第一篇:銀行業(yè)金融機構(gòu)外包風(fēng)險管理指引
銀行業(yè)金融機構(gòu)外包風(fēng)險管理指引
第一章 總則
第一條 為了規(guī)范銀行業(yè)金融機構(gòu)的外包活動,保障銀行業(yè)金融機構(gòu)業(yè)務(wù)持續(xù)經(jīng)營,依據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》等有關(guān)法律法規(guī),制定本指引。
第二條 在中華人民共和國境內(nèi)設(shè)立的銀行業(yè)金融機構(gòu)適用本指引。
第三條 本指引中的外包是指銀行業(yè)金融機構(gòu)將原來由自身負責(zé)處理的某些業(yè)務(wù)活動委托給服務(wù)提供商進行持續(xù)處理的行為。服務(wù)提供商包括獨立第三方,銀行業(yè)金融機構(gòu)母公司或其所屬集團設(shè)立在中國境內(nèi)、外的子公司、關(guān)聯(lián)公司或附屬機構(gòu)。
第四條 銀行業(yè)金融機構(gòu)的董事會和高級管理層應(yīng)當(dāng)承擔(dān)外包活動的最終責(zé)任。
第五條 銀行業(yè)金融機構(gòu)開展外包活動應(yīng)當(dāng)制定外包的風(fēng)險管理框架以及相關(guān)制度,并將其納入全面風(fēng)險管理體系。
第六條 銀行業(yè)金融機構(gòu)應(yīng)當(dāng)根據(jù)審慎經(jīng)營原則制定其外包戰(zhàn)略發(fā)展規(guī)劃,確定與其風(fēng)險管理水平相適宜的外包活動范圍。
第七條 銀行業(yè)金融機構(gòu)的戰(zhàn)略管理、核心管理以及內(nèi)部審計等職能不宜外包。
第二章組織結(jié)構(gòu)
第八條 銀行業(yè)金融機構(gòu)外包管理的組織架構(gòu)應(yīng)當(dāng)包括董事會、高級管理層及外包管理團隊。
第九條 董事會的職責(zé)主要包括以下方面:
(一)審議批準(zhǔn)外包的戰(zhàn)略發(fā)展規(guī)劃;
(二)審議批準(zhǔn)外包的風(fēng)險管理制度;
(三)審議批準(zhǔn)本機構(gòu)的外包范圍及相關(guān)安排;
(四)定期審閱本機構(gòu)外包活動相關(guān)報告;
(五)定期安排內(nèi)部審計,確保審計范圍涵蓋所有的外包安排。
第十條 高級管理層的職責(zé)主要包括以下方面:
(一)制定外包戰(zhàn)略發(fā)展規(guī)劃;
(二)制定外包風(fēng)險管理的政策、操作流程和內(nèi)控制度;
(三)確定外包業(yè)務(wù)的范圍及相關(guān)安排;
(四)確定外包管理團隊職責(zé),并對其行為進行有效監(jiān)督。
第十一條 外包管理團隊的職責(zé)主要包括以下方面:
(一)執(zhí)行外包風(fēng)險管理的政策、操作流程和內(nèi)控制度;
(二)負責(zé)外包活動的日常管理,包括盡職調(diào)查、合同執(zhí)行情況的監(jiān)督及風(fēng)險狀況的監(jiān)督;
(三)向高級管理層提出有關(guān)外包活動發(fā)展和風(fēng)險管控的意見和建議;
(四)在發(fā)現(xiàn)外包服務(wù)提供商業(yè)的業(yè)務(wù)活動存在缺陷時,采取及時有效的措施;
(五)高級管理層確定的其他職責(zé)
第三章風(fēng)險管理
第十二條 銀行業(yè)金融機構(gòu)在制定外包活動政策時,應(yīng)當(dāng)評估以下風(fēng)險因素:
(一)銀行業(yè)金融機構(gòu)應(yīng)當(dāng)關(guān)注外包活動的戰(zhàn)略風(fēng)險、法律風(fēng)險、聲譽風(fēng)險、合規(guī)風(fēng)險、操作風(fēng)險、國別風(fēng)險等風(fēng)險;
(二)影響外包活動的外部因素;
(三)本機構(gòu)對外包活動的風(fēng)險管控能力;
(四)服務(wù)提供商的技術(shù)能力及專業(yè)能力,業(yè)務(wù)策略和業(yè)務(wù)規(guī)模,業(yè)務(wù)連續(xù)性及破產(chǎn)風(fēng)險,風(fēng)險控制能力及外包服務(wù)的集中度;
(五)其他關(guān)注的事項。
第十三條 銀行業(yè)金融機構(gòu)在進行外包活動時應(yīng)當(dāng)對服務(wù)提供商進行盡職調(diào)查,盡職調(diào)查應(yīng)當(dāng)包括以下事項:
(一)管理能力和行業(yè)地位;
(二)財務(wù)穩(wěn)健性;
(三)經(jīng)營聲譽和企業(yè)文化;
(四)技術(shù)實力和服務(wù)質(zhì)量;
(五)突發(fā)事件應(yīng)對能力;
(六)對銀行業(yè)的熟悉程度;
(七)對其他銀行業(yè)金融機構(gòu)提供服務(wù)的情況;
(八)銀行業(yè)金融機構(gòu)認為重要的其他事項。銀行業(yè)金融機構(gòu)的外包活動涉及多個服務(wù)提供商時,應(yīng)當(dāng)對這些服務(wù)提供商進行關(guān)聯(lián)關(guān)系的調(diào)查。
第十四條 銀行業(yè)金融機構(gòu)開展外包活動時應(yīng)當(dāng)簽訂書面合同或協(xié)議,明確雙方的權(quán)利義務(wù)。合同或協(xié)議應(yīng)當(dāng)包括但不限于以下內(nèi)容:
(一)外包服務(wù)的范圍和標(biāo)準(zhǔn);
(二)外包服務(wù)的保密性和安全性的安排;
(三)外包服務(wù)的業(yè)務(wù)連續(xù)性的安排;
(四)外包服務(wù)的審計和檢查;
(五)外包爭端的解決機制;
(六)合同或協(xié)議變更或終止的過渡安排;
(七)違約責(zé)任。
對于具有專業(yè)技術(shù)性的外包活動,可簽訂服務(wù)標(biāo)準(zhǔn)協(xié)議。
第十五條 銀行業(yè)金融機構(gòu)在外包活動中應(yīng)當(dāng)建立嚴格的客戶信息保密制度,并依法履行告知義務(wù)。
第十六條 銀行業(yè)金融機構(gòu)在外包合同中應(yīng)當(dāng)要求外包服務(wù)提供商承諾以下事項:
(一)定期通報外包活動的有關(guān)事項;
(二)及時通報外包活動的突發(fā)性事件;
(三)配合銀行業(yè)金融機構(gòu)接受銀行業(yè)監(jiān)督管理機構(gòu)的檢查;
(四)保障客戶信息的安全性,當(dāng)客戶信息不安全或客戶權(quán)利受到影響時,銀行業(yè)金融機構(gòu)有權(quán)隨時終止外包合同;
(五)不得以銀行業(yè)金融機構(gòu)的名義開展活動;
(六)銀行業(yè)金融機構(gòu)認為應(yīng)當(dāng)承諾的其他事項。第十七條 銀行業(yè)金融機構(gòu)應(yīng)當(dāng)關(guān)注外包服務(wù)提供商分包的風(fēng)險,并在合同中明確以下事項:
(一)服務(wù)提供商分包的規(guī)則;
(二)分包服務(wù)提供商應(yīng)當(dāng)嚴格遵守主服務(wù)提供商與銀行業(yè)金融機構(gòu)確定的外包合同或協(xié)議中的相關(guān)條款;
(三)主服務(wù)商應(yīng)當(dāng)確認在業(yè)務(wù)分包后繼續(xù)保證對服務(wù)水平和系統(tǒng)控制負總責(zé);
(四)不得將外包活動的主要業(yè)務(wù)分包。
第十八條 銀行業(yè)金融機構(gòu)應(yīng)當(dāng)在合同中約定服務(wù)提供商不得將外包活動轉(zhuǎn)包或變相轉(zhuǎn)包。
第十九條 銀行業(yè)金融機構(gòu)在開展跨境外包活動時,應(yīng)當(dāng)遵守以下原則:
(一)審慎評估法律和管制風(fēng)險;
(二)確保客戶信息的安全;
(三)選擇境外服務(wù)提供商時,應(yīng)當(dāng)明確其所在國家或地區(qū)監(jiān)管當(dāng)局已與我國銀行業(yè)監(jiān)督管理機構(gòu)簽訂諒解備忘錄或雙方認可的其他約定。
第二十條 銀行業(yè)金融機構(gòu)應(yīng)當(dāng)事先制定和建立外包突發(fā)事件應(yīng)急預(yù)案和機制。通過采取替代方案、尋求合同項下的保險安排等措施,確保業(yè)務(wù)活動的正常經(jīng)營。
第二十一條 銀行業(yè)金融機構(gòu)應(yīng)當(dāng)定期對外包活動進行全面審計與評價。
第四章監(jiān)督管理
第二十二條 銀行業(yè)金融機構(gòu)在開展外包活動時,應(yīng)當(dāng)定期向所在地銀行業(yè)監(jiān)督管理機構(gòu)遞交本機構(gòu)外包活動的評估報告。
第二十三條 銀行業(yè)金融機構(gòu)在開展外包活動時如遇到對本機構(gòu)的業(yè)務(wù)經(jīng)營、客戶信息安全、聲譽等產(chǎn)生重大影響事件,應(yīng)當(dāng)及時向所在地銀行業(yè)監(jiān)督管理機構(gòu)報告。
第二十四條 銀行業(yè)監(jiān)督管理機構(gòu)及其派出機構(gòu)根據(jù)需要對外包活動進行現(xiàn)場檢查,采集外包活動過程中數(shù)據(jù)信息和相關(guān)資料,并將檢查結(jié)果納入對該機構(gòu)的監(jiān)管評級。
第二十五條 對外包活動存在以下情形的,銀行業(yè)監(jiān)督管理機構(gòu)可以要求銀行業(yè)金融機構(gòu)糾正或采取替代方案,并視情況予以問責(zé)。
(一)違反相關(guān)法律、行政法規(guī)及規(guī)章;
(二)違反本機構(gòu)風(fēng)險管理政策、內(nèi)控制度及操作流程等;
(三)存在重大風(fēng)險隱患;
(四)其他認定的情形。
第五章附則
第二十六條 經(jīng)銀行業(yè)監(jiān)督管理機構(gòu)批準(zhǔn)的其他金融機構(gòu)開展外包活動時遵照本指引執(zhí)行。
第二十七條 本指引由中國銀行業(yè)監(jiān)督管理委員會負責(zé)解釋。
第二十八條 本指引自發(fā)布之日起實施。
第二篇:銀行業(yè)金融機構(gòu)全面風(fēng)險管理指引
中國銀監(jiān)會關(guān)于《銀行業(yè)金融機構(gòu)全面風(fēng)險管理指引(征求意見稿)》公開征求意見的公告
為進一步引導(dǎo)銀行業(yè)金融機構(gòu)樹立全面風(fēng)險管理意識,完善全面風(fēng)險管理體系,持續(xù)提高風(fēng)險管理水平,中國銀監(jiān)會起草了《銀行業(yè)金融機構(gòu)全面風(fēng)險管理指引(征求意見稿)》,現(xiàn)向社會公開征求意見。公眾可以通過以下途徑反饋意見:
一、通過電子郵件。
二、通過傳真。
三、通過信函方式將意見寄至:北京市西城區(qū)金融大街甲15號中國銀監(jiān)會審慎規(guī)制局(郵編:100140),并請在信封上注明“全面風(fēng)險管理征求意見”字樣。
意見反饋截止時間為2016年8月6日。[1]
中國銀監(jiān)會
2016年7月6日
銀行業(yè)金融機構(gòu)全面風(fēng)險管理指引[1](征求意見稿)
第一章 總則
第一條(立法依據(jù))為提高銀行業(yè)金融機構(gòu)全面風(fēng)險管理水平,促進銀行體系安全穩(wěn)健運行,根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》等法律法規(guī),制定本指引。
第二條(適用范圍)本指引適用于在中華人民共和國境內(nèi)依法設(shè)立的銀行業(yè)金融機構(gòu)。本指引所稱銀行業(yè)金融機構(gòu),是指在中華人民共和國境內(nèi)設(shè)立的商業(yè)銀行、城市信用合作社、農(nóng)村信用合作社等吸收公眾存款的金融機構(gòu)以及開發(fā)性金融機構(gòu)、政策性銀行。
第三條(總體要求-管理內(nèi)容)銀行業(yè)金融機構(gòu)應(yīng)當(dāng)建立全面風(fēng)險管理體系,采取定性和定量相結(jié)合的方法,識別、計量、評估、監(jiān)測、報告、控制或緩釋所承擔(dān)的各類風(fēng)險。
各類風(fēng)險包括信用風(fēng)險、市場風(fēng)險、流動性風(fēng)險、操作風(fēng)險、國別風(fēng)險、銀行賬戶利率風(fēng)險、聲譽風(fēng)險、戰(zhàn)略風(fēng)險、信息科技風(fēng)險以及其他風(fēng)險。
銀行業(yè)金融機構(gòu)的全面風(fēng)險管理體系應(yīng)當(dāng)考慮風(fēng)險之間的關(guān)聯(lián)性,審慎評估各類風(fēng)險之間的相互影響,防范跨境、跨業(yè)風(fēng)險。
第四條(總體要求-管理原則)銀行業(yè)金融機構(gòu)全面風(fēng)險管理應(yīng)當(dāng)遵循以下基本原則:
(一)匹配性原則。全面風(fēng)險管理體系應(yīng)當(dāng)與風(fēng)險狀況和系統(tǒng)重要性等相適應(yīng),并根據(jù)環(huán)境變化予以調(diào)整。
(二)全覆蓋原則。全面風(fēng)險管理應(yīng)當(dāng)覆蓋各項業(yè)務(wù)條線,本外幣、表內(nèi)外、境內(nèi)外業(yè)務(wù);覆蓋所有分支機構(gòu)、附屬機構(gòu),部門、崗位和人員;覆蓋所有風(fēng)險種類和不同風(fēng)險之間的相互影響;貫穿決策、執(zhí)行和監(jiān)督全部管理環(huán)節(jié)。
(三)獨立性原則。銀行業(yè)金融機構(gòu)應(yīng)當(dāng)建立獨立的全面風(fēng)險管理組織架構(gòu),賦予風(fēng)險管理條線足夠的授權(quán)、人力資源及其他資源配置,建立科學(xué)合理的報告渠道,與業(yè)務(wù)條線之間形成相互制衡的運行機制。
(四)有效性原則。銀行業(yè)金融機構(gòu)應(yīng)當(dāng)將全面風(fēng)險管理的結(jié)果應(yīng)用于經(jīng)營管理,根據(jù)風(fēng)險狀況、市場和宏觀經(jīng)濟情況評估資本和流動性的充足性,有效抵御所承擔(dān)的總體風(fēng)險和各類風(fēng)險。第五條(全面風(fēng)險管理要素)銀行業(yè)金融機構(gòu)全面風(fēng)險管理體系應(yīng)當(dāng)包括但不限于以下要素:
(一)風(fēng)險治理架構(gòu);
(二)風(fēng)險管理策略、風(fēng)險偏好和風(fēng)險限額;
(三)風(fēng)險管理政策和程序;
(四)管理信息系統(tǒng)和數(shù)據(jù)質(zhì)量控制機制;
(五)內(nèi)部控制和審計體系。
第六條(風(fēng)險文化)銀行業(yè)金融機構(gòu)應(yīng)當(dāng)在全行層面推行穩(wěn)健的風(fēng)險文化,形成與本行相適應(yīng)的風(fēng)險管理理念、價值準(zhǔn)則、職業(yè)操守,建立培訓(xùn)、傳達和監(jiān)督機制,推動全行人員理解和執(zhí)行。
第七條(責(zé)任主體)銀行業(yè)金融機構(gòu)應(yīng)當(dāng)承擔(dān)全面風(fēng)險管理的主體責(zé)任,建立全面風(fēng)險管理制度,保障制度執(zhí)行,對全面風(fēng)險管理體系自我評估,健全自我約束機制。
第八條(監(jiān)督管理)銀行業(yè)監(jiān)督管理機構(gòu)依法對銀行業(yè)金融機構(gòu)全面風(fēng)險管理實施監(jiān)管。
第九條(披露要求)銀行業(yè)金融機構(gòu)應(yīng)當(dāng)按照銀行業(yè)監(jiān)督管理機構(gòu)的規(guī)定,向公眾披露全面風(fēng)險管理情況。
第二章 風(fēng)險治理架構(gòu)
第十條(總體要求)銀行業(yè)金融機構(gòu)應(yīng)當(dāng)建立組織架構(gòu)健全、職責(zé)邊界清晰的風(fēng)險治理架構(gòu),明確董事會、監(jiān)事會、高級管理層,業(yè)務(wù)部門、風(fēng)險管理部門和內(nèi)審部門在風(fēng)險管理中的職責(zé)分工,建立多層次、相互銜接、有效制衡的運行機制。
第十一條(董事會職責(zé))銀行業(yè)金融機構(gòu)董事會承擔(dān)全面風(fēng)險管理的最終責(zé)任,履行以下職責(zé):
(一)建立風(fēng)險文化;
(二)制定風(fēng)險管理策略;
(三)設(shè)定的風(fēng)險偏好和風(fēng)險限額;
(四)審批風(fēng)險管理政策和程序;
(五)監(jiān)督高級管理層開展全面風(fēng)險管理;
(六)審議全面風(fēng)險管理報告;
(七)審批全面風(fēng)險和各類重要風(fēng)險的信息披露;
(八)聘任風(fēng)險總監(jiān)(首席風(fēng)險官)或其他高級管理人員,牽頭負責(zé)全面風(fēng)險管理;
(九)其他與風(fēng)險管理有關(guān)的職責(zé)。
董事會可以授權(quán)其下設(shè)的風(fēng)險管理委員會履行其全面風(fēng)險管理的部分職責(zé)。第十二條(委員會間的溝通機制)銀行業(yè)金融機構(gòu)應(yīng)當(dāng)建立風(fēng)險管理委員會與董事會下設(shè)的戰(zhàn)略委員會、審計委員會、提名委員會等其他專門委員會的溝通機制,確保信息充分共享并能夠支持風(fēng)險管理相關(guān)決策。
第十三條(監(jiān)事會職責(zé))銀行業(yè)金融機構(gòu)監(jiān)事會承擔(dān)全面風(fēng)險管理的監(jiān)督責(zé)任,負責(zé)監(jiān)督檢查董事會和高級管理層在風(fēng)險管理方面的履職盡責(zé)情況并督促整改。相關(guān)監(jiān)督檢查情況應(yīng)當(dāng)納入監(jiān)事會工作報告。第十四條(高級管理層職責(zé))銀行業(yè)金融機構(gòu)高級管理層承擔(dān)全面風(fēng)險管理的實施責(zé)任,執(zhí)行董事會的決議,應(yīng)當(dāng)履行以下職責(zé):
(一)建立適應(yīng)全面風(fēng)險管理的經(jīng)營管理架構(gòu),明確全面風(fēng)險管理職能部門、業(yè)務(wù)部門以及其他部門在風(fēng)險管理中的職責(zé)分工,建立部門之間有效制衡、相互協(xié)調(diào)的運行機制;
(二)制定清晰的執(zhí)行和問責(zé)機制,確保風(fēng)險偏好、風(fēng)險管理策略和風(fēng)險限額得到充分傳達和有效實施;
(三)對董事會設(shè)定的風(fēng)險限額進行細化并執(zhí)行,包括但不限于行業(yè)、區(qū)域、客戶、產(chǎn)品等維度;
(四)制定風(fēng)險管理政策和程序,定期評估,必要時調(diào)整;
(五)評估全面風(fēng)險和各類重要風(fēng)險管理狀況并向董事會報告;
(六)建立完備的管理信息系統(tǒng)和數(shù)據(jù)質(zhì)量控制機制;
(七)對突破風(fēng)險偏好、風(fēng)險限額以及違反風(fēng)險管理政策和程序的情況進行監(jiān)督,根據(jù)董事會的授權(quán)進行處理;
(八)風(fēng)險管理的其他職責(zé)。
第十五條(風(fēng)險總監(jiān)或獨立高管)規(guī)模較大或業(yè)務(wù)復(fù)雜的銀行業(yè)金融機構(gòu)應(yīng)當(dāng)設(shè)立風(fēng)險總監(jiān)(首席風(fēng)險官)。董事會應(yīng)當(dāng)將風(fēng)險總監(jiān)(首席風(fēng)險官)納入高級管理人員。風(fēng)險總監(jiān)(首席風(fēng)險官)或其他牽頭負責(zé)全面風(fēng)險管理的高級管理人員應(yīng)當(dāng)保持充分的獨立性,不得分管業(yè)務(wù)經(jīng)營條線,可以直接向董事會報告全面風(fēng)險管理情況。
調(diào)整風(fēng)險總監(jiān)(首席風(fēng)險官)的,應(yīng)當(dāng)事先得到董事會批準(zhǔn),并公開披露。銀行業(yè)金融機構(gòu)應(yīng)當(dāng)向銀行業(yè)監(jiān)督管理機構(gòu)報告風(fēng)險總監(jiān)(首席風(fēng)險官)的調(diào)整原因。
第十六條(全面風(fēng)險管理的職責(zé)分工)銀行業(yè)金融機構(gòu)應(yīng)當(dāng)確定業(yè)務(wù)條線承擔(dān)風(fēng)險管理的直接責(zé)任;風(fēng)險管理條線承擔(dān)制定政策和流程,日常監(jiān)測和管理風(fēng)險的責(zé)任;內(nèi)審部門承擔(dān)業(yè)務(wù)部門和風(fēng)險管理部門履責(zé)情況的審計責(zé)任。
第十七條(全面風(fēng)險管理職能部門職責(zé))銀行業(yè)金融機構(gòu)應(yīng)當(dāng)設(shè)立或者指定部門負責(zé)全面風(fēng)險管理,牽頭履行全面風(fēng)險的日常管理,包括但不限于以下職責(zé):
(一)實施全面風(fēng)險管理體系建設(shè),牽頭協(xié)調(diào)各類具體風(fēng)險管理部門;
(二)識別、計量、評估、監(jiān)測、控制或緩釋全面風(fēng)險和各類重要風(fēng)險,及時向高級管理人員報告;
(三)持續(xù)監(jiān)控風(fēng)險偏好、風(fēng)險管理策略、風(fēng)險限額及風(fēng)險管理政策和程序的執(zhí)行情況,對突破風(fēng)險偏好、風(fēng)險限額以及違反風(fēng)險管理政策和程序的情況及時預(yù)警、報告并提出處理建議。
(四)組織開展風(fēng)險評估,及時發(fā)現(xiàn)風(fēng)險隱患和管理漏洞,持續(xù)提高風(fēng)險管理的有效性。
