① 金融外包公司要擔保人
一、金融服務外包行業總體簡介
巴塞爾銀行監督委員會在其公布的《金融服務外包》中將金融外包定義為:「指金融機構在持續經營的基礎上,利用外包服務商(可以是集團內的附屬實體或集團以外的實體)來實施原由自身進行的業務活動。」
當前,我國金融業呈現出核心業務和非核心業務、前台業務和後台業務、標准流程業務和非標准流程業務加快分離的趨勢。國內金融機構開始更多關注自身核心業務的發展創新和整體經營效益的提升,逐步形成了金融機構專注核心能力、服務供應商提供其他專業服務的金融產業鏈生態環境。而將如數據中心、清算中心、銀行卡中心、研發中心等金融後台服務與前台經營分離。金融服務外包主要有三種形式,分別是信息技術外包(ITO)、業務流程外包(BPO)和知識處理外包(KPO)。
金融服務外包的意義在於金融機構重新進行戰略定位,將其非核心的業務外包,利用企業外部更優質的資源來完成這一部分業務,通過開放式創新將資源集中於相對優勢領域,從而使企業集中所有資源專注於其核心業務,以更低的成本、更高的效率,提升自身的競爭優勢與核心競爭力。因此,金融外包行業將迎來廣闊的發展前景。
委外清收行業屬於金融服務外包中業務流程外包(BPO)的細分行業。業務流程外包關注的是支持進入機構內部運作和客戶的後端服務,通過業務流程的優化組合,提高整個業務的生產效率和競爭力,從而提高利潤水平。中國的金融服務外包始於2000年的信息技術外包(ITO),至今信息技術外包仍舊占據了金融服務外包60%的份額。但是業務流程外包(BPO)越來越受到各金融機構的重視,所佔的比重也越來越大,由2006年的17%上漲到2014年的33%。知識處理外包處於整個產業的最高端,對從業人員各方面能力要求很高,因此所佔的比例較低。
根據IDC的統計,業務流程外包領域的市場規模從大到小以此是:保險外包、信用卡外包、其他銀行業務外包、其他外包。國內信用卡外包服務主要集中於運用平台,如資料錄入、信息核對、呼叫中心、逾期賬款清收等板塊。從外包業務內容來看,信用卡外包服務又可以分為兩類:一類是外包內容是邊緣化的業務,相對低級,操作標准化,對銀行的價值貢獻較少,如資料錄入、呼叫中心、信息核對等業務;一類是外包內容屬於需要技術支持的核心業務,但銀行本身不具備支持該業務的技術能力或成本較高,如信用卡發卡業務、逾期欠款清收等,這類業務對外包服務商要求較高,對銀行的價值貢獻也相對較高。其中,發卡業務及預審業務作為風險控制的核心環節之一被銀監會明令禁止外包。委外清收行業則是可以進入的,且由於信用卡及個人貸款的增多和壞賬率的提升有較廣闊的發展前景和進入空間。
二、金融外包行業的發展現狀
我國的金融服務外包處於發展的初級階段,但是近年來發展十分迅猛。隨著我國金融業的發展,競爭日益加劇,將有更多的金融機構選擇外包服務。根據IDC的調查,2014年的信息技術外包規模達到51億美元左右,業務流程外包規模達到13億美元。而2014年全球的信息技術外包和業務流程外包規模分別達到了740億美元和250億美元。相較於全球的金融外包服務行業規模,中國的金融外包服務規模較小。
但是,中國金融服務外包的增長速度遠高於全球的水平。信息技術外包的平均增長率為13%左右,業務流程外包的平均增長率為18%左右。而全球信息技術外包和業務流程外包的平均增長率均僅為5%左右。尤其是業務流程外包的增長率遠高於世界平均水平,也高於信息技術外包的增長水平,越來越成為金融服務外包的重點。
我國金融服務外包行業的主要特點有以下三點:
1、承接的金融服務以在岸為主,離岸市場在逐步開拓中。我國金融外包服務的市場規模在岸和離岸之比大約為10:1。而目前我國金融外包支出約占金融業運營支出的0.53%,而美國為1.86%,因此在岸的金融服務外包市場還有很大的空間。同時,隨著我國金融業對外開放的步伐加快,跨國金融機構也會越來越多選擇中國的金融服務外包公司。
2、金融服務外包企業呈現金字塔結構,跨國金融服務外包企業示範效應明顯。最上端以國際巨頭為主,中間層次則以中國本土企業為主,第三層次則是眾多的中小型國內企業為主。跨國服務提供商帶來了成熟的外包運營模式和管理理念,對本土服務商產生示範效應,提升了整體服務質量。
3、國內金融服務外包企業市場開拓能力增強,開始拓展價值鏈高端業務。以華道數據、萬國數據等為代表的一批金融服務外包企業,通過專注國內市場不斷充實自身的競爭優勢。這類服務商長期同國內金融機構保持良好合作,建立了牢固的地位與影響力。在發展國內市場的同時,將逐漸開拓海外市場,支撐企業新的成長。同時,這類企業正在逐步通過服務創新提高附加值,提供更多元化服務模式。
我國金融服務外包行業主要存在以下幾個問題:
1、相較於國際領先服務外包公司,國內金融服務外包企業規模較小。根據《中國外包行業深度研究報告》,我國服務外包企業平均人員規模200人左右,超過1000人的企業僅220家,占企業總數的2.5%。而IBM、HP、埃森哲等達到上萬人、幾十萬人的規模。從營業收入來看,2010年度評選的中國服務外包企業最佳實踐50強中,服務外包企業最高營業收入不超過50億元;而IBM、HP等營業收入均超過200億美元。
2、相較於國際領先服務外包公司,國內大部分金融服務外包企業承接的業務以低端為主,提供服務的能力較弱。雖然業內領先的金融服務外包企業有意識的開拓高附加值的業務,從總體上看,大部分國內金融服務外包供應商目前尚不具備承接高技術含量外包業務的能力,大多業務處於價值鏈低端。金融服務外包商往往不能為金融機構提供全面業務范圍的外包服務,尚不具備為金融機構提供咨詢和支持的能力,還沒有出現提供全方位業務范圍的金融外包提供商。
