商业银行外包风险控制管理办法及流程

商业银行外包风险控制管理办法

第一章总则

第一条为加强商业银行（以下简称“本行”）外包活动的

控制，确保所选择的外包方提供的服务符合要求，保障本行业务

持续经营，根据《商业银行内部控制指引》《银行业金融机构外

包风险管理指引》等法律法规要求，结合本行实际，特制定本办

法。

第二条本办法明确外包方的管理职责、控制程序等内容和

要求。

第三条本办法适用于本行所有外包项目的控制。

第四条本办法所称外包，是指本行将原来由自身负责处理

的某些业务活动委托给服务提供商进行持续处理的行为。

第二章职责与权限

第五条董事会的职责

（一）审议批准外包的战略发展规划；

（二）审议批准外包的风险管理制度；

（三）审议批准本机构的外包范围及相关安排；

（四）定期审阅本机构外包活动相关报告；

（五）定期安排内部审计，确保审计范围涵盖所有的外包安

排。

第六条高级管理层的职责

（一）制定外包战略发展规划；

（二）制定外包风险管理的政策、操作流程和内控制度；

（三）确定外包业务的范围及相关安排；

（四）确定外包管理部门职责，并对其行为进行有效监督。

第七条外包管理部门的职责

（一）执行外包风险管理的政策、操作流程和内控制度；

（二）负责外包活动的日常管理，包括尽职调查、合同执行

情况的监督及风险状况的监督；

（三）向高级管理层提出有关外包活动发展和风险管控的意

见和建议；

（四）在发现外包服务提供的业务活动存在缺陷时，及时采

取有效的措施；

（五）高级管理层确定的其他职责。

第九条本行采购管理小组负责外包项目可行性报告的审核

及外包方选择的审定。

第十条风险合规部负责外包合同文本的审核。

第十一条审计部负责对外包活动进行全面监督与评价。

第三章风险管理

第十二条外包内控原则：慎重选挎，严格管理，风险可控,

科学评价。

第十三条本行的战略管理、核心管理以及内部审计等职能

不宜外包。

第十四条在外包活动时，应当评估以下风险因素:

（一）应当关注外包活动的战略风险、法律风险、声誉风险、

合规风险、操作风险、国别风险等风险；

（二）影响外包活动的外部因素；

（三）本行对外包活动的风险管控能力；

（四）服务提供商的资质、技术及专业能力，业务策略、业

务规模、业务连续性、破产风险、风险控制能力及外包服务的集

中度；

（五）其他关注的事项。

第十五条本行在开展跨境外包活动时，应当遵守以下原则：

（一）审慎评估法律和管制风险；

（二）确保客户信息的安全；

（三）选择境外服务提供商时，应当明确其所在国家或地区

监管当局已与我国银行业监督管理机构签订谅解备忘录或双方

认可的其他约定。

第四章控制程序

第十六条外包项目的确定

相关部室根据本行的人员现状，自身能力，服务项目的要求,

比较成本支出后提出建议，由采购管理部门提交采购小组采月招

投标等方式确定外包项目和外包方，按相关程序由分管行长、行

长审批后报董事长批准，确定外包项目。

第十七条外包供方的选定

（一）外包供方等级评定

本行按金额大小和对本行金融服务影响大小将供方分为A

类和B类。

1.A类：单笔金额在5万元（含）以上、一年内累计在5

万元（含）以上的大宗物品或对金融产品/服务质量影响较大的

设备和物品。如：计算机设备、点钞机和重要空白凭证、安防器

材、设备等。

2.B类：单笔金额在5万元（含）以下、一年内累计在5

万元（含）以下的物品且对金融产品/服务质量影响较小的物品。

如：办公用品、耗材及其它后勤物品。

（二）外包供方的选择

根据确定的外包项目，采取公开招标或至少选择3家以上单

位进行比较的方法，选定外包单位。

1.A类供方评价标准

（1）外包单位必须是工商局、税务局注册登记的正常年检

公司；

（2）具有必须的专业经营或生产资质；

（3）企业具备足够的技术人员，从业人员符合规定年限要

求，且经过上岗培训持有从业资格证书。

（4）外包单位的标价适中，且外包公司的信誉良好。

A类供方的选择一般采取招标方式进行，主管外包供方的部

门组织相关部门进行。对于科技项目等特殊情况无法组织招标、

投标的，报采购小组同意后，可采取招议标等其它方式。

2.B类供方由有关部门负责人根据资质、质量、价格及服

务情况比较确定。

（三）本行在进行外包活动时应当对服务提供商进行尽职调

查，尽职调查应当包括以下事项:

1,管理能力和行业地位；

2.财务稳健性；

3.经营声誉和企业文化；

4.技术实力和服务质量；

5.突发事件应对能力；

6,对银行业的熟悉程度；

7.对其他银行业金融机构提供服务的情况；

8.本行认为重要的其他事项。

外包活动涉及多个服务提供商时，应当对这些服务提供商进

行关联关系的调查。

第十八条合规审核

外包合同签订前，应由风险合规部对合同文本进行合规性审

核。

第十九条签订委托协议

本行开展外包活动时应当签订书面合同或协议，明确双方的

权利义务。合同或协议应当包括但不限于以下内容：

（一）外包服务的范围和标准；

（二）外包服务的保密性和安全性的安排；

（三）外包服务的业务连续性的安排；

（四）外包服务的审计和检查；

（五）外包争端的解决机制；

（六）合同或协议变更或终止的过渡安排；

（七）违约责任。

对于具有专业技术性的外包活动，可签订服务标准协议。

第二十条本行在外包活动中应当建立严格的客户信息保密

制度，并依法履行告知义务。

第二十一条本行在外包合同中应当要求外包服务提供商承

诺以下事项：

（一）定期通报外包活动的有关事项；

（二）及时通报外包活动的突发性事件；

（三）配合本行接受银行业监督管理机构的检查；

（四）保障客户信息的安全性，当客户信息不安全或客户权

利受到影响时，本行有权随时终止外包合同并追究相关责任；

（五）不得以本行的名义开展活动；

（六）本行认为应当承诺的其他事项。

第二十二条本行应当关注外包服务提供商分包的风险，并

在合同中明确以下事项：

（一）服务提供商分包的规则；

（二）分包服务提供商应当严格遵守主服务提供商与本行确

定的外包合同或协议中的相关条款；

（三）主服务商应当确认在业务分包后继续保证对服务水平

和系统控制负总责；

（四）不得将外包活动的主要业务分包。

第二十三条本行应当在合同中约定服务提供商不得将外包

活动转包或变相转包的事项。

第二十四条本行将应当事先制定和建立外包突发事件应急

预案和机制。通过采取替代方案、寻求合同项下的保险安排等措

施，确保业务活动的正常经营。

第二十五条外包方的管理

（一）本行外包管理部门负责相应外包方的日常管理，协调

解决外包公司工作中的问题，根据领导指示，安排布置其具体工

作。

（二）本行外包管理部门坚持对外包公司服务进行检查考

核，考核结果报行长室、董事会审核。

（三）对外包方的年度考核，若不符合本行要求或外包方有

重大失误时，经采购小组批准应取消外包方资格。

（四）根据本行业务需要经双方协商同意，可以对合同文本

进行审查修改，以确保外包项目的开展。

第二十六条报送评估报告

根据监管要求，应当定期向所在地银行业监督管理机构递交

本机构外包活动的评估报告。

第二十七条资料归档

本行外包管理部门负责保存好外包的有关资料并按规定归

档。

第五章责任追究

第二十八条对在外包业务管理中违规操作、造成损失的，

对责任人按本行《工作人员违规记分（记分）管理办法》及《工

作人员违规行为处理办法》的规定给予处理。

第六章附则

第二十九条本办法由本行负责解释、修订。

第三十条本办法自发文之日起执行。

商业银行外包业务风险控制

审计外包管理风险控制

险

序风

程

号流程风险点度控制要素

1.董事会未监事会应按照工作

及时确定审稍有计划安排及时确定

计外包被委风险审计外包被委托

托方方。

2.董事会与

监事会要按照规定

被委托方未稍有

及时签订审计外包

及时签订审风险

协议。

计外包协议

项目

1实施审计委托要签

确定

订书面协议，明确

双方责任和权利。

3.审计外包被委托方应严格按

稍有

协议不符合照双方签订协议

风险

规定要求（合同）的要求开

展审计工作，遵守

职业道德，履行其

工作职责。

1.被委托方督促被委托方按照

稍有

未及时确定协议及时确定审计

风险

审计方案方案。

督促相关单位及时