第十八條(分支機構(gòu)要求)銀行業(yè)金融機構(gòu)應(yīng)當(dāng)采取必要措施,保證全面風(fēng)險管理的政策流程在基層分支機構(gòu)得到理解與執(zhí)行,建立與基層分支機構(gòu)風(fēng)險狀況相匹配的風(fēng)險管理架構(gòu)。
在境外設(shè)有機構(gòu)的銀行業(yè)金融機構(gòu)應(yīng)當(dāng)建立適當(dāng)?shù)木惩怙L(fēng)險管理框架、政策和流程。第十九條(資源保障)銀行業(yè)金融機構(gòu)應(yīng)當(dāng)賦予全面風(fēng)險管理職能部門和各類風(fēng)險管理部門充足的資源、獨立性、授權(quán),保證其能夠及時獲得風(fēng)險管理所需的數(shù)據(jù)和信息,滿足履行風(fēng)險管理職責(zé)的需要。
第三章 風(fēng)險管理策略、風(fēng)險偏好和風(fēng)險限額
第二十條(風(fēng)險管理策略)銀行業(yè)金融機構(gòu)應(yīng)當(dāng)制定清晰的風(fēng)險管理策略,至少每年評估其有效性。風(fēng)險管理策略應(yīng)當(dāng)反映風(fēng)險偏好、風(fēng)險狀況以及市場和宏觀經(jīng)濟變化,并在銀行內(nèi)部得到充分傳導(dǎo)。
第二十一條(風(fēng)險偏好總體要求)銀行業(yè)金融機構(gòu)應(yīng)當(dāng)制定書面的風(fēng)險偏好,定性指標(biāo)和定量指標(biāo)并重。風(fēng)險偏好的設(shè)定應(yīng)當(dāng)與戰(zhàn)略目標(biāo)、經(jīng)營計劃、資本規(guī)劃、績效考評和薪酬機制銜接,在全行傳達并執(zhí)行。
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)每年對風(fēng)險偏好至少進行一次評估。
第二十二條(風(fēng)險偏好內(nèi)容)銀行業(yè)金融機構(gòu)制定的風(fēng)險偏好,應(yīng)當(dāng)包括但不限于以下內(nèi)容:
(一)戰(zhàn)略目標(biāo)和經(jīng)營計劃的制定依據(jù),風(fēng)險偏好與戰(zhàn)略目標(biāo)、經(jīng)營計劃的關(guān)聯(lián)性;
(二)為實現(xiàn)戰(zhàn)略目標(biāo)和經(jīng)營計劃愿意承擔(dān)的風(fēng)險總量;
(三)愿意承擔(dān)的各類風(fēng)險的最大水平;
(四)風(fēng)險偏好的定量指標(biāo),包括利潤、風(fēng)險、資本、流動性以及其他相關(guān)指標(biāo)的目標(biāo)值或目標(biāo)區(qū)間。上述定量指標(biāo)通過風(fēng)險限額、經(jīng)營計劃、績效考評等方式傳導(dǎo)至業(yè)務(wù)條線、分支機構(gòu)、附屬機構(gòu)的安排;
(五)對不能定量的風(fēng)險偏好的定性描述,包括承擔(dān)此類風(fēng)險的原因、采取的管理措施;
(六)資本、流動性抵御總體風(fēng)險和各類風(fēng)險的水平;
(七)可能導(dǎo)致風(fēng)險偏好目標(biāo)的情形和處置方法。
風(fēng)險偏好應(yīng)當(dāng)明確董事會、高級管理層和首席風(fēng)險官、業(yè)務(wù)條線、風(fēng)險部門和審計部門在制定和實施風(fēng)險偏好過程中的職責(zé)。
第二十三條(風(fēng)險偏好執(zhí)行報告)銀行業(yè)金融機構(gòu)應(yīng)當(dāng)建立監(jiān)測分析各業(yè)務(wù)條線、分支機構(gòu)、附屬機構(gòu)執(zhí)行風(fēng)險偏好的機制。
當(dāng)風(fēng)險偏好目標(biāo)被突破時,應(yīng)當(dāng)及時分析原因、制定解決方案并實施。
第二十四條(風(fēng)險偏好調(diào)整)銀行業(yè)金融機構(gòu)應(yīng)當(dāng)建立風(fēng)險偏好的調(diào)整制度。根據(jù)業(yè)務(wù)規(guī)模、復(fù)雜程度、風(fēng)險狀況的變化,對風(fēng)險偏好進行調(diào)整。
第二十五條(風(fēng)險限額管理)銀行業(yè)金融機構(gòu)應(yīng)當(dāng)制定風(fēng)險限額管理的政策和程序,建立風(fēng)險限額設(shè)定、限額調(diào)整、超限額報告和處理制度。
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)根據(jù)風(fēng)險偏好,按照客戶、行業(yè)、區(qū)域、產(chǎn)品等維度設(shè)定風(fēng)險限額。風(fēng)險限額應(yīng)當(dāng)綜合考慮資本、風(fēng)險集中度、流動性、交易目的等。
全面風(fēng)險管理職能部門應(yīng)當(dāng)對風(fēng)險限額進行監(jiān)控,并向董事會和高級管理層報送風(fēng)險限額使用情況。
第四章 風(fēng)險管理政策和程序 第二十六條(風(fēng)險管理政策和程序)銀行業(yè)金融機構(gòu)應(yīng)當(dāng)制定風(fēng)險管理政策和程序,包括但不限于以下內(nèi)容:
(一)全面風(fēng)險管理的方法,包括各類風(fēng)險的識別、計量、評估、監(jiān)測、報告、控制或緩釋,風(fēng)險加總的方法和程序;
(二)風(fēng)險定性管理和定量管理的方法;
(三)風(fēng)險管理報告;
(四)壓力測試安排;
(五)新產(chǎn)品、重大業(yè)務(wù)和機構(gòu)變更的風(fēng)險評估;
(六)資本和流動性充足情況評估;
(七)應(yīng)急計劃和恢復(fù)計劃。
第二十七條(風(fēng)險的識別、計量、評估、監(jiān)測、報告和控制或緩釋)銀行業(yè)金融機構(gòu)應(yīng)當(dāng)在集團和法人層面對各附屬機構(gòu)、分支機構(gòu)、業(yè)務(wù)條線,對表內(nèi)和表外、境內(nèi)和境外、本幣和外幣業(yè)務(wù)涉及的各類風(fēng)險,進行識別、計量、評估、監(jiān)測、報告、控制或緩釋。
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)制定每項業(yè)務(wù)對應(yīng)的風(fēng)險管理政策和程序。未制定的,不得開展該項業(yè)務(wù)。
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)有效評估和管理各類風(fēng)險。對能夠量化的風(fēng)險,應(yīng)當(dāng)通過風(fēng)險計量技術(shù),加強對相關(guān)風(fēng)險的計量、控制、緩釋;對難以量化的風(fēng)險,應(yīng)當(dāng)建立風(fēng)險識別、評估、控制和報告機制,確保相關(guān)風(fēng)險得到有效管理。
第二十八條(政策和程序的一致性)銀行業(yè)金融機構(gòu)應(yīng)當(dāng)建立風(fēng)險統(tǒng)一集中管理的制度,確保全面風(fēng)險管理對各類風(fēng)險管理的統(tǒng)領(lǐng)性,各類風(fēng)險管理與全面風(fēng)險管理政策和程序的一致性。
第二十九條(風(fēng)險加總的方法和程序)銀行業(yè)金融機構(gòu)應(yīng)當(dāng)建立風(fēng)險加總的政策、程序,選取合理可行的加總方法,充分考慮集中度風(fēng)險及風(fēng)險之間的相互影響和相互傳染,確保在不同層次上和總體上及時識別風(fēng)險。
第三十條(內(nèi)部模型)銀行業(yè)金融機構(gòu)采用內(nèi)部模型計量風(fēng)險的,應(yīng)當(dāng)遵守相關(guān)監(jiān)管要求,確保風(fēng)險計量的一致性、客觀性和準(zhǔn)確性。董事會和高級管理層應(yīng)當(dāng)理解模型結(jié)果的局限性、不確定性和模型使用的固有風(fēng)險。
第三十一條(風(fēng)險管理報告)銀行業(yè)金融機構(gòu)應(yīng)當(dāng)建立全面風(fēng)險管理報告制度,明確報告的內(nèi)容、頻率、路線。
報告內(nèi)容至少包括總體風(fēng)險和各類風(fēng)險的整體狀況;風(fēng)險管理策略、風(fēng)險偏好和風(fēng)險限額的執(zhí)行情況;風(fēng)險在行業(yè)、地區(qū)、客戶、產(chǎn)品等維度的分布;資本和流動性抵御風(fēng)險的水平。
第三十二條(壓力測試安排)銀行業(yè)金融機構(gòu)應(yīng)當(dāng)建立壓力測試體系,明確壓力測試的治理結(jié)構(gòu)、政策文檔、方法流程、情景設(shè)計、保障支持、驗證評估以及壓力測試結(jié)果運用。
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)定期開展壓力測試。壓力測試的開展應(yīng)當(dāng)覆蓋各類風(fēng)險和表內(nèi)外主要業(yè)務(wù)領(lǐng)域,并考慮各類風(fēng)險之間的相互影響。
壓力測試結(jié)果應(yīng)當(dāng)運用于銀行業(yè)金融機構(gòu)的風(fēng)險管理和各項經(jīng)營管理決策中。第三十三條(新產(chǎn)品、重大業(yè)務(wù)和機構(gòu)變更的風(fēng)險評估)銀行業(yè)金融機構(gòu)應(yīng)當(dāng)建立專門的政策和流程,評估開發(fā)新產(chǎn)品或?qū)ΜF(xiàn)有產(chǎn)品進行重大改動、拓展新的業(yè)務(wù)領(lǐng)域、設(shè)立新機構(gòu)、從事重大收購和投資等可能帶來的風(fēng)險,并建立內(nèi)部審批流程和退出安排。銀行業(yè)金融機構(gòu)開展上述活動時,應(yīng)當(dāng)經(jīng)風(fēng)險管理部門審查同意,并經(jīng)董事會或董事會指定的專門委員會批準(zhǔn)。
第三十四條(資本和流動性充足情況評估)銀行業(yè)金融機構(gòu)應(yīng)當(dāng)根據(jù)風(fēng)險偏好和風(fēng)險狀況及時評估資本和流動性的充足情況,確保資本、流動性能夠抵御風(fēng)險。
第三十五條(應(yīng)急計劃)銀行業(yè)金融機構(gòu)應(yīng)當(dāng)制定應(yīng)急計劃,確保能夠及時應(yīng)對和處理緊急或危機情況。應(yīng)急計劃應(yīng)當(dāng)說明可能出現(xiàn)的風(fēng)險以及在壓力情況(包括會嚴重威脅銀行生存能力的壓力情景)下應(yīng)當(dāng)采取的措施。銀行業(yè)金融機構(gòu)的應(yīng)急計劃應(yīng)當(dāng)涵蓋對境外分支機構(gòu)和附屬機構(gòu)的應(yīng)急安排。銀行業(yè)金融機構(gòu)應(yīng)當(dāng)定期更新、演練或測試上述計劃,確保其充分性和可行性。
第三十六條(恢復(fù)計劃)銀行業(yè)金融機構(gòu)應(yīng)當(dāng)按照相關(guān)監(jiān)管規(guī)定的要求,根據(jù)銀行的風(fēng)險狀況和系統(tǒng)重要性,制定并定期更新完善本機構(gòu)的恢復(fù)計劃,明確本機構(gòu)在壓力情況下能夠繼續(xù)提供持續(xù)穩(wěn)定運營的各項關(guān)鍵性金融服務(wù)并恢復(fù)正常運營的行動方案。
第三十七條(附屬機構(gòu))銀行業(yè)金融機構(gòu)應(yīng)當(dāng)制定覆蓋其附屬機構(gòu)的風(fēng)險管理政策和程序,保持機構(gòu)風(fēng)險管理的一致性、有效性。銀行業(yè)金融機構(gòu)應(yīng)當(dāng)要求并確保各附屬機構(gòu)在整體風(fēng)險偏好和風(fēng)險管理政策框架下,建立自身的風(fēng)險管理組織架構(gòu)、政策流程,促進全面風(fēng)險管理的一致性和有效性。
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)建立健全防火墻制度,規(guī)范內(nèi)部交易,防止風(fēng)險傳染。第三十八條(外包風(fēng)險管理)銀行業(yè)金融機構(gòu)應(yīng)當(dāng)制定外包風(fēng)險管理制度,確定與其風(fēng)險管理水平相適應(yīng)的外包活動范圍。
第三十九條(風(fēng)險管理應(yīng)用)銀行業(yè)金融機構(gòu)應(yīng)當(dāng)將風(fēng)險偏好、風(fēng)險管理策略、風(fēng)險限額、風(fēng)險管理政策和程序等要素與資本管理、業(yè)務(wù)管理相結(jié)合,在戰(zhàn)略和經(jīng)營計劃制定、新產(chǎn)品審批、內(nèi)部定價、績效考評和薪酬政策等日常經(jīng)營管理中充分應(yīng)用并得到有效實施。
第四十條(文檔管理)銀行業(yè)金融機構(gòu)應(yīng)當(dāng)對風(fēng)險偏好、風(fēng)險管理策略、風(fēng)險限額、風(fēng)險管理政策和程序建立規(guī)范的文檔記錄。
第五章 管理信息系統(tǒng)和數(shù)據(jù)質(zhì)量
第四十一條(風(fēng)險管理信息系統(tǒng))銀行業(yè)金融機構(gòu)應(yīng)當(dāng)具備完善的風(fēng)險管理信息系統(tǒng),能夠在集團和法人層面計量、評估、展示、報告、加總所有風(fēng)險類別、產(chǎn)品和交易對手風(fēng)險暴露的規(guī)模和構(gòu)成。
第四十二條(系統(tǒng)功能)銀行業(yè)金融機構(gòu)相關(guān)風(fēng)險管理信息系統(tǒng)應(yīng)當(dāng)具備以下主要功能,支持風(fēng)險報告和管理決策的需要。
(一)支持識別、計量、評估、監(jiān)測和報告所有類別的重要風(fēng)險;
(二)支持風(fēng)險限額管理,對超出風(fēng)險限額的情況進行實時監(jiān)測、預(yù)警和控制;
(三)能夠計量、評估和報告所有風(fēng)險類別、產(chǎn)品和交易對手的風(fēng)險狀況,滿足全面風(fēng)險管理需要。
(四)支持按照業(yè)務(wù)條線、機構(gòu)、資產(chǎn)類型、行業(yè)、地區(qū)、集中度等多個維度展示和報告風(fēng)險暴露情況;
(五)支持不同頻率的定期報告和壓力情況下的數(shù)據(jù)加工和風(fēng)險加總需求;
(六)支持壓力測試工作,評估各種不利情景對全行及主要業(yè)務(wù)條線的影響; 第四十三條(信息科技基礎(chǔ)設(shè)施)銀行業(yè)金融機構(gòu)應(yīng)當(dāng)建立與業(yè)務(wù)規(guī)模、風(fēng)險狀況等相匹配的信息科技基礎(chǔ)設(shè)施。
第四十四條(數(shù)據(jù)質(zhì)量)銀行業(yè)金融機構(gòu)應(yīng)當(dāng)建立健全數(shù)據(jù)質(zhì)量控制機制,積累真實、準(zhǔn)確、連續(xù)、完整的內(nèi)部和外部數(shù)據(jù),用于風(fēng)險識別、計量、評估、監(jiān)測、報告,資本和流動性充足情況的評估。
第六章 內(nèi)部控制和審計
第四十五條(內(nèi)控要求)銀行業(yè)金融機構(gòu)應(yīng)當(dāng)合理確定各項業(yè)務(wù)活動和管理活動的風(fēng)險控制點,采取適當(dāng)?shù)目刂拼胧瑘?zhí)行標(biāo)準(zhǔn)統(tǒng)一的業(yè)務(wù)流程和管理流程,確保規(guī)范運作。
第四十六條(內(nèi)審要求)銀行業(yè)金融機構(gòu)應(yīng)當(dāng)將全面風(fēng)險管理納入內(nèi)部審計范疇,定期審查和評價全面風(fēng)險管理的充分性和有效性。
銀行業(yè)金融機構(gòu)內(nèi)部審計活動應(yīng)獨立于業(yè)務(wù)經(jīng)營、風(fēng)險管理和合規(guī)管理,遵循獨立性、客觀性原則,不斷提升內(nèi)部審計人員的專業(yè)能力和職業(yè)操守。
全面風(fēng)險管理的內(nèi)部審計報告應(yīng)當(dāng)直接提交董事會和監(jiān)事會。董事會應(yīng)當(dāng)針對內(nèi)部審計發(fā)現(xiàn)的問題,督促高級管理層及時采取整改措施。內(nèi)部審計部門應(yīng)當(dāng)跟蹤檢查整改措施的實施情況,并及時向董事會提交有關(guān)報告。
第七章 監(jiān)督管理
第四十七條(報備及報告要求)銀行業(yè)金融機構(gòu)應(yīng)當(dāng)將風(fēng)險管理策略、風(fēng)險偏好、風(fēng)險限額、風(fēng)險管理政策和程序等報送銀行業(yè)監(jiān)督管理機構(gòu),并至少按報送全面風(fēng)險管理報告。
第四十八條(監(jiān)管內(nèi)容)銀行業(yè)監(jiān)督管理機構(gòu)應(yīng)當(dāng)將銀行業(yè)金融機構(gòu)全面風(fēng)險管理納入法人監(jiān)管體系中,并根據(jù)本指引全面評估銀行業(yè)金融機構(gòu)風(fēng)險管理體系的健全性和有效性,提出監(jiān)管意見,督促銀行業(yè)金融機構(gòu)持續(xù)加以完善。
第四十九條(監(jiān)管方式)銀行業(yè)監(jiān)督管理機構(gòu)通過非現(xiàn)場監(jiān)管和現(xiàn)場檢查等實施對銀行業(yè)金融機構(gòu)全面風(fēng)險管理的持續(xù)監(jiān)管,具體方式包括但不限于監(jiān)管評級、風(fēng)險提示、現(xiàn)場檢查、監(jiān)管通報、監(jiān)管會談、與內(nèi)外部審計師會談等。
第五十條(監(jiān)管溝通)銀行業(yè)監(jiān)督管理機構(gòu)應(yīng)當(dāng)就全面風(fēng)險管理情況與銀行業(yè)金融機構(gòu)董事會、監(jiān)事會、高級管理層等進行充分溝通,并視情況在銀行董事會、監(jiān)事會會議上通報。
第五十一條(監(jiān)管措施)對不能滿足本指引及其他關(guān)于全面風(fēng)險管理要求的銀行業(yè)金融機構(gòu),銀行業(yè)監(jiān)督管理機構(gòu)可以要求其制定整改方案,責(zé)令限期改正,并視情況采取相應(yīng)的監(jiān)管措施。
第八章 附則
第五十二條(與具體風(fēng)險監(jiān)管要求的關(guān)系)各類具體風(fēng)險的監(jiān)管要求按照銀行業(yè)監(jiān)督管理機構(gòu)的有關(guān)規(guī)制執(zhí)行。第五十三條(參照執(zhí)行)經(jīng)銀行業(yè)監(jiān)督管理機構(gòu)批準(zhǔn)設(shè)立的其他金融機構(gòu)參照本指引執(zhí)行。
第五十四條(施行時間)本指引自2016年 月 日起施行。本指引實施前發(fā)布的有關(guān)規(guī)范性文件如與本指引不一致的,按照本指引執(zhí)行。[1]
解讀一
為提升銀行業(yè)金融機構(gòu)全面風(fēng)險管理水平,引導(dǎo)銀行業(yè)金融機構(gòu)更好服務(wù)實體經(jīng)濟,銀監(jiān)會近日發(fā)布了《銀行業(yè)金融機構(gòu)全面風(fēng)險管理指引》(以下簡稱《指引》)。銀監(jiān)會有關(guān)部門負責(zé)人就《指引》相關(guān)問題回答了記者的提問。
一、《指引》制定的背景是什么?
答:《指引》制定的背景主要有三方面:一是我國銀行業(yè)風(fēng)險管理缺乏統(tǒng)領(lǐng)性規(guī)制。近年來,銀監(jiān)會陸續(xù)制定了各類審慎監(jiān)管規(guī)則,覆蓋了資本管理、信用風(fēng)險、市場風(fēng)險、流動性風(fēng)險、操作風(fēng)險、并表管理等各個領(lǐng)域,比較系統(tǒng),但仍然缺乏一個針對全面風(fēng)險管理的統(tǒng)領(lǐng)性、綜合性規(guī)則。因此,有必要制定關(guān)于全面風(fēng)險管理的審慎規(guī)制,為銀行建立完善的全面風(fēng)險管理體系提供政策依據(jù)和指導(dǎo)。二是銀行業(yè)金融機構(gòu)全面風(fēng)險管理實踐有待完善。我國銀行業(yè)在全面風(fēng)險管理體系建設(shè)上已取得一定的成果,但實踐中仍然存在以下問題有待完善:第一,全面風(fēng)險管理的統(tǒng)籌性和有效性有待提升。第二,中小銀行業(yè)金融機構(gòu)全面風(fēng)險管理體系建設(shè)起步相對較晚,精細化程度有待提高。第三,銀行業(yè)金融機構(gòu)全面風(fēng)險管理成果的應(yīng)用較多基于銀監(jiān)會的監(jiān)管要求,深度和廣度仍有很大的拓展空間。三是國際監(jiān)管改革對風(fēng)險管理提出了新的要求。2008年國際金融危機后,國際組織和各國監(jiān)管機構(gòu)都在積極完善金融機構(gòu)全面風(fēng)險管理相關(guān)制度。2012年,巴塞爾委員會修訂了《有效銀行監(jiān)管核心原則》,完善和細化了原則15“風(fēng)險管理體系”的各項標(biāo)準(zhǔn)。之后,巴塞爾委員會和金融穩(wěn)定理事會針對公司治理、風(fēng)險偏好、風(fēng)險文化和風(fēng)險報告等全面風(fēng)險管理要素陸續(xù)發(fā)布了一系列政策文件,提出了更具體的要求。《指引》的制定既是積極適應(yīng)國際監(jiān)管改革新要求的結(jié)果,又有助于提升我國銀行業(yè)風(fēng)險管理水平。
二、《指引》制定的主要思路是什么?
