当前位置：文档库 › 企业如何控制好业务外包的风险

企业如何控制好业务外包的风险

企业因为业务的问题，所以会把一些非核心的业务通过外包的方式交由第三方公司来完成。而现在市面上出现了很多做业务外包的公司，所以的话，这就大大的提升了我们的选择难度，接下来就和大家详细的分享一些关于:如何做好业务外包的风险防控的方法，希望这对于大家有所帮助。

首先谨慎选择业务外包单位。在选择外包供应商时要注意其信誉度和从业资质，同时，选择单一还是几家外包公司也需要考虑，两者也是各有利弊：单一的比较便于管理，但易形成垄断，对于这些服务质量也是没有可比性;多家的可以分散风险，并互相制约、对比、压价。因此选择一家还是多家要具体情况具体分析。

还有我们还需要加强合同的管理。业务外包合同要尽可能将所有的要素都罗列在合同中，主要是包括服务范围、服务费用、服务标准、作业时间、作业方式等，并做出详细规定，避免产生不必要的纠纷;同时应制定解决冲突的方案，明确终止合作时的有关条款，有效约束双方的合作行为;还要建立专职的合同管理队伍，建立合同跟踪管理制度，规范信息交流。

然后建立有效的管理机制。业务外包单位通常只会按流程办事，很少会主动创新来降低成本和提高服务的质量，所以企业应建立一套有效的管理机制，并设立外包专员及时更新业务流程，促进劳务外包单位服务水准的提高;并适时地对劳务外包单位进行监督，纠正由于沟通不明产生的误解和分歧，随时解决外包在运营过程中产生的新问题，确保企业对业务外包单位的有效控制，促进外包更有效的按合同执行。最重要的是加强双方企业文化建设，形成紧密的合作关系。

业务外包公司与用工企业是一种服务与被服务的关系，也是一种合作关系，双方应在企业文化方面进行很好的融合，从大局出发，通过沟通协调来解决合作中出现的问题，形成互相信任、互相支持的合作理念，让业务外包流程更优化，成本更节省，减少风险，使双方发挥各自优势，最终实现双赢。

XX银行信息科技外包风险管理办法

XX银行信息科技外包风险管理办法第一章总则第一条为了规范XX银行（以下简称“本行”）信息科技外包管理,控制外包服务风险，根据中国银监会《商业银行信息科技风险管理指引》和《银行业金融机构信息科技外包风险监管指引》，结合本行实际，制定本办法。第二条信息科技外包系指因本行技术人员技术力量不足或特殊情况，将原本由自身负责处理的信息科技活动委托给服务供应商进行处理的行为。第三条本行外包管理原则包括：（一）自主可控原则。信息科技外包活动以不妨碍核心能力建设、关键技术自主可控为导向。（二）协调统一原则。符合科技风险管理策略，保持外包风险、成本和效益的平衡。（三）预防优先原则。审慎管理信息科技外包活动，秉承事前预防重于事后控制、日常防控重于应急处理的原则。（四）动态优化原则。根据外部监管要求、信息科技发展趋势和本行业务发展需求，持续优化本行信息科技风险外包管理策略和工作机制。第四条本办法适用于本行与信息科技相关外包活动的管理。第五条本行的信息科技外包活动应遵守国家相关法律法规及监管部门的相关规定。第二章组织架构与职责分工第六条本行外包管理的组织架构包括董事会、信息科技管理委员会、外包风险主管部门、外包管理执行团队、外包管理审计部门。第七条董事会承担信息科技外包管理的最终责任。主要职责包括：（一）审议批准信息科技外包战略；（二）审议批准外包管理基本制度；

（三）审议批准本机构的外包范围及相关安排；（四）定期审阅本机构外包活动相关报告；（五）银监会信息科技外包风险监管指引要求的其它工作。第八条高级管理层设信息科技管理委员会，负责全行科技外包工作的日常决策工作。主要职责包括：（一）制定外包战略发展规划；（二）确定外包业务的范围及相关安排；（三）确定科技外包管理团队职责，并对其行为进行有效监督；（四）定期审阅本行外包活动相关报告；（五）指导内部审计部门独立开展外包审计工作；（六）董事会确定的其它职责。第九条风险管理部门负责制定外包风险管理的制度，组织识别和评估信息科技外包风险，监督、评价外包管理工作，对外包执行情况进行监督检查，定期向高级管理层汇报信息科技外包活动相关风险情况。第十条外包管理执行团队由信息科技部、计划财务部、法律合规部等相关部门组成。外包管理执行团队具体负责科技外包项目的执行和管理工作，主要职责包括：（一）信息科技部门实施全行信息科技外包管理战略；执行供应商准入、评价和退出管理；制定保障外包服务连续性的应急管理措施；分析和评估外包存在的潜在风险，制定相应的风险防范措施，监督和管理外包实施过程，定期或不定期向风险管理部提交有关外包风险报告、进行风险事件报告。（二）业务需求部门负责业务需求的整体规划与编写、外包业务可行性评估分析、业务功能及范围选型、业务验收测试、业务推广等工作，并参与项目的实施。（三）计划财务部门是全行信息科技外包项目招投标工作的组织单位，负责科技外包项目的招投标活动的组织协调工作。

