商业银行银行业务外包管理办法

PAGE1商业银行银行业务外包管理办法第一章总则第一条为加强业务外包管理，规范外包行为，防范外包风险，依据《企业内部控制基本规范》、《企业内部控制应用指引第13号——业务外包》、《银行业金融机构外包风险管理指引》、《银行业金融机构信息科技外包风险监管指引》及有关规定，结合实际，制定本办法。第二条本办法适用于银行境内外各级机构（以下简称各级行）。境外机构注册地所在国（地区）法律、监管有特殊规定或与本办法不一致的，应制定满足所在国（地区）要求的实施细则，报总行备案后实施。综合化经营子公司参照执行。第三条本办法所称业务外包，是指各级行将原本由自身负责处理的某些业务活动委托给服务提供商（以下简称服务商）进行持续处理的行为。服务商包括独立第三方以及我行设立在境内外的子公司、关联公司或附属机构。工程项目外包不纳入本办法管理范围。第四条业务外包管理目标是在风险可控的前提下，通过引入专业化的外部服务，节约资源投入，提高运营效率，提升核心竞争能力。第五条业务外包管理应遵循以下原则：（一）依法合规。各级行外包活动必须依法合规，照章办事。严禁虚假外包、过度外包、超绕控制等违法违规行为。（二）防控风险。各级行应建立涵盖事前、事中和事后的全流程外包风险控制体系，有效防范外包风险。（三）分工负责。各级行应根据部门职责和本办法规定，明确部门外包管理职责，分工协作，密切配合，共同做好外包管理工作。（四）成本效益。各级行应按照审慎经营和成本效益原则，严格限定外包范围，严格审批外包项目，从严控制外包活动成本。（五）全程管理。各级行应对外包活动实行审批、采购、签约、实施、风险防范等全过程管理和控制。第六条业务外包分类（一）根据业务属性，分为科技外包和非科技外包。科技外包是指采取项目外包、人力资源外包等形式，将原本由自身负责处理的信息科技活动委托给服务商进行处理的外包活动。（二）根据重要性，分为重大业务外包和一般业务外包。重大业务外包是指对业务经营有重大影响的外包活动。（三）根据服务场地，分为驻场外包和非驻场外包。非驻场外包是指服务商不在我行现场提供服务的外包活动。（四）根据与服务商的关系，分为关联外包和非关联外包。关联外包是指服务商为我行设立在境内外的子公司、关联公司或附属机构的外包活动。第七条总行根据全行经营发展战略，坚持审慎经营、成本效益原则，统一确定与我行风险管理水平相适宜的业务外包范围，各级行应在总行确定的外包范围内开展外包活动。（一）科技外包范围。1.研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求、系统开发、测试外包。2.系统运行维护类外包：包括数据中心（灾备中心）、机房配套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包。3.业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。（二）非科技外包范围。同时符合以下条件的非科技业务活动可以外包：1.与核心业务关联度低，属劳动密集型或辅助性质。2.内部资源不足或业务执行能力不强。3.有成熟的外部服务供应市场，外包处理成本较低或效率较高。4.外包质量、信息安全、业务风险等能够进行有效控制。（三）下列业务不得外包：1.战略管理、核心管理及内部审计等职能。2.涉及国家秘密、我行核心商业秘密和核心技术的业务。3.通过外包不能显著降低成本、提升效率的业务。4.监管规定不得外包的其他业务。第八条各级行应建立业务外包授权和转授权管理制度，严格外包审查审批，充分论证外包必要性、经济性与可行性，审慎实施业务外包。第二章管理职责第九条业务外包实行统一领导、分级管理、分工负责的管理体制，董事会和高级管理层承担外包活动的最终责任。第十条董事会主要职责：（一）负责审议批准全行外包战略发展规划。（二）负责审议批准全行外包风险管理制度。（三）负责审议批准全行外包范围及年度计划安排。（四）负责审议批准重大业务外包事项（具体标准另明确）。（五）负责定期审阅全行业务外包综合评估报告和相关条线业务外包活动报告。（六）负责审议批准内部审计计划，定期听取相关审计报告，确保审计范围涵盖所有外包安排。