银行年度外包风险评估管理报告

1、北*银行2021年外包风险评估管理报告北*银行董事会：为了切实防范业务外包风险，促进业务外包稳健开展， 依据银行业金融机构外包风险管理指引（银监发2014 44号）及北*银行外包风险管理方法（北*银发（2021） 284号）相关规定，总行法律与合规部牵头组织全行及子公 司*北*商村镇银行开展了外包业务风险自评工作。本次评估 以涉及的所有外包业务为对象，外包业务经营部门或机构对 2021年的外包业务开展情况进行自评并报送自评报告，法律 与合规部对评估情况进行了汇总、审核，旨在通过查找缺陷 和缺乏，提升业务外包整体风险防控能力。现将情况报告如 下：一、外包风险管理情况2021年，我行在坚持“适宜适

2、度、审慎管理、业务外包, 风险责任不外包”的管理原那么下，稳健开展各项外包活动， 通过完善组织架构、制度体系、风险管控措施等不断提升外 包管理质效。我行本年度未发生重大外包风险事件，外包风 险总体可控。附属机构*北*商村镇银行本年度也未发生重大 外包风险事件，集团层面外包风险水平总体可控。（一）完善组织架构，夯实管理基础我行已建立外包风险管理的组织架构，由董事会、监事 会、高级管理层、外包风险管理相关部门、审计部搭建分工 合理、职责明确、报告关系清晰的外包风险管理组织架构和 内部监督体系，由不同层次和不同部门承当外包活动经营、 管理和审计监督等职能，并通过该管理架构的有效运行，防 范外包业务风

3、险。2021年，我行对照银行业金融机构外包 风险管理指引中相关要求，结合我行经营实际，进一步调 整并明确了董事会、高级管理层在外包风险管理体系中的履 行职责，并将附属机构纳入外包风险的并表管理，不断完善 风险管理体系和组织架构，保障有效控制全行的外包风险。（二）健全管理制度，筑牢制度防线我行制定了北*银行外包风险管理方法作为外包风 险管理的基础制度，在基础制度框架下，外包业务条线管理 部门制定了相关业务条线的外包管理制度，局部分支机构也 根据自身业务情况制定了相应的外包管理制度，建立了基础 制度、条线外包制度、分支机层级构外包制度的制度体系， 共同规范和指导外包业务的开展，对外包活动的内部管理

4、和 业务开展提出了明确要求，形成有效的常规化工作措施，强 化业务外包风险的全面管理。2021年，我行修订了北*银 行外包风险管理方法，增加了外包商选择原那么、准入要求、 信息保护、对附属机构的并表管理等内容，进一步明确外包 风险管理要求；修订了信息科技外包人员管理方法、北 *银行开发室管理方法、北*银行平安管理方法、北*银 行舆情监测和管控应急预案、北*银行自助设备管理办 法、北*银行办公大楼标准化管理手册等业务条线和行 内管理涉及外包活动的管理制度，进一步规范外包业务和管 理流程。（三）加强风险识别，强化风险管控我行通过多措并举不断完善外包风险识别，强化外包风 险管控。一是建立合同审查机制，

5、对各外包活动经营部门提 交的外包协议或合同加强事前风险识别；二是针对高风险领 域进行风险排查，如我行2021年组织开展了对重要外包服 务商及托管的业务系统与互联网系统开展外包风险排查，对 敏感信息平安、系统平安、数据平安、服务运行平安等方面 进行了风险识别和评估，强化信息系统外包风险管控；三是 针对日常经营管理中发现的外包风险，及时下发风险提示, 如对虔城快贷工程在运营中引入外部合作机构提供借款用 户引流服务的业务流程外包活动进行外包风险提示；四是通 过强化业务条线检查，对外包活动进行日常监督和管理，如 保卫部定期开展安保工作检查，电子银行部定期开展自助设 备管理检查，个人业务部定期开展个人金