加强业务外包管理防范业务外包风险

加强业务外包管理防范业务外包风险 ——财政部会计司解读《企业内部控制应用指引第13号——业务外包》《企业内部控制应用指引第13号——业务外包》所称的业务外包，是指企业利用专业化分工优势，将日常经营中的部分业务委托给本企业以外的专业服务机构或经济组织（以下简称承包方）完成的经营行为，通常包括研发、资信调查、可行性研究、委托加工、物业管理、客户服务、IT服务等。随着社会主义市场发展及国际产业分工呈细化趋势，我国业务外包市场必将有较大发展。适应这种发展趋势，财政部研究制定了《企业内部控制应用指引第13号——业务外包》，对于规范业务外包行为，防范业务外包风险，具有重要的意义。本文就此进行解读。一、业务外包流程业务外包流程主要包括：制定业务外包实施方案、审核批准、选择承包方、签订业务外包合同、组织实施业务外包活动、业务外包过程管理、验收、会计控制等环节。如下图所示。该图列示的业务外包流程适用于各类企业的一般业务外包，具有通用性。企业在实际开展业务外包时，可以参照此流程，并结合自身情况予以扩充和具体化。业务外包基本流程图

二、各环节的主要风险点及管控措施（一）制定业务外包实施方案制定业务外包实施方案，是指企业根据年度生产经营计划和业务外包管理制度，结合确定的业务外包范围，制定实施方案。该环节的风险主要是：企业缺乏业务外包管理制度，导致制定实施方案时无据可依；

业务外包管理制度未明确业务外包范围，可能导致有关部门在制定实施方案时，将不宜外包的核心业务进行外包；实施方案不合理、不符合企业生产经营特点或内容不完整，可能导致业务外包失败。主要管控措施：第一，建立和完善业务外包管理制度，根据各类业务与核心主业的关联度、对外包业务的控制程度以及外部市场成熟度等标准，合理确定业务外包的范围，并根据是否对企业生产经营有重大影响对外包业务实施分类管理，以突出管控重点，同时明确规定业务外包的方式、条件、程序和实施等相关内容。第二，严格按照业务外包管理制度规定的业务外包范围、方式、条件、程序和实施等内容制定实施方案，避免将核心业务外包，同时确保方案的完整性。第三，根据企业年度预算以及生产经营计划，对实施方案的重要方面进行深入评估以及复核，包括承包方的选择方案、外包业务的成本效益及风险、外包合同期限、外包方式、员工培训计划等，确保方案的可行性。第四，认真听取外部专业人员对业务外包的意见，并根据其合理化建议完善实施方案。（二）审核批准审核批准，是指企业应当按照规定的权限和程序审核批准业务外包实施方案。该环节的主要风险是：审批制度不健全，导致对业务外包的审批不规范；审批不严格或者越权审批，导致业务外包决策出现重大疏漏，可能引发严重后果；未能对业务外包实施方案是否符合成本效益原则进行合理审核以及做出恰当判断，导致业务外包不经济。主要管控措施：第一，建立和完善业务外包的审核批准制度。明确授权批准的方式、权限、程序、责任和相关控制措施，规定各层级人员应当在授权范围内进行审批，不得超越权限审批。同时加大对分公司重大业务外包的管控力度，避免因分公司越权进行业务外包给企业带来不

银行信息科技外包风险管理办法

. .. . .. .. 大洼恒丰村镇银行信息科技外包风险管理办法大洼恒丰村镇银行信息科技部

变更履历 *变化状态：C——创建，A——增加，M——修改，D——删除

目录第一章总则 (4) 第二章外包管理组织架构 (5) 第三章信息科技外包战略及风险管理 (6) 第一节信息科技外包战略 (6) 第二节信息科技外包风险管理 (7) 第四章信息科技外包管理 (8) 第一节外包风险评估及准入 (8) 第二节服务提供商尽职调查 (10) 第三节外包服务合同及要求 (10) 第四节外包服务安全管理 (12) 第五节外包服务监控与评价 (13) 第六节外包服务中断与终止 (14) 第八章监督管理 (17) 第九章附则 (18)

第一章总则第一条为规范我行的信息科技外包活动，降低信息科技外包风险，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《银行业金融机构信息科技外包风险监管指引》等法律法规，制定本办法。第二条本办法所称信息科技外包是指我行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资源外包等形式。包括以下类型：（一）研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求、系统开发、测试外包；（二）系统运行维护类外包：包括数据中心（灾备中心）、机房配套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包；（三）业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。第三条我行应将信息科技外包管理纳入全面风险管理体系，建立与本行信息科技战略目标相适应的外包管理体系，控制或降低由于外包而引发的风险。第四条我行在实施信息科技外包时应当坚持以下原则：（一）以不妨碍核心能力建设、积极掌握关键技术为导向；（二）保持外包风险、成本和效益的平衡；

外包风险管理工作评估报告(汇编)

信息科技外包风险管理评估报告 XXXXXXXXXX局: 根据指引的文件精神，XXXX有序开展了信息安全外包风险管理工作，XXXX领导对管理系统十分重视，采取相关措施防范信息科技外包风险，认真落实有关规定。现就xxxx年度信息科技外包风险评估情况做如下总结：一、信息科技外包战略执行情况：（一）XXXX信息科技外包战略：XXXX以不妨碍核心能力建设、积极掌握关键技术为导向；保持外包风险、成本和效益的平衡；强调外包风险的事前控制，保持管控力度；根据外包管理及技术发展趋势，持续改进外包策略和措施为基本战略，通过学习银监会发布的各项制度，结合自身情况实施信息科技外包风险管理。在信息科技外包过程中充分利用评估、排查等手段，建立信息科技外包风险管理体制，明确外包风险管理组织架构以及具体的职责分工，推进对重大信息安全和服务持续性等重点环节的监督，促进信息科技外包风险管理长效性的发展。（二）执行情况： 1.XXXX为防范信息科技外包风险计划制定专门的信息科技外包风险管理方案。XXXX根据实际情况进行分工，风险管理部负责风险辨识、协助自查、编写制度、制作报告，信息部负责系统监测、制度

