第一篇:第十四期法律知识点(信息科技、业务连续性、外包风险管理)[本站推荐]
法律法规知识点汇编
(第十四期)
目 录
※商业银行信息科技风险管理指引…………………1
※商业银行业务连续性监管指引……………………3
※银行业金融机构外包风险管理指引…………… 7
2014年9月24日
商业银行信息科技风险管理指引
※信息科技风险:是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。(第4条)多选题:信息科技风险,是指信息科技在商业银行运用过程中,由于下列哪些情形产生的操作、法律和声誉等风险?(ABCD)
A.自然因素 B.人为因素 C.技术漏洞 D.管理缺陷 ※信息科技风险管理的第一责任人:商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引贯彻落实。(第6条)
判断题:商业银行董事会是信息科技风险管理的第一责任人。(×)
※信息科技风险管理策略:商业银行应制定全面的信息科技风险管理策略,包括但不限于下述领域:(一)信息分级与保护。(二)信息系统开发、测试和维护。(三)信息科技运行和维护。(四)访问控制。(五)物理安全。(六)人员安全。(七)业务连续性计划与应急处臵。(第15条)多选题:商业银行应制定全面的信息科技风险管理策略,包括但不限于以下哪些领域?(ABCD)
A.信息分级与保护 B.信息科技运行和维护 C.物理安全 D.业务连续性计划与应急处臵 ※岗位制约:商业银行应将信息科技运行与系统开发和维护
分离,确保信息科技部门内部的岗位制约;对数据中心的岗位和职责做出明确规定。(第41条)单选题:商业银行应将(A)分离,确保信息科技部门内部的岗位制约;对数据中心的岗位和职责做出明确规定。
A.信息科技运行与系统开发和维护 B.系统管理和网络 C.数据库管理系统和网络 D.硬件管理和软件管理
※大规模系统开发的部门参与:商业银行在进行大规模系统开发时,应要求信息科技风险管理部门和内部审计部门参与,保证系统开发符合本银行信息科技风险管理标准。(第66条)单选题:商业银行在进行大规模系统开发时,应要求信息科技风险管理部门和(A)参与,保证系统开发符合本银行信息科技风险管理标准。
A.内部审计部 B.财务部 C.业务部 D.监察部
商业银行业务连续性监管指引
※业务连续性管理定义:是指商业银行为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序。(第2条)
※重要业务运营中断事件:是指因下述原因导致信息系统服务异常、重要业务停止运营的事件。主要包括:(一)信息技术故障:信息系统技术故障、配套设施故障;(二)外部服务中断:第三方无法合作或提供服务等;(三)人为破坏:黑客攻击、恐怖袭击等;(四)自然灾害:火灾、雷击、海啸、地震、重大疫情等。(第4条)
※业务连续性管理承担最终责任:董(理)事会是商业银行业务连续性生管理的决策机构,对业务连续性管理承担最终责任。(第10条)
※业务连续性管理的部门职责:商业银行应当明确业务连续性管理执行部门,包括业务条线部门与信息科技部门。业务条线部门负责风险评估、业务影响分析,确定重要业务恢复目标和恢复策略,负责业务条线重要业务应急响应与恢复;信息科技部门负责信息技术应急响应与恢复。(第14条)多选题:商业银行应当明确业务连续性管理执行部门,包括业务条线部门与信息科技部门。业务条线部门负责(ABCD),负责业务条线重要业务应急响应与恢复。
A.风险评估 B.业务影响分析
C.确定重要业务恢复目标和策略 D.负责重要业务应急响应与恢复
※重要业务恢复时间:原则上,重要业务恢复时间目标不得大于4小时,重要业务恢复点目标不得大于半小时。(第25条)单选题:根据业务连续性管理要求,原则上重要业务恢复时间目标不得大于(A)。
A.4小时 B.2小时 C.1小时 D.0.5小时 ※业务连续性计划演练频率:商业银行应当至少每三年对全部重要业务开展一次业务连续性计划演练。在重大业务活动、重大社会活动等关键时点,或在关键资源发生重大变化之前,也应当开展业务连续性计划的专项演练。(第49条)
单选题:商业银行应当至少每(D)对全部重要业务开展一次业务连续性计划演练。
A.半年 B.一年 C.二年 D.三年 ※新产品开发的业务连续性管理:商业银行在开发新业务产品时,应当同步考虑是否将其纳入业务连续性管理范畴。对纳入业务连续性管理的,应当在上线前制定业务连续性计划并实施演练。(第56条)单选题:商业银行在开发新业务产品时,应当同步考虑是否将其纳入业务连续性管理范畴。对纳入业务连续性管理的,应当在(A)制定业务连续性计划并实施演练。
A.上线前 B.上线中 C.上线后 D.维护时 ※运营中断事件分级(节选):银监会及其派出机构对银行业运营中断事件进行分级。当运营中断事件同时满足多个级别的定级条件时,按最高级别确定事件等级。(一)特别重大运营中断事件(Ⅰ级)1.重要信息系统服务中断,或重要数据损毁、丢失、泄露,造成经济秩序混乱或重大经济损失等特别严重损害的事件; 2.在业务服务时段导致一个(含)以上省的多家金融机构业务无法正常开展达3个小时(含)以上的事件;
3.在业务服务时段导致单家金融机构两个(含)以上省业务无法正常开展达3个小时(含)以上,或一个省业务无法正常开展达6个小时(含)以上的事件;
4.业务服务时段以外,故障或事件救治未果、可能产生上述1至3类事件的事件。
(二)重大运营中断事件(Ⅱ级)1.重要信息系统服务中断,或重要数据损毁、丢失、泄露,对银行或客户利益造成严重损害的事件;
2.在业务服务时段导致一个(含)以上省的多家金融机构业务无法正常开展达半个小时(含)以上的事件;
3.在业务服务时段导致单家金融机构两个(含)以上省业务无法正常开展达半个小时(含)以上,或一个省业务无法正常开展达3个小时(含)以上的事件;
4.业务服务时段以外,故障或事件救治未果、可能产生上述
1至3类事件的事件。
(三)较大运营中断事件(Ⅲ级)1.重要信息系统服务中断,或重要数据损毁、丢失、泄露,对银行或客户利益造成较大损害的事件;
2.在业务服务时段导致一个省(自治区、直辖市)业务无法正常开展达半个小时(含)以上的事件;
3.业务服务时段以外,故障或事件救治未果、可能产生上述1至2类事件的事件。(第79条)多选题:下列属于银行业特别重大运营中断事件(Ⅰ级)的是(ABCD)
A.重要信息系统服务中断造成特别严重经济损失的。B.在业务服务时段导致一个(含)以上省的多家金融机构业务无法正常开展达3个小时(含)以上的。
