银行业金融机构外包风险管理指引

《商业银行外包风险管理指引》（征求意见稿）第一章总则第一条为了防范商业银行外包风险，保障商业银行业务持续经营，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等有关法律法规，制定本指引。

第二条本指引适用于中华人民共和国境内设立的政策性银行、商业银行、外国银行分行等机构。

第三条本指引中的外包是指商业银行将原本应由自身负责处理的某些事务或某些业务活动委托给服务提供商进行处理的经营行为。

服务提供商包括独立第三方，商业银行或其所属集团设立在中国境内或者境外的子公司、关联公司或附属机构。

第四条商业银行的董事会和高级管理层应承担外包活动的最终责任。

第五条商业银行开展外包活动应制定外包的风险管理框架以及相关制度，并将其纳入全面风险管理体系。

第二章外包范围第六条商业银行应根据审慎经营原则制定其外包战略发展规划，确定与其风险管理水平相适宜的外包活动范围，尤其是重要业务的外包活动范围。

第七条商业银行在确定某项外包业务是否为重要业务时，应评估以下因素：（一）是否涵盖到商业银行大部分的信息技术、财务会计、信贷处理及客户信息等业务事项；（二）业务一旦中断是否对商业银行的业务经营、声誉或利润等产生重大影响。

在无法确定某项即将被外包的业务是否为重要业务时，可向所在地监管机构进行咨询。

第八条重要业务可参考但不限于下述业务事项：（一）业务操作环节：贸易融资及结算有关的单据处理和系统操作等服务；授信业务的贷前调查和贷后催收；信用卡营销与催收；电子银行客户服务等；（二）数据处理：联行对帐；会计业务的影像处理及数据录入；客户数据录入及维护；数据查询等；（三）信息技术：业务操作系统软件的开发和维护、网络安全设计建设、网络银行应用系统设计开发和 IT 重要基础设备服务等；第九条商业银行涉及到战略管理和风险管理职能的业务不宜外包。

商业银行涉及到内部审计职能的业务不宜外包给独立第三方。

第三章组织架构第十条商业银行外包管理的组织架构应包括董事会、高级管理层及外包管理团队。

银行业金融机构信息科技外包风险监管指引中国银行业监督管理委员会银监发［202115号中国银监会关丁 -印发银行业金融机构信息科技外包风险监管指引的通知各银监局，各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司，邮储银行，各省级农村信用联社，银监会直接监管的信托公司、企业集团财务公司、金融租赁公司：现将《银行业金融机构信息科技外包风险监管指引》印发给你们，请遵照执行。

2021年2月16日银行业金融机构信息科技外包风险监管指引第一章总则第一条为规范银行业金融机构的信息科技外包活动，降低信息科技外包风险，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省（口治区）农村信用社联合社适用本指引。

银监会监管的其他金融机构参照本指引执行。

第三条本指引所称信息科技外包是指银行业金融机构将原本由口身负贵处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资源外包等形式。

原则上包括以下类型：（一）研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求、系统开发、测试外包：（二）系统运行维护类外包：包括数据中心（灾备中心）、机房配套设施、网络、系统的运维外包，口助设备、POS机等远程终端及办公设备的运维外包：（三）业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处❷Z等外包中的系统开发、运行维护和数据处理活动。

第四条本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。

第五条信息科技外包可能产生如下风险，并导致银行业金融机构的战略、声誉、合规风险：（一）科技能力丧失：银行业金融机构过度依赖外部资源导致失去科技控制及创新能力，影响业务创新与发展：（二）业务中断：支持业务运营的外包服务无法持续提供导致业务中断：（三）信息泄露：包含客户信息在内的银行业金融机构非公开数据被服务提供商非法获得或泄露；（四）服务水平下降：由于外包服务质量问题或内外部协作效率低下，使得银行业金融机构信息科技服务水平下降。

银行业金融机构信息科技外包风险监管指引为了更好地确保银行业和金融机构信息科技外包风险监管的有效性和稳定性，中国银行业监督管理委员会制定了《银行业金融机构信息科技外包风险监管指引》，在银行业和金融机构中广泛实施。