第十一条高级管理层负责全行业务外包的统筹管理，主要职责：（一）负责制定全行外包战略发展规划。（二）负责制定全行外包管理制度、政策和操作流程。（三）负责明确机构、部门、人员的外包管理职责和权限并进行监督。（四）负责确定全行年度外包计划。（五）负责根据董事会授权审核、审批并组织实施业务外包。分管财务会计工作的负责人应参与重大业务外包的决策。第十二条各级行及其负责人负责辖内业务外包管理，按照管理授权严格审核审批业务外包事项。超过授权权限的，应按规定流程报有权审批人审批。第十三条财务会计部门是业务外包的牵头管理和财务管理部门，主要职责：（一）负责牵头拟订外包战略发展规划，并牵头组织实施。（二）负责牵头拟订外包管理制度、政策和操作流程。（三）负责牵头拟订外包财务授权管理方案。（四）负责牵头编制年度外包计划。（五）负责外包费用预算和支出的总量控制。（六）负责按照财务审批权限对外包项目费用预算进行财务审批。（七）负责外包业务的核算与监督，按照合同及有关规定进行费用结算。（八）负责协调督导下级行、有关部门履行外包管理职责。（九）负责牵头组织外包实施情况的统计、分析和评价。（十）负责按内外部有关规定和要求提交外包综合评估报告。第十四条科技管理部门是科技外包的牵头管理部门，主要职责：（一）负责牵头拟订信息科技外包战略（策略）并组织实施。（二）负责牵头拟订科技外包管理制度、政策、操作流程和重大科技外包项目清单。（三）负责牵头编制科技外包计划，配合财务会计部门做好科技外包费用预算和支出的总量控制。（四）负责提出科技外包服务商的基本准入标准和要求，按职责分工实施科技外包服务商的准入、评价和退出管理。（五）负责牵头组织制定保障科技外包服务持续性的应急管理方案，牵头组织定期实施演练。（六）负责牵头组织科技外包活动监控和后评价。（七）负责总结、分析、评价科技外包活动，形成科技外包活动报告，按内外部有关规定和要求备案、报告科技外包情况。第十五条业务管理部门为本条线业务外包的专业管理部门，主要职责：负责拟订本条线外包管理实施细则或要求，明确本条线重大业务外包项目清单，指导本条线外包工作。（二）负责编制本条线外包计划，配合财务会计部门做好本条线外包费用预算和支出的总量控制。（三）负责制定本条线外包服务持续性的应急管理方案并牵头组织实施。（四）负责本条线外包的规范和尽职监督管理。（五）负责本条线外包统计、风险自评估和后评价。（六）负责总结、分析、评价条线外包活动，形成条线外包活动报告，按内外部有关规定和要求备案、报告本条线外包情况。第十六条项目实施部门是业务外包项目管理的直接责任部门，主要职责：（一）负责外包项目必要性、可行性的调查和分析，按规定程序和要求进行需求申请、计划申报、预算编制、项目申报等工作。（二）负责配合采购管理部门开展采购相关事宜，做好外包服务商的准入、评价和退出管理。（三）负责拟订合同条款，按照合同约定组织实施业务外包。（四）负责外包项目的日常管理和风险控制。（五）负责组织实施外包验收，出具验收报告。（六）负责对服务商进行日常监督考核，撰写履约评价报告。涉及关联外包的，服务商服务质量应纳入我行对其业绩评价范围。（七）负责外包项目风险自评估和后评价。（八）负责按内外部有关规定和要求备案、报告外包项目相关情况，配合相关管理部门做好外包活动总结、分析、评价工作。第十七条采购管理部门按照集中采购有关规定，负责对应纳入集中采购范围的业务外包项目组织实施集中采购，并按职责分工牵头组织实施外包服务商的准入和退出管理。第十八条风险管理部门履行以下主要管理职责：（一）负责对业务外包中的国别风险及科技外包中的信息科技风险进行风险审查。（二）负责组织开展科技外包风险评估，保持评估的独立性，并向高级管理层提交科技外包风险评估报告。（三）配合相关管理部门做好科技外包活动总结、分析、评价工作。第十九条内控合规部门履行以下主要管理职责：（一）负责牵头拟订外包风险管理制度和政策。（二）负责对外包范围、规章制度进行合规审查。（三）根据职责分工，负责牵头对外包风险进行评估，按有关规定向高级管理层提交外包风险评估报告。（四）根据职责分工，负责外包项目的风险合规审查管理、评估和提示。