答:《指引》的起草主要基于以下思路:一是形成系統(tǒng)化的全面風(fēng)險管理規(guī)制。二是提出風(fēng)險管理的統(tǒng)領(lǐng)性框架,強化全面性和關(guān)聯(lián)性視角。三是提高可操作性,提供全面風(fēng)險管理和監(jiān)管指南。四是引入《核心原則》最低標(biāo)準(zhǔn),反映國際監(jiān)管改革最新成果。五是充分考慮各類機構(gòu)的差異化情況。六是注重與已有規(guī)制的銜接。
三、《指引》對全面風(fēng)險管理有哪些原則性規(guī)定?
答:《指引》對銀行業(yè)金融機構(gòu)全面風(fēng)險管理提出四點管理原則:一是匹配性原則。全面風(fēng)險管理體系應(yīng)當(dāng)與風(fēng)險狀況和系統(tǒng)重要性等相適應(yīng),并根據(jù)環(huán)境變化進行調(diào)整。二是全覆蓋原則。全面風(fēng)險管理應(yīng)當(dāng)覆蓋各個業(yè)務(wù)條線,包括本外幣、表內(nèi)外、境內(nèi)外業(yè)務(wù);覆蓋所有分支機構(gòu)、附屬機構(gòu),部門、崗位和人員;覆蓋所有風(fēng)險種類和不同風(fēng)險之間的相互影響;貫穿決策、執(zhí)行和監(jiān)督全部管理環(huán)節(jié)。三是獨立性原則。銀行業(yè)金融機構(gòu)應(yīng)當(dāng)建立獨立的全面風(fēng)險管理組織架構(gòu),賦予風(fēng)險管理條線足夠的授權(quán)、人力資源及其他資源配置,建立科學(xué)合理的報告渠道,與業(yè)務(wù)條線之間形成相互制衡的運行機制。四是有效性原則。銀行業(yè)金融機構(gòu)應(yīng)當(dāng)將全面風(fēng)險管理的結(jié)果應(yīng)用于經(jīng)營管理,根據(jù)風(fēng)險狀況、市場和宏觀經(jīng)濟情況評估資本和流動性的充足性,有效抵御所承擔(dān)的總體風(fēng)險和各類風(fēng)險。
四、《指引》對全面風(fēng)險管理提出哪些主要要求?
答:《指引》提出了銀行業(yè)金融機構(gòu)全面風(fēng)險管理體系的五個主要要素,包括風(fēng)險治理架構(gòu),風(fēng)險管理策略、風(fēng)險偏好和風(fēng)險限額,風(fēng)險管理政策和程序,管理信息系統(tǒng)和數(shù)據(jù)質(zhì)量控制,內(nèi)部控制和審計體系等。《指引》對以上要素的具體內(nèi)容也進行了規(guī)定。
其中,關(guān)于風(fēng)險偏好,《指引》規(guī)定銀行業(yè)金融機構(gòu)應(yīng)當(dāng)制定書面的風(fēng)險偏好,做到定性指標(biāo)和定量指標(biāo)并重,并提出了風(fēng)險偏好應(yīng)包括的七項具體內(nèi)容。關(guān)于風(fēng)險限額,《指引》提出,銀行業(yè)金融機構(gòu)應(yīng)當(dāng)制定風(fēng)險限額管理的政策和程序,建立風(fēng)險限額設(shè)定、限額調(diào)整、超限額報告和處理制度。同時,在風(fēng)險限額臨近監(jiān)管指標(biāo)限額時,銀行業(yè)金融機構(gòu)應(yīng)當(dāng)啟動相應(yīng)的糾正措施和報告程序,采取必要的風(fēng)險分散措施,并向銀行業(yè)監(jiān)督管理機構(gòu)報告。
五、《指引》對全面風(fēng)險管理的責(zé)任主體提出哪些要求?
答:《指引》采用了風(fēng)險管理“三道防線”的理念,強調(diào)銀行業(yè)金融機構(gòu)董事會承擔(dān)全面風(fēng)險管理的最終責(zé)任。銀行業(yè)金融機構(gòu)監(jiān)事會承擔(dān)全面風(fēng)險管理的監(jiān)督責(zé)任,負責(zé)監(jiān)督檢查董事會和高級管理層在風(fēng)險管理方面的履職盡責(zé)情況并督促整改。銀行業(yè)金融機構(gòu)應(yīng)當(dāng)設(shè)立或指定部門負責(zé)全面風(fēng)險管理,牽頭履行全面風(fēng)險的日常管理。銀行業(yè)金融機構(gòu)各業(yè)務(wù)經(jīng)營條線承擔(dān)風(fēng)險管理的直接責(zé)任。
六、《指引》是否充分考慮各類機構(gòu)的差異性?
答:《指引》定位于為銀行業(yè)金融機構(gòu)完善全面風(fēng)險管理體系提供系統(tǒng)性指導(dǎo)框架。在此基礎(chǔ)上,《指引》充分考慮了各類銀行業(yè)金融機構(gòu)的差異化情況。一是區(qū)分適用和參照執(zhí)行。適用范圍明確為我國境內(nèi)設(shè)立的銀行業(yè)金融機構(gòu),經(jīng)銀行業(yè)監(jiān)督管理機構(gòu)批準(zhǔn)設(shè)立的其他金融機構(gòu)參照本指引執(zhí)行。二是明確匹配性原則。考慮到各類機構(gòu)特點的差異性,《指引》明確提出全面風(fēng)險管理體系應(yīng)當(dāng)與風(fēng)險狀況和系統(tǒng)重要性等相匹配,并根據(jù)環(huán)境變化進行調(diào)整。三是部分條款增加了適用的前提條件。如對規(guī)模較大或業(yè)務(wù)復(fù)雜的銀行業(yè)金融機構(gòu)提出設(shè)立風(fēng)險總監(jiān)(首席風(fēng)險官)的要求。[2]
解讀二
銀行業(yè)金融機構(gòu)全面風(fēng)險管理指引[1]
中國銀監(jiān)會就《銀行業(yè)金融機構(gòu)全面風(fēng)險管理指引(征求意見稿)》公開征求意見 為提升銀行業(yè)金融機構(gòu)全面風(fēng)險管理水平,中國銀監(jiān)會起草了《銀行業(yè)金融機構(gòu)全面風(fēng)險管理指引(征求意見稿)》(以下簡稱《指引》),現(xiàn)向社會公開征求意見。銀監(jiān)會將根據(jù)各界反饋意見,進一步修改完善《指引》,適時發(fā)布。
近年來,為加強和規(guī)范商業(yè)銀行風(fēng)險管理,銀監(jiān)會借鑒國際金融監(jiān)管改革成果,緊密結(jié)合我國銀行業(yè)實際,陸續(xù)制定了各類審慎監(jiān)管規(guī)則,覆蓋了資本管理、信用風(fēng)險、市場風(fēng)險、流動性風(fēng)險、操作風(fēng)險、并表管理等各個領(lǐng)域,初步建立起一套較為完整的風(fēng)險管理規(guī)制體系。在此基礎(chǔ)上,銀監(jiān)會從現(xiàn)有規(guī)則中梳理提煉出共性要素,同時參照巴塞爾銀行委員會《有效銀行監(jiān)管核心原則》的基本要求,借鑒國際經(jīng)驗,起草了《指引》,形成了我國銀行業(yè)全面風(fēng)險管理的統(tǒng)領(lǐng)性、綜合性規(guī)則,引導(dǎo)銀行業(yè)樹立全面風(fēng)險管理意識,建立穩(wěn)健的風(fēng)險文化,健全風(fēng)險管理治理架構(gòu)和要素,完善全面風(fēng)險管理體系,持續(xù)提高風(fēng)險管理水平。
《指引》共8章54條,包括總則,風(fēng)險治理架構(gòu),風(fēng)險管理策略、風(fēng)險偏好和風(fēng)險限額,風(fēng)險管理政策和程序,管理信息系統(tǒng)和數(shù)據(jù)質(zhì)量,內(nèi)部控制和審計,監(jiān)督管理及附則,強調(diào)銀行業(yè)金融機構(gòu)按照匹配性、全覆蓋、獨立性和有效性的原則,建立健全全面風(fēng)險管理體系,并加強外部監(jiān)管。
第三篇:銀行業(yè)金融機構(gòu)信息科技外包風(fēng)險監(jiān)管指引
中國銀行業(yè)監(jiān)督管理委員會
銀監(jiān)發(fā)[2013]5號
中國銀監(jiān)會關(guān)于印發(fā)銀行業(yè)金融機構(gòu)信息科技外
包風(fēng)險監(jiān)管指引的通知
各銀監(jiān)局,各政策性銀行、國有商業(yè)銀行、股份制商業(yè)銀行、金融資產(chǎn)管理公司,郵儲銀行,各省級農(nóng)村信用聯(lián)社,銀監(jiān)會直接監(jiān)管的信托公司、企業(yè)集團財務(wù)公司、金融租賃公司:
現(xiàn)將《銀行業(yè)金融機構(gòu)信息科技外包風(fēng)險監(jiān)管指引》印發(fā)給你們,請遵照執(zhí)行。
2013年2月16日
銀行業(yè)金融機構(gòu)信息科技外包風(fēng)險監(jiān)管指引
第一章 總則
第一條
為規(guī)范銀行業(yè)金融機構(gòu)的信息科技外包活動,降低信息科技外包風(fēng)險,根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》等法律法規(guī),制定本指引。
第二條
在中華人民共和國境內(nèi)設(shè)立的政策性銀行、商業(yè)銀行、農(nóng)村合作銀行、省(自治區(qū))農(nóng)村信用社聯(lián)合社適用本指引。銀監(jiān)會監(jiān)管的其他金融機構(gòu)參照本指引執(zhí)行。第三條
本指引所稱信息科技外包是指銀行業(yè)金融機構(gòu)將原本由自身負責(zé)處理的信息科技活動委托給服務(wù)提供商進行處理的行為,包含項目外包、人力資源外包等形式。原則上包括以下類型:
(一)研發(fā)咨詢類外包:科技管理及科技治理等咨詢設(shè)計外包,規(guī)劃、需求、系統(tǒng)開發(fā)、測試外包;
(二)系統(tǒng)運行維護類外包:包括數(shù)據(jù)中心(災(zāi)備中心)、機房配套設(shè)施、網(wǎng)絡(luò)、系統(tǒng)的運維外包,自助設(shè)備、POS機等遠程終端及辦公設(shè)備的運維外包;
(三)業(yè)務(wù)外包中的信息科技活動:市場拓展、業(yè)務(wù)操作、企業(yè)管理、資產(chǎn)處臵等外包中的系統(tǒng)開發(fā)、運行維護和數(shù)據(jù)處理活動。
第四條
本指引所稱關(guān)聯(lián)外包是指服務(wù)提供商為銀行業(yè)金融機構(gòu)的母公司或其所屬集團子公司、關(guān)聯(lián)公司或附屬機構(gòu)提供信息科技外包。
第五條
信息科技外包可能產(chǎn)生如下風(fēng)險,并導(dǎo)致銀行業(yè)金融機構(gòu)的戰(zhàn)略、聲譽、合規(guī)風(fēng)險:
(一)科技能力喪失:銀行業(yè)金融機構(gòu)過度依賴外部資源導(dǎo)致失去科技控制及創(chuàng)新能力,影響業(yè)務(wù)創(chuàng)新與發(fā)展;
(二)業(yè)務(wù)中斷:支持業(yè)務(wù)運營的外包服務(wù)無法持續(xù)提供導(dǎo)致業(yè)務(wù)中斷;
(三)信息泄露:包含客戶信息在內(nèi)的銀行業(yè)金融機構(gòu)非公開數(shù)據(jù)被服務(wù)提供商非法獲得或泄露;
(四)服務(wù)水平下降:由于外包服務(wù)質(zhì)量問題或內(nèi)外部協(xié)作效率低下,使得銀行業(yè)金融機構(gòu)信息科技服務(wù)水平下降。
第六條
本指引所稱機構(gòu)集中度風(fēng)險是指銀行業(yè)金融機構(gòu)將信息科技外包服務(wù)集中交由少量服務(wù)提供商承接而產(chǎn)生的風(fēng)險,該風(fēng)險可能造成集中性的服務(wù)中斷、質(zhì)量下降、安全事件等。
第七條
本指引所稱同業(yè)托管機構(gòu)是指作為外包服務(wù)提供商為其他同行業(yè)金融機構(gòu)提供信息科技外包服務(wù)的銀行業(yè)金融機構(gòu)。
第八條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)將信息科技外包管理納入全面風(fēng)險管理體系,建立與本機構(gòu)信息科技戰(zhàn)略目標(biāo)相適應(yīng)的外包管理體系,控制或降低由于外包而引發(fā)的風(fēng)險。
第九條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)建立信息科技外包管理組織架構(gòu),制定外包管理戰(zhàn)略,定期進行外包風(fēng)險評估,通過服務(wù)提供商準(zhǔn)入、評價、退出等手段建立及維護符合自身戰(zhàn)略目標(biāo)的供應(yīng)商關(guān)系管理策略。
第十條
銀行業(yè)金融機構(gòu)在實施信息科技外包時應(yīng)當(dāng)堅持以下原則:
(一)以不妨礙核心能力建設(shè)、積極掌握關(guān)鍵技術(shù)為導(dǎo)向;
(二)保持外包風(fēng)險、成本和效益的平衡;
(三)強調(diào)外包風(fēng)險的事前控制,保持管控力度;
(四)根據(jù)外包管理及技術(shù)發(fā)展趨勢,持續(xù)改進外包策略和措施。
第十一條
銀行業(yè)金融機構(gòu)在實施信息科技外包時,不得將信息科技管理責(zé)任外包。
第十二條
對于不涉及銀行客戶及內(nèi)部信息轉(zhuǎn)移的信息科技產(chǎn)品采購、維保,及通訊線路租用、支付或清算系統(tǒng)接入等信息科技公共基礎(chǔ)設(shè)施服務(wù),銀行業(yè)金融機構(gòu)應(yīng)當(dāng)充分評估其信息科技風(fēng)險,按照本指引第五章要求進行管理。
第二章 外包管理組織架構(gòu)
第十三條
銀行業(yè)金融機構(gòu)董事會及高級管理層應(yīng)當(dāng)嚴格落實信息科技外包風(fēng)險管理的相關(guān)職責(zé), 明確信息科技外包風(fēng)險管理的主管部門,制定并審批信息科技外包戰(zhàn)略,審議信息科技外包管理流程及制度,督促并監(jiān)控信息科技外包風(fēng)險管理效果。
第十四條
信息科技外包風(fēng)險主管部門的主要職責(zé)包括:
(一)對外包風(fēng)險進行識別、評估與風(fēng)險提示;
(二)監(jiān)督、評價外包管理工作,并督促外包風(fēng)險管理的持續(xù)改善;
(三)向高級管理層定期匯報信息科技外包活動相關(guān)風(fēng)險管理情況;
(四)董事會或高級管理層確定的其他信息科技外包風(fēng)險管理職責(zé)。
第十五條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)在信息科技管理部門或信息科技外包活動執(zhí)行部門內(nèi)建立信息科技外包管理執(zhí)行團隊,并配備足夠人員履行以下職責(zé):
(一)實施信息科技外包戰(zhàn)略;
(二)制定并執(zhí)行信息科技外包管理制度與流程;
(三)執(zhí)行供應(yīng)商準(zhǔn)入、評價、退出管理,建立并維護供應(yīng)商關(guān)系管理策略;
(四)制定保障外包服務(wù)持續(xù)性的應(yīng)急管理方案,并組織實施定期演練;
(五)對外包過程中的各項管理活動進行監(jiān)控及分析,定期向信息科技及外包風(fēng)險管理主管部門報告外包活動情況。
第三章 信息科技外包戰(zhàn)略及風(fēng)險管理
第一節(jié) 信息科技外包戰(zhàn)略
第十六條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)以提升信息科技隊伍能力,提高科技管理及創(chuàng)新水平,掌握信息科技核心技能為目標(biāo),基于信息科技戰(zhàn)略、外包市場環(huán)境、自身風(fēng)險控制能力和風(fēng)險偏好制定信息科技外包戰(zhàn)略,包括:不能外包的職能、資源能力建設(shè)方案、供應(yīng)商關(guān)系管理策略和外包分級管理策略。
第十七條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)根據(jù)自身信息科技戰(zhàn)略明確不能外包的職能。涉及戰(zhàn)略管理、風(fēng)險管理、內(nèi)部審計及其他有關(guān)信息科技核心競爭力的職能不得外包。第十八條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)根據(jù)外包戰(zhàn)略制定資源、能力建設(shè)方案,通過補充人員、提升技能、知識轉(zhuǎn)移等方式,有針對性地獲取或提升管理及技術(shù)能力,降低對服務(wù)提供商的依賴。
第十九條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)建立與自身規(guī)模、市場地位相適應(yīng)的供應(yīng)商關(guān)系管理策略。通過準(zhǔn)入和退出機制合理管控各類高風(fēng)險服務(wù)提供商的數(shù)量,實現(xiàn)以下目標(biāo):防范行業(yè)壟斷和機構(gòu)集中度風(fēng)險,通過引入適當(dāng)?shù)母偁幵诮档筒少彸杀镜耐瑫r提高服務(wù)質(zhì)量,合理管控服務(wù)提供商的數(shù)量從而降低風(fēng)險及管理成本等。
第二十條
銀行業(yè)金融機構(gòu)可以按照外包服務(wù)性質(zhì)和重要性程度對服務(wù)提供商進行分級管理,對不同級別的服務(wù)提供商采取差異化的管控措施,在有效管理重要風(fēng)險的前提下降低管理成本。
第二十一條
銀行業(yè)金融機構(gòu)要同母公司或集團公司協(xié)同做好外包服務(wù)及服務(wù)提供商的管理工作,但應(yīng)當(dāng)保持關(guān)聯(lián)外包有關(guān)決策的獨立性,避免因關(guān)聯(lián)關(guān)系而降低外包活動的風(fēng)險控制水平。
第二節(jié) 信息科技外包風(fēng)險管理
第二十二條
銀行業(yè)金融機構(gòu)信息科技外包風(fēng)險管理部門應(yīng)當(dāng)至少每年開展一次全面的外包風(fēng)險管理評估,保持評估的獨立性,并向高級管理層提交評估報告。評估內(nèi)容包括:信息科技外包戰(zhàn)略執(zhí)行情況、外包信息安全、機構(gòu)集中度、服務(wù)連續(xù)性、服務(wù)質(zhì)量、政策及市場變化對外包服務(wù)的影響分析等。
第二十三條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)對重要的外包服務(wù)提供商進行定期的風(fēng)險評估,保持評估的獨立性。至少在三年內(nèi)覆蓋所有重要的服務(wù)提供商。評估內(nèi)容包括:服務(wù)提供商合規(guī)情況、服務(wù)的執(zhí)行效果等,評估結(jié)果應(yīng)當(dāng)作為服務(wù)提供商準(zhǔn)入及退出的重要依據(jù)。
第二十四條
銀行業(yè)金融機構(gòu)內(nèi)部審計部門應(yīng)當(dāng)定期開展信息科技外包風(fēng)險管理審計工作,至少每三年對重要的外包服務(wù)活動進行一次全面審計。發(fā)生外包風(fēng)險事件后應(yīng)當(dāng)及時開展專項審計。
第四章 信息科技外包管理
第一節(jié) 外包風(fēng)險評估及準(zhǔn)入
第二十五條
外包項目立項前,銀行業(yè)金融機構(gòu)應(yīng)當(dāng)審慎檢查項目與信息科技外包戰(zhàn)略的一致性,根據(jù)項目內(nèi)容、范圍、性質(zhì)對其進行風(fēng)險識別和評估,制定相應(yīng)的風(fēng)險處臵措施,不因外包活動的引入而增加整體剩余風(fēng)險。重大外包項目應(yīng)向董事會、高管層報告。
第二十六條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)根據(jù)供應(yīng)商關(guān)系管理策略,結(jié)合風(fēng)險評估結(jié)果及服務(wù)提供商的準(zhǔn)入標(biāo)準(zhǔn),對備選服務(wù)提供商進行初步篩選,防范引入高機構(gòu)集中度風(fēng)險特點的服務(wù)提供商、或引入增加整體風(fēng)險的服務(wù)提供商。
第二十七條
對于外包服務(wù)提供商為同業(yè)托管機構(gòu)的情況,銀行業(yè)金融機構(gòu)可參照本節(jié)內(nèi)容對其進行管理。
第二節(jié) 服務(wù)提供商盡職調(diào)查
第二十八條
對重要的服務(wù)提供商,銀行業(yè)金融機構(gòu)在與其簽訂合同前應(yīng)當(dāng)深入開展盡職調(diào)查,必要時可聘請第三方機構(gòu)協(xié)助調(diào)查。
第二十九條
銀行業(yè)金融機構(gòu)在盡職調(diào)查時應(yīng)當(dāng)關(guān)注服務(wù)提供商的技術(shù)和行業(yè)經(jīng)驗,包括但不限于:服務(wù)能力和支持技術(shù)、服務(wù)經(jīng)驗、服務(wù)人員技能、市場評價、監(jiān)管評價等。
第三十條
銀行業(yè)金融機構(gòu)在盡職調(diào)查時應(yīng)當(dāng)關(guān)注服務(wù)提供商的內(nèi)部控制和管理能力,包括但不限于:內(nèi)部控制機制和管理流程的完善程度、內(nèi)部控制技術(shù)和工具等。
第三十一條
銀行業(yè)金融機構(gòu)在盡職調(diào)查時應(yīng)當(dāng)關(guān)注服務(wù)提供商的持續(xù)經(jīng)營狀況,包括但不限于:從業(yè)時間、市場地位及發(fā)展趨勢、資金的安全性、近期盈利情況等。
第三十二條
對于關(guān)聯(lián)外包,銀行業(yè)金融機構(gòu)不得因關(guān)聯(lián)關(guān)系而降低對服務(wù)提供商的要求,應(yīng)當(dāng)在盡職調(diào)查階段詳細分析服務(wù)提供商技術(shù)、內(nèi)控和管理水平,確認其有足夠能力實施外包
服務(wù)、處理突發(fā)事件等。
第三十三條
對于外包服務(wù)提供商為同業(yè)托管機構(gòu)的情況,銀行業(yè)金融機構(gòu)可參照本節(jié)內(nèi)容對其進行管理。
第三節(jié) 外包服務(wù)合同及要求
第三十四條