2.相关单位

审

计稍有提供有关财务会计

未提供有关

实

2施风险资料和其他相关的

资料

资料。

3.相关单位督促相关单位提供

提供的资料稍有详细、真实、全面

不详细、不真风险资料。合同中明确

实、不全面相关资料。

4.被委托方督促被委托方按合

稍有

未及时实施同要求及时开展实

风险

审计施审计工作。

1.被委托方

督促被委托方及时

未及时出具稍有

出具审计报告（初

审计报告（初风险

稿）。

稿）

2,相关单位

督促被审计的相关

未及时反馈稍有

单位及时反馈认定

认定审计报风险

审计审计报告（初稿）。

3告（初稿）

报告

3.董事会未监事会应按规定及

稍有

审核审计报时审核审计报告

风险

告（初稿）（初稿）。

4.被委托方

督促被委托方按合

未及时出具稍有

同要求及时出具正

正式审计报风险

式审计报告。

告

印刷外包风险控制

序流程风险点风险控制要素

号程度

印制单位不

具备承担重稍有了解外包厂商的

证印制的条风险情况，采取公开招

1选厂

件标、邀标方式选

稍有定。

订价高

风险

2签定合同中遗漏稍有认真检查合同中

合同重要事项风险规定的内容，签订

合同前必须经过

法律顾问室审查

合同条款。

严格执行重证入

验收时未能

稍有库验收操作规程，

3验收及时发现印

风险加强对外包方的

刷差错

考核。

网点改造外包风险控制

后风险点控制要素

V

111杳］

1.外包方资质证?直营业执照资质

44T包方人员

11素质看是否为专业人员

3.转包1£黜蓄胪员人

定患对/菜制及时制定方案

量黄量达思舞犀胪堤中

211

3,工期延误1金春程按计划进

4,施工安全隐力口5翘箍差管理

&按修

生校收那打不髓嘱牢天和天

齐

工

iu期量达不实地测量计算

3j1

直施工•侦童।叫睡委专业人贝参与版

耳

5邪吗门嬖蓼与送数同矛万

物业外包风险控制

序流程风险点风险控制要素

号

程度

物业公司不稍有查看营业执照公

选择

具备要求风险司章程业务规模

1物业

人员素质不稍有经营业绩人员简

公司

具备要求风险历

合同中遗漏认真检查合同中

签定重要事项特稍有规定的内容，签订

2

合同别是保险工风险合同前风险合规

伤等部切实审核

后勤管理中心、安

日常工作时间态稍有全保卫部门切实

3

管理度质量问题风险负责物业人员的

日常管理

软件开发及硬件维修服务外包风险控制

险

序风

程

号流程风险点度控制要素

1.外包方资稍有查看营业执照资

质风险质证书

外包

2.外包方资稍有查看原件网上查

1方选

料不实风险询

择

3.外包方科稍有看项目负责人、参

技实力风险与人员、公司业绩

1.项目方案稍有

及时制定方案

制定不及时风险

有

稍

2.质量达不

险

风

项目科技部积极参与

到要求

施

2实

稍有督促按计划进度

3,工期延误

风险推进

险

风

4.信息安全科技部按保密制

大

较

隐患度要求实施

1.验收部门稍有管理部门牵头相

不齐风险关部门参与

2,施工质量稍有有专业人员参与

项目问题风险验收

验收

33、验收人员

付款稍有职业操守教育多

职业道德风

风险方部门参与

险

4、款项预付、稍有款项支付按合同

多付风险要求留有保证金

网点传票收包外包风殓控制

序流程风险点风险控制要素

号

程度

选择物业公司不稍有查看营业执照公

1收包具备要求风险司章程业务规模

公司人员素质不稍有经营业绩人员简

具备要求风险历。

合同中遗漏认真检查合同中

稍有

签

定重要事项特规定的内容，签订

险

风

合

2同

别是保险工合同前风险合规

伤等部切实审核。

基层支行对传票

及时整理、装包、

险

风加封、交接；事后

日常

大

3传票缺失较监督中心切实负

实施