这个指引对银行业和金融机构具有很大的意义和价值。

首先，这个指引通过对外包风险的定义和分类提供了明确的指引和标准。

让银行业和金融机构清晰地识别和对外部服务提供商的风险有一个基础的了解。

这个指引还规定了外包服务的范围、合同、服务要求和细节的规范。

统一了外包服务的标准，减少了金融机构在选择外部服务提供商时的犹豫和担忧。

这有利于金融机构在更安全的情况下选择最适合的外部服务提供商，提高了外部服务质量。

其次，指引规定了银行业和金融机构与外部服务提供商之间的透明度要求。

这有助于银行业和金融机构更加全面地了解安全和风险的状态以及外部服务提供商对信息技术所做的改进和行动。

通过持续监控和数据管理，银行业和金融机构可以识别和识别潜在的风险，及时采取措施，确保业务连续性。

此外，通过这个指引，银行业和金融机构加强了与外部服务提供商的其他合作方之间的信息交流和协调。

针对外部服务提供商遇到的问题，银行业和金融机构提供支持。

通过专业的技能、工具和方法的共享，可以减少外包风险产生的可能性，从而保证外包合作的可行性和有效性。

最后，这个指引重视了持续并适当的风险监控。

银行业和金融机构应始终注意其与外部服务提供商之间的合作情况。

提前做好可能发生的风险监控，针对表现不佳的外部服务提供商及时采取措施。

这不仅有利于及时发现和解决问题，还有助于优化外包流程和控制成本。

总之，《银行业金融机构信息科技外包风险监管指引》是银行业和金融机构信息科技外包风险监管的重要指导文件。

这个指引在金融机构中得到了广泛实施，不仅建立了外包金融业务、提高了金融企业的效率，还有效地控制了金融业务风险的发生。

[金融机构首尝洋外包]银行业金融机构外包风险管理指引去年底，中国惠普与国家开发银行签署了战略性IT外包服务合同，中国惠普将负责对国开行所有桌面系统的软硬件提供运营维护和产品租赁服务。

这是外资公司在中国银行业拿到的头两个银行信息技术系统外包服务项目之一。

就在几个月前的2003年9月，光大银行已经与美国第一数据集团握手成交，第一数据将向光大银行提供整个信用卡IT系统的外包服务。

早在两年前，深圳发展银行将灾备中心外包给了高阳万国公司后，在中国银行业就曾围绕银行信息系统的运营服务外包展开了一场大讨论。

当时的反方坚持认为，金融数据尤其是国有四大银行的金融数据当属国家机密。

因此，金融信息系统有别于一般企业的信息系统，虽然可以将部分系统的技术开发外包，但决不能将系统的运营服务外包给IT公司。

而那时谈的还仅限于国内的IT公司。

如此看来，国家开发银行此次与外资IT公司的联姻，其“危险”程度似乎比外包给国内IT公司要更高。

因此，它的突破意义也就更大。

第一个敲开银行大门的“老外”对于过去素以严肃保守著称的国内政策性金融机构而言，国开行这次的“洋为中用”虽然还不算彻底，但用一位资深金融专家的话讲，随着银行业竞争的加剧，为了更有效地集中使用自己的资源优势形成核心竞争力，很多银行已经意识到，金融业完全可以采用OEM式的经营方式，尤其是在并非银行主业的IT业务上更是如此。

它们开始学着“用外部的服务商来做自己的内部资源”。

两三年前，惠普就开始了与国开行的频繁接触，主要是从IT服务的话题切入，惠普还曾经带着国开行到加拿大的银行参观学习。

那时，国开行领导层对国外银行先进的信息技术与业务流程十分关注，双方也谈得比较深入，连银行核心业务系统都成为双方的合作意向之一。

也正是在那前后，国开行的市场形象开始变得愈发开放、前卫。

但是，直到去年8月，双方的合作才在外包服务上有了实质性突破。

在现任中国惠普有限公司副总裁兼公司专业与支持服务集团信息技术管理服务部总经理潘家驰看来，企业用户与外包服务提供商的谈判就像是谈“恋爱”，尤其是运营系统的外包过程更是如此。

《银行业金融机构外包风险管理指引》第一章总则第一条为了规范银行业金融机构的外包活动，保障银行业金融机构业务持续经营，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等有关法律法规，制定本指引。