设定、以及系统数据评估和风险识别。 2.针对信息科技外包风险管理面临的风险，结合过往工作经验，XXXX根据外包商的注册资金、项目经验、企业延续性、过往合作关系等相关资质，在与外包商签订合作协议前对其风险等级进行初步评估，具体评估标准如下： 3. XXXX专门针对信息科技外包风险评估工作制定了《信息科技外包风险评级表》，根据外包商项目服务期间及后期验收的具体情况，结合自身信息科技专业知识，按季度对现有外包商进行风险评估，并将评估结果记入该表。风险管理部根据法律法规对风险评级表结果进行复核，撰写《信息科技外包风险管理工作评估报告》，提出管理意见向XXXX管理层和北京银监局汇报。二、外包信息安全：（一）外包信息安全工作情况 1.信息安全组织管理：XXXX任命信息部XXX 为具体负责人，专职负责对外包商服务全过程进行管理。

(整理)信息科技外包风险监管指引.

银行业金融机构信息科技外包风险监管指引第一章总则第一条为规范银行业金融机构的信息科技外包活动，降低信息科技外包风险，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。第二条在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省（自治区）农村信用社联合社适用本指引。银监会监管的其他金融机构参照本指引执行。第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资源外包等形式。原则上包括以下类型：（一）研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求、系统开发、测试外包；（二）系统运行维护类外包：包括数据中心（灾备中心）、机房配套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包；（三）业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。第四条本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。第五条信息科技外包可能产生如下风险，并导致银行业金融机构的战略、声誉、合规风险：（一）科技能力丧失：银行业金融机构过度依赖外部资源导致失去科技控制及创新能力，影响业务创新与发展；（二）业务中断：支持业务运营的外包服务无法持续提供导致业务中断；（三）信息泄露：包含客户信息在内的银行业金融机构非公开数据

被服务提供商非法获得或泄露；（四）服务水平下降：由于外包服务质量问题或内外部协作效率低下，使得银行业金融机构信息科技服务水平下降。第六条本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险，该风险可能造成集中性的服务中断、质量下降、安全事件等。第七条本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。第八条银行业金融机构应当将信息科技外包管理纳入全面风险管理体系，建立与本机构信息科技战略目标相适应的外包管理体系，控制或降低由于外包而引发的风险。第九条银行业金融机构应当建立信息科技外包管理组织架构，制定外包管理战略，定期进行外包风险评估，通过服务提供商准入、评价、退出等手段建立及维护符合自身战略目标的供应商关系管理策略。第十条银行业金融机构在实施信息科技外包时应当坚持以下原则：（一）以不妨碍核心能力建设、积极掌握关键技术为导向；（二）保持外包风险、成本和效益的平衡；（三）强调外包风险的事前控制，保持管控力度；（四）根据外包管理及技术发展趋势，持续改进外包策略和措施。第十一条银行业金融机构在实施信息科技外包时，不得将信息科技管理责任外包。第十二条对于不涉及银行客户及内部信息转移的信息科技产品采购、维保，及通讯线路租用、支付或清算系统接入等信息科技公共基础设施服务，银行业金融机构应当充分评估其信息科技风险，按照本指引第五章要求进行管理。第二章外包管理组织架构第十三条银行业金融机构董事会及高级管理层应当严格落实信息科技外包风险管理的相关职责, 明确信息科技外包风险管理的主管

加强业务外包管理-防范业务外包风险

78．6 75．83 加强业务外包管理防范业务外包风险 ——财政部会计司解读《企业内部控制应用指引第13号——业务外包》《企业内部控制应用指引第13号——业务外包》所称的业务外包，是指企业利用专业化分工优势，将日常经营中的部分业务委托给本企业以外的专业服务机构或经济组织（以下简称承包方）完成的经营行为，通常包括研发、资信调查、可行性研究、委托加工、物业管理、客户服务、IT服务等。随着社会主义市场发展及国际产业分工呈细化趋势，我国业务外包市场必将有较大发展。适应这种发展趋势，财政部研究制定了《企业内部控制应用指引第13号——业务外包》，对于规范业务外包行为，防范业务外包风险，具有重要的意义。本文就此进行解读。一、业务外包流程业务外包流程主要包括：制定业务外包实施方案、审核批准、选择承包方、签订业务外包合同、组织实施业务外包活动、业务外包过程管理、验收、会计控制等环节。如下图所示。该图列示的业务外包流程适用于各类企业的一般业务外包，具有通用性。企业在实际开展业务外包时，可以参照此流程，并结合自身情况予以扩充和具体化。业务外包基本流程图

