)入管理。對于存在重大風(fēng)險(xiǎn)的外包活動(dòng)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)立即評估外包的適當(dāng)性，對信息科技外包服務(wù)提供商進(jìn)行風(fēng)險(xiǎn)預(yù)警提示，要求其進(jìn)行整改并設(shè)定期限；逾期未整改的，禁止其承擔(dān)信息科技外包服務(wù)。

第九章 附則

第九十條

本指引由銀監(jiān)會(huì)負(fù)責(zé)解釋、修訂。第九十一條

本指引自公布之日起施行。

第四篇：銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引

【發(fā)布單位】中國銀行業(yè)監(jiān)督管理委員會(huì) 【發(fā)布文號】

【發(fā)布日期】2006-11-01 【生效日期】2006-11-01 【失效日期】 【所屬類別】政策參考

【文件來源】中國銀行業(yè)監(jiān)督管理委員會(huì)

銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引

第一章 總 則

第一條第一條 為有效防范銀行業(yè)金融機(jī)構(gòu)運(yùn)用信息系統(tǒng)進(jìn)行業(yè)務(wù)處理、經(jīng)營管理和內(nèi)部控制過程中產(chǎn)生的風(fēng)險(xiǎn)，促進(jìn)我國銀行業(yè)安全、持續(xù)、穩(wěn)健運(yùn)行，根據(jù)《 中華人民共和國銀行業(yè)監(jiān)督管理法》、國家信息安全相關(guān)要求和信息系統(tǒng)管理的有關(guān)法律法規(guī)，制定本指引。

第二條第二條 本指引適用于銀行業(yè)金融機(jī)構(gòu)。

本指引所稱銀行業(yè)金融機(jī)構(gòu)，是指在中華人民共和國境內(nèi)設(shè)立的商業(yè)銀行、城市信用合作社、農(nóng)村合作銀行、農(nóng)村信用合作社等吸收公眾存款的金融機(jī)構(gòu)以及政策性銀行。

在中華人民共和國境內(nèi)設(shè)立的金融資產(chǎn)管理公司、信托投資公司、財(cái)務(wù)公司、金融租賃公司、汽車金融公司以及經(jīng)中國銀行業(yè)監(jiān)督管理委員會(huì)（以下簡稱銀監(jiān)會(huì)）及其派出機(jī)構(gòu)批準(zhǔn)設(shè)立的其他金融機(jī)構(gòu)，適用本指引規(guī)定。

第三條第三條 本指引所稱信息系統(tǒng)，是指銀行業(yè)金融機(jī)構(gòu)運(yùn)用現(xiàn)代信息、通信技術(shù)集成的處理業(yè)務(wù)、經(jīng)營管理和內(nèi)部控制的系統(tǒng)。

第四條第四條 本指引所稱信息系統(tǒng)風(fēng)險(xiǎn)，是指信息系統(tǒng)在規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控及退出過程中由于技術(shù)和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。

第五條第五條 信息系統(tǒng)風(fēng)險(xiǎn)管理的目標(biāo)是通過建立有效的機(jī)制，實(shí)現(xiàn)對信息系統(tǒng)風(fēng)險(xiǎn)的識別、計(jì)量、評價(jià)、預(yù)警和控制，推動(dòng)銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)創(chuàng)新，提高信息化水平，增強(qiáng)核心競爭力和可持續(xù)發(fā)展能力。

第二章 機(jī)構(gòu)職責(zé)

第六條第六條 銀行業(yè)金融機(jī)構(gòu)應(yīng)建立有效的信息系統(tǒng)風(fēng)險(xiǎn)管理架構(gòu)，完善內(nèi)部組織結(jié)構(gòu)和工作機(jī)制，防范和控制信息系統(tǒng)風(fēng)險(xiǎn)。

第七條第七條 銀行業(yè)金融機(jī)構(gòu)應(yīng)認(rèn)真履行下列信息系統(tǒng)管理職責(zé)：

（一）貫徹執(zhí)行國家有關(guān)信息系統(tǒng)管理的法律、法規(guī)和技術(shù)標(biāo)準(zhǔn)，落實(shí)銀監(jiān)會(huì)相關(guān)監(jiān)管要求；

（二）建立有效的信息安全保障體系和內(nèi)部控制規(guī)程，明確信息系統(tǒng)風(fēng)險(xiǎn)管理崗位責(zé)任制度，并監(jiān)督落實(shí)；

（三）負(fù)責(zé)組織對本機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)進(jìn)行檢查、評估、分析，及時(shí)向本機(jī)構(gòu)專門委員會(huì)和銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)送相關(guān)的管理信息；

（四）及時(shí)向銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)告本機(jī)構(gòu)發(fā)生的重大信息系統(tǒng)事故或突發(fā)事件，并按有關(guān)預(yù)案快速響應(yīng)；

（五）每年經(jīng)董事會(huì)或其他決策機(jī)構(gòu)審查后向銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)送信息系統(tǒng)風(fēng)險(xiǎn)管理的報(bào)告；

（六）做好本機(jī)構(gòu)信息系統(tǒng)審計(jì)工作；

（七）配合銀監(jiān)會(huì)及其派出機(jī)構(gòu)做好信息系統(tǒng)風(fēng)險(xiǎn)監(jiān)督檢查工作，并按照監(jiān)管意見進(jìn)行整改；

（八）組織本機(jī)構(gòu)信息系統(tǒng)從業(yè)人員進(jìn)行信息系統(tǒng)有關(guān)的業(yè)務(wù)、技術(shù)和安全培訓(xùn)；

（九）開展與信息系統(tǒng)風(fēng)險(xiǎn)管理相關(guān)的其他工作。

第八條第八條 銀行業(yè)金融機(jī)構(gòu)的董事會(huì)或其他決策機(jī)構(gòu)負(fù)責(zé)信息系統(tǒng)的戰(zhàn)略規(guī)劃、重大項(xiàng)目和風(fēng)險(xiǎn)監(jiān)督管理；信息科技管理委員會(huì)、風(fēng)險(xiǎn)管理委員會(huì)或其他負(fù)責(zé)風(fēng)險(xiǎn)監(jiān)督的專業(yè)委員會(huì)應(yīng)制定信息系統(tǒng)總體策略，統(tǒng)籌信息系統(tǒng)項(xiàng)目建設(shè)，定期評估、報(bào)告本機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)狀況，為決策層提供建議，采取相應(yīng)的風(fēng)險(xiǎn)控制措施。

第九條第九條 銀行業(yè)金融機(jī)構(gòu)法定代表人或主要負(fù)責(zé)人是本機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理責(zé)任人。

第十條第十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)設(shè)立信息科技部門，統(tǒng)一負(fù)責(zé)本機(jī)構(gòu)信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)和監(jiān)控，提供日?？萍挤?wù)和運(yùn)行技術(shù)支持；建立或明確專門信息系統(tǒng)風(fēng)險(xiǎn)管理部門，建立、健全信息系統(tǒng)風(fēng)險(xiǎn)管理規(guī)章、制度，并協(xié)助業(yè)務(wù)部門及信息科技部門嚴(yán)格執(zhí)行，提供相關(guān)的監(jiān)管信息；設(shè)立審計(jì)部門或?qū)ｉT審計(jì)崗位，建立健全信息系統(tǒng)風(fēng)險(xiǎn)審計(jì)制度，配備適量的合格人員進(jìn)行信息系統(tǒng)風(fēng)險(xiǎn)審計(jì)。

第十一條第十一條 銀行業(yè)金融機(jī)構(gòu)從事與信息系統(tǒng)相關(guān)工作的人員應(yīng)符合以下要求：

（一）具備良好的職業(yè)道德，掌握履行信息系統(tǒng)相關(guān)崗位職責(zé)所需的專業(yè)知識和技能；

（二）未經(jīng)崗前培訓(xùn)或培訓(xùn)不合格者不得上崗；經(jīng)考核不適宜的工作人員，應(yīng)及時(shí)進(jìn)行調(diào)整。

第十二條第十二條 銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)信息系統(tǒng)風(fēng)險(xiǎn)管理的專業(yè)隊(duì)伍建設(shè)，建立人才激勵(lì)機(jī)制，適應(yīng)信息技術(shù)的發(fā)展。

第十三條第十三條 銀行業(yè)金融機(jī)構(gòu)應(yīng)依據(jù)有關(guān)法律法規(guī)及時(shí)和規(guī)范地披露信息系統(tǒng)風(fēng)險(xiǎn)狀況。

第三章 總體風(fēng)險(xiǎn)控制

第十四條第十四條 總體風(fēng)險(xiǎn)是指信息系統(tǒng)在策略、制度、機(jī)房、軟件、硬件、網(wǎng)絡(luò)、數(shù)據(jù)、文檔等方面影響全局或共有的風(fēng)險(xiǎn)。

第十五條第十五條 銀行業(yè)金融機(jī)構(gòu)應(yīng)根據(jù)信息系統(tǒng)總體規(guī)劃，制定明確、持續(xù)的風(fēng)險(xiǎn)管理策略，按照信息系統(tǒng)的敏感程度對各個(gè)集成要素進(jìn)行分析和評估，并實(shí)施有效控制。

第十六條第十六條 銀行業(yè)金融機(jī)構(gòu)應(yīng)采取措施防范自然災(zāi)害、運(yùn)行環(huán)境變化等產(chǎn)生的安全威脅，防止各類突發(fā)事故和惡意攻擊。

第十七條第十七條 銀行業(yè)金融機(jī)構(gòu)應(yīng)建立健全信息系統(tǒng)相關(guān)的規(guī)章制度、技術(shù)規(guī)范、操作規(guī)程等；明確與信息系統(tǒng)相關(guān)人員的職責(zé)權(quán)限，建立制約機(jī)制，實(shí)行最小授權(quán)。

第十八條第十八條 在境外設(shè)立的我國銀行業(yè)金融機(jī)構(gòu)或在境內(nèi)設(shè)立的境外銀行業(yè)金融機(jī)構(gòu)，應(yīng)防范由于境內(nèi)外信息系統(tǒng)監(jiān)管制度差異等造成的跨境風(fēng)險(xiǎn)。

第十九條第十九條 銀行業(yè)金融機(jī)構(gòu)應(yīng)嚴(yán)格執(zhí)行國家信息安全相關(guān)標(biāo)準(zhǔn)，參照有關(guān)國際準(zhǔn)則，積極推進(jìn)信息安全標(biāo)準(zhǔn)化，實(shí)行信息安全等級保護(hù)。

第二十條第二十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)對信息系統(tǒng)的評估和測試，及時(shí)進(jìn)行修補(bǔ)和更新，以保證信息系統(tǒng)的安全性、完整性。

