银行业金融机构信息系统风险管理指引的第六章　外包风险控制

1. 银行业金融机构信息系统风险管理指引的第六章　外包风险控制

第五十一条 外包风险是指银行业金融机构将信息系统的规划、研发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商时形成的风险。第五十二条 银行业金融机构在进行信息系统外包时，应根据风险控制和实际需要，合理确定外包的原则和范围，认真分析和评估外包存在的潜在风险，建立健全有关规章制度，制定相应的风险防范措施。第五十三条 银行业金融机构应建立健全外包承包方评估机制，充分审查、评估承包方的经营状况、财务实力、诚信历史、安全资质、技术服务能力和实际风险控制与责任承担水平，并进行必要的尽职调查。评估工作可委托经国家相应监管部门认定资质，具有相关专业经验的独立机构完成。第五十四条 银行业金融机构应当与承包方签订书面合同，明确双方的权利、义务，并规定承包方在安全、保密、知识产权方面的义务和责任。第五十五条 银行业金融机构应充分认识外包服务对信息系统风险控制的直接和间接影响，并将其纳入总体安全策略和风险控制之中。第五十六条 银行业金融机构应建立完整的信息系统外包风险评估与监测程序，审慎管理外包产生的风险，提高本机构对外包管理的能力。第五十七条 银行业金融机构的信息系统外包风险管理应当符合风险管理标准和策略，并应建立针对外包风险的应急计划。第五十八条 银行业金融机构应与外包承包方建立有效的联络、沟通和信息交流机制，并制定在意外情况下能够实现承包方的顺利变更，保证外包服务不间断的应急预案。第五十九条 银行业金融机构将敏感的信息系统，以及其他涉及国家秘密、商业秘密和客户隐私数据的管理与传递等内容进行外包时，应遵守国家有关法律法规，符合银监会的有关规定，经过董事会或其他决策机构批准，并在实施外包前报银监会及其派出机构和法律法规规定需要报告的机构备案。

2. 银行外包管理办法

第一章 总则 

第一条 为规范我行个人贷款风险资产催收外包行为，提高催收绩效，优化风险资产结构，依据《银行业金融机构外包风险管理指引》等监管规定，以及《中国银行股份有限公司外包风险管理办法》（2019年版）等行内规章制度，制定本办法。

第二条 本办法所指催收外包，是指将个人贷款催收工作委托给银行以外的催收外包服务商管理，包括催收服务公司、律师事务所等。 

第三条 催收外包费用支付结算必须符合财务会计制度有关要求。 

第二章 催收外包条件

第四条 原则上需同时满足以下条件时，可将催收工作委托给催收外包服务商： 

（一）个人贷款风险资产五级分类进入“关注类”及以上（关注、次级、可疑、损失、已核销）的授信账户，或判断属于高风险账户，有必要委外催收的风险资产。 

（二）拟委托的催收外包服务商在某一催收领域具有技术、人员、经验等专业优势，符合我行资产保全、信息保护等相关制度要求。 

第五条 催收外包需进行成本效益分析 

根据催收回款率测算催收外包成本产出比时，催收外包的回收率预测除考虑该催收外包服务商以往业绩水平外，还应该参考同业市场回收率的平均水平对其进行调整。

第六条 催收外包只是将个人贷款风险资产催收工作交由催收外包服务商协助，经办行仍需对委托催收的风险资产加强管理并对其资产质量承担最终责任。 

第三章 催收外包服务商基本资质要求

第七条 合格的催收外包服务商基本资质要求 

（一）在中华人民共和国境内注册的，符合国家法律规定，进行有效的工商税务登记，具有独立承担民事责任的且有能力提供相应服务的独立法人且成立时间不低于三年（含）以上的，且具有两年以上的催收实务操作经验。 

（二）注册资金不少于人民币一百万元或等值外币。 

（三）经营范围需至少包括下列中的一项：个人贷后管理及保全、信贷违约通知、通知提醒服务、信息咨询、信用风险管理、商账风险管理、金融业务流程外包等。 

（四）催收外包服务商应有固定的办公场所，须向我行提供产权证或租赁合同。须自行配备满足我行业务需要的各类办公必须设备、须配备催收业务所需的电子设备和催收系统，操作系统应具备对呼入呼出电话的录音和记录电子档案的功能。 

（五）具有熟悉个人贷款业务知识的常年法律顾问和不少于8名及以上的专职业务人员，须提供法律顾问聘书和律师从业执照影印件，须提供专职业务人员劳动合同、社保部门盖章的社保缴纳证明及公安机关出具的无犯罪记录证明，从业人员应保持相对稳定。 

