中国农业银行平顶山分行

业务外包风险评估工作实施方案

为深入了解和掌握业务外包风险状况，促进业务外包健康发展，同时推动巴塞尔新资本协议实施，推广使用操作风险管理工具，总行决定对我行业务外包进行风险评估。根据总行《关于开展20xx年下半年专项风险评估工作的通知》（农银办发【2011】726号）及《中国农业银行河南省分行业务外包风险评估工作实施方案》要求，结合我行业务外包实际，特制定本实施方案。

一、评估的背景和目标

（一）开展业务外包风险评估的背景。

一是总行《中国农业银行20xx年风险管理工作要点》明确制定了上半年开展清算中心业务风险评估，下半年开展后台中心风险评估总体工作布署，但鉴于全行“三大中心”建设各行进度不同，大部分行下半年“三大中心”建设未全面完成，不能在全行进行后台中心风险评估，总行决定在后台中心、业务外包、小额农贷三个板块领域开展专项风险评估，我行被总行划分在业务外包板块进行风险评估。二是实施操作风险经济资本高级计量法的要求。总行已将经济资本分配到各部门、各级行，为确保计量数据的准确，“让数据和事实说话”，总行逐步在主要业务条线开展风险评估，通过有步骤的、循序渐进的推进各条线风险评估，全面识别不同条线面临的主要风险和潜在风险，针对不同环节风险和风险程度及时采取措施，有效防控风险，构建科学的风险管理机制。

（二）开展业务外包风险评估的意义。

通过开展业务外包风险评估，可以从制度、流程、协议等方面查 1

找并发现我行主要外包业务存在的缺陷和不足，并通过完善制度、优化流程、修改协议等措施，提高我行业务外包整体风险防控能力。

（三）评估目标。

1、清查业务外包领域已发生的各类风险事件，收集损失数据，深入分析导致风险事件发生的内外部原因。

2、以风险为导向，全面排查业务运行中存在的各类风险隐患，查找风险管理中存在的各种问题。

3、在定性定量分析风险事件和损失、风险隐患、风险管理情况的基础上，判断未来内外部环境改变后风险变化趋势，多角度、系统性地提出整改意见，建立健全风险控制机制，强化风险防范，促进业务优化和发展。

二、评估对象及范围

结合总行评估要点所涉及的主要业务领域及我行业务外包实际，本次业务外包风险评估仅限运营管理、信用卡和安全保卫3个业务条线外包活动，具体业务产品或管理活动详见风险评估内容及要点（见附件2）。

（一）评估对象。

我行业务外包风险评估对象为市分行运营管理部、电子银行部（信用卡业务）、安全保卫部及各县级支行与三个条线业务外包相关的业务管理部门。

（二）评估范围。

一是风险事件及损失评估。收集范围为20xx年1月1日至20xx年9月30日发生的业务外包类风险事件和损失。主要为：操作风险事件及损失、外包供应商违约事件及损失等。

二是风险隐患评估。包括：产品、设备、流程、系统、人员、制度、操作、管理、监督检查、体制机制等方面存在的问题和隐患；外 2

部欺诈、客户信用、外包供应商势力等外部因素存在的问题和隐患；未来1-2年内，内外部环境变化导致的问题和隐患。

三是风险管理情况评估。风险识别与监控、风险评级、风险分类分级、风险报告与分析、风险处臵与应急、风险抵补、风险考核等方面存在的问题和缺陷。

（三）评估方式。

本次业务外包风险评估采取自查评估和现场督导评估。一是自查评估。市分行运营管理部、电子银行部（信用卡业务）、安全保卫部及县级支行与三个条线业务外包相关的业务管理部门，在本级行业务外包风险评估领导小组组织下进行业务外包自查评估。各支行的派驻风险合规经理要参与派驻行业务外包的自查。二是现场督导评估。省分行业务外包风险评估领导小组将视各二级分行（县支行）自查评估情况，组织相关人员对辖内二级分行风险评估自查情况进行督导抽查。对于政策制度、流程环节、风险管理类要点，可通过访谈的方式，结合要点内容，查找业务外包存在的问题和隐患。

