《商业银行外包风险管理指引》

商业银行外包风险控制管理办法
第一章总则
第一条为加强商业银行（以下简称“本行”）外包活动的控制，确保所选择的外包方提供的服务符合要求，保障本行业务持续经营，根据《商业银行内部控制指引》《银行业金融机构外包风险管理指引》等法律法规要求，结合本行实际，特制定本办法。

第二条本办法明确外包方的管理职责、控制程序等内容和要求。

第三条本办法适用于本行所有外包项目的控制。

第四条本办法所称外包，是指本行将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为。

第二章职责与权限
第五条董事会的职责
（一）审议批准外包的战略发展规划；
（二）审议批准外包的风险管理制度；
（三）审议批准本机构的外包范围及相关安排；
1/ 21。

中国银行业监督管理委员会关于印发银行业金融机构信息科技外包风险监管指引的通知文章属性•【制定机关】中国银行业监督管理委员会(已撤销)•【公布日期】2013.02.16•【文号】银监发[2013]5号•【施行日期】2013.02.16•【效力等级】部门规范性文件•【时效性】失效•【主题分类】银行业监督管理正文中国银行业监督管理委员会关于印发银行业金融机构信息科技外包风险监管指引的通知（银监发[2013]5号）各银监局，各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司，邮储银行，各省级农村信用联社，银监会直接监管的信托公司、企业集团财务公司、金融租赁公司：现将《银行业金融机构信息科技外包风险监管指引》印发给你们，请遵照执行。

2013年2月16日银行业金融机构信息科技外包风险监管指引第一章总则第一条为规范银行业金融机构的信息科技外包活动，降低信息科技外包风险，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省（自治区）农村信用社联合社适用本指引。

银监会监管的其他金融机构参照本指引执行。

第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资源外包等形式。

原则上包括以下类型：（一）研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求、系统开发、测试外包；（二）系统运行维护类外包：包括数据中心（灾备中心）、机房配套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包；（三）业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。

第四条本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。

商业银行操作风险管理指引第一章总则第一条为加强商业银行的操作风险管理,根据《中华人民共与国银行业监督管理法》、《中华人民共与国商业银行法》以及其她有关法律法规,制定本指引。

第二条在中华人民共与国境内设立的中资商业银行、外商独资银行与中外合资银行适用本指引。

第三条本指引所称操作风险就是指由不完善或有问题的内部程序、员工与信息科技系统,以及外部事件所造成损失的风险。

本定义所指操作风险包括法律风险,但不包括策略风险与声誉风险。

第四条中国银行业监督管理委员会(以下简称银监会)依法对商业银行的操作风险管理实施监督检查,评价商业银行操作风险管理的有效性。

第二章操作风险管理第五条商业银行应当按照本指引要求,建立与本行的业务性质、规模与复杂程度相适应的操作风险管理体系,有效地识别、评估、监测与控制/缓释操作风险。

操作风险管理体系的具体形式不要求统一,但至少应包括以下基本要素:(一)董事会的监督控制;(二)高级管理层的职责;(三)适当的组织架构;(四)操作风险管理政策、方法与程序;(五)计提操作风险所需资本的规定。

第六条商业银行董事会应将操作风险作为商业银行面对的一项主要风险,并承担监控操作风险管理有效性的最终责任。

主要职责包括:(一)制定与本行战略目标相一致且适用于全行的操作风险管理战略与总体政策;(二)通过审批及检查高级管理层有关操作风险的职责、权限及报告制度,确保全行的操作风险管理决策体系的有效性,并尽可能地确保将本行从事的各项业务面临的操作风险控制在可以承受的范围内;(三)定期审阅高级管理层提交的操作风险报告,充分了解本行操作风险管理的总体情况、高级管理层处理重大操作风险事件的有效性以及监控与评价日常操作风险管理的有效性;(四)确保高级管理层采取必要的措施有效地识别、评估、监测与控制/缓释操作风险;(五)确保本行操作风险管理体系接受内审部门的有效审查与监督;(六)制定适当的奖惩制度,在全行范围有效地推动操作风险管理体系地建设。

