第一篇:第十四期法律知識點(信息科技、業務連續性、外包風險管理)[本站推薦]
法律法規知識點匯編
(第十四期)
目 錄
※商業銀行信息科技風險管理指引…………………1
※商業銀行業務連續性監管指引……………………3
※銀行業金融機構外包風險管理指引…………… 7
2014年9月24日
商業銀行信息科技風險管理指引
※信息科技風險:是指信息科技在商業銀行運用過程中,由于自然因素、人為因素、技術漏洞和管理缺陷產生的操作、法律和聲譽等風險。(第4條)多選題:信息科技風險,是指信息科技在商業銀行運用過程中,由于下列哪些情形產生的操作、法律和聲譽等風險?(ABCD)
A.自然因素 B.人為因素 C.技術漏洞 D.管理缺陷 ※信息科技風險管理的第一責任人:商業銀行法定代表人是本機構信息科技風險管理的第一責任人,負責組織本指引貫徹落實。(第6條)
判斷題:商業銀行董事會是信息科技風險管理的第一責任人。(×)
※信息科技風險管理策略:商業銀行應制定全面的信息科技風險管理策略,包括但不限于下述領域:(一)信息分級與保護。(二)信息系統開發、測試和維護。(三)信息科技運行和維護。(四)訪問控制。(五)物理安全。(六)人員安全。(七)業務連續性計劃與應急處臵。(第15條)多選題:商業銀行應制定全面的信息科技風險管理策略,包括但不限于以下哪些領域?(ABCD)
A.信息分級與保護 B.信息科技運行和維護 C.物理安全 D.業務連續性計劃與應急處臵 ※崗位制約:商業銀行應將信息科技運行與系統開發和維護
分離,確保信息科技部門內部的崗位制約;對數據中心的崗位和職責做出明確規定。(第41條)單選題:商業銀行應將(A)分離,確保信息科技部門內部的崗位制約;對數據中心的崗位和職責做出明確規定。
A.信息科技運行與系統開發和維護 B.系統管理和網絡 C.數據庫管理系統和網絡 D.硬件管理和軟件管理
※大規模系統開發的部門參與:商業銀行在進行大規模系統開發時,應要求信息科技風險管理部門和內部審計部門參與,保證系統開發符合本銀行信息科技風險管理標準。(第66條)單選題:商業銀行在進行大規模系統開發時,應要求信息科技風險管理部門和(A)參與,保證系統開發符合本銀行信息科技風險管理標準。
A.內部審計部 B.財務部 C.業務部 D.監察部
商業銀行業務連續性監管指引
※業務連續性管理定義:是指商業銀行為有效應對重要業務運營中斷事件,建設應急響應、恢復機制和管理能力框架,保障重要業務持續運營的一整套管理過程,包括策略、組織架構、方法、標準和程序。(第2條)
※重要業務運營中斷事件:是指因下述原因導致信息系統服務異常、重要業務停止運營的事件。主要包括:(一)信息技術故障:信息系統技術故障、配套設施故障;(二)外部服務中斷:第三方無法合作或提供服務等;(三)人為破壞:黑客攻擊、恐怖襲擊等;(四)自然災害:火災、雷擊、海嘯、地震、重大疫情等。(第4條)
※業務連續性管理承擔最終責任:董(理)事會是商業銀行業務連續性生管理的決策機構,對業務連續性管理承擔最終責任。(第10條)
※業務連續性管理的部門職責:商業銀行應當明確業務連續性管理執行部門,包括業務條線部門與信息科技部門。業務條線部門負責風險評估、業務影響分析,確定重要業務恢復目標和恢復策略,負責業務條線重要業務應急響應與恢復;信息科技部門負責信息技術應急響應與恢復。(第14條)多選題:商業銀行應當明確業務連續性管理執行部門,包括業務條線部門與信息科技部門。業務條線部門負責(ABCD),負責業務條線重要業務應急響應與恢復。
A.風險評估 B.業務影響分析
C.確定重要業務恢復目標和策略 D.負責重要業務應急響應與恢復
※重要業務恢復時間:原則上,重要業務恢復時間目標不得大于4小時,重要業務恢復點目標不得大于半小時。(第25條)單選題:根據業務連續性管理要求,原則上重要業務恢復時間目標不得大于(A)。
A.4小時 B.2小時 C.1小時 D.0.5小時 ※業務連續性計劃演練頻率:商業銀行應當至少每三年對全部重要業務開展一次業務連續性計劃演練。在重大業務活動、重大社會活動等關鍵時點,或在關鍵資源發生重大變化之前,也應當開展業務連續性計劃的專項演練。(第49條)
單選題:商業銀行應當至少每(D)對全部重要業務開展一次業務連續性計劃演練。
A.半年 B.一年 C.二年 D.三年 ※新產品開發的業務連續性管理:商業銀行在開發新業務產品時,應當同步考慮是否將其納入業務連續性管理范疇。對納入業務連續性管理的,應當在上線前制定業務連續性計劃并實施演練。(第56條)單選題:商業銀行在開發新業務產品時,應當同步考慮是否將其納入業務連續性管理范疇。對納入業務連續性管理的,應當在(A)制定業務連續性計劃并實施演練。
A.上線前 B.上線中 C.上線后 D.維護時 ※運營中斷事件分級(節選):銀監會及其派出機構對銀行業運營中斷事件進行分級。當運營中斷事件同時滿足多個級別的定級條件時,按最高級別確定事件等級。(一)特別重大運營中斷事件(Ⅰ級)1.重要信息系統服務中斷,或重要數據損毀、丟失、泄露,造成經濟秩序混亂或重大經濟損失等特別嚴重損害的事件; 2.在業務服務時段導致一個(含)以上省的多家金融機構業務無法正常開展達3個小時(含)以上的事件;
3.在業務服務時段導致單家金融機構兩個(含)以上省業務無法正常開展達3個小時(含)以上,或一個省業務無法正常開展達6個小時(含)以上的事件;
4.業務服務時段以外,故障或事件救治未果、可能產生上述1至3類事件的事件。
(二)重大運營中斷事件(Ⅱ級)1.重要信息系統服務中斷,或重要數據損毀、丟失、泄露,對銀行或客戶利益造成嚴重損害的事件;
2.在業務服務時段導致一個(含)以上省的多家金融機構業務無法正常開展達半個小時(含)以上的事件;
3.在業務服務時段導致單家金融機構兩個(含)以上省業務無法正常開展達半個小時(含)以上,或一個省業務無法正常開展達3個小時(含)以上的事件;
4.業務服務時段以外,故障或事件救治未果、可能產生上述
1至3類事件的事件。
(三)較大運營中斷事件(Ⅲ級)1.重要信息系統服務中斷,或重要數據損毀、丟失、泄露,對銀行或客戶利益造成較大損害的事件;
2.在業務服務時段導致一個省(自治區、直轄市)業務無法正常開展達半個小時(含)以上的事件;
3.業務服務時段以外,故障或事件救治未果、可能產生上述1至2類事件的事件。(第79條)多選題:下列屬于銀行業特別重大運營中斷事件(Ⅰ級)的是(ABCD)
A.重要信息系統服務中斷造成特別嚴重經濟損失的。B.在業務服務時段導致一個(含)以上省的多家金融機構業務無法正常開展達3個小時(含)以上的。
