简短的简报 ： 外包规定

2022年10月版第10期 一系列简报，以BakerMcKenzie的专业金融服务从业人员为基础，“一口大小”地审视了不同司法管辖区的国际趋势。 简短的简报：外包监管 2022年10月 本版探讨了德国和欧盟、香港特别行政区、新加坡、瑞士、英国和美国外包监管的发展。 通常位于监管范围之外的外包服务提供商正在迅速成为金融基础设施的组成部分。这是因为许多金融机构越来越依赖外包，因为它能够降低成本，并且对于数字服务而言，可以更快地采用和扩展新技术，从而加速其数字化转型。 例如，虽然云服务具有规模经济、灵活性、运营效率和成本效益等优势，但外包也可能在数据保护、银行保密、安全问题和集中风险方面带来挑战。这些不仅是单个企业的挑战，而且是系统层面的挑战，因为大型提供商有可能成为许多机构依赖它们的单点故障。 监管机构越来越关注服务的运营弹性和连续性，不仅是内部系统和控制，还包括外包服务。另一个问题是，提供者实际上可能是主导方，例如银行即服务，或者他们从事许可活动。所有这些都反映在对外包的监管审查日益严格，以及对受监管机构的监管要求和准则问题上。正如我们在下面讨论的那样，在某些司法管辖区，有建议授予监管机构对某些提供商的直接监督权。 UK 在业界高度期待的举动中，英国财政部已确认将实施一种制度，即被指定为“关键”的第三方公司将受到直接监管。英国财政部发布了一份政策声明2022年6月，制定了减轻金融服务公司将重要职能外包给第三方服务提供商所带来的风险的框架；不久之后，立法框架在《2022-23金融服务和市场法案》中被引入议会。 当第三方为金融服务行业的多家公司提供关键职能时，即将出台的制度旨在填补英国当前运营弹性框架留下的系统性风险缺口。根据现有要求，公司必须确保其与第三方的合同安排允许他们遵守监管机构的运营弹性框架；但这些要求并不延伸到第三方公司本身。如果几家公司依赖同一第三方提供物质服务，则该第三方的失败或中断可能会对整个金融部门产生系统性影响。 该框架将使英国财政部，英格兰银行，金融行为监管局（FCA）和审慎监管局（PRA）（金融监管机构）能够直接监督第三方服务提供商。在该制度下，英国财政部将在指定某些向公司提供服务的第三方为“关键”（CTP）之前与金融监管机构进行磋商；金融监管机构也可以主动建议CTP指定。英国财政部还需要考虑潜在CTP以及金融服务公司的陈述。CTP的指定预计将考虑到第三方向公司提供的服务的数量和类型以及这些服务的重要性等因素，并将在二级立法中正式确定。 一旦第三方被指定为CTP，金融监管机构将有权就CTP向公司提供的实质性服务制定规则，收集信息并采取执法行动。这些权力将包括制定最低弹性标准的能力，CTP将被直接要求满足他们向英国金融部门提供的任何物质服务，以及额外的信息收集和调查权力，以评估是否符合复原力标准，指导现金转拨方案采取(或不采取)具体行动的权力，以及纠正违规行为的执法权力。 该法案目前正在进行立法程序，预计将于2023年获得皇家批准。FCA和PRA发布了联合讨论文件2022年7月，阐明他们打算如何使用已授予的权力，并在2022年12月23日之前做出回应。在皇家同意和讨论文件的反馈意见之后 ，监管机构将发布一份咨询文件，列出拟议的规则。一旦监管规则定稿，英国财政部将开始指定现金转拨方案。 尽管新框架的引入将给指定的现金转拨方案带来重大的新监管负担，但受影响的第三方服务提供商的人口预计将仍然很少，至少在短期内是这样，因为这些服务的市场往往高度集中。分析英格兰银行强调，截至2020年，超过65％的英国公司使用相同的四个云提供商进行云基础设施服务。 随着立法的出台，第三方服务提供商应保持简短的观察，并且可以获得更多有关指定标准的信息，以评估新框架是否可以捕获它们。尽管金融机构不会受到新的现金转拨方案框架的直接影响，但它们仍将负责管理其业务弹性的风险，并应开始考虑如何将现金转拨方案框架纳入其自身的业务弹性政策和流程(例如，是否需要修改合同条款)。 EU 英国的CTP框架类似于欧盟委员会在其关于金融部门数字运营弹性的拟议法规中对关键信息和通信技术（ICT）第三方服务提供商的监督制度（广泛称为《数字运营弹性法》（DORA))，尽管这两种制度采取了不同的方法。根据DORA ，欧洲监管机构（ESA）将指定对金融实体至关重要的ICT第三方服务提供商，然后将受到欧洲银行管理局（EBA ）对其弹性的监督。欧洲证券和市场管理局(ESMA)或欧洲保险和职业养老金管理局(EIOPA)作为牵头监督者。 DORA中提出的指定方法比英国CTP框架下的预期方法更为细化和统一。在高层次上，DORA要求ESA考虑指定标准 ，包括服务的系统性影响，依赖服务的金融机构的系统性重要性，所提供的关键或重要职能，可替代性以及所涉及的成员国数量-并进一步授权委员会采取补充这些标准的授权法案。