二、各环节的主要风险点及管控措施（一）制定业务外包实施方案制定业务外包实施方案，是指企业根据年度生产经营计划和业务外包管理制度，结合确定的业务外包范围，制定实施方案。该环节的风险主要是：企业缺乏业务外包管理制度，导致制定实施方案时无据可依；业务外包管理制度未明确业务外包范围，可能导致有关部门在制定实施方案时，将不宜外包的核心业务进行外包；实施方案不合理、不符合企业生产经营特点或内容不完整，可能导致业务外包失败。主要管控措施：第一，建立和完善业务外包管理制度，根据各类业务与核心主业的关联度、对外包业务的控制程度以及外部市场成熟度等标准，合理确定业务外包的范围，并根据是否对企业生产经营有重大影响对外包业务实施分类管理，以突出管控重点，同时明确规定业务外包的方式、条件、程序和实施等相关内容。第二，严格按照业务外包管理制度规定的业务外包范围、方式、条件、程序和实施等内容制定实施方案，避免将核心业务外包，同时确保方案的完整性。第三，根据企业年度预算以及生产经营计划，对实施方案的重要方面进行深入评估以及复核，包括承包方的选择方案、外包业务的成本效益及风险、外包合同期限、

业务外包主要风险及其内部控制

业务外包主要风险及其内部控制业务外包是企业利用专业化分工优势，将日常经营中的部分业务委托给本企业以外的专业服务机构或其他经济组织（承包方）完成的经营行为。业务外包作为一种新的经营模式在企业生产经营中发挥着重要的作用。目前，业务外包活动已经广泛应用于电信、手机、金融等各行各业，为企业降低交易成本、实现规模经济、获取外部稀缺资源、提高经营效率提供了活力。但是由于开展业务外包过程中会面临许多不确定因素，从而给企业的生产经营带来风险。因此企业应当制定和完善业务外包制度，加强业务外包的风险管理，从而有效的规避风险，充分发挥业务外包的优势。中国论文网https://www.wendangku.net/doc/a89272113.html,/2/view-4027895.htm 一、业务外包风险业务外包在给企业带来收益的同时也产生了风险。从业务外包活动的流程来看，主要包括制定业务外包实施方案、审核批准、选择承包方、签订业务外包合同、组织实施业务外包活动、业务外包过程管理、验收、会计控制等环节。每一个环节组织不当都会给企业带来风险，进而直接关系到其能否为企业带来预期的利润提升和战略目标的实现。（一）外包业务选择不当风险在业务外包决策中，企业首先要回答的问题就是选择哪

些业务外包。一般来说，企业应当尽量选择哪些与自身核心业务关联性不大，相对独立的非核心业务进行外包。然而在实践中，公司的核心业务和非核心业务边界不清晰，管理层受制于专业知识和能力所限，有可能将不宜外包的业务外包出去，使企业丧失核心竞争力，这将对企业造成不可估量的严重后果。（二）外包承包商选择不当风险外包承包商的选择对于外包业务能否有效开展产生重要的影响。企业对于重要业务的外包没有建立外包承包商的遴选机制，或者确定外包承包商的决策权过于集中，容易导致由于失去权力制衡而产生的商业贿赂；外包承包商定价过高，从而使外包成本超过外包所带来的收益从而使企业遭受损失；缺乏对外包承包商资格审查制度，对承包商的专业能力、财务状况、经营状况以及信用水平等缺乏了解，如果外包承办商不具备相应的专业资质，从业人员也不具备相应的专业技术与职业资格，缺乏从事相关项目的经验，从而导致双方产生严重分歧而陷入法律纠纷。（三）合同不完备风险确定承包方后，企业应当及时与选定的承包方签订业务外包合同，约定业务外包的内容和范围，双方权利和义务，服务和质量标准，保密事项，费用结算标准和违约责任等事项。该环节的主要风险是：合同条款未能针对业务外包风险

如何控制软件项目外包中的风险

如何控制软件项目外包中的风险中国软件行业一方面紧跟世界潮流，技术与模式日新月异，另一方面具有中国特色，行业与地域存在壁垒。作为品牌和实力正处于培育发展阶段的软件公司，在市场拓展过程中为了克服积累不够或水土不服等弱点，实现“利润最大化，成本最小化”，把自己不擅长或非发展方向的项目进行外包是非常普遍的现象。软件项目外包其实质是软件开发过程从公司内部部分或全部延伸到公司外部的管理规范与管理技术。与内部实施相比，管理难度有过之而无不及。在实践中，也有很多公司在外包之初，设想得很好，以为可以一包了之，但最终却落得个钱花了不少，项目却一点也推不动，或者拿到的根本就不是所想要的。为了促进探索企业在软件项目外包管理的规范化，本文结合笔者所在的公司在外包项目中得失，对如何成功地达到软件项目外包的目标，以及相关的策略、监理等要素进行分析，谨供参考。外包中的监理欧美企业愿意向印度、爱尔兰、中国等软件生产“蓝领”国家进行软件外包时，并非意味着它们不能开发，而是他们不开发，原因很简单，就是节省成本和控制质量。此类外包的发包方位处强势，全程可控，也形成了严格而规范的流程。而回首国内企业的软件工程外包，背景就复杂得多。有的是“主动外包”，强势出击，客户可控；有的是“被动外包”，策略联盟，短板受制；有的则是“绑架外包”，客户指定，余地甚微。面对不同类型的外包动机，我们在讨论外包风险时容易陷于甲方店大欺客或丙方反仆为主之类的表象，缺乏对外包目标的准确定位。目标不明，导致以监理为核心的外包管理很容易“左倾”控死（丙方）和“右倾”失控（于丙方），最终结果是无法向甲方兑现自己作为乙方的承诺。因此，因此我们进行软件工程项目外包时，一定要根据动机类型，结合甲方丙方特点，理清目标定位。继而选择监理策略，确定监理规范与流程。公司通过外包要达到的主要目标可以分为： 1、求名。为了打开行业局面，取得战略突破，在竞标过程中一切为了“中标”，甲方指定能接受。可以无实，但必须有名。中标后非不为，实难为，必须外包。监理的策略底限应该是尽量避免项目失败，控制资本面的风险。 2、追求利润。该软件工程非公司长期发展方向，中标后非难为，实不为。寻求外包，降低成本，获取软件工程项目边际利润。或者整体中标，硬件盈利，软件外包。监理的策略是里程碑产品质量可控，及时发现问题。 3、技术经验。该软件工程为公司发展方向，但技术层面存在“短板”。外包的目标是通过监理掌握技术，吸收精华。监理策略是组成内部项目团队，技术层面全过程跟踪。行评审审核之名，图技术学习之利。 4、行业业务。该软件工程为公司发展方向，但业务流程模型需要借鉴。与追求技术经验类似，监理策略是组成内部项目团队，技术与业务全程跟踪，通过监理学习先进的行业业务理念与模型等。监理的目标是软件工程的可重复。显然，不同的项目条件不同，追求的目标不一样。我们在策划外包时，首先应该根据项目具体情况和公司战略取向，确定要达到主要目标。再来策划具体的范围、进度、成本、质量、风险等关键过程域和知