第二条在中华人民共和国境内设立的银行业金融机构适用本指引。

第三条本指引中的外包是指银行业金融机构将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为。

服务提供商包括独立第三方，银行业金融机构母公司或其所属集团设立在中国境内、外的子公司、关联公司或附属机构。

第四条银行业金融机构的董事会和高级管理层应当承担外包活动的最终责任。

第五条银行业金融机构开展外包活动应当制定外包的风险管理框架以及相关制度，并将其纳入全面风险管理体系。

第六条银行业金融机构应当根据审慎经营原则制定其外包战略发展规划，确定与其风险管理水平相适宜的外包活动范围。

第七条银行业金融机构的战略管理、核心管理以及内部审计等职能不宜外包。

第二章组织结构第八条银行业金融机构外包管理的组织架构应当包括董事会、高级管理层及外包管理团队。

第九条董事会的职责主要包括以下方面：? （一）审议批准外包的战略发展规划；? （二）审议批准外包的风险管理制度；? （三）审议批准本机构的外包范围及相关安排；? （四）定期审阅本机构外包活动相关报告；? （五）定期安排内部审计，确保审计范围涵盖所有的外包安排。

?第十条高级管理层的职责主要包括以下方面：? （一）制定外包战略发展规划；? （二）制定外包风险管理的政策、操作流程和内控制度；? （三）确定外包业务的范围及相关安排；? （四）确定外包管理团队职责，并对其行为进行有效监督。

第十一条外包管理团队的职责主要包括以下方面：? （一）执行外包风险管理的政策、操作流程和内控制度；? （二）负责外包活动的日常管理，包括尽职调查、合同执行情况的监督及风险状况的监督；? （三）向高级管理层提出有关外包活动发展和风险管控的意见和建议；? （四）在发现外包服务提供商业的业务活动存在缺陷时，采取及时有效的措施；? （五）高级管理层确定的其他职责。

《银行业金融机构外包风险管理指引》第一章总则第一条为了规范银行业金融机构的外包活动，保障银行业金融机构业务持续经营，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等有关法律法规，制定本指引。

第二条在中华人民共和国境内设立的银行业金融机构适用本指引。

第三条本指引中的外包是指银行业金融机构将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为。

服务提供商包括独立第三方，银行业金融机构母公司或其所属集团设立在中国境内、外的子公司、关联公司或附属机构。

第四条银行业金融机构的董事会和高级管理层应当承担外包活动的最终责任。

第五条银行业金融机构开展外包活动应当制定外包的风险管理框架以及相关制度，并将其纳入全面风险管理体系。

第六条银行业金融机构应当根据审慎经营原则制定其外包战略发展规划，确定与其风险管理水平相适宜的外包活动范围。

第七条银行业金融机构的战略管理、核心管理以及内部审计等职能不宜外包。

第二章组织结构第八条银行业金融机构外包管理的组织架构应当包括董事会、高级管理层及外包管理团队。

第九条董事会的职责主要包括以下方面：（一）审议批准外包的战略发展规划；（二）审议批准外包的风险管理制度；（三）审议批准本机构的外包范围及相关安排；（四）定期审阅本机构外包活动相关报告；（五）定期安排内部审计，确保审计范围涵盖所有的外包安排。

第十条高级管理层的职责主要包括以下方面：（一）制定外包战略发展规划；（二）制定外包风险管理的政策、操作流程和内控制度；（三）确定外包业务的范围及相关安排；（四）确定外包管理团队职责，并对其行为进行有效监督。

第十一条外包管理团队的职责主要包括以下方面：（一）执行外包风险管理的政策、操作流程和内控制度；（二）负责外包活动的日常管理，包括尽职调查、合同执行情况的监督及风险状况的监督；（三）向高级管理层提出有关外包活动发展和风险管控的意见和建议；（四）在发现外包服务提供商业的业务活动存在缺陷时，采取及时有效的措施；（五）高级管理层确定的其他职责。

中国银监会关于印发银行业金融机构全面风险管理指引的通知文章属性•【制定机关】中国银行保险监督管理委员会•【公布日期】2016.09.27•【文号】银监发〔2016〕44号•【施行日期】2016.11.01•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国银监会关于印发银行业金融机构全面风险管理指引的通知银监发〔2016〕44号各银监局，各政策性银行、大型银行、股份制银行，邮储银行，外资银行，金融资产管理公司，其他会管金融机构：现将《银行业金融机构全面风险管理指引》印发给你们，请遵照执行。

2016年9月27日银行业金融机构全面风险管理指引第一章总则第一条为提高银行业金融机构全面风险管理水平，促进银行业体系安全稳健运行，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的银行业金融机构。