第二十一條第二十一條 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)數(shù)據(jù)中心機(jī)房應(yīng)符合國家有關(guān)計(jì)算機(jī)場地、環(huán)境、供配電等技術(shù)標(biāo)準(zhǔn)。全國性數(shù)據(jù)中心至少應(yīng)達(dá)到國家A類機(jī)房標(biāo)準(zhǔn)，省域數(shù)據(jù)中心至少應(yīng)達(dá)到國家B類機(jī)房標(biāo)準(zhǔn)，省域以下數(shù)據(jù)中心至少應(yīng)達(dá)到C類機(jī)房標(biāo)準(zhǔn)。數(shù)據(jù)中心機(jī)房應(yīng)實(shí)行嚴(yán)格的門禁管理措施，未經(jīng)授權(quán)不得進(jìn)入。

第二十二條第二十二條 銀行業(yè)金融機(jī)構(gòu)應(yīng)重視知識產(chǎn)權(quán)保護(hù)，使用正版軟件，加強(qiáng)軟件版本管理，優(yōu)先使用具有中國自主知識產(chǎn)權(quán)的軟、硬件產(chǎn)品；積極研發(fā)具有自主知識產(chǎn)權(quán)的信息系統(tǒng)和相關(guān)金融產(chǎn)品，并采取有效措施保護(hù)本機(jī)構(gòu)信息化成果。

第二十三條第二十三條 銀行業(yè)金融機(jī)構(gòu)與信息系統(tǒng)相關(guān)的電子設(shè)備的選型、購置、登記、保養(yǎng)、維修、報(bào)廢等應(yīng)嚴(yán)格執(zhí)行相關(guān)規(guī)程，選用的設(shè)備應(yīng)經(jīng)過技術(shù)論證，測試性能應(yīng)符合國家有關(guān)標(biāo)準(zhǔn)。信息系統(tǒng)所用的服務(wù)器等關(guān)鍵設(shè)備應(yīng)具有較高的可靠性、充足的容量和一定的容錯(cuò)特性，并配置適當(dāng)?shù)膫淦穫浼?/p>

第二十四條第二十四條 信息系統(tǒng)的網(wǎng)絡(luò)應(yīng)參照相關(guān)的標(biāo)準(zhǔn)和規(guī)范設(shè)計(jì)、建設(shè)；網(wǎng)絡(luò)設(shè)備應(yīng)兼?zhèn)浼夹g(shù)先進(jìn)性和產(chǎn)品成熟性；網(wǎng)絡(luò)設(shè)備和線路應(yīng)有冗余備份；嚴(yán)格線路租用合同管理，按照業(yè)務(wù)和交易流量要求保證傳輸帶寬；建立完善的網(wǎng)管中心，監(jiān)測和管理通信線路及網(wǎng)絡(luò)設(shè)備，保障網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行。

第二十五條第二十五條 銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)網(wǎng)絡(luò)安全管理。生產(chǎn)網(wǎng)絡(luò)與開發(fā)測試網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)應(yīng)實(shí)施隔離；加強(qiáng)無線網(wǎng)、互聯(lián)網(wǎng)接入邊界控制；使用內(nèi)容過濾、身份認(rèn)證、防火墻、病毒防范、入侵檢測、漏洞掃描、數(shù)據(jù)加密等技術(shù)手段，有效降低外部攻擊、信息泄漏等風(fēng)險(xiǎn)。

第二十六條第二十六條 銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)信息系統(tǒng)加密機(jī)、密鑰、密碼、加解密程序等安全要素的管理，使用符合國家安全標(biāo)準(zhǔn)的密碼設(shè)備，完善安全要素生成、領(lǐng)取、使用、修改、保管和銷毀等環(huán)節(jié)管理制度。密鑰、密碼應(yīng)定期更改。

第二十七條第二十七條 銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)數(shù)據(jù)采集、存貯、傳輸、使用、備份、恢復(fù)、抽檢、清理、銷毀等環(huán)節(jié)的有效管理，不得脫離系統(tǒng)采集加工、傳輸、存取數(shù)據(jù)；優(yōu)化系統(tǒng)和數(shù)據(jù)庫安全設(shè)置，嚴(yán)格按授權(quán)使用系統(tǒng)和數(shù)據(jù)庫，采用適當(dāng)?shù)臄?shù)據(jù)加密技術(shù)以保護(hù)敏感數(shù)據(jù)的傳輸和存取，保證數(shù)據(jù)的完整性、保密性。

第二十八條第二十八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)對信息系統(tǒng)配置參數(shù)實(shí)施嚴(yán)格的安全與保密管理，防止非法生成、變更、泄漏、丟失與破壞。根據(jù)敏感程度和用途，確定存取權(quán)限、方式和授權(quán)使用范圍，嚴(yán)格審批和登記手續(xù)。

第二十九條第二十九條 銀行業(yè)金融機(jī)構(gòu)應(yīng)制定信息系統(tǒng)應(yīng)急預(yù)案，并定期演練、評審和修訂。省域以下數(shù)據(jù)中心至少實(shí)現(xiàn)數(shù)據(jù)備份異地保存，省域數(shù)據(jù)中心至少實(shí)現(xiàn)異地?cái)?shù)據(jù)實(shí)時(shí)備份，全國性數(shù)據(jù)中心實(shí)現(xiàn)異地災(zāi)備。

第三十條第三十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)對技術(shù)文檔資料和重要數(shù)據(jù)的備份管理；技術(shù)文檔資料和重要數(shù)據(jù)應(yīng)保留副本并異地存放，按規(guī)定年限保存，調(diào)用時(shí)應(yīng)嚴(yán)格授權(quán)。信息系統(tǒng)的技術(shù)文檔資料包括：系統(tǒng)環(huán)境說明文件、源程序以及系統(tǒng)研發(fā)、運(yùn)行、維護(hù)過程中形成的各類技術(shù)資料。重要數(shù)據(jù)包括：交易數(shù)據(jù)、賬務(wù)數(shù)據(jù)、客戶數(shù)據(jù)，以及產(chǎn)生的報(bào)表數(shù)據(jù)等。

第三十一條第三十一條 銀行業(yè)金融機(jī)構(gòu)在信息系統(tǒng)可能影響客戶服務(wù)時(shí)，應(yīng)以適當(dāng)方式告知客戶。

第四章 研發(fā)風(fēng)險(xiǎn)控制

第三十二條第三十二條 研發(fā)風(fēng)險(xiǎn)是指信息系統(tǒng)在研發(fā)過程中組織、規(guī)劃、需求、分析、設(shè)計(jì)、編程、測試和投產(chǎn)等環(huán)節(jié)產(chǎn)生的風(fēng)險(xiǎn)。

第三十三條第三十三條 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)研發(fā)前應(yīng)成立項(xiàng)目工作小組，重大項(xiàng)目還應(yīng)成立項(xiàng)目領(lǐng)導(dǎo)小組，并指定負(fù)責(zé)人。項(xiàng)目領(lǐng)導(dǎo)小組負(fù)責(zé)項(xiàng)目的組織、協(xié)調(diào)、檢查、監(jiān)督工作。項(xiàng)目工作小組由業(yè)務(wù)人員、技術(shù)人員和管理人員組成，具體負(fù)責(zé)整個(gè)項(xiàng)目的開發(fā)工作。

第三十四條第三十四條 項(xiàng)目工作小組人員應(yīng)具備與項(xiàng)目要求相適應(yīng)的業(yè)務(wù)經(jīng)驗(yàn)與專業(yè)技術(shù)知識，小組負(fù)責(zé)人需具備組織領(lǐng)導(dǎo)能力,保證信息系統(tǒng)研發(fā)質(zhì)量和進(jìn)度。

第三十五條第三十五條 銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)部門根據(jù)本機(jī)構(gòu)業(yè)務(wù)發(fā)展戰(zhàn)略，在充分進(jìn)行市場調(diào)查、產(chǎn)品效益分析的基礎(chǔ)上制定信息系統(tǒng)研發(fā)項(xiàng)目可行性報(bào)告。

第三十六條第三十六條 銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)部門編寫項(xiàng)目需求說明書，提出風(fēng)險(xiǎn)控制要求，信息科技部門根據(jù)項(xiàng)目需求編制項(xiàng)目功能說明書。

第三十七條第三十七條 銀行業(yè)金融機(jī)構(gòu)信息科技部門依據(jù)項(xiàng)目功能說明書分別編寫項(xiàng)目總體技術(shù)框架、項(xiàng)目設(shè)計(jì)說明書，設(shè)計(jì)和編碼應(yīng)符合項(xiàng)目功能說明書的要求。

第三十八條第三十八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)建立獨(dú)立的測試環(huán)境，以保證測試的完整性和準(zhǔn)確性。測試至少應(yīng)包括功能測試、安全性測試、壓力測試、驗(yàn)收測試、適應(yīng)性測試。測試不得直接使用生產(chǎn)數(shù)據(jù)。

第三十九條第三十九條 銀行業(yè)金融機(jī)構(gòu)信息科技部門應(yīng)根據(jù)測試結(jié)果修補(bǔ)系統(tǒng)的功能和缺陷，提高系統(tǒng)的整體質(zhì)量。

第四十條第四十條 銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)人員、技術(shù)人員應(yīng)根據(jù)職責(zé)范圍分別編寫操作說明書、技術(shù)應(yīng)急方案、業(yè)務(wù)連續(xù)性計(jì)劃、投產(chǎn)計(jì)劃、應(yīng)急回退計(jì)劃，并進(jìn)行演練。

第四十一條第四十一條 開發(fā)過程中所涉及的各種文檔資料應(yīng)經(jīng)相關(guān)部門、人員的簽字確認(rèn)并歸檔保存。

第四十二條第四十二條 項(xiàng)目驗(yàn)收應(yīng)出具由相關(guān)負(fù)責(zé)人簽字的項(xiàng)目驗(yàn)收報(bào)告，驗(yàn)收不合格不得投產(chǎn)使用。

第五章 運(yùn)行維護(hù)風(fēng)險(xiǎn)控制

第四十三條第四十三條 運(yùn)行維護(hù)風(fēng)險(xiǎn)是指信息系統(tǒng)在運(yùn)行與維護(hù)過程中操作管理、變更管理、機(jī)房管理和事件管理等環(huán)節(jié)產(chǎn)生的風(fēng)險(xiǎn)。

第四十四條第四十四條 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)運(yùn)行與維護(hù)應(yīng)實(shí)行職責(zé)分離，運(yùn)行人員應(yīng)實(shí)行專職，不得由其他人員兼任。運(yùn)行人員應(yīng)按操作規(guī)程巡檢和操作。維護(hù)人員應(yīng)按授權(quán)和維護(hù)規(guī)程要求對生產(chǎn)狀態(tài)的軟硬件、數(shù)據(jù)進(jìn)行維護(hù)，除應(yīng)急外，其他維護(hù)應(yīng)在非工作時(shí)間進(jìn)行。

第四十五條第四十五條 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)的運(yùn)行應(yīng)符合以下要求：

（一）制定詳細(xì)的運(yùn)行值班操作表，包括規(guī)定巡檢時(shí)間，操作范圍、內(nèi)容、辦法、命令以及負(fù)責(zé)人員等信息；

（二）提供常見和簡便的操作菜單或命令，如信息系統(tǒng)的啟動(dòng)或停止、運(yùn)行日志的查詢等；

（三）提供機(jī)房環(huán)境、設(shè)備使用、網(wǎng)絡(luò)運(yùn)行、系統(tǒng)運(yùn)行等監(jiān)控信息；

（四）記錄運(yùn)行值班過程中所有現(xiàn)象、操作過程等信息。

第四十六條第四十六條 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)的維護(hù)應(yīng)符合以下要求：