銀行業(yè)金融機構(gòu)在實施外包服務(wù)項目前,應(yīng)當(dāng)與服務(wù)提供商簽訂服務(wù)合同。合同應(yīng)當(dāng)根據(jù)外包服務(wù)需求、風(fēng)險評估及盡職調(diào)查結(jié)果確定詳細程度和重點。
第三十五條
銀行業(yè)金融機構(gòu)在合同或協(xié)議中應(yīng)當(dāng)明確以下內(nèi)容,包括但不限于:
(一)服務(wù)范圍、服務(wù)內(nèi)容、工作時限及安排、責(zé)任分配、交付物要求以及后續(xù)合作中的相關(guān)限定條件;
(二)合規(guī)與內(nèi)控要求,對法律法規(guī)及銀行業(yè)金融機構(gòu)內(nèi)部管理制度的遵從要求、監(jiān)管政策的通報貫徹機制、服務(wù)提供商的內(nèi)控措施;
(三)服務(wù)連續(xù)性要求,服務(wù)提供商的服務(wù)連續(xù)性管理目標(biāo)應(yīng)當(dāng)滿足銀行業(yè)金融機構(gòu)業(yè)務(wù)連續(xù)性目標(biāo)要求;
(四)銀行業(yè)金融機構(gòu)監(jiān)控和檢查的權(quán)利、頻率,服務(wù)提供商配合其內(nèi)、外部審計機構(gòu)檢查,及配合銀行業(yè)監(jiān)管機構(gòu)檢查的責(zé)任;
(五)政策或環(huán)境變化因素等在內(nèi)的合同變更或終止的觸發(fā)條件,外包服務(wù)提供商在過渡期間應(yīng)該履行的主要職責(zé)及合同變更或終止的過渡安排,包括信息、資料和設(shè)施的交接處臵等過渡期間相關(guān)服務(wù)的安排;
(六)外包服務(wù)過程中產(chǎn)生、加工、交互的信息和知識產(chǎn)權(quán)的歸屬權(quán)以及允許服務(wù)提供商使用的內(nèi)容及范圍,對服務(wù)提供商使用合法軟、硬件產(chǎn)品的要求;
(七)服務(wù)要求或服務(wù)水平條款,至少應(yīng)當(dāng)包括如下內(nèi)容:外包服務(wù)的關(guān)鍵要素、服務(wù)時效和可用性、數(shù)據(jù)的機密性和完整性要求、變更的控制、安全標(biāo)準(zhǔn)的遵守情況、技術(shù)支持水平等;
(八)爭端解決機制、違約及賠償條款,至少包括如下內(nèi)容:服務(wù)質(zhì)量違約、安全違約、知識產(chǎn)權(quán)違約等,及在各種違約情況下的賠償以及外包爭端的解決機制;
(九)報告條款,至少包括常規(guī)報告內(nèi)容和報告頻度、突發(fā)事件時的報告路線、報告方式及時限要求。
第三十六條 銀行業(yè)金融機構(gòu)應(yīng)當(dāng)在合同或協(xié)議中明確服務(wù)提供商在安全和保密方面的責(zé)任,以及針對安全及保密要求需采取的具體措施。包括但不限于:
(一)禁止服務(wù)提供商在合同允許范圍外使用或者披露銀行業(yè)金融機構(gòu)的信息,以防止信息被非授權(quán)使用;
(二)在合同或協(xié)議中約定服務(wù)提供商對銀行客戶信息安全和銀行客戶權(quán)利的保護條款、事故處理方式及違約賠償條款;
(三)在合同或協(xié)議中約定服務(wù)提供商不得以所服務(wù)的銀行業(yè)金融機構(gòu)名義開展活動;
(四)服務(wù)提供商接觸銀行業(yè)金融機構(gòu)信息時,需滿足安全和保密相關(guān)條款的要求;
(五)在發(fā)生銀監(jiān)會規(guī)定的信息科技突發(fā)事件,或發(fā)生可能引發(fā)系統(tǒng)性、區(qū)域性銀行業(yè)信息科技風(fēng)險類突發(fā)事件時,服務(wù)提供商應(yīng)及時向銀行業(yè)金融機構(gòu)報告,包括事件的影響以及處臵
和糾正措施。
第三十七條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)在合同或協(xié)議中明確要求服務(wù)提供商不得將外包服務(wù)轉(zhuǎn)包和變相轉(zhuǎn)包。在涉及外包服務(wù)分包時應(yīng)當(dāng)要求:
(一)不得將外包服務(wù)的主要業(yè)務(wù)分包;
(二)主服務(wù)提供商對服務(wù)水平負總責(zé),確保分包服務(wù)提供商能夠嚴格遵守外包合同或協(xié)議;
(三)主服務(wù)提供商對分包商進行監(jiān)控,并對分包商的變更履行通知或報告審批義務(wù)。
第四節(jié) 外包服務(wù)安全管理
第三十八條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)制定和落實信息安全管控措施,防范因外包活動引起的信息泄露、信息篡改、信息不可用、非法入侵、物理環(huán)境或設(shè)施遭受破壞等風(fēng)險。具體措施包括:
(一)對外包人員進行信息安全培訓(xùn),提高風(fēng)險管理意識,確保信息安全管控措施在外包服務(wù)過程中有效落實;
(二)明確外包活動需要訪問或使用的信息資產(chǎn),包括場地、辦公設(shè)施、計算機、服務(wù)器、軟件、數(shù)據(jù)、信息、物理訪問控制設(shè)備、賬號、網(wǎng)絡(luò)寬帶、網(wǎng)絡(luò)端口等,按“必需知道”和“最小授權(quán)”原則進行訪問授權(quán);
(三)對重要或核心的信息系統(tǒng)開發(fā)交付物進行源代碼檢查和安全掃描;
(四)定期對服務(wù)提供商進行安全檢查,獲取服務(wù)提供商自評估或第三方評估報告。
第三十九條
銀行業(yè)金融機構(gòu)對關(guān)聯(lián)外包服務(wù)提供商定期進行的安全檢查,不得以服務(wù)提供商的自評估替代,不得因關(guān)聯(lián)關(guān)系而影響檢查的獨立性、客觀性及公正性。
第四十條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)關(guān)注外包服務(wù)引入的新技術(shù)或新應(yīng)用對現(xiàn)有治理模式及安全架構(gòu)的沖擊,及時完善信息安全管控體系,避免因新技術(shù)或應(yīng)用的引入而增加額外的信息安全風(fēng)險。
第五節(jié) 外包服務(wù)監(jiān)控與評價
第四十一條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)對外包服務(wù)過程進行持續(xù)監(jiān)控,要求服務(wù)提供商建立階段性服務(wù)目標(biāo)及任務(wù),并跟蹤任務(wù)的執(zhí)行情況,及時發(fā)現(xiàn)和糾正服務(wù)過程中存在的各類異常情況。
第四十二條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)根據(jù)信息科技外包需求、合同、服務(wù)水平協(xié)議等建立明確的服務(wù)質(zhì)量監(jiān)控指標(biāo),并進行相應(yīng)監(jiān)控。常見指標(biāo)包括:
(一)信息系統(tǒng)和設(shè)備及基礎(chǔ)設(shè)施的可用率、設(shè)備的開機率;
(二)故障次數(shù)、故障解決率、故障的響應(yīng)時間;
(三)服務(wù)的次數(shù)、客戶滿意度;
(四)各階段業(yè)務(wù)需求的及時完成率、程序的缺陷數(shù)、需求變更率;
(五)外包人員工作飽和率、外包人員的考核合格率。
第四十三條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)建立明確的服務(wù)目錄、服務(wù)水平協(xié)議以及服務(wù)水平監(jiān)控評價機制,并確保外包服務(wù)監(jiān)控基礎(chǔ)數(shù)據(jù)和評價結(jié)果的真實性和完整性,且數(shù)據(jù)至少需保存到服務(wù)結(jié)束后一年。
第四十四條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)對服務(wù)提供商的財務(wù)、內(nèi)控及安全管理進行持續(xù)監(jiān)控,關(guān)注其因破產(chǎn)、兼并、關(guān)鍵人員流失、投入不足和管理不善等因素引發(fā)的財務(wù)狀況惡化及內(nèi)部管理混亂等情況,防范外包服務(wù)意外終止或服務(wù)質(zhì)量的急劇下降。
第四十五條
銀行業(yè)金融機構(gòu)監(jiān)控到異常情況時,應(yīng)當(dāng)及時督促服務(wù)提供商采取糾正措施,情節(jié)嚴重的或未及時糾正的,應(yīng)當(dāng)約談服務(wù)提供商高管人員并限期整改。
第四十六條
外包服務(wù)結(jié)束時,銀行業(yè)金融機構(gòu)應(yīng)當(dāng)對服務(wù)提供商進行評價,評價結(jié)果應(yīng)當(dāng)作為服務(wù)提供商準(zhǔn)入的重要參考依據(jù)。
第四十七條
對于關(guān)聯(lián)外包,銀行業(yè)金融機構(gòu)董事會及高級管理層應(yīng)當(dāng)推動母公司或所屬集團將外包服務(wù)質(zhì)量納入對服務(wù)提供商的業(yè)績評價范圍,建立外包服務(wù)重大事件問責(zé)機制。同時,應(yīng)當(dāng)要求服務(wù)提供商在其內(nèi)部建立與外包服務(wù)水平相關(guān)的績效考核機制。
第六節(jié) 外包服務(wù)中斷與終止
第四十八條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)考慮信息科技外包的引入對業(yè)務(wù)連續(xù)性管理的影響,有針對性地完善業(yè)務(wù)連續(xù)性管理計劃,包括但不限于:
(一)識別出重要業(yè)務(wù)所涉及的服務(wù)提供商和資源;
(二)通過合同、協(xié)議等形式明確要求服務(wù)提供商提前準(zhǔn)備并維護好相關(guān)資源;
(三)對服務(wù)提供商業(yè)務(wù)連續(xù)性管理進行監(jiān)控,并評價其管理水平;
(四)在進行業(yè)務(wù)連續(xù)性計劃演練時將相關(guān)的服務(wù)提供商納入演練范圍。
第四十九條
為降低外包突發(fā)事件的可能性及影響,銀行業(yè)金融機構(gòu)應(yīng)當(dāng)事先對業(yè)務(wù)連續(xù)性管理造成重大影響的外包服務(wù)建立風(fēng)險控制、緩釋或轉(zhuǎn)移措施,包括但不限于以下內(nèi)容:
(一)在外包服務(wù)實施過程中持續(xù)收集服務(wù)提供商相關(guān)信息,盡早發(fā)現(xiàn)可能導(dǎo)致服務(wù)中斷的情況;
(二)與服務(wù)提供商事先約定在其服務(wù)質(zhì)量不能滿足合同要求的情況下獲取其外包服務(wù)資源的優(yōu)先權(quán);
(三)要求服務(wù)提供商制定服務(wù)中斷相關(guān)的應(yīng)急處理預(yù)案,如提供備份人員;
(四)對于涉及重要業(yè)務(wù)的外包服務(wù),銀行業(yè)金融機構(gòu)需考慮預(yù)先在其內(nèi)部配臵相應(yīng)的人力資源,掌握必要的技能,以在外包服務(wù)中斷期間自行維持最低限度的服務(wù)能力。
第五十條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)針對重要外包服務(wù)中斷的場景,擬定相應(yīng)的應(yīng)急計劃,并定期進行演練,考慮因素包括但不限于以下內(nèi)容:
(一)事件場景,如重要人員流失導(dǎo)致服務(wù)無法持續(xù),服務(wù)提供商主動退出,因資質(zhì)變更、被收購、兼并或破產(chǎn)等原因?qū)е碌姆?wù)提供商被動退出等;
(二)事件持續(xù)時間和恢復(fù)可能性;
(三)事件影響范圍和可能的應(yīng)急措施;
(四)服務(wù)提供商自行恢復(fù)服務(wù)的可能性和時間;
(五)備選的服務(wù)提供商以及外包服務(wù)遷移方案;
(六)外包服務(wù)過渡給銀行業(yè)金融機構(gòu)自行運作的可能性、時效及資源需求。
第五十一條
對于無法滿足外包服務(wù)要求或發(fā)生重大事件的情況,銀行業(yè)金融機構(gòu)應(yīng)當(dāng)在充分評估其影響及制定退出計劃的前提下,考慮主動要求服務(wù)提供商終止服務(wù),情節(jié)特別嚴重的,可考慮取消準(zhǔn)入資質(zhì),并報監(jiān)管機構(gòu)申請對其備案。對于關(guān)聯(lián)外包,銀行業(yè)金融機構(gòu)不得因為關(guān)聯(lián)關(guān)系而影響服務(wù)提供商退出機制的落實。
第五章 機構(gòu)集中度風(fēng)險管理
第五十二條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)依據(jù)服務(wù)提供商所承接外包服務(wù)的數(shù)量、金額在本行重要信息科技服務(wù)中的占比,服務(wù)提供商所承接外包服務(wù)在銀行業(yè)服務(wù)市場占比情況,識別具有機構(gòu)集中度特點的外包服務(wù)提供商。同時,還應(yīng)識別服務(wù)提供商之間為集團子公司、關(guān)聯(lián)公司或附屬機構(gòu)所產(chǎn)生的機構(gòu)集中度風(fēng)險。
第五十三條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)積極采用分散信息科技外包活動、提高自主研發(fā)運行能力等形式,降低機構(gòu)集中度,減少對外包服務(wù)提供商的依賴。
第五十四條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)要求具有機構(gòu)集中度特點的外包服務(wù)提供商提供充分的證據(jù),證明其內(nèi)部控制和管理能力、持續(xù)運營能力等。
第五十五條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)要求具有機構(gòu)集中度特點的外包服務(wù)提供商為銀行業(yè)金融機構(gòu)配備相對獨立的資源,包括服務(wù)團隊、場地、系統(tǒng)、設(shè)備等;并對資源進行定期檢查,確保資源及時到位。
第五十六條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)要求具有機構(gòu)集中度特點的外包服務(wù)提供商在外包服務(wù)中斷應(yīng)急預(yù)案中,明確外包服務(wù)的優(yōu)先級,并進行服務(wù)中斷應(yīng)急演練,服務(wù)提供商應(yīng)當(dāng)至少參與服務(wù)交接、敏感信息處臵等演練過程。
第五十七條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)特別加強對具有機構(gòu)集中度特點的外包服務(wù)提供商的財務(wù)、內(nèi)控、安全管理情況的持續(xù)監(jiān)控,建立信息收集機制,及時掌握風(fēng)險事件情況,防范外包服務(wù)意外終止或服務(wù)質(zhì)量急劇下降對本機構(gòu)產(chǎn)生大面積影響。
第五十八條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)對具有機構(gòu)集中度特點的外包服務(wù)提供商增強監(jiān)督頻率與力度,必要時可指派專人進行現(xiàn)場監(jiān)督。
第五十九條
對于具有機構(gòu)集中度特點的外包服務(wù)提供商為同業(yè)托管機構(gòu)的情況,銀行業(yè)金融機構(gòu)可參照本節(jié)內(nèi)容對其進行外包管理。
第六章 跨境及非駐場外包管理
第一節(jié) 跨境外包風(fēng)險管理
第六十條
跨境外包是指在境外其他國家或地區(qū)實施的信息科技外包服務(wù)活動。
第六十一條
跨境外包除具有本指引前述風(fēng)險外,還包括由于某一國家或地區(qū)經(jīng)濟、政治、社會變化及事件而產(chǎn)生的國別風(fēng)險,及由于外包實施場地遠離銀行業(yè)金融機構(gòu)而產(chǎn)生的非駐場風(fēng)險。
第六十二條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)充分了解并持續(xù)監(jiān)控服務(wù)提供商所在國家或地區(qū)狀況,通過建立業(yè)務(wù)連續(xù)性計劃防范跨境外包所帶來的國別風(fēng)險。
第六十三條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)關(guān)注國外法律法規(guī)、監(jiān)管要求對其獲取服務(wù)提供商外包管理信息可能造成的影響。實施跨境外包應(yīng)當(dāng)以不妨礙銀行業(yè)金融機構(gòu)有效履行外包服務(wù)監(jiān)控管理職能及監(jiān)管機構(gòu)延伸檢查為前提。
第六十四條
銀行業(yè)金融機構(gòu)在選擇跨境外包時,應(yīng)當(dāng)明確其所在國家或地區(qū)監(jiān)管當(dāng)局已與銀監(jiān)會簽訂諒解備忘錄或雙方認可的其他約定。
第六十五條
銀行業(yè)金融機構(gòu)在選擇跨境外包時,還應(yīng)當(dāng)充分審查評估服務(wù)提供商保護客戶信息的能力,并將其作為選擇服務(wù)提供商的重要指標(biāo)。涉及客戶信息的跨境外包,應(yīng)當(dāng)在符合監(jiān)管法規(guī)政策并獲得客戶授權(quán)的前提下開展。
第六十六條
銀行業(yè)金融機構(gòu)在實施跨境外包時,其合同應(yīng)當(dāng)包括法律選擇和司法管轄權(quán)的約定,明確爭議解決時所適用的法律及司法管轄權(quán),原則上應(yīng)當(dāng)要求服務(wù)提供商依照中國的法律解決糾紛。
第二節(jié) 非駐場外包風(fēng)險管理
第六十七條
非駐場外包是指服務(wù)提供商不在銀行業(yè)金融機構(gòu)現(xiàn)場提供服務(wù)的外包形式。由于銀行業(yè)金融機構(gòu)不能對其內(nèi)部控制及風(fēng)險管理措施進行直接管控,應(yīng)當(dāng)在信息安全、知識產(chǎn)權(quán)保護、質(zhì)量監(jiān)控、法律合規(guī)等方面加強對服務(wù)提供商的風(fēng)險管理。
第六十八條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)建立針對非駐場外包服務(wù)的內(nèi)部控制及風(fēng)險管理要求的最低標(biāo)準(zhǔn),該標(biāo)準(zhǔn)應(yīng)當(dāng)作為選擇服務(wù)提供商的最低要求。
第六十九條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)對重要的非駐場外包服務(wù)進行實地檢查。實地檢查原則上一年不少于一次,檢查結(jié)果作為外包服務(wù)提供商項目考核及準(zhǔn)入的重要指標(biāo)。
第七十條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)加強對外包服務(wù)提供商非駐場外包服務(wù)內(nèi)部控制、質(zhì)量管理、信息安全的有效性評估,評估結(jié)果作為供應(yīng)商準(zhǔn)入的重要依據(jù)。對于高風(fēng)險的服務(wù)提供商,銀行業(yè)金融機構(gòu)應(yīng)當(dāng)責(zé)令其進行限期整改,對于逾期未改的服務(wù)提供商應(yīng)當(dāng)暫停或取消其服務(wù)資格。
第七十一條
對于非駐場外包服務(wù)提供商為同業(yè)托管機構(gòu)的情況,銀行業(yè)金融機構(gòu)可以參照本節(jié)內(nèi)容對其進行外包管理,但同業(yè)托管機構(gòu)須將為其他同行業(yè)金融機構(gòu)提供的信息科技外包服務(wù)視同自身信息科技服務(wù)的重要組成部分,不得區(qū)別對待,降低對自身提供外包服務(wù)的風(fēng)險管控水平。
第七章 銀行業(yè)重點外包服務(wù)機構(gòu)風(fēng)險管理要求
第七十二條
銀行業(yè)重點外包服務(wù)機構(gòu)是指集中為銀行業(yè)金融機構(gòu)提供外包服務(wù),同時滿足下述條件,如其外包服務(wù)失敗可能導(dǎo)致銀行業(yè)大面積數(shù)據(jù)損毀、丟失、泄露或信息系統(tǒng)服務(wù)中斷,造成經(jīng)濟損失的機構(gòu),具體條件如下:
(一)承擔(dān)集中存貯客戶數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包服務(wù);或承擔(dān)銀行業(yè)金融機構(gòu)客戶資料、交易數(shù)據(jù)等敏感信息的批量分析或處理服務(wù);或承擔(dān)銀行業(yè)金融機構(gòu)數(shù)據(jù)中心、災(zāi)備中心機房及基礎(chǔ)設(shè)施外包服務(wù);且上述服務(wù)均為非駐場外包服務(wù)。
(二)服務(wù)的法人銀行業(yè)金融機構(gòu)數(shù)量、服務(wù)合同金額占有本服務(wù)領(lǐng)域市場份額的三分之一以上;或服務(wù)的跨區(qū)域經(jīng)營法人銀行業(yè)金融機構(gòu)數(shù)量達到3家或以上;或服務(wù)的其他類型法人銀行業(yè)金融機構(gòu)數(shù)量達到10家或以上。
第七十三條 銀行業(yè)金融機構(gòu)應(yīng)當(dāng)根據(jù)監(jiān)管機構(gòu)發(fā)布的銀行業(yè)重點外包服務(wù)機構(gòu)風(fēng)險提示,按照如下要求進行管理:
(一)銀行業(yè)重點外包服務(wù)機構(gòu)應(yīng)當(dāng)是中華人民共和國境內(nèi)注冊的獨立法人實體,注冊資本和實收資本不少于1000萬,注冊成立時間不少于3年。