C.在业务服务时段导致单家金融机构两个以上省业务无法正常开展达3个小时(含)以上。
D.在业务服务时段导致单家金融机构一个省(自治区、直辖市)业务无法正常开展达6个小时(含)以上的事件。
※运营中断报告:按照属地监管原则,银监机构在商业银行运营中断事件发生后2小时内,将事件及处臵情况上报银监会处臵工作小组。(第80条)
判断题:按照属地监管原则,银监机构在商业银行运营中断事件发生后2小时内,应将事件及处臵情况上报银监会处臵工作小组。(√)
银行业金融机构外包风险管理指引
※适用范围:外包是指银行业金融机构将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为。(第3条)单选题:《银行业金融机构外包风险管理指引》中的外包指银行业金融机构将原来由自身负责处理的某些业务活动委托给(B)进行持续处理的行为。
A.服务制造商 B.服务提供商 C.服务销售商 D.服务维修商 ※外包活动的最终责任主体:银行业金融机构的董事会和高级管理层应当承担外包活动的最终责任。(第4条)单选题:银行业金融机构的董事会和(C)应当承担外包活动的最终责任。
A.社员代表大会 B.监事会 C.高级管理层 D.外包管理团队 ※关联关系调查:银行业金融机构的外包活动涉及多个服务提供商时,应当对这些服务提供商进行关联关系的调查。(第13条)。
单选题:银行业金融机构的外包活动涉及多个服务提供商时,应当对这些服务提供商进行(D)的调查。
A.管理能力 B.盈利能力 C.技术实力 D.关联关系 ※不宜外包的职能:银行业金融机构的战略管理、核心管理以及内部审计等职能不宜外包。(第7条)
多选题:银行业金融机构下列哪些职能不宜外包(ABC)A.战略管理 B.核心管理 C.内部审计 D.绩效系统 ※外包服务提供商承诺事项:银行业金融机构在外包合同中应当要求外包服务提供商承诺以下事项:
(一)定期通报外包活动的有关事项;
(二)及时通报外包活动的突发性事件;
(三)配合银行业金融机构接受银行业监督管理机构的检查;
(四)保障客户信息的安全性,当客户信息不安全或客户权利受到影响时,银行业金融机构有权随时终止外包合同;
(五)不得以银行业金融机构的名义开展活动;
(六)银行业金融机构认为应当承诺的其他事项。(第16条)
多选题:银行业金融机构在外包合同中应当要求外包服务提供商承诺以下事项(ABCD)
A.定期通报外包活动的有关事项
B.配合银行业金融机构接受银行业监督管理机构的检查 C.保障客户信息的安全性
D.不得以银行业金融机构的名义开展活动
※不得转包:银行业金融机构应当在合同中约定服务提供商不得将外包活动转包或变相转包。(第18条)
判断题:银行业金融机构应当在合同中约定服务提供商不得将外包活动转包或变相转包。(√)
第二篇:信息科技风险管理经验交流
额敏县农村信用合作联社
信息科技风险管理经验交流
塔城地区银监分局:
根据塔城地区银监分局《关于召开2011年塔城地区银行业金融机构信息科技风险管理联席会议的通知》要求,现将和额敏县农村信用合作联社信息科技风险管理情况汇报如下:
一、信息科技风险管理基本情况
为提高安全管理意识,充分认识信息科技风险管理工作的重要性,建立了一把手负责制,明确信息科技风险管理的职责权限,逐级落实信息科技管理责任,严格事故追究责任制。成立了以联社理事长为组长、领导班子成员为副组长、各相关部门及营业网点主任为成员的信息科技工作领导小组,制定了信息科技应急处置预案,明确了因信息科技风险导致营业网点发生业务故障时,联社各相关部门需采取的措施和步骤,提高了对信息科技风险的预防和处置能力。
2009年10月,自治区联社鉴于各县级联社信息科技风险管理技术力量薄弱,管控能力较差等情况,以地区为单位成立了科技分中心,对各联社信息科技工作和部分重要设备统一进行管理,并每季对网点进行一次科技风险管理巡检。
二、联社信息科技应用情况
(一)网络情况。目前我社各网点均通过租用电信公司专线与直接与塔城地区科技分中心相联,业务专线与因特网物理隔离,可以有效的防止了网络不法分子对我社业务网络
攻击和破坏。对部分重要的网络设备、参数(如网点路由器)由地区科技分中心进行备份。
目前我社网点全部建立了电话线路备份,如网点专线出现故障,通过向地区科技分中心申请后,可以使用电话备份线路办理业务。
(二)生产环境。为提高农村信用社的业务发展,增强业务处理能力,自治区农村信用社使用了数据集中模式,数据集中到自治区联社科技中心。各项应用系统的维护、数据备份等由自治区科技中心操作。
(三)科技管理。
我社所有电脑均安装网络版杀毒软件,并及时进行更新,防止病毒传播和有害程序注入,保证了网点和机关各部门的电脑稳定安全运行。
三、存在的问题
由于县联社没有专职或兼职科技管理人员,对县联社的新业务软件上线,软硬件的日常维护,科技分中心距离县联社较远,技术支挣不是很方便。如网点线路关键设备发生故障,不能迅速排除故障,可能造成网点停业时间较长。
今后我社将在自治区联社的领导下,在地区银监局的正确监管下,加强信息科技风险防范,努力提高信息科技防范工作力度,做好对敏感信息的保护和应急能力建设,确保我社信息科技工作稳定、安全发展。
额敏县农村信用合作联社
二〇一一年四月二十六日
第三篇:第十三期法律知识点(风险核心、杠杆率、资本管理)
法律法规知识点汇编
(第十三期)
目 录
※商业银行资本管理办法………………………… 1
※中国银监会关于中国银行业实施新监管标准的指导意见…………………………………………………5
※商业银行风险监管核心指标(试行)……………7
※商业银行杠杆率管理办法……………………… 9
2014年9月19日
商业银行资本管理办法
※商业银行资本抵御风险:商业银行资本应抵御其所面临的风险,包括个体风险和系统性风险。(第3条)
多选题:商业银行应抵御其所面临的风险,包括(AC)
A.个体风险 B.区域风险 C.系统性风险 D.深度风险
※商业银行总资本包括内容: 商业银行总资本包括核心一级资本、其它一级资本和二级资本。(第20条)
多选题:商业银行总资本包括(ABC)
A.核心一级资本
B.其他一级资本
C.二级资本 D.核心二级资本
※商业银行风险加权资产包括:信用风险加权资产、市场风险加权资产和操作风险加权资产。(第21条)
多选题:《商业银行资本管理办法(试行)》里商业银行风险加权资产包括(BCD)
A.流动性风险加权资产 B.信用风险加权资产
C.市场风险加权资产
D.操作风险加权资产 ※储备资本:商业银行应当在最低资本要求的基础上计提储备资本。储备资本要求为风险加权资产的2.5%,由核心一级资本来满足。(第24条)
单选题:商业银行应当在(A)要求的基础上计提储备资本。
