18-业务外包风险管理、信息科技风险管理

业务外包风险管理、信息科技风险管理【知识点】业务外包风险管理业务外包是指商业银行将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为。 服务提供商包括独立第三方，商业银行母公司或其所属集团设立子公司、关联公司或附属机构。商业银行开展外包活动遵循以下原则：一是制定外包的风险管理框架以及相关制度，并将其纳入全面风险管理体系；二是根据审慎经营原则制定其外包战略发展规划，确定与其风险管理水平相适宜的外包活动范围；三是对于战略管理、核心管理以及内部审计等职能不宜外包。一、业务外包管理的主要框架（一）外包管理的组织架构和管理内容 商业银行外包管理的组织架构包括董事会、高级管理层及外包管理团队。1. 董事会（做决定的）负责审议批准外包的战略发展规划；审议批准外包的风险管理制度；审议批准本机构的外包范围及相关安排；定期审阅本机构外包活动相关报告；定期安排内部审计，确保审计范围涵盖所有的外包安排。2. 高级管理层（政策落地）负责制定外包战略发展规划；制定外包风险管理的政策、操作流程和内控制度；确定外包业务的范围及相关安排；确定外包管理团队职责，并对其行为进行有效监督。3. 外包管理团队（具体干活的）负责执行外包风险管理的政策、操作流程和内控制度；负责外包活动的日常管理，包括尽职调查、合同执行情况的监督及风险状况的监督；向高级管理层提出有关外包活动发展和风险管控的意见和建议；在发现外包服务提供商业的业务活动存在缺陷时，采取及时有效的措施。（二）外包风险管理1业务外包风险评估。应评估以下风险因素：外包活动的战略风险、法律风险、声誉风险、合规风险、操作风险、国别风险等风险；影响外包活动的外部因素；本机构对外包活动的风险管控能力；服务提供商的技术能力及专业能力，业务策略和业务规模，业务连续性及破产风险，风险控制能力及外包服务的集中度等。2尽职调查。尽职调查应当包括：管理能力和行业地位；财务稳健性；经营声誉和企业文化；技术实力和服务质量；突发事件应对能力；对银行业的熟悉程度；对其他商业银行提供服务的情况；商业银行认为重要的其他事项；外包活动涉及多个服务提供商时，应当对这些服务提供商进行关联关系的调查。3外包协议管理。合同或协议应当包括但不限于以下内容：外包服务的范围和标准；外包服务的保密性和安全性的安排；外包服务的业务连续性的安排；外包服务的审计和检查；外包争端的解决机制；合同或协议变更或终止的过渡安排；违约责任。对于具有专业技术性的外包活动，可签订服务标准协议。4外包服务承诺。应要求外包服务提供商承诺以下事项：定期通报外包活动的有关事项；及时通报外包活动的突发性事件；配合商业银行接受银行业监督管理机构的检查；保障客户信息的安全性，当客户信息不安全或客户权利受到影响时，商业银行有权随时终止外包合同；不得以商业银行的名义开展活动。5分包风险管理。在分包合同中明确以下事项：服务提供商分包的规则；分包服务提供商应当严格遵守主服务提供商与商业银行确定的外包合同或协议中的相关条款；主服务商应当确认在业务分包后继续保证对服务水平和系统控制负总责；不得将外包活动的主要业务分包。6跨境外包管理。商业银行在开展跨境外包活动时，应当遵守以下原则：审慎评估法律和管制风险；确保客户信息的安全；选择境外服务提供商时，应当明确其所在国家或地区监管当局已与我国银行业监督管理机构签订谅解备忘录或双方认可的其他约定。7其他事项。商业银行应当事先制定和建立外包突发事件应急预案和机制。通过采取替代方案、寻求合同项下的保险安排等措施，确保业务活动的正常经营。应当定期对外包活动进行全面审计与评价。二、业务外包的监督管理银监会及其派出机构根据需要对外包活动进行现场检查，并将检查结果纳入对该机构的监管评级。商业银行外包活动出现：违反相关法律、行政法规及规章；违反本机构风险管理政策、内控制度及操作流程等；存在重大风险隐患；其他认定的情形时，银行业监督管理机构可以要求商业银行纠正或采取替代方案，并视情况予以问责。【例题.单项选择题】下列各项不属于商业银行业务外包的是（）。 A技术外包B处理程序外包C业务营销外包D内部审计业务外包网校答案：D网校解析：战略管理、核心管理以及内部审计等职能不应外包出去。【知识点】信息科技风险管理信息科技风险是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。一、信息科技治理商业银行应在建立良好的公司治理的基础上进行信息科技治理，形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。董事会负责审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。