《银行业金融机构外包风险管理指引》第一章总则第一条为了规范银行业金融机构的外包活动，保障银行业金融机构业务持续经营，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等有关法律法规，制定本指引。

第二条在中华人民共和国境内设立的银行业金融机构适用本指引。

第三条本指引中的外包是指银行业金融机构将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为。

服务提供商包括独立第三方，银行业金融机构母公司或其所属集团设立在中国境内、外的子公司、关联公司或附属机构。

第四条银行业金融机构的董事会和高级管理层应当承担外包活动的最终责任。

第五条银行业金融机构开展外包活动应当制定外包的风险管理框架以及相关制度，并将其纳入全面风险管理体系。

第六条银行业金融机构应当根据审慎经营原则制定其外包战略发展规划，确定与其风险管理水平相适宜的外包活动范围。

第七条银行业金融机构的战略管理、核心管理以及内部审计等职能不宜外包。

第二章组织结构第八条银行业金融机构外包管理的组织架构应当包括董事会、高级管理层及外包管理团队。

第九条董事会的职责主要包括以下方面：（一）审议批准外包的战略发展规划；（二）审议批准外包的风险管理制度；（三）审议批准本机构的外包范围及相关安排；（四）定期审阅本机构外包活动相关报告；（五）定期安排内部审计，确保审计范围涵盖所有的外包安排。

第十条高级管理层的职责主要包括以下方面：（一）制定外包战略发展规划；（二）制定外包风险管理的政策、操作流程和内控制度；（三）确定外包业务的范围及相关安排；（四）确定外包管理团队职责，并对其行为进行有效监督。

第十一条外包管理团队的职责主要包括以下方面：（一）执行外包风险管理的政策、操作流程和内控制度；（二）负责外包活动的日常管理，包括尽职调查、合同执行情况的监督及风险状况的监督；（三）向高级管理层提出有关外包活动发展和风险管控的意见和建议；（四）在发现外包服务提供商业的业务活动存在缺陷时，采取及时有效的措施；（五）高级管理层确定的其他职责。

商业银行业务外包法律风险分析及风险防范建议一、商业银行业务外包的定义及发展现状中国银监会发布的《商业银行外包风险管理指引》（征求意见稿）首次明确定义了商业银行外包的涵义：“指商业银行将原本应由自身负责处理的某些事务或某些业务委托给服务提供商进行处理的经营行为。

服务提供商包括独立第三方，商业银行或其所属集团设立在中国境内或者境外的子公司、关联公司或附属机构。

”目前，银行业务外包范围涉及银行卡制作、法律服务、款箱运送（守库押运）、凭证传递、现金清分整点、系统开发维护、客服呼叫中心等，涉及部门包括营运管理部、安全保卫部、信息技术管理部、信用卡中心、法律合规部等部门。

二、商业银行业务外包的政策法律依据对于外包，目前我国没有制定专门的法律法规加以规范，实践中通常以《合同法》作为界定双方权利义务的依据。

中国人民银行等六部委联合发布的《关于金融支持服务外包产业发展的若干意见》（银发（2009）284号）指出：金融机构要在符合监管要求的前提下，积极探索将非核心后台业务如呼叫中心、客户服务、簿记核算、凭证打印等，发包给有实力、有资质的服务外包企业，进一步提高金融服务的质量和效率。

由此可见，监管部门对商业银行将非核心业务进行外包持鼓励和肯定的态度，同时对商业银行能够开展外包的非核心业务范围也有了一个大致的界定。

三、商业银行业务外包的法律关系及风险分析（一）银行业务外包的法律关系目前，实践中将外包服务的法律关系认定为承揽合同，即外包服务商按照发包方（银行）的要求完成一定工作量，向发包方（银行）交付工作成果，发包方（银行）给付报酬的合同。