3、金融服務外包人才缺乏,隨著金融外包的發展加快,人才匱乏已經成為制約金融服務外包發展的瓶頸。人才總量存在較大缺口,尤其是缺乏精通外語、外包行業規則,擁有豐富金融知識、計算機技能的專業性高端人才。一些金融服務外包企業受限於自身規模,不得不放棄一些較大的外包項目。
隨著國內商業銀行信用卡和個人貸款業務規模進一步擴大,銀行現有風險管理人員規模無法適應其業務的增長。逾期欠款清收業務是勞動密集型和技術密集型相結合的工作,但更多的體現為勞動密集型,需要清收人員與客戶進行一對一的溝通,有技巧的進行逾期欠款的清收。各大銀行為了提高核心競爭力,優化生產流程提高運營效率,均會選擇將逾期欠款的業務外包給第三方服務公司。而專業的第三方逾期欠款清收公司以其專業的操作流程和有專注的業務目標,能夠有效的提高欠款的回收率,幫助銀行控制不良資產規模。
委外清收行業的市場規模取決於我國信用卡和個人貸款的不良資產規模。根據中國人民銀行發布的各季度的《支付體系運行總體情況》的數據,截至到2015年第1季度,國內信用卡授信總額達到6.23萬億元,近四年平均年增長率達到29%,增長勢頭猛勁,信用卡市場規模進一步擴大。2010-2014年,僅四年的時間內,信用卡授信總額擴大為原來的3倍。
相比快速增長的信用卡數量和授信額度,信用卡壞賬率以更快的速度上升更值得注意。據中國人民銀行的數據顯示,2010年至2014年,未償信貸總額從73.2億上升到357.6億,規模擴大了4.9倍,而授信總額擴大了不到3倍;其中,2013年第一季度到2014年第二季度,未償信貸總額連續五個季度增速超過10%。委外清收業務的市場容量增長迅速。
委外清收行業有以下三個特點:
1、國內已逐步開放信用卡催收外包的經營許可權。2007年起,上海工商管理部門向中外資催收工商放款了信用卡催收外包的經營許可權,允許清收公司經營「信用卡繳款提醒通知專業服務」。目前,中外資催收公司已經站在同一起跑線,致力於「陽光」下的信用卡催收外包工作。
2、目前國內的逾期欠款清收公司資質良莠不齊,缺少評判標准。銀行主要通過實地調研,或向其他銀行打聽清收公司的口碑。因此,業內公司要通過合法合規的作業流程樹立良好的品牌形象吸引金融機構的委託。
3、逾期欠款清收公司相較於銀行等金融機構處於弱勢地位,議價能力較弱。由於外包的逾期欠款質量不同,回收率和清收難度大相徑庭。由於信息不對稱,清收公司並不能事先判斷委託案件的質量和清收成本。一些清收公司為了中標不惜超低報價,卻在服務過程中降低服務品質,造成不良的影響,破壞了行業的良性競爭。
三、行業主要法律法規及產業政策
目前涉及不良個人貸款和信用卡透支委外非訴清收的主要行政法規、部門規章、規范性文件和相關政策如下:
①《國務院關於促進服務外包產業加快發展的意見》
《國務院關於促進服務外包產業加快發展的意見》(國發〔2014〕67號)明確提出「十三五」服務外包產業的重點領域、主要任務和保障措施:科學謀劃服務外包產業集聚區布局,盡快形成產業集聚,發揮引領帶動作用;加強金融服務:拓寬服務外包企業投融資渠道;支持政策性金融機構在有關部門和監管機構的指導下依法合規創新發展,加大對服務外包企業開拓國際市場、開展境外並購等業務的支持力度,加強服務外包重點項目建設。
②《中國銀監會關於進一步規范信用卡業務的通知》
《中國銀監會關於進一步規范信用卡業務的通知》(銀監發[2009]60號)規定:銀行業金融機構應審慎實施催收外包行為。實施催收外包行為的銀行業務金融機構,應建立相應的業務管理制度,明確催收外包機構選用標准、業務培訓、法律責任和經濟責任等,選用的催收外包機構應經由本機構境內總部高級管理層審核批准,並簽訂管理完善、職責清晰的催收外包合同,不得單純按欠款回收金額提成的方式支付傭金。
銀行業金融機構應持續關注催收外包機構的財務狀況、人員管理、業務流程、工作情況、投訴情況等,確保催收外包機構按照本機構管理要求開展相關業務。對因催收外包管理不力,造成催收外包機構損害欠款人或其他相關人合法權益的,銀行業金融機構承擔相應的外包風險管理責任。
③《商業銀行信用卡業務監督管理辦法》
《商業銀行信用卡業務監督管理辦法》(銀監發[2011]02號)規定:發卡銀行應當建立信用卡欠款催收管理制度,規范信用卡催收策略、許可權、流程和方式,有效控制業務風險。發卡銀行不得對催收人員採用單一以欠款回收金額提成的考核方式。
發卡銀行應當對債務人本人及其擔保人進行催收,不得對與債務無關的第三人進行催收,不得採用暴力、脅迫、恐嚇或辱罵等不當催收行為。對催收過程應當進行錄音,錄音資料至少保存2年備查。
信用卡催收函件應當對持卡人充分披露以下基本信息:持卡人姓名和欠款余額,催收事由和相關法規,持卡人相關權利和義務,查詢賬戶狀態、還款、提出異議和提供相關證據的途徑,發卡銀行聯系方式,相關業務公章,監管機構規定的其他內容。發卡銀行收到持卡人對信用卡催收提出的異議,應當及時對相關信用卡賬戶進行備注,並開展核實處理工作。
④《銀行業金融機構外包風險管理指引》
