企业内部控制应用指引第13号——业务外包
财政部
企业内部控制应用指引第 13 号——业务外包
第一章 总 则
第一条 为了加强业务外包管理,规范业务外包行为,防范业务外包风险,根据有关法律法规和《企业内部控制基本规范》,制定本指引。
第二条 本指引所称业务外包,是指企业利用专业化分工优势,将日常经营中的部分业务委托给本企业以外的专业服务机构或其他经济组织(以下简称承包方)完成的经营行为。
本指引不涉及工程项目外包。
第三条 企业应当对外包业务实施分类管理,通常划分为重大外包业务和一般外包业务。重大外包业务是指对企业生产经营有重大影响的外包业务。
外包业务通常包括:研发、资信调查、可行性研究、委托加工、物业管理、客户服务、IT服务等。
第四条 企业的业务外包至少应当关注下列风险:
(一)外包范围和价格确定不合理,承包方选择不当,可能导致企业遭受损失。
(二)业务外包监控不严、服务质量低劣,可能导致企业难以发挥业务外包的优势。
(三)业务外包存在商业贿赂等舞弊行为,可能导致企业相关人员涉案。
第五条 企业应当建立和完善业务外包管理制度,规定业务外包的范围、方式、条件、程序和实施等相关内容,明确相关部门和岗位的职责权限,强化业务外包全过程的监控,防范外包风险,充分发挥业务外包的优势。
企业应当权衡利弊,避免核心业务外包。
第二章 承包方选择
第六条 企业应当根据年度生产经营计划和业务外包管理制度,结合确定的业务外包范围,拟定实施方案,按照规定的权限和程序审核批准。
总会计师或分管会计工作的负责人应当参与重大业务外包的决策。
重大业务外包方案应当提交董事会或类似权力机构审批。
第七条 企业应当按照批准的业务外包实施方案选择承包方。承包方至少应当具备下列条件:
(一)承包方是依法成立和合法经营的专业服务机构或其他经济组织,具有相应的经营范围和固定的办公场所。(二)承包方应当具备相应的专业资质,其从业人员符合岗位要求和任职条件,并具有相应的专业技术资格。
(三)承包方的技术及经验水平符合本企业业务外包的要求。
第八条 企业应当综合考虑内外部因素,合理确定外包价格,严格控制业务外包成本,切实做到符合成本效益原则。
第九条 企业应当引入竞争机制,遵循公开、公平、公正的原则,采用适当方式,择优选择外包业务的承包方。采用招标方式选择承包方的,应当符合招投标法的相关规定。
企业及相关人员在选择承包方的过程中,不得收受贿赂、回扣或者索取其他好处。承包方及其工作人员不得利用向企业及其工作人员行贿、提供回扣或者给予其他好处等不正当手段承揽业务。
第十条 企业应当按照规定的权限和程序从候选承包方中确定最终承包方,并签订业务外包合同。业务外包合同内容主要包括:外包业务的内容和范围,双方权利和义务,服务和质量标准,保密事项,费用结算标准和违约责任等事项。
第十一条 企业外包业务需要保密的,应当在业务外包合同或者另行签订的保密协议中明确规定承包方的保密义务和责任,要求承包方向其从业人员提示保密要求和应承担的责任。
第三章 业务外包实施
第十二条 企业应当加强业务外包实施的管理,严格按照业务外包制度、工作流程和相关要求,组织开展业务外包,并采取有效的控制措施,确保承包方严格履行业务外包合同。
第十三条 企业应当做好与承包方的对接工作,加强与承包方的沟通与协调,及时搜集相关信息,发现和解决外包业务日常管理中存在的问题。
对于重大业务外包,企业应当密切关注承包方的履约能力,建立相应的应急机制,避免业务外包失败造成本企业生产经营活动中断。
第十四条 企业应当根据国家统一的会计准则制度,加强对外包业务的核算与监督,做好业务外包费用结算工作。
第十五条 企业应当对承包方的履约能力进行持续评估,有确凿证据表明承包方存在重大违约行为,导致业务外包合同无法履行的,应当及时终止合同。
承包方违约并造成企业损失的,企业应当按照合同对承包方进行索赔,并追究责任人责任。
第十六条 业务外包合同执行完成后需要验收的,企业应当组织相关部门或人员对完成的业务外包合同进行验收,出具验收证明。
验收过程中发现异常情况,应当立即报告,查明原因,及时处理。