C.在業務服務時段導致單家金融機構兩個以上省業務無法正常開展達3個小時(含)以上。
D.在業務服務時段導致單家金融機構一個省(自治區、直轄市)業務無法正常開展達6個小時(含)以上的事件。
※運營中斷報告:按照屬地監管原則,銀監機構在商業銀行運營中斷事件發生后2小時內,將事件及處臵情況上報銀監會處臵工作小組。(第80條)
判斷題:按照屬地監管原則,銀監機構在商業銀行運營中斷事件發生后2小時內,應將事件及處臵情況上報銀監會處臵工作小組。(√)
銀行業金融機構外包風險管理指引
※適用范圍:外包是指銀行業金融機構將原來由自身負責處理的某些業務活動委托給服務提供商進行持續處理的行為。(第3條)單選題:《銀行業金融機構外包風險管理指引》中的外包指銀行業金融機構將原來由自身負責處理的某些業務活動委托給(B)進行持續處理的行為。
A.服務制造商 B.服務提供商 C.服務銷售商 D.服務維修商 ※外包活動的最終責任主體:銀行業金融機構的董事會和高級管理層應當承擔外包活動的最終責任。(第4條)單選題:銀行業金融機構的董事會和(C)應當承擔外包活動的最終責任。
A.社員代表大會 B.監事會 C.高級管理層 D.外包管理團隊 ※關聯關系調查:銀行業金融機構的外包活動涉及多個服務提供商時,應當對這些服務提供商進行關聯關系的調查。(第13條)。
單選題:銀行業金融機構的外包活動涉及多個服務提供商時,應當對這些服務提供商進行(D)的調查。
A.管理能力 B.盈利能力 C.技術實力 D.關聯關系 ※不宜外包的職能:銀行業金融機構的戰略管理、核心管理以及內部審計等職能不宜外包。(第7條)
多選題:銀行業金融機構下列哪些職能不宜外包(ABC)A.戰略管理 B.核心管理 C.內部審計 D.績效系統 ※外包服務提供商承諾事項:銀行業金融機構在外包合同中應當要求外包服務提供商承諾以下事項:
(一)定期通報外包活動的有關事項;
(二)及時通報外包活動的突發性事件;
(三)配合銀行業金融機構接受銀行業監督管理機構的檢查;
(四)保障客戶信息的安全性,當客戶信息不安全或客戶權利受到影響時,銀行業金融機構有權隨時終止外包合同;
(五)不得以銀行業金融機構的名義開展活動;
(六)銀行業金融機構認為應當承諾的其他事項。(第16條)
多選題:銀行業金融機構在外包合同中應當要求外包服務提供商承諾以下事項(ABCD)
A.定期通報外包活動的有關事項
B.配合銀行業金融機構接受銀行業監督管理機構的檢查 C.保障客戶信息的安全性
D.不得以銀行業金融機構的名義開展活動
※不得轉包:銀行業金融機構應當在合同中約定服務提供商不得將外包活動轉包或變相轉包。(第18條)
判斷題:銀行業金融機構應當在合同中約定服務提供商不得將外包活動轉包或變相轉包。(√)
第二篇:信息科技風險管理經驗交流
額敏縣農村信用合作聯社
信息科技風險管理經驗交流
塔城地區銀監分局:
根據塔城地區銀監分局《關于召開2011年塔城地區銀行業金融機構信息科技風險管理聯席會議的通知》要求,現將和額敏縣農村信用合作聯社信息科技風險管理情況匯報如下:
一、信息科技風險管理基本情況
為提高安全管理意識,充分認識信息科技風險管理工作的重要性,建立了一把手負責制,明確信息科技風險管理的職責權限,逐級落實信息科技管理責任,嚴格事故追究責任制。成立了以聯社理事長為組長、領導班子成員為副組長、各相關部門及營業網點主任為成員的信息科技工作領導小組,制定了信息科技應急處置預案,明確了因信息科技風險導致營業網點發生業務故障時,聯社各相關部門需采取的措施和步驟,提高了對信息科技風險的預防和處置能力。
2009年10月,自治區聯社鑒于各縣級聯社信息科技風險管理技術力量薄弱,管控能力較差等情況,以地區為單位成立了科技分中心,對各聯社信息科技工作和部分重要設備統一進行管理,并每季對網點進行一次科技風險管理巡檢。
二、聯社信息科技應用情況
(一)網絡情況。目前我社各網點均通過租用電信公司專線與直接與塔城地區科技分中心相聯,業務專線與因特網物理隔離,可以有效的防止了網絡不法分子對我社業務網絡
攻擊和破壞。對部分重要的網絡設備、參數(如網點路由器)由地區科技分中心進行備份。
目前我社網點全部建立了電話線路備份,如網點專線出現故障,通過向地區科技分中心申請后,可以使用電話備份線路辦理業務。
(二)生產環境。為提高農村信用社的業務發展,增強業務處理能力,自治區農村信用社使用了數據集中模式,數據集中到自治區聯社科技中心。各項應用系統的維護、數據備份等由自治區科技中心操作。
(三)科技管理。
我社所有電腦均安裝網絡版殺毒軟件,并及時進行更新,防止病毒傳播和有害程序注入,保證了網點和機關各部門的電腦穩定安全運行。
三、存在的問題
由于縣聯社沒有專職或兼職科技管理人員,對縣聯社的新業務軟件上線,軟硬件的日常維護,科技分中心距離縣聯社較遠,技術支掙不是很方便。如網點線路關鍵設備發生故障,不能迅速排除故障,可能造成網點停業時間較長。
今后我社將在自治區聯社的領導下,在地區銀監局的正確監管下,加強信息科技風險防范,努力提高信息科技防范工作力度,做好對敏感信息的保護和應急能力建設,確保我社信息科技工作穩定、安全發展。
額敏縣農村信用合作聯社
二〇一一年四月二十六日
第三篇:第十三期法律知識點(風險核心、杠桿率、資本管理)
法律法規知識點匯編
(第十三期)
目 錄
※商業銀行資本管理辦法………………………… 1
※中國銀監會關于中國銀行業實施新監管標準的指導意見…………………………………………………5
※商業銀行風險監管核心指標(試行)……………7
※商業銀行杠桿率管理辦法……………………… 9
2014年9月19日
商業銀行資本管理辦法
※商業銀行資本抵御風險:商業銀行資本應抵御其所面臨的風險,包括個體風險和系統性風險。(第3條)
多選題:商業銀行應抵御其所面臨的風險,包括(AC)
A.個體風險 B.區域風險 C.系統性風險 D.深度風險
※商業銀行總資本包括內容: 商業銀行總資本包括核心一級資本、其它一級資本和二級資本。(第20條)
多選題:商業銀行總資本包括(ABC)
A.核心一級資本
B.其他一級資本
C.二級資本 D.核心二級資本
※商業銀行風險加權資產包括:信用風險加權資產、市場風險加權資產和操作風險加權資產。(第21條)
多選題:《商業銀行資本管理辦法(試行)》里商業銀行風險加權資產包括(BCD)
A.流動性風險加權資產 B.信用風險加權資產
C.市場風險加權資產
D.操作風險加權資產 ※儲備資本:商業銀行應當在最低資本要求的基礎上計提儲備資本。儲備資本要求為風險加權資產的2.5%,由核心一級資本來滿足。(第24條)
