银行银行信息科技外包管理指引模版.doc

银行分行信息科技外包管理办法第一章 总则第一条 为规范**银行分行（以下简称分行)信息科技外包管理,提升外包服务水平,防范外包风险,保障分行所有工作顺利进行，依据《**银行信息科技外包管理办法》、外包管理有关制度及监管要求，拟定本办法第二条 本指引适用于分行信息化项目外包管理有关工作，包括拟定外包战略和管理模式、采购需求管理和供应商尽职调查、外包项目实施管理、外包服务验收和考核管理、外包风险管理、外包人员管理、重要供应商管理等,项目类型包括:（一） 开发(子领域包括:软件开发、基础设备建设）、运维（子领域包括:基础设备运维、桌面运维、应用运维、服务台）、咨询、人力外包、产品采购（子领域包括：硬件采购、软件采购、线路设备租用／系统接入）、测试；（二） 业务外包中的信息科技活动:*场开拓、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动第二章 职责分工第三条 总行信息技术部是分行信息科技外包管理工作的归口管理部门,负责分行信息科技外包管理工作的组织和领导第四条 分行信息技术部负责统筹分行信息科技外包管理工作，依据有关总行信息技术部有关制度和规范要求,结合分行工作实际,拟定分行ＩT项目外包管理流程和操作细则,并负责外包管理日常工作。

第三章 外包战略和管理模式第五条 总行信息技术部负责拟定分行外包战略，包括:未能外包的职能、资源能力建设方案、供应商关系管理策略和外包分级管理策略，分行可结合自身能力等实际情形,在不突破整体战略要求的前提下，研究确定分行外包执行策略，进行ＩT职能外包适宜度分析(参照总行信息技术部IＴ外包适宜度分析有关资料文件执行）,确定未能外包的IＴ职能第六条 分行实施自主管理模式，重大外包项目报总行信息技术部审核分行信息技术部应编制项目实施方案，确定采购方式、备选供应商名单和有关采购需求方案,依照分行采购管理关于流程,招标确定供应商并与其签订外包服务协议，负责组织开展协议验收和供应商考核工作,负责组织开展协议验收和供应商考核工作第四章 外包风险管理第七条 分行信息技术部应对信息科技外包风险进行全生命周期管理（风险识别、风险分析与评估、风险处置、风险监控及风险报告)，将其贯穿于分行信息科技外包日常管理工作中,长期管控外包风险信息科技外包风险全生命周期管理可参照总行信息技术部信息科技风险管理有关资料文件执行第八条 分行信息技术部应依照总行操作风险管理部要求开展信息科技外包风险管理自评估，评估内容包括:信息科技外包战略执行情形、外包信息安全、机构集中度、服务连续性、服务质量、政策及*场变化对外包服务的影响分析等。

第九条 分行信息技术部应对不同级别的供应商采取差异化的管理措施,在有效管控重要风险的前提下降低管理成本重要供应商管控措施包括(但不限于)：（一） 对重要供应商，在与其签订协议前应当深入开展尽职调查,必要时可聘请第三方机构协助调查二） 对重要供应商进行定时的风险评估，保持评估的独立性至少在三年内覆盖所有重要供应商评估内容包括:供应商合规情形、服务的执行效果等，评估结果应当作为供应商准入及退出的重要依据第十条 延续风险管控:（一） 项目过程中分行信息技术部应须对信息科技外包进行风险评估，通过项目跟踪和适当的技术手段进行风险监控二） 项目过程中分行信息技术部应对供应商的财务、内控及安全管理进行延续监控第五章 IＴ外包供应商管理第一节 供应商关系管理第十一条 供应商关系管理是指对供应商在各个外包子领域中进行分类,对每类供应商采取不同方式的管控，并与其建立不同合作关系的管理方式分行信息技术部应对供应商关系进行划分管理（如划分为战略型、合作型、淘汰型等供应商),针对不同关系的供应商，区分风险管控力度和管控手段，建立相应的惩罚或激励措施,以提升管理效率,降低外包风险第十二条 分行信息技术部应依据有关供应商采购内容重要性（可考虑项目重要性、技术依赖性、垄断性、价值性)和采购金额占比,对供应商的重要性进行评分，将供应商重要性分为一般、重要,对不同重要性的供应商采取不同的管控方式,降低管理成本，加强风险管控。