（一）除對信息系統(tǒng)設(shè)備和系統(tǒng)環(huán)境的維護(hù)外，對軟件或數(shù)據(jù)的維護(hù)必須通過特定的應(yīng)用程序進(jìn)行，添加、刪除和修改數(shù)據(jù)應(yīng)通過柜員終端，不得對數(shù)據(jù)庫進(jìn)行直接操作；

（二）具備各種詳細(xì)的日志信息，包括交易日志和審計(jì)日志等，以便維護(hù)和審計(jì)；

（三）提供維護(hù)的統(tǒng)計(jì)和報(bào)表打印功能。

第四十七條第四十七條 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)的變更應(yīng)符合以下要求：

（一）制訂嚴(yán)密的變更處理流程，明確變更控制中各崗位的職責(zé)，并遵循流程實(shí)施控制和管理；變更前應(yīng)明確應(yīng)急和回退方案，無授權(quán)不得進(jìn)行變更操作；

（二）根據(jù)變更需求、變更方案、變更內(nèi)容核實(shí)清單等相關(guān)文檔審核變更的正確性、安全性和合法性；

（三）應(yīng)采用軟件工具精確判斷變更的真實(shí)位置和內(nèi)容，形成變更內(nèi)容核實(shí)清單，實(shí)現(xiàn)真實(shí)、有效、全面的檢驗(yàn)；

（四）軟件版本變更后應(yīng)保留初始版本和所有歷史版本，保留所有歷史的變更內(nèi)容核實(shí)清單。

第四十八條第四十八條 銀行業(yè)金融機(jī)構(gòu)在信息系統(tǒng)投產(chǎn)后一定時(shí)期內(nèi)，應(yīng)組織對系統(tǒng)的后評價(jià)，并根據(jù)評價(jià)及時(shí)對系統(tǒng)功能進(jìn)行調(diào)整和優(yōu)化。

第四十九條第四十九條 銀行業(yè)金融機(jī)構(gòu)應(yīng)對機(jī)房環(huán)境設(shè)施實(shí)行日常巡檢，明確信息系統(tǒng)及機(jī)房環(huán)境設(shè)施出現(xiàn)故障時(shí)的應(yīng)急處理流程和預(yù)案，有實(shí)時(shí)交易服務(wù)的數(shù)據(jù)中心應(yīng)實(shí)行24小時(shí)值班。

第五十條第五十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)實(shí)行事件報(bào)告制度，發(fā)生信息系統(tǒng)造成重大經(jīng)濟(jì)、聲譽(yù)損失和重大影響事件，應(yīng)即時(shí)上報(bào)并處理，必要時(shí)啟動(dòng)應(yīng)急處理預(yù)案。

第六章 外包風(fēng)險(xiǎn)控制

第五十一條第五十一條 外包風(fēng)險(xiǎn)是指銀行業(yè)金融機(jī)構(gòu)將信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控等委托給業(yè)務(wù)合作伙伴或外部技術(shù)供應(yīng)商時(shí)形成的風(fēng)險(xiǎn)。

第五十二條第五十二條 銀行業(yè)金融機(jī)構(gòu)在進(jìn)行信息系統(tǒng)外包時(shí)，應(yīng)根據(jù)風(fēng)險(xiǎn)控制和實(shí)際需要，合理確定外包的原則和范圍，認(rèn)真分析和評估外包存在的潛在風(fēng)險(xiǎn)，建立健全有關(guān)規(guī)章制度，制定相應(yīng)的風(fēng)險(xiǎn)防范措施。

第五十三條第五十三條 銀行業(yè)金融機(jī)構(gòu)應(yīng)建立健全外包承包方評估機(jī)制，充分審查、評估承包方的經(jīng)營狀況、財(cái)務(wù)實(shí)力、誠信歷史、安全資質(zhì)、技術(shù)服務(wù)能力和實(shí)際風(fēng)險(xiǎn)控制與責(zé)任承擔(dān)水平，并進(jìn)行必要的盡職調(diào)查。評估工作可委托經(jīng)國家相應(yīng)監(jiān)管部門認(rèn)定資質(zhì)，具有相關(guān)專業(yè)經(jīng)驗(yàn)的獨(dú)立機(jī)構(gòu)完成。

第五十四條第五十四條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)與承包方簽訂書面合同，明確雙方的權(quán)利、義務(wù)，并規(guī)定承包方在安全、保密、知識產(chǎn)權(quán)方面的義務(wù)和責(zé)任。

第五十五條第五十五條 銀行業(yè)金融機(jī)構(gòu)應(yīng)充分認(rèn)識外包服務(wù)對信息系統(tǒng)風(fēng)險(xiǎn)控制的直接和間接影響，并將其納入總體安全策略和風(fēng)險(xiǎn)控制之中。

第五十六條第五十六條 銀行業(yè)金融機(jī)構(gòu)應(yīng)建立完整的信息系統(tǒng)外包風(fēng)險(xiǎn)評估與監(jiān)測程序，審慎管理外包產(chǎn)生的風(fēng)險(xiǎn)，提高本機(jī)構(gòu)對外包管理的能力。

第五十七條第五十七條 銀行業(yè)金融機(jī)構(gòu)的信息系統(tǒng)外包風(fēng)險(xiǎn)管理應(yīng)當(dāng)符合風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)和策略，并應(yīng)建立針對外包風(fēng)險(xiǎn)的應(yīng)急計(jì)劃。

第五十八條第五十八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)與外包承包方建立有效的聯(lián)絡(luò)、溝通和信息交流機(jī)制，并制定在意外情況下能夠?qū)崿F(xiàn)承包方的順利變更，保證外包服務(wù)不間斷的應(yīng)急預(yù)案。

第五十九條第五十九條 銀行業(yè)金融機(jī)構(gòu)將敏感的信息系統(tǒng)，以及其他涉及國家秘密、商業(yè)秘密和客戶隱私數(shù)據(jù)的管理與傳遞等內(nèi)容進(jìn)行外包時(shí)，應(yīng)遵守國家有關(guān)法律法規(guī)，符合銀監(jiān)會(huì)的有關(guān)規(guī)定，經(jīng)過董事會(huì)或其他決策機(jī)構(gòu)批準(zhǔn)，并在實(shí)施外包前報(bào)銀監(jiān)會(huì)及其派出機(jī)構(gòu)和法律法規(guī)規(guī)定需要報(bào)告的機(jī)構(gòu)備案。

第七章 審 計(jì)

第六十條第六十條 銀行業(yè)金融機(jī)構(gòu)內(nèi)設(shè)審計(jì)部門負(fù)責(zé)本機(jī)構(gòu)信息系統(tǒng)審計(jì)，也可聘請經(jīng)國家相應(yīng)監(jiān)管部門認(rèn)定資質(zhì)的中介機(jī)構(gòu)進(jìn)行信息系統(tǒng)外部審計(jì)。

第六十一條第六十一條 信息系統(tǒng)風(fēng)險(xiǎn)審計(jì)應(yīng)包括：總體風(fēng)險(xiǎn)審計(jì)、系統(tǒng)審閱和專項(xiàng)風(fēng)險(xiǎn)審計(jì)。

第六十二條第六十二條 總體風(fēng)險(xiǎn)審計(jì)是指對本機(jī)構(gòu)所有信息系統(tǒng)共有的公共部分進(jìn)行審計(jì)，實(shí)施總體風(fēng)險(xiǎn)控制。根據(jù)信息系統(tǒng)的總體風(fēng)險(xiǎn)狀況確定審計(jì)頻率，但至少每3年審計(jì)一次。

第六十三條第六十三條 信息系統(tǒng)的系統(tǒng)審閱是指對研發(fā)、運(yùn)行及退出的全過程進(jìn)行審計(jì)，分投產(chǎn)前與投產(chǎn)后的審閱。

第六十四條第六十四條 投產(chǎn)前的系統(tǒng)審閱是指審計(jì)人員采用非現(xiàn)場形式，對信息項(xiàng)目開發(fā)過程中所提交的有關(guān)文檔資料進(jìn)行審閱，指出其中存在的風(fēng)險(xiǎn)，了解是否具有相應(yīng)的控制措施，并提出評價(jià)和建議的過程。信息系統(tǒng)投產(chǎn)前的系統(tǒng)審閱應(yīng)關(guān)注信息系統(tǒng)的安全控制、權(quán)限設(shè)置、正確性、連貫性、完整性、可審計(jì)性和及時(shí)性等內(nèi)容。

投產(chǎn)前的系統(tǒng)審閱重點(diǎn)：

（一）被外界成功攻破的可能性；

（二）在內(nèi)部安全控制方面的設(shè)計(jì)漏洞與缺陷；

（三）項(xiàng)目開發(fā)管理方面的問題；

（四）效率與效能；

（五）功能、設(shè)計(jì)和工作流程是否符合法律、法規(guī)和內(nèi)部控制方面的規(guī)定并有連續(xù)兼容性；

（六）其他需重點(diǎn)審閱的內(nèi)容。

第六十五條第六十五條 投產(chǎn)前的系統(tǒng)審閱文檔資料包括：

（一）項(xiàng)目可行性報(bào)告；

（二）項(xiàng)目需求說明書；

（三）項(xiàng)目功能說明書（包括業(yè)務(wù)與技術(shù)方面存在的風(fēng)險(xiǎn)及控制辦法）；

（四）項(xiàng)目總體技術(shù)框架；

（五）項(xiàng)目設(shè)計(jì)說明書；

（六）項(xiàng)目實(shí)施計(jì)劃；

（七）與第三方簽訂的外包協(xié)議；

（八）測試計(jì)劃及驗(yàn)收報(bào)告；

（九）投產(chǎn)計(jì)劃；

（十）項(xiàng)目開發(fā)例會(huì)的會(huì)議記錄；

（十一）操作手冊；

（十二）其他需審閱的文檔資料。

對于所含內(nèi)容較多的文檔資料，應(yīng)對關(guān)鍵交易的數(shù)據(jù)處理流程、交易接口和其他重要的安全事項(xiàng)進(jìn)行審閱。

第六十六條第六十六條 投產(chǎn)后的系統(tǒng)審閱是指在信息系統(tǒng)投入生產(chǎn)一段時(shí)間后進(jìn)行的審計(jì)，旨在評估對信息系統(tǒng)各項(xiàng)風(fēng)險(xiǎn)的控制是否恰當(dāng)，能否實(shí)現(xiàn)預(yù)定的設(shè)計(jì)目標(biāo)。投產(chǎn)后的系統(tǒng)審閱應(yīng)在信息系統(tǒng)投入生產(chǎn)半年后進(jìn)行，審計(jì)報(bào)告應(yīng)對被審計(jì)的信息系統(tǒng)提出改進(jìn)或增加風(fēng)險(xiǎn)控制、能否繼續(xù)生產(chǎn)等內(nèi)容的審計(jì)建議。

