1普华永道2普华永道为进一步加强银行保险机构信息科技外包风险监管，促进银行保险机构提升信息科技外包风险管控能力，银保监会于2021年12月30日发布了《银行保险机构信息科技外包风险监管办法》（“银保监办发[2021]141号”，以下简称“141号文 141号文共7章46条，将作为当前金融机构信息科技外包风险管理的指挥棒，对银行保险机构、其他金融机构和服务提供商等均具有重要意义。141号文已自公布之日起正式施行，这对全面风险管理体系和日常工作提出了更高要求。普华永道初步分析了银行保险机构在响应141号文落地时可能面临的难点及应对建议，以供参考。受到行业特性和宏观经济环境的影响，金融机构信息科技外包风险的表现兼具外包常见的人员风险、操作风险，也具备行业独特的集中度风险、监管风险等。金融机构业务和产品种类繁多，信息科技与系统管理任务重，对信息科技外包依赖程度较高。金融机构由于自身运营和管理需要，以及成本压力，使用外包服务较为普遍。金融机构信息

引言随着信息技术的快速发展，银行业务对信息科技的依赖日益增强。为确保银行信息科技安全，有效管理外包风险，特制定本工作计划。 工作目标1.建立健全信息科技外包风险管理体系。2.提高银行对外包风险的识别、评估、应对和监控能力。3.确保银行业务连续性，保障客户信息及资产安全。 工作计划1.风险评估与识别a.对现有信息科技外包项目进行全面梳理和风险评估。b.识别关键业务领域的外包风险点，建立风险库。c.定期对外包商进行资信评估，确保服务质量。2.制度建设与规范a.制定和完善信息科技外包风险管理政策、流程和规范。b.建立风险预警机制，确保风险及时发现并处理。c.加强内部审计，确保外包风险管理政策得到有效执行。3.人员培训与组织架构a.建立专业的信息科技风险管理团队，负责外包风险管理。b.定期组织培训，提高风险管理团队的专业素质。c.加强与外包商的沟通与协作，共同应对风险。4.应急管理与业务连续性a.制定信息科技外包应急预案，确保业务连续性。b.定期组织演练，检验预案的有效性和可操作性。 实施步骤1.制定工作计划，明确各部门职责和任务分工。2.开展风险评估和识别工作，建立风险库。3.制定和完善相关政策和流程，建立风险管理制度体系。4.加强人员培训和组织架构建设，提升风险管理能力。5.制定应急预案和恢复流程，确保业务连续性。6.实施技术监测和升级工作，提高银行整体科技水平。7.定期评估工作成果，不断优化工作计划。 考核与评估1.设立考核指标，对外包风险管理效果进行量化评估。2.定期自查和内部审计，确保风险管理政策执行到位。3.组织专项检查，发现问题及时整改。4.定期组织总结和经验交流，持续优化工作计划。 附则1.本工作计划自发布之日起执行。2.如有未尽事宜，另行通知。3.本工作计划的解释权归银行信息科技风险管理部所有。通过本工作计划的实施，我们将全面提升银行信息科技外包风险管理水平，确保银行业务的连续性和信息安全。银行信息科技外包风险管理工作计划（1） 引言随着信息技术的快速发展，银行业务对信息科技的依赖日益增强。为了有效应对信息科技外包风险，提高银行风险管理水平，特制定《银行信息科技外包风险管理工作计划》。 目标1.建立健全信息科技外包风险管理体系。2.提升银行对外包风险的识别、评估、监控和应对能力。3.确保银行业务连续性，保障客户信息安全。 工作计划1.建立和完善外包风险管理制度（1）制定和完善银行信息科技外包管理办法。（2）明确外包服务范围、准入条件、服务提供商评估与选择流程。（3）建立风险评估标准，对外包服务提供商进行定期评估。（4）制定应急预案，确保在突发情况下迅速应对。2.加强组织架构和人才建设（1）设立专门的外包风险管理岗位，负责外包风险管理工作。（2）加强内部培训，提高员工对外包风险的认识和应对能力。（3）建立与外包服务提供商的沟通机制，确保信息共享和协同应对。3.开展风险评估和监控（1）对外包服务提供商进行定期风险评估，包括技术、运营、信息安全等方面。（2）建立风险监控指标体系，实时监控外包服务运行状况。（3）定期汇报风险评估和监控结果，确保高层管理层及时了解外包风险状况。 实施与监督1.制定详细的工作计划实施方案，明确各项任务的责任人、时间表和预期成果。2.建立监督机制，确保工作计划的顺利执行。3.定期对工作计划执行情况进行评估和反馈，及时调整和优化工作计划。4.高层管理层要加强对风险管理工作的支持与监督，确保资源的投入和工作的顺利开展。