A.最低资本
B.储备资本和逆周期资本
C.系统重要性银行附加资本
D.核心资本
※核心一级资本包括:
(一)实收资本或普通股。
(二)资本公积。
(三)盈余公积。
(四)一般风险准备。
(五)未分配利润。
(六)少数股东资本可计入部分。(第29条)
多选题:下列属于核心一级资本的是(ABCD)
A.实收资本或普通股 B.资本公积
C.盈余公积 D.未分配利润
※二级资本包括(节选):
(一)二级资本工具及溢价。
(二)超额贷款损失准备。商业银行采用权重法计量信用风险加权资产的,超额贷款损失准备可计入二级资本,但不得超过信用风险加权资产的1.25%。
(三)少数股东资本可计入部分。(第31条)
单选题:商业银行采用权重法计量信用风险加权资产的,超额贷款损失准备可计入二级资本,但不得超过信用风险加权资产的(D)。
A.1% B.2.5%
C.0.6% D.1.25%
※核心一级资本扣除项:计算资本充足率时,商业银行应当从核心一级资本中全额扣除以下项目:
(一)商誉。
(二)其它无形资产(土地使用权除外)。
(三)由经营亏损引起的净递延税资产。
(四)贷款损失准备缺口。(第32条)
多选题:计算资本充足率时,商业银行应当从核心一级资本中全额扣除的项目包括:(ABCD)
A.商誉
B.其他无形资产(土地使用权除外)
C.由经营亏损引起的净递延税资产
D.贷款损失准备缺口
※对个人债权的风险权重:商业银行对个人债权的风险权重。
(一)个人住房抵押贷款的风险权重为50%。
(二)对已抵押房产,在购房人没有全部归还贷款前,商业银行以再评估后的净值为抵押追加贷款的,追加部分的风险权重为150%。
(三)对个人其它债权的风险权重为75%。(第65条)单选题:商业银行对个人住房抵押贷款的风险权重为(B)
A.25% B.50% C.75% D.100%
※市场风险资本要求之和:市场风险资本要求为利率风险、汇率风险、商品风险、股票风险和期权风险的资本要求之和。(第90条)
多选题:按照标准法进行计算,市场风险资本要求为(ABCD)风险的资本要求之和。
A.利率 B.汇率 C.商品 D.股票和期权 ※三大风险计量方法(第46、85、95)1.信用风险:权重法、内部评级法。2.市场风险:标准法、内部模型法。
3.操作风险:基本指标法、标准法、高级计量法。多选题:下列对三大风险计量方法叙述正确的是(ABCD)。A.商业银行可以采用权重法或内部评级法计量信用风险加
权资产。
B.商业银行可以采用标准法或内部模型法计量市场风险加权资本要求。
C.商业银行可以采用基本指标法、标准法或高级计量法计量操作风险加权资本要求。
D.未经银监会核准,商业银行不得变更信用风险、市场风险及操作风险计量方法。
中国银监会关于中国银行业实施
新监管标准的指导意见
※资本充足率监管要求:
(一)将监管资本从现行的两级分类(一级资本和二级资本)修改为三级分类(核心一级资本、其他一级资本和二级资本)。
(二)明确三个最低资本充足率要求,即核心一级资本充足率、一级资本充足率和资本充足率分别不低于5%、6%和8%。
(三)引入逆周期资本监管框架,包括:2.5%的留存超额资本和0-2.5%的逆周期超额资本。
(四)增加系统重要性银行的附加资本要求,暂定为1%。新标准实施后,正常条件下系统重要性银行和非系统重要性银行的资本充足率分别不低于11.5%和10.5%。
判断题:根据新监管标准要求,将监管资本从现行的两级分类(一级资本和二级资本)修改为三级分类(核心一级资本、其他一级资本和二级资本)。(√)
单选题:1.根据《中国银行业实施新监管标准的指导意见》规定,核心一级资本充足率不低于(B)
A.4% B.5% C.6% D.8% 2.根据《中国银行业实施新监管标准的指导意见》规定,一级资本充足率不低于(C)
A.4% B.5% C.6% D.8% 3.根据《中国银行业实施新监管标准的指导意见》规定,资本充足率分别不低于(D)
A.4% B.5% C.6% D.8% 4.根据《中国银行业实施新监管标准的指导意见》规定,新监管标准实施后,正常条件下非系统重要性银行的资本充足率分别不低于(D)
A.5% B.6.5% C.8% D.10.5% ※杠杆率指标:即一级资本占调整后表内外资产余额的比例不低于4%。
※流动性覆盖率、净稳定融资比例: 流动性覆盖率、净稳定融资比例均不得低于100%。银行业金融机构应于2013年底和2016年底前分别达到流动性覆盖率和净稳定融资比例的监管要求。
单选题:根据《中国银行业实施新监管标准的指导意见》规定,流动性覆盖率、净稳定融资比例均不得低于(C)
A.25% B.50% C.100% D.150% ※强化贷款损失准备监管:贷款拨备率(贷款损失准备占贷款的比例)不低于2.5%,拨备覆盖率(贷款损失准备占不良贷款的比例)不低于150%,原则上按两者孰高的方法确定银行业金融机构贷款损失准备监管要求。
单选题:根据《中国银行业实施新监管标准的指导意见》规定,贷款拨备率和拨备覆盖率应分别不低于(C)
A.2.5%,100% B.1.5% ,150% C.2.5%,150% D.1.5%,100%
商业银行风险监管核心指标(试行)
※流动性风险指标:流动性比例为流动性资产余额与流动性负债余额之比,衡量商业银行流动性的总体水平,不应低于25%。
核心负债比例为核心负债与负债总额之比,不应低于60%。(第8条)
单选题:核心负债比例为核心负债与负债总额之比,不应低于?(B)
A.50% B.60% C.70% D.80% ※信用风险指标(节选):包括不良资产率、单一集团客户授信集中度、全部关联度三类指标。
(一)不良资产率为不良资产与资产总额之比,不应高于4%;不良贷款率为不良贷款与贷款总额之比,不应高于5%。
(二)单一集团客户授信集中度为最大一家集团客户授信总额与资本净额之比,不应高于15%;单一客户贷款集中度为最大一家客户贷款总额与资本净额之比,不应高于10%。
(三)全部关联度为全部关联授信与资本净额之比,不应高于50%。(第9条)
单选题:1.单一集团客户授信集中度为最大一家集团客户授信总额与资本净额之比,不应高于(D)。
A.8% B.9% C.10% D.15% 2.单一客户贷款集中度为最大一家客户贷款总额与资本净额之比,不应高于(C)。
A.8% B.9% C.10% D.15% 3.全部关联度为全部关联授信与资本净额之比,不应高于(C)。
A.20% B.40% C.50% D.80% ※风险抵补类指标:衡量商业银行抵补风险损失的能力,包括盈利能力、准备金充足程度和资本充足程度三个方面。
(一)盈利能力指标包括成本收入比、资产利润率和资本利润率。
