【正文】 第三章 信息科技外包戰(zhàn)略及風(fēng)險(xiǎn)管理第一節(jié) 信息科技外包戰(zhàn)略第十六條
。第十四條信息科技外包風(fēng)險(xiǎn)主管部門的主要職責(zé)包括：（一）對(duì)外包風(fēng)險(xiǎn)進(jìn)行識(shí)別、評(píng)估與風(fēng)險(xiǎn)提示；（二）監(jiān)督、評(píng)價(jià)外包管理工作，并督促外包風(fēng)險(xiǎn)管理的持續(xù)改善；（三）向高級(jí)管理層定期匯報(bào)信息科技外包活動(dòng)相關(guān)風(fēng)險(xiǎn)管理情況；（四）董事會(huì)或高級(jí)管理層確定的其他信息科技外包風(fēng)險(xiǎn)管理職責(zé)。第十二條對(duì)于不涉及銀行客戶及內(nèi)部信息轉(zhuǎn)移的信息科技產(chǎn)品采購(gòu)、維保，及通訊線路租用、支付或清算系統(tǒng)接入等信息科技公共基礎(chǔ)設(shè)施服務(wù)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)充分評(píng)估其信息科技風(fēng)險(xiǎn)，按照本指引第五章要求進(jìn)行管理。第十條銀行業(yè)金融機(jī)構(gòu)在實(shí)施信息科技外包時(shí)應(yīng)當(dāng)堅(jiān)持以下原則：（一）以不妨礙核心能力建設(shè)、積極掌握關(guān)鍵技術(shù)為導(dǎo)向；（二）保持外包風(fēng)險(xiǎn)、成本和效益的平衡；（三）強(qiáng)調(diào)外包風(fēng)險(xiǎn)的事前控制，保持管控力度；（四）根據(jù)外包管理及技術(shù)發(fā)展趨勢(shì)，持續(xù)改進(jìn)外包策略和措施。第八條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)將信息科技外包管理納入全面風(fēng)險(xiǎn)管理體系，建立與本機(jī)構(gòu)信息科技戰(zhàn)略目標(biāo)相適應(yīng)的外包管理體系，控制或降低由于外包而引發(fā)的風(fēng)險(xiǎn)。第六條本指引所稱機(jī)構(gòu)集中度風(fēng)險(xiǎn)是指銀行業(yè)金融機(jī)構(gòu)將信息科技外包服務(wù)集中交由少量服務(wù)提供商承接而產(chǎn)生的風(fēng)險(xiǎn)，該風(fēng)險(xiǎn)可能造成集中性的服務(wù)中斷、質(zhì)量下降、安全事件等。第四條本指引所稱關(guān)聯(lián)外包是指服務(wù)提供商為銀行業(yè)金融機(jī)構(gòu)的母公司或其所屬集團(tuán)子公司、關(guān)聯(lián)公司或附屬機(jī)構(gòu)提供信息科技外包。第三條本指引所稱信息科技外包是指銀行業(yè)金融機(jī)構(gòu)將原本由自身負(fù)責(zé)處理的信息科技活動(dòng)委托給服務(wù)提供商進(jìn)行處理的行為，包含項(xiàng)目外包、人力資源外包等形式。第二條在中華人民共和國(guó)境內(nèi)設(shè)立的政策性銀行、商業(yè)銀行、農(nóng)村合作銀行、?。ㄗ灾螀^(qū)）農(nóng)村信用社聯(lián)合社適用本指引。第五篇：銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)銀監(jiān)發(fā)[2013]5號(hào)中國(guó)銀監(jiān)會(huì)關(guān)于印發(fā)銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引的通知各銀監(jiān)局，各政策性銀行、國(guó)有商業(yè)銀行、股份制商業(yè)銀行、金融資產(chǎn)管理公司，郵儲(chǔ)銀行，各省級(jí)農(nóng)村信用聯(lián)社，銀監(jiān)會(huì)直接監(jiān)管的信托公司、企業(yè)集團(tuán)財(cái)務(wù)公司、金融租賃公司：現(xiàn)將《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》印發(fā)給你們，請(qǐng)遵照?qǐng)?zhí)行。第五十四條 本指引自2016年11月1日起施行。