三、工作组织及部门职责

（一）工作组织。

1、成立业务外包风险评估工作领导小组。市分行成立业务外包风险评估工作领导小组，统筹安排和协调组织全市业务外包风险评估工作。领导小组组成如下：

组 长：董洪武（分管信贷管理工作副行长）。

副组长：信贷管理部、运营管理部、电子银行部、安全保卫部部门负责人。

成 员：信贷管理部、运营管理部、电子银行部、安全保卫部、财务会计部、内控合规部、信息技术管理部指定1-2名业务专业人员为成员。

3

市分行业务外包风险评估工作领导小组下设办公室，信贷管理部承担领导小组办公室工作职责。

2、成立4个业务外包自评估小组，分别为运营业务外包小组、信用卡业务外包小组、安全保卫业务外包小组、综合支持保障小组。每个小组选派本部门2-3名业务骨干为组员，具体负责组织实施本业务条线自评估阶段有关工作（市分行业务外包评估领导小组工作职责一览表见附件1）。

（二）部门职责。

1、运营业务外包小组。组长由运营管理部负责人担任，小组成员由运营管理部选派2-3名业务骨干组成。其主要职责包括：

①对会计凭证扫描补录、会计凭证专用包寄递、银企对账单制作寄递等业务外包进行风险评估，采取访谈、调阅资料等方式，按照分行确定的评估内容及要点逐项进行核实，填写访谈记录（附件3），对于发现的问题填写风险隐患统计表（附件4）。

②通过评估查找掌握相关的风险事件和风险隐患，填写风险隐患统计表（附件4）、风险事件统计表（附件5）。

③根据运营管理条线评估自查情况，撰写运营条线业务外包风险评估报告，评估报告的内容应至少包括：评估的范围、银企对账业务外包开展情况的总体评价、风险事件分析、主要的风险隐患、风险整改措施及风险管理意见。

2、信用卡业务外包小组。组长由电子银行部负责人担任，小组成员由电子银行部选派2-3名业务骨干组成。其主要职责包括：

①对商户收单、贷记卡申请资料集中录入等业务外包进行风险评估，采取访谈、调阅资料等方式，按照分行确定的评估内容及要点逐项进行核实，填写访谈记录（附件3），对于发现的问题填写风险隐患统计表（附件4）。

4

②通过评估查找掌握相关的风险事件和风险隐患，填写风险隐患统计表（附件4）、风险事件统计表（附件5）。

③根据信用卡业务条线评估自查情况，撰写POS商户服务和信用卡对账单打印寄送业务外包风险评估报告，评估报告的内容应至少包括：评估的范围、POS商户服务和信用卡对账单打印寄送业务外包开展情况的总体评价、风险事件分析、主要的风险隐患、风险整改措施及风险管理意见。

3、安全保卫业务外包小组。组长由安全保卫部负责人担任，小组成员由安全保卫部选派2-3名业务骨干组成。其主要职责包括：

①对市场化守护押运、自助机具巡查、保安服务、视频监控中心监控业务外包进行现场评估，根据各单位提交的各类评估表格、报告和材料，抽取部分经营行，采取访谈、调阅资料等方式，按照分行确定的评估内容及要点逐项进行核实，填写访谈记录（附件3），对于发现的问题填写风险隐患统计表（附件4）。

②通过现场评估查找掌握相关的风险事件和风险隐患，审核被抽查单位上报的风险事件、风险隐患和业务统计数据，对于发现的漏报、错报、多报，数据不准确、内容不规范、材料不全面等情况，及时对风险事件统计表（附件4）、风险隐患统计表（附件5）及相关附件材料进行补充、调整和修改。

③根据安全保卫条线评估自查情况，撰写守库押运、保安服务业务外包风险评估报告，评估报告的内容应至少包括：评估的范围、全行守库押运、网点保安业务外包开展情况的总体评价、风险事件分析、主要的风险隐患、风险整改措施及风险管理意见。

4、综合支持保障小组。组长由市分行信贷管理部负责人担任。小组成员由信贷管理部选派2名业务骨干，财务会计部、内控合规部、信息技术管理部各选派1名业务骨干组成。其主要职责：一是牵头制 5

定全市外包业务风险评估工作实施方案并组织实施。二是组织召开风险评估工作领导小组及评估小组会议。三是撰写全行外包业务风险评估报告。四是负责收集法律支持等检查资料、参与现场评估、针对风险评估结果提出整改意见，并负责评估后本条线风险隐患的整改督办。

