银行业-务外包风险评估工作实施方案 为深入了解和掌握业务外包风险状况.docVIP

PAGE PAGE 3 濮阳银行信息科技外包风险评估工作实施方案 为深入了解和掌握信息科技外包风险状况，促进信息科技外包健康发展，有力推动信息科技外包风险管理长效机制建设。根据《银行业金融机构信息科技外包风险监管指引》、《河南银监局办公室转发中国银监会办公厅关于开展信息科技外包风险专项治理工作的通知》（豫银监办发〔2013〕109号）要求，我行决定对信息科技外包进行风险评估。现结合我行信息科技外包实际，特制定本实施方案。 一、评估的背景和目标 （一）开展信息科技外包风险评估的背景。目前个别银行由于信息科技项目外包，银行疏于管控，缺乏有效控制，外包机构技术保障不足，造成客户信息泄露，资金安全面临风险。另外，外包服务中断，易形成数据丢失风险。为控制风险，我行拟通过有步骤地、循序渐进地推进信息科技外包风险评估，全面识别目前面临的主要风险和潜在风险，针对不同环节出现的风险和风险程度及时采取措施，有效防控风险，构建科学的风险管理机制。 （二）开展信息科技外包风险评估的意义。 通过开展信息科技外包风险评估，可以从制度、流程、协议等方面查找并发现我行主要外包项目存在的缺陷和不足，并通过完善制度、优化流程、修改协议等措施，提高我行信息科技外包整体风险防控能力。 （三）评估目标。 1、清查信息科技外包领域已发生的各类风险事件，收集损失数据，深入分析导致风险事件发生的内外部原因。 2、以风险为导向，全面排查信息科技外包项目运行中存在的各类风险隐患，查找风险管理中存在的各种问题。 3、在定性定量分析风险事件和损失、风险隐患、风险管理情况的基础上，判断未来内外部环境改变后风险变化趋势，多角度、系统性地提出整改意见，建立健全风险控制机制，强化风险防范，促进业务优化和发展。 二、评估对象及范围 结合《河南银监局办公室转发中国银监会办公厅关于开展信息科技外包风险专项治理工作的通知》（豫银监办发〔2013〕109号）要求及我行信息科技外包实际，本次外包风险评估仅限科技信息部、运营管理部、授信管理部、计划财务部、小微信贷事业部以及电子银行部 6个部门业务系统外包活动。 （一）评估对象。涉及外包项目的系统主要有综合业务系统、财务和信贷管理系统、微小企业贷款管理系统。 （二）评估范围。 一是风险事件及损失评估。收集范围为 2012年1月1日至2013年6月 30 日信息科技外包项目发生的风险事件和损失。主要为：操作风险事件及损失、外包供应商违约事件及损失等。 二是风险隐患评估。包括：产品、设备、流程、系统、人员、制度、操作、管理、监督检查、体制机制等方面存在的问题和隐患；外部欺诈、客户信用、外包供应商势力等外部因素存在的问题和隐患；未来 2年内，内外部环境变化导致的问题和隐患。 三是风险管理情况评估。风险识别与监控、风险评级、风险分类分级、风险报告与分析、风险处置与应急、风险抵补、风险考核等方面存在的问题和缺陷。 （三）评估方式。 本次信息科技外包风险评估采取自查评估和现场督导评估。一是自查。二是现场检查评估。总行信息科技外包风险评估领导小组将视自查评估情况，组织相关人员对风险评估自查情况进行督导抽查。对于政策制度、流程环节、风险管理类要点，可通过访谈的方式，结合要点内容，查找外包存在的问题和隐患。 三、工作组织及部门职责 （一）工作组织。 1、成立信息科技外包风险评估工作领导小组。统筹安排和协调组织全行信息科技外包风险评估工作。领导小组组成如下： 组 长：聂国庆行长；副组长：白焕英。 成 员：信息科技部、授信管理部、运营管理部、电子银行部、计划财务部、小微信贷事业部、内控稽核部部门负责人。信息科技外包风险评估工作领导小组下设办公室，设在内控稽核部。内控稽核部承担领导小组办公室工作职责。 （二）部门职责。 1、科技信息部负责系统运营过程中出现问题的维护，运营管理部负责运营结算业务，授信管理部负责信贷业务，计划财务部负责财务管理业务，电子银行部负责银行卡业务。2、各部门根据评估自查情况，撰写外包风险评估报告，评估报告的内容应至少包括：评估的范围、外包开展情况的总体评价、风险事件分析、主要的风险隐患、风险整改措施及风险管理意见。3、自查阶段（8 月1日-2 日） 市分行运营管理部、安全保卫部、电子银行部及县级支行与三个条线业务外包相关的业务管理部门，要严格按照评估目标、对象及范围（重点是附件 2 所列的评估内容及要点）分别对银企对账、守库押运、保安服务、POS 商户服务、信用卡对账单寄送业务外包情况开展自查，逐项对评估要点内容进行作答，并根据自查情况及相关要求填制各类统计表，整理相关材料，撰写自查报告（自查报告内容至少包括：自查的范围、清算业