业务外包主要风险及其内部控制三篇.doc

业务外包主要风险及其内部控制三篇第1条业务外包的主要风险及其内部控制业务外包的主要风险及其内部控制业务外包是企业利用专业化分工，将其部分日常业务委托给企业外部的专业服务机构或其他经济组织(承包商)的一种业务运作。外包作为一种新的商业模式，在企业的生产经营中发挥着重要的作用。目前，外包活动已经广泛应用于电信、手机、金融等行业，为企业提供活力，降低交易成本、实现规模经济、获取外部稀缺资源、提高运营效率。然而，由于外包过程中的诸多不确定因素，给企业的生产经营带来了风险。因此，企业应制定和完善外包制度，加强外包风险管理，从而有效规避风险，充分发挥外包优势。 1 、外包风险外包给企业带来好处的同时也带来了风险。从外包活动的流程来看，主要包括以下环节:制定外包实施计划、审批、承包商选择、签订外包合同、组织实施外包活动、外包流程管理、验收、会计控制等。各环节组织不当会给企业带来风险，这直接关系到能否给企业带来预期的利润增长和战略目标的实现。 (1)外包业务选择不当的风险在外包业务决策中，企业应该

首先回答的问题是外包哪些业务。一般来说，企业应该尽最大努力选择与核心业务关系不大、相对独立于外包的非核心业务。然而，在实践中，公司核心业务和非核心业务的界限并不明确，管理层受到其专业知识和能力的限制。不适合外包的业务有可能被外包，从而使企业失去核心竞争力，这将给企业带来不可估量的严重后果。 (2)外包承包商选择不当外包承包商的选择将对外包业务的有效发展产生重要影响。企业没有建立重要业务外包的外包承包商选择机制，或者外包承包商的决策权过于集中，容易因失去权力平衡而导致商业贿赂。外包承包商定价过高，从而使外包成本超过外包带来的收益，从而给企业造成损失。外包承包商缺乏资质审查制度，对承包商专业能力、财务状况、经营状况和信用水平缺乏了解等。如果外包承包商不具备相应的专业资质，员工不具备相应的专业技术和专业资质，且缺乏相关项目的经验，导致双方存在严重分歧并陷入法律纠纷。 (3)在确定不完全合同风险的承包商后，企业应及时与选定的承包商签订外包合同，约定外包的内容和范围、双方的权利和义务、服务和质量标准、保密事项、成本结算标准、违约责任等事项。这一环节的主要风险是合同条款未能对外包风险做出明确约定，承包商违约责任未明确界定，导致企业陷入合同纠纷和诉讼。外包合同价格不合理或成本过高，给企业造成损失。

《商业银行外包风险管理指引》分析及意义

《商业银行外包风险管理指引》分析及意义华道数据行业研究中心 | 2008-02-19 | 吴庶段明珠经过二十年左右的发展，外包已成为成熟的商业模式，而金融服务业一直是外包重镇。在我国，金融外包尤其是业务流程外包（BPO）已呈现蓬勃发展之势：市场容量迅速扩大，企业规模和数量急剧增长，前景颇为可观。但法律法规的缺失使得行业的不确定性大大增加，经济学智库（EIU）2006年对全球300名金融业高级管理人员的调研及深入访谈后出台的一份报告指出，“法规不明确”已经成为在中国推行业务流程转型的最主要的障碍。依据巴塞尔协议，中国银监会在2005年开始允许国内金融机构外包，2006年发布《电子银行业务管理办法》（以下简称《办法》）与《银行金融机构信息系统管理指引》（以下简称《信管指引》，这两文件的某些章节对外包风险有所提及，但并不深入。近日中国银监会发布《商业银行外包风险管理指引》（征求意见稿）（以下简称《指引》），共六章三十二条，分为总则、外包范围、组织架构、风险管理、监督管理和附则等六个部分。尽管该文件针对商业银行外包风险而制定的，但由于“风险控制”乃金融行业核心所在，《指引》涵盖了外包方方面面。可以说，这是我国第一份专门针对商业银行外