各县级支行要比照市分行成立业务外包评估工作领导小组，组织辖内运营管理、信用卡、安全保卫等相关条线业务外包风险评估。支行业务外包自评估工作由支行负责安全保卫的副行长牵头开展，派驻风险合规经理参与驻地行业务外包自评估及审核工作。

（三）分层评估。

为避免各级行对全行普遍共用的制度、流程、系统等评估要点在风险评估理解上的偏差，更合理的分配和协调评估人员工作，省分行统一了评估制度、流程、系统等评估要点，并进行WORD文档说明，二级分行对于制度、流程、系统等缺陷问题，也可结合工作实际提出建设性意见。二级分行及县级支行主要负责业务外包的操作风险隐患排查、风险事件报告、填报相关统计报表及自查报告，自查报告要对辖内出现的典型案例进行描述分析。

四、工作具体安排

本次外包业务风险评估工作拟自10月8日开始，至11月17日结束，分为准备部署、评估实施、市分行分析报告和省分行现场督导四个阶段，具体工作步骤如下：

（一）准备部署阶段（10月8日至10月18日）。

1、成立业务外包风险评估工作领导小组。按照总、分行评估工作要求，市分行成立以市分行党委委员、副行长董洪武为组长，信贷管理部、运营管理部、电子银行部、安全保卫部、财务会计部、内控合规部等部门为成员的评估工作领导小组，具体组织全行业务外包风险评估工作。

6

2、制订评估实施方案。市分行信贷管理部牵头，会商运营管理部、电子银行部、安全保卫部制订全行业务外包风险评估实施方案，明确评估范围和评估方法，细化评估步骤，落实评估责任。实施方案报领导小组组长审定后印发实施。

3、下发正式通知，安排部署评估工作。《关于开展业务外包专项风险评估工作的通知》经行领导审定后印发，各行、相关部门认真按照要求组织和落实业务外包风险评估工作。

（二）自查阶段（10月19日-11月2日）。

市分行运营管理部、安全保卫部、电子银行部及县级支行与三个条线业务外包相关的业务管理部门，要严格按照评估目标、对象及范围（重点是附件2所列的评估内容及要点）分别对银企对账、守库押运、保安服务、POS商户服务、信用卡对账单寄送业务外包情况开展自查，逐项对评估要点内容进行作答，并根据自查情况及相关要求填制各类统计表，整理相关材料，撰写自查报告（自查报告内容至少包括：自查的范围、清算业务开展情况的总体评价、风险事件分析、主要的风险隐患及典型案例分析、风险整改措施及风险管理意见）。二级分行各条线相关统计表、自查报告及附件资料于11月2日前报送市分行业务外包领导小组办公室，同时报上级行本业务条线评估小组。

（三）市分行总结报告阶段（11月3日-11月6日）

市分行业务外包领导小组办公室结合市分行各条线自查评估等相关评估材料，汇总撰写全行业务外包风险评估报告，风险评估报告经市分行风险管理委员会审议后，于11月6日前报省分行风险管理部。

（四）现场督导评估阶段（11月7日-11月17）

省分行根据各行自查评估情况，抽取部分二级分行及县支行开展现场评估，核查各行自查结果的准确性、真实性。

五、相关要求

7

（一）高度重视，切实落实相关人员和责任，认真做好风险评估相关工作。要按照评估目标、对象及范围全面、充分、真实反映风险，针对业务外包评估要点，逐条、逐项仔细进行自查。每一项评估要点内容必须阐明现状、问题及产生原因，做到结论清晰、论据充足、表述有条理，有证明材料支持评估结论。由于各行业务外包存在差异，对于附件2所列评估内容及要点本级行不能进行评估时，应对不能评估的内容作出说明，并经上级行同意，可对附件2所列评估内容及要点暂不进行评估。各类统计表要认真填写，报表所有内容及数据必须客观、准确，不得杜撰、造假、遗漏。对于《风险事件统计表》（附件

5），要求填报的风险事件须如实反映，不得隐瞒不报和漏报，相关部门负责人要在表格中申明和承诺已填报所有事件。自查报告要按照评估内容和要点逐项说明检查情况，详细阐明所面临的主要风险及问题，做到逻辑清楚、事实充分、数据详实、结论客观严谨。