(二)资产利润率为税后净利润与平均资产总额之比,不应低于0.6%;
(三)资本利润率为税后净利润与平均净资产之比,不应低于11%。(第13条)
多选题:根据《商业银行风险监管核心指标》(试行)的规定,盈利能力指标包括:(ABC)
A.成本收入比 B.资产利润率 C.资本利润率 D.不良资产率
单选题:1.资产利润率为税后净利润与平均资产总额之比,不应低于?(B)
A.0.5% B.0.6% C.0.7% D.0.8% 2.资本利润率为税后净利润与平均净资产之比,不应低于?(C)
A.9% B.10% C.11% D.12% ※商业银行董事会职责:应定期审查各项指标的实际值,并督促管理层采取纠正措施。(第17条)
判断题:商业银行监事会应定期审查各项指标的实际值,并
督促管理层采取纠正措施。答案(×)
商业银行杠杆率管理办法
※适用范围:本办法适用于在中华人民共和国境内设立的商业银行,包括中资银行、外商独资银行和中外合资银行。(第2条)
农村信用社参照本办法执行。(第18条)
※商业银行并表和未并表的杠杆率均不得低于4%。(第4条)
单选题:商业银行并表和未并表的杠杆率均不得低于? 答案(C)A.8% B.5% C.4% D.10% ※商业银行董事会责任:承担杠杆率管理的最终责任,商业银行高级管理层负责杠杆率管理的实施工作。(第13条)※达标时间:银监会确定的系统重要性银行应当于2013年底前达到最低杠杆率要求,非系统重要性银行应当于2016年底前达到最低杠杆率要求。在过渡期内,未达到最低杠杆率要求的银行应当制定达标规划,并向银监会报告。(第19条)
第四篇:银行业金融机构信息科技外包风险监管指引
中国银行业监督管理委员会
银监发[2013]5号
中国银监会关于印发银行业金融机构信息科技外
包风险监管指引的通知
各银监局,各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司,邮储银行,各省级农村信用联社,银监会直接监管的信托公司、企业集团财务公司、金融租赁公司:
现将《银行业金融机构信息科技外包风险监管指引》印发给你们,请遵照执行。
2013年2月16日
银行业金融机构信息科技外包风险监管指引
第一章 总则
第一条
为规范银行业金融机构的信息科技外包活动,降低信息科技外包风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本指引。
第二条
在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省(自治区)农村信用社联合社适用本指引。银监会监管的其他金融机构参照本指引执行。第三条
本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。原则上包括以下类型:
(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包;
(二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包;
(三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处臵等外包中的系统开发、运行维护和数据处理活动。
第四条
本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。
第五条
信息科技外包可能产生如下风险,并导致银行业金融机构的战略、声誉、合规风险:
(一)科技能力丧失:银行业金融机构过度依赖外部资源导致失去科技控制及创新能力,影响业务创新与发展;
(二)业务中断:支持业务运营的外包服务无法持续提供导致业务中断;
(三)信息泄露:包含客户信息在内的银行业金融机构非公开数据被服务提供商非法获得或泄露;
(四)服务水平下降:由于外包服务质量问题或内外部协作效率低下,使得银行业金融机构信息科技服务水平下降。
第六条
本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险,该风险可能造成集中性的服务中断、质量下降、安全事件等。
第七条
本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。
第八条
银行业金融机构应当将信息科技外包管理纳入全面风险管理体系,建立与本机构信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。
第九条
银行业金融机构应当建立信息科技外包管理组织架构,制定外包管理战略,定期进行外包风险评估,通过服务提供商准入、评价、退出等手段建立及维护符合自身战略目标的供应商关系管理策略。
第十条
银行业金融机构在实施信息科技外包时应当坚持以下原则:
(一)以不妨碍核心能力建设、积极掌握关键技术为导向;
(二)保持外包风险、成本和效益的平衡;
(三)强调外包风险的事前控制,保持管控力度;
(四)根据外包管理及技术发展趋势,持续改进外包策略和措施。
第十一条
银行业金融机构在实施信息科技外包时,不得将信息科技管理责任外包。
第十二条
对于不涉及银行客户及内部信息转移的信息科技产品采购、维保,及通讯线路租用、支付或清算系统接入等信息科技公共基础设施服务,银行业金融机构应当充分评估其信息科技风险,按照本指引第五章要求进行管理。
第二章 外包管理组织架构
第十三条
银行业金融机构董事会及高级管理层应当严格落实信息科技外包风险管理的相关职责, 明确信息科技外包风险管理的主管部门,制定并审批信息科技外包战略,审议信息科技外包管理流程及制度,督促并监控信息科技外包风险管理效果。
第十四条
信息科技外包风险主管部门的主要职责包括:
(一)对外包风险进行识别、评估与风险提示;
(二)监督、评价外包管理工作,并督促外包风险管理的持续改善;
(三)向高级管理层定期汇报信息科技外包活动相关风险管理情况;
(四)董事会或高级管理层确定的其他信息科技外包风险管理职责。
第十五条
银行业金融机构应当在信息科技管理部门或信息科技外包活动执行部门内建立信息科技外包管理执行团队,并配备足够人员履行以下职责:
(一)实施信息科技外包战略;
(二)制定并执行信息科技外包管理制度与流程;
(三)执行供应商准入、评价、退出管理,建立并维护供应商关系管理策略;
(四)制定保障外包服务持续性的应急管理方案,并组织实施定期演练;
(五)对外包过程中的各项管理活动进行监控及分析,定期向信息科技及外包风险管理主管部门报告外包活动情况。
第三章 信息科技外包战略及风险管理