（五）负责对各级行、相关部门外包管理履职情况进行监督检查。（六）配合相关管理部门做好外包活动总结、分析、评价工作。第二十条法律部门负责按照相关规定开展业务外包合同的法律审查，处理外包中的法律问题。第二十一条人力资源管理部门负责指导本级行业务管理部门、项目实施部门制定相应的业务外包风险防控措施，识别和防控用工风险。第二十二条办公室负责业务外包项目实施过程中保密工作的指导及监督。第二十三条内部审计部门负责对业务外包进行全面审计，按内外部有关规定和要求报告外包审计情况。第二十四条纪检监察部门负责对业务外包管理和实施情况进行监督，对涉及我行员工违规违纪违法行为的举报线索进行调查，并按照有关规定进行处理。第二十五条上述职责分工与各级行原有管理职责部门分工不一致的，各级行应根据本行实际进行调整和落实。第三章业务外包审批第二十六条业务外包审批主要包括计划管理、立项审批、财务审批等环节。第二十七条业务外包实行计划管理。各级行业务管理部门应按照计划编制要求，在外包范围内提出年度外包需求，经同级财务会计部门汇总平衡，按规定流程报有权审批人批准后列入年度外包计划。第二十八条各级行应依据管理授权，对业务外包项目进行立项审批。`（一）项目实施部门应根据本办法相关规定提出立项申请，包括必要性和可行性分析、实施方案、风险评估等。必要性和可行性分析包括但不限于以下内容：外包原因，成本效益分析，外部市场成熟度和可选服务商情况，新增（或减少）该项目对经营管理和业务发展的促进作用（或不利影响），同业该业务外包情况等。（二）立项申请应经办公室、人力资源、财务会计、风险管理、内控合规等部门会签同意，涉及科技外包还应经科技管理部门会签同意，报有权审批人批准后予以立项。超过本行授权权限的，应按规定流程报有权审批人审批。第二十九条各级行应对立项审批通过的业务外包项目进行财务审批。（一）项目实施部门将立项审批通过的外包项目费用预算提交财务会计部门进行财务审批。费用预算应详细测算项目支出总额和年度列支安排，合理预测对增加收入或节约其他支出的影响，全面论证外包对效益增长的作用。收入预测、支出测算应科学、客观、全面、依据充分。（二）财务会计部门统筹考虑外包项目安排，按规定流程审批费用预算。超过本行授权权限的，应按规定流程报有权审批人审批。（三）财务有权审批人批准后，业务外包项目方准予实施。（四）外包项目费用预算纳入各级行财务预算统筹安排，费用支付和核算必须符合外部监管制度和我行财务管理规定。外包项目支出必须控制在预算额度以内。第四章服务商选择第三十条各级行应依据经批准的业务外包实施方案，按照采购管理规定和流程严格选择服务商。服务商至少应当具备以下条件：（一）依法成立、合法经营的专业服务机构，具有相应的经营范围和固定的办公场所。（二）具备相应的专业资质，其从业人员符合岗位要求和任职条件，具有相应的专业技术资格。（三）技术及经验水平符合我行外包管理要求。第三十一条各级行应综合考虑内外部因素，合理确定业务外包价格，严格控制外包成本。第三十二条各级行应遵循公开、公平、公正的原则，引入竞争机制，采用适当方式择优选择服务商。采用招标方式选择服务商的，应符合招投标法相关规定。涉及关联外包的，应坚持独立交易原则，确保交易价格公允。各级行及相关人员在选择服务商的过程中，不得收受贿赂、回扣或者索取其他好处。服务商及其工作人员不得利用行贿、提供回扣或者给予其他好处等不正当手段承揽业务。第三十三条各级行应对候选服务商进行尽职调查。尽职调查应当包括但不限于以下事项：（一）管理能力和内部控制能力。（二）持续经营能力和财务稳健性。（三）经营声誉和企业文化。（四）技术实力、行业地位和服务质量。（五）突发事件应对能力。（六）对银行业的熟悉程度。（七）对其他商业银行提供服务的情况。（八）对反洗钱、反恐怖融资、反逃税、制裁合规及其他金融犯罪信息的筛查情况。（九）涉及多个服务商的，应对服务商进行关联关系调查。（十）跨境业务外包中涉及境外服务商的，应明确其所在国家或地区监管当局已与我国银行业监督管理机构签订谅解备忘录或双方认可的其他约定。第三十四条各级行应按照权限和规定程序从候选服务商中确定最终的服务商，签订业务外包合同，明确双方权利义务，并经法律部门审核。