（二）各行评估工作领导小组要定期召开评估工作会，及时了解、调度评估工作进程，研究工作中遇到的问题并及时协调解决。二级分行领导小组办公室要建立每周通报机制，按周向省分行领导小组办公室报告评估工作进展情况及评估工作中遇到的问题。

（三）建立联系人制度。各县级支行要指定1名联系人负责与市分行沟通联系，联系人名单于10月21日前通过信使报送至市分行信贷管理部（刘适遇）。评估工作中如遇问题，请及时与市分行（信贷管理部、运营管理部、电子银行部、安全保卫部）联系。

附件：1-1、市分行业务外包评估领导小组工作职责一览表

1-2、评估内容及要点

1-3、访谈记录

1-4、风险隐患统计表

1-5、风险事件统计表

8

1-6、业务外包统计表 9

 

第二篇：银行业务外包风险评估工作实施方案 为深入了解和掌握业务外包风险状况

濮阳银行信息科技外包风险评估工作实施方案

为深入了解和掌握信息科技外包风险状况，促进信息科

技外包健康发展，有力推动信息科技外包风险管理长效机制

建设。根据《银行业金融机构信息科技外包风险监管指引》、

《河南银监局办公室转发中国银监会办公厅关于开展信息

科技外包风险专项治理工作的通知》（豫银监办发〔2013〕

109号）要求，我行决定对信息科技外包进行风险评估。现

结合我行信息科技外包实际，特制定本实施方案。

一、评估的背景和目标

（一）开展信息科技外包风险评估的背景。目前个别银

行由于信息科技项目外包，银行疏于管控，缺乏有效控制，

外包机构技术保障不足，造成客户信息泄露，资金安全面临

风险。另外，外包服务中断，易形成数据丢失风险。为控制

风险，我行拟通过有步骤地、循序渐进地推进信息科技外包

风险评估，全面识别目前面临的主要风险和潜在风险，针对

不同环节出现的风险和风险程度及时采取措施，有效防控风

险，构建科学的风险管理机制。

（二）开展信息科技外包风险评估的意义。 通过开展

信息科技外包风险评估，可以从制度、流程、协议等方面查

找并发现我行主要外包项目存在的缺陷和不足，并通过完善

制度、优化流程、修改协议等措施，提高我行信息科技外包

1

整体风险防控能力。

（三）评估目标。 1、清查信息科技外包领域已发生的各类风险事件，收集损失数据，深入分析导致风险事件发生的内外部原因。 2、以风险为导向，全面排查信息科技外包项目运行中存在的各类风险隐患，查找风险管理中存在的各种问题。 3、在定性定量分析风险事件和损失、风险隐患、风险管理情况的基础上，判断未来内外部环境改变后风险变化趋势，多角度、系统性地提出整改意见，建立健全风险控制机制，强化风险防范，促进业务优化和发展。

二、评估对象及范围

结合《河南银监局办公室转发中国银监会办公厅关于开展信息科技外包风险专项治理工作的通知》（豫银监办发

〔2013〕109号）要求及我行信息科技外包实际，本次外包风险评估仅限科技信息部、运营管理部、授信管理部、计划财务部、小微信贷事业部以及电子银行部 6个部门业务系统外包活动。

（一）评估对象。涉及外包项目的系统主要有综合业务系统、财务和信贷管理系统、微小企业贷款管理系统。

（二）评估范围。 一是风险事件及损失评估。收集范

围为 20xx年1月1日至20xx年6月 30 日信息科技外包项目发生的风险事件和损失。主要为：操作风险事件及损失、外包供应商违约事件及损失等。 二是风险隐患评估。包括： 2

产品、设备、流程、系统、人员、制度、操作、管理、监督检查、体制机制等方面存在的问题和隐患；外部欺诈、客户信用、外包供应商势力等外部因素存在的问题和隐患；未来 2年内，内外部环境变化导致的问题和隐患。 三是风险管理情况评估。风险识别与监控、风险评级、风险分类分级、风险报告与分析、风险处置与应急、风险抵补、风险考核等方面存在的问题和缺陷。 （三）评估方式。 本次信息科技外包风险评估采取自查评估和现场督导评估。一是自查。二是现场检查评估。总行信息科技外包风险评估领导小组将视自查评估情况，组织相关人员对风险评估自查情况进行督导抽查。对于政策制度、流程环节、风险管理类要点，可通过访谈的方式，结合要点内容，查找外包存在的问题和隐患。