本指引所称银行业金融机构，是指在中华人民共和国境内设立的商业银行、农村信用合作社等吸收公众存款的金融机构、政策性银行以及国家开发银行。

第三条银行业金融机构应当建立全面风险管理体系，采取定性和定量相结合的方法，识别、计量、评估、监测、报告、控制或缓释所承担的各类风险。

各类风险包括信用风险、市场风险、流动性风险、操作风险、国别风险、银行账户利率风险、声誉风险、战略风险、信息科技风险以及其他风险。

银行业金融机构的全面风险管理体系应当考虑风险之间的关联性，审慎评估各类风险之间的相互影响，防范跨境、跨业风险。

第四条银行业金融机构全面风险管理应当遵循以下基本原则：（一）匹配性原则。

全面风险管理体系应当与风险状况和系统重要性等相适应，并根据环境变化进行调整。

（二）全覆盖原则。

全面风险管理应当覆盖各个业务条线，包括本外币、表内外、境内外业务；覆盖所有分支机构、附属机构，部门、岗位和人员；覆盖所有风险种类和不同风险之间的相互影响；贯穿决策、执行和监督全部管理环节。

《商业银行外包风险管理指引》（征求意见稿）第一章总则第一条为了防范商业银行外包风险，保障商业银行业务持续经营，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等有关法律法规，制定本指引。

第二条本指引适用于中华人民共和国境内设立的政策性银行、商业银行、外国银行分行等机构。

第三条本指引中的外包是指商业银行将原本应由自身负责处理的某些事务或某些业务活动委托给服务提供商进行处理的经营行为。

服务提供商包括独立第三方，商业银行或其所属集团设立在中国境内或者境外的子公司、关联公司或附属机构。

第四条商业银行的董事会和高级管理层应承担外包活动的最终责任。

第五条商业银行开展外包活动应制定外包的风险管理框架以及相关制度，并将其纳入全面风险管理体系。

第二章外包范围第六条商业银行应根据审慎经营原则制定其外包战略发展规划，确定与其风险管理水平相适宜的外包活动范围，尤其是重要业务的外包活动范围。

第七条商业银行在确定某项外包业务是否为重要业务时，应评估以下因素：（一）是否涵盖到商业银行大部分的信息技术、财务会计、信贷处理及客户信息等业务事项；（二）业务一旦中断是否对商业银行的业务经营、声誉或利润等产生重大影响。

在无法确定某项即将被外包的业务是否为重要业务时，可向所在地监管机构进行咨询。

第八条重要业务可参考但不限于下述业务事项：（一）业务操作环节：贸易融资及结算有关的单据处理和系统操作等服务；授信业务的贷前调查和贷后催收；信用卡营销与催收；电子银行客户服务等；（二）数据处理：联行对帐；会计业务的影像处理及数据录入；客户数据录入及维护；数据查询等；（三）信息技术：业务操作系统软件的开发和维护、网络安全设计建设、网络银行应用系统设计开发和 IT 重要基础设备服务等；第九条商业银行涉及到战略管理和风险管理职能的业务不宜外包。

商业银行涉及到内部审计职能的业务不宜外包给独立第三方。

第三章组织架构第十条商业银行外包管理的组织架构应包括董事会、高级管理层及外包管理团队。

银行业金融机构信息科技外包风险监管指引第一章总则第一条为规银行业金融机构的信息科技外包活动，降低信息科技外包风险，根据《中华人民国银行业监督管理法》、《中华人民国商业银行法》等法律法规，制定本指引。

第二条在中华人民国境设立的政策性银行、商业银行、农村合作银行、省（自治区）农村信用社联合社适用本指引。

银监会监管的其他金融机构参照本指引执行。

第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资源外包等形式。

原则上包括以下类型：（一）研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求、系统开发、测试外包；（二）系统运行维护类外包：包括数据中心（灾备中心）、机房配套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包；（三）业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。

第四条本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。

第五条信息科技外包可能产生如下风险，并导致银行业金融机构的战略、声誉、合规风险：（一）科技能力丧失：银行业金融机构过度依赖外部资源导致失去科技控制及创新能力，影响业务创新与发展；（二）业务中断：支持业务运营的外包服务无法持续提供导致业务中断；（三）信息泄露：包含客户信息在的银行业金融机构非公开数据被服务提供商非法获得或泄露；（四）服务水平下降：由于外包服务质量问题或外部协作效率低下，使得银行业金融机构信息科技服务水平下降。