第六十七條第六十七條 信息系統(tǒng)專項(xiàng)風(fēng)險(xiǎn)審計(jì)是指對被審計(jì)單位發(fā)生信息安全事故進(jìn)行的調(diào)查、分析和評估，或原有信息系統(tǒng)進(jìn)行重大結(jié)構(gòu)調(diào)整的審計(jì)，或?qū)徲?jì)部門認(rèn)為需要對信息系統(tǒng)某項(xiàng)專題進(jìn)行審計(jì)。

第六十八條第六十八條 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)審計(jì)也可以由銀監(jiān)會(huì)及其派出機(jī)構(gòu)依據(jù)法律、法規(guī)和規(guī)章，委托并授權(quán)有法定資質(zhì)的中介評估機(jī)構(gòu)進(jìn)行。

第六十九條第六十九條 中介機(jī)構(gòu)根據(jù)銀監(jiān)會(huì)或其派出機(jī)構(gòu)委托或授權(quán)對銀行業(yè)金融機(jī)構(gòu)進(jìn)行審計(jì)時(shí)，應(yīng)出示委托授權(quán)書，并依照委托授權(quán)書上規(guī)定的委托和授權(quán)范圍進(jìn)行審計(jì)。

第七十條第七十條 中介機(jī)構(gòu)根據(jù)授權(quán)出具的審計(jì)報(bào)告經(jīng)銀監(jiān)會(huì)及其派出機(jī)構(gòu)審閱確定后具有法律效力，被審計(jì)金融機(jī)構(gòu)應(yīng)對該審計(jì)報(bào)告在法定時(shí)間內(nèi)提出整改意見，并按審計(jì)報(bào)告中提出的建議進(jìn)行及時(shí)整改。

第七十一條第七十一條 中介機(jī)構(gòu)應(yīng)嚴(yán)格執(zhí)行法律法規(guī)，保守被審計(jì)單位的商業(yè)秘密和風(fēng)險(xiǎn)信息。審計(jì)過程中所有涉及資料的調(diào)閱應(yīng)有交接手續(xù)，并不得帶離現(xiàn)場或進(jìn)行修改、復(fù)制。

第八章 附 則

第七十二條第七十二條 本指引由中國銀行業(yè)監(jiān)督管理委員會(huì)負(fù)責(zé)解釋、修訂。

第七十三條第七十三條 本指引自頒布之日起施行。

本內(nèi)容來源于政府官方網(wǎng)站，如需引用，請以正式文件為準(zhǔn)。

第五篇：銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引-正式發(fā)文版

銀行業(yè)金融機(jī)構(gòu)

信息科技外包風(fēng)險(xiǎn)監(jiān)管指引

第一章 總則

第一條

為規(guī)范銀行業(yè)金融機(jī)構(gòu)的信息科技外包活動(dòng)，降低信息科技外包引發(fā)的風(fēng)險(xiǎn)，保持信息科技核心能力，促進(jìn)銀行業(yè)信息科技健康有序發(fā)展，根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》等法律法規(guī)，制定本指引。

第二條

在中華人民共和國境內(nèi)設(shè)立的政策性銀行、商業(yè)銀行、農(nóng)村合作銀行、?。ㄗ灾螀^(qū)）農(nóng)村信用社聯(lián)合社適用本指引。中國銀行業(yè)監(jiān)督管理委員會(huì)（以下簡稱中國銀監(jiān)會(huì)）監(jiān)管的其他金融機(jī)構(gòu)參照本指引執(zhí)行。

第三條

本指引所稱信息科技外包是指銀行業(yè)金融機(jī)構(gòu)將原本由自身負(fù)責(zé)處理的信息科技活動(dòng)委托給服務(wù)提供商進(jìn)行處理的行為，包含項(xiàng)目外包、人力資源外包等形式，原則上包括以下類型：

（一）研發(fā)咨詢類外包：科技管理及IT治理等咨詢設(shè)計(jì)外包，規(guī)劃、需求、系統(tǒng)開發(fā)、測試外包；

（二）系統(tǒng)運(yùn)行維護(hù)類外包：包括數(shù)據(jù)中心（災(zāi)備中心）、機(jī)房配套設(shè)施、網(wǎng)絡(luò)、系統(tǒng)的運(yùn)維外包，自助設(shè)備、POS機(jī)等遠(yuǎn)程終端及辦公設(shè)備的運(yùn)維外包；

（三）業(yè)務(wù)外包中的信息科技活動(dòng)：市場拓展、業(yè)務(wù)操作、企業(yè)管理、資產(chǎn)處臵等外包中的系統(tǒng)開發(fā)、運(yùn)行維護(hù)和數(shù)據(jù)處理活動(dòng)；

第四條

本指引所稱關(guān)聯(lián)外包指服務(wù)提供商為銀行業(yè)金融機(jī)構(gòu)的母公司或其所屬集團(tuán)子公司、關(guān)聯(lián)公司或附屬機(jī)構(gòu)的信息科技外包。

第五條

信息科技的外包可能產(chǎn)生如下風(fēng)險(xiǎn)，并導(dǎo)致銀行業(yè)金融機(jī)構(gòu)的戰(zhàn)略、聲譽(yù)、合規(guī)風(fēng)險(xiǎn)：

（一）科技能力喪失：銀行業(yè)金融機(jī)構(gòu)過度依賴外部資源導(dǎo)致失去科技創(chuàng)新及控制能力，影響業(yè)務(wù)創(chuàng)新與發(fā)展；

（二）業(yè)務(wù)中斷：支持業(yè)務(wù)運(yùn)營的外包服務(wù)無法持續(xù)提供導(dǎo)致業(yè)務(wù)中斷；

（三）信息泄露：包含客戶信息在內(nèi)的銀行非公開數(shù)據(jù)被服務(wù)提供商非法獲得或泄露；

（四）服務(wù)水平下降：由于外包服務(wù)質(zhì)量問題或內(nèi)外部協(xié)作效率低下，使得銀行業(yè)金融機(jī)構(gòu)信息科技服務(wù)水平下降。

第六條

本指引所稱機(jī)構(gòu)集中度風(fēng)險(xiǎn)是指銀行業(yè)金融機(jī)構(gòu)將信息科技外包服務(wù)集中交由少量服務(wù)提供商承接而產(chǎn)生的風(fēng)險(xiǎn)，該風(fēng)險(xiǎn)可能造成集中性的服務(wù)中斷、質(zhì)量下降、安全事件等。

第七條

本指引所稱同業(yè)托管機(jī)構(gòu)是指作為外包服務(wù)提供商為其他同行業(yè)金融機(jī)構(gòu)提供信息科技外包服務(wù)的銀行業(yè)金融機(jī)構(gòu)。

第八條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)將信息科技外包管理納入全 2 面風(fēng)險(xiǎn)管理體系，建立與本機(jī)構(gòu)信息科技戰(zhàn)略目標(biāo)相適應(yīng)的外包管理體系，控制或降低由于外包而引發(fā)的風(fēng)險(xiǎn)。

第九條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立信息科技外包管理組織架構(gòu)，制定外包管理戰(zhàn)略，定期進(jìn)行外包風(fēng)險(xiǎn)評估，通過服務(wù)提供商準(zhǔn)入、評價(jià)、退出等手段建立及維護(hù)符合其戰(zhàn)略目標(biāo)的供應(yīng)商關(guān)系管理策略。

第十條

銀行業(yè)金融機(jī)構(gòu)在實(shí)施信息科技外包時(shí)應(yīng)當(dāng)堅(jiān)持以下原則：

（四）以不妨礙核心能力建設(shè)、積極掌握關(guān)鍵技術(shù)為導(dǎo)向；

（五）保持外包風(fēng)險(xiǎn)、成本和效益的平衡；

（六）強(qiáng)調(diào)外包風(fēng)險(xiǎn)的事前控制，保持管控力度；

（七）根據(jù)外包管理及技術(shù)發(fā)展趨勢，持續(xù)改進(jìn)外包策略和措施。

第十一條

銀行業(yè)金融機(jī)構(gòu)在實(shí)施信息科技外包時(shí)，不得將其信息科技管理責(zé)任外包。

第十二條

對于不涉及銀行客戶及內(nèi)部信息轉(zhuǎn)移的信息科技產(chǎn)品采購、維保，及通訊線路租用、支付或清算系統(tǒng)接入等信息科技公共基礎(chǔ)設(shè)施服務(wù)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)充分評估其信息科技風(fēng)險(xiǎn)，按照本指引第五章要求進(jìn)行管理。

第二章 外包管理組織架構(gòu)

第十三條

銀行業(yè)金融機(jī)構(gòu)董事會(huì)及高級管理層應(yīng)當(dāng)嚴(yán)格落實(shí)信息科技外包風(fēng)險(xiǎn)管理的相關(guān)職責(zé), 明確信息科技外包風(fēng)險(xiǎn)管理的主管部門，制定并審批信息科技外包戰(zhàn)略，審議信息科技外包管理流程及制度，督促并監(jiān)控信息科技外包風(fēng)險(xiǎn)管理效果。

第十四條

信息科技外包風(fēng)險(xiǎn)主管部門主要職責(zé)包括：

（一）對外包風(fēng)險(xiǎn)進(jìn)行識別、評估與風(fēng)險(xiǎn)提示；

（二）監(jiān)督、評價(jià)外包管理工作，并督促外包風(fēng)險(xiǎn)管理的持續(xù)改善；

（三）向高級管理層定期匯報(bào)信息科技外包活動(dòng)開展相關(guān)風(fēng)險(xiǎn)管理情況；

（四）董事會(huì)或高級管理層確定的其他信息科技外包風(fēng)險(xiǎn)管理職責(zé)。

第十五條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在信息科技管理部門或信息科技外包活動(dòng)執(zhí)行部門內(nèi)建立信息科技外包管理執(zhí)行團(tuán)隊(duì)，并配備足夠人員履行以下職責(zé)：

（一）實(shí)施信息科技外包戰(zhàn)略；

（二）制定并執(zhí)行信息科技外包管理制度與流程；

（三）執(zhí)行供應(yīng)商準(zhǔn)入、評價(jià)、退出管理，建立并維護(hù)供應(yīng)商關(guān)系管理策略；

（四）制定保障外包服務(wù)持續(xù)性的應(yīng)急管理方案，并組織 4 實(shí)施定期演練；

（五）對外包過程中的各項(xiàng)管理活動(dòng)進(jìn)行監(jiān)控及分析，定期向信息科技及外包風(fēng)險(xiǎn)管理的主管部門報(bào)告外包活動(dòng)情況。

第三章 信息科技外包戰(zhàn)略及風(fēng)險(xiǎn)管理

第一節(jié) 信息科技外包戰(zhàn)略

第十六條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)以提升信息科技隊(duì)伍能力，提高科技管理及創(chuàng)新水平，掌握信息科技核心技能為目標(biāo)。基于信息科技戰(zhàn)略、外包市場環(huán)境、自身風(fēng)險(xiǎn)控制能力和風(fēng)險(xiǎn)偏好制定其信息科技外包戰(zhàn)略，包括：不能外包的職能、資源能力建設(shè)方案、供應(yīng)商關(guān)系管理策略和外包分級管理策略。