包进行规范的文件。在此，我们将简单对比这几部文件中对外包的相关规定，以飨读者。外包定义最早的《办法》中，仅给出电子银行业务外包的涵义；《信管指引》中则介绍了什么是外包风险，并没有对商业银行外包做出定义。《指引》首次明确定义了商业银行外包的涵义：“是指商业银行将原本应由自身负责处理的某些事务或某些业务委托给服务提供商进行处理的经营行为。服务提供商包括独立第三方，商业银行或其所属集团设立在中国境内或者境外的子公司、关联公司或附属机构。” 外包范围随着外包市场在中国的日益扩大，中国银监会对这一新兴领域的了解也越来越深入。《办法》与《信管指引》中对外包范围都未做明确规定，而仅表示要“合理确定外包的原则和范围”。最新《指引》中则提及“确定与其风险管理水平相适宜的外包活动范围，尤其是重要业务的外包活动范围”，其中对“重要业务”又给出了评估的因素和参考的事项。更为重要的是明确表示“商业银行涉及到战略管理和风险管理职能的业务不宜外包。商业银行涉及到内部审计职能

外包风险管理工作评估报告

. 信息科技外包风险管理评估报告 XXXXXXXXXX局: 根据指引的文件精神，XXXX有序开展了信息安全外包风险管理工作，XXXX领导对管理系统十分重视，采取相关措施防范信息科技外包风险，认真落实有关规定。现就xxxx年度信息科技外包风险评估情况做如下总结：一、信息科技外包战略执行情况：（一）XXXX信息科技外包战略：XXXX以不妨碍核心能力建设、积极掌握关键技术为导向；保持外包风险、成本和效益的平衡；强调外包风险的事前控制，保持管控力度；根据外包管理及技术发展趋势，持续改进外包策略和措施为基本战略，通过学习银监会发布的各项制度，结合自身情况实施信息科技外包风险管理。在信息科技外包过程中充分利用评估、排查等手段，建立信息科技外包风险管理体制，明确外包风险管理组织架构以及具体的职责分工，推进对重大信息安全和服务持续性等重点环节的监督，促进信息科技外包风险管理长效性的发展。（二）执行情况： 1.XXXX为防范信息科技外包风险计划制定专门的信息科技外包风险管理方案。XXXX根据实际情况进行分工，风险管理部负责风险辨识、

协助自查、编写制度、制作报告，信息部负责系统监测、制度设定、以及系统数据评估和风险识别。页脚. . 2.针对信息科技外包风险管理面临的风险，结合过往工作经验，XXXX 根据外包商的注册资金、项目经验、企业延续性、过往合作关系等相关资质，在与外包商签订合作协议前对其风险等级进行初步评估，具体评估标准如下： 3. XXXX专门针对信息科技外包风险评估工作制定了《信息科技外包风险评级表》，根据外包商项目服务期间及后期验收的具体情况，结合自身信息科技专业知识，按季度对现有外包商进行风险评估，并将评估结果记入该表。风险管理部根据法律法规对风险评级表结果进行