第六条本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集由少量服务提供商承接而产生的风险，该风险可能造成集中性的服务中断、质量下降、安全事件等。

第七条本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。

银行业金融机构与风险管理指引银行业金融机构与风险管理指引在金融行业中，银行业金融机构起着至关重要的作用。

而金融机构的风险管理则是确保金融机构稳健发展的关键。

本文将探讨与银行业金融机构风险管理相关的指引和最佳实践。

风险管理是银行业金融机构进行业务决策和资产配置的基础，它可以帮助机构识别、测量、监控和控制风险。

其中包括信用风险、市场风险、操作风险和流动性风险等多种风险类型。

对于风险管理，银行业金融机构应制定一套全面的风险管理框架，其中包括风险评估、风险监测、风险控制、风险报告等环节。

首先，在风险评估方面，银行业金融机构需要根据不同的风险类型进行风险评估。

信用风险评估可以通过客户信用等级、财务报表和贸易对手风险评估等方式进行。

市场风险评估可以通过对各类资产和证券的价格波动和相关性进行评估。

操作风险评估则可以通过对业务流程和内部控制的审查和评估来确定。

其次，在风险监测方面，银行业金融机构应建立起有效的风险监测体系。

通过建立实时监测系统，及时获取和分析风险数据。

同时，通过建立监测指标和限额，能够提前发现异常风险并采取相应措施进行控制。

此外，也需要建立有效的风险报告制度，确保风险数据的准确性和及时性。

第三，在风险控制方面，银行业金融机构应制定相应的风险控制策略和政策。

首先，应设立合理的风险容忍度和风险限额，以确保机构的风险水平不会超过其可承受范围。

其次，应制定风险控制措施和管理流程，包括控制风险暴露、分散风险、建立风险预警系统等。

最后，应建立风险内控机制，包括建立风险管理部门、明确职责和权限，确保风险管理的独立性和有效性。

最后，在风险报告方面，银行业金融机构应及时报告风险情况和风险管理措施。

风险报告应包括风险类型、风险水平和风险控制情况等内容。

通过风险报告，能够向内部和外部相关方通报风险状况，提高信息透明度和公众对金融机构的信任度。

总结起来，银行业金融机构与风险管理指引是确保金融机构稳健发展的关键。

在风险管理中，银行业金融机构应制定全面的风险管理框架，并在风险评估、风险监测、风险控制和风险报告上加强管理。

银行业金融机构外包风险管理银行业金融机构外包风险管理随着金融市场的发展和金融业务的不断创新，银行业金融机构的服务范围和规模不断扩大。

为了提高效率和降低成本，银行业金融机构普遍选择将一部分非核心业务外包给专业机构来处理。

然而，外包业务也存在一定的风险，如果管理不当可能会对银行业金融机构造成严重的损失。

因此，外包风险管理成为银行业金融机构必须重视和加强的管理领域。

外包风险主要包括运营风险、合规风险、战略风险和声誉风险等。

首先是运营风险，即由于外包机构的运营不善或失职导致的风险。

对于银行业金融机构而言，选择可靠的合作伙伴是至关重要的，需要对外包机构的资质、信誉、运营能力进行全面的尽职调查。

其次是合规风险，外包机构在履行职责和处理业务过程中可能存在的违规行为风险。

银行业金融机构应加强对外包机构的监督和审计，确保其合规性。

战略风险是指与外包业务不符或无法满足业务需求的风险。

银行业金融机构在外包前需要明确业务需求，并与合作伙伴进行充分的沟通和协商，确保双方能够达成一致。

最后是声誉风险，即由外包机构的不良行为或绩效不佳所带来的负面影响。

银行业金融机构需要对外包机构的业绩进行定期评估，并制定相应的管理措施。

为了有效管理外包风险，银行业金融机构需要建立完善的风险管理体系。

首先是建立风险管理职能和责任。

银行业金融机构应指定专门的风险管理人员，负责外包风险的监测和控制。

其次是制定详细的外包风险管理政策和流程。

这包括风险管理的目标、原则、流程、分工和监督等方面的规定。

第三是加强与外包机构的合作和沟通。

银行业金融机构需要与外包机构保持紧密的联系，及时了解外包机构的运营情况和风险状况。