第一章总那么第一条为了标准我行的信息科技外包活动,降低信息科技外包风险,根据<中华人民共和国银行业监督管理法>、<中华人民共和国商业银行法>、<银行业金融机构信息科技外包风险监管指引>等法律法规,制定本方法.第二条本方法所称信息科技外包是指我行将原本由自身负责处理的信息科技活动委托给效劳提供商进行处理的行为了,包含工程外包、人力资源外包等形式.包含以下类型：（一）研发咨询类外包：科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包；（二）系统运行维保类外包：包含数据中心（灾备中心）、机房配套设施、网络、系统的运维外包,自助设备、POS 机等远程终端及办公设备的运维外包；（三）业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维保和数据处理活动.第三条我行应将信息科技外包管理纳入全面风险管理体系,建立与本行信息科技战略目标相适应的外包管理体系, 控制或降低由于外包而引发的

银行业金融机构信息科技外包风险及监管对策 银行业信息科技外包是指银行以固定的价格,在一定的IT服务水平基础上,以合同的方式委托IT外包服务商向银行提供所需的部分或全部IT功能的一种信息服务。随着IT应用的深入和信息科技外包服务的发展,银行业金融机构普遍将信息科技外包作为提高信息科技服务水平的重要手段,帮助银行提高了银行的管理和服务效率,节约了信息科技建设和运维成本。但最近浙江银监局通过调研发现,随着信息科技外包的快速发展,潜在风险也逐步凸显,亟待引起关注。 一、辖内银行业信息科技外包的基本情况 (一)信息科技外包内容广泛。目前银行业科技外包的内容主要包括软件开发维护、主机设备维护、桌面计算机及外设的维护、数据中心机房等基础设施、部分业务系统(如贷记卡业务、网银)以及外围业务系统等,其中主机设备维护较为普遍。外包既有应用类的,也有维护类的;既有技术含量高的,也有技术含量低的。调查发现,无论大小银行都应用了外包服务,信息科技外包已成

答：近几年，银行保险机构积极开展数字化转型，在加大科技创新力度、更好地满足金融消费者需求的同时，对信息科技外包服务的依赖度不断加大。与此同时，部分银行保险机构对信息科技外包风险管控不力，因而导致的业务中断、敏感信息泄露等事件时有发生。此外，部分领域外包服务提供商高度集中，形成了行业集中度风险。为此，按照风险为本的导向，以弥补短板、强化监管为目标，拟通过制定《办法》，从信息科技外包治理、准入、监控评价、风险管理等方面对银行保险机构信息科技外包提出要求。《办法》的制定出台，将促进银行保险机构建立并完善信息科技外包治理架构，加强信息科技外包风险管理体系建设，提升信息科技外包风险管控能力，促进银行保险机构稳健开展数字化转型工作。二、《办法》的主要内容是什么？答：《办法》共7章46条，对银行保险机构信息科技外包风险管理提出全面要求。一是在总则中明确《办法》的制定目的和依据、适用范围、一般原则，明确信息科

保密等级文档名称文档编号发布组织发布日期执行日期版 本 号大洼恒丰村镇银行信息科技外包风险管理办法批准人签字审核人签字制订人签字日期：日期：日期：大洼恒丰村镇银行信息科技部变更履历变化简要说明(变更内容、版本编号序状态变更位置、变更原因和或更改记变更日期变更人审核人批准人批准日期号*变更范围)录编号11.0C创建，全页。*变化状态：C——创建，A——增加，M——修改，D——删除目 录第一章 总则................................................1第二章 外包管理组织架构..................................2第三章 信息科技外包战略及风险管理.....................4第一节 信息科技外包战略..............................4第二节 信息科技外包风险管理.........................5第四章 信息科技外包管理..................................5第一节 外包风险评估及准入............................6第二节 服务提供商尽职调查............................8第三节 外包服务合同及要求............................8第四节 外包服务安全管理................