單選題:商業銀行應當在(A)要求的基礎上計提儲備資本。
A.最低資本
B.儲備資本和逆周期資本
C.系統重要性銀行附加資本
D.核心資本
※核心一級資本包括:
(一)實收資本或普通股。
(二)資本公積。
(三)盈余公積。
(四)一般風險準備。
(五)未分配利潤。
(六)少數股東資本可計入部分。(第29條)
多選題:下列屬于核心一級資本的是(ABCD)
A.實收資本或普通股 B.資本公積
C.盈余公積 D.未分配利潤
※二級資本包括(節選):
(一)二級資本工具及溢價。
(二)超額貸款損失準備。商業銀行采用權重法計量信用風險加權資產的,超額貸款損失準備可計入二級資本,但不得超過信用風險加權資產的1.25%。
(三)少數股東資本可計入部分。(第31條)
單選題:商業銀行采用權重法計量信用風險加權資產的,超額貸款損失準備可計入二級資本,但不得超過信用風險加權資產的(D)。
A.1% B.2.5%
C.0.6% D.1.25%
※核心一級資本扣除項:計算資本充足率時,商業銀行應當從核心一級資本中全額扣除以下項目:
(一)商譽。
(二)其它無形資產(土地使用權除外)。
(三)由經營虧損引起的凈遞延稅資產。
(四)貸款損失準備缺口。(第32條)
多選題:計算資本充足率時,商業銀行應當從核心一級資本中全額扣除的項目包括:(ABCD)
A.商譽
B.其他無形資產(土地使用權除外)
C.由經營虧損引起的凈遞延稅資產
D.貸款損失準備缺口
※對個人債權的風險權重:商業銀行對個人債權的風險權重。
(一)個人住房抵押貸款的風險權重為50%。
(二)對已抵押房產,在購房人沒有全部歸還貸款前,商業銀行以再評估后的凈值為抵押追加貸款的,追加部分的風險權重為150%。
(三)對個人其它債權的風險權重為75%。(第65條)單選題:商業銀行對個人住房抵押貸款的風險權重為(B)
A.25% B.50% C.75% D.100%
※市場風險資本要求之和:市場風險資本要求為利率風險、匯率風險、商品風險、股票風險和期權風險的資本要求之和。(第90條)
多選題:按照標準法進行計算,市場風險資本要求為(ABCD)風險的資本要求之和。
A.利率 B.匯率 C.商品 D.股票和期權 ※三大風險計量方法(第46、85、95)1.信用風險:權重法、內部評級法。2.市場風險:標準法、內部模型法。
3.操作風險:基本指標法、標準法、高級計量法。多選題:下列對三大風險計量方法敘述正確的是(ABCD)。A.商業銀行可以采用權重法或內部評級法計量信用風險加
權資產。
B.商業銀行可以采用標準法或內部模型法計量市場風險加權資本要求。
C.商業銀行可以采用基本指標法、標準法或高級計量法計量操作風險加權資本要求。
D.未經銀監會核準,商業銀行不得變更信用風險、市場風險及操作風險計量方法。
中國銀監會關于中國銀行業實施
新監管標準的指導意見
※資本充足率監管要求:
(一)將監管資本從現行的兩級分類(一級資本和二級資本)修改為三級分類(核心一級資本、其他一級資本和二級資本)。
(二)明確三個最低資本充足率要求,即核心一級資本充足率、一級資本充足率和資本充足率分別不低于5%、6%和8%。
(三)引入逆周期資本監管框架,包括:2.5%的留存超額資本和0-2.5%的逆周期超額資本。
(四)增加系統重要性銀行的附加資本要求,暫定為1%。新標準實施后,正常條件下系統重要性銀行和非系統重要性銀行的資本充足率分別不低于11.5%和10.5%。
判斷題:根據新監管標準要求,將監管資本從現行的兩級分類(一級資本和二級資本)修改為三級分類(核心一級資本、其他一級資本和二級資本)。(√)
單選題:1.根據《中國銀行業實施新監管標準的指導意見》規定,核心一級資本充足率不低于(B)
A.4% B.5% C.6% D.8% 2.根據《中國銀行業實施新監管標準的指導意見》規定,一級資本充足率不低于(C)
A.4% B.5% C.6% D.8% 3.根據《中國銀行業實施新監管標準的指導意見》規定,資本充足率分別不低于(D)
A.4% B.5% C.6% D.8% 4.根據《中國銀行業實施新監管標準的指導意見》規定,新監管標準實施后,正常條件下非系統重要性銀行的資本充足率分別不低于(D)
A.5% B.6.5% C.8% D.10.5% ※杠桿率指標:即一級資本占調整后表內外資產余額的比例不低于4%。
※流動性覆蓋率、凈穩定融資比例: 流動性覆蓋率、凈穩定融資比例均不得低于100%。銀行業金融機構應于2013年底和2016年底前分別達到流動性覆蓋率和凈穩定融資比例的監管要求。
單選題:根據《中國銀行業實施新監管標準的指導意見》規定,流動性覆蓋率、凈穩定融資比例均不得低于(C)
A.25% B.50% C.100% D.150% ※強化貸款損失準備監管:貸款撥備率(貸款損失準備占貸款的比例)不低于2.5%,撥備覆蓋率(貸款損失準備占不良貸款的比例)不低于150%,原則上按兩者孰高的方法確定銀行業金融機構貸款損失準備監管要求。
單選題:根據《中國銀行業實施新監管標準的指導意見》規定,貸款撥備率和撥備覆蓋率應分別不低于(C)
A.2.5%,100% B.1.5% ,150% C.2.5%,150% D.1.5%,100%
商業銀行風險監管核心指標(試行)
※流動性風險指標:流動性比例為流動性資產余額與流動性負債余額之比,衡量商業銀行流動性的總體水平,不應低于25%。
核心負債比例為核心負債與負債總額之比,不應低于60%。(第8條)
單選題:核心負債比例為核心負債與負債總額之比,不應低于?(B)
A.50% B.60% C.70% D.80% ※信用風險指標(節選):包括不良資產率、單一集團客戶授信集中度、全部關聯度三類指標。
(一)不良資產率為不良資產與資產總額之比,不應高于4%;不良貸款率為不良貸款與貸款總額之比,不應高于5%。
(二)單一集團客戶授信集中度為最大一家集團客戶授信總額與資本凈額之比,不應高于15%;單一客戶貸款集中度為最大一家客戶貸款總額與資本凈額之比,不應高于10%。
(三)全部關聯度為全部關聯授信與資本凈額之比,不應高于50%。(第9條)
單選題:1.單一集團客戶授信集中度為最大一家集團客戶授信總額與資本凈額之比,不應高于(D)。
A.8% B.9% C.10% D.15% 2.單一客戶貸款集中度為最大一家客戶貸款總額與資本凈額之比,不應高于(C)。
A.8% B.9% C.10% D.15% 3.全部關聯度為全部關聯授信與資本凈額之比,不應高于(C)。
A.20% B.40% C.50% D.80% ※風險抵補類指標:衡量商業銀行抵補風險損失的能力,包括盈利能力、準備金充足程度和資本充足程度三個方面。