第一节 信息科技外包战略
第十六条
银行业金融机构应当以提升信息科技队伍能力,提高科技管理及创新水平,掌握信息科技核心技能为目标,基于信息科技战略、外包市场环境、自身风险控制能力和风险偏好制定信息科技外包战略,包括:不能外包的职能、资源能力建设方案、供应商关系管理策略和外包分级管理策略。
第十七条
银行业金融机构应当根据自身信息科技战略明确不能外包的职能。涉及战略管理、风险管理、内部审计及其他有关信息科技核心竞争力的职能不得外包。第十八条
银行业金融机构应当根据外包战略制定资源、能力建设方案,通过补充人员、提升技能、知识转移等方式,有针对性地获取或提升管理及技术能力,降低对服务提供商的依赖。
第十九条
银行业金融机构应当建立与自身规模、市场地位相适应的供应商关系管理策略。通过准入和退出机制合理管控各类高风险服务提供商的数量,实现以下目标:防范行业垄断和机构集中度风险,通过引入适当的竞争在降低采购成本的同时提高服务质量,合理管控服务提供商的数量从而降低风险及管理成本等。
第二十条
银行业金融机构可以按照外包服务性质和重要性程度对服务提供商进行分级管理,对不同级别的服务提供商采取差异化的管控措施,在有效管理重要风险的前提下降低管理成本。
第二十一条
银行业金融机构要同母公司或集团公司协同做好外包服务及服务提供商的管理工作,但应当保持关联外包有关决策的独立性,避免因关联关系而降低外包活动的风险控制水平。
第二节 信息科技外包风险管理
第二十二条
银行业金融机构信息科技外包风险管理部门应当至少每年开展一次全面的外包风险管理评估,保持评估的独立性,并向高级管理层提交评估报告。评估内容包括:信息科技外包战略执行情况、外包信息安全、机构集中度、服务连续性、服务质量、政策及市场变化对外包服务的影响分析等。
第二十三条
银行业金融机构应当对重要的外包服务提供商进行定期的风险评估,保持评估的独立性。至少在三年内覆盖所有重要的服务提供商。评估内容包括:服务提供商合规情况、服务的执行效果等,评估结果应当作为服务提供商准入及退出的重要依据。
第二十四条
银行业金融机构内部审计部门应当定期开展信息科技外包风险管理审计工作,至少每三年对重要的外包服务活动进行一次全面审计。发生外包风险事件后应当及时开展专项审计。
第四章 信息科技外包管理
第一节 外包风险评估及准入
第二十五条
外包项目立项前,银行业金融机构应当审慎检查项目与信息科技外包战略的一致性,根据项目内容、范围、性质对其进行风险识别和评估,制定相应的风险处臵措施,不因外包活动的引入而增加整体剩余风险。重大外包项目应向董事会、高管层报告。
第二十六条
银行业金融机构应当根据供应商关系管理策略,结合风险评估结果及服务提供商的准入标准,对备选服务提供商进行初步筛选,防范引入高机构集中度风险特点的服务提供商、或引入增加整体风险的服务提供商。
第二十七条
对于外包服务提供商为同业托管机构的情况,银行业金融机构可参照本节内容对其进行管理。
第二节 服务提供商尽职调查
第二十八条
对重要的服务提供商,银行业金融机构在与其签订合同前应当深入开展尽职调查,必要时可聘请第三方机构协助调查。
第二十九条
银行业金融机构在尽职调查时应当关注服务提供商的技术和行业经验,包括但不限于:服务能力和支持技术、服务经验、服务人员技能、市场评价、监管评价等。
第三十条
银行业金融机构在尽职调查时应当关注服务提供商的内部控制和管理能力,包括但不限于:内部控制机制和管理流程的完善程度、内部控制技术和工具等。
第三十一条
银行业金融机构在尽职调查时应当关注服务提供商的持续经营状况,包括但不限于:从业时间、市场地位及发展趋势、资金的安全性、近期盈利情况等。
第三十二条
对于关联外包,银行业金融机构不得因关联关系而降低对服务提供商的要求,应当在尽职调查阶段详细分析服务提供商技术、内控和管理水平,确认其有足够能力实施外包
服务、处理突发事件等。
第三十三条
对于外包服务提供商为同业托管机构的情况,银行业金融机构可参照本节内容对其进行管理。
第三节 外包服务合同及要求
第三十四条
银行业金融机构在实施外包服务项目前,应当与服务提供商签订服务合同。合同应当根据外包服务需求、风险评估及尽职调查结果确定详细程度和重点。
第三十五条
银行业金融机构在合同或协议中应当明确以下内容,包括但不限于:
(一)服务范围、服务内容、工作时限及安排、责任分配、交付物要求以及后续合作中的相关限定条件;
(二)合规与内控要求,对法律法规及银行业金融机构内部管理制度的遵从要求、监管政策的通报贯彻机制、服务提供商的内控措施;
(三)服务连续性要求,服务提供商的服务连续性管理目标应当满足银行业金融机构业务连续性目标要求;
(四)银行业金融机构监控和检查的权利、频率,服务提供商配合其内、外部审计机构检查,及配合银行业监管机构检查的责任;
(五)政策或环境变化因素等在内的合同变更或终止的触发条件,外包服务提供商在过渡期间应该履行的主要职责及合同变更或终止的过渡安排,包括信息、资料和设施的交接处臵等过渡期间相关服务的安排;
(六)外包服务过程中产生、加工、交互的信息和知识产权的归属权以及允许服务提供商使用的内容及范围,对服务提供商使用合法软、硬件产品的要求;
(七)服务要求或服务水平条款,至少应当包括如下内容:外包服务的关键要素、服务时效和可用性、数据的机密性和完整性要求、变更的控制、安全标准的遵守情况、技术支持水平等;
(八)争端解决机制、违约及赔偿条款,至少包括如下内容:服务质量违约、安全违约、知识产权违约等,及在各种违约情况下的赔偿以及外包争端的解决机制;
(九)报告条款,至少包括常规报告内容和报告频度、突发事件时的报告路线、报告方式及时限要求。
第三十六条 银行业金融机构应当在合同或协议中明确服务提供商在安全和保密方面的责任,以及针对安全及保密要求需采取的具体措施。包括但不限于:
(一)禁止服务提供商在合同允许范围外使用或者披露银行业金融机构的信息,以防止信息被非授权使用;
(二)在合同或协议中约定服务提供商对银行客户信息安全和银行客户权利的保护条款、事故处理方式及违约赔偿条款;
(三)在合同或协议中约定服务提供商不得以所服务的银行业金融机构名义开展活动;
(四)服务提供商接触银行业金融机构信息时,需满足安全和保密相关条款的要求;
(五)在发生银监会规定的信息科技突发事件,或发生可能引发系统性、区域性银行业信息科技风险类突发事件时,服务提供商应及时向银行业金融机构报告,包括事件的影响以及处臵
和纠正措施。
第三十七条
银行业金融机构应当在合同或协议中明确要求服务提供商不得将外包服务转包和变相转包。在涉及外包服务分包时应当要求:
(一)不得将外包服务的主要业务分包;