第十七條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)自身的信息科技戰(zhàn)略明確不能外包的職能。涉及戰(zhàn)略管理、風(fēng)險(xiǎn)管理、內(nèi)部審計(jì)及其他有關(guān)信息科技核心競爭力的職能不應(yīng)外包。

第十八條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)外包戰(zhàn)略制定資源、能力建設(shè)方案，通過補(bǔ)充人員、提升技能、知識轉(zhuǎn)移等方式，有針對性地獲取或提升管理及技術(shù)能力，降低對服務(wù)提供商的依賴。

第十九條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立與自身規(guī)模、市場地位相適應(yīng)的供應(yīng)商關(guān)系管理策略，通過準(zhǔn)入和退出機(jī)制控制各類高風(fēng)險(xiǎn)服務(wù)提供商的數(shù)量，實(shí)現(xiàn)以下目標(biāo)：防范行業(yè)壟斷和機(jī)構(gòu)集中度風(fēng)險(xiǎn)，通過引入適當(dāng)?shù)母偁幵诮档筒少彸杀镜耐瑫r(shí)提高服務(wù) 5 質(zhì)量，合理控制服務(wù)提供商的數(shù)量從而降低風(fēng)險(xiǎn)及管理成本等。

第二十條

銀行業(yè)金融機(jī)構(gòu)可按照外包服務(wù)性質(zhì)和重要性程度對服務(wù)提供商進(jìn)行分級管理，對不同級別的服務(wù)提供商采取嚴(yán)格程度差異化的管控措施，從而達(dá)到有效管理重要風(fēng)險(xiǎn)的前提下降低管理成本。

第二十一條

對于關(guān)聯(lián)外包，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)保持外包有關(guān)決策的獨(dú)立性，要求其母公司或其所屬的集團(tuán)公司協(xié)同做好外包服務(wù)及服務(wù)提供商的管理工作，避免因關(guān)聯(lián)關(guān)系而降低銀行業(yè)金融機(jī)構(gòu)對外包活動(dòng)的風(fēng)險(xiǎn)控制水平。

第二節(jié) 信息科技外包風(fēng)險(xiǎn)管理

第二十二條

銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)主管部門應(yīng)當(dāng)至少每年開展一次全面的外包風(fēng)險(xiǎn)管理評估，保持評估的獨(dú)立性，并向高級管理層提交評估報(bào)告。評估內(nèi)容包括：信息科技外包戰(zhàn)略執(zhí)行情況、外包信息安全、機(jī)構(gòu)集中度、服務(wù)連續(xù)性、服務(wù)質(zhì)量、政策及市場變化對外包服務(wù)的影響分析等。

第二十三條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對重要的外包服務(wù)提供商進(jìn)行定期風(fēng)險(xiǎn)評估，保持評估的獨(dú)立性。至少在三年內(nèi)覆蓋所有重要的服務(wù)提供商。評估內(nèi)容包括：服務(wù)提供商合規(guī)情況、服務(wù)的執(zhí)行效果等，評估結(jié)果應(yīng)當(dāng)作為服務(wù)提供商準(zhǔn)入及退出的重要依據(jù)。

第二十四條

銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計(jì)部門應(yīng)當(dāng)定期開展信 6 息科技外包風(fēng)險(xiǎn)管理審計(jì)工作，至少每三年對重要的外包服務(wù)活動(dòng)進(jìn)行一次全面審計(jì)。發(fā)生外包風(fēng)險(xiǎn)事件后應(yīng)及時(shí)開展專項(xiàng)審計(jì)。

第四章 信息科技外包管理

第一節(jié)

外包風(fēng)險(xiǎn)評估及準(zhǔn)入

第二十五條

外包項(xiàng)目立項(xiàng)前，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)審慎檢查項(xiàng)目與信息科技外包戰(zhàn)略的一致性，應(yīng)當(dāng)根據(jù)項(xiàng)目內(nèi)容、范圍、性質(zhì)對其進(jìn)行風(fēng)險(xiǎn)識別和評估，制定相應(yīng)的風(fēng)險(xiǎn)處臵措施，不因外包活動(dòng)的引入而增加整體剩余風(fēng)險(xiǎn)。重大外包項(xiàng)目應(yīng)向董事會(huì)、高管層報(bào)告。

第二十六條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)供應(yīng)商關(guān)系管理策略，結(jié)合風(fēng)險(xiǎn)評估結(jié)果及服務(wù)提供商的準(zhǔn)入標(biāo)準(zhǔn)，對備選服務(wù)提供商進(jìn)行初步篩選，防范引入高機(jī)構(gòu)集中度風(fēng)險(xiǎn)特點(diǎn)的服務(wù)提供商、或引入增加整體風(fēng)險(xiǎn)的服務(wù)提供商。

第二十七條

對于外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況，銀行業(yè)金融機(jī)構(gòu)可參照本節(jié)內(nèi)容對其進(jìn)行管理。

第二節(jié)

服務(wù)提供商盡職調(diào)查

第二十八條

對重要的服務(wù)提供商，銀行業(yè)金融機(jī)構(gòu)在與其簽訂合同前應(yīng)當(dāng)深入開展盡職調(diào)查，必要時(shí)可聘請第三方機(jī)構(gòu)協(xié)助調(diào)查。

第二十九條

銀行業(yè)金融機(jī)構(gòu)在盡職調(diào)查時(shí)應(yīng)當(dāng)關(guān)注服務(wù)提供商的技術(shù)和行業(yè)經(jīng)驗(yàn)，包括但不限于：服務(wù)能力和支持技術(shù)、服務(wù)經(jīng)驗(yàn)、服務(wù)人員技能、市場評價(jià)、監(jiān)管評價(jià)等。

第三十條

銀行業(yè)金融機(jī)構(gòu)在盡職調(diào)查時(shí)應(yīng)當(dāng)關(guān)注服務(wù)提供商的內(nèi)部控制和管理能力，包括但不限于：內(nèi)部控制機(jī)制和管理流程的完善程度、內(nèi)部控制技術(shù)和工具等。

第三十一條

銀行業(yè)金融機(jī)構(gòu)在盡職調(diào)查時(shí)應(yīng)當(dāng)關(guān)注服務(wù)提供商的持續(xù)經(jīng)營狀況，包括但不限于：從業(yè)時(shí)間、市場地位及發(fā)展趨勢、資金的安全性、近期盈利情況等。

第三十二條

對于關(guān)聯(lián)外包，銀行業(yè)金融機(jī)構(gòu)不得因關(guān)聯(lián)關(guān)系而降低對服務(wù)提供商的要求，應(yīng)當(dāng)在盡職調(diào)查階段詳細(xì)分析服務(wù)提供商技術(shù)、內(nèi)控和管理水平，確認(rèn)其有足夠能力實(shí)施外包服務(wù)、處理突發(fā)事件等。

第三十三條

對于外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況，銀行業(yè)金融機(jī)構(gòu)可參照本節(jié)內(nèi)容對其進(jìn)行管理。

第三節(jié) 外包服務(wù)合同及要求

第三十四條

銀行業(yè)金融機(jī)構(gòu)在實(shí)施外包服務(wù)項(xiàng)目前，應(yīng)當(dāng)與服務(wù)提供商簽訂服務(wù)合同。合同應(yīng)當(dāng)根據(jù)外包服務(wù)需求、風(fēng)險(xiǎn)評估及盡職調(diào)查結(jié)果確定其詳細(xì)程度和重點(diǎn)。

第三十五條

銀行業(yè)金融機(jī)構(gòu)在合同或協(xié)議中應(yīng)當(dāng)明確以下內(nèi)容，包括但不限于：

（一）服務(wù)范圍、服務(wù)內(nèi)容、工作時(shí)限及安排、責(zé)任分配、交付物要求以及后續(xù)合作中的相關(guān)限定條件；

（二）合規(guī)與內(nèi)控要求，對法律法規(guī)及銀行業(yè)金融機(jī)構(gòu)內(nèi)部管理制度的遵從要求、監(jiān)管政策的通報(bào)貫徹機(jī)制、服務(wù)提供商的內(nèi)控措施；

（三）服務(wù)連續(xù)性要求，服務(wù)提供商的服務(wù)連續(xù)性管理目標(biāo)應(yīng)當(dāng)滿足銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)連續(xù)性目標(biāo)要求；

（四）銀行業(yè)金融機(jī)構(gòu)監(jiān)控和檢查的權(quán)力、頻率，服務(wù)提供商配合其內(nèi)、外部審計(jì)機(jī)構(gòu)檢查，及配合銀行業(yè)金融機(jī)構(gòu)接受銀行業(yè)監(jiān)督管理機(jī)構(gòu)檢查的責(zé)任；

（五）政策或環(huán)境變化因素等在內(nèi)的合同變更或終止的觸發(fā)條件，外包服務(wù)提供商在過渡期間應(yīng)該履行的主要職責(zé)及合同變更或終止的過渡安排，包括信息、資料和設(shè)施的交接處臵等過渡期間相關(guān)服務(wù)的安排；

（六）外包服務(wù)過程中產(chǎn)生、加工、交互的信息和知識產(chǎn)權(quán)的歸屬權(quán)以及允許服務(wù)提供商使用的內(nèi)容及范圍，對服務(wù)提供商使用合法軟、硬件產(chǎn)品的要求；

（七）服務(wù)要求或服務(wù)水平條款，至少應(yīng)包括如下內(nèi)容：外包服務(wù)的關(guān)鍵要素、服務(wù)時(shí)效和可用性、數(shù)據(jù)的機(jī)密性和完整性要求、變更的控制、安全標(biāo)準(zhǔn)的遵守情況、技術(shù)支持水平等；

（八）爭端解決機(jī)制、違約及賠償條款，至少包括如下內(nèi)容：服務(wù)質(zhì)量違約、安全違約、知識產(chǎn)權(quán)違約等，及在各種違約情況下的賠償以及外包爭端的解決機(jī)制；

（九）報(bào)告條款，至少包括如下內(nèi)容：常規(guī)報(bào)告內(nèi)容和報(bào)告頻度、突發(fā)事件時(shí)的報(bào)告路線、報(bào)告方式及時(shí)限要求。

第三十六條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在合同或協(xié)議中明確服務(wù)提供商在安全和保密方面的責(zé)任，以及針對安全及保密要求需采取的具體措施，包括但不限于：