(一)盈利能力指標包括成本收入比、資產利潤率和資本利潤率。
(二)資產利潤率為稅后凈利潤與平均資產總額之比,不應低于0.6%;
(三)資本利潤率為稅后凈利潤與平均凈資產之比,不應低于11%。(第13條)
多選題:根據《商業銀行風險監管核心指標》(試行)的規定,盈利能力指標包括:(ABC)
A.成本收入比 B.資產利潤率 C.資本利潤率 D.不良資產率
單選題:1.資產利潤率為稅后凈利潤與平均資產總額之比,不應低于?(B)
A.0.5% B.0.6% C.0.7% D.0.8% 2.資本利潤率為稅后凈利潤與平均凈資產之比,不應低于?(C)
A.9% B.10% C.11% D.12% ※商業銀行董事會職責:應定期審查各項指標的實際值,并督促管理層采取糾正措施。(第17條)
判斷題:商業銀行監事會應定期審查各項指標的實際值,并
督促管理層采取糾正措施。答案(×)
商業銀行杠桿率管理辦法
※適用范圍:本辦法適用于在中華人民共和國境內設立的商業銀行,包括中資銀行、外商獨資銀行和中外合資銀行。(第2條)
農村信用社參照本辦法執行。(第18條)
※商業銀行并表和未并表的杠桿率均不得低于4%。(第4條)
單選題:商業銀行并表和未并表的杠桿率均不得低于? 答案(C)A.8% B.5% C.4% D.10% ※商業銀行董事會責任:承擔杠桿率管理的最終責任,商業銀行高級管理層負責杠桿率管理的實施工作。(第13條)※達標時間:銀監會確定的系統重要性銀行應當于2013年底前達到最低杠桿率要求,非系統重要性銀行應當于2016年底前達到最低杠桿率要求。在過渡期內,未達到最低杠桿率要求的銀行應當制定達標規劃,并向銀監會報告。(第19條)
第四篇:銀行業金融機構信息科技外包風險監管指引
中國銀行業監督管理委員會
銀監發[2013]5號
中國銀監會關于印發銀行業金融機構信息科技外
包風險監管指引的通知
各銀監局,各政策性銀行、國有商業銀行、股份制商業銀行、金融資產管理公司,郵儲銀行,各省級農村信用聯社,銀監會直接監管的信托公司、企業集團財務公司、金融租賃公司:
現將《銀行業金融機構信息科技外包風險監管指引》印發給你們,請遵照執行。
2013年2月16日
銀行業金融機構信息科技外包風險監管指引
第一章 總則
第一條
為規范銀行業金融機構的信息科技外包活動,降低信息科技外包風險,根據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》等法律法規,制定本指引。
第二條
在中華人民共和國境內設立的政策性銀行、商業銀行、農村合作銀行、省(自治區)農村信用社聯合社適用本指引。銀監會監管的其他金融機構參照本指引執行。第三條
本指引所稱信息科技外包是指銀行業金融機構將原本由自身負責處理的信息科技活動委托給服務提供商進行處理的行為,包含項目外包、人力資源外包等形式。原則上包括以下類型:
(一)研發咨詢類外包:科技管理及科技治理等咨詢設計外包,規劃、需求、系統開發、測試外包;
(二)系統運行維護類外包:包括數據中心(災備中心)、機房配套設施、網絡、系統的運維外包,自助設備、POS機等遠程終端及辦公設備的運維外包;
(三)業務外包中的信息科技活動:市場拓展、業務操作、企業管理、資產處臵等外包中的系統開發、運行維護和數據處理活動。
第四條
本指引所稱關聯外包是指服務提供商為銀行業金融機構的母公司或其所屬集團子公司、關聯公司或附屬機構提供信息科技外包。
第五條
信息科技外包可能產生如下風險,并導致銀行業金融機構的戰略、聲譽、合規風險:
(一)科技能力喪失:銀行業金融機構過度依賴外部資源導致失去科技控制及創新能力,影響業務創新與發展;
(二)業務中斷:支持業務運營的外包服務無法持續提供導致業務中斷;
(三)信息泄露:包含客戶信息在內的銀行業金融機構非公開數據被服務提供商非法獲得或泄露;
(四)服務水平下降:由于外包服務質量問題或內外部協作效率低下,使得銀行業金融機構信息科技服務水平下降。
第六條
本指引所稱機構集中度風險是指銀行業金融機構將信息科技外包服務集中交由少量服務提供商承接而產生的風險,該風險可能造成集中性的服務中斷、質量下降、安全事件等。
第七條
本指引所稱同業托管機構是指作為外包服務提供商為其他同行業金融機構提供信息科技外包服務的銀行業金融機構。
第八條
銀行業金融機構應當將信息科技外包管理納入全面風險管理體系,建立與本機構信息科技戰略目標相適應的外包管理體系,控制或降低由于外包而引發的風險。
第九條
銀行業金融機構應當建立信息科技外包管理組織架構,制定外包管理戰略,定期進行外包風險評估,通過服務提供商準入、評價、退出等手段建立及維護符合自身戰略目標的供應商關系管理策略。
第十條
銀行業金融機構在實施信息科技外包時應當堅持以下原則:
(一)以不妨礙核心能力建設、積極掌握關鍵技術為導向;
(二)保持外包風險、成本和效益的平衡;
(三)強調外包風險的事前控制,保持管控力度;
(四)根據外包管理及技術發展趨勢,持續改進外包策略和措施。
第十一條
銀行業金融機構在實施信息科技外包時,不得將信息科技管理責任外包。
第十二條
對于不涉及銀行客戶及內部信息轉移的信息科技產品采購、維保,及通訊線路租用、支付或清算系統接入等信息科技公共基礎設施服務,銀行業金融機構應當充分評估其信息科技風險,按照本指引第五章要求進行管理。
第二章 外包管理組織架構
第十三條
銀行業金融機構董事會及高級管理層應當嚴格落實信息科技外包風險管理的相關職責, 明確信息科技外包風險管理的主管部門,制定并審批信息科技外包戰略,審議信息科技外包管理流程及制度,督促并監控信息科技外包風險管理效果。
第十四條
信息科技外包風險主管部門的主要職責包括:
(一)對外包風險進行識別、評估與風險提示;
(二)監督、評價外包管理工作,并督促外包風險管理的持續改善;
(三)向高級管理層定期匯報信息科技外包活動相關風險管理情況;
(四)董事會或高級管理層確定的其他信息科技外包風險管理職責。
第十五條
銀行業金融機構應當在信息科技管理部門或信息科技外包活動執行部門內建立信息科技外包管理執行團隊,并配備足夠人員履行以下職責:
(一)實施信息科技外包戰略;
(二)制定并執行信息科技外包管理制度與流程;
(三)執行供應商準入、評價、退出管理,建立并維護供應商關系管理策略;
(四)制定保障外包服務持續性的應急管理方案,并組織實施定期演練;
(五)對外包過程中的各項管理活動進行監控及分析,定期向信息科技及外包風險管理主管部門報告外包活動情況。
第三章 信息科技外包戰略及風險管理