《銀行業金融機構外包風險管理指引》(銀監發[2010]44號)對銀行業金融機構的外包業務的風險管理做出了較為詳盡的規定:銀行業金融機構的董事會和高級管理層應當承擔外包活動的最終責任;制定外包的風險管理框架以及相關制度,並將其納入全面風險管理體系;根據審慎經營原則制定其外包戰略發展規劃,確定與其風險管理水平相適宜的外包活動范圍;進行外包活動時應當對服務提供商進行盡職調查,簽訂書面合同或協議,明確雙方的權利義務,並建立嚴格的客戶信息保密制度,並依法履行告知義務;應當關注外包服務提供商分包的風險,並在合同中明確相關事項;應當在合同中約定服務提供商不得將外包活動轉包或變相轉包;應當定期對外包活動進行全面審計與評價;應當定期向所在地銀行業監督管理機構遞交本機構外包活動的評估報告;在開展外包活動時如遇到對本機構的業務經營、客戶信息安全、聲譽等產生重大影響事件,應當及時向所在地銀行業監督管理機構報告;銀行業監督管理機構及其派出機構根據需要對外包活動進行現場檢查,採集外包活動過程中數據信息和相關資料,並將檢查結果納入對該機構的監管評級。
同時對銀行業金融機構在外包合同中應當要求外包服務提供商承諾的事項,銀行業金融機構的董事會、高級管理層外包管理團隊的職責進行了列示。
四、影響該行業發展的有利和不利因素
1、有利因素
①產業政策支持,《國務院關於促進服務外包產業加快發展的意見》(國發〔2014〕67號)
意見中明確提出「十三五」服務外包產業的重點領域、主要任務和保障措施:科學謀劃服務外包產業集聚區布局,盡快形成產業集聚,發揮引領帶動作用;加強金融服務:拓寬服務外包企業投融資渠道;支持政策性金融機構在有關部門和監管機構的指導下依法合規創新發展,加大對服務外包企業開拓國際市場、開展境外並購等業務的支持力度,加強服務外包重點項目建設。
②2012年8月,廣東省政府發布了《關於加快發展服務外包產業的意見》
意見提出創新服務外包企業孵化模式,支持專業化服務外包企業設立和發展。對從事服務外包業務的企業,在市場准入、工商登記中給予便利。加強本地服務外包企業投融資服務和上市培育輔導,鼓勵有條件的服務外包企業通過兼並、收購、重組、聯營等方式,擴大企業規模。鼓勵企業獨立或合作建設研發機構、公共技術服務平台,加大研發投入力度,增強自主創新能力。對外包企業研發新技術、新產品、新工藝及技術轉讓、專利申請等,按規定落實財稅優惠政策。
③相關監管措施逐步出台,有利於行業的規范發展
在沒有相關法規和監管出台之前,催收行業在某種程度上處於灰色地帶。近幾年,在銀監會出台的多個文件中,對外包催收行為做出了一系列規范與要求,如《銀行業金融機構外包風險管理指引》、《商業銀行信用卡業務監督管理辦法》等。同時,各商業銀行也制定了詳細的業務規范和指引,使催收業務更加透明合規。隨著這監管、規范力度的加大,委外催收行業逐步走向正規,也有利該行業的發展。
④市場規模的快速增長
隨著國內信貸市場的急速擴張,大量的信用卡、消費金融、P2P、小額貸款、車貸等逾期賬款開始涌現。這些不良資產的增多對於金融行業本身是個消極的信號,但卻委外給催收公司的發展和壯大提供了機遇。
⑤大數據的應用
在如今「互聯網+」的時代里,任何行業都可以從大數據分析中獲利。目前,有不少,大型催收公司利用大數據,對逾期信貸進行有效的分析和管理,提高了公司業務的效率和質量。可以預見的是,越來越多的催收公司將利用大數據,進行科學的管理,從而促進整個行業的發展與規范。
2、不利因素
①行業亂象帶來的社會不良印象
雖然委外清收行業近年來發展勢頭強勁,並且逐步得到規范,業內出現了不少規模較大、具有一定影響力的外包服務公司。但是,業內也存在眾多小型催收公司服務質量良莠不齊,在清收過程中存在不合規情形,不但會損壞公司的聲譽,更會引發一系列的社會問題,阻礙行業良性發展。
②提供的服務種類單一,議價能力較弱
國內委外清收企業規模普遍較小,提供的服務也較為單一,附加值較低。在面對規模龐大的金融機構時,處於弱勢地位,議價能力較弱。而且由於業務的特殊性,存在信息不對稱,一些小公司為了爭取到委案會壓低報價,但是在服務過程中降低服務質量,導致行業的不良競爭。
③缺失高素質、綜合性人才
雖然委外清收行業經過十多年的發展,累積了一批有豐富清收經驗的人才,但是還缺失高素質的綜合性人才。特別是金融服務外包行業要向高附加值產業鏈轉型升級,向金融機構提供綜合性強、附加值高的服務,擁有管理能力、技術研發能力等綜合實力的人才是必不可缺的。如果不能吸引到高素質的人才,會影響行業的進一步發展。
② 銀行外包管理辦法
別說一線崗位,銀行很多內部的比如說檔案員、駕駛員、守押崗位都已經外包了。此外大堂、催收、法律、訴訟,甚至POS機具維護,甚至信貸收單都外包了。
為何這么做?
第一是節省成本。
外包,就是把這些相對不重要的崗位包給第三方公司,第三方公司派遣自己的雇員來代替銀行正式簽約員工工作。銀行按月結算給第三方,第三方再剔除管理費、稅金、五險一後支付給具體的外包崗位人員。
銀行簽約人員收入與福利肯定要比外包人員多一些,如此操作,銀行少支出部分又節省了管理成本。第三方公司也能從外包人員頭上多少搜刮些,雙贏啊😡
第二是迴避責任。
只要進行人員管理就有責任。這么一半人少了,銀行各級管理者的責任降低了。
出了任何問題,簡單將外包人員遣送回第三方公司就什麼事都省了。
第三是規避風險
銀行工作存在眾多潛在風險。而很多事不好給內部員工做,比如銀行催收,給員工做就得監督,是否內外勾結,沖銷費用,減免利息啊,真很麻煩。給外包第三方公司,按照既定規則執行,就結束了。
所以...
不過,當銀行也開始這么節省成本,讓外包人員面對客戶,估計外包人員心中也是憤怒的,同工不同酬,誰會創造性勞動?