（六）具有健全的内部管理制度或内部控制制度，有效控制从业人员的职业道德风险和操作风险，具有详细完整的催收工作流程和工作标准。 

（七）须在本行业具有良好的业绩和经验，具有在国有银行，或股份制银行，或持有消费金融牌照的消费金融公司提供类似服务项目的成功案例。

（八）催收外包服务商及其主要控制人/股东近二年内未发生过恶性催收被监管部门通报、处罚或被媒体曝光事件，并须提供相关承诺。

（九）催收外包服务商须能满足向我行客户提供优质服务的基本要求，并愿意接受我行的持续管理、业务辅导、专项培训、绩效监督。 

（十）催收外包服务商应设置符合我行要求的应急预案，须与我行应急预案管理要求相适应，该预案须有效防范或缓释因突发状况造成的潜在风险。 

第四章 催收外包实施流程

第八条 总行负责总行层面合作的催收外包服务商统一采购。一级分行负责辖内催收外包服务商统一采购，一级分行不得转授权经办行。 

第九条 总行、一级分行的集中采购部门按照我行采购管理办法等相关采购规章制度实施采购工作，分行采购工作完成后将催收外包公司清单报备总行业务条线管理部门。

第十条 签订委托外包协议 

总行或一级分行开展催收外包的，在外包项目采购结束后，应尽快与服务商签订书面合同或协议。外包项目禁止分包、转包或变相转包。  

第十一条 催收外包合同或协议中应要求催收外包服务商承诺以下事项：

（一）定期通报外包活动的有关事项。 

（二）及时通报外包活动的突发性事件。 

（三）配合接受银行业监督管理机构的检查。 

（四）保障客户信息的安全性，当客户信息不安全或客户权利受到影响时，我行能够随时终止外包合同。 

（五）不得超出合同或协议约定的内容擅自开展活动，不得以我行的名义开展活动。 

（六）其他应该承诺的事项。 

（七）费用支付原则及支付方式，需确保催收外包服务费用列支科目及支付方式符合我行财务会计管理有关制度规定。 

第十二条 总分行应依照《中国银行突发事件总体应急预案》、《中国银行股份有限公司外包风险管理办法》的要求，制定针对该外包业务的应急预案，应对和解决外包流程中的突发事件，确保该业务正常执行。

第五章 催收外包工作原则

第十三条 合法合规原则 

催收外包服务商必须保证所采取催收手段的合法合规，不得以违法、违规及不道德的方式催收，同时在催收过程中不得以中国银行名义开展催收、不得有任何有损中国银行形象和声誉的言语、行为。 

第十四条 合同单方终止权原则 

催收外包服务商对客户进行催收工作中，违反有关规定造成客户投诉及媒体曝光引发声誉风险，或存在其他损害银行和客户合法权益行为的，我行有权随时单方终止外包合作。 

第十五条 业务决策权保留原则 

催收过程中如出现以下（但不限于）特别事件必须由我行事先书面授权同意： 

（一）欠款人申请事项。包括但不限于：减免滞纳金、减免利息、以物抵债、抵质押物处置、开展债务重组等。 

（二）代银行起诉，代为承认、放弃、变更诉讼请求，和解，参与、接受法院调解，提起反诉、撤诉、上诉等事项。 

（三）其他可能导致我行债权损失或权益变更的事项。 

第十六条 工作交接原则 

（一）我行应依据催收外包合同或协议中明确的委托催收范围，并结合欠款人资产的实际状况，确定需要外包催收的欠款人账户，提供必要的客户资料，同时办理书面交接登记手续。

（二）催收工作结束后，催收外包服务商应将相应资料如催收记录、函件存根、签收回执等资料移交我行妥善保存备查至少保存三年。 

第十七条 资料保密原则 

经办行对客户资料的提供、收回应安排专人负责，并做好人员备案登记，人员变动前做好交接手续。客户资料应坚持最少够用原则，采取加密移动存储介质等方式对外提供，有条件的分行应采取数据接口等科技手段加强客户资料的保密管理。 

催收外包服务商应严格按照催收外包合同或协议，履行对客户资料的保密责任，同时我行应建立催收外包服务商对客户资料的保密执行情况进行检查监督的管理机制：

3. 外资银行的风险管理

随着资产、业务、网点规模的不断扩大，为有效解决业务发展与管理能力不匹配问题，外资银行开始将部分授信审批、风险管理职能开始由境外移至境内，一些经验丰富的资深管理人员与技术人员从境外被派遣到境内工作。特别是改制法人逐步建立健全包括董事会及下设的相关专业委员会和高级管理层的公司治理架构，在战略决策、预算管理、风险管控等方面相对独立于境外母行。中信嘉华银行在改制后董事会下设了由母行董事组成的信贷风险管理委员会，并从母行派遣资深的风险管控人员加强子行的风险管理工作；出于集中风险管理需要而将境内分行改制为外资法人银行，如三菱东京日联银行、瑞穗实业银行通过改制也大大加强了在华机构的管理；摩根大通在改制后派遣亚太区的首席行政官和首席运营官分别担任子行董事会的非执行董事和监事，提升了决策效能，并在子行设立了2名风险控制经理，负责子行在市场风险、操作风险、外包服务管理、信息科技风险管理、业务灾备应急计划管理等方面的风险管理工作；东亚银行改制后成立单独的中国战略部，制定该行中国的发展战略，并提交本地董事会讨论通过，而母行战略部不再制定中国发展战略。