（一）禁止服務(wù)提供商在合同允許范圍外使用或者披露銀行業(yè)金融機(jī)構(gòu)的信息，以防止信息被非授權(quán)的使用；

（二）在合同或協(xié)議中約定服務(wù)提供商對銀行客戶信息安全和銀行客戶權(quán)力的保護(hù)條款、事故處理方式及違約賠償條款；

（三）在合同或協(xié)議中約定服務(wù)提供商不得以所提供服務(wù)的銀行業(yè)金融機(jī)構(gòu)名義開展活動(dòng)；

（四）服務(wù)提供商接觸銀行業(yè)金融機(jī)構(gòu)信息時(shí)，需滿足安全和保密相關(guān)條款的要求；

（五）服務(wù)提供商在其發(fā)生信息安全事件時(shí)必須及時(shí)向銀行業(yè)金融機(jī)構(gòu)報(bào)告事件的影響以及處臵和糾正措施。

第三十七條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在合同或協(xié)議中明確要求服務(wù)提供商不得將外包服務(wù)轉(zhuǎn)包和變相轉(zhuǎn)包。在涉及外包服務(wù)分包時(shí)應(yīng)當(dāng)要求：

（一）不得將外包服務(wù)的主要業(yè)務(wù)分包；

（二）主服務(wù)提供商對服務(wù)水平負(fù)總責(zé)，確保分包服務(wù)提供商能夠嚴(yán)格遵守外包合同或協(xié)議；

（三）主服務(wù)提供商對分包商進(jìn)行監(jiān)控，并對分包商的變 10 更履行通知或報(bào)告審批義務(wù)。

第四節(jié) 外包服務(wù)安全管理

第三十八條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)制定和落實(shí)信息安全管控措施，防范因外包活動(dòng)引起的信息泄露、信息篡改、信息不可用、非法入侵、物理環(huán)境或設(shè)施遭受破壞等風(fēng)險(xiǎn)，具體措施包括：

（一）對外包人員進(jìn)行信息安全培訓(xùn)，提高風(fēng)險(xiǎn)管理意識，確保信息安全管控措施在外包服務(wù)過程中有效落實(shí)；

（二）明確外包活動(dòng)需要訪問或使用的信息資產(chǎn)，包括場地、辦公設(shè)施、計(jì)算機(jī)、服務(wù)器、軟件、數(shù)據(jù)、信息、物理訪問控制設(shè)備、賬號、網(wǎng)絡(luò)寬帶、網(wǎng)絡(luò)端口等，按“必需知道“和“最小授權(quán)”原則進(jìn)行訪問授權(quán)；

（三）對重要或核心的信息系統(tǒng)開發(fā)交付物進(jìn)行源代碼檢查和安全掃描；

（四）定期對服務(wù)提供商進(jìn)行安全檢查，獲取服務(wù)提供商自評估或第三方評估報(bào)告。

第三十九條

銀行業(yè)金融機(jī)構(gòu)在對關(guān)聯(lián)外包的服務(wù)提供商進(jìn)行定期安全檢查時(shí)，不得以服務(wù)提供商的自評估來替代，不得因關(guān)聯(lián)關(guān)系而影響檢查的獨(dú)立性、客觀性及公正性。

第四十條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)關(guān)注外包服務(wù)引入的新技術(shù)或新應(yīng)用對現(xiàn)有治理模式及安全架構(gòu)的沖擊，及時(shí)完善信息安全管控體系，避免因新技術(shù)或應(yīng)用的引入而增加額外的信息安全風(fēng)險(xiǎn)。

第五節(jié) 外包服務(wù)監(jiān)控與評價(jià)

第四十一條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對外包服務(wù)過程進(jìn)行持續(xù)監(jiān)控，要求服務(wù)提供商建立階段性服務(wù)目標(biāo)及任務(wù)，并跟蹤任務(wù)的執(zhí)行情況，及時(shí)發(fā)現(xiàn)和糾正服務(wù)過程中存在的各類異常情況。

第四十二條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)信息科技的外包需求、合同、服務(wù)水平協(xié)議等建立明確的服務(wù)質(zhì)量監(jiān)控指標(biāo)，并進(jìn)行相應(yīng)的監(jiān)控。常見指標(biāo)包括：

（一）信息系統(tǒng)和設(shè)備及基礎(chǔ)設(shè)施的可用率、設(shè)備的開機(jī)率；

（二）故障次數(shù)、故障解決率、故障的響應(yīng)時(shí)間；

（三）服務(wù)的次數(shù)、客戶滿意度；

（四）各階段業(yè)務(wù)需求的及時(shí)完成率、程序的缺陷數(shù)、需求變更率；

（五）外包人員工作飽和率、外包人員的考核合格率。

第四十三條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立明確的服務(wù)目錄,服務(wù)水平協(xié)議以及服務(wù)水平監(jiān)控評價(jià)機(jī)制,并確保外包服務(wù)監(jiān)控基礎(chǔ)數(shù)據(jù)和評價(jià)結(jié)果的真實(shí)性和完整性，且數(shù)據(jù)至少需保存到服務(wù)結(jié)束后一年。

第四十四條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對服務(wù)提供商的財(cái)務(wù)、內(nèi)控及安全管理進(jìn)行持續(xù)監(jiān)控，關(guān)注其因破產(chǎn)、兼并、關(guān)鍵人員 12 流失、投入不足和管理不善等因素引發(fā)的財(cái)務(wù)狀況惡化及內(nèi)部管理混亂等情況，防范外包服務(wù)意外終止或服務(wù)質(zhì)量的急劇下降。

第四十五條

銀行業(yè)金融機(jī)構(gòu)監(jiān)控到異常情況時(shí)，應(yīng)當(dāng)及時(shí)督促服務(wù)提供商采取糾正措施，情節(jié)嚴(yán)重的或未及時(shí)糾正的，應(yīng)約談服務(wù)提供商高管人員并限期整改。

第四十六條

外包服務(wù)結(jié)束時(shí)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對服務(wù)提供商進(jìn)行評價(jià)，評價(jià)結(jié)果應(yīng)當(dāng)作為服務(wù)提供商準(zhǔn)入的重要參考依據(jù)。

第四十七條

對于關(guān)聯(lián)外包，銀行業(yè)金融機(jī)構(gòu)董事會(huì)及高級管理層應(yīng)當(dāng)推動(dòng)母公司或其所屬集團(tuán)將外包服務(wù)質(zhì)量納入對服務(wù)提供商的業(yè)績評價(jià)范圍，建立外包服務(wù)重大事件問責(zé)機(jī)制。同時(shí)，應(yīng)當(dāng)要求服務(wù)提供商在其內(nèi)部建立與外包服務(wù)水平相關(guān)的績效考核機(jī)制。

第六節(jié) 外包服務(wù)中斷與終止

第四十八條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)考慮信息科技外包的引入對業(yè)務(wù)連續(xù)性管理的影響，有針對性的完善業(yè)務(wù)連續(xù)性管理計(jì)劃，包括但不限于：

（一）識別出重要業(yè)務(wù)所涉及的服務(wù)提供商和資源；

（二）通過合同協(xié)議等形式明確要求服務(wù)提供商提前準(zhǔn)備并維護(hù)好相關(guān)資源；

（三）對服務(wù)提供商業(yè)務(wù)連續(xù)性管理進(jìn)行監(jiān)控，并評價(jià)其 13 管理水平；

（四）在進(jìn)行業(yè)務(wù)連續(xù)性計(jì)劃演練時(shí)將相關(guān)的服務(wù)提供商納入演練范圍。

第四十九條

為降低外包突發(fā)事件的可能性及影響，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)事先對業(yè)務(wù)連續(xù)性管理造成重大影響的外包服務(wù)建立風(fēng)險(xiǎn)控制、緩釋或轉(zhuǎn)移措施，包括但不限于以下內(nèi)容：

（一）在外包服務(wù)實(shí)施的過程中持續(xù)收集服務(wù)提供商相關(guān)信息，盡早發(fā)現(xiàn)可能導(dǎo)致服務(wù)中斷的情況；

（二）與服務(wù)提供商事先約定在其服務(wù)質(zhì)量不能滿足合同要求的情況下獲取其外包服務(wù)資源的優(yōu)先權(quán)；

（三）要求服務(wù)提供商制定服務(wù)中斷相關(guān)的應(yīng)急處理預(yù)案，如提供備份人員；

（四）對于涉及重要業(yè)務(wù)的外包服務(wù)，銀行業(yè)金融機(jī)構(gòu)需考慮預(yù)先在其內(nèi)部配臵相應(yīng)的人力資源，掌握必要的技能，以在外包服務(wù)中斷期間自行維持最低限度的服務(wù)能力。

第五十條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)針對重要外包服務(wù)中斷的場景，擬定相應(yīng)的應(yīng)急計(jì)劃，并定期進(jìn)行演練，應(yīng)考慮的因素包括但不限于以下內(nèi)容：

（一）事件場景，如重要人員流失導(dǎo)致服務(wù)無法持續(xù)，服務(wù)提供商主動(dòng)退出，因資質(zhì)變更、被收購、兼并或破產(chǎn)等原因?qū)е碌姆?wù)提供商被動(dòng)退出等；

（二）事件持續(xù)時(shí)間和恢復(fù)可能性；

（三）事件影響范圍和可能的應(yīng)急措施；

（四）服務(wù)提供商自行恢復(fù)服務(wù)的可能性和時(shí)間；

（五）備選的服務(wù)提供商以及外包服務(wù)遷移方案；

（六）外包服務(wù)過渡給銀行業(yè)金融機(jī)構(gòu)自行運(yùn)作的可能性、時(shí)效及資源需求。

第五十一條

對于無法滿足外包服務(wù)要求或發(fā)生重大事件的情況，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在充分評估其影響及制定退出計(jì)劃的前提下，考慮主動(dòng)要求服務(wù)提供商終止服務(wù)，情節(jié)特別嚴(yán)重的，可考慮取消準(zhǔn)入資質(zhì)，并報(bào)監(jiān)管機(jī)構(gòu)申請對其備案。對于關(guān)聯(lián)外包，銀行業(yè)金融機(jī)構(gòu)不得因?yàn)殛P(guān)聯(lián)關(guān)系而影響服務(wù)提供商退出機(jī)制的落實(shí)。

第五章 機(jī)構(gòu)集中度風(fēng)險(xiǎn)管理

第五十二條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)依據(jù)服務(wù)提供商所承接外包服務(wù)的數(shù)量、金額在本行重要信息科技服務(wù)中的占比，服務(wù)提供商所承接外包服務(wù)在銀行業(yè)服務(wù)市場占比情況，識別具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商。同時(shí)，還應(yīng)識別服務(wù)提供商之間為集團(tuán)子公司、關(guān)聯(lián)公司或附屬機(jī)構(gòu)所產(chǎn)生的機(jī)構(gòu)集中度風(fēng)險(xiǎn)。

第五十三條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)積極采用分散信息科技外包活動(dòng)、提高自主研發(fā)運(yùn)行能力等形式，降低機(jī)構(gòu)集中度，減少對外包服務(wù)提供商的依賴。

第五十四條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)要求具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商提供充分的證據(jù)，證明其內(nèi)部控制和管理能力、持續(xù)運(yùn)營能力等。

第五十五條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)要求具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商為銀行業(yè)金融機(jī)構(gòu)配備相對獨(dú)立的資源，包括服務(wù)團(tuán)隊(duì)、場地、系統(tǒng)、設(shè)備等；并對資源進(jìn)行定期檢查，確保資源及時(shí)到位。

