银行业金融机构信息科技外包管理指引

⑴ 银行外包管理办法

别说一线岗位，银行很多内部的比如说档案员、驾驶员、守押岗位都已经外包了。此外大堂、催收、法律、诉讼，甚至POS机具维护，甚至信贷收单都外包了。

为何这么做？

第一是节省成本。
外包，就是把这些相对不重要的岗位包给第三方公司，第三方公司派遣自己的雇员来代替银行正式签约员工工作。银行按月结算给第三方，第三方再剔除管理费、税金、五险一后支付给具体的外包岗位人员。

银行签约人员收入与福利肯定要比外包人员多一些，如此操作，银行少支出部分又节省了管理成本。第三方公司也能从外包人员头上多少搜刮些，双赢啊😡

第二是回避责任。
只要进行人员管理就有责任。这么一半人少了，银行各级管理者的责任降低了。

出了任何问题，简单将外包人员遣送回第三方公司就什么事都省了。

第三是规避风险
银行工作存在众多潜在风险。而很多事不好给内部员工做，比如银行催收，给员工做就得监督，是否内外勾结，冲销费用，减免利息啊，真很麻烦。给外包第三方公司，按照既定规则执行，就结束了。

所以...

不过，当银行也开始这么节省成本，让外包人员面对客户，估计外包人员心中也是愤怒的，同工不同酬，谁会创造性劳动？

损失的，嗯，其实还是银行自己。

且看着吧。

⑵ 商业银行信息科技风险管理指引的第八章 外包管理

第五十五条 商业银行不得将其信息科技管理责任外包，应合理谨慎监督外包职能的履行。
第五十六条 商业银行实施重要外包（如数据中心和信息科技基础设施等)应格外谨慎，在准备实施重要外包时应以书面材料正式报告银监会或其派出机构。
第五十七条 商业银行在签署外包协议或对外包协议进行重大变更前，应做好相关准备，其中包括：
（一） 分析外包是否适合商业银行的组织结构和报告路线、业务战略、总体风险控制，是否满足商业银行履行对外包服务商的监督义务。
（二） 考虑外包协议是否允许商业银行监测和控制与外包相关的操作风险。
（三） 充分审查、评估外包服务商的财务稳定性和专业经验，对外包服务商进行风险评估，考查其设施和能力是否足以承担相应的责任。
（四） 考虑外包协议变更前后实施的平稳过渡（包括终止合同可能发生的情况）。
（五） 关注可能存在的集中风险，如多家商业银行共用同一外包服务商带来的潜在业务连续性风险。
第五十八条 商业银行在与外包服务商合同谈判过程中，应考虑的因素包括但不限于：
（一） 对外包服务商的报告要求和谈判必要条件。
（二） 银行业监管机构和内部审计、外部审计能执行足够的监督。
（三） 通过界定信息所有权、签署保密协议和采取技术防护措施保护客户信息和其他信息。
（四） 担保和损失赔偿是否充足。
（五） 外包服务商遵守商业银行有关信息科技风险制度和流程的意愿及相关措施。
（六） 外包服务商提供的业务连续性保障水平，以及提供相关专属资源的承诺。
（七） 第三方供应商出现问题时，保证软件持续可用的相关措施。
（八） 变更外包协议的流程，以及商业银行或外包服务商选择变更或终止外包协议的条件，例如：
1. 商业银行或外包服务商的所有权或控制权发生变化。
2. 商业银行或外包服务商的业务经营发生重大变化。
3. 外包服务商提供的服务不充分，造成商业银行不能履行监督义务。
第五十九条 商业银行在实施双方关系管理，以及起草服务水平协议时，应考虑的因素包括但不限于：
（一） 提出定性和定量的绩效指标，评估外包服务商为商业银行及其相关客户提供服务的充分性。
（二） 通过服务水平报告、定期自我评估、内部或外部独立审计进行绩效考核。
（三） 针对绩效不达标的情况调整流程，采取整改措施。
第六十条 商业银行应加强信息科技相关外包管理工作，确保商业银行的客户资料等敏感信息的安全，包括但不限于采取以下措施：
（一） 实现本银行客户资料与外包服务商其他客户资料的有效隔离。
（二） 按照“必需知道”和“最小授权”原则对外包服务商相关人员授权。
（三） 要求外包服务商保证其相关人员遵守保密规定。
（四） 应将涉及本银行客户资料的外包作为重要外包，并告知相关客户。
（五） 严格控制外包服务商再次对外转包，采取足够措施确保商业银行相关信息的安全。
（六） 确保在中止外包协议时收回或销毁外包服务商保存的所有客户资料。
第六十一条 商业银行应建立恰当的应急措施，应对外包服务商在服务中可能出现的重大缺失。尤其需要考虑外包服务商的重大资源损失，重大财务损失和重要人员的变动，以及外包协议的意外终止。
第六十二条 商业银行所有信息科技外包合同应由信息科技风险管理部门、法律部门和信息科技管理委员会审核通过。商业银行应设立流程定期审阅和修订服务水平协议。