損失的,嗯,其實還是銀行自己。
且看著吧。
③ 銀行信息科技風險應該如何管控
銀行業的外包風險管理是近幾年銀行監管的重點,銀監會為此先後發過幾個文:
《中國銀監會辦公廳關於開展銀行業金融機構信息科技非駐場集中式外包監管評估工作的通知》;
《銀行業金融機構信息科技外包風險管理指引》;
《中國銀監會辦公廳關於加強銀行業金融機構信息科技非駐場集中式外包風險管理的通知》;
這幾份文件都對如何實施信息科技風險管理起到指導性意見,可以進行參考。
實施供應商的風險管理可以從供應商服務的全生命周期入手,在供應商准入、供應商采購和合同、供應商服務監控、服務結束/終止、績效評估各個階段分別實施管理和技術方面的管理。
如果還需要更細化的操作方式可以找咨詢機構幫忙,安言咨詢有專門負責銀行業的總監應該能幫到你。
④ 如何防範金融服務外包所潛在的風險及相應措施
要防範金融服務外包過程中各種風險,我國須重視在岸服務外包市場開發,走有中國特色的「內外結合」發展道路。
要想更好地發展中國的金融服務外包需要做到以下幾個方面:1.建立並完善外包服務商的資格審查和信用評級制度,以及有效的外包監管制度。2.制定相關法律。完善的法律可以保證外包市場健康有序的發展。3.政府合理規劃和建設金融服務外包園區和城市。充分發揮政府前瞻性的長遠規劃,應將各大城市分開管理,給予差別的政策,以最大程度充分發揮各城市的優勢,避免各城市之間的盲目競爭。
我國金融服務外包風險防範
(一)合理確定金融服務外包的業務范圍和服務商 (1)實行業務外包以前,金融機構應制定外包的具體政策和標准,主要包括對哪些業務適合外包做出評估。同時,應該全面考慮業務外包的程度問題、風險集中問題,以及將多項業務外包給同一個服務商時的風險問題。 (2)外包服務商的業務水平直接關繫到外包活動的成敗。在做出外包決策後,金融機構的管理層應聽取來自內部或外部的法律、財務專家、人力資源的意見,然後才可以按照自身的需求去尋找擅長該業務的所有高級公司,通過仔細的調查、分析和比較,選擇最合適的外包服務商。此外,也要考慮外包服務商的財務狀況。 (二)外包風險內部評估 在開始實施金融服務外包之後,為了確保及時將風險消滅在萌芽之中,或者在風險來臨之前獲得信號,把風險帶來的損失降低最小,必須在外包的過程中時刻對風險進行內部評估。 (1)派專人到外包服務商的公司任職,及時與外包服務商溝通在外包業務中存在的問題,特派員作為一個中間人協調和處理在業務中可能出現的矛盾。這種方法相對比較可靠,但容易受到地域等因素的影響。 (2)縮短金融機構和外包服務商溝通的周期。由於外包業務的關系,外包服務商肯定要定期向金融機構匯報業務報表或有關業務的進展情況。盡量控制一個合理而有效的溝通周期以便於及早發現問題。 (三)完善金融外包監管制度 (1)金融監管當局應採取不同的監管程序。金融監管當局針對不同的業務和不同的外包服務商應採取不同的監管程序。對於明確規定可以外包的業務,只需要經過備案程序即可,而對於規定之外的業務,則應經過監管機構的審查與批准程序。對於不同的外包服務商,也應採取有差別的監管程序。 (2)金融監管當局應進行外包業務的持續監管和系統性風險監管。為了實現持續監管,可借鑒國際監管組織制定的監管原則,要求金融機構在外包合同中制定相關條款,確保監管當局隨時可獲得監管所需的資料。 (3)金融機構及外包服務商均應制訂應急計劃。金融機構應該盡力要求外包服務商制訂應急計劃,保證信息技術的安全性,以及發生意外情況時災難恢 烏骨雞苗雞苗0.2元/只 送全程飼料 養殖死傷全賠 廣告 一年養4批利潤40萬 每戶10000元補貼 45天死傷全賠 培訓養雞技術 查看詳情 > 紹興 雞苗批發 0.2元/只 訂1000隻送800隻 包銷成品 廣告 大型禽苗孵化基地 常年出售雞苗 品種齊全 免費防疫 訂滿1000隻免費上門建溫棚 送飼料 查看詳情 > 復能力。對業務外包的各種意外情形,外包商應設計必要的應急計劃。
⑤ 銀行業金融機構外包風險管理指引
不是。
銀行業金融機構外包風險管理指引不是法律,是規范性文件。
銀行業金融機構外包風險管理指引,是為了規范銀行業金融機構的外包活動,保障銀行業金融機構業務持續經營,依據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》等有關法律法規,制定的指引。
⑥ 銀行業金融機構信息系統風險管理指引的主要要求是什麼
機構職責
第六條 銀行業金融機構應建立有效的信息系統風險管理架構,完善內部組織結構和工作機制,防範和控制信息系統風險。
第七條 銀行業金融機構應認真履行下列信息系統管理職責:
(一)貫徹執行國家有關信息系統管理的法律、法規和技術標准,落實銀監會相關監管要求;
(二)建立有效的信息安全保障體系和內部控制規程,明確信息系統風險管理崗位責任制度,並監督落實;
(三)負責組織對本機構信息系統風險進行檢查、評估、分析,及時向本機構專門委員會和銀監會及其派出機構報送相關的管理信息;
(四)及時向銀監會及其派出機構報告本機構發生的重大信息系統事故或突發事件,並按有關預案快速響應;
(五)每年經董事會或其他決策機構審查後向銀監會及其派出機構報送信息系統風險管理的年度報告;
(六)做好本機構信息系統審計工作;
(七)配合銀監會及其派出機構做好信息系統風險監督檢查工作,並按照監管意見進行整改;
(八)組織本機構信息系統從業人員進行信息系統有關的業務、技術和安全培訓;
(九)開展與信息系統風險管理相關的其他工作。