（二）银行业务外包的风险表现1、外包服务供应商准入风险在业务外包过程中，由于银行降低了外包服务供应商准入标准，将业务委托给注册资本低、风险承受能力差、管理经验不够、管理手段不完备、专业人员不足、保证制度不健全等专业及管理能力不符合要求的服务供应商处理，导致业务质量和效率较低，不能满足业务需要。

中国银行业监督管理委员会关于印发《商业银行合规风险管理指引》的通知正文：---------------------------------------------------------------------------------------------------------------------------------------------------- 中国银行业监督管理委员会关于印发《商业银行合规风险管理指引》的通知（银监发〔2006〕76号）各银监局，各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司，国家邮政局邮政储汇局，银监会直接监管的信托公司、财务公司、金融租赁公司：现将《商业银行合规风险管理指引》印发给你们，请认真贯彻落实。

请各银监局将本通知转发至辖内各银行业金融机构，并督促其遵照执行。

二○○六年十月二十日商业银行合规风险管理指引第一章总则第一条为加强商业银行合规风险管理，维护商业银行安全稳健运行，根据《中华人民共和国银行业监督管理法》和《中华人民共和国商业银行法》，制定本指引。

第二条在中华人民共和国境内设立的中资商业银行、外资独资银行、中外合资银行和外国银行分行适用本指引。

在中华人民共和国境内设立的政策性银行、金融资产管理公司、城市信用合作社、农村信用合作社、信托投资公司、企业集团财务公司、金融租赁公司、汽车金融公司、货币经纪公司、邮政储蓄机构以及经银监会批准设立的其他金融机构参照本指引执行。

第三条本指引所称法律、规则和准则，是指适用于银行业经营活动的法律、行政法规、部门规章及其他规范性文件、经营规则、自律性组织的行业准则、行为守则和职业操守。

本指引所称合规，是指使商业银行的经营活动与法律、规则和准则相一致。

本指引所称合规风险，是指商业银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。

本指引所称合规管理部门，是指商业银行内部设立的专门负责合规管理职能的部门、团队或岗位。

《商业银行外包风险管理指引》（征求意见稿）第一章总则第一条为了防范商业银行外包风险，保障商业银行业务持续经营，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等有关法律法规，制定本指引。

第二条本指引适用于中华人民共和国境内设立的政策性银行、商业银行、外国银行分行等机构。

第三条本指引中的外包是指商业银行将原本应由自身负责处理的某些事务或某些业务活动委托给服务提供商进行处理的经营行为。

服务提供商包括独立第三方，商业银行或其所属集团设立在中国境内或者境外的子公司、关联公司或附属机构。

第四条商业银行的董事会和高级管理层应承担外包活动的最终责任。

第五条商业银行开展外包活动应制定外包的风险管理框架以及相关制度，并将其纳入全面风险管理体系。

第二章外包范围第六条商业银行应根据审慎经营原则制定其外包战略发展规划，确定与其风险管理水平相适宜的外包活动范围，尤其是重要业务的外包活动范围。

第七条商业银行在确定某项外包业务是否为重要业务时，应评估以下因素：（一）是否涵盖到商业银行大部分的信息技术、财务会计、信贷处理及客户信息等业务事项；（二）业务一旦中断是否对商业银行的业务经营、声誉或利润等产生重大影响。

在无法确定某项即将被外包的业务是否为重要业务时，可向所在地监管机构进行咨询。

第八条重要业务可参考但不限于下述业务事项：（一）业务操作环节：贸易融资及结算有关的单据处理和系统操作等服务；授信业务的贷前调查和贷后催收；信用卡营销与催收；电子银行客户服务等；（二）数据处理：联行对帐；会计业务的影像处理及数据录入；客户数据录入及维护；数据查询等；（三）信息技术：业务操作系统软件的开发和维护、网络安全设计建设、网络银行应用系统设计开发和 IT 重要基础设备服务等；第九条商业银行涉及到战略管理和风险管理职能的业务不宜外包。