(二)主服务提供商对服务水平负总责,确保分包服务提供商能够严格遵守外包合同或协议;
(三)主服务提供商对分包商进行监控,并对分包商的变更履行通知或报告审批义务。
第四节 外包服务安全管理
第三十八条
银行业金融机构应当制定和落实信息安全管控措施,防范因外包活动引起的信息泄露、信息篡改、信息不可用、非法入侵、物理环境或设施遭受破坏等风险。具体措施包括:
(一)对外包人员进行信息安全培训,提高风险管理意识,确保信息安全管控措施在外包服务过程中有效落实;
(二)明确外包活动需要访问或使用的信息资产,包括场地、办公设施、计算机、服务器、软件、数据、信息、物理访问控制设备、账号、网络宽带、网络端口等,按“必需知道”和“最小授权”原则进行访问授权;
(三)对重要或核心的信息系统开发交付物进行源代码检查和安全扫描;
(四)定期对服务提供商进行安全检查,获取服务提供商自评估或第三方评估报告。
第三十九条
银行业金融机构对关联外包服务提供商定期进行的安全检查,不得以服务提供商的自评估替代,不得因关联关系而影响检查的独立性、客观性及公正性。
第四十条
银行业金融机构应当关注外包服务引入的新技术或新应用对现有治理模式及安全架构的冲击,及时完善信息安全管控体系,避免因新技术或应用的引入而增加额外的信息安全风险。
第五节 外包服务监控与评价
第四十一条
银行业金融机构应当对外包服务过程进行持续监控,要求服务提供商建立阶段性服务目标及任务,并跟踪任务的执行情况,及时发现和纠正服务过程中存在的各类异常情况。
第四十二条
银行业金融机构应当根据信息科技外包需求、合同、服务水平协议等建立明确的服务质量监控指标,并进行相应监控。常见指标包括:
(一)信息系统和设备及基础设施的可用率、设备的开机率;
(二)故障次数、故障解决率、故障的响应时间;
(三)服务的次数、客户满意度;
(四)各阶段业务需求的及时完成率、程序的缺陷数、需求变更率;
(五)外包人员工作饱和率、外包人员的考核合格率。
第四十三条
银行业金融机构应当建立明确的服务目录、服务水平协议以及服务水平监控评价机制,并确保外包服务监控基础数据和评价结果的真实性和完整性,且数据至少需保存到服务结束后一年。
第四十四条
银行业金融机构应当对服务提供商的财务、内控及安全管理进行持续监控,关注其因破产、兼并、关键人员流失、投入不足和管理不善等因素引发的财务状况恶化及内部管理混乱等情况,防范外包服务意外终止或服务质量的急剧下降。
第四十五条
银行业金融机构监控到异常情况时,应当及时督促服务提供商采取纠正措施,情节严重的或未及时纠正的,应当约谈服务提供商高管人员并限期整改。
第四十六条
外包服务结束时,银行业金融机构应当对服务提供商进行评价,评价结果应当作为服务提供商准入的重要参考依据。
第四十七条
对于关联外包,银行业金融机构董事会及高级管理层应当推动母公司或所属集团将外包服务质量纳入对服务提供商的业绩评价范围,建立外包服务重大事件问责机制。同时,应当要求服务提供商在其内部建立与外包服务水平相关的绩效考核机制。
第六节 外包服务中断与终止
第四十八条
银行业金融机构应当考虑信息科技外包的引入对业务连续性管理的影响,有针对性地完善业务连续性管理计划,包括但不限于:
(一)识别出重要业务所涉及的服务提供商和资源;
(二)通过合同、协议等形式明确要求服务提供商提前准备并维护好相关资源;
(三)对服务提供商业务连续性管理进行监控,并评价其管理水平;
(四)在进行业务连续性计划演练时将相关的服务提供商纳入演练范围。
第四十九条
为降低外包突发事件的可能性及影响,银行业金融机构应当事先对业务连续性管理造成重大影响的外包服务建立风险控制、缓释或转移措施,包括但不限于以下内容:
(一)在外包服务实施过程中持续收集服务提供商相关信息,尽早发现可能导致服务中断的情况;
(二)与服务提供商事先约定在其服务质量不能满足合同要求的情况下获取其外包服务资源的优先权;
(三)要求服务提供商制定服务中断相关的应急处理预案,如提供备份人员;
(四)对于涉及重要业务的外包服务,银行业金融机构需考虑预先在其内部配臵相应的人力资源,掌握必要的技能,以在外包服务中断期间自行维持最低限度的服务能力。
第五十条
银行业金融机构应当针对重要外包服务中断的场景,拟定相应的应急计划,并定期进行演练,考虑因素包括但不限于以下内容:
(一)事件场景,如重要人员流失导致服务无法持续,服务提供商主动退出,因资质变更、被收购、兼并或破产等原因导致的服务提供商被动退出等;
(二)事件持续时间和恢复可能性;
(三)事件影响范围和可能的应急措施;
(四)服务提供商自行恢复服务的可能性和时间;
(五)备选的服务提供商以及外包服务迁移方案;
(六)外包服务过渡给银行业金融机构自行运作的可能性、时效及资源需求。
第五十一条
对于无法满足外包服务要求或发生重大事件的情况,银行业金融机构应当在充分评估其影响及制定退出计划的前提下,考虑主动要求服务提供商终止服务,情节特别严重的,可考虑取消准入资质,并报监管机构申请对其备案。对于关联外包,银行业金融机构不得因为关联关系而影响服务提供商退出机制的落实。
第五章 机构集中度风险管理
第五十二条
银行业金融机构应当依据服务提供商所承接外包服务的数量、金额在本行重要信息科技服务中的占比,服务提供商所承接外包服务在银行业服务市场占比情况,识别具有机构集中度特点的外包服务提供商。同时,还应识别服务提供商之间为集团子公司、关联公司或附属机构所产生的机构集中度风险。
第五十三条
银行业金融机构应当积极采用分散信息科技外包活动、提高自主研发运行能力等形式,降低机构集中度,减少对外包服务提供商的依赖。
第五十四条
银行业金融机构应当要求具有机构集中度特点的外包服务提供商提供充分的证据,证明其内部控制和管理能力、持续运营能力等。
第五十五条
银行业金融机构应当要求具有机构集中度特点的外包服务提供商为银行业金融机构配备相对独立的资源,包括服务团队、场地、系统、设备等;并对资源进行定期检查,确保资源及时到位。
第五十六条
银行业金融机构应当要求具有机构集中度特点的外包服务提供商在外包服务中断应急预案中,明确外包服务的优先级,并进行服务中断应急演练,服务提供商应当至少参与服务交接、敏感信息处臵等演练过程。
第五十七条
银行业金融机构应当特别加强对具有机构集中度特点的外包服务提供商的财务、内控、安全管理情况的持续监控,建立信息收集机制,及时掌握风险事件情况,防范外包服务意外终止或服务质量急剧下降对本机构产生大面积影响。
第五十八条
银行业金融机构应当对具有机构集中度特点的外包服务提供商增强监督频率与力度,必要时可指派专人进行现场监督。
第五十九条