(二)銀行業(yè)重點外包服務(wù)機構(gòu)應(yīng)當(dāng)擁有健全的組織架構(gòu),并針對所提供的外包服務(wù)建立有效的風(fēng)險治理架構(gòu),至少應(yīng)當(dāng)建立由公司高級管理層直接領(lǐng)導(dǎo)、針對銀行業(yè)金融機構(gòu)外包服務(wù)的、專職信息科技風(fēng)險管理團隊,為持續(xù)的外包服務(wù)提供保證。
(三)銀行業(yè)重點外包服務(wù)機構(gòu)應(yīng)當(dāng)建立與所承擔(dān)的服務(wù)范圍和規(guī)模相適應(yīng)的服務(wù)管理體系,建立完善的信息安全、服務(wù)質(zhì)量、服務(wù)持續(xù)性等管理制度體系,擁有有效的檢查、監(jiān)控和考核機制,確保管理規(guī)范有效執(zhí)行。
(四)銀行業(yè)重點外包服務(wù)機構(gòu)應(yīng)當(dāng)具有足夠的技術(shù)能力、人力資源和設(shè)施、環(huán)境,滿足外包服務(wù)的質(zhì)量和安全管理要求。銀行業(yè)重點外包服務(wù)機構(gòu)承擔(dān)的銀行業(yè)金融機構(gòu)外包服務(wù)場地應(yīng)當(dāng)設(shè)臵在中國境內(nèi)。第七十四條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)要求銀行業(yè)重點外包服務(wù)機構(gòu)具有如下相關(guān)領(lǐng)域資質(zhì)認證:(一)具有完善的信息安全管理體系、業(yè)務(wù)連續(xù)性管理體系,并通過業(yè)界公認較為權(quán)威的信息安全管理和業(yè)務(wù)連續(xù)性管理資質(zhì)認證。
(二)具有完善的質(zhì)量管理體系,并通過業(yè)界公認較為權(quán)威的質(zhì)量管理資質(zhì)認證。
(三)承擔(dān)銀行業(yè)金融機構(gòu)數(shù)據(jù)中心、災(zāi)備中心機房及基礎(chǔ)設(shè)施外包服務(wù)的銀行業(yè)重點外包服務(wù)機構(gòu),其機房及基礎(chǔ)設(shè)施應(yīng)當(dāng)達到國家電子計算機機房最高標(biāo)準(zhǔn)。
(四)承擔(dān)集中存貯客戶數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包服務(wù),或承擔(dān)銀行業(yè)金融機構(gòu)客戶資料、交易數(shù)據(jù)等敏感信息的批量分析或處理服務(wù)的銀行業(yè)重點外包服務(wù)機構(gòu),應(yīng)當(dāng)具有完善的運行服務(wù)管理體系,并通過業(yè)界公認較為權(quán)威的運行服務(wù)管理資質(zhì)認證。
第七十五條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)在風(fēng)險管理、審計方面對銀行業(yè)重點外包服務(wù)機構(gòu)提出如下要求:
(一)銀行業(yè)重點外包服務(wù)機構(gòu)應(yīng)當(dāng)具有信息科技風(fēng)險的管理體系,有效識別、監(jiān)測、評估和控制風(fēng)險。銀行業(yè)重點外包服務(wù)機構(gòu)應(yīng)當(dāng)至少每季度向所服務(wù)的銀行業(yè)金融機構(gòu)報送外包風(fēng)險監(jiān)控報告,針對監(jiān)控發(fā)現(xiàn)的潛在風(fēng)險或風(fēng)險事件,及時采取控制或緩釋措施。
(二)銀行業(yè)重點外包服務(wù)機構(gòu)應(yīng)當(dāng)每年聘請獨立的審計機構(gòu),對自身外包服務(wù)進行風(fēng)險評估,風(fēng)險評估報告需報送所服務(wù)的銀行業(yè)金融機構(gòu),并抄送銀監(jiān)會或其派出機構(gòu)。
(三)銀行業(yè)重點外包服務(wù)機構(gòu)應(yīng)當(dāng)對其外包服務(wù)團隊成員進行背景調(diào)查,確保其過往無不良記錄,且應(yīng)當(dāng)與項目成員簽訂保密協(xié)議,并保留至少10年的法律追訴期。
第八章 監(jiān)督管理
第七十六條
銀行業(yè)金融機構(gòu)開展以下信息科技外包服務(wù)時,應(yīng)當(dāng)在外包合同簽訂前二十個工作日向銀監(jiān)會或其派出機構(gòu)報告,針對銀行業(yè)金融機構(gòu)信息科技外包風(fēng)險,銀監(jiān)會及其派出機構(gòu)可以采取風(fēng)險提示、約見談話、監(jiān)管質(zhì)詢等措施。
(一)信息科技工作整體外包;
(二)數(shù)據(jù)中心或災(zāi)備中心整體外包;
(三)涉及將銀行業(yè)金融機構(gòu)客戶資料、交易數(shù)據(jù)等敏感信息交由服務(wù)提供商進行分析或處理的信息科技外包;
(四)以非駐場形式實施的、集中存貯客戶數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包;
(五)關(guān)聯(lián)外包;
(六)涉及跨境的信息科技外包;
(七)其他銀監(jiān)會認為重要的信息科技外包。
第七十七條
銀行業(yè)金融機構(gòu)信息科技外包活動中發(fā)生如下重大事件時,應(yīng)當(dāng)在兩個工作日內(nèi)向銀監(jiān)會或其派出機構(gòu)報告。
(一)銀行業(yè)金融機構(gòu)客戶信息等敏感數(shù)據(jù)泄露;
(二)數(shù)據(jù)損毀或者重要業(yè)務(wù)運營中斷;
(三)由于不可抗力或服務(wù)提供商重大經(jīng)營、財務(wù)問題,導(dǎo)致或可能導(dǎo)致多家銀行業(yè)金融機構(gòu)外包服務(wù)中斷;
(四)其他重大的服務(wù)提供商違法違規(guī)事件;
(五)銀監(jiān)會規(guī)定需要報告的其他重大事件。
第七十八條
銀行業(yè)金融機構(gòu)在開展外包風(fēng)險管理評估工作后,應(yīng)當(dāng)將風(fēng)險評估報告報送銀監(jiān)會或其派出機構(gòu)。
第七十九條
銀監(jiān)會及其派出機構(gòu)對銀行業(yè)金融機構(gòu)信息科技外包工作進行監(jiān)督和檢查,監(jiān)督檢查結(jié)果納入對銀行業(yè)金融機構(gòu)的監(jiān)管評級。
第八十條
對于風(fēng)險較高的信息科技外包服務(wù),銀監(jiān)會或其派出機構(gòu)可以要求銀行業(yè)金融機構(gòu)暫緩、中止該類外包服務(wù),直至銀行業(yè)金融機構(gòu)、外包服務(wù)提供商有效改正。
第八十一條
銀行業(yè)金融機構(gòu)違反本指引規(guī)定的,銀監(jiān)會或其派出機構(gòu)可要求其糾正或采取替代方案,并視情況予以問責(zé)。因管理過失導(dǎo)致外包活動嚴重危及銀行業(yè)金融機構(gòu)穩(wěn)健運行、損害存款人和其他客戶合法權(quán)益的,依法追究銀行業(yè)金融機構(gòu)管理責(zé)任。
第八十二條
銀監(jiān)會實行銀行業(yè)信息科技外包服務(wù)活動風(fēng)險監(jiān)測機制,定期對銀行業(yè)金融機構(gòu)發(fā)布銀行業(yè)重點外包服務(wù)機構(gòu)名單和風(fēng)險提示,防范因高機構(gòu)集中度外包服務(wù)導(dǎo)致的系統(tǒng)性、區(qū)域性信息科技風(fēng)險。第八十三條
銀監(jiān)會應(yīng)當(dāng)對具有機構(gòu)集中度特點的銀行業(yè)金融機構(gòu)信息科技外包服務(wù)進行重點風(fēng)險監(jiān)測、評估,根據(jù)需要,可以要求銀行業(yè)金融機構(gòu)與重點外包服務(wù)機構(gòu)會談,就其外包服務(wù)活動和風(fēng)險的重大事項作出說明。
第八十四條
銀監(jiān)會應(yīng)當(dāng)組織銀行業(yè)金融機構(gòu)實地核查銀行業(yè)重點外包服務(wù)機構(gòu)承擔(dān)的銀行業(yè)金融機構(gòu)信息科技服務(wù)活動,原則上每兩年進行一次,也可以委托其他第三方機構(gòu)審計的形式實施。
第八十五條
銀監(jiān)會可以根據(jù)銀行業(yè)金融機構(gòu)信息科技服務(wù)活動風(fēng)險評估和實地核查結(jié)果,對銀行業(yè)金融機構(gòu)發(fā)出監(jiān)管提示,要求其督促銀行業(yè)重點外包服務(wù)機構(gòu)對風(fēng)險問題實施整改。
第八十六條
銀行業(yè)重點外包服務(wù)機構(gòu)應(yīng)當(dāng)配合銀行業(yè)金融機構(gòu)及銀監(jiān)會的風(fēng)險監(jiān)測和實地核查。
第八十七條
銀監(jiān)會組織相關(guān)銀行業(yè)金融機構(gòu)對銀行業(yè)信息科技外包服務(wù)提供商建立服務(wù)管理記錄,并對其進行風(fēng)險評估和評級。
第八十八條
服務(wù)提供商在外包服務(wù)中存在以下情形的,銀監(jiān)會定期向銀行業(yè)發(fā)布服務(wù)提供商風(fēng)險預(yù)警,公布機構(gòu)名單、服務(wù)信息等,要求銀行業(yè)金融機構(gòu)禁止相關(guān)服務(wù)提供商承擔(dān)銀行業(yè)信息科技外包服務(wù),禁止期至少為兩年。外包服務(wù)提供商兩年內(nèi)仍未整改的,延長其禁止期。
(一)違反國家法律、法規(guī)和監(jiān)管政策,情節(jié)嚴重的;
(二)竊取、泄露銀行業(yè)金融機構(gòu)敏感信息,情節(jié)嚴重的;
(三)因管理過失,多次發(fā)生重要信息系統(tǒng)服務(wù)中斷或數(shù)據(jù)損毀、丟失、泄露事件的;
(四)服務(wù)質(zhì)量低下并給多家銀行業(yè)金融機構(gòu)造成損失,多次提示仍未整改的;
(五)對風(fēng)險監(jiān)測和實地檢查發(fā)現(xiàn)的問題,逾期仍未整改的;
(六)存在其他違法違規(guī)行為,或發(fā)生其他重大信息科技風(fēng)險事件的。
第八十九條
銀監(jiān)會負責(zé)監(jiān)督銀行業(yè)金融機構(gòu)對信息科技外包服務(wù)提供商實施準(zhǔn)入管理。對于存在重大風(fēng)險的外包活動,銀行業(yè)金融機構(gòu)應(yīng)當(dāng)立即評估外包的適當(dāng)性,對信息科技外包服務(wù)提供商進行風(fēng)險預(yù)警提示,要求其進行整改并設(shè)定期限;逾期未整改的,禁止其承擔(dān)信息科技外包服務(wù)。
第九章 附則
第九十條
本指引由銀監(jiān)會負責(zé)解釋、修訂。第九十一條
本指引自公布之日起施行。
第四篇:銀行業(yè)金融機構(gòu)信息系統(tǒng)風(fēng)險管理指引
【發(fā)布單位】中國銀行業(yè)監(jiān)督管理委員會 【發(fā)布文號】
【發(fā)布日期】2006-11-01 【生效日期】2006-11-01 【失效日期】 【所屬類別】政策參考
【文件來源】中國銀行業(yè)監(jiān)督管理委員會
銀行業(yè)金融機構(gòu)信息系統(tǒng)風(fēng)險管理指引
第一章 總 則
第一條第一條 為有效防范銀行業(yè)金融機構(gòu)運用信息系統(tǒng)進行業(yè)務(wù)處理、經(jīng)營管理和內(nèi)部控制過程中產(chǎn)生的風(fēng)險,促進我國銀行業(yè)安全、持續(xù)、穩(wěn)健運行,根據(jù)《 中華人民共和國銀行業(yè)監(jiān)督管理法》、國家信息安全相關(guān)要求和信息系統(tǒng)管理的有關(guān)法律法規(guī),制定本指引。
第二條第二條 本指引適用于銀行業(yè)金融機構(gòu)。
本指引所稱銀行業(yè)金融機構(gòu),是指在中華人民共和國境內(nèi)設(shè)立的商業(yè)銀行、城市信用合作社、農(nóng)村合作銀行、農(nóng)村信用合作社等吸收公眾存款的金融機構(gòu)以及政策性銀行。
在中華人民共和國境內(nèi)設(shè)立的金融資產(chǎn)管理公司、信托投資公司、財務(wù)公司、金融租賃公司、汽車金融公司以及經(jīng)中國銀行業(yè)監(jiān)督管理委員會(以下簡稱銀監(jiān)會)及其派出機構(gòu)批準(zhǔn)設(shè)立的其他金融機構(gòu),適用本指引規(guī)定。
第三條第三條 本指引所稱信息系統(tǒng),是指銀行業(yè)金融機構(gòu)運用現(xiàn)代信息、通信技術(shù)集成的處理業(yè)務(wù)、經(jīng)營管理和內(nèi)部控制的系統(tǒng)。
第四條第四條 本指引所稱信息系統(tǒng)風(fēng)險,是指信息系統(tǒng)在規(guī)劃、研發(fā)、建設(shè)、運行、維護、監(jiān)控及退出過程中由于技術(shù)和管理缺陷產(chǎn)生的操作、法律和聲譽等風(fēng)險。
第五條第五條 信息系統(tǒng)風(fēng)險管理的目標(biāo)是通過建立有效的機制,實現(xiàn)對信息系統(tǒng)風(fēng)險的識別、計量、評價、預(yù)警和控制,推動銀行業(yè)金融機構(gòu)業(yè)務(wù)創(chuàng)新,提高信息化水平,增強核心競爭力和可持續(xù)發(fā)展能力。
第二章 機構(gòu)職責(zé)
第六條第六條 銀行業(yè)金融機構(gòu)應(yīng)建立有效的信息系統(tǒng)風(fēng)險管理架構(gòu),完善內(nèi)部組織結(jié)構(gòu)和工作機制,防范和控制信息系統(tǒng)風(fēng)險。
第七條第七條 銀行業(yè)金融機構(gòu)應(yīng)認真履行下列信息系統(tǒng)管理職責(zé):
(一)貫徹執(zhí)行國家有關(guān)信息系統(tǒng)管理的法律、法規(guī)和技術(shù)標(biāo)準(zhǔn),落實銀監(jiān)會相關(guān)監(jiān)管要求;
(二)建立有效的信息安全保障體系和內(nèi)部控制規(guī)程,明確信息系統(tǒng)風(fēng)險管理崗位責(zé)任制度,并監(jiān)督落實;
(三)負責(zé)組織對本機構(gòu)信息系統(tǒng)風(fēng)險進行檢查、評估、分析,及時向本機構(gòu)專門委員會和銀監(jiān)會及其派出機構(gòu)報送相關(guān)的管理信息;
(四)及時向銀監(jiān)會及其派出機構(gòu)報告本機構(gòu)發(fā)生的重大信息系統(tǒng)事故或突發(fā)事件,并按有關(guān)預(yù)案快速響應(yīng);
(五)每年經(jīng)董事會或其他決策機構(gòu)審查后向銀監(jiān)會及其派出機構(gòu)報送信息系統(tǒng)風(fēng)險管理的報告;
(六)做好本機構(gòu)信息系統(tǒng)審計工作;
(七)配合銀監(jiān)會及其派出機構(gòu)做好信息系統(tǒng)風(fēng)險監(jiān)督檢查工作,并按照監(jiān)管意見進行整改;
(八)組織本機構(gòu)信息系統(tǒng)從業(yè)人員進行信息系統(tǒng)有關(guān)的業(yè)務(wù)、技術(shù)和安全培訓(xùn);
(九)開展與信息系統(tǒng)風(fēng)險管理相關(guān)的其他工作。
第八條第八條 銀行業(yè)金融機構(gòu)的董事會或其他決策機構(gòu)負責(zé)信息系統(tǒng)的戰(zhàn)略規(guī)劃、重大項目和風(fēng)險監(jiān)督管理;信息科技管理委員會、風(fēng)險管理委員會或其他負責(zé)風(fēng)險監(jiān)督的專業(yè)委員會應(yīng)制定信息系統(tǒng)總體策略,統(tǒng)籌信息系統(tǒng)項目建設(shè),定期評估、報告本機構(gòu)信息系統(tǒng)風(fēng)險狀況,為決策層提供建議,采取相應(yīng)的風(fēng)險控制措施。
第九條第九條 銀行業(yè)金融機構(gòu)法定代表人或主要負責(zé)人是本機構(gòu)信息系統(tǒng)風(fēng)險管理責(zé)任人。
第十條第十條 銀行業(yè)金融機構(gòu)應(yīng)設(shè)立信息科技部門,統(tǒng)一負責(zé)本機構(gòu)信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運行、維護和監(jiān)控,提供日常科技服務(wù)和運行技術(shù)支持;建立或明確專門信息系統(tǒng)風(fēng)險管理部門,建立、健全信息系統(tǒng)風(fēng)險管理規(guī)章、制度,并協(xié)助業(yè)務(wù)部門及信息科技部門嚴格執(zhí)行,提供相關(guān)的監(jiān)管信息;設(shè)立審計部門或?qū)iT審計崗位,建立健全信息系統(tǒng)風(fēng)險審計制度,配備適量的合格人員進行信息系統(tǒng)風(fēng)險審計。
第十一條第十一條 銀行業(yè)金融機構(gòu)從事與信息系統(tǒng)相關(guān)工作的人員應(yīng)符合以下要求:
(一)具備良好的職業(yè)道德,掌握履行信息系統(tǒng)相關(guān)崗位職責(zé)所需的專業(yè)知識和技能;
(二)未經(jīng)崗前培訓(xùn)或培訓(xùn)不合格者不得上崗;經(jīng)考核不適宜的工作人員,應(yīng)及時進行調(diào)整。
第十二條第十二條 銀行業(yè)金融機構(gòu)應(yīng)加強信息系統(tǒng)風(fēng)險管理的專業(yè)隊伍建設(shè),建立人才激勵機制,適應(yīng)信息技術(shù)的發(fā)展。
第十三條第十三條 銀行業(yè)金融機構(gòu)應(yīng)依據(jù)有關(guān)法律法規(guī)及時和規(guī)范地披露信息系統(tǒng)風(fēng)險狀況。
第三章 總體風(fēng)險控制
第十四條第十四條 總體風(fēng)險是指信息系統(tǒng)在策略、制度、機房、軟件、硬件、網(wǎng)絡(luò)、數(shù)據(jù)、文檔等方面影響全局或共有的風(fēng)險。
第十五條第十五條 銀行業(yè)金融機構(gòu)應(yīng)根據(jù)信息系統(tǒng)總體規(guī)劃,制定明確、持續(xù)的風(fēng)險管理策略,按照信息系統(tǒng)的敏感程度對各個集成要素進行分析和評估,并實施有效控制。
第十六條第十六條 銀行業(yè)金融機構(gòu)應(yīng)采取措施防范自然災(zāi)害、運行環(huán)境變化等產(chǎn)生的安全威脅,防止各類突發(fā)事故和惡意攻擊。
第十七條第十七條 銀行業(yè)金融機構(gòu)應(yīng)建立健全信息系統(tǒng)相關(guān)的規(guī)章制度、技術(shù)規(guī)范、操作規(guī)程等;明確與信息系統(tǒng)相關(guān)人員的職責(zé)權(quán)限,建立制約機制,實行最小授權(quán)。
第十八條第十八條 在境外設(shè)立的我國銀行業(yè)金融機構(gòu)或在境內(nèi)設(shè)立的境外銀行業(yè)金融機構(gòu),應(yīng)防范由于境內(nèi)外信息系統(tǒng)監(jiān)管制度差異等造成的跨境風(fēng)險。
第十九條第十九條 銀行業(yè)金融機構(gòu)應(yīng)嚴格執(zhí)行國家信息安全相關(guān)標(biāo)準(zhǔn),參照有關(guān)國際準(zhǔn)則,積極推進信息安全標(biāo)準(zhǔn)化,實行信息安全等級保護。
第二十條第二十條 銀行業(yè)金融機構(gòu)應(yīng)加強對信息系統(tǒng)的評估和測試,及時進行修補和更新,以保證信息系統(tǒng)的安全性、完整性。
第二十一條第二十一條 銀行業(yè)金融機構(gòu)信息系統(tǒng)數(shù)據(jù)中心機房應(yīng)符合國家有關(guān)計算機場地、環(huán)境、供配電等技術(shù)標(biāo)準(zhǔn)。全國性數(shù)據(jù)中心至少應(yīng)達到國家A類機房標(biāo)準(zhǔn),省域數(shù)據(jù)中心至少應(yīng)達到國家B類機房標(biāo)準(zhǔn),省域以下數(shù)據(jù)中心至少應(yīng)達到C類機房標(biāo)準(zhǔn)。數(shù)據(jù)中心機房應(yīng)實行嚴格的門禁管理措施,未經(jīng)授權(quán)不得進入。
第二十二條第二十二條 銀行業(yè)金融機構(gòu)應(yīng)重視知識產(chǎn)權(quán)保護,使用正版軟件,加強軟件版本管理,優(yōu)先使用具有中國自主知識產(chǎn)權(quán)的軟、硬件產(chǎn)品;積極研發(fā)具有自主知識產(chǎn)權(quán)的信息系統(tǒng)和相關(guān)金融產(chǎn)品,并采取有效措施保護本機構(gòu)信息化成果。
第二十三條第二十三條 銀行業(yè)金融機構(gòu)與信息系統(tǒng)相關(guān)的電子設(shè)備的選型、購置、登記、保養(yǎng)、維修、報廢等應(yīng)嚴格執(zhí)行相關(guān)規(guī)程,選用的設(shè)備應(yīng)經(jīng)過技術(shù)論證,測試性能應(yīng)符合國家有關(guān)標(biāo)準(zhǔn)。信息系統(tǒng)所用的服務(wù)器等關(guān)鍵設(shè)備應(yīng)具有較高的可靠性、充足的容量和一定的容錯特性,并配置適當(dāng)?shù)膫淦穫浼?/p>
第二十四條第二十四條 信息系統(tǒng)的網(wǎng)絡(luò)應(yīng)參照相關(guān)的標(biāo)準(zhǔn)和規(guī)范設(shè)計、建設(shè);網(wǎng)絡(luò)設(shè)備應(yīng)兼?zhèn)浼夹g(shù)先進性和產(chǎn)品成熟性;網(wǎng)絡(luò)設(shè)備和線路應(yīng)有冗余備份;嚴格線路租用合同管理,按照業(yè)務(wù)和交易流量要求保證傳輸帶寬;建立完善的網(wǎng)管中心,監(jiān)測和管理通信線路及網(wǎng)絡(luò)設(shè)備,保障網(wǎng)絡(luò)安全穩(wěn)定運行。