商业银行涉及到内部审计职能的业务不宜外包给独立第三方。

第三章组织架构第十条商业银行外包管理的组织架构应包括董事会、高级管理层及外包管理团队。

中国银行业监督管理委员会银监发[2013］5号中国银监会关于印发银行业金融机构信息科技外包风险监管指引的通知各银监局，各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司，邮储银行，各省级农村信用联社，银监会直接监管的信托公司、企业集团财务公司、金融租赁公司：现将《银行业金融机构信息科技外包风险监管指引》印发给你们，请遵照执行.2013年2月16日银行业金融机构信息科技外包风险监管指引第一章总则第一条为规范银行业金融机构的信息科技外包活动，降低信息科技外包风险，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本指引。

第二条在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省(自治区）农村信用社联合社适用本指引.银监会监管的其他金融机构参照本指引执行.第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资源外包等形式。

原则上包括以下类型:（一）研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求、系统开发、测试外包；（二）系统运行维护类外包：包括数据中心（灾备中心）、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包;（三）业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。

第四条本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包.第五条信息科技外包可能产生如下风险，并导致银行业金融机构的战略、声誉、合规风险：（一）科技能力丧失：银行业金融机构过度依赖外部资源导致失去科技控制及创新能力，影响业务创新与发展;（二）业务中断：支持业务运营的外包服务无法持续提供导致业务中断；（三）信息泄露：包含客户信息在内的银行业金融机构非公开数据被服务提供商非法获得或泄露；（四）服务水平下降：由于外包服务质量问题或内外部协作效率低下，使得银行业金融机构信息科技服务水平下降.第六条本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险，该风险可能造成集中性的服务中断、质量下降、安全事件等。

商业银行信息科技外包管理制度第一章总则第一条为加强商业银行（以下简称本行）信息科技外包风险管理，依据《商业银行信息科技风险管理指引》（银监发〔2009〕19号）、《银行业金融机构信息科技外包风险监管指引》（银监发〔2013〕5号）及有关文件，制定本制度。

第二条本制度所称信息科技外包是指本行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资源外包等形式。

包括但不限于以下类型：（一）研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求、系统开发、测试外包。

（二）系统运行维护类外包：包括数据中心（灾备中心）机房配套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包。

（三）业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。

第三条信息科技外包产生的风险10 /11信息科技外包可能产生如下风险，并导致本行的战略、声誉、合规风险：（一）科技能力丧失：过度依赖外部资源导致失去科技控制及创新能力，影响业务创新与发展。

（二）业务中断：支持业务运营的外包服务无法持续提供导致业务中断。

（三）信息泄露：包含客户信息在内的非公开数据被服务提供商非法获得或泄露。

（四）服务水平下降：由于外包服务质量问题或内外部协作效率低下"使得信息科技服务水平下降。

第四条本制度所称机构集中度风险是指农商行将信息科技外包服务集中交由少量服务提供商承接而产生的风险，该风险可能造成集中性的服务中断、质量下降、安全事件等。

对于不涉及本行客户及内部信息转移的信息科技产品采购、维保，及通讯线路租用、支付或清算系统接入等信息科技公共基础设施服务，本行外包接口部门应充分评估其信息科技风险，按照具有机构集中度特点的外包服务提供商的相关要求进行管理。

第五条信息科技外包管理原则10 /11（一）不得将信息科技管理责任外包。

（二）不能妨碍核心能力建设和掌握关键技术。

银行外包风险管理办法第一章总则第一条为有效防范我行外包风险，进一步完善全面风险管理体系，保障我行业务持续经营，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《商业银行外包风险管理指引》等有关法律法规并结合本行实际，制定本办法。