中国银行业监督管理委员会 银监发[2013]5 号 中国银监会关于印发银行业金融机构信息科技外包风险监管指引的通知各银监局，各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司，邮储银行，各省级农村信用联社，银监会直接监管的信托公司、企业集团财务公司、金融租赁公司：现将《银行业金融机构信息科技外包风险监管指引》印发给你们，请遵照执行。2013 年 2 月 16 日银行业金融机构信息科技外包风险监管指引第一章总则第一条 为规范银行业金融机构的信息科技外包活动，降低信息科技外包风险，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。第二条 在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省（自治区）农村信用社联合社适用本指引。银监会监管的其他金融机构参照本指引执行。第三条 本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进

辖内银行业信息科技外包的基本情况(一)被调查银行对外包的认识银行业信息科技投入。第二类是与主机相关的核心设备维保，包括小型外包是指银行以固定的价格在一机、存储阵列、核心交换机等。特点是备件成本高、专业化程度较高，需要原厂商的技术支持和服务，而通过外定的IT服务水平基础上，以合同的方式委托IT服务商包可节省成本，提高系统维护质量。第三类是自助终端(以下简称服务商)向银行提供所需的部分或全部IT功ATM机、自助查询机及POS机等。这设备的维保，包括能的一种信息服务。我省银行业金融机构普遍将信息类设备在大机构中数量多，分布广，需要有专门的公司科技外包作为提高信息科技服务水平的重要手段，外对其运行进行检测和维护以降低维护成本。 信息科技外包的风险点行提供服务时，有意或无意地将银行内部信息和商业(一)外包与银行业务发展不匹配的战略风险。如机密泄露，从而使银行面临潜在的风险。这类风险涉及果商业银行未能对外包内容进行总体的评估与考量，盲面很广，发生概率较大。无论是低层次的桌面计算机目将业务整体外包给服务商，就会造成外包项目与机维护外包，还是高层次的业务系统整体外包，都有可能构业务发展战略不匹配，反而对自身的业务发展不利。发生客户信息、银行经营数据泄密的风险，其中客户信一旦银行意识到该风险隐患，无论是选择中途退出或息等个人隐私一旦泄漏将导致严重的信誉风险和法律者到期终止外包合同，都要支付很大的战略退出成本;风险。在被调查的机 外包风险防范措施(一)建立全面的外包政策和外包风险管理机制。成一致，并充分考虑合同中容易忽略的细节，尤其要明银行高管层应对制定外包政策和外包风险管理机制负确责任与义务的划分。对于项目开发的合同，需明确项责。首先银行的业务外包策略必须与其总体战略相匹目成果的知识产权归属问题，同时对项目成果对第三方配，总体战略是制定外包策略的基础，而外包是在总体的侵权责任承担予以说明，避免项目带来的法律风险。战略安排下的具体战略举措。银行的总体战略不仅决定了机构的自制或外包决策，而且还影响外包内容、外包模式以及供应商的选择。其次要切实履行外包业务风险管理的责任，不能将风险管理的责任进行外包。 (五)强化对外包服务商的管理。 监管政策建议目前，我国银行业信息科技外包业务快速发展，但银行在外包风险管理方面刚刚起步，缺乏统一的标准，管理水平参差不齐。而国内信息技术服务提供商在服务规范、技术水平、管理实施等方面还存在许多不尽人意的地方，外包服务纠纷也时有发生。银监会作为银行业的监管部门，非常有必要在信息科技外包方面制定全国统一的指导性文件，引导外包服务的健康有序发展。除对上述各项外包风险防范措施予以规范外，其他外包服务监管的政策建议有以下几点。 (一)明确管理层责任，确立风险控制原则。 明确要求银行对系统安全稳定运行的责任不能转