第八條 銀行業金融機構的董事會或其他決策機構負責信息系統的戰略規劃、重大項目和風險監督管理;信息科技管理委員會、風險管理委員會或其他負責風險監督的專業委員會應制定信息系統總體策略,統籌信息系統項目建設,定期評估、報告本機構信息系統風險狀況,為決策層提供建議,採取相應的風險控制措施。
第九條 銀行業金融機構法定代表人或主要負責人是本機構信息系統風險管理責任人。
第十條 銀行業金融機構應設立信息科技部門,統一負責本機構信息系統的規劃、研發、建設、運行、維護和監控,提供日常科技服務和運行技術支持;建立或明確專門信息系統風險管理部門,建立、健全信息系統風險管理規章、制度,並協助業務部門及信息科技部門嚴格執行,提供相關的監管信息;設立審計部門或專門審計崗位,建立健全信息系統風險審計制度,配備適量的合格人員進行信息系統風險審計。
第十一條 銀行業金融機構從事與信息系統相關工作的人員應符合以下要求:
(一)具備良好的職業道德,掌握履行信息系統相關崗位職責所需的專業知識和技能;
(二)未經崗前培訓或培訓不合格者不得上崗;經考核不適宜的工作人員,應及時進行調整。
第十二條 銀行業金融機構應加強信息系統風險管理的專業隊伍建設,建立人才激勵機制,適應信息技術的發展。
第十三條 銀行業金融機構應依據有關法律法規及時和規范地披露信息系統風險狀況。
總體風險控制
第十四條 總體風險是指信息系統在策略、制度、機房、軟體、硬體、網路、數據、文檔等方面影響全局或共有的風險。
第十五條 銀行業金融機構應根據信息系統總體規劃,制定明確、持續的風險管理策略,按照信息系統的敏感程度對各個集成要素進行分析和評估,並實施有效控制。
第十六條 銀行業金融機構應採取措施防範自然災害、運行環境變化等產生的安全威脅,防止各類突發事故和惡意攻擊。
第十七條 銀行業金融機構應建立健全信息系統相關的規章制度、技術規范、操作規程等;明確與信息系統相關人員的職責許可權,建立制約機制,實行最小授權。
第十八條 在境外設立的我國銀行業金融機構或在境內設立的境外銀行業金融機構,應防範由於境內外信息系統監管制度差異等造成的跨境風險。
第十九條 銀行業金融機構應嚴格執行國家信息安全相關標准,參照有關國際准則,積極推進信息安全標准化,實行信息安全等級保護。
第二十條 銀行業金融機構應加強對信息系統的評估和測試,及時進行修補和更新,以保證信息系統的安全性、完整性。
第二十一條 銀行業金融機構信息系統數據中心機房應符合國家有關計算機場地、環境、供配電等技術標准。全國性數據中心至少應達到國家A類機房標准,省域數據中心至少應達到國家B類機房標准,省域以下數據中心至少應達到C類機房標准。數據中心機房應實行嚴格的門禁管理措施,未經授權不得進入。
第二十二條 銀行業金融機構應重視知識產權保護,使用正版軟體,加強軟體版本管理,優先使用具有中國自主知識產權的軟、硬體產品;積極研發具有自主知識產權的信息系統和相關金融產品,並採取有效措施保護本機構信息化成果。
第二十三條 銀行業金融機構與信息系統相關的電子設備的選型、購置、登記、保養、維修、報廢等應嚴格執行相關規程,選用的設備應經過技術論證,測試性能應符合國家有關標准。信息系統所用的伺服器等關鍵設備應具有較高的可靠性、充足的容量和一定的容錯特性,並配置適當的備品備件。
第二十四條 信息系統的網路應參照相關的標准和規范設計、建設;網路設備應兼備技術先進性和產品成熟性;網路設備和線路應有冗餘備份;嚴格線路租用合同管理,按照業務和交易流量要求保證傳輸帶寬;建立完善的網管中心,監測和管理通信線路及網路設備,保障網路安全穩定運行。
第二十五條 銀行業金融機構應加強網路安全管理。生產網路與開發測試網路、業務網路與辦公網路、內部網路與外部網路應實施隔離;加強無線網、互聯網接入邊界控制;使用內容過濾、身份認證、防火牆、病毒防範、入侵檢測、漏洞掃描、數據加密等技術手段,有效降低外部攻擊、信息泄漏等風險。
第二十六條 銀行業金融機構應加強信息系統加密機、密鑰、密碼、加解密程序等安全要素的管理,使用符合國家安全標準的密碼設備,完善安全要素生成、領取、使用、修改、保管和銷毀等環節管理制度。密鑰、密碼應定期更改。
第二十七條 銀行業金融機構應加強數據採集、存貯、傳輸、使用、備份、恢復、抽檢、清理、銷毀等環節的有效管理,不得脫離系統採集加工、傳輸、存取數據;優化系統和資料庫安全設置,嚴格按授權使用系統和資料庫,採用適當的數據加密技術以保護敏感數據的傳輸和存取,保證數據的完整性、保密性。
第二十八條 銀行業金融機構應對信息系統配置參數實施嚴格的安全與保密管理,防止非法生成、變更、泄漏、丟失與破壞。根據敏感程度和用途,確定存取許可權、方式和授權使用范圍,嚴格審批和登記手續。
第二十九條 銀行業金融機構應制定信息系統應急預案,並定期演練、評審和修訂。省域以下數據中心至少實現數據備份異地保存,省域數據中心至少實現異地數據實時備份,全國性數據中心實現異地災備。
第三十條 銀行業金融機構應加強對技術文檔資料和重要數據的備份管理;技術文檔資料和重要數據應保留副本並異地存放,按規定年限保存,調用時應嚴格授權。信息系統的技術文檔資料包括:系統環境說明文件、源程序以及系統研發、運行、維護過程中形成的各類技術資料。重要數據包括:交易數據、賬務數據、客戶數據,以及產生的報表數據等。
第三十一條 銀行業金融機構在信息系統可能影響客戶服務時,應以適當方式告知客戶。
研發風險控制