第一節 信息科技外包戰略
第十六條
銀行業金融機構應當以提升信息科技隊伍能力,提高科技管理及創新水平,掌握信息科技核心技能為目標,基于信息科技戰略、外包市場環境、自身風險控制能力和風險偏好制定信息科技外包戰略,包括:不能外包的職能、資源能力建設方案、供應商關系管理策略和外包分級管理策略。
第十七條
銀行業金融機構應當根據自身信息科技戰略明確不能外包的職能。涉及戰略管理、風險管理、內部審計及其他有關信息科技核心競爭力的職能不得外包。第十八條
銀行業金融機構應當根據外包戰略制定資源、能力建設方案,通過補充人員、提升技能、知識轉移等方式,有針對性地獲取或提升管理及技術能力,降低對服務提供商的依賴。
第十九條
銀行業金融機構應當建立與自身規模、市場地位相適應的供應商關系管理策略。通過準入和退出機制合理管控各類高風險服務提供商的數量,實現以下目標:防范行業壟斷和機構集中度風險,通過引入適當的競爭在降低采購成本的同時提高服務質量,合理管控服務提供商的數量從而降低風險及管理成本等。
第二十條
銀行業金融機構可以按照外包服務性質和重要性程度對服務提供商進行分級管理,對不同級別的服務提供商采取差異化的管控措施,在有效管理重要風險的前提下降低管理成本。
第二十一條
銀行業金融機構要同母公司或集團公司協同做好外包服務及服務提供商的管理工作,但應當保持關聯外包有關決策的獨立性,避免因關聯關系而降低外包活動的風險控制水平。
第二節 信息科技外包風險管理
第二十二條
銀行業金融機構信息科技外包風險管理部門應當至少每年開展一次全面的外包風險管理評估,保持評估的獨立性,并向高級管理層提交評估報告。評估內容包括:信息科技外包戰略執行情況、外包信息安全、機構集中度、服務連續性、服務質量、政策及市場變化對外包服務的影響分析等。
第二十三條
銀行業金融機構應當對重要的外包服務提供商進行定期的風險評估,保持評估的獨立性。至少在三年內覆蓋所有重要的服務提供商。評估內容包括:服務提供商合規情況、服務的執行效果等,評估結果應當作為服務提供商準入及退出的重要依據。
第二十四條
銀行業金融機構內部審計部門應當定期開展信息科技外包風險管理審計工作,至少每三年對重要的外包服務活動進行一次全面審計。發生外包風險事件后應當及時開展專項審計。
第四章 信息科技外包管理
第一節 外包風險評估及準入
第二十五條
外包項目立項前,銀行業金融機構應當審慎檢查項目與信息科技外包戰略的一致性,根據項目內容、范圍、性質對其進行風險識別和評估,制定相應的風險處臵措施,不因外包活動的引入而增加整體剩余風險。重大外包項目應向董事會、高管層報告。
第二十六條
銀行業金融機構應當根據供應商關系管理策略,結合風險評估結果及服務提供商的準入標準,對備選服務提供商進行初步篩選,防范引入高機構集中度風險特點的服務提供商、或引入增加整體風險的服務提供商。
第二十七條
對于外包服務提供商為同業托管機構的情況,銀行業金融機構可參照本節內容對其進行管理。
第二節 服務提供商盡職調查
第二十八條
對重要的服務提供商,銀行業金融機構在與其簽訂合同前應當深入開展盡職調查,必要時可聘請第三方機構協助調查。
第二十九條
銀行業金融機構在盡職調查時應當關注服務提供商的技術和行業經驗,包括但不限于:服務能力和支持技術、服務經驗、服務人員技能、市場評價、監管評價等。
第三十條
銀行業金融機構在盡職調查時應當關注服務提供商的內部控制和管理能力,包括但不限于:內部控制機制和管理流程的完善程度、內部控制技術和工具等。
第三十一條
銀行業金融機構在盡職調查時應當關注服務提供商的持續經營狀況,包括但不限于:從業時間、市場地位及發展趨勢、資金的安全性、近期盈利情況等。
第三十二條
對于關聯外包,銀行業金融機構不得因關聯關系而降低對服務提供商的要求,應當在盡職調查階段詳細分析服務提供商技術、內控和管理水平,確認其有足夠能力實施外包
服務、處理突發事件等。
第三十三條
對于外包服務提供商為同業托管機構的情況,銀行業金融機構可參照本節內容對其進行管理。
第三節 外包服務合同及要求
第三十四條
銀行業金融機構在實施外包服務項目前,應當與服務提供商簽訂服務合同。合同應當根據外包服務需求、風險評估及盡職調查結果確定詳細程度和重點。
第三十五條
銀行業金融機構在合同或協議中應當明確以下內容,包括但不限于:
(一)服務范圍、服務內容、工作時限及安排、責任分配、交付物要求以及后續合作中的相關限定條件;
(二)合規與內控要求,對法律法規及銀行業金融機構內部管理制度的遵從要求、監管政策的通報貫徹機制、服務提供商的內控措施;
(三)服務連續性要求,服務提供商的服務連續性管理目標應當滿足銀行業金融機構業務連續性目標要求;
(四)銀行業金融機構監控和檢查的權利、頻率,服務提供商配合其內、外部審計機構檢查,及配合銀行業監管機構檢查的責任;
(五)政策或環境變化因素等在內的合同變更或終止的觸發條件,外包服務提供商在過渡期間應該履行的主要職責及合同變更或終止的過渡安排,包括信息、資料和設施的交接處臵等過渡期間相關服務的安排;
(六)外包服務過程中產生、加工、交互的信息和知識產權的歸屬權以及允許服務提供商使用的內容及范圍,對服務提供商使用合法軟、硬件產品的要求;
(七)服務要求或服務水平條款,至少應當包括如下內容:外包服務的關鍵要素、服務時效和可用性、數據的機密性和完整性要求、變更的控制、安全標準的遵守情況、技術支持水平等;
(八)爭端解決機制、違約及賠償條款,至少包括如下內容:服務質量違約、安全違約、知識產權違約等,及在各種違約情況下的賠償以及外包爭端的解決機制;
(九)報告條款,至少包括常規報告內容和報告頻度、突發事件時的報告路線、報告方式及時限要求。
第三十六條 銀行業金融機構應當在合同或協議中明確服務提供商在安全和保密方面的責任,以及針對安全及保密要求需采取的具體措施。包括但不限于:
(一)禁止服務提供商在合同允許范圍外使用或者披露銀行業金融機構的信息,以防止信息被非授權使用;
(二)在合同或協議中約定服務提供商對銀行客戶信息安全和銀行客戶權利的保護條款、事故處理方式及違約賠償條款;
(三)在合同或協議中約定服務提供商不得以所服務的銀行業金融機構名義開展活動;
(四)服務提供商接觸銀行業金融機構信息時,需滿足安全和保密相關條款的要求;
(五)在發生銀監會規定的信息科技突發事件,或發生可能引發系統性、區域性銀行業信息科技風險類突發事件時,服務提供商應及時向銀行業金融機構報告,包括事件的影響以及處臵
和糾正措施。
第三十七條
銀行業金融機構應當在合同或協議中明確要求服務提供商不得將外包服務轉包和變相轉包。在涉及外包服務分包時應當要求:
