信息技术 IT赋能服务业务过程外包（ITES-BPO）生存周期过程 第6部分：风险管理指南.pdf

信息技术IT赋能服务业务过程外包（ITES-BPO）生存周期过程

第6部分：风险管理指南

1范围

本文件为ITES-BPO服务提供方提供了外包业务过程的风险管理实践指南，指导ITES-BPO服务提供方

计划、确立、实施、运营、监控、评审、维持和改进其风险管理框架。本文件中的指南符合GB/T24353-

2022，从ITES-BPO服务提供方角度详细阐述了风险管理原则、风险管理框架和风险管理过程。

本文件适用于ITES-BPO服务提供方管理其生存周期内的所有过程。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T24353—2022风险管理指南(ISO31000:2018,IDT)

GB/T42749.4—2023信息技术IT赋能服务业务过程外包（ITES-BPO）生存周期过程第4部分：术

语和概念

3术语、定义和缩略语

GB/T24353—2022和GB/T42749.4—2023界定的术语、定义和缩略语适用于本文件。

4风险管理原则

概述

GB/T24353—2022中的风险管理原则能用于ITES-BPO生存周期内的所有过程，以确保采用一致、有

效、高效且经济的方法进行风险管理。风险管理原则描述了风险管理的特征、价值和目的，有助于规划、

管理和处置风险，能够帮助ITES-BPO服务提供方管理业务的不确定性，降低风险对业务目标达成的影响。

基于风险管理原则，ITES-BPO服务提供方需建立风险管理框架。风险管理框架用以保证风险管理的

公开、透明和互利性，帮助ITES-BPO服务提供方和客户实现其业务目标，管理双方的现有风险及潜在风

险。

基于风险管理框架建立风险管理过程，风险管理过程包括风险评估、风险处置、监控和报告、监督

和评审，帮助ITES-BPO服务提供方和客户及时采取适当的措施以减轻和规避风险。

原则

4.2.1整合

ITES-BPO服务提供方与客户是相关联的，从ITES-BPO服务提供方的角度来看，需考虑组织内部的风

险管理框架、客户的风险管理要求及其关联关系。ITES-BPO服务提供方的风险会影响到客户的风险画像。

ITES-BPO服务提供方的风险管理需识别和管理所有的战略、战术和运营风险，以确保服务交付。此

外，ITES-BPO服务提供方需在客户合同的整个生存周期考虑风险管理。

示例：

ITES-BPO服务提供方的风险管理的指导性管理结构（见附录B）和控制措施旨在主动识别和评估签订合同前的所有战

略和战术风险，以支持商业决策。此外，在业务运营层面，将运营风险控制措施纳入业务过程操作手册，以降低风险。

风险管理和控制措施的实施和监控不宜单独进行，而是整合到业务交付控制中。

1

4.2.2结构化和全面性

风险管理宜使用系统化、结构化的方法，有助于ITES-BPO服务提供方向客户和其他利益相关方提供

一致的和可比较的结果。

整合多个客户和利益相关方的风险画像，ITES-BPO服务提供方需建立风险管理计划，通过实施关键

控制和处置措施，确保ITES-BPO服务提供方和客户能够实现业务目标。此外，加强风险管理能提升市场

竞争力。

4.2.3定制化

ITES-BPO服务提供方宜创建并维护通用的风险管理框架，并根据每个客户的合同要求、地域要求以

及服务的特定要求为每个客户定制相应的框架，使通用风险管理框架得以有效实施。

示例：

业务过程的数据隐私风险处置宜根据服务所在国家和服务的数据隐私要求进行调整。

4.2.4包容性

利益相关方宜参与风险评估和风险处置，以便充分考虑其风险管理的要求，并满足环境要求。ITES-

BPO服务提供方需确保客户和利益相关方定期评估风险处置状态和已识别的风险。

示例：

风险管理框架宜由领导层、服务交付、职能部门、客户和其他关键利益相关方的代表共同制定。

在不断变化的世界和商业环境中，ITES-BPO服务提供方宜制定对所有利益相关方都具有包容性和透

明性的政策。

4.2.5动态性

风险管理过程需适