第十三条 分行信息技术部应确定供应商关系分类以及维护机制(应包括判定标准、判断时间点、关系更新维护人员、关系应用场景)，供应商关系分类以及维护机制参照总行供应商关系管理资料文件执行第二节　供应商准入管理第十四条 分行信息技术部应对正在合作或曾经合作的供应商，开展准入信息收集收集的信息包括(但不限于)内部监控与管理能力信息、延续经营能力信息和技术与服务能力信息，识别供应商的服务连续性风险第一条 分行信息技术部应依据有关其外包业务特点建立供应商准入机制(参照总行信息技术部供应商准入管理资料文件执行),明确：（一） 供应商准入标准，准入条件应包括基础条件和专业能力;（二） 供应商准入执行时点；（三） 供应商准入执行频率；（四） 对于创新型、技术独有型、负责迭代开发项目等特殊供应商，当其未能满足准入条件时，可召开讨论会,在确保其外包风险可控或可接受的前提下，依据详细情形将其视为有条件准入供应商,并记录其风险监控方式，包括（但不限于):合作领域限制、增强企业监控频率、付款模式限制、签订应急附加协议等第十五条 分行信息技术部可建立供应商准入白名单,对于涉及国家重要产业、规模较大的大型国有企业、事业单位等，可以允许直接准入;准入白名单应定时报总行信息技术部审核。

第三节　尽职调查第十六条 分行信息技术部应对重要供应商，签订协议前应开展尽职调查并形成重要供应商尽职调查报告（依照总行信息技术部重要供应商尽职调查报告执行)，必要时可聘请第三方机构协助尽职调查时应当关注供应商的技术和行业经验，包括(但不限于):（一） 服务能力和支持技术、服务经验、服务人员技能、*场评估、监管评估、行业地位等；（二） 应当关注供应商的内部监控和管理能力,包括（但不限于）：内部监控机制和管理流程的完善程度、突发事件应对能力、内部监控技术和工具等;（三） 应当关注供应商的延续经营状况,包括(但不限于）：从业时间、＊场地位及发展趋势、资金的安全性、近期盈利情形等；（四） 技术实力和服务质量;（五） 对其他银行银行等金融机构提供服务的情形;（六） 经营声誉和企业文化;（七） 选择跨境服务供应商是，还应调查确认其所在国家或地区监管当局是否已与我国银行业监管机构签订谅解备忘录或各方认可的其他商定；（八） 服务供应商之间的关联关系(涉及多个供应商时);（九） 总行操作风险管理部认为重要的其他事项；第四节 供应商选择 第十七条 对于非公开招标的项目应提供选择其招标方式的原因及风险监控,并取得相应管理层的审批;针对单一来源采购形式,应将优质的供应商关系类型（如战略合作关系、重点合作型关系等)作为评估单一来源的考虑因素,而对绩效考核结果较差或存在高集中度风险的供应商建议取消其单一来源采购资格/资质。

第十八条 如采用邀标或对公开招标对象进行初选，具备投标资格/资质的潜在供应商应至少满足准入要求,确定项目备选供应商时应考虑供应商关系类型,如应将战略合作关系供应商纳入备选范围,以及对于单一来源项目，在同等条件下应优先考虑将应急备选供应商纳入备选范围等第五节 供应商评估第十九条 分行信息技术部应拟定对供应商考核评估管理体系（参照总行信息技术部供应商评估管理有关资料文件执行),原则上每年进行一次对供应商的专业资质、工作质量、管理能力和服务水平进行总体评估并保留评估记录,评估内容包括(但不限于）:（一） 项目实施计划的拟定情形;（二） 项目计划的履行率；（三） 项目文档管理质量；（四） 例行服务的履行情形;（五） 支持服务情形;（六） 故障响应的及时率;（七） 备件/耗材响应及时率；（八） 修理修缮诊断的准确率；（九） 故障及时修复率;（十） 故障报告的履行情形;（十一） 由于项目实施致使的异常情形率;（十二） 管理能力；（十三） 专业资质;（十四） 遵守我行信息安全保密要求、遵守我行规章制度情形等第二十条 外包服务终止时，分行信息技术部应组织对供应商进行评估,评估结果应当作为供应商再次准入、资质评估以及供应商关系划分的重要参考依据。