同时，要求外包机构提供必要的风险报告和业务数据，以便银行业金融机构进行风险管理和监测。

最后是加强内部控制和监督。

银行业金融机构应建立内部风险管理团队，负责对外包风险的评估和监测，并定期向高级管理层报告。

除了建立风险管理体系外，银行业金融机构还需要加强员工培训和意识教育。

银行业金融机构外包风险管理指引一、引言外包在当前的金融行业中越来越常见。

银行业金融机构为了降低成本、提高效率和专注核心业务，将一些非核心业务外包给第三方服务提供商。

然而，外包也带来了一定的风险。

因此，银保监发布了银行业金融机构外包风险管理指引，以帮助银行业金融机构有效管理外包风险。

二、风险管理框架2.1 风险识别和评估在外包风险管理中，首先需要进行风险识别和评估的工作。

这包括确定外包业务的关键性和战略性、评估外包服务提供商的实力和信誉、分析外包业务的风险因素等。

通过全面的风险评估，可以准确地识别外包风险的来源和影响。

2.2 合同管理外包合同是管理外包风险的重要工具。

合同应明确双方的权责和义务，明确外包服务提供商应履行的标准和要求，并规定违约责任和补偿措施。

同时，合同还应考虑灵活性和变更管理，以应对外部环境的变化。

2.3 监督与合规银行业金融机构应建立有效的监督和合规机制，确保外包服务提供商按照合同约定履行职责和义务，并符合相关法律法规和监管要求。

监督与合规包括对外包服务提供商的定期检查和评估，以及建立风险预警和应急管理机制。

2.4 退出机制外包业务存在风险，银行业金融机构应制定相应的退出机制。

退出机制包括业务转移和供应商替换等措施，以应对外包合作关系出现问题或终止的情况。

退出机制的制定需要考虑合同约定、业务连续性和安全性等因素。

三、具体指引3.1 风险识别和评估1.确定外包业务的关键性和战略性，分析外包风险的可能影响和后果。

2.评估外包服务提供商的经营状况、管理能力和信誉情况。

3.分析外包业务的风险因素，包括合规风险、安全风险和操作风险等。

3.2 合同管理1.确定外包合同的标的、范围、期限和可变性，并明确双方的权责和义务。

2.规定外包服务提供商的服务标准和绩效考核指标。

3.明确合同约定的违约责任和补偿机制。

3.3 监督与合规1.建立外包服务提供商定期报告制度，监督其经营状况和合规情况。

2.定期对外包服务提供商进行检查和评估，发现问题及时采取纠正措施。

《商业银行外包风险管理指引》（征求意见稿）第一章总则第一条为了防范商业银行外包风险，保障商业银行业务持续经营，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等有关法律法规，制定本指引。

第二条本指引适用于中华人民共和国境内设立的政策性银行、商业银行、外国银行分行等机构。

第三条本指引中的外包是指商业银行将原本应由自身负责处理的某些事务或某些业务活动委托给服务提供商进行处理的经营行为。

服务提供商包括独立第三方，商业银行或其所属集团设立在中国境内或者境外的子公司、关联公司或附属机构。

第四条商业银行的董事会和高级管理层应承担外包活动的最终责任。

第五条商业银行开展外包活动应制定外包的风险管理框架以及相关制度，并将其纳入全面风险管理体系。

第二章外包范围第六条商业银行应根据审慎经营原则制定其外包战略发展规划，确定与其风险管理水平相适宜的外包活动范围，尤其是重要业务的外包活动范围。

第七条商业银行在确定某项外包业务是否为重要业务时，应评估以下因素：（一）是否涵盖到商业银行大部分的信息技术、财务会计、信贷处理及客户信息等业务事项；（二）业务一旦中断是否对商业银行的业务经营、声誉或利润等产生重大影响。

在无法确定某项即将被外包的业务是否为重要业务时，可向所在地监管机构进行咨询。

第八条重要业务可参考但不限于下述业务事项：（一）业务操作环节：贸易融资及结算有关的单据处理和系统操作等服务；授信业务的贷前调查和贷后催收；信用卡营销与催收；电子银行客户服务等；（二）数据处理：联行对帐；会计业务的影像处理及数据录入；客户数据录入及维护；数据查询等；（三）信息技术：业务操作系统软件的开发和维护、网络安全设计建设、网络银行应用系统设计开发和 IT 重要基础设备服务等；第九条商业银行涉及到战略管理和风险管理职能的业务不宜外包。