第二条本办法中的外包是指我行将原本应由自身负责处理的某些事务或某些业务活动委托给服务提供商进行持续处理的行为。

服务提供商包括独立第三方，商业银行或其所属集团设立在中国境内或者境外的子公司、关联公司或附属机构。

第三条我行的董事会和高级管理层承担外包活动的最终责任。

第二章外包范围第四条我行应根据审慎经营原则制定外包战略发展规划，确定与我行风险管理水平相适宜的外包活动范围，尤其是重要业务的外包活动范围。

第五条在确定某项外包业务是否为重要业务时，应评估以下因素：（一）是否涵盖到我行大部分的信息技术、财务会计、信贷处理及客户信息等业务事项；（二）业务一旦中断是否对我行的业务经营、声誉或利润等产生重大影响；（三）在无法确定某项即将被外包的业务是否为重要业务时，可向银行业监管机构进行咨询。

第六条重要业务可参考但不限于下述业务事项：（一）业务操作环节：贸易融资及结算有关的单据处理和系统操作等服务,授信业务的贷前调查和贷后催收,信用卡营销与催收,电子银行客户服务等;（二）数据处理：联行对账,会计业务的影像处理及数据录入,客户数据录入及维护,数据查询等;（三）信息技术：业务操作系统软件的开发和维护,网络安全设计建设,网络银行应用系统设计开发和IT重要基础设备服务等;（四）电子银行业务：电子银行业务处理系统、授权管理系统、数据备份系统的总体设计开发，以及其他涉及机密数据管理与传递环节的系统处理系统；（五）安全保卫：钞印运送和武装押运等；（六）涉及我行客户资料的外包工作视为重要外包业务。

第七条实施重要外包业务应格外谨慎，在准备实施重要外包时应以书面材料正式报告银行业监督管理机构。

商业银行操作风险管理指引第一章总则第一条为加强商业银行的操作风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他有关法律法规，制定本指引。

第二条在中华人民共和国境内设立的中资商业银行、外商独资银行和中外合资银行适用本指引。

第三条本指引所称操作风险是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。

本定义所指操作风险包括法律风险，但不包括策略风险和声誉风险。

第四条中国银行业监督管理委员会（以下简称银监会）依法对商业银行的操作风险管理实施监督检查，评价商业银行操作风险管理的有效性。

第二章操作风险管理第五条商业银行应当按照本指引要求，建立与本行的业务性质、规模和复杂程度相适应的操作风险管理体系，有效地识别、评估、监测和控制/缓释操作风险。

操作风险管理体系的具体形式不要求统一，但至少应包括以下基本要素：（一）董事会的监督控制；（二）高级管理层的职责；（三）适当的组织架构；（四）操作风险管理政策、方法和程序；（五）计提操作风险所需资本的规定。

第六条商业银行董事会应将操作风险作为商业银行面对的一项主要风险，并承担监控操作风险管理有效性的最终责任。

主要职责包括：（一）制定与本行战略目标相一致且适用于全行的操作风险管理战略和总体政策；（二）通过审批及检查高级管理层有关操作风险的职责、权限及报告制度，确保全行的操作风险管理决策体系的有效性，并尽可能地确保将本行从事的各项业务面临的操作风险控制在可以承受的范围内；（三）定期审阅高级管理层提交的操作风险报告，充分了解本行操作风险管理的总体情况、高级管理层处理重大操作风险事件的有效性以及监控和评价日常操作风险管理的有效性；（四）确保高级管理层采取必要的措施有效地识别、评估、监测和控制/缓释操作风险；（五）确保本行操作风险管理体系接受内审部门的有效审查与监督；（六）制定适当的奖惩制度，在全行范围有效地推动操作风险管理体系地建设。

中国银行业协会关于印发《商业银行防范外部欺诈工作指引》的通知文章属性•【制定机关】中国银行业协会•【公布日期】2010.11.16•【文号】银协秘发〔2020〕20号•【施行日期】2010.11.16•【效力等级】行业规定•【时效性】现行有效•【主题分类】银行业监督管理正文关于印发《商业银行防范外部欺诈工作指引》的通知银协秘发〔2020〕20号各会员单位：为了进一步建立健全银行机构外部欺诈防范体系，提升外部欺诈防控能力，有效应对外部风险,中国银行业协会安全保卫专业委员会(以下简称“中银协安保委”)组织起草了《商业银行防范外部欺诈工作指引》，并经中银协安保委第三届一次常委会审议通过。