对于具有机构集中度特点的外包服务提供商为同业托管机构的情况,银行业金融机构可参照本节内容对其进行外包管理。
第六章 跨境及非驻场外包管理
第一节 跨境外包风险管理
第六十条
跨境外包是指在境外其他国家或地区实施的信息科技外包服务活动。
第六十一条
跨境外包除具有本指引前述风险外,还包括由于某一国家或地区经济、政治、社会变化及事件而产生的国别风险,及由于外包实施场地远离银行业金融机构而产生的非驻场风险。
第六十二条
银行业金融机构应当充分了解并持续监控服务提供商所在国家或地区状况,通过建立业务连续性计划防范跨境外包所带来的国别风险。
第六十三条
银行业金融机构应当关注国外法律法规、监管要求对其获取服务提供商外包管理信息可能造成的影响。实施跨境外包应当以不妨碍银行业金融机构有效履行外包服务监控管理职能及监管机构延伸检查为前提。
第六十四条
银行业金融机构在选择跨境外包时,应当明确其所在国家或地区监管当局已与银监会签订谅解备忘录或双方认可的其他约定。
第六十五条
银行业金融机构在选择跨境外包时,还应当充分审查评估服务提供商保护客户信息的能力,并将其作为选择服务提供商的重要指标。涉及客户信息的跨境外包,应当在符合监管法规政策并获得客户授权的前提下开展。
第六十六条
银行业金融机构在实施跨境外包时,其合同应当包括法律选择和司法管辖权的约定,明确争议解决时所适用的法律及司法管辖权,原则上应当要求服务提供商依照中国的法律解决纠纷。
第二节 非驻场外包风险管理
第六十七条
非驻场外包是指服务提供商不在银行业金融机构现场提供服务的外包形式。由于银行业金融机构不能对其内部控制及风险管理措施进行直接管控,应当在信息安全、知识产权保护、质量监控、法律合规等方面加强对服务提供商的风险管理。
第六十八条
银行业金融机构应当建立针对非驻场外包服务的内部控制及风险管理要求的最低标准,该标准应当作为选择服务提供商的最低要求。
第六十九条
银行业金融机构应当对重要的非驻场外包服务进行实地检查。实地检查原则上一年不少于一次,检查结果作为外包服务提供商项目考核及准入的重要指标。
第七十条
银行业金融机构应当加强对外包服务提供商非驻场外包服务内部控制、质量管理、信息安全的有效性评估,评估结果作为供应商准入的重要依据。对于高风险的服务提供商,银行业金融机构应当责令其进行限期整改,对于逾期未改的服务提供商应当暂停或取消其服务资格。
第七十一条
对于非驻场外包服务提供商为同业托管机构的情况,银行业金融机构可以参照本节内容对其进行外包管理,但同业托管机构须将为其他同行业金融机构提供的信息科技外包服务视同自身信息科技服务的重要组成部分,不得区别对待,降低对自身提供外包服务的风险管控水平。
第七章 银行业重点外包服务机构风险管理要求
第七十二条
银行业重点外包服务机构是指集中为银行业金融机构提供外包服务,同时满足下述条件,如其外包服务失败可能导致银行业大面积数据损毁、丢失、泄露或信息系统服务中断,造成经济损失的机构,具体条件如下:
(一)承担集中存贮客户数据的业务交易系统外包服务;或承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务;或承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务;且上述服务均为非驻场外包服务。
(二)服务的法人银行业金融机构数量、服务合同金额占有本服务领域市场份额的三分之一以上;或服务的跨区域经营法人银行业金融机构数量达到3家或以上;或服务的其他类型法人银行业金融机构数量达到10家或以上。
第七十三条 银行业金融机构应当根据监管机构发布的银行业重点外包服务机构风险提示,按照如下要求进行管理:
(一)银行业重点外包服务机构应当是中华人民共和国境内注册的独立法人实体,注册资本和实收资本不少于1000万,注册成立时间不少于3年。
(二)银行业重点外包服务机构应当拥有健全的组织架构,并针对所提供的外包服务建立有效的风险治理架构,至少应当建立由公司高级管理层直接领导、针对银行业金融机构外包服务的、专职信息科技风险管理团队,为持续的外包服务提供保证。
(三)银行业重点外包服务机构应当建立与所承担的服务范围和规模相适应的服务管理体系,建立完善的信息安全、服务质量、服务持续性等管理制度体系,拥有有效的检查、监控和考核机制,确保管理规范有效执行。
(四)银行业重点外包服务机构应当具有足够的技术能力、人力资源和设施、环境,满足外包服务的质量和安全管理要求。银行业重点外包服务机构承担的银行业金融机构外包服务场地应当设臵在中国境内。第七十四条
银行业金融机构应当要求银行业重点外包服务机构具有如下相关领域资质认证:(一)具有完善的信息安全管理体系、业务连续性管理体系,并通过业界公认较为权威的信息安全管理和业务连续性管理资质认证。
(二)具有完善的质量管理体系,并通过业界公认较为权威的质量管理资质认证。
(三)承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务的银行业重点外包服务机构,其机房及基础设施应当达到国家电子计算机机房最高标准。
(四)承担集中存贮客户数据的业务交易系统外包服务,或承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务的银行业重点外包服务机构,应当具有完善的运行服务管理体系,并通过业界公认较为权威的运行服务管理资质认证。
第七十五条
银行业金融机构应当在风险管理、审计方面对银行业重点外包服务机构提出如下要求:
(一)银行业重点外包服务机构应当具有信息科技风险的管理体系,有效识别、监测、评估和控制风险。银行业重点外包服务机构应当至少每季度向所服务的银行业金融机构报送外包风险监控报告,针对监控发现的潜在风险或风险事件,及时采取控制或缓释措施。
(二)银行业重点外包服务机构应当每年聘请独立的审计机构,对自身外包服务进行风险评估,风险评估报告需报送所服务的银行业金融机构,并抄送银监会或其派出机构。
(三)银行业重点外包服务机构应当对其外包服务团队成员进行背景调查,确保其过往无不良记录,且应当与项目成员签订保密协议,并保留至少10年的法律追诉期。
第八章 监督管理
第七十六条
银行业金融机构开展以下信息科技外包服务时,应当在外包合同签订前二十个工作日向银监会或其派出机构报告,针对银行业金融机构信息科技外包风险,银监会及其派出机构可以采取风险提示、约见谈话、监管质询等措施。
(一)信息科技工作整体外包;
(二)数据中心或灾备中心整体外包;
(三)涉及将银行业金融机构客户资料、交易数据等敏感信息交由服务提供商进行分析或处理的信息科技外包;
