商业银行外包风险管理指引..docVIP

商业银行外包风险管理指引 银监会 2008年4月 第一章 总 则 第一条 为了防范商业银行外包风险，保障商业银行业务持续经营，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等有关法律法规，制定本指引。 第二条 本指引适用于中华人民共和国境内设立的政策性银行、商业银行、外国银行分行等机构。 第三条 本指引中的外包是指商业银行将原本应由自身负责处理的某些事务或某些业务活动委托给服务提供商进行处理的经营行为。服务提供商包括独立第三方，商业银行或其所属集团设立在中国境内或者境外的子公司、关联公司或附属机构。 第四条 商业银行的董事会和高级管理层应承担外包活动的最终责任。第五条 商业银行开展外包活动应制定外包的风险管理框架以及相关制度，并将其纳入全面风险管理体系。 第二章 外包范围 第六条 商业银行应根据审慎经营原则制定其外包战略发展规划，确定与其风险管理水平相适宜的外包活动范围，尤其是重要业务的外包活动范围。 第七条 商业银行在确定某项外包业务是否为重要业务时，应评估以下因素：（一）是否涵盖到商业银行大部分的信息技术、财务会计、信贷处理及客户信息等业务事项； （二）业务一旦中断是否对商业银行的业务经营、声誉或利润等产生重大影响。 在无法确定某项即将被外包的业务是否为重要业务时，可向所在地监管机构进行咨询。 第八条 重要业务可参考但不限于下述业务事项： （一）业务操作环节：贸易融资及结算有关的单据处理和系统操作等服务；授信业务的贷前调查和贷后催收；信用卡营销与催收；电子银行客户服务等； （二）数据处理：联行对帐；会计业务的影像处理及数据录入；客户数据录入及维护；数据查询等； （三）信息技术：业务操作系统软件的开发和维护、网络安全设计建设、网络银行应用系统设计开发和 IT 重要基础设备服务等； 第九条 商业银行涉及到战略管理和风险管理职能的业务不宜外包。商业银行涉及到内部审计职能的业务不宜外包给独立第三方。 第三章 组织架构 第十条 商业银行外包管理的组织架构应包括董事会、高级管理层及外包管理团队。 第十一条 董事会的职责主要包括以下方面： （一）审议批准外包的战略发展规划； （二）审议批准外包的风险管理策略； （三）批准所有重要业务的外包安排； （四）定期审阅外包安排的有关报告； （五）定期安排内部审计，确保审计范围涵盖所有的外包安排； 第十二条 高级管理层的职责主要包括以下方面： （一）制定外包战略发展规划，经董事会批准后实施； （二）制定外包风险管理的政策、操作流程和内控程度，经董事会批准后实施； （三）确保重要业务的外包安排在执行前及时向董事会及监管机构报告； （四）明确外包管理团队职责，并对其行为进行有效监督。 第十三条 外包管理团队的职责主要包括以下方面： （一）执行外包风险管理的政策、操作流程和内控制度； （二）负责外包活动的日常管理，包括尽职调查、合同执行情况的监督及风险状况的监控； （三）向董事会和高级经营层提出有关外包活动发展和风险管控的意见和建议； 第十四条 在华外国银行分行进行外包活动时，由管理层承担相应职责。 第四章 风险管理 第十五条 商业银行应关注外包活动的战略风险、声誉风险、合规风险、操作风险、国家风险等风险。 第十六条 商业银行重要业务的外包必须经过和得到董事会的审核批准。 第十七条 商业银行董事会在核准外包业务时，应评价或评估以下事项： （一）可能影响服务提供商进行外包业务能力的实际因素； （二）评价服务提供商的财务实力、技术能力以及业务存量与流量； （三）评估服务提供商的风险控制、业绩标准、业务策略、管理程序、监督过程等方面； （四）判断服务提供商与银行竞争对手是否存在外包安排； （五）评估重要业务的业务连续性； （六）其他关注的事项。 第十八条 商业银行在进行外包活动时应进行尽职调查，尽职调查时应注重评估服务提供商下述有关内容： 管理能力和行业地位； （二）财务稳健性； （三）经营声誉和企业文化； （四）技术实力和服务质量； （五）突发事件应对能力； （六）对银行业的熟悉程度； （七）对其他银行提供服务的情况； （八）商业银行认为重要的其他事项。商业银行的外包活动涉及多个服务提供商时，应对这些服务提供商进行关联关系的调查。 第十九条 所有外包活动务都必须签订书面合同或协议，明确双方的权利义务。合同或协议至少应该包括以下相关条款： （一）外包服务的范围和标准； （二）外包服务的保密性和安全性； （三）外包服务的业务连续性； （四）外包服务的审计和检查； （五）外包争端的解决安排； （六）未履行责任的赔偿，补救和追索权；对于具有专业技术性的外包业务，可签订服务标准协议。 第二十条 商业银行董事会和高级管理层应承担分包或转包的最