现印发给你们，供参照执行。

执行过程中出现的相关问题，可将书面意见反馈中银协安保委办公室邮箱：**********************。

中国银行业协会2010年11月16日商业银行防范外部欺诈工作指引（2020年11月16日）第一章总则第一条【宗旨和依据】为提升银行业外部欺诈风险防范化解能力，根据《中华人民共和国银行业监督管理法》《中华人民共和国商业银行法》《商业银行操作风险管理指引》以及其他相关法律法规，制定本指引。

第二条【适用对象】本指引适用于中华人民共和国境内依法设立的商业银行。

包括集团化经营的国有控股商业银行及其子公司、股份制商业银行、城市商业银行、民营银行、农村商业银行等。

第三条【管理范围】外部欺诈是第三方故意实施行为导致的损失风险，包括抢劫、盗窃、破坏银行实物资产的攻击行为，骗取银行资金或信用的诈骗行为，入侵或破坏银行信息系统行为等。

第四条【工作要求】商业银行坚持主动防范化解金融风险，在全面风险管理框架下，加强外部欺诈防范工作，通过完善体制机制，强化责任落实，改进手段措施，增强抵御外部侵害能力，有效降低外部欺诈损失和化解案件风险，为实现银行持续健康发展提供保证。

第五条【基本原则】（一）依法合规。

严格根据法律法规和监管规定开展外部欺诈防范工作，依法接受银保监会及其派出机构监督管理。

商业银行操作风险管理指引第一章总则第一条为加强商业银行的操作风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他有关法律法规，制定本指引。

第二条在中华人民共和国境内设立的中资商业银行、外商独资银行和中外合资银行适用本指引。

第三条本指引所称操作风险是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。

本定义所指操作风险包括法律风险，但不包括策略风险和声誉风险。

第四条中国银行业监督管理委员会（以下简称银监会）依法对商业银行的操作风险管理实施监督检查，评价商业银行操作风险管理的有效性。

第二章操作风险管理第五条商业银行应当按照本指引要求，建立与本行的业务性质、规模和复杂程度相适应的操作风险管理体系，有效地识别、评估、监测和控制 /缓释操作风险。

操作风险管理体系的具体形式不要求统一，但至少应包括以下基本要素：（一）董事会的监督控制；（二）高级管理层的职责；（三）适当的组织架构；（四）操作风险管理政策、方法和程序；（五）计提操作风险所需资本的规定。

第六条商业银行董事会应将操作风险作为商业银行面对的一项主要风险，并承担监控操作风险管理有效性的最终责任。

主要职责包括：（一）制定与本行战略目标相一致且适用于全行的操作风险管理战略和总体政策；（二）通过审批及检查高级管理层有关操作风险的职责、权限及报告制度，确保全行的操作风险管理决策体系的有效性，并尽可能地确保将本行从事的各项业务面临的操作风险控制在可以承受的范围内；（三）定期审阅高级管理层提交的操作风险报告，充分了解本行操作风险管理的总体情况、高级管理层处理重大操作风险事件的有效性以及监控和评价日常操作风险管理的有效性；（四）确保高级管理层采取必要的措施有效地识别、评估、监测和控制/缓释操作风险；（五）确保本行操作风险管理体系接受内审部门的有效审查与监督；（六）制定适当的奖惩制度，在全行范围有效地推动操作风险管理体系地建设。

银行业金融机构信息科技外包风险监管指引（银监发…2013‟5号 2013年2月16日）第一章总则第一条为规范银行业金融机构的信息科技外包活动，降低信息科技外包风险，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省（自治区）农村信用社联合社适用本指引。

