外包风险评估报告

一、服务外包概况 。。。。。。。

二、服务外包风险识别分析与评估

下面对使用服务可能产生的风险进行识别分析和评估。 （一） 战略风险的识别、分析 技术战略的失误导致技术开发失败。 针对上述风险，有如下应对措施：

建立和运行《质量目标管理程序》并定期检讨战略实施情况,及时采取战略调整计划; 综上，战略风险是可控的。 （二） 依赖性风险的识别、分析 技术对人员的依赖风险

针对上述风险，有如下应对措施：

公司做好技术人员培养，并且制定对应的薪酬管理制度留住核心技术人员。 综上，依赖性风险是可控的。 （三） 合规风险的识别、分析

公司劳动合同或规章制度违反《中华人民共和国劳动

法》,导致罢置、监管部门重大经济处罚等后果。

针对上述风险，有如下应对措施： 1.建立和完善公司规章制度; 2.努力提高员工待遇;

3.由公司法律顾问对规章制度进行合规性评审; 综上，合规性风险是可控的。 （四） 成本与收益风险的识别、分析

因产品价格客户不能接受导致客户无法合作，或者因产品价格过低导致项目失败。 针对上述风险，有如下应对措施：

与客户充分沟通,采取价值工程分析法,与客户共同采取措施以降低成本。同时，应该保持价格在合理的区间，否则价格过低会导致公司成本无法维持。 综上，成本与收益风险是可控的。 （五） 知识和技能风险的识别、分析

因新员工或转岗人员的能力不够,导致产品不合格。 针对上述风险，有如下应对措施：

1.建立和运行《生产提供控制程序》与《人力资源管理程序》、《不合格输出控制程序》,确保员工经考核合格后方可上岗;

2.增加不合格品展示板和制作“岗位技能培训教材” 综上，知识和技能风险是可控的。 （六） 业务连续性的风险识别、分析 1.线路故障

采用主备线路双线通讯，如果有线路故障会启动紧急预

案，快速响应，解决线路问题。

2.底层云硬件设施故障

在云端建立热备份和异地灾备机制，能够保证业务不因为底层云硬件故障而停止。

3.功能更新失败

建立更新监测机制，对功能进行定时更新。对于更新失败的情况，恢复可用版本，建立失败报告和日志查询，并且派遣维护工程师进行手动更新。

4.网络攻击

增加网络安全设备，如防火墙、网闸等等，并建立安全可靠的网络访问机制，防止网络攻击。

综上，业务连续性风险是可控的。 （七）产生信息泄露的风险识别、分析 1.平台安全缺陷

平台的安全缺陷，主要通过系统补丁、安全设置、软件的补丁等技术手段来处理，增加平台的系统健壮性。

2.恶意攻击

恶意攻击主要来源于网络，因此，需要增加额外的网络安全设备，设置合理的网络安全规则，来防范恶意攻击的风险。

3.员工违规操作

对于员工，需要建立一套合理有效的安全管理机制，包括访问时间、访问权限等操作方面的控制，需要根据不同的员工级别，设置不同的安全级别，以避免员工违规操作的风险。

综上，信息泄露风险是可控的。 （八）产生数据丢失的风险识别、分析 1.硬件故障

硬件故障有可能会产生数据丢失的风险，通过数据的定时备份，服务器的整机备份，双机热备和异地灾备等措施来保障数据安全。

2.恶意攻击

恶意攻击主要来源于网络，会造成数据泄露、数据丢失等信息安全风险。因此，需要增加额外的网络安全设备，设置合理的网络安全规则，来防范恶意攻击的风险，保障数据安全。

3.误操作

人员的误操作有时候会导致数据安全问题，因此，为了尽量减少数据安全风险，要对人员的权限进行区分，不同的人员对于数据的访问权限要进行严格区分。

另外，为了防止数据丢失，可以禁用数据删除功能或者对于数据更改的功能进行限制或者二次验证，以保证数据安全。

综上，数据丢失风险是可控的。 （九）高机构集中度的风险识别、分析 1、该外包商在本行外包集中度情况

该外包商在本行外包商中占比不大，可以保证外包商的良性竞争，提高供货质量。

2、该外包商在银行业外包集中度情况

该外包商在本行外包商中占比较高，已经在银行外包商

中提现了良好的市场占有率和商业口碑，是银行业中外包商的优秀选择。

综上，外包商具备高机构集中度特点。 针对上述风险，有如下应对措施：

1、 外包商其内部控制和管理能力、持续运营能力等。 外包商具备良好的内部控制和管理能力，而且产品和服务也在持续创新，拥有良好的持续运营能力。 2、 外包商配备相对独立的资源。

对于重要的合作项目，外包商要提供相对独立的资源配比，包括软硬件投入和人员投入，以保障重点项目的正常运行。

3、 应急预案中明确外包服务的优先级，并进行服务中断应急演练。

外包商针对不同的项目设置不同的优先级，并设置相应的应急处理措施。

4、 外包商财务、内控、安全管理情况的持续监控。 针对外包商的财务、内控、安全管理情况做好持续监控，确保提前发现风险，及时处理风险。 ……………………………….. 综上，高机构集中度风险是可控的。 三、风险分析结果及应对措施

综合以上风险评估结果为XX度，风险为可控状态。 风险应对防范措施分为以下几部分： 1. 战略风险的应对与防范 2. 依赖性风险的应对与防范

3. 合规风险的应对与防范 4. 成本与收益风险的应对与防范 5. 知识与技能风险的应对与防范 6. 业务连续性风险的应对与防范 7. 信息泄露风险的应对与防范 8. 数据丢失风险的应对与防范 9. 高机构集中度风范的应对与防范