第五十六條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)要求具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商在外包服務(wù)中斷應(yīng)急預(yù)案中，明確外包服務(wù)的優(yōu)先級，并進(jìn)行服務(wù)中斷應(yīng)急演練，服務(wù)提供商應(yīng)至少參與服務(wù)交接、敏感信息處臵等演練過程。

第五十七條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)特別加強(qiáng)對具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商的財(cái)務(wù)、內(nèi)控、安全管理情況持續(xù)監(jiān)控，建立信息收集機(jī)制，及時(shí)掌握風(fēng)險(xiǎn)事件情況，防范外包服務(wù)意外終止或服務(wù)質(zhì)量急劇下降對本機(jī)構(gòu)產(chǎn)生大面積影響。

第五十八條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商增強(qiáng)監(jiān)督頻率與力度，必要時(shí)可指派專人進(jìn)行現(xiàn)場監(jiān)督。

第五十九條

對于具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況，銀行業(yè)金融機(jī)構(gòu)可參照本節(jié)內(nèi)容對其進(jìn)行外包管理。

第六章 跨境及非駐場外包管理

第一節(jié) 跨境外包風(fēng)險(xiǎn)管理

第六十條

跨境外包是指在境外其他國家或地區(qū)實(shí)施的信息科技外包服務(wù)活動(dòng)。

第六十一條

跨境外包除具有本指引前述風(fēng)險(xiǎn)外，還包括由于某一國家或地區(qū)經(jīng)濟(jì)、政治、社會(huì)變化及事件而產(chǎn)生的國別風(fēng)險(xiǎn)，及由于外包實(shí)施場地遠(yuǎn)離銀行業(yè)金融機(jī)構(gòu)而產(chǎn)生的非駐場風(fēng)險(xiǎn)。

第六十二條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)充分了解并持續(xù)監(jiān)控服務(wù)提供商所在國家或地區(qū)的經(jīng)濟(jì)、政治、社會(huì)狀況，通過建立應(yīng)急預(yù)案、服務(wù)持續(xù)性計(jì)劃防范跨境外包所帶來的國別風(fēng)險(xiǎn)。

第六十三條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)關(guān)注國外法律法規(guī)、監(jiān)管要求對其獲取服務(wù)提供商外包管理信息可能的影響。實(shí)施跨境外包時(shí)，不應(yīng)妨礙銀行業(yè)金融機(jī)構(gòu)有效履行外包服務(wù)監(jiān)控管理職能及監(jiān)管機(jī)構(gòu)的延伸檢查。

第六十四條

銀行業(yè)金融機(jī)構(gòu)在選擇跨境外包時(shí)，應(yīng)當(dāng)明確其所在國家或地區(qū)監(jiān)管當(dāng)局已與中國銀監(jiān)會(huì)簽訂諒解備忘錄或雙方認(rèn)可的其他約定。

第六十五條

銀行業(yè)金融機(jī)構(gòu)在實(shí)施跨境外包時(shí)，其合同應(yīng)當(dāng)包括法律選擇和司法管轄權(quán)的約定，明確爭議解決時(shí)所適用的法律及司法管轄權(quán)，原則上應(yīng)當(dāng)要求服務(wù)提供商依照中國的法律解決糾紛。

第六十六條

銀行業(yè)金融機(jī)構(gòu)在開展跨境外包時(shí)，應(yīng)當(dāng)充分審查評估服務(wù)提供商保護(hù)客戶信息的能力，并將其作為選擇服務(wù)提供商的重要指標(biāo)。涉及客戶信息的跨境外包,應(yīng)在符合監(jiān)管法規(guī)政策并獲得客戶授權(quán)的前提下開展。

第二節(jié) 非駐場外包風(fēng)險(xiǎn)管理

第六十七條

非駐場外包是指服務(wù)提供商不在銀行業(yè)金融機(jī)構(gòu)現(xiàn)場提供服務(wù)的外包形式。由于銀行業(yè)金融機(jī)構(gòu)不能對其內(nèi)部控制及風(fēng)險(xiǎn)管理措施進(jìn)行直接管控，應(yīng)當(dāng)在信息安全、知識產(chǎn)權(quán)保護(hù)、質(zhì)量監(jiān)控、法律合規(guī)等方面加強(qiáng)對服務(wù)提供商的風(fēng)險(xiǎn)管理。

第六十八條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立針對非駐場外包服務(wù)的內(nèi)部控制及風(fēng)險(xiǎn)管理要求的最低標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)應(yīng)當(dāng)作為選擇服務(wù)提供商的最低要求。

第六十九條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對重要的非駐場外包服務(wù)進(jìn)行實(shí)地檢查。實(shí)地檢查原則上一年不少于一次，檢查結(jié)果應(yīng)作為外包服務(wù)提供商項(xiàng)目考核及準(zhǔn)入的重要指標(biāo)。

第七十條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)對服務(wù)商非駐場外包服務(wù)內(nèi)部控制、質(zhì)量管理、信息安全的有效性評估，評估結(jié)果應(yīng)作為供應(yīng)商準(zhǔn)入的重要依據(jù)。對于高風(fēng)險(xiǎn)的服務(wù)提供商，銀行業(yè)金融機(jī)構(gòu)應(yīng)責(zé)令其進(jìn)行限期整改，對于逾期未改的服務(wù)提供商應(yīng)暫停或取消其服務(wù)資格。

第七十一條

對于非駐場外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況，銀行業(yè)金融機(jī)構(gòu)可參照本節(jié)內(nèi)容對其進(jìn)行外包管理，但同業(yè)托管機(jī)構(gòu)須將為其他同行業(yè)金融機(jī)構(gòu)提供的信息科技外包服務(wù)視同自身信息科技服務(wù)的重要組成部分，不應(yīng)區(qū)別對待而降低對自身提供外包服務(wù)的風(fēng)險(xiǎn)管控水平。

第七章 銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)風(fēng)險(xiǎn)管理要求

第七十二條

銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)是指集中為銀行業(yè)金融機(jī)構(gòu)提供外包服務(wù)，同時(shí)滿足下述條件，如其外包服務(wù)失敗可能導(dǎo)致銀行業(yè)大面積數(shù)據(jù)損毀、丟失、泄露或信息系統(tǒng)服務(wù)中斷，造成經(jīng)濟(jì)損失的機(jī)構(gòu)，具體條件如下：

(一)承擔(dān)集中存貯客戶數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包服務(wù)；或承擔(dān)銀行業(yè)金融機(jī)構(gòu)客戶資料、交易數(shù)據(jù)等敏感信息的批量分析或處理服務(wù)；或承擔(dān)銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)中心、災(zāi)備中心機(jī)房及基礎(chǔ)設(shè)施外包服務(wù)；且上述服務(wù)均為非駐場外包服務(wù)；

(二)服務(wù)的法人銀行業(yè)金融機(jī)構(gòu)數(shù)量、服務(wù)合同金額占有本服務(wù)領(lǐng)域市場份額的三分之一以上；或服務(wù)的國有、股份制法人銀行業(yè)金融機(jī)構(gòu)數(shù)量達(dá)到3家或以上；或服務(wù)的其它類型法人銀行業(yè)金融機(jī)構(gòu)數(shù)量達(dá)到10家或以上。

第七十三條

銀行業(yè)金融機(jī)構(gòu)應(yīng)根據(jù)監(jiān)管機(jī)構(gòu)發(fā)布的銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)風(fēng)險(xiǎn)提示，按照如下要求進(jìn)行管理：

19(一)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)是中華人民共和國境內(nèi)注冊的獨(dú)立法人實(shí)體，注冊資本和實(shí)收資本不少于1000萬，注冊成立時(shí)間應(yīng)不少于3年。

(二)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)擁有健全的組織架構(gòu)，并針對所提供的外包服務(wù)建立有效的風(fēng)險(xiǎn)治理架構(gòu)，至少應(yīng)當(dāng)建立由公司高級管理層直接領(lǐng)導(dǎo)、針對銀行業(yè)金融機(jī)構(gòu)外包服務(wù)的、專職信息科技風(fēng)險(xiǎn)管理團(tuán)隊(duì)，為持續(xù)的外包服務(wù)提供保證。

(三)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)建立與所承擔(dān)的服務(wù)范圍和規(guī)模相適應(yīng)的服務(wù)管理體系，建立完善的信息安全、服務(wù)質(zhì)量、服務(wù)持續(xù)性等管理制度體系，擁有有效的檢查、監(jiān)控和考核機(jī)制，確保管理規(guī)范有效執(zhí)行。

(四)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)具有足夠的技術(shù)能力、人員隊(duì)伍和設(shè)施、環(huán)境，滿足外包服務(wù)的質(zhì)量和安全管理要求。銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)承擔(dān)的銀行業(yè)金融機(jī)構(gòu)外包服務(wù)場地應(yīng)設(shè)臵在中國境內(nèi)。

第七十四條 銀行業(yè)金融機(jī)構(gòu)應(yīng)要求銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)具有如下相關(guān)領(lǐng)域資質(zhì)認(rèn)證:(一)具有完善的信息安全管理體系、業(yè)務(wù)連續(xù)性管理體系，并通過業(yè)界公認(rèn)較為權(quán)威的信息安全管理和業(yè)務(wù)連續(xù)性管理資質(zhì)認(rèn)證。

(二)具有完善的質(zhì)量管理體系，并通過業(yè)界公認(rèn)較為權(quán)威的質(zhì)量管理資質(zhì)認(rèn)證。

20(三)承擔(dān)銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)中心、災(zāi)備中心機(jī)房及基礎(chǔ)設(shè)施外包服務(wù)的銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)，其機(jī)房及基礎(chǔ)設(shè)施應(yīng)達(dá)到國家電子計(jì)算機(jī)機(jī)房最高標(biāo)準(zhǔn)。

(四)承擔(dān)集中存貯客戶數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包服務(wù)，或承擔(dān)銀行業(yè)金融機(jī)構(gòu)客戶資料、交易數(shù)據(jù)等敏感信息的批量分析或處理服務(wù)的銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)，應(yīng)具有完善的運(yùn)行服務(wù)管理體系，并通過業(yè)界公認(rèn)較為權(quán)威的運(yùn)行服務(wù)管理資質(zhì)認(rèn)證。

第七十五條 銀行業(yè)金融機(jī)構(gòu)應(yīng)在風(fēng)險(xiǎn)管理、審計(jì)方面對銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)做出如下要求：

(一)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)具有信息科技風(fēng)險(xiǎn)的管理體系，有效識別、監(jiān)測、評估和控制風(fēng)險(xiǎn)。銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)至少每季度向所服務(wù)的銀行業(yè)金融機(jī)構(gòu)報(bào)送外包風(fēng)險(xiǎn)監(jiān)控報(bào)告，針對監(jiān)控發(fā)現(xiàn)的潛在風(fēng)險(xiǎn)或風(fēng)險(xiǎn)事件，及時(shí)采取控制或緩釋措施。