第三十二條 研發風險是指信息系統在研發過程中組織、規劃、需求、分析、設計、編程、測試和投產等環節產生的風險。
第三十三條 銀行業金融機構信息系統研發前應成立項目工作小組,重大項目還應成立項目領導小組,並指定負責人。項目領導小組負責項目的組織、協調、檢查、監督工作。項目工作小組由業務人員、技術人員和管理人員組成,具體負責整個項目的開發工作。
第三十四條 項目工作小組人員應具備與項目要求相適應的業務經驗與專業技術知識,小組負責人需具備組織領導能力,保證信息系統研發質量和進度。
第三十五條 銀行業金融機構業務部門根據本機構業務發展戰略,在充分進行市場調查、產品效益分析的基礎上制定信息系統研發項目可行性報告。
第三十六條 銀行業金融機構業務部門編寫項目需求說明書,提出風險控制要求,信息科技部門根據項目需求編制項目功能說明書。
第三十七條 銀行業金融機構信息科技部門依據項目功能說明書分別編寫項目總體技術框架、項目設計說明書,設計和編碼應符合項目功能說明書的要求。
第三十八條 銀行業金融機構應建立獨立的測試環境,以保證測試的完整性和准確性。測試至少應包括功能測試、安全性測試、壓力測試、驗收測試、適應性測試。測試不得直接使用生產數據。
第三十九條 銀行業金融機構信息科技部門應根據測試結果修補系統的功能和缺陷,提高系統的整體質量。
第四十條 銀行業金融機構業務人員、技術人員應根據職責范圍分別編寫操作說明書、技術應急方案、業務連續性計劃、投產計劃、應急回退計劃,並進行演練。
第四十一條 開發過程中所涉及的各種文檔資料應經相關部門、人員的簽字確認並歸檔保存。
第四十二條 項目驗收應出具由相關負責人簽字的項目驗收報告,驗收不合格不得投產使用。
第五章運行維護風險控制
第四十三條 運行維護風險是指信息系統在運行與維護過程中操作管理、變更管理、機房管理和事件管理等環節產生的風險。
第四十四條 銀行業金融機構信息系統運行與維護應實行職責分離,運行人員應實行專職,不得由其他人員兼任。運行人員應按操作規程巡檢和操作。維護人員應按授權和維護規程要求對生產狀態的軟硬體、數據進行維護,除應急外,其他維護應在非工作時間進行。
第四十五條 銀行業金融機構信息系統的運行應符合以下要求:
(一)制定詳細的運行值班操作表,包括規定巡檢時間,操作范圍、內容、辦法、命令以及負責人員等信息;
(二)提供常見和簡便的操作菜單或命令,如信息系統的啟動或停止、運行日誌的查詢等;
(三)提供機房環境、設備使用、網路運行、系統運行等監控信息;
(四)記錄運行值班過程中所有現象、操作過程等信息。
第四十六條 銀行業金融機構信息系統的維護應符合以下要求:
(一)除對信息系統設備和系統環境的維護外,對軟體或數據的維護必須通過特定的應用程序進行,添加、刪除和修改數據應通過櫃員終端,不得對資料庫進行直接操作;
(二)具備各種詳細的日誌信息,包括交易日誌和審計日誌等,以便維護和審計;
(三)提供維護的統計和報表列印功能。
第四十七條 銀行業金融機構信息系統的變更應符合以下要求:
(一)制訂嚴密的變更處理流程,明確變更控制中各崗位的職責,並遵循流程實施控制和管理;變更前應明確應急和回退方案,無授權不得進行變更操作;
(二)根據變更需求、變更方案、變更內容核實清單等相關文檔審核變更的正確性、安全性和合法性;
(三)應採用軟體工具精確判斷變更的真實位置和內容,形成變更內容核實清單,實現真實、有效、全面的檢驗;
(四)軟體版本變更後應保留初始版本和所有歷史版本,保留所有歷史的變更內容核實清單。
第四十八條 銀行業金融機構在信息系統投產後一定時期內,應組織對系統的後評價,並根據評價及時對系統功能進行調整和優化。
第四十九條 銀行業金融機構應對機房環境設施實行日常巡檢,明確信息系統及機房環境設施出現故障時的應急處理流程和預案,有實時交易服務的數據中心應實行24小時值班。
第五十條 銀行業金融機構應實行事件報告制度,發生信息系統造成重大經濟、聲譽損失和重大影響事件,應即時上報並處理,必要時啟動應急處理預案。
外包風險控制
第五十一條 外包風險是指銀行業金融機構將信息系統的規劃、研發、建設、運行、維護、監控等委託給業務合作夥伴或外部技術供應商時形成的風險。
第五十二條 銀行業金融機構在進行信息系統外包時,應根據風險控制和實際需要,合理確定外包的原則和范圍,認真分析和評估外包存在的潛在風險,建立健全有關規章制度,制定相應的風險防範措施。
第五十三條 銀行業金融機構應建立健全外包承包方評估機制,充分審查、評估承包方的經營狀況、財務實力、誠信歷史、安全資質、技術服務能力和實際風險控制與責任承擔水平,並進行必要的盡職調查。評估工作可委託經國家相應監管部門認定資質,具有相關專業經驗的獨立機構完成。
第五十四條 銀行業金融機構應當與承包方簽訂書面合同,明確雙方的權利、義務,並規定承包方在安全、保密、知識產權方面的義務和責任。
第五十五條 銀行業金融機構應充分認識外包服務對信息系統風險控制的直接和間接影響,並將其納入總體安全策略和風險控制之中。
第五十六條 銀行業金融機構應建立完整的信息系統外包風險評估與監測程序,審慎管理外包產生的風險,提高本機構對外包管理的能力。
第五十七條 銀行業金融機構的信息系統外包風險管理應當符合風險管理標准和策略,並應建立針對外包風險的應急計劃。
第五十八條 銀行業金融機構應與外包承包方建立有效的聯絡、溝通和信息交流機制,並制定在意外情況下能夠實現承包方的順利變更,保證外包服務不間斷的應急預案。