浅谈银行业信息科技外包风险及管理

浅谈银行业信息科技外包风险及管理发表时间：2018-08-13T11:29:51.117Z 来源：《基层建设》2018年第20期作者：蔡志刚 [导读] 摘要：随着社会经济的快速发展，信息技术扮演着越来越重要的作用，而且银行业也对信息技术的依赖不断加深，因此银行业的安全和国家金融体系的稳定直接受到银行信息系统的安全性、稳定性和高效性的影响。盘谷银行（中国）有限公司 200002 摘要：随着社会经济的快速发展，信息技术扮演着越来越重要的作用，而且银行业也对信息技术的依赖不断加深，因此银行业的安全和国家金融体系的稳定直接受到银行信息系统的安全性、稳定性和高效性的影响。关键词：银行信息；科技外包；风险；一、银行信息科技外包策略及现状随着经济的快速发展，我国银行近几年业务发展迅速，科技力量不足的矛盾日益突出，基于信息科技战略、外包市场环境、自身风险控制能力制定了“保持核心技术能力，适度引进外包，防控外包风险”的科技外包策略。具体来说，在开发外包方面，坚持核心银行系统自主开发，重要系统采用合作开发模式、内部管理系统购买业内成熟产品进行客户化，在安全及运维外包方面，优先考虑国产化的外包服务，如信息安全系统首选国内产品。网络、PC服务器及储存等设备在开发测试环境尝试使用国产化产品，逐步破解“核心技术受制于人”的难题，提高自主可控能力。信息科技外包工作的开展，解决了银行自身信息科技人员不足的问题，使我行能够在较高的起点实施项目，从而实现信息化建设的跨越式发展提供了有力支撑。与此同时，我们也发现在外包管理工作中，存在信息科技外包管理体系有待完善、外包风险意识需要进一步加强、外包管理相对粗放、对服务商的约束机制还不到位等问题。二、银行业信息科技外包所面临的风险 2.1 银行业务发展战略与外包服务不匹配的风险如果银行在选择外包服务商时，并没有实践的进行考察和精密的评估，而任意选择一个外包商，这会致使外包项目以及银行业务想要发展的策略出现不匹配的现象，因此，会给银行的稳定发展带来一定影响，这样的外包项目如果外包出现，银行发现了存在的风险隐患，这时如果想要终止合同，银行就必须要给服务商赔偿很多的违约金作为赔偿，要想再跟服务商建立信息科技外包服务就一定要支付比以前更多的费用，服务商有可能会考虑再次合作的事宜，因此，如果外包与银行业务发展不匹配的战略风险会给银行今后的发展带来很大的影响。 2.2外包服务商提供服务无法达到标准的风险外包商在提供服务的时候，往往会出现很多不同的问题，对这些存在的问题如果不积极采取有关措施会给银行业务带来风险，经常出现的业务有下文几种： 2.2.1当前，外包服务商的服务水平经常会受到物力和人力以及整体实力等因素的影响，不能达到银行合同标准的服务水平。 2.2.2如果银行没有给客户更优质的服务水平，会致使客户对银行的整体服务标准十分不满意，使银行丢失更多的客户。 2.2.3目前，有个别的服务商在接受工作后，并没有按照银行的要求去做，又或者去做一些违反法律法规的事，给银行的信誉造成很大的不良信誉，严重的导致银行遭受巨大的损失。 2.2.4很多服务商会因为技术问题，又或者是维护时的问题而发生一些不必要的矛盾，从而导致银行系统设备不能正常工作，致使银行的办事效率降低，这样会极大的引起客户的不满意。 2.3选择外包商的风险该风险的出现主要是由于银行在选择外包商时没有经过充分考察、评估，以及对他们服务水平、技术水平、财力水平等都没有整体进行评估，而是单纯的只关注某一方面的特点，根本没有将IT外包的整体服务水平考虑进去，最后选择了服务水平质量不高的外包服务商。 2.4制定外包合同的风险银行跟外包商签订合同的时候，一定要进行详细的了解并且实地进行全面的科学考察，如果没有经过全面、科学的考虑，银行将会在遇到意外或问题时处于非常被动的地位，因为这种片面的评估，将会使服务商的服务水平、服务标准以及在将会发生故障时得不到最好的服务。这同样也是我国目前大多银行在外包合同执行期间所面临的共同问题，服务商不能很好的执行服务，甚至有些技术根本就不能过关，对日常的检查也是不能按时执行，这些现象的发生将会在很大程度上导致银行的服务水平降低，工作效率也会出现明显的降低，来给银行的利益造成很大的损失。 2.5重要信息遭到泄露的风险当前外包服务商受其整体综合实力不高的影响，没有完善的法律法规体系，致使有些工作人员在向银行提供服务时，把银行内部一些非常重要的机密信息泄露出去，给银行的声誉和发展造成巨大损失的潜在风险，即重要信息遭到泄露的风险。由于这种风险的涉及面非常广泛，并且不很难有效控制，因此相对而言其有较高的发生概率。 2.6知识产权的风险这类风险主要包括以下几个方面：一是外包服务中开发技术的专利；二是版权的归属问题；三是源代码的归属问题，等等这些都是银行在和外包服务商签订协议时没有法律规定的，而且如果合同中存在一些不恰当的规定或者是没有进行详细的规定，这些问题都会给以后的合作过程带来很大的纠纷。三、银行业信息科技外包风险管理 3.1建立信息科技外包服务管理机构目前，银行业金融机构在外包过程中，仅当外包商选择或发生了法律纠纷时，才成立临时性机构来处理相关外包事务，管理机构的缺失给外包服务的管理和监督带来不便，无法充分保障外包服务的质量。信息科技外包服务管理机构应该建立健全外包服务管理相关制度，做到对外包服务相关事务的处理有制度可依循，防范在外包立项、审批、采购、实施、服务过程中出现的各种风险。控制外包服务项目预算经费；核查外包服务项目与金融机构发展趋势、信息科技外包战略是否一致；在筛选服务供应商时，国产供应