银监会监管的其他金融机构参照本指引执行。

第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资源外包等形式。

原则上包括以下类型：（一）研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求、系统开发、测试外包；（二）系统运行维护类外包：包括数据中心（灾备中心）、机房配套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包；（三）业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处臵等外包中的系统开发、运行维护和数据处理活动。

第四条本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。

第五条信息科技外包可能产生如下风险，并导致银行业金融机构的战略、声誉、合规风险：（一）科技能力丧失：银行业金融机构过度依赖外部资源导致失去科技控制及创新能力，影响业务创新与发展；（二）业务中断：支持业务运营的外包服务无法持续提供导致业务中断；（三）信息泄露：包含客户信息在内的银行业金融机构非公开数据被服务提供商非法获得或泄露；（四）服务水平下降：由于外包服务质量问题或内外部协作效率低下，使得银行业金融机构信息科技服务水平下降。

第六条本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险，该风险可能造成集中性的服务中断、质量下降、安全事件等。

第七条本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。

《商业银行外包风险管理指引》（征求意见稿）第一章总则第一条为了防范商业银行外包风险，保障商业银行业务持续经营，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等有关法律法规，制定本指引。

第二条本指引适用于中华人民共和国境内设立的政策性银行、商业银行、外国银行分行等机构。

第三条本指引中的外包是指商业银行将原本应由自身负责处理的某些事务或某些业务活动委托给服务提供商进行处理的经营行为。

服务提供商包括独立第三方，商业银行或其所属集团设立在中国境内或者境外的子公司、关联公司或附属机构。

第四条商业银行的董事会和高级管理层应承担外包活动的最终责任。

第五条商业银行开展外包活动应制定外包的风险管理框架以及相关制度，并将其纳入全面风险管理体系。

第二章外包范围第六条商业银行应根据审慎经营原则制定其外包战略发展规划，确定与其风险管理水平相适宜的外包活动范围，尤其是重要业务的外包活动范围。

第七条商业银行在确定某项外包业务是否为重要业务时，应评估以下因素：（一）是否涵盖到商业银行大部分的信息技术、财务会计、信贷处理及客户信息等业务事项；（二）业务一旦中断是否对商业银行的业务经营、声誉或利润等产生重大影响。

在无法确定某项即将被外包的业务是否为重要业务时，可向所在地监管机构进行咨询。

第八条重要业务可参考但不限于下述业务事项：（一）业务操作环节：贸易融资及结算有关的单据处理和系统操作等服务；授信业务的贷前调查和贷后催收；信用卡营销与催收；电子银行客户服务等；（二）数据处理：联行对帐；会计业务的影像处理及数据录入；客户数据录入及维护；数据查询等；（三）信息技术：业务操作系统软件的开发和维护、网络安全设计建设、网络银行应用系统设计开发和 IT 重要基础设备服务等；第九条商业银行涉及到战略管理和风险管理职能的业务不宜外包。

商业银行涉及到内部审计职能的业务不宜外包给独立第三方。

第三章组织架构第十条商业银行外包管理的组织架构应包括董事会、高级管理层及外包管理团队。

页眉内容《商业银行外包风险管理指引》（征求意见稿）第一章总则第一条为了防范商业银行外包风险，保障商业银行业务持续经营，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等有关法律法规，制定本指引。

第二条本指引适用于中华人民共和国境内设立的政策性银行、商业银行、外国银行分行等机构。

第三条本指引中的外包是指商业银行将原本应由自身负责处理的某些事务或某些业务活动委托给服务提供商进行处理的经营行为。

服务提供商包括独立第三方，商业银行或其所属集团设立在中国境内或者境外的子公司、关联公司或附属机构。

第四条商业银行的董事会和高级管理层应承担外包活动的最终责任。

第五条商业银行开展外包活动应制定外包的风险管理框架以及相关制度，并将其纳入全面风险管理体系。

第二章外包范围第六条商业银行应根据审慎经营原则制定其外包战略发展规划，确定与其风险管理水平相适宜的外包活动范围，尤其是重要业务的外包活动范围。

第七条商业银行在确定某项外包业务是否为重要业务时，应评估以下因素：（一）是否涵盖到商业银行大部分的信息技术、财务会计、信贷处理及客户信息等业务事项；（二）业务一旦中断是否对商业银行的业务经营、声誉或利润等产生重大影响。