三、工作组织及部门职责

（一）工作组织。 1、成立信息科技外包风险评估工作领导小组。统筹安排和协调组织全行信息科技外包风险评估工作。领导小组组成如下： 组 长：聂国庆行长；副组长：白焕英。 成 员：信息科技部、授信管理部、运营管理部、电子银行部、计划财务部、小微信贷事业部、内控稽核部部门负责人。信息科技外包风险评估工作领导小组下设办公室，设在内控稽核部。内控稽核部承担领导小组办公室工作职责。

（二）部门职责。 1、科技信息部负责系统运营过程中 3

出现问题的维护，运营管理部负责运营结算业务，授信管理部负责信贷业务，计划财务部负责财务管理业务，电子银行部负责银行卡业务。2、各部门根据评估自查情况，撰写外包风险评估报告，评估报告的内容应至少包括：评估的范围、外包开展情况的总体评价、风险事件分析、主要的风险隐患、风险整改措施及风险管理意见。3、自查阶段（8 月1日-2 日） 市分行运营管理部、安全保卫部、电子银行部及县级支行与三个条线业务外包相关的业务管理部门，要严格按照评估目标、对象及范围（重点是附件 2 所列的评估内容及要点）分别对银企对账、守库押运、保安服务、POS 商户服务、信用卡对账单寄送业务外包情况开展自查，逐项对评估要点内容进行作答，并根据自查情况及相关要求填制各类统计表，整理相关材料，撰写自查报告（自查报告内容至少包括：自查的范围、清算业务开展情况的总体评价、风险事件分析、主要的风险隐患及典型案例分析、 。 风险整改措施及风险管理意见） 二级 自查报告及附件资料于 11 月 2 日前报送市分分行各条线相关统计表、行业务外包领导小组办公室，同时报上级行本业务条线评估小组。 （三）市分行总结报告阶段（11 月 3 日-11 月 6 日） 市分行业务外包领导小组办公室结合市分行各条线自查评估等相关评估材料，汇总撰写全行业务外包风险评估报告，风险评估报告经市分行风险管理委员会审议后，于 11 月 6 日前报省分行风险 4

管理部。 （四）现场督导评估阶段（11 月 7 日11 月 17） 省分行根据各行自查评估情况，抽取部分二级分行及县支行开展现场评估，核查各行自查结果的准确性、真实性。 五、相关要求 （一）高度重视，切实落实相关人员和责任，认真做好风险评估相关工作。要按照评估目标、对象及范围全面、充分、真实反映风险，针对业务外包评估要点，逐条、逐项仔细进行自查。每一项评估要点内容必须阐明现状、问题及产生原因，做到结论清晰、论据充足、表述有条理，有证明材料支持评估结论。由于各行业务外包存在差异，对于附件 2 所列评估内容及要点本级行不能进行评估时，应对不能评估的内容作出说明，并经上级行同意，可对附件 2 所列评估内容及要点暂不进行评估。各类统计表要认真填写，报表所有内容及数据必须 （附件客观、准确，不得杜撰、造假、遗漏。对于《风险事件统计表》 ，要求填报的风险事件须如实反映，不得隐瞒不报和漏报，相关部5）门负责人要在表格中申明和承诺已填报所有事件。自查报告要按照评 详细阐明所面临的主要风险及问题，估内容和要点逐项说明检查情况，做到逻辑清楚、事实充分、数据详实、结论客观严谨。 （二）各行评估工作领导小组要定期召开评估工作会，及时了解、调度评估工作进程，研究工作中遇到的问题并及时协调解决。二级分行领导小组办公室要建立每周通报机制，按周向省分行领导小组办公室报告评估工作进展 5

情况及评估工作中遇到的问题。 （三）建立联系人制度。各县级支行要指定 1 名联系人负责与市分行沟通联系，联系人名单于 10 月 21 日前通过信使报送至市分行信 。评估工作中如遇问题，请及时与市分行（信贷管贷管理部（刘适遇）理部、运营管理部、电子银行部、安全保卫部）联系。 附件：11、市分行业务外包评估领导小组工作职责一览表 1-2、评估内容及要点 13、访谈记录 1-4、风险隐患统计表 1-

6