第二十五條第二十五條 銀行業(yè)金融機構(gòu)應(yīng)加強網(wǎng)絡(luò)安全管理。生產(chǎn)網(wǎng)絡(luò)與開發(fā)測試網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)應(yīng)實施隔離;加強無線網(wǎng)、互聯(lián)網(wǎng)接入邊界控制;使用內(nèi)容過濾、身份認證、防火墻、病毒防范、入侵檢測、漏洞掃描、數(shù)據(jù)加密等技術(shù)手段,有效降低外部攻擊、信息泄漏等風(fēng)險。
第二十六條第二十六條 銀行業(yè)金融機構(gòu)應(yīng)加強信息系統(tǒng)加密機、密鑰、密碼、加解密程序等安全要素的管理,使用符合國家安全標(biāo)準(zhǔn)的密碼設(shè)備,完善安全要素生成、領(lǐng)取、使用、修改、保管和銷毀等環(huán)節(jié)管理制度。密鑰、密碼應(yīng)定期更改。
第二十七條第二十七條 銀行業(yè)金融機構(gòu)應(yīng)加強數(shù)據(jù)采集、存貯、傳輸、使用、備份、恢復(fù)、抽檢、清理、銷毀等環(huán)節(jié)的有效管理,不得脫離系統(tǒng)采集加工、傳輸、存取數(shù)據(jù);優(yōu)化系統(tǒng)和數(shù)據(jù)庫安全設(shè)置,嚴格按授權(quán)使用系統(tǒng)和數(shù)據(jù)庫,采用適當(dāng)?shù)臄?shù)據(jù)加密技術(shù)以保護敏感數(shù)據(jù)的傳輸和存取,保證數(shù)據(jù)的完整性、保密性。
第二十八條第二十八條 銀行業(yè)金融機構(gòu)應(yīng)對信息系統(tǒng)配置參數(shù)實施嚴格的安全與保密管理,防止非法生成、變更、泄漏、丟失與破壞。根據(jù)敏感程度和用途,確定存取權(quán)限、方式和授權(quán)使用范圍,嚴格審批和登記手續(xù)。
第二十九條第二十九條 銀行業(yè)金融機構(gòu)應(yīng)制定信息系統(tǒng)應(yīng)急預(yù)案,并定期演練、評審和修訂。省域以下數(shù)據(jù)中心至少實現(xiàn)數(shù)據(jù)備份異地保存,省域數(shù)據(jù)中心至少實現(xiàn)異地數(shù)據(jù)實時備份,全國性數(shù)據(jù)中心實現(xiàn)異地災(zāi)備。
第三十條第三十條 銀行業(yè)金融機構(gòu)應(yīng)加強對技術(shù)文檔資料和重要數(shù)據(jù)的備份管理;技術(shù)文檔資料和重要數(shù)據(jù)應(yīng)保留副本并異地存放,按規(guī)定年限保存,調(diào)用時應(yīng)嚴格授權(quán)。信息系統(tǒng)的技術(shù)文檔資料包括:系統(tǒng)環(huán)境說明文件、源程序以及系統(tǒng)研發(fā)、運行、維護過程中形成的各類技術(shù)資料。重要數(shù)據(jù)包括:交易數(shù)據(jù)、賬務(wù)數(shù)據(jù)、客戶數(shù)據(jù),以及產(chǎn)生的報表數(shù)據(jù)等。
第三十一條第三十一條 銀行業(yè)金融機構(gòu)在信息系統(tǒng)可能影響客戶服務(wù)時,應(yīng)以適當(dāng)方式告知客戶。
第四章 研發(fā)風(fēng)險控制
第三十二條第三十二條 研發(fā)風(fēng)險是指信息系統(tǒng)在研發(fā)過程中組織、規(guī)劃、需求、分析、設(shè)計、編程、測試和投產(chǎn)等環(huán)節(jié)產(chǎn)生的風(fēng)險。
第三十三條第三十三條 銀行業(yè)金融機構(gòu)信息系統(tǒng)研發(fā)前應(yīng)成立項目工作小組,重大項目還應(yīng)成立項目領(lǐng)導(dǎo)小組,并指定負責(zé)人。項目領(lǐng)導(dǎo)小組負責(zé)項目的組織、協(xié)調(diào)、檢查、監(jiān)督工作。項目工作小組由業(yè)務(wù)人員、技術(shù)人員和管理人員組成,具體負責(zé)整個項目的開發(fā)工作。
第三十四條第三十四條 項目工作小組人員應(yīng)具備與項目要求相適應(yīng)的業(yè)務(wù)經(jīng)驗與專業(yè)技術(shù)知識,小組負責(zé)人需具備組織領(lǐng)導(dǎo)能力,保證信息系統(tǒng)研發(fā)質(zhì)量和進度。
第三十五條第三十五條 銀行業(yè)金融機構(gòu)業(yè)務(wù)部門根據(jù)本機構(gòu)業(yè)務(wù)發(fā)展戰(zhàn)略,在充分進行市場調(diào)查、產(chǎn)品效益分析的基礎(chǔ)上制定信息系統(tǒng)研發(fā)項目可行性報告。
第三十六條第三十六條 銀行業(yè)金融機構(gòu)業(yè)務(wù)部門編寫項目需求說明書,提出風(fēng)險控制要求,信息科技部門根據(jù)項目需求編制項目功能說明書。
第三十七條第三十七條 銀行業(yè)金融機構(gòu)信息科技部門依據(jù)項目功能說明書分別編寫項目總體技術(shù)框架、項目設(shè)計說明書,設(shè)計和編碼應(yīng)符合項目功能說明書的要求。
第三十八條第三十八條 銀行業(yè)金融機構(gòu)應(yīng)建立獨立的測試環(huán)境,以保證測試的完整性和準(zhǔn)確性。測試至少應(yīng)包括功能測試、安全性測試、壓力測試、驗收測試、適應(yīng)性測試。測試不得直接使用生產(chǎn)數(shù)據(jù)。
第三十九條第三十九條 銀行業(yè)金融機構(gòu)信息科技部門應(yīng)根據(jù)測試結(jié)果修補系統(tǒng)的功能和缺陷,提高系統(tǒng)的整體質(zhì)量。
第四十條第四十條 銀行業(yè)金融機構(gòu)業(yè)務(wù)人員、技術(shù)人員應(yīng)根據(jù)職責(zé)范圍分別編寫操作說明書、技術(shù)應(yīng)急方案、業(yè)務(wù)連續(xù)性計劃、投產(chǎn)計劃、應(yīng)急回退計劃,并進行演練。
第四十一條第四十一條 開發(fā)過程中所涉及的各種文檔資料應(yīng)經(jīng)相關(guān)部門、人員的簽字確認并歸檔保存。
第四十二條第四十二條 項目驗收應(yīng)出具由相關(guān)負責(zé)人簽字的項目驗收報告,驗收不合格不得投產(chǎn)使用。
第五章 運行維護風(fēng)險控制
第四十三條第四十三條 運行維護風(fēng)險是指信息系統(tǒng)在運行與維護過程中操作管理、變更管理、機房管理和事件管理等環(huán)節(jié)產(chǎn)生的風(fēng)險。
第四十四條第四十四條 銀行業(yè)金融機構(gòu)信息系統(tǒng)運行與維護應(yīng)實行職責(zé)分離,運行人員應(yīng)實行專職,不得由其他人員兼任。運行人員應(yīng)按操作規(guī)程巡檢和操作。維護人員應(yīng)按授權(quán)和維護規(guī)程要求對生產(chǎn)狀態(tài)的軟硬件、數(shù)據(jù)進行維護,除應(yīng)急外,其他維護應(yīng)在非工作時間進行。
第四十五條第四十五條 銀行業(yè)金融機構(gòu)信息系統(tǒng)的運行應(yīng)符合以下要求:
(一)制定詳細的運行值班操作表,包括規(guī)定巡檢時間,操作范圍、內(nèi)容、辦法、命令以及負責(zé)人員等信息;
(二)提供常見和簡便的操作菜單或命令,如信息系統(tǒng)的啟動或停止、運行日志的查詢等;
(三)提供機房環(huán)境、設(shè)備使用、網(wǎng)絡(luò)運行、系統(tǒng)運行等監(jiān)控信息;
(四)記錄運行值班過程中所有現(xiàn)象、操作過程等信息。
第四十六條第四十六條 銀行業(yè)金融機構(gòu)信息系統(tǒng)的維護應(yīng)符合以下要求:
(一)除對信息系統(tǒng)設(shè)備和系統(tǒng)環(huán)境的維護外,對軟件或數(shù)據(jù)的維護必須通過特定的應(yīng)用程序進行,添加、刪除和修改數(shù)據(jù)應(yīng)通過柜員終端,不得對數(shù)據(jù)庫進行直接操作;
(二)具備各種詳細的日志信息,包括交易日志和審計日志等,以便維護和審計;
(三)提供維護的統(tǒng)計和報表打印功能。
第四十七條第四十七條 銀行業(yè)金融機構(gòu)信息系統(tǒng)的變更應(yīng)符合以下要求:
(一)制訂嚴密的變更處理流程,明確變更控制中各崗位的職責(zé),并遵循流程實施控制和管理;變更前應(yīng)明確應(yīng)急和回退方案,無授權(quán)不得進行變更操作;
(二)根據(jù)變更需求、變更方案、變更內(nèi)容核實清單等相關(guān)文檔審核變更的正確性、安全性和合法性;
(三)應(yīng)采用軟件工具精確判斷變更的真實位置和內(nèi)容,形成變更內(nèi)容核實清單,實現(xiàn)真實、有效、全面的檢驗;
(四)軟件版本變更后應(yīng)保留初始版本和所有歷史版本,保留所有歷史的變更內(nèi)容核實清單。
第四十八條第四十八條 銀行業(yè)金融機構(gòu)在信息系統(tǒng)投產(chǎn)后一定時期內(nèi),應(yīng)組織對系統(tǒng)的后評價,并根據(jù)評價及時對系統(tǒng)功能進行調(diào)整和優(yōu)化。
第四十九條第四十九條 銀行業(yè)金融機構(gòu)應(yīng)對機房環(huán)境設(shè)施實行日常巡檢,明確信息系統(tǒng)及機房環(huán)境設(shè)施出現(xiàn)故障時的應(yīng)急處理流程和預(yù)案,有實時交易服務(wù)的數(shù)據(jù)中心應(yīng)實行24小時值班。
第五十條第五十條 銀行業(yè)金融機構(gòu)應(yīng)實行事件報告制度,發(fā)生信息系統(tǒng)造成重大經(jīng)濟、聲譽損失和重大影響事件,應(yīng)即時上報并處理,必要時啟動應(yīng)急處理預(yù)案。
第六章 外包風(fēng)險控制
第五十一條第五十一條 外包風(fēng)險是指銀行業(yè)金融機構(gòu)將信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運行、維護、監(jiān)控等委托給業(yè)務(wù)合作伙伴或外部技術(shù)供應(yīng)商時形成的風(fēng)險。
第五十二條第五十二條 銀行業(yè)金融機構(gòu)在進行信息系統(tǒng)外包時,應(yīng)根據(jù)風(fēng)險控制和實際需要,合理確定外包的原則和范圍,認真分析和評估外包存在的潛在風(fēng)險,建立健全有關(guān)規(guī)章制度,制定相應(yīng)的風(fēng)險防范措施。
第五十三條第五十三條 銀行業(yè)金融機構(gòu)應(yīng)建立健全外包承包方評估機制,充分審查、評估承包方的經(jīng)營狀況、財務(wù)實力、誠信歷史、安全資質(zhì)、技術(shù)服務(wù)能力和實際風(fēng)險控制與責(zé)任承擔(dān)水平,并進行必要的盡職調(diào)查。評估工作可委托經(jīng)國家相應(yīng)監(jiān)管部門認定資質(zhì),具有相關(guān)專業(yè)經(jīng)驗的獨立機構(gòu)完成。
第五十四條第五十四條 銀行業(yè)金融機構(gòu)應(yīng)當(dāng)與承包方簽訂書面合同,明確雙方的權(quán)利、義務(wù),并規(guī)定承包方在安全、保密、知識產(chǎn)權(quán)方面的義務(wù)和責(zé)任。
第五十五條第五十五條 銀行業(yè)金融機構(gòu)應(yīng)充分認識外包服務(wù)對信息系統(tǒng)風(fēng)險控制的直接和間接影響,并將其納入總體安全策略和風(fēng)險控制之中。
第五十六條第五十六條 銀行業(yè)金融機構(gòu)應(yīng)建立完整的信息系統(tǒng)外包風(fēng)險評估與監(jiān)測程序,審慎管理外包產(chǎn)生的風(fēng)險,提高本機構(gòu)對外包管理的能力。
第五十七條第五十七條 銀行業(yè)金融機構(gòu)的信息系統(tǒng)外包風(fēng)險管理應(yīng)當(dāng)符合風(fēng)險管理標(biāo)準(zhǔn)和策略,并應(yīng)建立針對外包風(fēng)險的應(yīng)急計劃。
第五十八條第五十八條 銀行業(yè)金融機構(gòu)應(yīng)與外包承包方建立有效的聯(lián)絡(luò)、溝通和信息交流機制,并制定在意外情況下能夠?qū)崿F(xiàn)承包方的順利變更,保證外包服務(wù)不間斷的應(yīng)急預(yù)案。
第五十九條第五十九條 銀行業(yè)金融機構(gòu)將敏感的信息系統(tǒng),以及其他涉及國家秘密、商業(yè)秘密和客戶隱私數(shù)據(jù)的管理與傳遞等內(nèi)容進行外包時,應(yīng)遵守國家有關(guān)法律法規(guī),符合銀監(jiān)會的有關(guān)規(guī)定,經(jīng)過董事會或其他決策機構(gòu)批準(zhǔn),并在實施外包前報銀監(jiān)會及其派出機構(gòu)和法律法規(guī)規(guī)定需要報告的機構(gòu)備案。
第七章 審 計
第六十條第六十條 銀行業(yè)金融機構(gòu)內(nèi)設(shè)審計部門負責(zé)本機構(gòu)信息系統(tǒng)審計,也可聘請經(jīng)國家相應(yīng)監(jiān)管部門認定資質(zhì)的中介機構(gòu)進行信息系統(tǒng)外部審計。
第六十一條第六十一條 信息系統(tǒng)風(fēng)險審計應(yīng)包括:總體風(fēng)險審計、系統(tǒng)審閱和專項風(fēng)險審計。
第六十二條第六十二條 總體風(fēng)險審計是指對本機構(gòu)所有信息系統(tǒng)共有的公共部分進行審計,實施總體風(fēng)險控制。根據(jù)信息系統(tǒng)的總體風(fēng)險狀況確定審計頻率,但至少每3年審計一次。
第六十三條第六十三條 信息系統(tǒng)的系統(tǒng)審閱是指對研發(fā)、運行及退出的全過程進行審計,分投產(chǎn)前與投產(chǎn)后的審閱。
第六十四條第六十四條 投產(chǎn)前的系統(tǒng)審閱是指審計人員采用非現(xiàn)場形式,對信息項目開發(fā)過程中所提交的有關(guān)文檔資料進行審閱,指出其中存在的風(fēng)險,了解是否具有相應(yīng)的控制措施,并提出評價和建議的過程。信息系統(tǒng)投產(chǎn)前的系統(tǒng)審閱應(yīng)關(guān)注信息系統(tǒng)的安全控制、權(quán)限設(shè)置、正確性、連貫性、完整性、可審計性和及時性等內(nèi)容。
投產(chǎn)前的系統(tǒng)審閱重點:
(一)被外界成功攻破的可能性;
(二)在內(nèi)部安全控制方面的設(shè)計漏洞與缺陷;
(三)項目開發(fā)管理方面的問題;
(四)效率與效能;
(五)功能、設(shè)計和工作流程是否符合法律、法規(guī)和內(nèi)部控制方面的規(guī)定并有連續(xù)兼容性;
(六)其他需重點審閱的內(nèi)容。
第六十五條第六十五條 投產(chǎn)前的系統(tǒng)審閱文檔資料包括:
(一)項目可行性報告;
(二)項目需求說明書;
(三)項目功能說明書(包括業(yè)務(wù)與技術(shù)方面存在的風(fēng)險及控制辦法);
(四)項目總體技術(shù)框架;
(五)項目設(shè)計說明書;
(六)項目實施計劃;
(七)與第三方簽訂的外包協(xié)議;
(八)測試計劃及驗收報告;
(九)投產(chǎn)計劃;
(十)項目開發(fā)例會的會議記錄;
(十一)操作手冊;
(十二)其他需審閱的文檔資料。
對于所含內(nèi)容較多的文檔資料,應(yīng)對關(guān)鍵交易的數(shù)據(jù)處理流程、交易接口和其他重要的安全事項進行審閱。
第六十六條第六十六條 投產(chǎn)后的系統(tǒng)審閱是指在信息系統(tǒng)投入生產(chǎn)一段時間后進行的審計,旨在評估對信息系統(tǒng)各項風(fēng)險的控制是否恰當(dāng),能否實現(xiàn)預(yù)定的設(shè)計目標(biāo)。投產(chǎn)后的系統(tǒng)審閱應(yīng)在信息系統(tǒng)投入生產(chǎn)半年后進行,審計報告應(yīng)對被審計的信息系統(tǒng)提出改進或增加風(fēng)險控制、能否繼續(xù)生產(chǎn)等內(nèi)容的審計建議。
第六十七條第六十七條 信息系統(tǒng)專項風(fēng)險審計是指對被審計單位發(fā)生信息安全事故進行的調(diào)查、分析和評估,或原有信息系統(tǒng)進行重大結(jié)構(gòu)調(diào)整的審計,或?qū)徲嫴块T認為需要對信息系統(tǒng)某項專題進行審計。
第六十八條第六十八條 銀行業(yè)金融機構(gòu)信息系統(tǒng)風(fēng)險審計也可以由銀監(jiān)會及其派出機構(gòu)依據(jù)法律、法規(guī)和規(guī)章,委托并授權(quán)有法定資質(zhì)的中介評估機構(gòu)進行。
第六十九條第六十九條 中介機構(gòu)根據(jù)銀監(jiān)會或其派出機構(gòu)委托或授權(quán)對銀行業(yè)金融機構(gòu)進行審計時,應(yīng)出示委托授權(quán)書,并依照委托授權(quán)書上規(guī)定的委托和授權(quán)范圍進行審計。
第七十條第七十條 中介機構(gòu)根據(jù)授權(quán)出具的審計報告經(jīng)銀監(jiān)會及其派出機構(gòu)審閱確定后具有法律效力,被審計金融機構(gòu)應(yīng)對該審計報告在法定時間內(nèi)提出整改意見,并按審計報告中提出的建議進行及時整改。
第七十一條第七十一條 中介機構(gòu)應(yīng)嚴格執(zhí)行法律法規(guī),保守被審計單位的商業(yè)秘密和風(fēng)險信息。審計過程中所有涉及資料的調(diào)閱應(yīng)有交接手續(xù),并不得帶離現(xiàn)場或進行修改、復(fù)制。
第八章 附 則
第七十二條第七十二條 本指引由中國銀行業(yè)監(jiān)督管理委員會負責(zé)解釋、修訂。
第七十三條第七十三條 本指引自頒布之日起施行。
本內(nèi)容來源于政府官方網(wǎng)站,如需引用,請以正式文件為準(zhǔn)。
第五篇:銀行業(yè)金融機構(gòu)信息科技外包風(fēng)險監(jiān)管指引-正式發(fā)文版
銀行業(yè)金融機構(gòu)
信息科技外包風(fēng)險監(jiān)管指引
第一章 總則
第一條
為規(guī)范銀行業(yè)金融機構(gòu)的信息科技外包活動,降低信息科技外包引發(fā)的風(fēng)險,保持信息科技核心能力,促進銀行業(yè)信息科技健康有序發(fā)展,根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》等法律法規(guī),制定本指引。
第二條
在中華人民共和國境內(nèi)設(shè)立的政策性銀行、商業(yè)銀行、農(nóng)村合作銀行、省(自治區(qū))農(nóng)村信用社聯(lián)合社適用本指引。中國銀行業(yè)監(jiān)督管理委員會(以下簡稱中國銀監(jiān)會)監(jiān)管的其他金融機構(gòu)參照本指引執(zhí)行。
第三條
本指引所稱信息科技外包是指銀行業(yè)金融機構(gòu)將原本由自身負責(zé)處理的信息科技活動委托給服務(wù)提供商進行處理的行為,包含項目外包、人力資源外包等形式,原則上包括以下類型:
(一)研發(fā)咨詢類外包:科技管理及IT治理等咨詢設(shè)計外包,規(guī)劃、需求、系統(tǒng)開發(fā)、測試外包;
(二)系統(tǒng)運行維護類外包:包括數(shù)據(jù)中心(災(zāi)備中心)、機房配套設(shè)施、網(wǎng)絡(luò)、系統(tǒng)的運維外包,自助設(shè)備、POS機等遠程終端及辦公設(shè)備的運維外包;
(三)業(yè)務(wù)外包中的信息科技活動:市場拓展、業(yè)務(wù)操作、企業(yè)管理、資產(chǎn)處臵等外包中的系統(tǒng)開發(fā)、運行維護和數(shù)據(jù)處理活動;
第四條
本指引所稱關(guān)聯(lián)外包指服務(wù)提供商為銀行業(yè)金融機構(gòu)的母公司或其所屬集團子公司、關(guān)聯(lián)公司或附屬機構(gòu)的信息科技外包。
第五條
信息科技的外包可能產(chǎn)生如下風(fēng)險,并導(dǎo)致銀行業(yè)金融機構(gòu)的戰(zhàn)略、聲譽、合規(guī)風(fēng)險:
(一)科技能力喪失:銀行業(yè)金融機構(gòu)過度依賴外部資源導(dǎo)致失去科技創(chuàng)新及控制能力,影響業(yè)務(wù)創(chuàng)新與發(fā)展;
(二)業(yè)務(wù)中斷:支持業(yè)務(wù)運營的外包服務(wù)無法持續(xù)提供導(dǎo)致業(yè)務(wù)中斷;
(三)信息泄露:包含客戶信息在內(nèi)的銀行非公開數(shù)據(jù)被服務(wù)提供商非法獲得或泄露;
(四)服務(wù)水平下降:由于外包服務(wù)質(zhì)量問題或內(nèi)外部協(xié)作效率低下,使得銀行業(yè)金融機構(gòu)信息科技服務(wù)水平下降。
第六條
本指引所稱機構(gòu)集中度風(fēng)險是指銀行業(yè)金融機構(gòu)將信息科技外包服務(wù)集中交由少量服務(wù)提供商承接而產(chǎn)生的風(fēng)險,該風(fēng)險可能造成集中性的服務(wù)中斷、質(zhì)量下降、安全事件等。
第七條
本指引所稱同業(yè)托管機構(gòu)是指作為外包服務(wù)提供商為其他同行業(yè)金融機構(gòu)提供信息科技外包服務(wù)的銀行業(yè)金融機構(gòu)。
第八條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)將信息科技外包管理納入全 2 面風(fēng)險管理體系,建立與本機構(gòu)信息科技戰(zhàn)略目標(biāo)相適應(yīng)的外包管理體系,控制或降低由于外包而引發(fā)的風(fēng)險。
第九條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)建立信息科技外包管理組織架構(gòu),制定外包管理戰(zhàn)略,定期進行外包風(fēng)險評估,通過服務(wù)提供商準(zhǔn)入、評價、退出等手段建立及維護符合其戰(zhàn)略目標(biāo)的供應(yīng)商關(guān)系管理策略。