(一)不得將外包服務的主要業務分包;
(二)主服務提供商對服務水平負總責,確保分包服務提供商能夠嚴格遵守外包合同或協議;
(三)主服務提供商對分包商進行監控,并對分包商的變更履行通知或報告審批義務。
第四節 外包服務安全管理
第三十八條
銀行業金融機構應當制定和落實信息安全管控措施,防范因外包活動引起的信息泄露、信息篡改、信息不可用、非法入侵、物理環境或設施遭受破壞等風險。具體措施包括:
(一)對外包人員進行信息安全培訓,提高風險管理意識,確保信息安全管控措施在外包服務過程中有效落實;
(二)明確外包活動需要訪問或使用的信息資產,包括場地、辦公設施、計算機、服務器、軟件、數據、信息、物理訪問控制設備、賬號、網絡寬帶、網絡端口等,按“必需知道”和“最小授權”原則進行訪問授權;
(三)對重要或核心的信息系統開發交付物進行源代碼檢查和安全掃描;
(四)定期對服務提供商進行安全檢查,獲取服務提供商自評估或第三方評估報告。
第三十九條
銀行業金融機構對關聯外包服務提供商定期進行的安全檢查,不得以服務提供商的自評估替代,不得因關聯關系而影響檢查的獨立性、客觀性及公正性。
第四十條
銀行業金融機構應當關注外包服務引入的新技術或新應用對現有治理模式及安全架構的沖擊,及時完善信息安全管控體系,避免因新技術或應用的引入而增加額外的信息安全風險。
第五節 外包服務監控與評價
第四十一條
銀行業金融機構應當對外包服務過程進行持續監控,要求服務提供商建立階段性服務目標及任務,并跟蹤任務的執行情況,及時發現和糾正服務過程中存在的各類異常情況。
第四十二條
銀行業金融機構應當根據信息科技外包需求、合同、服務水平協議等建立明確的服務質量監控指標,并進行相應監控。常見指標包括:
(一)信息系統和設備及基礎設施的可用率、設備的開機率;
(二)故障次數、故障解決率、故障的響應時間;
(三)服務的次數、客戶滿意度;
(四)各階段業務需求的及時完成率、程序的缺陷數、需求變更率;
(五)外包人員工作飽和率、外包人員的考核合格率。
第四十三條
銀行業金融機構應當建立明確的服務目錄、服務水平協議以及服務水平監控評價機制,并確保外包服務監控基礎數據和評價結果的真實性和完整性,且數據至少需保存到服務結束后一年。
第四十四條
銀行業金融機構應當對服務提供商的財務、內控及安全管理進行持續監控,關注其因破產、兼并、關鍵人員流失、投入不足和管理不善等因素引發的財務狀況惡化及內部管理混亂等情況,防范外包服務意外終止或服務質量的急劇下降。
第四十五條
銀行業金融機構監控到異常情況時,應當及時督促服務提供商采取糾正措施,情節嚴重的或未及時糾正的,應當約談服務提供商高管人員并限期整改。
第四十六條
外包服務結束時,銀行業金融機構應當對服務提供商進行評價,評價結果應當作為服務提供商準入的重要參考依據。
第四十七條
對于關聯外包,銀行業金融機構董事會及高級管理層應當推動母公司或所屬集團將外包服務質量納入對服務提供商的業績評價范圍,建立外包服務重大事件問責機制。同時,應當要求服務提供商在其內部建立與外包服務水平相關的績效考核機制。
第六節 外包服務中斷與終止
第四十八條
銀行業金融機構應當考慮信息科技外包的引入對業務連續性管理的影響,有針對性地完善業務連續性管理計劃,包括但不限于:
(一)識別出重要業務所涉及的服務提供商和資源;
(二)通過合同、協議等形式明確要求服務提供商提前準備并維護好相關資源;
(三)對服務提供商業務連續性管理進行監控,并評價其管理水平;
(四)在進行業務連續性計劃演練時將相關的服務提供商納入演練范圍。
第四十九條
為降低外包突發事件的可能性及影響,銀行業金融機構應當事先對業務連續性管理造成重大影響的外包服務建立風險控制、緩釋或轉移措施,包括但不限于以下內容:
(一)在外包服務實施過程中持續收集服務提供商相關信息,盡早發現可能導致服務中斷的情況;
(二)與服務提供商事先約定在其服務質量不能滿足合同要求的情況下獲取其外包服務資源的優先權;
(三)要求服務提供商制定服務中斷相關的應急處理預案,如提供備份人員;
(四)對于涉及重要業務的外包服務,銀行業金融機構需考慮預先在其內部配臵相應的人力資源,掌握必要的技能,以在外包服務中斷期間自行維持最低限度的服務能力。
第五十條
銀行業金融機構應當針對重要外包服務中斷的場景,擬定相應的應急計劃,并定期進行演練,考慮因素包括但不限于以下內容:
(一)事件場景,如重要人員流失導致服務無法持續,服務提供商主動退出,因資質變更、被收購、兼并或破產等原因導致的服務提供商被動退出等;
(二)事件持續時間和恢復可能性;
(三)事件影響范圍和可能的應急措施;
(四)服務提供商自行恢復服務的可能性和時間;
(五)備選的服務提供商以及外包服務遷移方案;
(六)外包服務過渡給銀行業金融機構自行運作的可能性、時效及資源需求。
第五十一條
對于無法滿足外包服務要求或發生重大事件的情況,銀行業金融機構應當在充分評估其影響及制定退出計劃的前提下,考慮主動要求服務提供商終止服務,情節特別嚴重的,可考慮取消準入資質,并報監管機構申請對其備案。對于關聯外包,銀行業金融機構不得因為關聯關系而影響服務提供商退出機制的落實。
第五章 機構集中度風險管理
第五十二條
銀行業金融機構應當依據服務提供商所承接外包服務的數量、金額在本行重要信息科技服務中的占比,服務提供商所承接外包服務在銀行業服務市場占比情況,識別具有機構集中度特點的外包服務提供商。同時,還應識別服務提供商之間為集團子公司、關聯公司或附屬機構所產生的機構集中度風險。
第五十三條
銀行業金融機構應當積極采用分散信息科技外包活動、提高自主研發運行能力等形式,降低機構集中度,減少對外包服務提供商的依賴。
第五十四條
銀行業金融機構應當要求具有機構集中度特點的外包服務提供商提供充分的證據,證明其內部控制和管理能力、持續運營能力等。
第五十五條
銀行業金融機構應當要求具有機構集中度特點的外包服務提供商為銀行業金融機構配備相對獨立的資源,包括服務團隊、場地、系統、設備等;并對資源進行定期檢查,確保資源及時到位。
第五十六條
銀行業金融機構應當要求具有機構集中度特點的外包服務提供商在外包服務中斷應急預案中,明確外包服務的優先級,并進行服務中斷應急演練,服務提供商應當至少參與服務交接、敏感信息處臵等演練過程。
第五十七條
銀行業金融機構應當特別加強對具有機構集中度特點的外包服務提供商的財務、內控、安全管理情況的持續監控,建立信息收集機制,及時掌握風險事件情況,防范外包服務意外終止或服務質量急劇下降對本機構產生大面積影響。
第五十八條