(二)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)每年聘請獨(dú)立的審計(jì)機(jī)構(gòu),對自身外包服務(wù)進(jìn)行風(fēng)險(xiǎn)評估,風(fēng)險(xiǎn)評估報(bào)告需報(bào)送所服務(wù)的銀行業(yè)金融機(jī)構(gòu)，并抄送銀行業(yè)監(jiān)督管理委員會(huì)或其派出機(jī)構(gòu)。

(三)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)對其外包服務(wù)團(tuán)隊(duì)成員進(jìn)行背景調(diào)查，確保其過往無犯罪或其他不良記錄，且應(yīng)當(dāng)與項(xiàng)目成員簽訂保密協(xié)議，并保留至少10年的法律追訴期。

第八章 監(jiān)督管理

第七十六條

銀行業(yè)金融機(jī)構(gòu)開展以下信息科技外包服務(wù)時(shí),應(yīng)在外包合同簽訂前二十個(gè)工作日向中國銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告。報(bào)告內(nèi)容見附件《信息科技外包服務(wù)報(bào)告材料目錄》。

（一）信息科技工作整體外包；

（二）數(shù)據(jù)中心或?yàn)?zāi)備中心整體外包；

（三）涉及將銀行業(yè)金融機(jī)構(gòu)客戶資料、交易數(shù)據(jù)等敏感信息交由服務(wù)提供商進(jìn)行分析或處理的信息科技外包；

（四）以非駐場形式實(shí)施的、集中存貯客戶數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包；

（五）關(guān)聯(lián)外包；

（六）涉及跨境的信息科技外包；

（七）其他中國銀監(jiān)會(huì)認(rèn)為重要的信息科技外包。第七十七條

銀行業(yè)金融機(jī)構(gòu)信息科技外包活動(dòng)中發(fā)生如下重大事件時(shí)，應(yīng)在兩個(gè)工作日內(nèi)向中國銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告。

（一）銀行業(yè)金融機(jī)構(gòu)客戶信息等敏感數(shù)據(jù)泄露；

（二）數(shù)據(jù)損毀或者重要業(yè)務(wù)運(yùn)營中斷；

（三）由于不可抗力或服務(wù)提供商重大經(jīng)營、財(cái)務(wù)問題，導(dǎo)致或可能導(dǎo)致多家銀行業(yè)金融機(jī)構(gòu)外包服務(wù)中斷;22

（四）其他重大的服務(wù)提供商違法違規(guī)事件；

（五）中國銀監(jiān)會(huì)規(guī)定需要報(bào)告的其他重大事件。第七十八條

銀行業(yè)金融機(jī)構(gòu)在開展外包風(fēng)險(xiǎn)管理評估工作后，應(yīng)將風(fēng)險(xiǎn)評估報(bào)告報(bào)送中國銀監(jiān)會(huì)或其派出機(jī)構(gòu)。報(bào)告內(nèi)容見附件《信息科技外包服務(wù)報(bào)告材料目錄》。

第七十九條

中國銀監(jiān)會(huì)及其派出機(jī)構(gòu)對銀行業(yè)金融機(jī)構(gòu)信息科技外包工作進(jìn)行監(jiān)督和檢查，監(jiān)督檢查結(jié)果應(yīng)納入對銀行業(yè)金融機(jī)構(gòu)的監(jiān)管評級。

第八十條

對于風(fēng)險(xiǎn)較高的信息科技外包服務(wù)，銀監(jiān)會(huì)或其派出機(jī)構(gòu)可要求銀行業(yè)金融機(jī)構(gòu)暫緩、中止該類外包服務(wù)，直至銀行業(yè)金融機(jī)構(gòu)、外包服務(wù)提供商有效改正。

第八十一條

銀行業(yè)金融機(jī)構(gòu)違反本指引規(guī)定的，中國銀監(jiān)會(huì)或其派出機(jī)構(gòu)可要求銀行業(yè)金融機(jī)構(gòu)糾正或采取替代方案，并視情況予以問責(zé)。因管理過失導(dǎo)致外包活動(dòng)嚴(yán)重危及銀行業(yè)金融機(jī)構(gòu)穩(wěn)健運(yùn)行、損害存款人和其他客戶合法權(quán)益的，將依法追究銀行業(yè)金融機(jī)構(gòu)管理責(zé)任。

第八十二條

中國銀監(jiān)會(huì)實(shí)行對銀行業(yè)信息科技外包服務(wù)活動(dòng)風(fēng)險(xiǎn)監(jiān)測機(jī)制，定期對銀行業(yè)金融機(jī)構(gòu)發(fā)布銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)名單和風(fēng)險(xiǎn)提示，防范因高機(jī)構(gòu)集中度外包服務(wù)導(dǎo)致的行業(yè)性、區(qū)域性信息科技風(fēng)險(xiǎn)。

第八十三條

中國銀監(jiān)會(huì)應(yīng)對具有機(jī)構(gòu)集中度特點(diǎn)的銀行業(yè)金融機(jī)構(gòu)信息科技外包服務(wù)活動(dòng)進(jìn)行重點(diǎn)風(fēng)險(xiǎn)監(jiān)測、評估。根 23 據(jù)履行職責(zé)的需要，中國銀監(jiān)會(huì)可要求銀行業(yè)金融機(jī)構(gòu)與銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)會(huì)談，就其外包服務(wù)活動(dòng)和風(fēng)險(xiǎn)的重大事項(xiàng)作出說明。

第八十四條

中國銀監(jiān)會(huì)應(yīng)組織銀行業(yè)金融機(jī)構(gòu)，實(shí)地核查銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)承擔(dān)的銀行業(yè)金融機(jī)構(gòu)信息科技服務(wù)活動(dòng)，原則上每兩年進(jìn)行一次，也可以委托其他第三方機(jī)構(gòu)審計(jì)的形式實(shí)施。

第八十五條

中國銀監(jiān)會(huì)可根據(jù)銀行業(yè)金融機(jī)構(gòu)信息科技服務(wù)活動(dòng)風(fēng)險(xiǎn)評估和實(shí)地核查結(jié)果，對銀行業(yè)金融機(jī)構(gòu)發(fā)出監(jiān)管提示，要求其督促銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)對風(fēng)險(xiǎn)問題實(shí)施整改。

第八十六條

銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)配合銀行業(yè)金融機(jī)構(gòu)及中國銀監(jiān)會(huì)的風(fēng)險(xiǎn)監(jiān)測和實(shí)地核查。發(fā)現(xiàn)外包服務(wù)中發(fā)生可能引發(fā)行業(yè)性、區(qū)域性信息科技風(fēng)險(xiǎn)的突發(fā)事件時(shí)，應(yīng)及時(shí)向銀行業(yè)金融機(jī)構(gòu)報(bào)告。

第八十七條

中國銀監(jiān)會(huì)組織相關(guān)銀行業(yè)金融機(jī)構(gòu)對銀行業(yè)信息科技外包服務(wù)提供商建立服務(wù)管理記錄，并對其風(fēng)險(xiǎn)評估和評級。

第八十八條

服務(wù)提供商在外包服務(wù)中存在以下情形的，中國銀監(jiān)會(huì)將定期向銀行業(yè)發(fā)布服務(wù)提供商風(fēng)險(xiǎn)預(yù)警，公布機(jī)構(gòu)名單、服務(wù)信息等，要求銀行業(yè)金融機(jī)構(gòu)禁止服務(wù)提供商承擔(dān)銀行業(yè)信息科技外包服務(wù)，禁止期至少為兩年。外包服務(wù)提供商兩年內(nèi)仍未整改的，將延長其禁止期。

（一）違反國家法律、法規(guī)和監(jiān)管政策，情節(jié)嚴(yán)重的；

（二）竊取、泄露銀行業(yè)金融機(jī)構(gòu)敏感信息，情節(jié)嚴(yán)重的；

（三）因管理過失，多次發(fā)生重要信息系統(tǒng)服務(wù)中斷或數(shù)據(jù)損毀、丟失、泄露事件；

（四）服務(wù)質(zhì)量低下并給多家銀行業(yè)金融機(jī)構(gòu)造成損失，多次提示仍未整改；

（五）對風(fēng)險(xiǎn)監(jiān)測和實(shí)地檢查發(fā)現(xiàn)的問題，逾期仍未整改；

（六）存在其他違法違規(guī)行為，或發(fā)生其它重大信息科技風(fēng)險(xiǎn)事件。

第八十九條

中國銀監(jiān)會(huì)將監(jiān)督銀行業(yè)金融機(jī)構(gòu)實(shí)施對信息科技外包服務(wù)提供商的準(zhǔn)入及“黑名單”管理。對于存在重大風(fēng)險(xiǎn)的外包活動(dòng)，銀行業(yè)金融機(jī)構(gòu)應(yīng)立即評估外包的適當(dāng)性，對擬進(jìn)入“黑名單”的信息科技外包服務(wù)提供商進(jìn)行風(fēng)險(xiǎn)預(yù)警提示，要求其進(jìn)行整改并設(shè)定期限。逾期未整改的，將進(jìn)入“黑名單”。

第九章 附則

第九十條

本指引由中國銀監(jiān)會(huì)負(fù)責(zé)解釋、修訂。第九十一條

本指引自發(fā)布之日起施行。

附錄 《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》信息科技外包服務(wù)監(jiān)管報(bào)告材料目錄

一、信息科技外包監(jiān)管報(bào)告材料

（一）外包服務(wù)基本情況，包括：

1.外包服務(wù)名稱；

2.外包服務(wù)類型：研發(fā)咨詢類、系統(tǒng)運(yùn)行維護(hù)類、業(yè)務(wù)外包中的信息科技活動(dòng)等； 3.外包服務(wù)的主要內(nèi)容；

4.實(shí)施方式：駐場外包、非駐場外包；

5.影響的業(yè)務(wù)類型：渠道管理類、客戶管理類、產(chǎn)品管理類、財(cái)務(wù)管理類、決策支持類、共享支持類等； 6.外包服務(wù)起止時(shí)間。

（二）服務(wù)提供商基本情況，包括：

1.服務(wù)提供商全稱、國別； 2.盡職調(diào)查報(bào)告； 3.法人代表； 4.注冊資本； 5.上級機(jī)構(gòu)/母機(jī)構(gòu)； 6.成立時(shí)間； 7.企業(yè)性質(zhì)；

（三）中國銀監(jiān)會(huì)規(guī)定的其他材料。

二、信息科技外包情況報(bào)送材料

（一）銀行業(yè)金融機(jī)構(gòu)外包風(fēng)險(xiǎn)評估報(bào)告；

（二）銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)風(fēng)險(xiǎn)評估報(bào)告；

（三）本內(nèi)正在執(zhí)行或終止的重要信息科技外包服務(wù)情況，包括：

1.外包服務(wù)名稱；

2.外包服務(wù)重大事件情況； 3.外包服務(wù)變更情況；

4.本期終止的，還應(yīng)當(dāng)提供外包服務(wù)評價(jià)。

（四）中國銀監(jiān)會(huì)規(guī)定的其他材料。