流失、投入不足和管理不善等因素引发的财务状况恶化及内部管理混乱等情况,防范外包服务意外终止或服务质量的急剧下降。
第四十五条 银行业金融机构监控到异常情况时,应当及
时督促服务提供商采取纠正措施,情节严重的或未及时纠正的,应约谈服务提供商高管人员并限期整改。
第四十六条 外包服务结束时,银行业金融机构应当对服
务提供商进行评价,评价结果应当作为服务提供商准入的重要参考依据。
第四十七条 对于关联外包,银行业金融机构董事会及高
级管理层应当推动母公司或其所属集团将外包服务质量纳入对服务提供商的业绩评价范围,建立外包服务重大事件问责机制。同时,应当要求服务提供商在其内部建立与外包服务水平相关的绩效考核机制。
第六节 外包服务中断与终止
第四十八条 银行业金融机构应当考虑信息科技外包的引
入对业务连续性管理的影响,有针对性的完善业务连续性管理计划,包括但不限于:
(一) 识别出重要业务所涉及的服务提供商和资源; (二) 通过合同协议等形式明确要求服务提供商提前准备并维护好相关资源;
(三) 对服务提供商业务连续性管理进行监控,并评价其
13
管理水平;
(四) 在进行业务连续性计划演练时将相关的服务提供商纳入演练范围。
第四十九条 为降低外包突发事件的可能性及影响,银行
业金融机构应当事先对业务连续性管理造成重大影响的外包服务建立风险控制、缓释或转移措施,包括但不限于以下内容:
(一) 在外包服务实施的过程中持续收集服务提供商相关信息,尽早发现可能导致服务中断的情况;
(二) 与服务提供商事先约定在其服务质量不能满足合同要求的情况下获取其外包服务资源的优先权;
(三) 要求服务提供商制定服务中断相关的应急处理预案,如提供备份人员;
(四) 对于涉及重要业务的外包服务,银行业金融机构需考虑预先在其内部配臵相应的人力资源,掌握必要的技能,以在外包服务中断期间自行维持最低限度的服务能力。
第五十条 银行业金融机构应当针对重要外包服务中断的场
景,拟定相应的应急计划,并定期进行演练,应考虑的因素包括但不限于以下内容:
(一) 事件场景,如重要人员流失导致服务无法持续,服务提供商主动退出,因资质变更、被收购、兼并或破产等原因导致的服务提供商被动退出等;
(二) 事件持续时间和恢复可能性;
14
(三) 事件影响范围和可能的应急措施; (四) 服务提供商自行恢复服务的可能性和时间; (五) 备选的服务提供商以及外包服务迁移方案; (六) 外包服务过渡给银行业金融机构自行运作的可能性、时效及资源需求。
第五十一条 对于无法满足外包服务要求或发生重大事件
的情况,银行业金融机构应当在充分评估其影响及制定退出计划的前提下,考虑主动要求服务提供商终止服务,情节特别严重的,可考虑取消准入资质,并报监管机构申请对其备案。对于关联外包,银行业金融机构不得因为关联关系而影响服务提供商退出机制的落实。
第五章 机构集中度风险管理
第五十二条 银行业金融机构应当依据服务提供商所承接外
包服务的数量、金额在本行重要信息科技服务中的占比,服务提供商所承接外包服务在银行业服务市场占比情况,识别具有机构集中度特点的外包服务提供商。同时,还应识别服务提供商之间为集团子公司、关联公司或附属机构所产生的机构集中度风险。
第五十三条 银行业金融机构应当积极采用分散信息科技外
包活动、提高自主研发运行能力等形式,降低机构集中度,减少对外包服务提供商的依赖。
15
第五十四条 银行业金融机构应当要求具有机构集中度特点
的外包服务提供商提供充分的证据,证明其内部控制和管理能力、持续运营能力等。
第五十五条 银行业金融机构应当要求具有机构集中度特点
的外包服务提供商为银行业金融机构配备相对独立的资源,包括服务团队、场地、系统、设备等;并对资源进行定期检查,确保资源及时到位。
第五十六条 银行业金融机构应当要求具有机构集中度特点
的外包服务提供商在外包服务中断应急预案中,明确外包服务的优先级,并进行服务中断应急演练,服务提供商应至少参与服务交接、敏感信息处臵等演练过程。
第五十七条 银行业金融机构应当特别加强对具有机构集中
度特点的外包服务提供商的财务、内控、安全管理情况持续监控,建立信息收集机制,及时掌握风险事件情况,防范外包服务意外终止或服务质量急剧下降对本机构产生大面积影响。
第五十八条 银行业金融机构应当对具有机构集中度特点的
外包服务提供商增强监督频率与力度,必要时可指派专人进行现场监督。
第五十九条 对于具有机构集中度特点的外包服务提供商为
同业托管机构的情况,银行业金融机构可参照本节内容对其进行外包管理。
16