4. 如何防范金融服务外包所潜在的风险及相应措施？

要防范金融服务外包过程中各种风险,我国须重视在岸服务外包市场开发,走有中国特色的“内外结合”发展道路。
要想更好地发展中国的金融服务外包需要做到以下几个方面:1.建立并完善外包服务商的资格审查和信用评级制度,以及有效的外包监管制度。2.制定相关法律。完善的法律可以保证外包市场健康有序的发展。3.政府合理规划和建设金融服务外包园区和城市。充分发挥政府前瞻性的长远规划,应将各大城市分开管理,给予差别的政策,以最大程度充分发挥各城市的优势,避免各城市之间的盲目竞争。
我国金融服务外包风险防范      
(一)合理确定金融服务外包的业务范围和服务商      (1)实行业务外包以前,金融机构应制定外包的具体政策和标准,主要包括对哪些业务适合外包做出评估。同时,应该全面考虑业务外包的程度问题、风险集中问题,以及将多项业务外包给同一个服务商时的风险问题。      (2)外包服务商的业务水平直接关系到外包活动的成败。在做出外包决策后,金融机构的管理层应听取来自内部或外部的法律、财务专家、人力资源的意见,然后才可以按照自身的需求去寻找擅长该业务的所有高级公司,通过仔细的调查、分析和比较,选择最合适的外包服务商。此外,也要考虑外包服务商的财务状况。      (二)外包风险内部评估      在开始实施金融服务外包之后,为了确保及时将风险消灭在萌芽之中,或者在风险来临之前获得信号,把风险带来的损失降低最小,必须在外包的过程中时刻对风险进行内部评估。      (1)派专人到外包服务商的公司任职,及时与外包服务商沟通在外包业务中存在的问题,特派员作为一个中间人协调和处理在业务中可能出现的矛盾。这种方法相对比较可靠,但容易受到地域等因素的影响。      (2)缩短金融机构和外包服务商沟通的周期。由于外包业务的关系,外包服务商肯定要定期向金融机构汇报业务报表或有关业务的进展情况。尽量控制一个合理而有效的沟通周期以便于及早发现问题。     (三)完善金融外包监管制度      (1)金融监管当局应采取不同的监管程序。金融监管当局针对不同的业务和不同的外包服务商应采取不同的监管程序。对于明确规定可以外包的业务,只需要经过备案程序即可,而对于规定之外的业务,则应经过监管机构的审查与批准程序。对于不同的外包服务商,也应采取有差别的监管程序。      (2)金融监管当局应进行外包业务的持续监管和系统性风险监管。为了实现持续监管,可借鉴国际监管组织制定的监管原则,要求金融机构在外包合同中制定相关条款,确保监管当局随时可获得监管所需的资料。      (3)金融机构及外包服务商均应制订应急计划。金融机构应该尽力要求外包服务商制订应急计划,保证信息技术的安全性,以及发生意外情况时灾难恢 乌骨鸡苗鸡苗0.2元/只 送全程饲料 养殖死伤全赔 广告 一年养4批利润40万 每户10000元补贴 45天死伤全赔 培训养鸡技术 查看详情 > 绍兴 鸡苗批发 0.2元/只 订1000只送800只 包销成品 广告 大型禽苗孵化基地 常年出售鸡苗 品种齐全 免费防疫 订满1000只免费上门建温棚 送饲料 查看详情 > 复能力。对业务外包的各种意外情形,外包商应设计必要的应急计划。

5. 银行业务外包风险隐患有哪些

亲亲[开心]，你好呀，很高兴为你解答啦，银行业务外包风险隐患有外包合同往往都有较长的期限,随着商业环境以及外包商自身的变化,外包机构能否按时、保质完成合同义务,存在一定的不确定性。其次,业务外包必然导致银行业务管理和操作上的改变,这些改变是为适应外包机构外包部分服务的需要而作出的,这种改变也可能增加银行的操作风险。第三,外包需要将保密性数据、战略性技术或者机构的账簿、记录交由第三人接触,而外包机构及其雇员都有可能违反保密协议,泄漏前述保密信息,从而引发操作、法律和信誉方面[开心][开心]【摘要】
银行业务外包风险隐患有哪些【提问】
亲亲[开心]，你好呀，很高兴为你解答啦，银行业务外包风险隐患有外包合同往往都有较长的期限,随着商业环境以及外包商自身的变化,外包机构能否按时、保质完成合同义务,存在一定的不确定性。其次,业务外包必然导致银行业务管理和操作上的改变,这些改变是为适应外包机构外包部分服务的需要而作出的,这种改变也可能增加银行的操作风险。第三,外包需要将保密性数据、战略性技术或者机构的账簿、记录交由第三人接触,而外包机构及其雇员都有可能违反保密协议,泄漏前述保密信息,从而引发操作、法律和信誉方面[开心][开心]【回答】
亲亲[开心]，你好呀，很高兴为你解答啦，风险包括:制卡服务存在数据批量泄露风险;系统托管服务运行风险敞口较大;研发系统漏洞较多,重要文档保护不当;呼叫中心业务系统安全漏洞较多,客户信息泄露风险高;[开心][开心]【回答】