在无法确定某项即将被外包的业务是否为重要业务时，可向所在地监管机构进行咨询。

第八条重要业务可参考但不限于下述业务事项：（一）业务操作环节：贸易融资及结算有关的单据处理和系统操作等服务；授信业务的贷前调查和贷后催收；信用卡营销与催收；电子银行客户服务等；（二）数据处理：联行对帐；会计业务的影像处理及数据录入；客户数据录入及维护；数据查询等；（三）信息技术：业务操作系统软件的开发和维护、网络安全设计建设、网络银行应用系统设计开发和 IT 重要基础设备服务等；第九条商业银行涉及到战略管理和风险管理职能的业务不宜外包。

商业银行涉及到内部审计职能的业务不宜外包给独立第三方。

第三章组织架构第十条商业银行外包管理的组织架构应包括董事会、高级管理层及外包管理团队。

银行业金融机构信息科技外包风险监管指引第一章总则第一条为规范银行业金融机构的信息科技外包活动，降低信息科技外包风险，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省（自治区）农村信用社联合社适用本指引。

银监会监管的其他金融机构参照本指引执行。

第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资源外包等形式。

原则上包括以下类型：（一）研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求、系统开发、测试外包；（二）系统运行维护类外包：包括数据中心（灾备中心）、机房配套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包；（三）业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。

第四条本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。

第五条信息科技外包可能产生如下风险，并导致银行业金融机构的战略、声誉、合规风险：（一）科技能力丧失：银行业金融机构过度依赖外部资源导致失去科技控制及创新能力，影响业务创新与发展；（二）业务中断：支持业务运营的外包服务无法持续提供导致业务中断；（三）信息泄露：包含客户信息在内的银行业金融机构非公开数据被服务提供商非法获得或泄露；（四）服务水平下降：由于外包服务质量问题或内外部协作效率低下，使得银行业金融机构信息科技服务水平下降。

第六条本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险，该风险可能造成集中性的服务中断、质量下降、安全事件等。

第七条本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。

银行业金融机构信息科技外包风险监管指引中国银行业监督管理委员会银监发[2021]5号中国银监会关于印发银行业金融机构信息科技外包风险监管指引的通知各银监局，各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司，邮储银行，各省级农村信用联社，银监会直接监管的信托公司、企业集团财务公司、金融租赁公司：现将《银行业金融机构信息科技外包风险监管指引》印发给你们，请遵照执行。

2021年2月16日银行业金融机构信息科技外包风险监管指引第一章总则第一条为规范银行业金融机构的信息科技外包活动，降低信息科技外包风险，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省（自治区）农村信用社联合社适用本指引。

银监会监管的其他金融机构参照本指引执行。

第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资源外包等形式。

原则上包括以下类型：（一）研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求、系统开发、测试外包；（二）系统运行维护类外包：包括数据中心（灾备中心）、机房配套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包；（三）业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处�Z等外包中的系统开发、运行维护和数据处理活动。

第四条本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。

第五条信息科技外包可能产生如下风险，并导致银行业金融机构的战略、声誉、合规风险：（一）科技能力丧失：银行业金融机构过度依赖外部资源导致失去科技控制及创新能力，影响业务创新与发展；（二）业务中断：支持业务运营的外包服务无法持续提供导致业务中断；（三）信息泄露：包含客户信息在内的银行业金融机构非公开数据被服务提供商非法获得或泄露；（四）服务水平下降：由于外包服务质量问题或内外部协作效率低下，使得银行业金融机构信息科技服务水平下降。