关于开展保险业(第二批)信息系统安全等级保护定级工作的通知
保险监督管理委员会
关于开展保险业(第二批)信息系统安全等级保护定级工作的通知
保监厅发〔2007〕80号
各保监局,各保险公司、保险资产管理公司:
为贯彻落实国家信息安全等级保护制度,现将保险业第二批等级保护定级工作的有关事项通知如下:
一、第二批开展定级工作的单位范围
除第一批单位(保监会及各保监局,中国保险行业协会,中国人民保险集团公司、中国人寿保险(集团)公司、中国再保险(集团)股份有限公司、中国出口信用保险公司、民生人寿保险股份有限公司、阳光保险控股股份有限公司、中国平安保险(集团)股份有限公司、中国太平洋(集团)股份有限公司及其下属各子公司和分公司)以外的所有保险公司和保险资产管理公司。
二、定级依据及定级方法
(一)《信息安全等级保护管理办法》(公通字〔2007〕43号,以下简称“《管理办法》”,附件1);
(二)《信息安全技术信息系统安全等级保护定级指南》(信安字〔2007〕11号,以下简称“《定级指南》”,附件2)。
三、工作要求及组织方式
各单位应按照“自主定级、自主保护”的工作原则,成立相应的领导及实施机构,结合本单位的实际情况,准确开展信息系统等级保护定级工作。
各保险集团公司、保险控股公司负责本公司信息系统等级保护定级工作以及其下属子公司信息系统等级保护定级工作的组织协调和指导。各保险总公司统一部署本公司和分公司的信息系统等级保护定级工作。
四、定级范围
(一)保险公司和保险资产管理公司经营、管理、办公等重要信息系统(以下简称“重要信息系统”);
(二)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。
五、主要工作步骤
第一阶段:自主定级(2008年1月20日前完成)
各单位按要求成立相关定级实施机构,对本系统内的重要信息系统和涉密信息系统展开摸底调查,全面掌握信息网络和信息系统的数量、分布、业务类型、系统结构、应用或服务范围等基本情况,按照《管理办法》和《定级指南》的要求,确定定级对象并初步确定保护等级,形成定级报告(报告模板见附件3)。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
各公司对本公司内的重要信息系统和涉密信息系统定级进行统一审核。
第二阶段:到公安机关和保密部门备案(2008年1月30日前完成)
根据《管理办法》,各单位对重要信息系统安全等级确定为二级以上的信息系统应到公安部网站下载《信息系统安全等级保护备案表》(见附件4)和辅助备案工具,并持填写的备案表和利用辅助备案工具生成的备案电子数据文件,到公安机关办理备案手续。
在京的保险总公司,对统一定级的跨省联网运营的信息系统,向公安部备案;非在京的保险总公司,对统一定级的跨省联网运营的信息系统,向当地省级公安机关备案;保险公司分公司将总公司定级的跨省联网在当地运行、应用的分支系统,以及在当地分公司独立运行的信息系统,向当地设区的市级以上公安机关备案。
涉密信息系统建设使用单位依据《管理办法》和国家保密局的有关规定,填写《涉及国家秘密的信息系统分级保护备案表》(见附件5),按照属地化管理原则,将所确定的涉密信息系统,报送相对应的保密部门备案。
第三阶段:向保险监管机关报备
各级单位到公安机关和保密部门完成备案10个工作日内,对等级保护定级工作进行总结,并将“等级保护定级情况统计表(附件6)”、工作总结的书面材料和电子版,以及备案证明复印件报相对应的保险监管机构存档。其中,总公司向保监会报备,其他分支机构向所在地保监局报备。
联系人:李春亮、王晓鹏
联系电话:010-66286602
Email: xiaopeng_wang@circ.gov.cn
附件:1、信息安全等级保护管理办法(公通字〔2007〕43号);2、信息安全技术信息系统安全等级保护定级指南(信安字〔2007〕11号);3、信息系统安全等级保护定级报告;4、信息系统安全等级保护备案表;5、涉及国家秘密的信息系统分级保护备案表;6、等级保护定级情况统计表。
二○○七年十二月二十七日