掌握主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制。应设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会，负责监督各项职责的落实，定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。应设立首席信息官，直接向行长汇报，并参与决策。首席信息官的职责包括：直接参与本银行与信息科技运用有关的业务发展决策。确保信息科技战略，尤其是信息系统开发战略，符合本银行的总体业务战略和信息科技风险管理策略信息科技部门承担本银行的信息科技职责，履行信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退出等职责。二、信息科技风险管理1.制定全面的信息科技风险管理策略；2.制定持续的风险识别和评估流程；3.依据信息科技风险管理策略和风险评估结果，实施全面的风险防范措施；4.建立持续的信息科技风险计量和监测机制；5.遵守境内外监管机构关于信息科技风险管理的要求，并防范因监管差异所造成的风险。 三、信息安全主要管理要素如下：1.信息科技部门负责落实信息安全管理职能，包括建立信息安全计划和保持长效的管理机制；2.有效管理用户认证和访问控制的流程，用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制，并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的最低限度；3. 根据信息安全级别，将网络划分为不同的逻辑安全域(以下简称为域)；4. 确保所有计算机操作系统和系统软件的安全；5. 确保所有信息系统的安全；6. 制定相关策略和流程，管理所有生产系统的活动日志，以支持有效的审核、安全取证分析和预防欺诈；7. 应采取加密技术，防范涉密信息在传输、处理、存储过程中出现泄露或被篡改的风险，并建立密码设备管理制度，确保使用符合国家要求的加密技术和加密设备；8. 配备切实有效的系统，确保所有终端用户设备的安全，并定期对所有设备进行安全检查；9. 制定相关制度和流程，严格管理客户信息的采集、处理、存储、传输、分发、备份、恢复、清理和销毁；10. 对所有员工进行必要的培训，使其充分掌握信息科技风险管理制度和流程，了解违反规定的后果，并对违反安全规定的行为采取零容忍政策。四、信息系统开发、测试和维护商业银行应有能力对信息系统进行需求分析、规划、采购、开发、测试、部署、维护、升级和报废，制定制度和流程，管理信息科技项目的优先排序、立项、审批和控制。五、业务连续性管理1.业务连续性计划是指为实现业务连续性而制定的各类规划及实施的各项流程。2.业务连续性管理内容（1）商业银行应根据自身业务的性质、规模和复杂程度制定适当的业务连续性规划，以确保在出现无法预见的中断时，系统仍能持续运行并提供服务；（2）定期对规划进行更新和演练，以保证其有效性。3. 业务连续性管理应符合以下要求（1）评估因意外事件导致其业务运行中断的可能性及其影响；（2）采取系统恢复和双机热备处理等措施降低业务中断的可能性，并通过应急安排和保险等方式降低影响；（3）建立维持其运营连续性策略的文档，并制定对策略的充分性和有效性进行检查和沟通的计划；（4）业务连续性计划和年度应急演练结果应由信息科技风险管理部门或信息科技管理委员会确认。六、信息科技审计商业银行应对信息科技风险管理进行内部审计和外部审计。1.内部审计（1）商业银行应根据自身情况，决定信息科技内部审计范围和频率。但至少应每三年进行一次全面审计。（2）内部信息科技审计的责任包括：制定、实施和调整审计计划，检查和评估商业银行信息科技系统和内控机制的充分性和有效性；提出整改意见；检查整改意见是否得到落实；执行信息科技专项审计。（3）信息科技专项审计，是指对信息科技安全事故进行的调查、分析和评估，或审计部门根据风险评估结果对认为必要的特殊事项进行的审计。2. 外部审计（1）商业银行可以委托具备相应资质的外部审计机构进行信息科技外部审计。（2）在委托审计过程中，应确保外部审计机构能够对本银行的硬件、软件、文档和数据进行检查，以发现信息科技存在的风险，国家法律、法规及监管部门规章、规范性文件规定的重要商业、技术保密信息除外。（3）在实施外部审计前应与外部审计机构进行充分沟通，详细确定审计范围，不应故意隐瞒事实或阻挠审计检查。（4）银监会及其派出机构必要时可指定具备相应资质的外部审计机构对商业银行执行信息科技审计或相关检查。【例题.单项选择题】以下关于信息科技审计表述错误的是( )。A商业银行至少应每三年进行一次全面审