第十條
銀行業(yè)金融機構(gòu)在實施信息科技外包時應(yīng)當(dāng)堅持以下原則:
(四)以不妨礙核心能力建設(shè)、積極掌握關(guān)鍵技術(shù)為導(dǎo)向;
(五)保持外包風(fēng)險、成本和效益的平衡;
(六)強調(diào)外包風(fēng)險的事前控制,保持管控力度;
(七)根據(jù)外包管理及技術(shù)發(fā)展趨勢,持續(xù)改進外包策略和措施。
第十一條
銀行業(yè)金融機構(gòu)在實施信息科技外包時,不得將其信息科技管理責(zé)任外包。
第十二條
對于不涉及銀行客戶及內(nèi)部信息轉(zhuǎn)移的信息科技產(chǎn)品采購、維保,及通訊線路租用、支付或清算系統(tǒng)接入等信息科技公共基礎(chǔ)設(shè)施服務(wù),銀行業(yè)金融機構(gòu)應(yīng)當(dāng)充分評估其信息科技風(fēng)險,按照本指引第五章要求進行管理。
第二章 外包管理組織架構(gòu)
第十三條
銀行業(yè)金融機構(gòu)董事會及高級管理層應(yīng)當(dāng)嚴格落實信息科技外包風(fēng)險管理的相關(guān)職責(zé), 明確信息科技外包風(fēng)險管理的主管部門,制定并審批信息科技外包戰(zhàn)略,審議信息科技外包管理流程及制度,督促并監(jiān)控信息科技外包風(fēng)險管理效果。
第十四條
信息科技外包風(fēng)險主管部門主要職責(zé)包括:
(一)對外包風(fēng)險進行識別、評估與風(fēng)險提示;
(二)監(jiān)督、評價外包管理工作,并督促外包風(fēng)險管理的持續(xù)改善;
(三)向高級管理層定期匯報信息科技外包活動開展相關(guān)風(fēng)險管理情況;
(四)董事會或高級管理層確定的其他信息科技外包風(fēng)險管理職責(zé)。
第十五條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)在信息科技管理部門或信息科技外包活動執(zhí)行部門內(nèi)建立信息科技外包管理執(zhí)行團隊,并配備足夠人員履行以下職責(zé):
(一)實施信息科技外包戰(zhàn)略;
(二)制定并執(zhí)行信息科技外包管理制度與流程;
(三)執(zhí)行供應(yīng)商準(zhǔn)入、評價、退出管理,建立并維護供應(yīng)商關(guān)系管理策略;
(四)制定保障外包服務(wù)持續(xù)性的應(yīng)急管理方案,并組織 4 實施定期演練;
(五)對外包過程中的各項管理活動進行監(jiān)控及分析,定期向信息科技及外包風(fēng)險管理的主管部門報告外包活動情況。
第三章 信息科技外包戰(zhàn)略及風(fēng)險管理
第一節(jié) 信息科技外包戰(zhàn)略
第十六條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)以提升信息科技隊伍能力,提高科技管理及創(chuàng)新水平,掌握信息科技核心技能為目標(biāo)。基于信息科技戰(zhàn)略、外包市場環(huán)境、自身風(fēng)險控制能力和風(fēng)險偏好制定其信息科技外包戰(zhàn)略,包括:不能外包的職能、資源能力建設(shè)方案、供應(yīng)商關(guān)系管理策略和外包分級管理策略。
第十七條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)根據(jù)自身的信息科技戰(zhàn)略明確不能外包的職能。涉及戰(zhàn)略管理、風(fēng)險管理、內(nèi)部審計及其他有關(guān)信息科技核心競爭力的職能不應(yīng)外包。
第十八條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)根據(jù)外包戰(zhàn)略制定資源、能力建設(shè)方案,通過補充人員、提升技能、知識轉(zhuǎn)移等方式,有針對性地獲取或提升管理及技術(shù)能力,降低對服務(wù)提供商的依賴。
第十九條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)建立與自身規(guī)模、市場地位相適應(yīng)的供應(yīng)商關(guān)系管理策略,通過準(zhǔn)入和退出機制控制各類高風(fēng)險服務(wù)提供商的數(shù)量,實現(xiàn)以下目標(biāo):防范行業(yè)壟斷和機構(gòu)集中度風(fēng)險,通過引入適當(dāng)?shù)母偁幵诮档筒少彸杀镜耐瑫r提高服務(wù) 5 質(zhì)量,合理控制服務(wù)提供商的數(shù)量從而降低風(fēng)險及管理成本等。
第二十條
銀行業(yè)金融機構(gòu)可按照外包服務(wù)性質(zhì)和重要性程度對服務(wù)提供商進行分級管理,對不同級別的服務(wù)提供商采取嚴格程度差異化的管控措施,從而達到有效管理重要風(fēng)險的前提下降低管理成本。
第二十一條
對于關(guān)聯(lián)外包,銀行業(yè)金融機構(gòu)應(yīng)當(dāng)保持外包有關(guān)決策的獨立性,要求其母公司或其所屬的集團公司協(xié)同做好外包服務(wù)及服務(wù)提供商的管理工作,避免因關(guān)聯(lián)關(guān)系而降低銀行業(yè)金融機構(gòu)對外包活動的風(fēng)險控制水平。
第二節(jié) 信息科技外包風(fēng)險管理
第二十二條
銀行業(yè)金融機構(gòu)信息科技外包風(fēng)險主管部門應(yīng)當(dāng)至少每年開展一次全面的外包風(fēng)險管理評估,保持評估的獨立性,并向高級管理層提交評估報告。評估內(nèi)容包括:信息科技外包戰(zhàn)略執(zhí)行情況、外包信息安全、機構(gòu)集中度、服務(wù)連續(xù)性、服務(wù)質(zhì)量、政策及市場變化對外包服務(wù)的影響分析等。
第二十三條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)對重要的外包服務(wù)提供商進行定期風(fēng)險評估,保持評估的獨立性。至少在三年內(nèi)覆蓋所有重要的服務(wù)提供商。評估內(nèi)容包括:服務(wù)提供商合規(guī)情況、服務(wù)的執(zhí)行效果等,評估結(jié)果應(yīng)當(dāng)作為服務(wù)提供商準(zhǔn)入及退出的重要依據(jù)。
第二十四條
銀行業(yè)金融機構(gòu)內(nèi)部審計部門應(yīng)當(dāng)定期開展信 6 息科技外包風(fēng)險管理審計工作,至少每三年對重要的外包服務(wù)活動進行一次全面審計。發(fā)生外包風(fēng)險事件后應(yīng)及時開展專項審計。
第四章 信息科技外包管理
第一節(jié)
外包風(fēng)險評估及準(zhǔn)入
第二十五條
外包項目立項前,銀行業(yè)金融機構(gòu)應(yīng)當(dāng)審慎檢查項目與信息科技外包戰(zhàn)略的一致性,應(yīng)當(dāng)根據(jù)項目內(nèi)容、范圍、性質(zhì)對其進行風(fēng)險識別和評估,制定相應(yīng)的風(fēng)險處臵措施,不因外包活動的引入而增加整體剩余風(fēng)險。重大外包項目應(yīng)向董事會、高管層報告。
第二十六條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)根據(jù)供應(yīng)商關(guān)系管理策略,結(jié)合風(fēng)險評估結(jié)果及服務(wù)提供商的準(zhǔn)入標(biāo)準(zhǔn),對備選服務(wù)提供商進行初步篩選,防范引入高機構(gòu)集中度風(fēng)險特點的服務(wù)提供商、或引入增加整體風(fēng)險的服務(wù)提供商。
第二十七條
對于外包服務(wù)提供商為同業(yè)托管機構(gòu)的情況,銀行業(yè)金融機構(gòu)可參照本節(jié)內(nèi)容對其進行管理。
第二節(jié)
服務(wù)提供商盡職調(diào)查
第二十八條
對重要的服務(wù)提供商,銀行業(yè)金融機構(gòu)在與其簽訂合同前應(yīng)當(dāng)深入開展盡職調(diào)查,必要時可聘請第三方機構(gòu)協(xié)助調(diào)查。
第二十九條
銀行業(yè)金融機構(gòu)在盡職調(diào)查時應(yīng)當(dāng)關(guān)注服務(wù)提供商的技術(shù)和行業(yè)經(jīng)驗,包括但不限于:服務(wù)能力和支持技術(shù)、服務(wù)經(jīng)驗、服務(wù)人員技能、市場評價、監(jiān)管評價等。
第三十條
銀行業(yè)金融機構(gòu)在盡職調(diào)查時應(yīng)當(dāng)關(guān)注服務(wù)提供商的內(nèi)部控制和管理能力,包括但不限于:內(nèi)部控制機制和管理流程的完善程度、內(nèi)部控制技術(shù)和工具等。
第三十一條
銀行業(yè)金融機構(gòu)在盡職調(diào)查時應(yīng)當(dāng)關(guān)注服務(wù)提供商的持續(xù)經(jīng)營狀況,包括但不限于:從業(yè)時間、市場地位及發(fā)展趨勢、資金的安全性、近期盈利情況等。
第三十二條
對于關(guān)聯(lián)外包,銀行業(yè)金融機構(gòu)不得因關(guān)聯(lián)關(guān)系而降低對服務(wù)提供商的要求,應(yīng)當(dāng)在盡職調(diào)查階段詳細分析服務(wù)提供商技術(shù)、內(nèi)控和管理水平,確認其有足夠能力實施外包服務(wù)、處理突發(fā)事件等。
第三十三條
對于外包服務(wù)提供商為同業(yè)托管機構(gòu)的情況,銀行業(yè)金融機構(gòu)可參照本節(jié)內(nèi)容對其進行管理。
第三節(jié) 外包服務(wù)合同及要求
第三十四條
銀行業(yè)金融機構(gòu)在實施外包服務(wù)項目前,應(yīng)當(dāng)與服務(wù)提供商簽訂服務(wù)合同。合同應(yīng)當(dāng)根據(jù)外包服務(wù)需求、風(fēng)險評估及盡職調(diào)查結(jié)果確定其詳細程度和重點。
第三十五條
銀行業(yè)金融機構(gòu)在合同或協(xié)議中應(yīng)當(dāng)明確以下內(nèi)容,包括但不限于:
(一)服務(wù)范圍、服務(wù)內(nèi)容、工作時限及安排、責(zé)任分配、交付物要求以及后續(xù)合作中的相關(guān)限定條件;
(二)合規(guī)與內(nèi)控要求,對法律法規(guī)及銀行業(yè)金融機構(gòu)內(nèi)部管理制度的遵從要求、監(jiān)管政策的通報貫徹機制、服務(wù)提供商的內(nèi)控措施;
(三)服務(wù)連續(xù)性要求,服務(wù)提供商的服務(wù)連續(xù)性管理目標(biāo)應(yīng)當(dāng)滿足銀行業(yè)金融機構(gòu)業(yè)務(wù)連續(xù)性目標(biāo)要求;
(四)銀行業(yè)金融機構(gòu)監(jiān)控和檢查的權(quán)力、頻率,服務(wù)提供商配合其內(nèi)、外部審計機構(gòu)檢查,及配合銀行業(yè)金融機構(gòu)接受銀行業(yè)監(jiān)督管理機構(gòu)檢查的責(zé)任;
(五)政策或環(huán)境變化因素等在內(nèi)的合同變更或終止的觸發(fā)條件,外包服務(wù)提供商在過渡期間應(yīng)該履行的主要職責(zé)及合同變更或終止的過渡安排,包括信息、資料和設(shè)施的交接處臵等過渡期間相關(guān)服務(wù)的安排;
(六)外包服務(wù)過程中產(chǎn)生、加工、交互的信息和知識產(chǎn)權(quán)的歸屬權(quán)以及允許服務(wù)提供商使用的內(nèi)容及范圍,對服務(wù)提供商使用合法軟、硬件產(chǎn)品的要求;
(七)服務(wù)要求或服務(wù)水平條款,至少應(yīng)包括如下內(nèi)容:外包服務(wù)的關(guān)鍵要素、服務(wù)時效和可用性、數(shù)據(jù)的機密性和完整性要求、變更的控制、安全標(biāo)準(zhǔn)的遵守情況、技術(shù)支持水平等;
(八)爭端解決機制、違約及賠償條款,至少包括如下內(nèi)容:服務(wù)質(zhì)量違約、安全違約、知識產(chǎn)權(quán)違約等,及在各種違約情況下的賠償以及外包爭端的解決機制;
(九)報告條款,至少包括如下內(nèi)容:常規(guī)報告內(nèi)容和報告頻度、突發(fā)事件時的報告路線、報告方式及時限要求。
第三十六條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)在合同或協(xié)議中明確服務(wù)提供商在安全和保密方面的責(zé)任,以及針對安全及保密要求需采取的具體措施,包括但不限于:
(一)禁止服務(wù)提供商在合同允許范圍外使用或者披露銀行業(yè)金融機構(gòu)的信息,以防止信息被非授權(quán)的使用;
(二)在合同或協(xié)議中約定服務(wù)提供商對銀行客戶信息安全和銀行客戶權(quán)力的保護條款、事故處理方式及違約賠償條款;
(三)在合同或協(xié)議中約定服務(wù)提供商不得以所提供服務(wù)的銀行業(yè)金融機構(gòu)名義開展活動;
(四)服務(wù)提供商接觸銀行業(yè)金融機構(gòu)信息時,需滿足安全和保密相關(guān)條款的要求;
(五)服務(wù)提供商在其發(fā)生信息安全事件時必須及時向銀行業(yè)金融機構(gòu)報告事件的影響以及處臵和糾正措施。
第三十七條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)在合同或協(xié)議中明確要求服務(wù)提供商不得將外包服務(wù)轉(zhuǎn)包和變相轉(zhuǎn)包。在涉及外包服務(wù)分包時應(yīng)當(dāng)要求:
(一)不得將外包服務(wù)的主要業(yè)務(wù)分包;
(二)主服務(wù)提供商對服務(wù)水平負總責(zé),確保分包服務(wù)提供商能夠嚴格遵守外包合同或協(xié)議;
(三)主服務(wù)提供商對分包商進行監(jiān)控,并對分包商的變 10 更履行通知或報告審批義務(wù)。
第四節(jié) 外包服務(wù)安全管理
第三十八條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)制定和落實信息安全管控措施,防范因外包活動引起的信息泄露、信息篡改、信息不可用、非法入侵、物理環(huán)境或設(shè)施遭受破壞等風(fēng)險,具體措施包括:
(一)對外包人員進行信息安全培訓(xùn),提高風(fēng)險管理意識,確保信息安全管控措施在外包服務(wù)過程中有效落實;
(二)明確外包活動需要訪問或使用的信息資產(chǎn),包括場地、辦公設(shè)施、計算機、服務(wù)器、軟件、數(shù)據(jù)、信息、物理訪問控制設(shè)備、賬號、網(wǎng)絡(luò)寬帶、網(wǎng)絡(luò)端口等,按“必需知道“和“最小授權(quán)”原則進行訪問授權(quán);
(三)對重要或核心的信息系統(tǒng)開發(fā)交付物進行源代碼檢查和安全掃描;
(四)定期對服務(wù)提供商進行安全檢查,獲取服務(wù)提供商自評估或第三方評估報告。
第三十九條
銀行業(yè)金融機構(gòu)在對關(guān)聯(lián)外包的服務(wù)提供商進行定期安全檢查時,不得以服務(wù)提供商的自評估來替代,不得因關(guān)聯(lián)關(guān)系而影響檢查的獨立性、客觀性及公正性。
第四十條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)關(guān)注外包服務(wù)引入的新技術(shù)或新應(yīng)用對現(xiàn)有治理模式及安全架構(gòu)的沖擊,及時完善信息安全管控體系,避免因新技術(shù)或應(yīng)用的引入而增加額外的信息安全風(fēng)險。
第五節(jié) 外包服務(wù)監(jiān)控與評價
第四十一條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)對外包服務(wù)過程進行持續(xù)監(jiān)控,要求服務(wù)提供商建立階段性服務(wù)目標(biāo)及任務(wù),并跟蹤任務(wù)的執(zhí)行情況,及時發(fā)現(xiàn)和糾正服務(wù)過程中存在的各類異常情況。
第四十二條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)根據(jù)信息科技的外包需求、合同、服務(wù)水平協(xié)議等建立明確的服務(wù)質(zhì)量監(jiān)控指標(biāo),并進行相應(yīng)的監(jiān)控。常見指標(biāo)包括:
(一)信息系統(tǒng)和設(shè)備及基礎(chǔ)設(shè)施的可用率、設(shè)備的開機率;
(二)故障次數(shù)、故障解決率、故障的響應(yīng)時間;
(三)服務(wù)的次數(shù)、客戶滿意度;
(四)各階段業(yè)務(wù)需求的及時完成率、程序的缺陷數(shù)、需求變更率;
(五)外包人員工作飽和率、外包人員的考核合格率。
第四十三條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)建立明確的服務(wù)目錄,服務(wù)水平協(xié)議以及服務(wù)水平監(jiān)控評價機制,并確保外包服務(wù)監(jiān)控基礎(chǔ)數(shù)據(jù)和評價結(jié)果的真實性和完整性,且數(shù)據(jù)至少需保存到服務(wù)結(jié)束后一年。
第四十四條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)對服務(wù)提供商的財務(wù)、內(nèi)控及安全管理進行持續(xù)監(jiān)控,關(guān)注其因破產(chǎn)、兼并、關(guān)鍵人員 12 流失、投入不足和管理不善等因素引發(fā)的財務(wù)狀況惡化及內(nèi)部管理混亂等情況,防范外包服務(wù)意外終止或服務(wù)質(zhì)量的急劇下降。
第四十五條
銀行業(yè)金融機構(gòu)監(jiān)控到異常情況時,應(yīng)當(dāng)及時督促服務(wù)提供商采取糾正措施,情節(jié)嚴重的或未及時糾正的,應(yīng)約談服務(wù)提供商高管人員并限期整改。
第四十六條
外包服務(wù)結(jié)束時,銀行業(yè)金融機構(gòu)應(yīng)當(dāng)對服務(wù)提供商進行評價,評價結(jié)果應(yīng)當(dāng)作為服務(wù)提供商準(zhǔn)入的重要參考依據(jù)。
第四十七條
對于關(guān)聯(lián)外包,銀行業(yè)金融機構(gòu)董事會及高級管理層應(yīng)當(dāng)推動母公司或其所屬集團將外包服務(wù)質(zhì)量納入對服務(wù)提供商的業(yè)績評價范圍,建立外包服務(wù)重大事件問責(zé)機制。同時,應(yīng)當(dāng)要求服務(wù)提供商在其內(nèi)部建立與外包服務(wù)水平相關(guān)的績效考核機制。
第六節(jié) 外包服務(wù)中斷與終止
第四十八條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)考慮信息科技外包的引入對業(yè)務(wù)連續(xù)性管理的影響,有針對性的完善業(yè)務(wù)連續(xù)性管理計劃,包括但不限于:
(一)識別出重要業(yè)務(wù)所涉及的服務(wù)提供商和資源;
(二)通過合同協(xié)議等形式明確要求服務(wù)提供商提前準(zhǔn)備并維護好相關(guān)資源;
(三)對服務(wù)提供商業(yè)務(wù)連續(xù)性管理進行監(jiān)控,并評價其 13 管理水平;
(四)在進行業(yè)務(wù)連續(xù)性計劃演練時將相關(guān)的服務(wù)提供商納入演練范圍。
第四十九條
為降低外包突發(fā)事件的可能性及影響,銀行業(yè)金融機構(gòu)應(yīng)當(dāng)事先對業(yè)務(wù)連續(xù)性管理造成重大影響的外包服務(wù)建立風(fēng)險控制、緩釋或轉(zhuǎn)移措施,包括但不限于以下內(nèi)容:
(一)在外包服務(wù)實施的過程中持續(xù)收集服務(wù)提供商相關(guān)信息,盡早發(fā)現(xiàn)可能導(dǎo)致服務(wù)中斷的情況;
(二)與服務(wù)提供商事先約定在其服務(wù)質(zhì)量不能滿足合同要求的情況下獲取其外包服務(wù)資源的優(yōu)先權(quán);
(三)要求服務(wù)提供商制定服務(wù)中斷相關(guān)的應(yīng)急處理預(yù)案,如提供備份人員;
(四)對于涉及重要業(yè)務(wù)的外包服務(wù),銀行業(yè)金融機構(gòu)需考慮預(yù)先在其內(nèi)部配臵相應(yīng)的人力資源,掌握必要的技能,以在外包服務(wù)中斷期間自行維持最低限度的服務(wù)能力。
第五十條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)針對重要外包服務(wù)中斷的場景,擬定相應(yīng)的應(yīng)急計劃,并定期進行演練,應(yīng)考慮的因素包括但不限于以下內(nèi)容:
(一)事件場景,如重要人員流失導(dǎo)致服務(wù)無法持續(xù),服務(wù)提供商主動退出,因資質(zhì)變更、被收購、兼并或破產(chǎn)等原因?qū)е碌姆?wù)提供商被動退出等;
(二)事件持續(xù)時間和恢復(fù)可能性;
(三)事件影響范圍和可能的應(yīng)急措施;
(四)服務(wù)提供商自行恢復(fù)服務(wù)的可能性和時間;
(五)備選的服務(wù)提供商以及外包服務(wù)遷移方案;
(六)外包服務(wù)過渡給銀行業(yè)金融機構(gòu)自行運作的可能性、時效及資源需求。
第五十一條