第五十九條 銀行業金融機構將敏感的信息系統,以及其他涉及國家秘密、商業秘密和客戶隱私數據的管理與傳遞等內容進行外包時,應遵守國家有關法律法規,符合銀監會的有關規定,經過董事會或其他決策機構批准,並在實施外包前報銀監會及其派出機構和法律法規規定需要報告的機構備案。
⑦ 銀行業金融機構外包風險管理指引是否現行有效
有效,但是不如銀行自己培養幾個有風險管理能力的人,這樣也能提高銀行抗風險的能力,不受制於外包機構
⑧ 金融機構風險為本管理原則包括以下哪些內容
第六條 銀行業金融機構應建立效信息系統風險管理架構完善內部組織結構工作機制防範控制信息系統風險
第七條 銀行業金融機構應認真履行列信息系統管理職責:
()貫徹執行家關信息系統管理律、規技術標准落實銀監相關監管要求;
(二)建立效信息安全保障體系內部控制規程明確信息系統風險管理崗位責任制度並監督落實;
(三)負責組織本機構信息系統風險進行檢查、評估、析及向本機構專門委員銀監及其派機構報送相關管理信息;
(四)及向銀監及其派機構報告本機構發重信息系統事故或突發事件並按關預案快速響應;
(五)每經董事或其決策機構審查向銀監及其派機構報送信息系統風險管理度報告;
(六)做本機構信息系統審計工作;
(七)配合銀監及其派機構做信息系統風險監督檢查工作並按照監管意見進行整改;
(八)組織本機構信息系統業員進行信息系統關業務、技術安全培訓;
(九)展與信息系統風險管理相關其工作
第八條 銀行業金融機構董事或其決策機構負責信息系統戰略規劃、重項目風險監督管理;信息科技管理委員、風險管理委員或其負責風險監督專業委員應制定信息系統總體策略統籌信息系統項目建設定期評估、報告本機構信息系統風險狀況決策層提供建議採取相應風險控制措施
第九條 銀行業金融機構定代表或主要負責本機構信息系統風險管理責任
第十條 銀行業金融機構應設立信息科技部門統負責本機構信息系統規劃、研發、建設、運行、維護監控提供科技服務運行技術支持;建立或明確專門信息系統風險管理部門建立、健全信息系統風險管理規章、制度並協助業務部門及信息科技部門嚴格執行提供相關監管信息;設立審計部門或專門審計崗位建立健全信息系統風險審計制度配備適量合格員進行信息系統風險審計
第十條 銀行業金融機構事與信息系統相關工作員應符合要求:
()具備良職業道德掌握履行信息系統相關崗位職責所需專業知識技能;
(二)未經崗前培訓或培訓合格者崗;經考核適宜工作員應及進行調整
第十二條 銀行業金融機構應加強信息系統風險管理專業隊伍建設建立才激勵機制適應信息技術發展
第十三條 銀行業金融機構應依據關律規及規范披露信息系統風險狀況
總體風險控制
第十四條 總體風險指信息系統策略、制度、機房、軟體、硬體、網路、數據、文檔等面影響全局或共風險
第十五條 銀行業金融機構應根據信息系統總體規劃制定明確、持續風險管理策略按照信息系統敏程度各集要素進行析評估並實施效控制
第十六條 銀行業金融機構應採取措施防範自災害、運行環境變化等產安全威脅防止各類突發事故惡意攻擊
第十七條 銀行業金融機構應建立健全信息系統相關規章制度、技術規范、操作規程等;明確與信息系統相關員職責許可權建立制約機制實行授權
第十八條 境外設立我銀行業金融機構或境內設立境外銀行業金融機構應防範由於境內外信息系統監管制度差異等造跨境風險
第十九條 銀行業金融機構應嚴格執行家信息安全相關標准參照關際准則積極推進信息安全標准化實行信息安全等級保護
第二十條 銀行業金融機構應加強信息系統評估測試及進行修補更新保證信息系統安全性、完整性
第二十條 銀行業金融機構信息系統數據機房應符合家關計算機場、環境、供配電等技術標准全性數據至少應達家A類機房標准省域數據至少應達家B類機房標准省域數據至少應達C類機房標准數據機房應實行嚴格門禁管理措施未經授權進入
第二十二條 銀行業金融機構應重視知識產權保護使用版軟體加強軟體版本管理優先使用具自主知識產權軟、硬體產品;積極研發具自主知識產權信息系統相關金融產品並採取效措施保護本機構信息化
第二十三條 銀行業金融機構與信息系統相關電設備選型、購置、登記、保養、維修、報廢等應嚴格執行相關規程選用設備應經技術論證測試性能應符合家關標准信息系統所用伺服器等關鍵設備應具較高靠性、充足容量定容錯特性並配置適備品備件
第二十四條 信息系統網路應參照相關標准規范設計、建設;網路設備應兼備技術先進性產品熟性;網路設備線路應冗餘備份;嚴格線路租用合同管理按照業務交易流量要求保證傳輸帶寬;建立完善網管監測管理通信線路及網路設備保障網路安全穩定運行
第二十五條 銀行業金融機構應加強網路安全管理產網路與發測試網路、業務網路與辦公網路、內部網路與外部網路應實施隔離;加強線網、互聯網接入邊界控制;使用內容濾、身份認證、防火牆、病毒防範、入侵檢測、漏洞掃描、數據加密等技術手段效降低外部攻擊、信息泄漏等風險
第二十六條 銀行業金融機構應加強信息系統加密機、密鑰、密碼、加解密程序等安全要素管理使用符合家安全標准密碼設備完善安全要素、領取、使用、修改、保管銷毀等環節管理制度密鑰、密碼應定期更改
第二十七條 銀行業金融機構應加強數據採集、存貯、傳輸、使用、備份、恢復、抽檢、清理、銷毀等環節效管理脫離系統採集加工、傳輸、存取數據;優化系統資料庫安全設置嚴格按授權使用系統資料庫採用適數據加密技術保護敏數據傳輸存取保證數據完整性、保密性
第二十八條 銀行業金融機構應信息系統配置參數實施嚴格安全與保密管理防止非、變更、泄漏、丟失與破壞根據敏程度用途確定存取許可權、式授權使用范圍嚴格審批登記手續