商业银行涉及到内部审计职能的业务不宜外包给独立第三方。

第三章组织架构第十条商业银行外包管理的组织架构应包括董事会、高级管理层及外包管理团队。

银行业金融机构信息科技外包风险监管指引第一章总则第一条为规范银行业金融机构的信息科技外包活动，降低信息科技外包风险，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省（自治区）农村信用社联合社适用本指引。

银监会监管的其他金融机构参照本指引执行。

第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资源外包等形式。

原则上包括以下类型：（一）研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求、系统开发、测试外包；（二）系统运行维护类外包：包括数据中心（灾备中心）、机房配套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包；（三）业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。

第四条本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。

第五条信息科技外包可能产生如下风险，并导致银行业金融机构的战略、声誉、合规风险：（一）科技能力丧失：银行业金融机构过度依赖外部资源导致失去科技控制及创新能力，影响业务创新与发展；（二）业务中断：支持业务运营的外包服务无法持续提供导致业务中断；（三）信息泄露：包含客户信息在内的银行业金融机构非公开数据被服务提供商非法获得或泄露；（四）服务水平下降：由于外包服务质量问题或内外部协作效率低下，使得银行业金融机构信息科技服务水平下降。

第六条本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险，该风险可能造成集中性的服务中断、质量下降、安全事件等。

第七条本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。

银行业外包风险管理指引
银行业金融机构外包服务是指银行业金融机构将其日常运营管理中某些非核心业务外
包给非金融服务机构，以获得更好的经营效益。

但是，随着外包服务的广泛使用，外包风险也在不断增加，包括法律风险、技术风险、运营风险、监管风险等，这些风险也可能对银行业金融机构的正常运营和客户利益造成严重损害。

为了有效管控外包风险，银行业金融机构应该采取以下风险管理指引：
一是引入外包风险管理制度。

银行业金融机构应当制定外包风险管理规章，明确外包项目的外包目的、外包主体、外包范围等，建立完善的外包风险管理制度，根据实际情况制定出合理的外包流程，并对外包项目的实施过程进行定期监督，以确保外包项目的有效实施。

二是建立外包风险管理体系。

银行业金融机构应当建立外包风险管理体系，包括外包
需求评估、外包服务审核、外包服务执行、外包服务监督等，以确保外包服务的高效实施。

三是建立有效的外包风险控制机制。

银行业金融机构应当建立有效的外包风险控制机制，包括把握外包服务提供者的财务状况、技术能力、选择审慎、合同有效性等，以确保
服务质量和有效管理外包风险。

四是强化外包服务安全性。

银行业金融机构应当加强对外包服务的安全性管理，强化
服务提供者的安全性审计，确保外包服务的安全性，把握客户信息安全性，并加强对外包
服务提供者的管理，以确保外包服务的有效实施。

以上就是关于银行业金融机构外包风险管理指引的内容，希望能帮助银行业金融机构
有效管理外包风险，保护客户的利益，确保有序的发展。

《商业银行外包风险管理指引》（征求意见稿）第一章总则第一条为了防范商业银行外包风险，保障商业银行业务持续经营，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等有关法律法规，制定本指引。

第二条本指引适用于中华人民共和国境内设立的政策性银行、商业银行、外国银行分行等机构。

第三条本指引中的外包是指商业银行将原本应由自身负责处理的某些事务或某些业务活动委托给服务提供商进行处理的经营行为。

服务提供商包括独立第三方，商业银行或其所属集团设立在中国境内或者境外的子公司、关联公司或附属机构。

第四条商业银行的董事会和高级管理层应承担外包活动的最终责任。

第五条商业银行开展外包活动应制定外包的风险管理框架以及相关制度，并将其纳入全面风险管理体系。

第二章外包范围第六条商业银行应根据审慎经营原则制定其外包战略发展规划，确定与其风险管理水平相适宜的外包活动范围，尤其是重要业务的外包活动范围。

第七条商业银行在确定某项外包业务是否为重要业务时，应评估以下因素：（一）是否涵盖到商业银行大部分的信息技术、财务会计、信贷处理及客户信息等业务事项；（二）业务一旦中断是否对商业银行的业务经营、声誉或利润等产生重大影响。