维普资讯 http://www.cqvip.com 《上海金融12004年第1期 谢怀军 (西安交通大学会计学院， 陕西西安 710061) 摘要：信息技术(IT)外包作为银行IT应用和发展的重要途径．对于银行降低IT成本、规避IT投资风险、提高IT应用 水平、培育和发展核心竞争力．具有重要的战略意义。本文在综现银行IT外包的发展现状和价值的基础上，着重探讨了银 行IT外包的风险管理问题，提出了相应的风险控制策略。 关键词：银行；信息技术；外包；风险 中图分类号：F830．49 文献标识码：A 文章编号：1006—1428(2004)01一OO38一O3 银行IT外包的主要驱动因素有以下几个方面：(1)控制IT 一、银行IT外包概述 运行和投资的费用；(2)获得一流的IT运行效率；(3)快速 银行IT外包(IT Outsourcing)是指银行以合同的方式 适应银行业务和客户对IT的需求；(4)使银行的精力集中 委托IT服务商向银行提供所需的部分或者全部的IT功 能，IT外包一般还伴随着银行的IT资产和人员交由IT服 在IT发展战略上。 IT外包在可能为银行带来效用的同时，也潜藏了风 务商管理

银行业金融机构信息科技外包风险监管指引第一章 总则第一条 为规范银行业金融机构的信息科技外包活动， 降低信息科 技外包风险，根据《中华人民共和国银行业监督管理法》 、《中华人民共 和国商业银行法》等法律法规，制定本指引。第二条 在中华人民共和国境内设立的政策性银行、商业银行、农 村合作银行、省（自治区）农村信用社联合社适用本指引。银监会监管 的其他金融机构参照本指引执行。第三条 本指引所称信息科技外包是指银行业金融机构将原本由 自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包含 项目外包、人力资源外包等形式。原则上包括以下类型：（一）研发咨询类外包：科技管理及科技治理等咨询设计外包，规 划、需求、系统开发、测试外包；（二）系统运行维护类外包：包括数据中心（灾备中心） 、机房配 套设施、网络、系统的运维外包，自助设备、 POS 机等远程终端及办公 设备的运维外包；（三）业务外包中的信息科技活动：市场拓展、业

银行业金融机构信息科技外包风险监管指引 中国银行业监督管理委员会 银监发[20xx]5 号 中国银监会关于印发银行业金融机构信息科技外 包风险监管指引的通知 各银监局，各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司，邮储银行，各省级农村信用联社，银监会直接监管的信托公司、企业集团财务公司、金融租赁公司： 现将《银行业金融机构信息科技外包风险监管指引》印发给你们，请遵照执行。 20xx 年 2 月 16 日 银行业金融机构信息科技外包风险监管指引 第一章 总则 第一条 为规范银行业金融机构的信息科技外包活动，降低信息科技外包风险，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。 第二条 在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省（自治区）农村信用社联合社适用本指引。银监会监管的其他金融机构参照本指引执行。 第三条 1 本指引所称信息科技外包是指银

x 银行信息科技外包管理办法第一章总则第一条信息科技外包（简称外包）是指将我行的信息科技活动委托给服务提供商进行处理的行为。第二条根据外包商在系统开发中的不同作用，外包可以划分为研发咨询类外包、系统运行维护类外包、业务外包中的信息科技活动；根据外包的领域不同，可分为信息科技专题咨询服务，数据中心运维，灾备中心运维，信息科技基础设施、开发、测试、应用系统运维，硬件设备运维，供应商管理，数据备份及恢复，安全、加密产品运维外包，桌面终端维护及其它。第三条外包应以满足需求、保证质量、提高效率、风险可控、成本可控为基本原则。第四条研发类的外包项目属于软件项目，必须遵循我行软件项目的相关管理办法。第五条本办法参照中国银监会《商业银行信息科技风险管理指引》和《银行业金融机构信息科技外包风险监管指引》中的要求制订，目标是明确外包管理要求，防范和控制信息科技外包风险，保证外包流程规范化并能达到预期成效。第二章适