銀行業金融機構外包風險管理指引

銀行業金融機構外包風險管理指引

為了規範銀行業金融機構的外包活動，保障銀行業金融機構業務持續經營，依據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》等有關法律法規，制定本指引。

頒佈單位：中國銀行業監督管理委員會

文       號：銀監發[2010]44號

頒佈時間：2010-06-04

實施時間：2010-06-04

時 效  性：現行有效

效力級別：部門規範性文件

第一章 總則

第一條 為了規範銀行業金融機構的外包活動，保障銀行業金融機構業務持續經營，依據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》等有關法律法規，制定本指引。

第二條 在中華人民共和國境內設立的銀行業金融機構適用本指引。

第三條 本指引中的外包是指銀行業金融機構將原來由自身負責處理的某些業務活動委託給服務提供商進行持續處理的行為。服務提供商包括獨立第三方，銀行業金融機構母公司或其所屬集團設立在中國境內、外的子公司、關聯公司或附屬機構。

第四條 銀行業金融機構的董事會和高級管理層應當承擔外包活動的最終責任。

第五條 銀行業金融機構開展外包活動應當制定外包的風險管理框架以及相關制度，並將其納入全面風險管理體系。

第六條 銀行業金融機構應當根據審慎經營原則制定其外包戰略發展規劃，確定與其風險管理水平相適宜的外包活動範圍。

第七條 銀行業金融機構的戰略管理、核心管理以及內部審計等職能不宜外包。

第二章 組織結構

第八條 銀行業金融機構外包管理的組織架構應當包括董事會、高級管理層及外包管理團隊。

第九條 董事會的職責主要包括以下方面：

(一)審議批准外包的戰略發展規劃;

(二)審議批准外包的風險管理制度;

(三)審議批准本機構的外包範圍及相關安排;

(四)定期審閲本機構外包活動相關報告;

(五)定期安排內部審計，確保審計範圍涵蓋所有的外包安排。

第十條 高級管理層的職責主要包括以下方面：

(一)制定外包戰略發展規劃;

(二)制定外包風險管理的政策、操作流程和內控制度;

(三)確定外包業務的範圍及相關安排;

(四)確定外包管理團隊職責，並對其行為進行有效監督。

第十一條 外包管理團隊的職責主要包括以下方面：

(一)執行外包風險管理的政策、操作流程和內控制度;

(二)負責外包活動的日常管理，包括盡職調查、合同執行情況的監督及風險狀況的監督;

(三)向高級管理層提出有關外包活動發展和風險管控的意見和建議;

(四)在發現外包服務提供的業務活動存在缺陷時，採取及時有效的措施;

(五)高級管理層確定的其他職責。

第三章 風險管理

第十二條 銀行業金融機構在制定外包活動政策時，應當評估以下風險因素：

(一)銀行業金融機構應當關注外包活動的戰略風險、法律風險、聲譽風險、合規風險、操作風險、國別風險等風險;

(二)影響外包活動的外部因素;

(三)本機構對外包活動的風險管控能力;

(四)服務提供商的技術能力及專業能力，業務策略和業務規模，業務連續性及破產風險，風險控制能力及外包服務的集中度;

(五)其他關注的事項。

第十三條 銀行業金融機構在進行外包活動時應當對服務提供商進行盡職調查，盡職調查應當包括以下事項：

(一)管理能力和行業地位;

(二)財務穩健性;

(三)經營聲譽和企業文化;

(四)技術實力和服務質量;

(五)突發事件應對能力;

(六)對銀行業的熟悉程度;

(七)對其他銀行業金融機構提供服務的情況;

(八)銀行業金融機構認為重要的其他事項。

銀行業金融機構的外包活動涉及多個服務提供商時，應當對這些服務提供商進行關聯關係的調查。

第十四條 銀行業金融機構開展外包活動時應當簽訂書面合同或協議，明確雙方的權利義務。合同或協議應當包括但不限於以下內容：

(一)外包服務的範圍和標準;

(二)外包服務的保密性和安全性的安排;

(三)外包服務的業務連續性的安排;

(四)外包服務的審計和檢查;

(五)外包爭端的解決機制;

(六)合同或協議變更或終止的過渡安排;

(七)違約責任。

對於具有專業技術性的外包活動，可簽訂服務標準協議。

第十五條 銀行業金融機構在外包活動中應當建立嚴格的客户信息保密制度，並依法履行告知義務。

第十六條 銀行業金融機構在外包合同中應當要求外包服務提供商承諾以下事項：

(一)定期通報外包活動的有關事項;

(二)及時通報外包活動的突發性事件;

(三)配合銀行業金融機構接受銀行業監督管理機構的檢查;

(四)保障客户信息的安全性，當客户信息不安全或客户權利受到影響時，銀行業金融機構有權隨時終止外包合同;

(五)不得以銀行業金融機構的名義開展活動;

(六)銀行業金融機構認為應當承諾的其他事項。

第十七條 銀行業金融機構應當關注外包服務提供商分包的風險，並在合同中明確以下事項：

(一)服務提供商分包的規則;

(二)分包服務提供商應當嚴格遵守主服務提供商與銀行業金融機構確定的外包合同或協議中的相關條款;

(三)主服務商應當確認在業務分包後繼續保證對服務水平和系統控制負總責;

(四)不得將外包活動的主要業務分包。

第十八條 銀行業金融機構應當在合同中約定服務提供商不得將外包活動轉包或變相轉包。

第十九條 銀行業金融機構在開展跨境外包活動時，應當遵守以下原則：

(一)審慎評估法律和管制風險;

(二)確保客户信息的安全;

(三)選擇境外服務提供商時，應當明確其所在國家或地區監管當局已與我國銀行業監督管理機構簽訂諒解備忘錄或雙方認可的其他約定。

第二十條 銀行業金融機構應當事先制定和建立外包突發事件應急預案和機制。通過採取替代方案、尋求合同項下的保險安排等措施，確保業務活動的正常經營。

第二十一條 銀行業金融機構應當定期對外包活動進行全面審計與評價。

第四章 監督管理

第二十二條 銀行業金融機構在開展外包活動時，應當定期向所在地銀行業監督管理機構遞交本機構外包活動的評估報告。

第二十三條 銀行業金融機構在開展外包活動時如遇到對本機構的業務經營、客户信息安全、聲譽等產生重大影響事件，應當及時向所在地銀行業監督管理機構報告。

第二十四條 銀行業監督管理機構及其派出機構根據需要對外包活動進行現場檢查，採集外包活動過程中數據信息和相關資料，並將檢查結果納入對該機構的監管評級。

第二十五條 對外包活動存在以下情形的，銀行業監督管理機構可以要求銀行業金融機構糾正或採取替代方案，並視情況予以問責。

(一)違反相關法律、行政法規及規章;

(二)違反本機構風險管理政策、內控制度及操作流程等;

(三)存在重大風險隱患;

(四)其他認定的情形。

第五章 附則

第二十六條 經銀行業監督管理機構批准的其他金融機構開展外包活動時遵照本指引執行。

第二十七條 本指引由中國銀行業監督管理委員會負責解釋。

第二十八條 本指引自發布之日起實施。