在无法确定某项即将被外包的业务是否为重要业务时，可向所在地监管机构进行咨询。

第八条重要业务可参考但不限于下述业务事项：（一）业务操作环节：贸易融资及结算有关的单据处理和系统操作等服务；授信业务的贷前调查和贷后催收；信用卡营销与催收；电子银行客户服务等；（二）数据处理：联行对帐；会计业务的影像处理及数据录入；客户数据录入及维护；数据查询等；（三）信息技术：业务操作系统软件的开发和维护、网络安全设计建设、网络银行应用系统设计开发和 IT 重要基础设备服务等；第九条商业银行涉及到战略管理和风险管理职能的业务不宜外包。

商业银行涉及到内部审计职能的业务不宜外包给独立第三方。

第三章组织架构第十条商业银行外包管理的组织架构应包括董事会、高级管理层及外包管理团队。

银行业金融机构信息科技外包风险监管指引第一章总则第一条为规范银行业金融机构的信息科技外包活动，降低信息科技外包风险，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省（自治区）农村信用社联合社适用本指引。

银监会监管的其他金融机构参照本指引执行。

第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资源外包等形式。

原则上包括以下类型：（一）研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求、系统开发、测试外包；（二）系统运行维护类外包：包括数据中心（灾备中心）、机房配套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包；（三）业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。

第四条本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。

第五条信息科技外包可能产生如下风险，并导致银行业金融机构的战略、声誉、合规风险：（一）科技能力丧失：银行业金融机构过度依赖外部资源导致失去科技控制及创新能力，影响业务创新与发展；（二）业务中断：支持业务运营的外包服务无法持续提供导致业务中断；（三）信息泄露：包含客户信息在内的银行业金融机构非公开数据被服务提供商非法获得或泄露；（四）服务水平下降：由于外包服务质量问题或内外部协作效率低下，使得银行业金融机构信息科技服务水平下降。

第六条本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险，该风险可能造成集中性的服务中断、质量下降、安全事件等。

第七条本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。

广*银行外包风险管理办法第一章总则第一条为有效防范本行外包风险，保障各项业务可持续发展，进一步完善全面风险管理体系，依据中国银行业监督管理委员会《银行业金融机构外包风险管理指引》，结合本行实际，制定本办法。

第二条本办法适用于本行信息技术外包、业务流程外包、知识技术外包等所有外包项目。

第三条本办法所称的外包是指银行业金融机构将原本应由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为。

第四条本办法所称的服务提供商包括独立第三方，银行业金融机构母公司或其所属集团设立在中国境内、外的子公司、关联公司或附属机构。

第五条本行外包风险管理是指识别、评估、监测和控制外包风险的全过程。

第六条本行外包风险管理遵循“适宜适度、审慎管理、业务外包，风险责任不外包”的原则。

即本行应根据审慎经营原则制定外包风险管理政策，确定与本行风险管理水平相适宜的外包活动范围，并明确业务外包不等于风险责任外包的原则。

第七条本行外包风险管理采取主动防范的政策取向。

即在满足监管要求的基础上，采取积极有效的管理措施，严格控制外包风险。

第八条本行外包风险管理的目标是：通过建立适时、合理、有效的外包风险管理机制，实现对外包风险的识别、评估、监测和控制，将外包风险控制在本行可以承受的范围之内，以推动本行业务持续高效运行。

第九条本行通过建立科学的风险管理组织架构，划分明确的风险管理职责，制定有效的风险管理政策、程序和制度，强化考核监督，持续推动外包风险管理工作的开展。

第十条本行的战略管理、核心管理、内部审计以及监管明确禁止外包的业务或职能严禁外包。

核心管理包括但不限于对核心人员的管理、核心业务的管理和核心客户的管理。

第二章外包风险管理的组织架构和职责第十一条本行建立与外包风险特点相适应的组织架构，包括董事会、监事会、高级管理层、外包风险管理的相关责任部室。

第十二条本行董事会承担对外包风险管理的最终责任，履行以下职责：（一）审议批准外包的战略发展规划；（二）审议批准外包的风险管理制度；（三）审议批准本行的外包范围及相关安排；（四）定期审阅本行外包活动相关报告；（五）定期安排内部审计，确保审计范围涵盖所有的外包安排。