第八章 附則第五十二條 各類具體風(fēng)險(xiǎn)的監(jiān)管要求按照銀行業(yè)監(jiān)督管理機(jī)構(gòu)的有關(guān)規(guī)定執(zhí)行。第五十條 銀行業(yè)監(jiān)督管理機(jī)構(gòu)應(yīng)當(dāng)就全面風(fēng)險(xiǎn)管理情況與銀行業(yè)金融機(jī)構(gòu)董事會(huì)、監(jiān)事會(huì)、高級(jí)管理層等進(jìn)行充分溝通，并視情況在銀行業(yè)金融機(jī)構(gòu)董事會(huì)、監(jiān)事會(huì)會(huì)議上通報(bào)。第四十八條 銀行業(yè)監(jiān)督管理機(jī)構(gòu)應(yīng)當(dāng)將銀行業(yè)金融機(jī)構(gòu)全面風(fēng)險(xiǎn)管理納入法人監(jiān)管體系中，并根據(jù)本指引全面評(píng)估銀行業(yè)金融機(jī)構(gòu)風(fēng)險(xiǎn)管理體系的健全性和有效性，提出監(jiān)管意見(jiàn)，督促銀行業(yè)金融機(jī)構(gòu)持續(xù)加以完善。內(nèi)部審計(jì)部門應(yīng)當(dāng)跟蹤檢查整改措施的實(shí)施情況，并及時(shí)向董事會(huì)提交有關(guān)報(bào)告。全面風(fēng)險(xiǎn)管理的內(nèi)部審計(jì)報(bào)告應(yīng)當(dāng)直接提交董事會(huì)和監(jiān)事會(huì)。第四十六條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)將全面風(fēng)險(xiǎn)管理納入內(nèi)部審計(jì)范疇，定期審查和評(píng)價(jià)全面風(fēng)險(xiǎn)管理的充分性和有效性。第四十四條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立健全數(shù)據(jù)質(zhì)量控制機(jī)制，積累真實(shí)、準(zhǔn)確、連續(xù)、完整的內(nèi)部和外部數(shù)據(jù)，用于風(fēng)險(xiǎn)識(shí)別、計(jì)量、評(píng)估、監(jiān)測(cè)、報(bào)告，以及資本和流動(dòng)性充足情況的評(píng)估。第四十二條 銀行業(yè)金融機(jī)構(gòu)相關(guān)風(fēng)險(xiǎn)管理信息系統(tǒng)應(yīng)當(dāng)具備以下主要功能，支持風(fēng)險(xiǎn)報(bào)告和管理決策的需要：（一）支持識(shí)別、計(jì)量、評(píng)估、監(jiān)測(cè)和報(bào)告所有類別的重要風(fēng)險(xiǎn)；（二）支持風(fēng)險(xiǎn)限額管理，對(duì)超出風(fēng)險(xiǎn)限額的情況進(jìn)行實(shí)時(shí)監(jiān)測(cè)、預(yù)警和控制；（三）能夠計(jì)量、評(píng)估和報(bào)告所有風(fēng)險(xiǎn)類別、產(chǎn)品和交易對(duì)手的風(fēng)險(xiǎn)狀況，滿足全面風(fēng)險(xiǎn)管理需要；（四）支持按照業(yè)務(wù)條線、機(jī)構(gòu)、資產(chǎn)類型、行業(yè)、地區(qū)、集中度等多個(gè)維度展示和報(bào)告風(fēng)險(xiǎn)暴露情況；（五）支持不同頻率的定期報(bào)告和壓力情況下的數(shù)據(jù)加工和風(fēng)險(xiǎn)加總需求；（六）支持壓力測(cè)試工作，評(píng)估各種不利情景對(duì)銀行業(yè)金融機(jī)構(gòu)及主要業(yè)務(wù)條線的影響。第四十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)風(fēng)險(xiǎn)管理策略、風(fēng)險(xiǎn)偏好、風(fēng)險(xiǎn)限額、風(fēng)險(xiǎn)管理政策和程序建立規(guī)范的文檔記錄。第三十八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)制定外包風(fēng)險(xiǎn)管理制度，確定與其風(fēng)險(xiǎn)管理水平相適應(yīng)的外包活動(dòng)范圍。銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)要求并確保各附屬機(jī)構(gòu)在整體風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)管理政策框架下，建立自身的風(fēng)險(xiǎn)管理組織架構(gòu)、政策流程，促進(jìn)全面風(fēng)險(xiǎn)管理的一致性和有效性。第三十六條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)按照相關(guān)監(jiān)管要求，根據(jù)風(fēng)險(xiǎn)狀況和系統(tǒng)重要性，制定并定期更新完善本機(jī)構(gòu)的恢復(fù)計(jì)劃，明確本機(jī)構(gòu)在壓力情況下能夠繼續(xù)提供持續(xù)穩(wěn)定運(yùn)營(yíng)的各項(xiàng)關(guān)鍵性金融服務(wù)并恢復(fù)正常運(yùn)營(yíng)的行動(dòng)方案。銀行業(yè)金融機(jī)構(gòu)的應(yīng)急計(jì)劃應(yīng)當(dāng)涵蓋對(duì)境外分支機(jī)構(gòu)和附屬機(jī)構(gòu)的應(yīng)急安排。第三十五條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)制定應(yīng)急計(jì)劃，確保能夠及時(shí)應(yīng)對(duì)和處理緊急或危機(jī)情況。銀行業(yè)金融機(jī)構(gòu)開(kāi)展上述活動(dòng)時(shí)，應(yīng)當(dāng)經(jīng)風(fēng)險(xiǎn)管理部門審查同意，并經(jīng)董事會(huì)或董事會(huì)指定的專門委員會(huì)批準(zhǔn)。壓力測(cè)試結(jié)果應(yīng)當(dāng)運(yùn)用于銀行業(yè)金融機(jī)構(gòu)的風(fēng)險(xiǎn)管理和各項(xiàng)經(jīng)營(yíng)管理決策中。銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)定期開(kāi)展壓力測(cè)試。報(bào)告內(nèi)容至少包括總體風(fēng)險(xiǎn)和各類風(fēng)險(xiǎn)的整體狀況；風(fēng)險(xiǎn)管理策略、風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)限額的執(zhí)行情況；風(fēng)險(xiǎn)在行業(yè)、地區(qū)、客戶、產(chǎn)品等維度的分布；資本和流動(dòng)性抵御風(fēng)險(xiǎn)的能力。董事會(huì)和高級(jí)管理層應(yīng)當(dāng)理解模型結(jié)果的局限性、不確定性和模型使用的固有風(fēng)險(xiǎn)。第二十九條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立風(fēng)險(xiǎn)加總的政策、程序，選取合理可行的加總方法，充分考慮集中度風(fēng)險(xiǎn)及風(fēng)險(xiǎn)之間的相互影響和相互傳染，確保在不同層次上和總體上及時(shí)識(shí)別風(fēng)險(xiǎn)。對(duì)能夠量化的風(fēng)險(xiǎn)，應(yīng)當(dāng)通過(guò)風(fēng)險(xiǎn)計(jì)量技術(shù)，加強(qiáng)對(duì)相關(guān)風(fēng)險(xiǎn)的計(jì)量、控制、緩釋；對(duì)難以量化的風(fēng)險(xiǎn)，應(yīng)當(dāng)建立風(fēng)險(xiǎn)識(shí)別、評(píng)估、控制和報(bào)告機(jī)制，確保相關(guān)風(fēng)險(xiǎn)得到有效管理。未制定的，不得開(kāi)展該項(xiàng)業(yè)務(wù)。第二十七條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在集團(tuán)和法人層面對(duì)各附屬機(jī)構(gòu)、分支機(jī)構(gòu)、業(yè)務(wù)條線，對(duì)表內(nèi)和表外、境內(nèi)和境外、本幣和外幣業(yè)務(wù)涉及的各類風(fēng)險(xiǎn)，進(jìn)行識(shí)別、計(jì)量、評(píng)估、監(jiān)測(cè)、報(bào)告、控制或緩釋。