銀行業金融機構應當對具有機構集中度特點的外包服務提供商增強監督頻率與力度,必要時可指派專人進行現場監督。
第五十九條
對于具有機構集中度特點的外包服務提供商為同業托管機構的情況,銀行業金融機構可參照本節內容對其進行外包管理。
第六章 跨境及非駐場外包管理
第一節 跨境外包風險管理
第六十條
跨境外包是指在境外其他國家或地區實施的信息科技外包服務活動。
第六十一條
跨境外包除具有本指引前述風險外,還包括由于某一國家或地區經濟、政治、社會變化及事件而產生的國別風險,及由于外包實施場地遠離銀行業金融機構而產生的非駐場風險。
第六十二條
銀行業金融機構應當充分了解并持續監控服務提供商所在國家或地區狀況,通過建立業務連續性計劃防范跨境外包所帶來的國別風險。
第六十三條
銀行業金融機構應當關注國外法律法規、監管要求對其獲取服務提供商外包管理信息可能造成的影響。實施跨境外包應當以不妨礙銀行業金融機構有效履行外包服務監控管理職能及監管機構延伸檢查為前提。
第六十四條
銀行業金融機構在選擇跨境外包時,應當明確其所在國家或地區監管當局已與銀監會簽訂諒解備忘錄或雙方認可的其他約定。
第六十五條
銀行業金融機構在選擇跨境外包時,還應當充分審查評估服務提供商保護客戶信息的能力,并將其作為選擇服務提供商的重要指標。涉及客戶信息的跨境外包,應當在符合監管法規政策并獲得客戶授權的前提下開展。
第六十六條
銀行業金融機構在實施跨境外包時,其合同應當包括法律選擇和司法管轄權的約定,明確爭議解決時所適用的法律及司法管轄權,原則上應當要求服務提供商依照中國的法律解決糾紛。
第二節 非駐場外包風險管理
第六十七條
非駐場外包是指服務提供商不在銀行業金融機構現場提供服務的外包形式。由于銀行業金融機構不能對其內部控制及風險管理措施進行直接管控,應當在信息安全、知識產權保護、質量監控、法律合規等方面加強對服務提供商的風險管理。
第六十八條
銀行業金融機構應當建立針對非駐場外包服務的內部控制及風險管理要求的最低標準,該標準應當作為選擇服務提供商的最低要求。
第六十九條
銀行業金融機構應當對重要的非駐場外包服務進行實地檢查。實地檢查原則上一年不少于一次,檢查結果作為外包服務提供商項目考核及準入的重要指標。
第七十條
銀行業金融機構應當加強對外包服務提供商非駐場外包服務內部控制、質量管理、信息安全的有效性評估,評估結果作為供應商準入的重要依據。對于高風險的服務提供商,銀行業金融機構應當責令其進行限期整改,對于逾期未改的服務提供商應當暫停或取消其服務資格。
第七十一條
對于非駐場外包服務提供商為同業托管機構的情況,銀行業金融機構可以參照本節內容對其進行外包管理,但同業托管機構須將為其他同行業金融機構提供的信息科技外包服務視同自身信息科技服務的重要組成部分,不得區別對待,降低對自身提供外包服務的風險管控水平。
第七章 銀行業重點外包服務機構風險管理要求
第七十二條
銀行業重點外包服務機構是指集中為銀行業金融機構提供外包服務,同時滿足下述條件,如其外包服務失敗可能導致銀行業大面積數據損毀、丟失、泄露或信息系統服務中斷,造成經濟損失的機構,具體條件如下:
(一)承擔集中存貯客戶數據的業務交易系統外包服務;或承擔銀行業金融機構客戶資料、交易數據等敏感信息的批量分析或處理服務;或承擔銀行業金融機構數據中心、災備中心機房及基礎設施外包服務;且上述服務均為非駐場外包服務。
(二)服務的法人銀行業金融機構數量、服務合同金額占有本服務領域市場份額的三分之一以上;或服務的跨區域經營法人銀行業金融機構數量達到3家或以上;或服務的其他類型法人銀行業金融機構數量達到10家或以上。
第七十三條 銀行業金融機構應當根據監管機構發布的銀行業重點外包服務機構風險提示,按照如下要求進行管理:
(一)銀行業重點外包服務機構應當是中華人民共和國境內注冊的獨立法人實體,注冊資本和實收資本不少于1000萬,注冊成立時間不少于3年。
(二)銀行業重點外包服務機構應當擁有健全的組織架構,并針對所提供的外包服務建立有效的風險治理架構,至少應當建立由公司高級管理層直接領導、針對銀行業金融機構外包服務的、專職信息科技風險管理團隊,為持續的外包服務提供保證。
(三)銀行業重點外包服務機構應當建立與所承擔的服務范圍和規模相適應的服務管理體系,建立完善的信息安全、服務質量、服務持續性等管理制度體系,擁有有效的檢查、監控和考核機制,確保管理規范有效執行。
(四)銀行業重點外包服務機構應當具有足夠的技術能力、人力資源和設施、環境,滿足外包服務的質量和安全管理要求。銀行業重點外包服務機構承擔的銀行業金融機構外包服務場地應當設臵在中國境內。第七十四條
銀行業金融機構應當要求銀行業重點外包服務機構具有如下相關領域資質認證:(一)具有完善的信息安全管理體系、業務連續性管理體系,并通過業界公認較為權威的信息安全管理和業務連續性管理資質認證。
(二)具有完善的質量管理體系,并通過業界公認較為權威的質量管理資質認證。
(三)承擔銀行業金融機構數據中心、災備中心機房及基礎設施外包服務的銀行業重點外包服務機構,其機房及基礎設施應當達到國家電子計算機機房最高標準。
(四)承擔集中存貯客戶數據的業務交易系統外包服務,或承擔銀行業金融機構客戶資料、交易數據等敏感信息的批量分析或處理服務的銀行業重點外包服務機構,應當具有完善的運行服務管理體系,并通過業界公認較為權威的運行服務管理資質認證。
第七十五條
銀行業金融機構應當在風險管理、審計方面對銀行業重點外包服務機構提出如下要求:
(一)銀行業重點外包服務機構應當具有信息科技風險的管理體系,有效識別、監測、評估和控制風險。銀行業重點外包服務機構應當至少每季度向所服務的銀行業金融機構報送外包風險監控報告,針對監控發現的潛在風險或風險事件,及時采取控制或緩釋措施。
(二)銀行業重點外包服務機構應當每年聘請獨立的審計機構,對自身外包服務進行風險評估,風險評估報告需報送所服務的銀行業金融機構,并抄送銀監會或其派出機構。
(三)銀行業重點外包服務機構應當對其外包服務團隊成員進行背景調查,確保其過往無不良記錄,且應當與項目成員簽訂保密協議,并保留至少10年的法律追訴期。
第八章 監督管理
第七十六條
銀行業金融機構開展以下信息科技外包服務時,應當在外包合同簽訂前二十個工作日向銀監會或其派出機構報告,針對銀行業金融機構信息科技外包風險,銀監會及其派出機構可以采取風險提示、約見談話、監管質詢等措施。
(一)信息科技工作整體外包;
(二)數據中心或災備中心整體外包;
(三)涉及將銀行業金融機構客戶資料、交易數據等敏感信息交由服務提供商進行分析或處理的信息科技外包;