6、融信息保护检查;五是附属机构*北*商村镇银行逐步建立外包风险管理机制, 根据*北*商村镇银行外包风险管理方法（试行）实施外包 活动的管理和相关风险识别。二、外包业务主要风险分析与评估（一）（一）明确外包范围,防范战略风险外包业务不符合核心业务战略开展时，可能产生战略风险。针对战略风险，我行制定了北*银行外包风险管理办 法，严格限定外包业务范围，明确涉及我行战略管理、核 心管理、内部审计以及监管明确禁止外包的业务或职能严禁 外包，确保外包业务安排与北*银行2019-2021年战略规 划相一致。我行2021年开展的外包业务均为非核心业务外包，包 括专业化服务外包、信息技术外包和业务流程外包三种类

7、型。其中，总行层面的专业化服务外包12类，包括营业场 所保安服务、社会化押运、金库守卫、监控值守、公众号运 营、网络舆情监测、自助设备运营维护、异地灾备中心托管、 网银系统托管、现金清分、抵押房产估值、物业管理等；信 息技术外包3类，包括系统开发、系统测试、人力外包服务; 业务流程外包的工程5类，包括使用外部成熟的资金管理系 统模块开展业务、卡片制卡、营销获客、银企对账、支付信 息统计分析报送。分支行层面均为专业化服务外包，主要外 包业务为社会化押运、监控值守、营业场所保安服务、款箱 寄库服务、自助设备巡查、同业现金业务代理服务、同城票 据交换、110联网报警服务等。子公司*北*商村镇银行的外

8、 包业务均为专业化外包，包括社会化押运、款箱寄库服务、 自助设备巡查3类。我行通过明确外包业务界限，选择局部 非核心业务进行外包，有效防范了战略风险。（二）规范合同管理，防范法律风险外包业务未签订合同或合同条款不规范，可能产生法律 风险。针对法律风险，我行按照行内合同管理要求进行外包 合同规范管理，防范外包合同可能引发的法律风险。我行现 有外包合同分为格式合同和非格式合同。格式合同由总行制 定，包括社会化押运合同、自助设备巡查合同、营业场所保 安服务合同、监控中心保安服务外包业务合同，总行及分支 机构开展上述业务的外包活动均使用我行格式合同。非格式 合同由总行法律与合规部按照北*银行合同管理方

9、法进 行法律审查和合同流程管理，确保合同文本要素齐全、权利 义务明确、内容合法合规、防止产生纠纷。经本次评估检查，我行的外包业务活动均与服务提供商 签订了书面合同或协议。另查看科技部人力外包服务合同、 电子银行部自助设备维护保养合同、个人业务部金融IC卡 卡片采购合同、后勤服务部物业服务合同等，上述非格式合 同均载明了外包的内容要求，明确规定双方权利义务、违约 责任以及争议解决等必备条款。（三）加强外包服务商管理，防范声誉风险外包服务商因经营、技术等原因导致无力按照外包合同 要求和标准履行合同责任，将影响业务的正常开展和社会形 象，可能产生声誉风险。针对声誉风险，我行在外包服务商 管理方面建立

10、了外包服务商准入机制，遵循公平、公开、公 证的原那么，择优选择经营稳定、信誉良好、专业性强的外包 服务商，降低外包业务可能带来的声誉风险。在外包业务开 展前，外包活动经营部门或机构须对服务商进行尽职调查， 评估服务商的行业地位、经营声誉、财务稳健性、服务质量、 突发事件的应对能力等，选取综合评价较好的外包服务提供 商开展合作，以保障外包服务和外包产品的质量要求。经本次评估检查，我行现行合作的外包服务商均是合法 合规的公司主体。我行各条线外包活动管理部门选择的外包 服务商基本为经营时间较长、财务稳健、行业地位较高的专 业性公司，如声誉风险监测的外包服务商江西大江传媒网络 股份、北*市辖机构的网点

11、安保外包服务商北*市国 威保安服务公司、运营管理部支付信息统计分析报送的外包 服务商新宇联安科技（北京）等，均是成立时间7 年以上、综合实力强、技术经验良好、对银行业务熟悉的外 包服务商。（四）关注外部环境，防范合规风险外部环境对外包活动产生影响的因素主要来自宏观管 理方面，即因不符合监管要求和政策性要求而产生的合规风 险。针对因外部环境变化产生的合规风险，我行在2021年 进一步建立健全合规风险管理体系建设。一是实施制度合规 评价，评价范围包括涉及全行外包业务的各业务条线和管理 条线的管理方法和规章制度。通过将现行制度对标法律法 规、监管要求、监管规那么及内部管理需要，查缺补漏，修订 完善制