如何管控外包业务风险

修改后的《劳动合同法》以及与之配套的《劳务派遣暂行规定》（人力资源和社会保障部令第22号）对劳务派遣作出了严格的规范，大大压缩了劳务派遣的适用空间。作为替代措施，业务外包也得到广泛运用。邮政企业在运用业务外包过程中，应当加强法律政策研究，做好顶层设计，最大限度地管控法律风险。业务外包的法律性质业务外包是指企业利用专业化分工优势，将日常经营中的部分业务委托给本企业以外的专业服务机构或其他经济组织完成的经营行为。从法律上来说，业务外包的发包方与承包方是基于平等合作产生的合同法律关系。业务外包涉及的合同类型比较广泛，其中承揽合同是典型的提供劳务的合同，确立了所有提供劳务合同的一般规则。讨论业务外包的法律关系，可以承揽合同作为基准。按照《合同法》关于承揽合同权利义务的规定，业务外包是以完成一定的工作为目的，承包方应按照与发包方约定的标准和要求完成工作，并交付工作成果；发包方的主要目的是取得承包方完成的工作成果，并依据工作成果给付承包方报酬。业务外包不可异化为劳务派遣 2012年修改的《劳动合同法》颁布后，一些用人单位以业务外包、劳务承揽等方式加以应对，但与业务外包提供商签订的合同却充满了劳务派遣的色彩，将业务外包异化为劳务派遣关系。《劳务派遣暂行规定》第27条规定：“用人单位以承揽、外包等名义，按劳务派遣用工形式使用劳动者的，按照本规定处理。”因此，必须理清业务外包与劳务派遣的关系，让业务外包名副其实，避免形成“假外包、真派遣”的困境。根据有关法律规定，业务外包与劳务派遣存在以下不同点。一是标的物不同。业务外包不仅要求承包方提供一定的劳务，更为重要的是提供相应的工作成果。劳务派遣则是劳务派遣单位向用工单位派遣劳动者，即劳动力是劳务派遣关系的标的物。这直接导致二者的计酬方式存在明显不同，业务外包按量计酬，而劳动派遣则按人头计酬。二是员工人身依附性不同。业务外包中发包方对承包方的员工没有直接的指挥、管理权，发包方仅可以对承包方完成业务外包的工作进行必要的监督检查。而劳务派遣中，被派遣的劳动者则要服从用工单位指挥、命令，遵守用工单位的规章制度。这就意味着，业务外包合同中不宜存在对承包方员工进行直接管理的条款。三是对外承担法律责任的主体不同。在业务外包中，承包方对第三人造成损害或造成自身损害的，发包方一般不承担赔偿责任。而在劳务派遣中，被派遣的劳动者因执行工作任务造成他人损害的，由用工单位承担赔偿责任；劳务派遣单位有过错的，承担相应的补充责任。还要明确的是，尽管委代办可以纳入业务外包的射程之内，但考虑到委代办与劳动关系极易混淆，实践中也多次出现法院将委代办确认为劳动关系的案例，因而，委代办模式应审慎使用。业务外包风险管控应注意根据《合同法》等有关法律规定，结合财政部颁布的《企业内部控制应用指引第13号——业务外包》，业务外包风险管控方面应注意以下问题。选择好业务外包服务提供商。业务外包的承包方应当满足以下条件：一是承包方是依法成立和合法经营的专业服务机构或其他经济组织，具有相应的经营范围和固定的办公场所。二是承包方应当具备相应的专业资质，其从业人员符合岗位要求和任职条件，并具有相应的专业技术资格。三是承包方的技术及经验水平符合本企业业务外包的要求。邮政业务外包的承包方一般应具有物流服务、信息服务、物业服务等经营范围。选择承包方应当引入竞争机制，采用招标、竞争性谈判等方式，且不宜将劳务派遣企业作为外包服务提供商。准确界定业务外包的具体范围。应避免将企业的核心业务外包。考虑到邮政企业按照国家规定承担着邮政普遍服务的义务，邮政营业窗口服务外包应审慎对待，并要遵守国家以及地方关于邮政营业场所自办转为代办的监督管理规定。

中国农业银行平顶山分行业务外包风险评估工作实施方案

中国农业银行平顶山分行业务外包风险评估工作实施方案为深入了解和掌握业务外包风险状况，促进业务外包健康发展，同时推动巴塞尔新资本协议实施，推广使用操作风险管理工具，总行决定对我行业务外包进行风险评估。根据总行《关于开展2011年下半年专项风险评估工作的通知》（农银办发【2011】726号）及《中国农业银行河南省分行业务外包风险评估工作实施方案》要求，结合我行业务外包实际，特制定本实施方案。一、评估的背景和目标（一）开展业务外包风险评估的背景。一是总行《中国农业银行2011年风险管理工作要点》明确制定了上半年开展清算中心业务风险评估，下半年开展后台中心风险评估总体工作布署，但鉴于全行“三大中心”建设各行进度不同，大部分行下半年“三大中心”建设未全面完成，不能在全行进行后台中心风险评估，总行决定在后台中心、业务外包、小额农贷三个板块领域开展专项风险评估，我行被总行划分在业务外包板块进行风险评估。二是实施操作风险经济资本高级计量法的要求。总行已将经济资本分配到各部门、各级行，为确保计量数据的准确，“让数据和事实说话”，总行逐步在主要业务条线开展风险评估，通过有步骤的、循序渐进的推进各条线风险评估，全面识别不同条线面临的主要风险和潜在风险，针对不同环节风险和风险程度及时采取措施，有效防控风险，构建科学的风险管理机制。（二）开展业务外包风险评估的意义。通过开展业务外包风险评估，可以从制度、流程、协议等方面查

找并发现我行主要外包业务存在的缺陷和不足，并通过完善制度、优化流程、修改协议等措施，提高我行业务外包整体风险防控能力。（三）评估目标。 1、清查业务外包领域已发生的各类风险事件，收集损失数据，深入分析导致风险事件发生的内外部原因。 2、以风险为导向，全面排查业务运行中存在的各类风险隐患，查找风险管理中存在的各种问题。 3、在定性定量分析风险事件和损失、风险隐患、风险管理情况的基础上，判断未来内外部环境改变后风险变化趋势，多角度、系统性地提出整改意见，建立健全风险控制机制，强化风险防范，促进业务优化和发展。二、评估对象及范围结合总行评估要点所涉及的主要业务领域及我行业务外包实际，本次业务外包风险评估仅限运营管理、信用卡和安全保卫3个业务条线外包活动，具体业务产品或管理活动详见风险评估内容及要点（见附件2）。（一）评估对象。我行业务外包风险评估对象为市分行运营管理部、电子银行部（信用卡业务）、安全保卫部及各县级支行与三个条线业务外包相关的业务管理部门。（二）评估范围。一是风险事件及损失评估。收集范围为2008年1月1日至2011年9月30日发生的业务外包类风险事件和损失。主要为：操作风险事件及损失、外包供应商违约事件及损失等。二是风险隐患评估。包括：产品、设备、流程、系统、人员、制度、操作、管理、监督检查、体制机制等方面存在的问题和隐患；外