(四)以非駐場形式實施的、集中存貯客戶數據的業務交易系統外包;
(五)關聯外包;
(六)涉及跨境的信息科技外包;
(七)其他銀監會認為重要的信息科技外包。
第七十七條
銀行業金融機構信息科技外包活動中發生如下重大事件時,應當在兩個工作日內向銀監會或其派出機構報告。
(一)銀行業金融機構客戶信息等敏感數據泄露;
(二)數據損毀或者重要業務運營中斷;
(三)由于不可抗力或服務提供商重大經營、財務問題,導致或可能導致多家銀行業金融機構外包服務中斷;
(四)其他重大的服務提供商違法違規事件;
(五)銀監會規定需要報告的其他重大事件。
第七十八條
銀行業金融機構在開展外包風險管理評估工作后,應當將風險評估報告報送銀監會或其派出機構。
第七十九條
銀監會及其派出機構對銀行業金融機構信息科技外包工作進行監督和檢查,監督檢查結果納入對銀行業金融機構的監管評級。
第八十條
對于風險較高的信息科技外包服務,銀監會或其派出機構可以要求銀行業金融機構暫緩、中止該類外包服務,直至銀行業金融機構、外包服務提供商有效改正。
第八十一條
銀行業金融機構違反本指引規定的,銀監會或其派出機構可要求其糾正或采取替代方案,并視情況予以問責。因管理過失導致外包活動嚴重危及銀行業金融機構穩健運行、損害存款人和其他客戶合法權益的,依法追究銀行業金融機構管理責任。
第八十二條
銀監會實行銀行業信息科技外包服務活動風險監測機制,定期對銀行業金融機構發布銀行業重點外包服務機構名單和風險提示,防范因高機構集中度外包服務導致的系統性、區域性信息科技風險。第八十三條
銀監會應當對具有機構集中度特點的銀行業金融機構信息科技外包服務進行重點風險監測、評估,根據需要,可以要求銀行業金融機構與重點外包服務機構會談,就其外包服務活動和風險的重大事項作出說明。
第八十四條
銀監會應當組織銀行業金融機構實地核查銀行業重點外包服務機構承擔的銀行業金融機構信息科技服務活動,原則上每兩年進行一次,也可以委托其他第三方機構審計的形式實施。
第八十五條
銀監會可以根據銀行業金融機構信息科技服務活動風險評估和實地核查結果,對銀行業金融機構發出監管提示,要求其督促銀行業重點外包服務機構對風險問題實施整改。
第八十六條
銀行業重點外包服務機構應當配合銀行業金融機構及銀監會的風險監測和實地核查。
第八十七條
銀監會組織相關銀行業金融機構對銀行業信息科技外包服務提供商建立服務管理記錄,并對其進行風險評估和評級。
第八十八條
服務提供商在外包服務中存在以下情形的,銀監會定期向銀行業發布服務提供商風險預警,公布機構名單、服務信息等,要求銀行業金融機構禁止相關服務提供商承擔銀行業信息科技外包服務,禁止期至少為兩年。外包服務提供商兩年內仍未整改的,延長其禁止期。
(一)違反國家法律、法規和監管政策,情節嚴重的;
(二)竊取、泄露銀行業金融機構敏感信息,情節嚴重的;
(三)因管理過失,多次發生重要信息系統服務中斷或數據損毀、丟失、泄露事件的;
(四)服務質量低下并給多家銀行業金融機構造成損失,多次提示仍未整改的;
(五)對風險監測和實地檢查發現的問題,逾期仍未整改的;
(六)存在其他違法違規行為,或發生其他重大信息科技風險事件的。
第八十九條
銀監會負責監督銀行業金融機構對信息科技外包服務提供商實施準入管理。對于存在重大風險的外包活動,銀行業金融機構應當立即評估外包的適當性,對信息科技外包服務提供商進行風險預警提示,要求其進行整改并設定期限;逾期未整改的,禁止其承擔信息科技外包服務。
第九章 附則
第九十條
本指引由銀監會負責解釋、修訂。第九十一條
本指引自公布之日起施行。
第五篇:建議關注信用卡催收外包業務的法律風險
建議關注信用卡催收外包業務的法律風險
隨著信用卡業務的普及,信用卡欠款總額也隨之上升,單憑銀行已經難以完成信用卡債務的催收工作,因此,許多銀行出于加快信用卡逾期欠款回收、降低經營成本的考慮,將信用卡欠款的催收業務外包給一些第三方催收公司。這種做法雖然一定程度上減少了銀行成本壓力,加快了催收回款的速度,但從現有實踐看,催收外包業務一旦開展不慎,將會對銀行聲譽、客戶利益,乃至于社會帶來很大的負面影響,各類報刊對此類問題的報道也是屢見不鮮。因此,發卡銀行在開展催收外包業務時一定要謹慎。結合目前的法律法規,建議各行在開展催收外包業務時應注意以下幾點:
一、催收外包公司的主體合法性。信用卡催收外包公司作為第三方機構,是否擁有合法性一直引發社會的質疑。國家有關部門對社會上的“討債公司”及“討債行為”曾頒布過禁止性文件,而第三方催收公司大多數是游離于法律法規之外的“討債公司”,既沒有國家頒發的經營許可牌照,又缺乏相關法律法規的約束與管理,這些都導致了此類第三方催收公司承擔催收業務的非法性。因此,銀行在選擇催收外包公司時,應注意選擇有催收外包業務經營資質的第三方公司進行合作。
二、委外催收授權的合法性。信用卡客戶透支后,銀行與客戶之間就形成了債權債務關系,銀行有權要求用戶還款。委托催收外包公司進行催收,實際上是銀行將要求客戶還款的催收權利授權委托給催收公司,在此過程中,授權范圍是否明確,授權權限是否合法,催收公司催收手段是否合法,都將影響委外催收是否合法有效。授權不明、非法催收所帶來的法律后果將由銀行和催收外包公司共同承擔。從理論上講,催收外包公司所能行使的權利只能是提醒信用卡欠款客戶還款,無論是采用電話還是上門面談方式,都不能行使除提醒之外的任何手段進行催收。因此,銀行在委托催收公司行使催收權利時,應當以書面授權或簽署協議的形式授權催收公司行使催收權利,明確催收的權利范圍,要求催收公司采取合法方式進行催收。同時,加強對催收公司催收方式與手段的監控,對催收公司采取諸如電話騷擾、威脅恐嚇、哄騙敲詐等非法手段進行催收的,應及時予以制止乃至終止授權。
三、客戶信息的保密義務。銀行授權催收外包公司進行催收業務時需要提交相關客戶信息,例如姓名、身份證號碼、聯系電話及信用卡卡號等,這就存在客戶信息被泄露的風險。一旦不法催收外包公司利用銀行在發行信用卡環節的漏洞,盜用這些信息申請信用卡,或將客戶信息泄露給第三人,就有可能使銀行承擔違反保密義務的違約責任,也可能給客戶造成嚴重的經濟損失。因此,銀行在授權第三方公司進行委外催收時,應嚴格控制客戶信息的提供范圍,與催收外包公司明確各項保密義務及違約責任,避免因客戶信息泄露可能導致的各種法律后果。(福建行辦公室)
![下載第十四期法律知識點(信息科技、業務連續性、外包風險管理)[本站推薦]word格式文檔](http://static.xiexiebang.com/skin/default/images/icon_word.png){kind=icon}
點擊咨詢 