第二十九條 銀行業金融機構應制定信息系統應急預案並定期演練、評審修訂省域數據至少實現數據備份異保存省域數據至少實現異數據實備份全性數據實現異災備
第三十條 銀行業金融機構應加強技術文檔資料重要數據備份管理;技術文檔資料重要數據應保留副本並異存放按規定限保存調用應嚴格授權信息系統技術文檔資料包括:系統環境說明文件、源程序及系統研發、運行、維護程形各類技術資料重要數據包括:交易數據、賬務數據、客戶數據及產報表數據等
第三十條 銀行業金融機構信息系統能影響客戶服務應適式告知客戶
研發風險控制
第三十二條 研發風險指信息系統研發程組織、規劃、需求、析、設計、編程、測試投產等環節產風險
第三十三條 銀行業金融機構信息系統研發前應立項目工作組重項目應立項目領導組並指定負責項目領導組負責項目組織、協調、檢查、監督工作項目工作組由業務員、技術員管理員組具體負責整項目發工作
第三十四條 項目工作組員應具備與項目要求相適應業務經驗與專業技術知識組負責需具備組織領導能力,保證信息系統研發質量進度
第三十五條 銀行業金融機構業務部門根據本機構業務發展戰略充進行市場調查、產品效益析基礎制定信息系統研發項目行性報告
第三十六條 銀行業金融機構業務部門編寫項目需求說明書提風險控制要求信息科技部門根據項目需求編制項目功能說明書
第三十七條 銀行業金融機構信息科技部門依據項目功能說明書別編寫項目總體技術框架、項目設計說明書設計編碼應符合項目功能說明書要求
第三十八條 銀行業金融機構應建立獨立測試環境保證測試完整性准確性測試至少應包括功能測試、安全性測試、壓力測試、驗收測試、適應性測試測試直接使用產數據
第三十九條 銀行業金融機構信息科技部門應根據測試結修補系統功能缺陷提高系統整體質量
第四十條 銀行業金融機構業務員、技術員應根據職責范圍別編寫操作說明書、技術應急案、業務連續性計劃、投產計劃、應急退計劃並進行演練
第四十條 發程所涉及各種文檔資料應經相關部門、員簽字確認並歸檔保存
第四十二條 項目驗收應具由相關負責簽字項目驗收報告驗收合格投產使用
第五章運行維護風險控制
第四十三條 運行維護風險指信息系統運行與維護程操作管理、變更管理、機房管理事件管理等環節產風險
第四十四條 銀行業金融機構信息系統運行與維護應實行職責離運行員應實行專職由其員兼任運行員應按操作規程巡檢操作維護員應按授權維護規程要求產狀態軟硬體、數據進行維護除應急外其維護應非工作間進行
第四十五條 銀行業金融機構信息系統運行應符合要求:
()制定詳細運行值班操作表包括規定巡檢間操作范圍、內容、辦、命令及負責員等信息;
(二)提供見簡便操作菜單或命令信息系統啟或停止、運行志查詢等;
(三)提供機房環境、設備使用、網路運行、系統運行等監控信息;
(四)記錄運行值班程所現象、操作程等信息
第四十六條 銀行業金融機構信息系統維護應符合要求:
()除信息系統設備系統環境維護外軟體或數據維護必須通特定應用程序進行添加、刪除修改數據應通櫃員終端資料庫進行直接操作;
(二)具備各種詳細志信息包括交易志審計志等便維護審計;
(三)提供維護統計報表列印功能
第四十七條 銀行業金融機構信息系統變更應符合要求:
()制訂嚴密變更處理流程明確變更控制各崗位職責並遵循流程實施控制管理;變更前應明確應急退案授權進行變更操作;
(二)根據變更需求、變更案、變更內容核實清單等相關文檔審核變更確性、安全性合性;
(三)應採用軟體工具精確判斷變更真實位置內容形變更內容核實清單實現真實、效、全面檢驗;
(四)軟體版本變更應保留初始版本所歷史版本保留所歷史變更內容核實清單
第四十八條 銀行業金融機構信息系統投產定期內應組織系統評價並根據評價及系統功能進行調整優化
第四十九條 銀行業金融機構應機房環境設施實行巡檢明確信息系統及機房環境設施現故障應急處理流程預案實交易服務數據應實行24值班
第五十條 銀行業金融機構應實行事件報告制度發信息系統造重經濟、聲譽損失重影響事件應即報並處理必要啟應急處理預案
外包風險控制
第五十條 外包風險指銀行業金融機構信息系統規劃、研發、建設、運行、維護、監控等委託給業務合作夥伴或外部技術供應商形風險
第五十二條 銀行業金融機構進行信息系統外包應根據風險控制實際需要合理確定外包原則范圍認真析評估外包存潛風險建立健全關規章制度制定相應風險防範措施
第五十三條 銀行業金融機構應建立健全外包承包評估機制充審查、評估承包經營狀況、財務實力、誠信歷史、安全資質、技術服務能力實際風險控制與責任承擔水平並進行必要盡職調查評估工作委託經家相應監管部門認定資質具相關專業經驗獨立機構完
第五十四條 銀行業金融機構應與承包簽訂書面合同明確雙權利、義務並規定承包安全、保密、知識產權面義務責任
第五十五條 銀行業金融機構應充認識外包服務信息系統風險控制直接間接影響並其納入總體安全策略風險控制
第五十六條 銀行業金融機構應建立完整信息系統外包風險評估與監測程序審慎管理外包產風險提高本機構外包管理能力
第五十七條 銀行業金融機構信息系統外包風險管理應符合風險管理標准策略並應建立針外包風險應急計劃
第五十八條 銀行業金融機構應與外包承包建立效聯絡、溝通信息交流機制並制定意外情況能夠實現承包順利變更保證外包服務間斷應急預案
第五十九條 銀行業金融機構敏信息系統及其涉及家秘密、商業秘密客戶隱私數據管理與傳遞等內容進行外包應遵守家關律規符合銀監關規定經董事或其決策機構批准並實施外包前報銀監及其派機構律規規定需要報告機構備案