對于無法滿足外包服務(wù)要求或發(fā)生重大事件的情況,銀行業(yè)金融機構(gòu)應(yīng)當(dāng)在充分評估其影響及制定退出計劃的前提下,考慮主動要求服務(wù)提供商終止服務(wù),情節(jié)特別嚴重的,可考慮取消準(zhǔn)入資質(zhì),并報監(jiān)管機構(gòu)申請對其備案。對于關(guān)聯(lián)外包,銀行業(yè)金融機構(gòu)不得因為關(guān)聯(lián)關(guān)系而影響服務(wù)提供商退出機制的落實。
第五章 機構(gòu)集中度風(fēng)險管理
第五十二條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)依據(jù)服務(wù)提供商所承接外包服務(wù)的數(shù)量、金額在本行重要信息科技服務(wù)中的占比,服務(wù)提供商所承接外包服務(wù)在銀行業(yè)服務(wù)市場占比情況,識別具有機構(gòu)集中度特點的外包服務(wù)提供商。同時,還應(yīng)識別服務(wù)提供商之間為集團子公司、關(guān)聯(lián)公司或附屬機構(gòu)所產(chǎn)生的機構(gòu)集中度風(fēng)險。
第五十三條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)積極采用分散信息科技外包活動、提高自主研發(fā)運行能力等形式,降低機構(gòu)集中度,減少對外包服務(wù)提供商的依賴。
第五十四條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)要求具有機構(gòu)集中度特點的外包服務(wù)提供商提供充分的證據(jù),證明其內(nèi)部控制和管理能力、持續(xù)運營能力等。
第五十五條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)要求具有機構(gòu)集中度特點的外包服務(wù)提供商為銀行業(yè)金融機構(gòu)配備相對獨立的資源,包括服務(wù)團隊、場地、系統(tǒng)、設(shè)備等;并對資源進行定期檢查,確保資源及時到位。
第五十六條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)要求具有機構(gòu)集中度特點的外包服務(wù)提供商在外包服務(wù)中斷應(yīng)急預(yù)案中,明確外包服務(wù)的優(yōu)先級,并進行服務(wù)中斷應(yīng)急演練,服務(wù)提供商應(yīng)至少參與服務(wù)交接、敏感信息處臵等演練過程。
第五十七條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)特別加強對具有機構(gòu)集中度特點的外包服務(wù)提供商的財務(wù)、內(nèi)控、安全管理情況持續(xù)監(jiān)控,建立信息收集機制,及時掌握風(fēng)險事件情況,防范外包服務(wù)意外終止或服務(wù)質(zhì)量急劇下降對本機構(gòu)產(chǎn)生大面積影響。
第五十八條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)對具有機構(gòu)集中度特點的外包服務(wù)提供商增強監(jiān)督頻率與力度,必要時可指派專人進行現(xiàn)場監(jiān)督。
第五十九條
對于具有機構(gòu)集中度特點的外包服務(wù)提供商為同業(yè)托管機構(gòu)的情況,銀行業(yè)金融機構(gòu)可參照本節(jié)內(nèi)容對其進行外包管理。
第六章 跨境及非駐場外包管理
第一節(jié) 跨境外包風(fēng)險管理
第六十條
跨境外包是指在境外其他國家或地區(qū)實施的信息科技外包服務(wù)活動。
第六十一條
跨境外包除具有本指引前述風(fēng)險外,還包括由于某一國家或地區(qū)經(jīng)濟、政治、社會變化及事件而產(chǎn)生的國別風(fēng)險,及由于外包實施場地遠離銀行業(yè)金融機構(gòu)而產(chǎn)生的非駐場風(fēng)險。
第六十二條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)充分了解并持續(xù)監(jiān)控服務(wù)提供商所在國家或地區(qū)的經(jīng)濟、政治、社會狀況,通過建立應(yīng)急預(yù)案、服務(wù)持續(xù)性計劃防范跨境外包所帶來的國別風(fēng)險。
第六十三條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)關(guān)注國外法律法規(guī)、監(jiān)管要求對其獲取服務(wù)提供商外包管理信息可能的影響。實施跨境外包時,不應(yīng)妨礙銀行業(yè)金融機構(gòu)有效履行外包服務(wù)監(jiān)控管理職能及監(jiān)管機構(gòu)的延伸檢查。
第六十四條
銀行業(yè)金融機構(gòu)在選擇跨境外包時,應(yīng)當(dāng)明確其所在國家或地區(qū)監(jiān)管當(dāng)局已與中國銀監(jiān)會簽訂諒解備忘錄或雙方認可的其他約定。
第六十五條
銀行業(yè)金融機構(gòu)在實施跨境外包時,其合同應(yīng)當(dāng)包括法律選擇和司法管轄權(quán)的約定,明確爭議解決時所適用的法律及司法管轄權(quán),原則上應(yīng)當(dāng)要求服務(wù)提供商依照中國的法律解決糾紛。
第六十六條
銀行業(yè)金融機構(gòu)在開展跨境外包時,應(yīng)當(dāng)充分審查評估服務(wù)提供商保護客戶信息的能力,并將其作為選擇服務(wù)提供商的重要指標(biāo)。涉及客戶信息的跨境外包,應(yīng)在符合監(jiān)管法規(guī)政策并獲得客戶授權(quán)的前提下開展。
第二節(jié) 非駐場外包風(fēng)險管理
第六十七條
非駐場外包是指服務(wù)提供商不在銀行業(yè)金融機構(gòu)現(xiàn)場提供服務(wù)的外包形式。由于銀行業(yè)金融機構(gòu)不能對其內(nèi)部控制及風(fēng)險管理措施進行直接管控,應(yīng)當(dāng)在信息安全、知識產(chǎn)權(quán)保護、質(zhì)量監(jiān)控、法律合規(guī)等方面加強對服務(wù)提供商的風(fēng)險管理。
第六十八條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)建立針對非駐場外包服務(wù)的內(nèi)部控制及風(fēng)險管理要求的最低標(biāo)準(zhǔn),該標(biāo)準(zhǔn)應(yīng)當(dāng)作為選擇服務(wù)提供商的最低要求。
第六十九條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)對重要的非駐場外包服務(wù)進行實地檢查。實地檢查原則上一年不少于一次,檢查結(jié)果應(yīng)作為外包服務(wù)提供商項目考核及準(zhǔn)入的重要指標(biāo)。
第七十條
銀行業(yè)金融機構(gòu)應(yīng)當(dāng)加強對服務(wù)商非駐場外包服務(wù)內(nèi)部控制、質(zhì)量管理、信息安全的有效性評估,評估結(jié)果應(yīng)作為供應(yīng)商準(zhǔn)入的重要依據(jù)。對于高風(fēng)險的服務(wù)提供商,銀行業(yè)金融機構(gòu)應(yīng)責(zé)令其進行限期整改,對于逾期未改的服務(wù)提供商應(yīng)暫停或取消其服務(wù)資格。
第七十一條
對于非駐場外包服務(wù)提供商為同業(yè)托管機構(gòu)的情況,銀行業(yè)金融機構(gòu)可參照本節(jié)內(nèi)容對其進行外包管理,但同業(yè)托管機構(gòu)須將為其他同行業(yè)金融機構(gòu)提供的信息科技外包服務(wù)視同自身信息科技服務(wù)的重要組成部分,不應(yīng)區(qū)別對待而降低對自身提供外包服務(wù)的風(fēng)險管控水平。
第七章 銀行業(yè)重點外包服務(wù)機構(gòu)風(fēng)險管理要求
第七十二條
銀行業(yè)重點外包服務(wù)機構(gòu)是指集中為銀行業(yè)金融機構(gòu)提供外包服務(wù),同時滿足下述條件,如其外包服務(wù)失敗可能導(dǎo)致銀行業(yè)大面積數(shù)據(jù)損毀、丟失、泄露或信息系統(tǒng)服務(wù)中斷,造成經(jīng)濟損失的機構(gòu),具體條件如下:
(一)承擔(dān)集中存貯客戶數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包服務(wù);或承擔(dān)銀行業(yè)金融機構(gòu)客戶資料、交易數(shù)據(jù)等敏感信息的批量分析或處理服務(wù);或承擔(dān)銀行業(yè)金融機構(gòu)數(shù)據(jù)中心、災(zāi)備中心機房及基礎(chǔ)設(shè)施外包服務(wù);且上述服務(wù)均為非駐場外包服務(wù);
(二)服務(wù)的法人銀行業(yè)金融機構(gòu)數(shù)量、服務(wù)合同金額占有本服務(wù)領(lǐng)域市場份額的三分之一以上;或服務(wù)的國有、股份制法人銀行業(yè)金融機構(gòu)數(shù)量達到3家或以上;或服務(wù)的其它類型法人銀行業(yè)金融機構(gòu)數(shù)量達到10家或以上。
第七十三條
銀行業(yè)金融機構(gòu)應(yīng)根據(jù)監(jiān)管機構(gòu)發(fā)布的銀行業(yè)重點外包服務(wù)機構(gòu)風(fēng)險提示,按照如下要求進行管理:
19(一)銀行業(yè)重點外包服務(wù)機構(gòu)應(yīng)當(dāng)是中華人民共和國境內(nèi)注冊的獨立法人實體,注冊資本和實收資本不少于1000萬,注冊成立時間應(yīng)不少于3年。
(二)銀行業(yè)重點外包服務(wù)機構(gòu)應(yīng)當(dāng)擁有健全的組織架構(gòu),并針對所提供的外包服務(wù)建立有效的風(fēng)險治理架構(gòu),至少應(yīng)當(dāng)建立由公司高級管理層直接領(lǐng)導(dǎo)、針對銀行業(yè)金融機構(gòu)外包服務(wù)的、專職信息科技風(fēng)險管理團隊,為持續(xù)的外包服務(wù)提供保證。
(三)銀行業(yè)重點外包服務(wù)機構(gòu)應(yīng)當(dāng)建立與所承擔(dān)的服務(wù)范圍和規(guī)模相適應(yīng)的服務(wù)管理體系,建立完善的信息安全、服務(wù)質(zhì)量、服務(wù)持續(xù)性等管理制度體系,擁有有效的檢查、監(jiān)控和考核機制,確保管理規(guī)范有效執(zhí)行。
(四)銀行業(yè)重點外包服務(wù)機構(gòu)應(yīng)當(dāng)具有足夠的技術(shù)能力、人員隊伍和設(shè)施、環(huán)境,滿足外包服務(wù)的質(zhì)量和安全管理要求。銀行業(yè)重點外包服務(wù)機構(gòu)承擔(dān)的銀行業(yè)金融機構(gòu)外包服務(wù)場地應(yīng)設(shè)臵在中國境內(nèi)。
第七十四條 銀行業(yè)金融機構(gòu)應(yīng)要求銀行業(yè)重點外包服務(wù)機構(gòu)具有如下相關(guān)領(lǐng)域資質(zhì)認證:(一)具有完善的信息安全管理體系、業(yè)務(wù)連續(xù)性管理體系,并通過業(yè)界公認較為權(quán)威的信息安全管理和業(yè)務(wù)連續(xù)性管理資質(zhì)認證。
(二)具有完善的質(zhì)量管理體系,并通過業(yè)界公認較為權(quán)威的質(zhì)量管理資質(zhì)認證。
20(三)承擔(dān)銀行業(yè)金融機構(gòu)數(shù)據(jù)中心、災(zāi)備中心機房及基礎(chǔ)設(shè)施外包服務(wù)的銀行業(yè)重點外包服務(wù)機構(gòu),其機房及基礎(chǔ)設(shè)施應(yīng)達到國家電子計算機機房最高標(biāo)準(zhǔn)。
(四)承擔(dān)集中存貯客戶數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包服務(wù),或承擔(dān)銀行業(yè)金融機構(gòu)客戶資料、交易數(shù)據(jù)等敏感信息的批量分析或處理服務(wù)的銀行業(yè)重點外包服務(wù)機構(gòu),應(yīng)具有完善的運行服務(wù)管理體系,并通過業(yè)界公認較為權(quán)威的運行服務(wù)管理資質(zhì)認證。
第七十五條 銀行業(yè)金融機構(gòu)應(yīng)在風(fēng)險管理、審計方面對銀行業(yè)重點外包服務(wù)機構(gòu)做出如下要求:
(一)銀行業(yè)重點外包服務(wù)機構(gòu)應(yīng)當(dāng)具有信息科技風(fēng)險的管理體系,有效識別、監(jiān)測、評估和控制風(fēng)險。銀行業(yè)重點外包服務(wù)機構(gòu)應(yīng)至少每季度向所服務(wù)的銀行業(yè)金融機構(gòu)報送外包風(fēng)險監(jiān)控報告,針對監(jiān)控發(fā)現(xiàn)的潛在風(fēng)險或風(fēng)險事件,及時采取控制或緩釋措施。
(二)銀行業(yè)重點外包服務(wù)機構(gòu)應(yīng)當(dāng)每年聘請獨立的審計機構(gòu),對自身外包服務(wù)進行風(fēng)險評估,風(fēng)險評估報告需報送所服務(wù)的銀行業(yè)金融機構(gòu),并抄送銀行業(yè)監(jiān)督管理委員會或其派出機構(gòu)。
(三)銀行業(yè)重點外包服務(wù)機構(gòu)應(yīng)當(dāng)對其外包服務(wù)團隊成員進行背景調(diào)查,確保其過往無犯罪或其他不良記錄,且應(yīng)當(dāng)與項目成員簽訂保密協(xié)議,并保留至少10年的法律追訴期。
第八章 監(jiān)督管理
第七十六條
銀行業(yè)金融機構(gòu)開展以下信息科技外包服務(wù)時,應(yīng)在外包合同簽訂前二十個工作日向中國銀監(jiān)會或其派出機構(gòu)報告。報告內(nèi)容見附件《信息科技外包服務(wù)報告材料目錄》。
(一)信息科技工作整體外包;
(二)數(shù)據(jù)中心或災(zāi)備中心整體外包;
(三)涉及將銀行業(yè)金融機構(gòu)客戶資料、交易數(shù)據(jù)等敏感信息交由服務(wù)提供商進行分析或處理的信息科技外包;
(四)以非駐場形式實施的、集中存貯客戶數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包;
(五)關(guān)聯(lián)外包;
(六)涉及跨境的信息科技外包;
(七)其他中國銀監(jiān)會認為重要的信息科技外包。第七十七條
銀行業(yè)金融機構(gòu)信息科技外包活動中發(fā)生如下重大事件時,應(yīng)在兩個工作日內(nèi)向中國銀監(jiān)會或其派出機構(gòu)報告。
(一)銀行業(yè)金融機構(gòu)客戶信息等敏感數(shù)據(jù)泄露;
(二)數(shù)據(jù)損毀或者重要業(yè)務(wù)運營中斷;
(三)由于不可抗力或服務(wù)提供商重大經(jīng)營、財務(wù)問題,導(dǎo)致或可能導(dǎo)致多家銀行業(yè)金融機構(gòu)外包服務(wù)中斷;22
(四)其他重大的服務(wù)提供商違法違規(guī)事件;
(五)中國銀監(jiān)會規(guī)定需要報告的其他重大事件。第七十八條
銀行業(yè)金融機構(gòu)在開展外包風(fēng)險管理評估工作后,應(yīng)將風(fēng)險評估報告報送中國銀監(jiān)會或其派出機構(gòu)。報告內(nèi)容見附件《信息科技外包服務(wù)報告材料目錄》。
第七十九條
中國銀監(jiān)會及其派出機構(gòu)對銀行業(yè)金融機構(gòu)信息科技外包工作進行監(jiān)督和檢查,監(jiān)督檢查結(jié)果應(yīng)納入對銀行業(yè)金融機構(gòu)的監(jiān)管評級。
第八十條
對于風(fēng)險較高的信息科技外包服務(wù),銀監(jiān)會或其派出機構(gòu)可要求銀行業(yè)金融機構(gòu)暫緩、中止該類外包服務(wù),直至銀行業(yè)金融機構(gòu)、外包服務(wù)提供商有效改正。
第八十一條
銀行業(yè)金融機構(gòu)違反本指引規(guī)定的,中國銀監(jiān)會或其派出機構(gòu)可要求銀行業(yè)金融機構(gòu)糾正或采取替代方案,并視情況予以問責(zé)。因管理過失導(dǎo)致外包活動嚴重危及銀行業(yè)金融機構(gòu)穩(wěn)健運行、損害存款人和其他客戶合法權(quán)益的,將依法追究銀行業(yè)金融機構(gòu)管理責(zé)任。
第八十二條
中國銀監(jiān)會實行對銀行業(yè)信息科技外包服務(wù)活動風(fēng)險監(jiān)測機制,定期對銀行業(yè)金融機構(gòu)發(fā)布銀行業(yè)重點外包服務(wù)機構(gòu)名單和風(fēng)險提示,防范因高機構(gòu)集中度外包服務(wù)導(dǎo)致的行業(yè)性、區(qū)域性信息科技風(fēng)險。
第八十三條
中國銀監(jiān)會應(yīng)對具有機構(gòu)集中度特點的銀行業(yè)金融機構(gòu)信息科技外包服務(wù)活動進行重點風(fēng)險監(jiān)測、評估。根 23 據(jù)履行職責(zé)的需要,中國銀監(jiān)會可要求銀行業(yè)金融機構(gòu)與銀行業(yè)重點外包服務(wù)機構(gòu)會談,就其外包服務(wù)活動和風(fēng)險的重大事項作出說明。
第八十四條
中國銀監(jiān)會應(yīng)組織銀行業(yè)金融機構(gòu),實地核查銀行業(yè)重點外包服務(wù)機構(gòu)承擔(dān)的銀行業(yè)金融機構(gòu)信息科技服務(wù)活動,原則上每兩年進行一次,也可以委托其他第三方機構(gòu)審計的形式實施。
第八十五條
中國銀監(jiān)會可根據(jù)銀行業(yè)金融機構(gòu)信息科技服務(wù)活動風(fēng)險評估和實地核查結(jié)果,對銀行業(yè)金融機構(gòu)發(fā)出監(jiān)管提示,要求其督促銀行業(yè)重點外包服務(wù)機構(gòu)對風(fēng)險問題實施整改。
第八十六條
銀行業(yè)重點外包服務(wù)機構(gòu)應(yīng)當(dāng)配合銀行業(yè)金融機構(gòu)及中國銀監(jiān)會的風(fēng)險監(jiān)測和實地核查。發(fā)現(xiàn)外包服務(wù)中發(fā)生可能引發(fā)行業(yè)性、區(qū)域性信息科技風(fēng)險的突發(fā)事件時,應(yīng)及時向銀行業(yè)金融機構(gòu)報告。
第八十七條
中國銀監(jiān)會組織相關(guān)銀行業(yè)金融機構(gòu)對銀行業(yè)信息科技外包服務(wù)提供商建立服務(wù)管理記錄,并對其風(fēng)險評估和評級。
第八十八條
服務(wù)提供商在外包服務(wù)中存在以下情形的,中國銀監(jiān)會將定期向銀行業(yè)發(fā)布服務(wù)提供商風(fēng)險預(yù)警,公布機構(gòu)名單、服務(wù)信息等,要求銀行業(yè)金融機構(gòu)禁止服務(wù)提供商承擔(dān)銀行業(yè)信息科技外包服務(wù),禁止期至少為兩年。外包服務(wù)提供商兩年內(nèi)仍未整改的,將延長其禁止期。
(一)違反國家法律、法規(guī)和監(jiān)管政策,情節(jié)嚴重的;
(二)竊取、泄露銀行業(yè)金融機構(gòu)敏感信息,情節(jié)嚴重的;
(三)因管理過失,多次發(fā)生重要信息系統(tǒng)服務(wù)中斷或數(shù)據(jù)損毀、丟失、泄露事件;
(四)服務(wù)質(zhì)量低下并給多家銀行業(yè)金融機構(gòu)造成損失,多次提示仍未整改;
(五)對風(fēng)險監(jiān)測和實地檢查發(fā)現(xiàn)的問題,逾期仍未整改;
(六)存在其他違法違規(guī)行為,或發(fā)生其它重大信息科技風(fēng)險事件。
第八十九條
中國銀監(jiān)會將監(jiān)督銀行業(yè)金融機構(gòu)實施對信息科技外包服務(wù)提供商的準(zhǔn)入及“黑名單”管理。對于存在重大風(fēng)險的外包活動,銀行業(yè)金融機構(gòu)應(yīng)立即評估外包的適當(dāng)性,對擬進入“黑名單”的信息科技外包服務(wù)提供商進行風(fēng)險預(yù)警提示,要求其進行整改并設(shè)定期限。逾期未整改的,將進入“黑名單”。
第九章 附則
第九十條
本指引由中國銀監(jiān)會負責(zé)解釋、修訂。第九十一條
本指引自發(fā)布之日起施行。
附錄 《銀行業(yè)金融機構(gòu)信息科技外包風(fēng)險監(jiān)管指引》信息科技外包服務(wù)監(jiān)管報告材料目錄
一、信息科技外包監(jiān)管報告材料
(一)外包服務(wù)基本情況,包括:
1.外包服務(wù)名稱;
2.外包服務(wù)類型:研發(fā)咨詢類、系統(tǒng)運行維護類、業(yè)務(wù)外包中的信息科技活動等; 3.外包服務(wù)的主要內(nèi)容;
4.實施方式:駐場外包、非駐場外包;
5.影響的業(yè)務(wù)類型:渠道管理類、客戶管理類、產(chǎn)品管理類、財務(wù)管理類、決策支持類、共享支持類等; 6.外包服務(wù)起止時間。
(二)服務(wù)提供商基本情況,包括:
1.服務(wù)提供商全稱、國別; 2.盡職調(diào)查報告; 3.法人代表; 4.注冊資本; 5.上級機構(gòu)/母機構(gòu); 6.成立時間; 7.企業(yè)性質(zhì);
(三)中國銀監(jiān)會規(guī)定的其他材料。
二、信息科技外包情況報送材料
(一)銀行業(yè)金融機構(gòu)外包風(fēng)險評估報告;
(二)銀行業(yè)重點外包服務(wù)機構(gòu)風(fēng)險評估報告;
(三)本內(nèi)正在執(zhí)行或終止的重要信息科技外包服務(wù)情況,包括:
1.外包服務(wù)名稱;
2.外包服務(wù)重大事件情況; 3.外包服務(wù)變更情況;
4.本期終止的,還應(yīng)當(dāng)提供外包服務(wù)評價。
(四)中國銀監(jiān)會規(guī)定的其他材料。
點擊咨詢 