(四)以非驻场形式实施的、集中存贮客户数据的业务交易系统外包;
(五)关联外包;
(六)涉及跨境的信息科技外包;
(七)其他银监会认为重要的信息科技外包。
第七十七条
银行业金融机构信息科技外包活动中发生如下重大事件时,应当在两个工作日内向银监会或其派出机构报告。
(一)银行业金融机构客户信息等敏感数据泄露;
(二)数据损毁或者重要业务运营中断;
(三)由于不可抗力或服务提供商重大经营、财务问题,导致或可能导致多家银行业金融机构外包服务中断;
(四)其他重大的服务提供商违法违规事件;
(五)银监会规定需要报告的其他重大事件。
第七十八条
银行业金融机构在开展外包风险管理评估工作后,应当将风险评估报告报送银监会或其派出机构。
第七十九条
银监会及其派出机构对银行业金融机构信息科技外包工作进行监督和检查,监督检查结果纳入对银行业金融机构的监管评级。
第八十条
对于风险较高的信息科技外包服务,银监会或其派出机构可以要求银行业金融机构暂缓、中止该类外包服务,直至银行业金融机构、外包服务提供商有效改正。
第八十一条
银行业金融机构违反本指引规定的,银监会或其派出机构可要求其纠正或采取替代方案,并视情况予以问责。因管理过失导致外包活动严重危及银行业金融机构稳健运行、损害存款人和其他客户合法权益的,依法追究银行业金融机构管理责任。
第八十二条
银监会实行银行业信息科技外包服务活动风险监测机制,定期对银行业金融机构发布银行业重点外包服务机构名单和风险提示,防范因高机构集中度外包服务导致的系统性、区域性信息科技风险。第八十三条
银监会应当对具有机构集中度特点的银行业金融机构信息科技外包服务进行重点风险监测、评估,根据需要,可以要求银行业金融机构与重点外包服务机构会谈,就其外包服务活动和风险的重大事项作出说明。
第八十四条
银监会应当组织银行业金融机构实地核查银行业重点外包服务机构承担的银行业金融机构信息科技服务活动,原则上每两年进行一次,也可以委托其他第三方机构审计的形式实施。
第八十五条
银监会可以根据银行业金融机构信息科技服务活动风险评估和实地核查结果,对银行业金融机构发出监管提示,要求其督促银行业重点外包服务机构对风险问题实施整改。
第八十六条
银行业重点外包服务机构应当配合银行业金融机构及银监会的风险监测和实地核查。
第八十七条
银监会组织相关银行业金融机构对银行业信息科技外包服务提供商建立服务管理记录,并对其进行风险评估和评级。
第八十八条
服务提供商在外包服务中存在以下情形的,银监会定期向银行业发布服务提供商风险预警,公布机构名单、服务信息等,要求银行业金融机构禁止相关服务提供商承担银行业信息科技外包服务,禁止期至少为两年。外包服务提供商两年内仍未整改的,延长其禁止期。
(一)违反国家法律、法规和监管政策,情节严重的;
(二)窃取、泄露银行业金融机构敏感信息,情节严重的;
(三)因管理过失,多次发生重要信息系统服务中断或数据损毁、丢失、泄露事件的;
(四)服务质量低下并给多家银行业金融机构造成损失,多次提示仍未整改的;
(五)对风险监测和实地检查发现的问题,逾期仍未整改的;
(六)存在其他违法违规行为,或发生其他重大信息科技风险事件的。
第八十九条
银监会负责监督银行业金融机构对信息科技外包服务提供商实施准入管理。对于存在重大风险的外包活动,银行业金融机构应当立即评估外包的适当性,对信息科技外包服务提供商进行风险预警提示,要求其进行整改并设定期限;逾期未整改的,禁止其承担信息科技外包服务。
第九章 附则
第九十条
本指引由银监会负责解释、修订。第九十一条
本指引自公布之日起施行。
第五篇:建议关注信用卡催收外包业务的法律风险
建议关注信用卡催收外包业务的法律风险
随着信用卡业务的普及,信用卡欠款总额也随之上升,单凭银行已经难以完成信用卡债务的催收工作,因此,许多银行出于加快信用卡逾期欠款回收、降低经营成本的考虑,将信用卡欠款的催收业务外包给一些第三方催收公司。这种做法虽然一定程度上减少了银行成本压力,加快了催收回款的速度,但从现有实践看,催收外包业务一旦开展不慎,将会对银行声誉、客户利益,乃至于社会带来很大的负面影响,各类报刊对此类问题的报道也是屡见不鲜。因此,发卡银行在开展催收外包业务时一定要谨慎。结合目前的法律法规,建议各行在开展催收外包业务时应注意以下几点:
一、催收外包公司的主体合法性。信用卡催收外包公司作为第三方机构,是否拥有合法性一直引发社会的质疑。国家有关部门对社会上的“讨债公司”及“讨债行为”曾颁布过禁止性文件,而第三方催收公司大多数是游离于法律法规之外的“讨债公司”,既没有国家颁发的经营许可牌照,又缺乏相关法律法规的约束与管理,这些都导致了此类第三方催收公司承担催收业务的非法性。因此,银行在选择催收外包公司时,应注意选择有催收外包业务经营资质的第三方公司进行合作。
二、委外催收授权的合法性。信用卡客户透支后,银行与客户之间就形成了债权债务关系,银行有权要求用户还款。委托催收外包公司进行催收,实际上是银行将要求客户还款的催收权利授权委托给催收公司,在此过程中,授权范围是否明确,授权权限是否合法,催收公司催收手段是否合法,都将影响委外催收是否合法有效。授权不明、非法催收所带来的法律后果将由银行和催收外包公司共同承担。从理论上讲,催收外包公司所能行使的权利只能是提醒信用卡欠款客户还款,无论是采用电话还是上门面谈方式,都不能行使除提醒之外的任何手段进行催收。因此,银行在委托催收公司行使催收权利时,应当以书面授权或签署协议的形式授权催收公司行使催收权利,明确催收的权利范围,要求催收公司采取合法方式进行催收。同时,加强对催收公司催收方式与手段的监控,对催收公司采取诸如电话骚扰、威胁恐吓、哄骗敲诈等非法手段进行催收的,应及时予以制止乃至终止授权。
三、客户信息的保密义务。银行授权催收外包公司进行催收业务时需要提交相关客户信息,例如姓名、身份证号码、联系电话及信用卡卡号等,这就存在客户信息被泄露的风险。一旦不法催收外包公司利用银行在发行信用卡环节的漏洞,盗用这些信息申请信用卡,或将客户信息泄露给第三人,就有可能使银行承担违反保密义务的违约责任,也可能给客户造成严重的经济损失。因此,银行在授权第三方公司进行委外催收时,应严格控制客户信息的提供范围,与催收外包公司明确各项保密义务及违约责任,避免因客户信息泄露可能导致的各种法律后果。(福建行办公室)
![下载第十四期法律知识点(信息科技、业务连续性、外包风险管理)[本站推荐]word格式文档](http://static.xiexiebang.com/skin/default/images/icon_word.png){kind=icon}
点击咨询 