合同应当包括但不限于以下内容：（一）外包服务的内容和范围。（二）服务质量标准。（三）外包服务的保密性和安全性安排。（四）业务连续性及突发事件应急处理安排。（五）外包服务的检查和审计。（六）不得转包、变相转包的要求。（七）合同变更或终止的过渡安排。（八）费用金额、结算标准和支付方式。（九）服务过程中产生、加工、交互的信息和知识产权归属权。（十）争端解决机制、违约责任及赔偿条款。对于具有专业技术性的业务外包，应签订服务标准协议。第三十五条各级行应关注业务外包服务商分包的风险，并在合同中增加以下约定：（一）服务商分包规则。（二）分包服务商应严格遵守主服务商与我行确定的外包合同或协议中的相关条款。（三）主服务商保证业务分包后继续对服务水平和系统控制负总责。（四）不得将外包的主要业务分包。第三十六条业务外包合同应明确要求服务商承诺以下事项：（一）从业人员无不良记录，服务商与其建立合法的雇佣关系，依法履行用工管理职责。（二）定期通报外包有关事项。（三）及时通报外包突发性事件及解决情况。（四）配合接受监管机构的监督检查。（五）充分保障我行客户信息安全。当客户信息不安全或客户权利受到重大不利影响时，我行有权随时终止合同。（六）不得以我行名义开展活动。（七）不得在合同允许范围外使用或者披露我行信息。（八）应当承诺的其他事项。第三十七条业务外包需要保密的，应当严格执行《中华人民共和国保守国家秘密法》、《银行保密管理办法》及相关规定，在外包合同或者另行签订的保密协议中明确服务商的保密义务和责任，要求服务商向其从业人员提示保密要求、应承担的责任并进行监督。第五章业务外包实施第三十八条各级行应加强业务外包实施管理，严格按照管理制度、工作流程和相关要求组织开展外包活动，采取有效控制措施确保服务商严格履行外包合同。第三十九条业务外包应建立严格的信息保密机制，保护我行客户信息和其他重要信息的安全。根据实际情况和需要，可采取以下信息保密措施：（一）严格信息使用授权，对服务商及其相关人员获得信息的范围进行控制，非履行合同所需不得授权。（二）要求服务商将我行客户资料与其他客户资料有效隔离。（三）要求服务商不得转包或变相转包，要求其采取有效措施确保相关信息安全。（四）对驻场外包项目，应安排我行人员或安置相关设备进行监督或监控。对非驻场外包项目，应安排我行人员进行现场或非现场监督管理。（五）外包合同执行完毕或终止执行时，收回或销毁服务商保存的所有我行客户资料和工作信息。第四十条项目实施部门应事先制定和建立业务外包突发事件应急预案和机制，确保必要时可通过采用替代方案、合同项下的保险安排等措施，保证正常经营及避免损失。遇到对业务经营、客户信息安全、声誉等产生重大不利影响的事件，应按有关规定及时报告。第四十一条项目实施部门应安排专人实施业务外包项目管理，及时监控检查和评估履约情况，评价实施效果。要加强与服务商的沟通与协调，及时搜集相关信息，发现和解决外包管理中存在的问题。监控到异常情况时，及时督促服务商采取纠正措施，情节严重的或未及时纠正的，约谈服务商高管人员并限期整改。第四十二条业务外包项目实施过程中，项目实施部门应对服务商的履约能力进行持续评估。有确凿证据表明服务商存在重大违约行为导致外包合同无法履行的，应及时终止合同。服务商违约并造成损失的，应按照合同进行索赔，并追究有关责任人责任。第四十三条业务外包项目实施过程中及完成后（合同执行完毕）需要验收的，项目实施部门应按照合同约定的验收标准进行验收，对服务商的履约情况和外包质量做出评价，撰写验收报告及履约评价报告。验收过程中发现异常情况，应立即报告，查明原因并及时处理。评价结果作为服务商准入、退出的重要参考依据。第四十四条项目实施部门应及时对已完成的业务外包项目进行后评价。后评价应当包括但不限于以下内容：（一）合同目的或预定目标达成情况。（二）经营效率改进和提升情况。（三）出现的风险及风险控制措施执行情况。（四）成本预算控制和执行情况。（五）项目实施部门及其他相关管理部门职责履行情况。（六）未来是否继续实施业务外包的判断和评价。第四十五条办公室、人力资源、纪检监察、财务会计、风险管理、内控合规、法律、业务管理、科技管理、采购管理等部门应