银行信息科技外包风险评估工作实施方案

ⅩⅩ银行信息科技外包风险评估工作实施方案

为深入了解和掌握信息科技外包风险状况，促进信息科技外包健康发展，有力推动信息科技外包风险管理长效机制建设。根据《银行业金融机构信息科技外包风险监管指引》、《河南银监局办公室转发中国银监会办公厅关于开展信息

科技外包风险专项治理工作的通知》（豫银监办发〔2013〕109号）要求，我行决定对信息科技外包进行风险评估。现结合我行信息科技外包实际，特制定本实施方案。

一、评估的背景和目标

（一）开展信息科技外包风险评估的背景。目前个别银行由于信息科技项目外包，银行疏于管控，缺乏有效控制，外包机构技术保障不足，造成客户信息泄露，资金安全面临风险。另外，外包服务中断，易形成数据丢失风险。为控制风险，我行拟通过有步骤地、循序渐进地推进信息科技外包风险评估，全面识别目前面临的主要风险和潜在风险，针对不同环节出现的风险和风险程度及时采取措施，有效防控风险，构建科学的风险管理机制。

（二）开展信息科技外包风险评估的意义。通过开展信息科技外包风险评估，可以从制度、流程、协议等方面查找并发现我行主要外包项目存在的缺陷和不足，并通过完善制度、优化流程、修改协议等措施，提高我行信息科技外包

整体风险防控能力。

（三）评估目标。1、清查信息科技外包领域已发生的各类风险事件，收集损失数据，深入分析导致风险事件发生的内外部原因。2、以风险为导向，全面排查信息科技外包项目运行中存在的各类风险隐患，查找风险管理中存在的各种问题。3、在定性定量分析风险事件和损失、风险隐患、风险管理情况的基础上，判断未来内外部环境改变后风险变化趋势，多角度、系统性地提出整改意见，建立健全风险控制机制，强化风险防范，促进业务优化和发展。

二、评估对象及范围

结合《河南银监局办公室转发中国银监会办公厅关于开展信息科技外包风险专项治理工作的通知》（豫银监办发〔2013〕109号）要求及我行信息科技外包实际，本次外包风险评估仅限科技信息部、运营管理部、授信管理部、计划财务部、小微信贷事业部以及电子银行部6个部门业务系统外包活动。

（一）评估对象。涉及外包项目的系统主要有综合业务系统、财务和信贷管理系统、微小企业贷款管理系统。

（二）评估范围。一是风险事件及损失评估。收集范围为2012年1月1日至2013年6月30 日信息科技外包项目发生的风险事件和损失。主要为：操作风险事件及损失、外包供应商违约事件及损失等。二是风险隐患评估。包括：

产品、设备、流程、系统、人员、制度、操作、管理、监督检查、体制机制等方面存在的问题和隐患；外部欺诈、客户信用、外包供应商势力等外部因素存在的问题和隐患；未来2年内，内外部环境变化导致的问题和隐患。三是风险管理情况评估。风险识别与监控、风险评级、风险分类分级、风险报告与分析、风险处置与应急、风险抵补、风险考核等方面存在的问题和缺陷。（三）评估方式。本次信息科技外包风险评估采取自查评估和现场督导评估。一是自查。二是现场检查评估。总行信息科技外包风险评估领导小组将视自查评估情况，组织相关人员对风险评估自查情况进行督导抽查。对于政策制度、流程环节、风险管理类要点，可通过访谈的方式，结合要点内容，查找外包存在的问题和隐患。

三、工作组织及部门职责

（一）工作组织。1、成立信息科技外包风险评估工作领导小组。统筹安排和协调组织全行信息科技外包风险评估工作。领导小组组成如下：组长：聂国庆行长；副组长：白焕英。成员：信息科技部、授信管理部、运营管理部、电子银行部、计划财务部、小微信贷事业部、内控稽核部部门负责人。信息科技外包风险评估工作领导小组下设办公室，设在内控稽核部。内控稽核部承担领导小组办公室工作职责。

（二）部门职责。1、科技信息部负责系统运营过程中

出现问题的维护，运营管理部负责运营结算业务，授信管理部负责信贷业务，计划财务部负责财务管理业务，电子银行部负责银行卡业务。2、各部门根据评估自查情况，撰写外包风险评估报告，评估报告的内容应至少包括：评估的范围、外包开展情况的总体评价、风险事件分析、主要的风险隐患、风险整改措施及风险管理意见。3、自查阶段（8 月1日-2 日）市分行运营管理部、安全保卫部、电子银行部及县级支行与三个条线业务外包相关的业务管理部门，要严格按照评估目标、对象及范围（重点是附件 2 所列的评估内容及要点）分别对银企对账、守库押运、保安服务、POS 商户服务、信用卡对账单寄送业务外包情况开展自查，逐项对评估要点内容进行作答，并根据自查情况及相关要求填制各类统计表，整理相关材料，撰写自查报告（自查报告内容至少包括：自查的范围、清算业务开展情况的总体评价、风险事件分析、主要的风险隐患及典型案例分析、。风险整改措施及风险管理意见）二级自查报告及附件资料于11 月 2 日前报送市分分行各条线相关统计表、行业务外包领导小组办公室，同时报上级行本业务条线评估小组。（三）市分行总结报告阶段（11 月3 日11 月6 日）市分行业务外包领导小组办公室结合市分行各条线自查评估等相关评估材料，汇总撰写全行业务外包风险评估报告，风险评估报告经市分行风险管理委员会审议后，于11 月 6 日前报省分行风险

管理部。（四）现场督导评估阶段（11 月7 日11 月17）省分行根据各行自查评估情况，抽取部分二级分行及县支行开展现场评估，核查各行自查结果的准确性、真实性。五、相关要求（一）高度重视，切实落实相关人员和责任，认真做好风险评估相关工作。要按照评估目标、对象及范围全面、充分、真实反映风险，针对业务外包评估要点，逐条、逐项仔细进行自查。每一项评估要点内容必须阐明现状、问题及产生原因，做到结论清晰、论据充足、表述有条理，有证明材料支持评估结论。由于各行业务外包存在差异，对于附件2 所列评估内容及要点本级行不能进行评估时，应对不能评估的内容作出说明，并经上级行同意，可对附件 2 所列评估内容及要点暂不进行评估。各类统计表要认真填写，报表所有内容及数据必须（附件客观、准确，不得杜撰、造假、遗漏。对于《风险事件统计表》，要求填报的风险事件须如实反映，不得隐瞒不报和漏报，相关部5）门负责人要在表格中申明和承诺已填报所有事件。自查报告要按照评详细阐明所面临的主要风险及问题，估内容和要点逐项说明检查情况，做到逻辑清楚、事实充分、数据详实、结论客观严谨。（二）各行评估工作领导小组要定期召开评估工作会，及时了解、调度评估工作进程，研究工作中遇到的问题并及时协调解决。二级分行领导小组办公室要建立每周通报机制，按周向省分行领导小组办公室报告评估工作进展