風(fēng)險(xiǎn)限額臨近監(jiān)管指標(biāo)限額時(shí)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)啟動(dòng)相應(yīng)的糾正措施和報(bào)告程序，采取必要的風(fēng)險(xiǎn)分散措施，并向銀行業(yè)監(jiān)督管理機(jī)構(gòu)報(bào)告。風(fēng)險(xiǎn)限額應(yīng)當(dāng)綜合考慮資本、風(fēng)險(xiǎn)集中度、流動(dòng)性、交易目的等。第二十五條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)制定風(fēng)險(xiǎn)限額管理的政策和程序，建立風(fēng)險(xiǎn)限額設(shè)定、限額調(diào)整、超限額報(bào)告和處理制度。第二十四條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立風(fēng)險(xiǎn)偏好的調(diào)整制度。第二十三條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立監(jiān)測(cè)分析各業(yè)務(wù)條線、分支機(jī)構(gòu)、附屬機(jī)構(gòu)執(zhí)行風(fēng)險(xiǎn)偏好的機(jī)制。上述定量指標(biāo)通過(guò)風(fēng)險(xiǎn)限額、經(jīng)營(yíng)計(jì)劃、績(jī)效考評(píng)等方式傳導(dǎo)至業(yè)務(wù)條線、分支機(jī)構(gòu)、附屬機(jī)構(gòu)的安排；（五）對(duì)不能定量的風(fēng)險(xiǎn)偏好的定性描述，包括承擔(dān)此類風(fēng)險(xiǎn)的原因、采取的管理措施；（六）資本、流動(dòng)性抵御總體風(fēng)險(xiǎn)和各類風(fēng)險(xiǎn)的水平；（七）可能導(dǎo)致偏離風(fēng)險(xiǎn)偏好目標(biāo)的情形和處臵方法。銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)每年對(duì)風(fēng)險(xiǎn)偏好至少進(jìn)行一次評(píng)估。第二十一條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)制定書(shū)面的風(fēng)險(xiǎn)偏好，做到定性指標(biāo)和定量指標(biāo)并重。第三章 風(fēng)險(xiǎn)管理策略、風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)限額第二十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)制定清晰的風(fēng)險(xiǎn)管理策略，至少每年評(píng)估一次其有效性。在境外設(shè)有機(jī)構(gòu)的銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立適當(dāng)?shù)木惩怙L(fēng)險(xiǎn)管理框架、政策和流程。第十七條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)設(shè)立或者指定部門負(fù)責(zé)全面風(fēng)險(xiǎn)管理，牽頭履行全面風(fēng)險(xiǎn)的日常管理，包括但不限于以下職責(zé)：（一）實(shí)施全面風(fēng)險(xiǎn)管理體系建設(shè)；（二）牽頭協(xié)調(diào)識(shí)別、計(jì)量、評(píng)估、監(jiān)測(cè)、控制或緩釋全面風(fēng)險(xiǎn)和各類重要風(fēng)險(xiǎn)，及時(shí)向高級(jí)管理人員報(bào)告；（三）持續(xù)監(jiān)控風(fēng)險(xiǎn)管理策略、風(fēng)險(xiǎn)偏好、風(fēng)險(xiǎn)限額及風(fēng)險(xiǎn)管理政策和程序的執(zhí)行情況，對(duì)突破風(fēng)險(xiǎn)偏好、風(fēng)險(xiǎn)限額以及違反風(fēng)險(xiǎn)管理政策和程序的情況及時(shí)預(yù)警、報(bào)告并提出處理建議；（四）組織開(kāi)展風(fēng)險(xiǎn)評(píng)估，及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)隱患和管理漏洞，持續(xù)提高風(fēng)險(xiǎn)管理的有效性。銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)向銀行業(yè)監(jiān)督管理機(jī)構(gòu)報(bào)告調(diào)整風(fēng)險(xiǎn)總監(jiān)（首席風(fēng)險(xiǎn)官）的原因。風(fēng)險(xiǎn)總監(jiān)（首席風(fēng)險(xiǎn)官）或其他牽頭負(fù)責(zé)全面風(fēng)險(xiǎn)管理的高級(jí)管理人員應(yīng)當(dāng)保持充分的獨(dú)立性，獨(dú)立于操作和經(jīng)營(yíng)條線，可以直接向董事會(huì)報(bào)告全面風(fēng)險(xiǎn)管理情況。第十五條 規(guī)模較大或業(yè)務(wù)復(fù)雜的銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)設(shè)立風(fēng)險(xiǎn)總監(jiān)（首席風(fēng)險(xiǎn)官）。相關(guān)監(jiān)督檢查情況應(yīng)當(dāng)納入監(jiān)事會(huì)工作報(bào)告。第十二條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立風(fēng)險(xiǎn)管理委員會(huì)與董事會(huì)下設(shè)的戰(zhàn)略委員會(huì)、審計(jì)委員會(huì)、提名委員會(huì)等其他專門委員會(huì)的溝通機(jī)制，確保信息充分共享并能夠支持風(fēng)險(xiǎn)管理相關(guān)決策。第十一條 銀行業(yè)金融機(jī)構(gòu)董事會(huì)承擔(dān)全面風(fēng)險(xiǎn)管理的最終責(zé)任，履行以下職責(zé)：（一）建立風(fēng)險(xiǎn)文化；（二）制定風(fēng)險(xiǎn)管理策略；（三）設(shè)定風(fēng)險(xiǎn)偏好和確保風(fēng)險(xiǎn)限額的設(shè)立；（四）審批重大風(fēng)險(xiǎn)管理政策和程序；（五）監(jiān)督高級(jí)管理層開(kāi)展全面風(fēng)險(xiǎn)管理；（六）審議全面風(fēng)險(xiǎn)管理報(bào)告；（七）審批全面風(fēng)險(xiǎn)和各類重要風(fēng)險(xiǎn)的信息披露；（八）聘任風(fēng)險(xiǎn)總監(jiān)（首席風(fēng)險(xiǎn)官）或其他高級(jí)管理人員，牽頭負(fù)責(zé)全面風(fēng)險(xiǎn)管理；（九）其他與風(fēng)險(xiǎn)管理有關(guān)的職責(zé)。第九條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)按照銀行業(yè)監(jiān)督管理機(jī)構(gòu)的規(guī)定，向公眾披露全面風(fēng)險(xiǎn)管理情況。第七條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)承擔(dān)全面風(fēng)險(xiǎn)管理的主體責(zé)任，建立全面風(fēng)險(xiǎn)管理制度，保障制度執(zhí)行，對(duì)全面風(fēng)險(xiǎn)管理體系進(jìn)行自我評(píng)估，健全自我約束機(jī)制。第五條 銀行業(yè)金融機(jī)構(gòu)全面風(fēng)險(xiǎn)管理體系應(yīng)當(dāng)包括但不限于以下要素：（一）風(fēng)險(xiǎn)治理架構(gòu)；（二）風(fēng)險(xiǎn)管理策略、風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)限額；（三）風(fēng)險(xiǎn)管理政策和程序；（四）管理信息系統(tǒng)和數(shù)據(jù)質(zhì)量控制機(jī)制；（五）內(nèi)部控制和審計(jì)體系。（四）有效性原則。（三）獨(dú)立性原則。（二）全覆蓋原則。第四條 銀行業(yè)金融機(jī)構(gòu)全面風(fēng)險(xiǎn)管理應(yīng)當(dāng)遵循以下基本原則：（一）匹配性原則。