检查项:外包风险评估
检查内容:
(1)【高风险】商业银行信息科技外包风险管理部门是否每年开展一次全面的外包风险管理评估,保持评估的独立性,并向高级管理层提交评估报告。
(2)【高风险】商业银行是否对外包服务提供商进行定期的风险评估,保持评估的独立性。至少在三年内覆盖所有重要的服务提供商。
(3)【高风险】商业银行内部审计部门是否定期开展信息科技外包风险管理审计工作,至少每三年对重要的外包服务活动进行一次全面审计。
(4)【高风险】商业银行是否充分识别、分析、评估数据中心外包风险,包括信息安全风险、服务中断风险、系统失控风险以及声誉风险、战略风险等,形成风险评估报告并报董事会和高管层审核。
(5)【高风险】商业银行是否对外包活动进行风险评估,其评估内容包括但不限于以下方面:
(a)银行业金融机构应当关注外包活动的战略风险、法律风险、声誉风险、合规风险、操作风险、国别风险等风险;
(b)影响外包活动的外部因素;
(c)本机构对外包活动的风险管控能力;
(d)服务提供商的技术能力及专业经验,业务策略和业务规模,业务连续性及破产风险,风险控制能力及外包服务的集中度;
(e)其他关注的事项。
(6)【高风险】商业银行是否科技能力丧失:银行业金融机构过度依赖外部资源导致失去科技控制及创新能力,影响业务创新与发展;
(a)是否业务中断:支持业务运营的外包服务无法持续提供导致业务中断;
(b)是否存在信息泄露:包含客户信息在内的银行金融机构非公开数据被服务商非法获得或泄露;
(c)是否服务水平下降:由于外包质量问题或内外部协作效率低下,使得银行信息服务水平下降。
(7)【高风险】商业银行是否将信息科技外包管理纳入全面风险体系。建立与本机构信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。
(8)【高风险】商业银行在实施信息科技外包时是否坚持如下几个方面:
(a)是否坚持不妨碍核心能力建设、积极掌握关键技术;
(b)是否保持外包风险、成本和效益的平衡;
(c)是否强调外包风险的事前控制,保持管控力度,查找相关文档资料;
(d)是否根据外包管理及技术趋势,持续改进外包策略和措施。
(9)【高风险】商业银行是否在实施信息科技外包时将管理责任同时外包。
检查方法及步骤:
调阅外包风险评估报告
(1)调阅对外包风险管理评估报告,检查评估内容是否包括以下内容:信息科技外包战略执行情况、外包信息安全、机构集中度、服务连续性、服务质量、政策及市场变化对外包服务的影响分析等。
(2)调阅对重要的外包服务提供商进行定期的风险评估报告,检查评估内容是否包括:服务提供商合规情况、服务的执行效果等,评估结果是否作为服务提供商准入及退出的重要依据。
(3)调阅科技外包风险管理审计工作报告,检查是否至少每三年对重要的科技外包服务活动进行一次全面审计。发生外包风险事件后,是否及时开展专项审计。
调阅资料:
外包风险评估报告、外包服务提供商风险评估报告、科技外包风险管理审计报告
访谈对象:
信息科技外包管理相关人员
参考文件:
《银行业金融机构外包风险管理指引》
《商业银行信息科技风险管理指引》
《银行业金融机构信息科技外包风险监管指引》