⑶ 商业银行信息科技风险管理指引的介绍

为加强商业银行信息科技风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》，以及国家信息安全相关要求和有关法律法规，制定本指引。本指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。

⑷ 银行信息科技风险应该如何管控

银行业的外包风险管理是近几年银行监管的重点，银监会为此先后发过几个文：
《中国银监会办公厅关于开展银行业金融机构信息科技非驻场集中式外包监管评估工作的通知》；
《银行业金融机构信息科技外包风险管理指引》；
《中国银监会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》；
这几份文件都对如何实施信息科技风险管理起到指导性意见，可以进行参考。
实施供应商的风险管理可以从供应商服务的全生命周期入手，在供应商准入、供应商采购和合同、供应商服务监控、服务结束/终止、绩效评估各个阶段分别实施管理和技术方面的管理。

如果还需要更细化的操作方式可以找咨询机构帮忙，安言咨询有专门负责银行业的总监应该能帮到你。

⑸ 银行业金融机构信息系统风险管理指引的第五章　运行维护风险控制

第四十三条 运行维护风险是指信息系统在运行与维护过程中操作管理、变更管理、机房管理和事件管理等环节产生的风险。
第四十四条 银行业金融机构信息系统运行与维护应实行职责分离，运行人员应实行专职，不得由其他人员兼任。运行人员应按操作规程巡检和操作。维护人员应按授权和维护规程要求对生产状态的软硬件、数据进行维护，除应急外，其他维护应在非工作时间进行。
第四十五条 银行业金融机构信息系统的运行应符合以下要求：
（一）制定详细的运行值班操作表，包括规定巡检时间，操作范围、内容、办法、命令以及负责人员等信息；
（二）提供常见和简便的操作菜单或命令，如信息系统的启动或停止、运行日志的查询等；
（三）提供机房环境、设备使用、网络运行、系统运行等监控信息；
（四）记录运行值班过程中所有现象、操作过程等信息。
第四十六条 银行业金融机构信息系统的维护应符合以下要求：
（一）除对信息系统设备和系统环境的维护外，对软件或数据的维护必须通过特定的应用程序进行，添加、删除和修改数据应通过柜员终端，不得对数据库进行直接操作；
（二）具备各种详细的日志信息，包括交易日志和审计日志等，以便维护和审计；
（三）提供维护的统计和报表打印功能。
第四十七条 银行业金融机构信息系统的变更应符合以下要求：
（一）制订严密的变更处理流程，明确变更控制中各岗位的职责，并遵循流程实施控制和管理；变更前应明确应急和回退方案，无授权不得进行变更操作；
（二）根据变更需求、变更方案、变更内容核实清单等相关文档审核变更的正确性、安全性和合法性；
（三）应采用软件工具精确判断变更的真实位置和内容，形成变更内容核实清单，实现真实、有效、全面的检验；
（四）软件版本变更后应保留初始版本和所有历史版本，保留所有历史的变更内容核实清单。
第四十八条 银行业金融机构在信息系统投产后一定时期内，应组织对系统的后评价，并根据评价及时对系统功能进行调整和优化。
第四十九条 银行业金融机构应对机房环境设施实行日常巡检，明确信息系统及机房环境设施出现故障时的应急处理流程和预案，有实时交易服务的数据中心应实行24小时值班。
第五十条 银行业金融机构应实行事件报告制度，发生信息系统造成重大经济、声誉损失和重大影响事件，应即时上报并处理，必要时启动应急处理预案。

⑹ 怎么操作银行业金融机构绩效考评监管指引

一、科学制定经营计划
目前，一些银行业金融机构在制定经营计划时未充内分考虑市场发展状况，容过分强调竞争排名，经营计划指标脱离实际，大幅超过机构的发展能力。银行业金融机构应综合考虑社会经济发展、市场变化以及自身发展战略、风险偏好与风险管控能力等因素，科学测算和确定合理的年度经营计划；及时将年度经营计划和绩效考评制度报送银监会或有关派出机构。
二、合理分解考评任务
一些银行业金融机构和内部业务条线部门在向下分解经营计划和考评任务时，计划越分越大，任务越压越重，层层加码，导致基层分支机构面临较大考评压力，经营行为扭曲，违规风险事件时有发生。银行业金融机构要切实提高预算与绩效考评的精细化管理，在向下级机构分解考评任务时，充分考虑其经营管理能力、金融服务水平及经营特色，合理确定考评要求。