供应商如存在考核不合格的情形，原则上未来两年内不得参加我行信息科技外包服务第六节 供应商退出管理第二十一条 分行信息技术部应建立供应商退出机制，主动终止与不适用的供应商的IＴ外包合作关系，将其列入黑名单,不再与其开展新的IＴ外包合作对于现有IT外包项目,应启动项目应急预案，并寻求尽速替代第二条 存在以下情形之一的供应商，应主动退出与其IＴ外包合作:（一） 严重违反国家法律、法规的;（二） 严重违约、擅自变更或者终止已生效协议的;（三） 泄露我行商业秘密、技术秘密等非公开信息的；（四） 侵犯我行知识所有权的;（五） 故意提供虚假资质材料、隐瞒真实情形的；（六） 信誉和财务发生严重危机的；（七） 提供的产品质量和服务出现重大问题，并造成不良后果的;　（八） 中标后无正当理由拒绝签订协议的;（九） 供应商经营条件发生变化,无法继续提供符合标准的服务;（十） 对服务质量进行检查，连续3次未能达到服务标准;（十一） 其他可能严重影响我行声誉以及给我行带来风险或损失的情形;（十二） 供应商绩效考核评估连续两年为“差”;（十三） 总行操作风险管理部认为的其他情形第二十二条 分行信息技术部应定时将供应商黑名单及时报送总行信息技术部。

第七节 供应商行为管理第二十三条 分行信息技术部应拟定供应商行为管理规范（参照总行信息技术部供应商合规手册执行),针对供应商在外包服务过程中可能出现的信息科技外包风险拟定行为规范：（一） 在IＴ外包管理框架下建立体系化的实际操作机制，明确我行对供应商的管理原则及详细实施办法，（二） 督促IT供应商在提供ＩT外包服务的过程中更迅速地提升自身的管理合规意识及能力,以满足我行对其的管理要求第二十四条 依据有关供应商行为对我行造成影响范围以及影响程度，建立惩罚机制第二十五条 通过日常自评估和不定时抽查的方式对供应商合规行为进行行检查，并对其合规情形进行记录并将供应商日常合规情形纳入整体绩效评估,监督供应商履行管理信息科技外包行为合规职责第八节 特殊供应商管理第二十六条 特殊供应商管理包括高集中度供应商管理、行业重点供应商管理、重要非驻场及跨境供应商管理第二十七条 分行信息技术部应针对高集中度供应商、行业重点供应商、跨境供应商和非驻场供应商等重点供应商建立有针对性的管理要求(参照总行信息技术部供应商合规手册执行)第二十八条 高集中度供应商管理：各分行应当依据供应商所承接外包服务的数量、金额在重要信息科技服务中的占比,识别高集中度共度供应商，可参考如下标准：供应商项目总款项占比大于等于1０%(该项目类型供应商大于等于１0家）,或大于等于50%（该项目类型供应商小于10家),应通过采取分散信息科技外包活动、获取高集中度供应商内部监控和配备独立服务资源的证明、建立高集中度供应商服务中断应急预案、加强对高集中度供应商的监控与监督等方法，降低供应商的高集中度风险。

第二十九条 行业重点供应商管理:行业重点供应商是指《银行业银行等金融机构信息科技外包风险管理指引(银监发[＊]5号)》中定义的“银行业重点外包服务机构”各分行应根据监管机构发布的银行业重点外包服务机构名单,依照合规要求收集行业重点供应商的信息,获取行业重点供应商的外包风险监控报告和由独立审计机构出具的该供应商外包服务的风险评估报告应要求重点供应商对其外包人员进行背景调查，确保其过往无不良记录第三十条 重。