12、度，促进各条线业务合规运行。二是及时关注内外规 最新开展，总行法律与合规部按月编发法规资讯，推送 并解读内外部新规，相关条线部门根据需要及时对最新监管 文件予以解读和培训I,确保监管要求在我行的有效落地，动 态关注监管和政策变化，及时防范合规风险。（五）强化监督检查，防范操作风险由外包服务商提供业务服务可能增加银行的操作风险。 针对操作风险，我行建立了对外包服务商的监督和考评机 制，约束外包服务商严格按照合同约定履行服务，防范操作 风险。一是由外包活动经营部门或机构根据业务特点和需求 进行日常监督。如运营管理部针对现金清分服务通过抽查抽 检、冠字号查询等方式检查现金清分质量；对离行自助网点 清

13、机当日进行查库，做到账实相符；科技部建立与供应商相 关的投诉、约谈、沟通、问题及事件管理、应急管理等过程 管理机制和流程，统一受理和协调解决各类商务风险或问 题，强化供应商日常过程管控；后勤服务部每半年组织物业 主管及各班长开会，对物业管理中存在的问题进行通报和分 析，加强物业服务水平；分支机构普遍通过工作日志的方式 记录自助设备巡查服务和营业网点安保服务的履约情况。二 是通过制定和实施外包服务商的考核方法，加强外包服务商 管理。如科技部每季度对外包人员进行评价，从其钉钉日常 考勤、技术水平、服务意识以及工作效率等多个方面进行综 合考虑，对于无法胜任工作的人员将退回公司，确保工程按 照计划实施

14、；小企业信贷中心制定了北*银行小企业信贷 中心对外合作机构管理实施细那么规范合作机构的准入、监 督和评价管理；保卫部对2021年度检查中发现的外包活动 缺陷采取及时有效的措施，对涉及不认真履职的外包人员进 行了调整。(六)国别风险识别与评估在外包活动中，还可能存在国别风险。目前我行未开展 离岸业务，也未和境外服务商开展外包合作，故不存在国别 风险。三、存在的主要问题(-)外包服务质量未达合同约定栗求。一是我行由外包开发的EAST系统未按照正确的关联条件进行代码开发， 未严格按照数据报送规范进行设计，且系统校验功能简单， 导致数据报送出现错报、漏报。二是存在外包安保公司人员 未严格按照合同约定巡

15、查次数进行自助设备巡查，出现局部 网点自助巡查发生漏查的现象。（二）外包服务日常监测有待加强。少数县域支行的安 保服务公司人员流动性较大，我行相关人员在接库时未严格 执行“三核对”，存在平安隐患。（三）外包合同签订不及时。少数合同因工作人员未提 前谋划、审批时间过长等原因存在未及时续签现象，导致相 关外包事项存在空窗期。批注易1:（四）附属机构的外包管理机制有待完善。目前*北*商 村镇银行虽已建立外包管理相关制度，但相关管理机制尚待 完善，如对外包服务提供商的服务质量监测、外包服务提供 商的退出等需进一步细化管理措施，防止|相关外包业务出现 管控不到位的情况。U!、下一步管理规划及改进建议（一）加强信息科技外包风险管理。信息系统业务需求 部门和使用部门必须在整个软件开发过程中加强参与，尤其 是在需求分析与系统测试两个阶段要发挥主导作用，在后期 系统运行维护阶段，业务部门也应根据实际情况提供系统的 改进意见，防止系统漏洞出现。科技部应在系统设计与编码 开发阶段应发挥主导作用，充分利用系统边际测试或源代码 扫描等技术及时发现系统漏洞、木马程序、软件后门等，强 化系统平安性、数据准确性，将系统外包工程的科技风险降 至最低，保障系统稳定、高效运行，推动我行高质量开展。（二）完善合同管理，提高合同风险意识。在全行进一 步加强外包合同规范管理意识，认真落实合同管理方法，及 时签订外包合同