1、銀行信息科技外包風險評估工作實施方案 為深入了解和掌握信息科技外包風險狀況，促進信息科技外包健康發展，有力推動信息科技外包風險管理長效機制建設。根據銀行業金融機構信息科技外包風險監管指引、河南銀監局辦公室轉發中國銀監會辦公廳關于開展信息科技外包風險專項治理工作的通知（豫銀監辦發2013109號）要求，我行決定對信息科技外包進行風險評估。現結合我行信息科技外包實際，特制定本實施方案。 一、評估的背景和目標 （一）開展信息科技外包風險評估的背景。目前個別銀行由于信息科技項目外包，銀行疏于管控，缺乏有效控制，外包機構技術保障不足，造成客戶信息泄露，資金安全面臨風險。另外，外包服務中斷，易形成數據丟失

2、風險。為控制風險，我行擬通過有步驟地、循序漸進地推進信息科技外包風險評估，全面識別目前面臨的主要風險和潛在風險，針對不同環節出現的風險和風險程度及時采取措施，有效防控風險，構建科學的風險管理機制。 （二）開展信息科技外包風險評估的意義。 通過開展信息科技外包風險評估，可以從制度、流程、協議等方面查找并發現我行主要外包項目存在的缺陷和不足，并通過完善制度、優化流程、修改協議等措施，提高我行信息科技外包整體風險防控能力。 （三）評估目標。 1、清查信息科技外包領域已發生的各類風險事件，收集損失數據，深入分析導致風險事件發生的內外部原因。 2、以風險為導向，全面排查信息科技外包項目運行中存在的各類風

3、險隱患，查找風險管理中存在的各種問題。 3、在定性定量分析風險事件和損失、風險隱患、風險管理情況的基礎上，判斷未來內外部環境改變后風險變化趨勢，多角度、系統性地提出整改意見，建立健全風險控制機制，強化風險防范，促進業務優化和發展。 二、評估對象及范圍 結合河南銀監局辦公室轉發中國銀監會辦公廳關于開展信息科技外包風險專項治理工作的通知（豫銀監辦發2013109號）要求及我行信息科技外包實際，本次外包風險評估僅限科技信息部、運營管理部、授信管理部、計劃財務部、小微信貸事業部以及電子銀行部 6個部門業務系統外包活動。（一）評估對象。涉及外包項目的系統主要有綜合業務系統、財務和信貸管理系統、微小企業貸

4、款管理系統。（二）評估范圍。 一是風險事件及損失評估。收集范圍為 2012年1月1日至2013年6月 30 日信息科技外包項目發生的風險事件和損失。主要為：操作風險事件及損失、外包供應商違約事件及損失等。 二是風險隱患評估。包括：產品、設備、流程、系統、人員、制度、操作、管理、監督檢查、體制機制等方面存在的問題和隱患；外部欺詐、客戶信用、外包供應商勢力等外部因素存在的問題和隱患；未來 2年內，內外部環境變化導致的問題和隱患。 三是風險管理情況評估。風險識別與監控、風險評級、風險分類分級、風險報告與分析、風險處置與應急、風險抵補、風險考核等方面存在的問題和缺陷。 （三）評估方式。 本次信息科技外

5、包風險評估采取自查評估和現場督導評估。一是自查。二是現場檢查評估。總行信息科技外包風險評估領導小組將視自查評估情況，組織相關人員對風險評估自查情況進行督導抽查。對于政策制度、流程環節、風險管理類要點，可通過訪談的方式，結合要點內容，查找外包存在的問題和隱患。 三、工作組織及部門職責 （一）工作組織。 1、成立信息科技外包風險評估工作領導小組。統籌安排和協調組織全行信息科技外包風險評估工作。領導小組組成如下： 組 長：聶國慶行長；副組長：白煥英。 成 員：信息科技部、授信管理部、運營管理部、電子銀行部、計劃財務部、小微信貸事業部、內控稽核部部門負責人。信息科技外包風險評估工作領導小組下設辦公室，

6、設在內控稽核部。內控稽核部承擔領導小組辦公室工作職責。（二）部門職責。 1、科技信息部負責系統運營過程中出現問題的維護，運營管理部負責運營結算業務，授信管理部負責信貸業務，計劃財務部負責財務管理業務，電子銀行部負責銀行卡業務。2、各部門根據評估自查情況，撰寫外包風險評估報告，評估報告的內容應至少包括：評估的范圍、外包開展情況的總體評價、風險事件分析、主要的風險隱患、風險整改措施及風險管理意見。3、自查階段（8 月1日-2 日） 市分行運營管理部、安全保衛部、電子銀行部及縣級支行與三個條線業務外包相關的業務管理部門，要嚴格按照評估目標、對象及范圍（重點是附件 2 所列的評估內容及要點）分別對銀企

7、對賬、守庫押運、保安服務、pos 商戶服務、信用卡對賬單寄送業務外包情況開展自查，逐項對評估要點內容進行作答，并根據自查情況及相關要求填制各類統計表，整理相關材料，撰寫自查報告（自查報告內容至少包括：自查的范圍、清算業務開展情況的總體評價、風險事件分析、主要的風險隱患及典型案例分析、 。 風險整改措施及風險管理意見） 二級 自查報告及附件資料于 11 月 2 日前報送市分分行各條線相關統計表、行業務外包領導小組辦公室，同時報上級行本業務條線評估小組。 （三）市分行總結報告階段（11 月 3 日11 月 6 日） 市分行業務外包領導小組辦公室結合市分行各條線自查評估等相關評估材料，匯總撰寫全行業

8、務外包風險評估報告，風險評估報告經市分行風險管理委員會審議后，于 11 月 6 日前報省分行風險管理部。 （四）現場督導評估階段（11 月 7 日11 月 17） 省分行根據各行自查評估情況，抽取部分二級分行及縣支行開展現場評估，核查各行自查結果的準確性、真實性。 五、相關要求 （一）高度重視，切實落實相關人員和責任，認真做好風險評估相關工作。要按照評估目標、對象及范圍全面、充分、真實反映風險，針對業務外包評估要點，逐條、逐項仔細進行自查。每一項評估要點內容必須闡明現狀、問題及產生原因，做到結論清晰、論據充足、表述有條理，有證明材料支持評估結論。由于各行業務外包存在差異，對于附件 2 所列評估

9、內容及要點本級行不能進行評估時，應對不能評估的內容作出說明，并經上級行同意，可對附件 2 所列評估內容及要點暫不進行評估。各類統計表要認真填寫，報表所有內容及數據必須 （附件客觀、準確，不得杜撰、造假、遺漏。對于風險事件統計表 ，要求填報的風險事件須如實反映，不得隱瞞不報和漏報，相關部5）門負責人要在表格中申明和承諾已填報所有事件。自查報告要按照評 詳細闡明所面臨的主要風險及問題，估內容和要點逐項說明檢查情況，做到邏輯清楚、事實充分、數據詳實、結論客觀嚴謹。 （二）各行評估工作領導小組要定期召開評估工作會，及時了解、調度評估工作進程，研究工作中遇到的問題并及時協調解決。二級分行領導小組辦公室要建立每周通報機制，按周向省分行領導小組辦公室報告評估工作進展情況及評估工作中遇到的問題。 （三）建立聯系人制度。各縣級支行要指定 1 名聯系人負責與市分行溝通聯系，聯系