各類風(fēng)險(xiǎn)包括信用風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)、流動(dòng)性風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)、國(guó)別風(fēng)險(xiǎn)、銀行賬戶利率風(fēng)險(xiǎn)、聲譽(yù)風(fēng)險(xiǎn)、戰(zhàn)略風(fēng)險(xiǎn)、信息科技風(fēng)險(xiǎn)以及其他風(fēng)險(xiǎn)。本指引所稱銀行業(yè)金融機(jī)構(gòu)，是指在中華人民共和國(guó)境內(nèi)設(shè)立的商業(yè)銀行、農(nóng)村信用合作社等吸收公眾存款的金融機(jī)構(gòu)、政策性銀行以及國(guó)家開(kāi)發(fā)銀行。2016年9月27日（此件發(fā)至銀監(jiān)分局與地方法人銀行業(yè)金融機(jī)構(gòu)）銀行業(yè)金融機(jī)構(gòu)全面風(fēng)險(xiǎn)管理指引第一章 總則第一條 為提高銀行業(yè)金融機(jī)構(gòu)全面風(fēng)險(xiǎn)管理水平，促進(jìn)銀行業(yè)體系安全穩(wěn)健運(yùn)行，根據(jù)《中華人民共和國(guó)銀行業(yè)監(jiān)督管理法》、《中華人民共和國(guó)商業(yè)銀行法》等法律法規(guī)，制定本指引。本內(nèi)容來(lái)源于政府官方網(wǎng)站，如需引用，請(qǐng)以正式文件為準(zhǔn)。第八章 附 則第七十二條第七十二條 本指引由中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)負(fù)責(zé)解釋、修訂。第七十一條第七十一條 中介機(jī)構(gòu)應(yīng)嚴(yán)格執(zhí)行法律法規(guī)，保守被審計(jì)單位的商業(yè)秘密和風(fēng)險(xiǎn)信息。第六十九條第六十九條 中介機(jī)構(gòu)根據(jù)銀監(jiān)會(huì)或其派出機(jī)構(gòu)委托或授權(quán)對(duì)銀行業(yè)金融機(jī)構(gòu)進(jìn)行審計(jì)時(shí)，應(yīng)出示委托授權(quán)書(shū)，并依照委托授權(quán)書(shū)上規(guī)定的委托和授權(quán)范圍進(jìn)行審計(jì)。第六十七條第六十七條 信息系統(tǒng)專項(xiàng)風(fēng)險(xiǎn)審計(jì)是指對(duì)被審計(jì)單位發(fā)生信息安全事故進(jìn)行的調(diào)查、分析和評(píng)估，或原有信息系統(tǒng)進(jìn)行重大結(jié)構(gòu)調(diào)整的審計(jì)，或?qū)徲?jì)部門認(rèn)為需要對(duì)信息系統(tǒng)某項(xiàng)專題進(jìn)行審計(jì)。第六十六條第六十六條 投產(chǎn)后的系統(tǒng)審閱是指在信息系統(tǒng)投入生產(chǎn)一段時(shí)間后進(jìn)行的審計(jì)，旨在評(píng)估對(duì)信息系統(tǒng)各項(xiàng)風(fēng)險(xiǎn)的控制是否恰當(dāng)，能否實(shí)現(xiàn)預(yù)定的設(shè)計(jì)目標(biāo)。第六十五條第六十五條 投產(chǎn)前的系統(tǒng)審閱文檔資料包括：（一）項(xiàng)目可行性報(bào)告；（二）項(xiàng)目需求說(shuō)明書(shū)；（三）項(xiàng)目功能說(shuō)明書(shū)（包括業(yè)務(wù)與技術(shù)方面存在的風(fēng)險(xiǎn)及控制辦法）；（四）項(xiàng)目總體技術(shù)框架；（五）項(xiàng)目設(shè)計(jì)說(shuō)明書(shū)；（六）項(xiàng)目實(shí)施計(jì)劃；（七）與第三方簽訂的外包協(xié)議；（八）測(cè)試計(jì)劃及驗(yàn)收?qǐng)?bào)告；（九）投產(chǎn)計(jì)劃；（十）項(xiàng)目開(kāi)發(fā)例會(huì)的會(huì)議記錄；（十一）操作手冊(cè)；（十二）其他需審閱的文檔資料。信息系統(tǒng)投產(chǎn)前的系統(tǒng)審閱應(yīng)關(guān)注信息系統(tǒng)的安全控制、權(quán)限設(shè)置、正確性、連貫性、完整性、可審計(jì)性和及時(shí)性等內(nèi)容。第六十三條第六十三條 信息系統(tǒng)的系統(tǒng)審閱是指對(duì)研發(fā)、運(yùn)行及退出的全過(guò)程進(jìn)行審計(jì)，分投產(chǎn)前與投產(chǎn)后的審閱。第六十二條第六十二條 總體風(fēng)險(xiǎn)審計(jì)是指對(duì)本機(jī)構(gòu)所有信息系統(tǒng)共有的公共部分進(jìn)行審計(jì)，實(shí)施總體風(fēng)險(xiǎn)控制。第七章 審 計(jì)第六十條第六十條 銀行業(yè)金融機(jī)構(gòu)內(nèi)設(shè)審計(jì)部門負(fù)責(zé)本機(jī)構(gòu)信息系統(tǒng)審計(jì)，也可聘請(qǐng)經(jīng)國(guó)家相應(yīng)監(jiān)管部門認(rèn)定資質(zhì)的中介機(jī)構(gòu)進(jìn)行信息系統(tǒng)外部審計(jì)。第五十八條第五十八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)與外包承包方建立有效的聯(lián)絡(luò)、溝通和信息交流機(jī)制，并制定在意外情況下能夠?qū)崿F(xiàn)承包方的順利變更，保證外包服務(wù)不間斷的應(yīng)急預(yù)案。第五十六條第五十六條 銀行業(yè)金融機(jī)構(gòu)應(yīng)建立完整的信息系統(tǒng)外包風(fēng)險(xiǎn)評(píng)估與監(jiān)測(cè)程序，審慎管理外包產(chǎn)生的風(fēng)險(xiǎn)，提高本機(jī)構(gòu)對(duì)外包管理的能力。第五十四條第五十四條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)與承包方簽訂書(shū)面合同，明確雙方的權(quán)利、義務(wù)，并規(guī)定承包方在安全、保密、知識(shí)產(chǎn)權(quán)方面的義務(wù)和責(zé)任。第五十三條第五十三條 銀行業(yè)金融機(jī)構(gòu)應(yīng)建立健全外包承包方評(píng)估機(jī)制，充分審查、評(píng)估承包方的經(jīng)營(yíng)狀況、財(cái)務(wù)實(shí)力、誠(chéng)信歷史、安全資質(zhì)、技術(shù)服務(wù)能力和實(shí)際風(fēng)險(xiǎn)控制與責(zé)任承擔(dān)水平，并進(jìn)行必要的盡職調(diào)查。第六章 外包風(fēng)險(xiǎn)控制第五十一條第五十一條 外包風(fēng)險(xiǎn)是指銀行業(yè)金融機(jī)構(gòu)將信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控等委托給業(yè)務(wù)合作伙伴或外部技術(shù)供應(yīng)商時(shí)形成的風(fēng)險(xiǎn)。第四十九條第四十九條 銀行業(yè)金融機(jī)構(gòu)應(yīng)對(duì)機(jī)房環(huán)境設(shè)施實(shí)行日常巡檢，明確信息系統(tǒng)及機(jī)房環(huán)境設(shè)施出現(xiàn)故障時(shí)的應(yīng)急處理流程和預(yù)案，有實(shí)時(shí)交易服務(wù)的數(shù)據(jù)中心應(yīng)實(shí)行24小時(shí)值班。第四十七條第四十七條 銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)的變更應(yīng)符合以下要求：（一）制訂嚴(yán)密的變更處理流程，明確變更控制中各崗位的職責(zé)，并遵循流程實(shí)施控制和管理；變更前應(yīng)明確應(yīng)急和回退方案，無(wú)授權(quán)不得進(jìn)行變更操作；（二）根據(jù)變更需求、變更方案、變更內(nèi)容核實(shí)清單等相關(guān)文檔審核變更的正確性、安全性和合法性；（三）應(yīng)采用軟件工具精確判斷變更的真實(shí)位置和內(nèi)容，形成變更內(nèi)容核實(shí)清單，實(shí)現(xiàn)真實(shí)、有效、全面的檢驗(yàn)；（四）軟件版本變更后應(yīng)保留初始版本和所有歷史版本，保留所有歷史的變更內(nèi)容核實(shí)