相比之下，英国财政部采用的方法更具酌处性，与英国脱欧后金融服务监管改革的一般方法保持一致。 指定后，主管监督员必须评估关键信通技术第三方服务提供商是否制定了全面、健全和有效的规则、程序、机制和安排来管理提供商可能对金融实体构成的信通技术风险，并根据这一评估对提供商制定单独的监督计划。首席监督员还被授予与英国CTP框架下授予英国金融监管机构类似的信息收集和调查权力，以及发布建议和实施经济处罚的权力。然而 ，DORA和英国的CTP框架是否会在实践中出现明显差异还有待观察，许多细节将出现在ESA的技术监管标准和英国金融监管机构的详细规则提案中。 欧盟理事会和欧洲议会达成临时政治协议这两个机构现在将正式采用DORA，预计欧洲议会将在2022年11月的全体会议上审议DORA，随后在官方公报上发表，并于2022年底或2023年更早生效。DORA将在生效后24个月适用。 Germany 德国对第三方服务提供商的监管是由其欧盟成员国及其国内要求决定的。除了即将推出的DORA框架（如上所述）外 ，德国有关云外包的主要最新发展还涉及：i）实施EBA外包指南；ii）实施ESMA云外包指南；以及iii）在 Wirecard丑闻之后引入的立法，称为FISG。 EBA和指南 关于EBA指南，德国监管机构BaFin没有简单地宣布它们在国内适用，而是修改了其通告“风险管理最低要求”(MaRisk）于2021年8月。它的第AT部分仅详细介绍了德国针对银行和金融服务提供商的监管外包制度，需要进行严格审查。因此，很难使用准备好的标准清单来跟踪对EBA指南的遵守情况，并且不清楚MaRisk是否包含其他要求 （超出EBA指南）。 作为附带说明，由于对投资公司的监管已从德国银行法中删除，因此现在在新的《证券机构法》中对其进行了监管（大型的所谓“1类”公司除外），从技术上讲，MaRis不再适用于投资公司。但是，由于BaFi尚未为投资公司创建单独的轻触式风险管理制度，因此MaRis在此期间继续适用于它们。 相比之下，BaFin实施了ESMA指南关于云外包，只需在2021年6月发布的通知中宣布它们适用。问题在于，BaFi未能澄清这是否使其先前关于云外包的指导在投资公司和基金经理方面过时。BaFi关于云外包的指导说明旨在总结所有受监管部门的云外包要求。我们认为，ESMA指南并未取代BaFi关于云外包的指南，因为这两篇论文涵盖了云外包的不同方面。 FISG 另一个有趣的发展涉及更严格的外包规则FISG，于2021年7月1日生效。根据FISG，所有受监管的公司都需要通知BaFi他们打算将重大活动外包出去。在FISG生效之前，该规则仅适用于保险公司。此外，受监管的公司必须将外包引起的重大变化和严重事件通知BaFi。根据FISG，公司有法定义务维护外包活动的登记册。 至关重要的是，根据FISG（并预示即将到来的DORA要求），BaFi可以直接向外包服务提供商发布指令。为此，非EEA外包提供商必须在德国指定代理商来提供此类BaFi订单的服务。允许BaFi发布以下命令：（i）防止或停止违反监管规则的适当且必需的命令，或（ii）防止或消除与受监管公司有关的缺陷，这些缺陷可能危害客户资产的安全或损害正常进行业务或服务。在基金管理公司的情况下，也可以发出这样的命令，以防止基金经理成为信箱实体。这些权力是相当广泛的形式，外包提供商应在其外包协议中考虑适当的保护。Procedre，用于因遵守此类命令而增加的成本或损失。 香港特别行政区 确保金融机构在使用外部供应商时的持续运营弹性一直是香港金融服务监管机构的一个长期主题：香港金融管理局（HKMA）和证券及期货事务监察委员会（SFC）。旨在确保与使用第三方服务提供商相关的持续完整性和弹性的要求包括但不限于金管局。外包要求，证监会认可国际证券委员会组织(IOSCO)于2005年发布的《市场中介机构金融服务外包原则》(随后修正2021年由IOSCO提供)，以及详细的电子数据服务提供商要求已发行2019年由证监会公布，2020年由常见问题解答补充。 2021年10月，证监会发布了圆形向中介机构发布运营弹性标准，并要求采取实施措施，以补充证监会关于网络安全、业务连续性计划、内部控制和风险管理等领域的现有指引。该通知还包括“关于操作弹性和远程工作安排的报告“并建立了关于第三方依赖风险管理的新的运营弹性标准。新标准要求中介机构采取措施识别、控制和管理第三方依赖风险 。这些措施包括，例如，在适当的时间间隔或在关键服务提供商发生变化时进行审查，并确保损失风险(财务或其他)处于可接受和适当的水平。 2022年5月31日，金管局发布了关于运营弹性的新监管政策手册（SPM）模块OR-2和关于业务连续性规划的SPM模块TM-G-2的修订版。新的OR-2提供了高水平的指导，以反映金管局对所有认可机构（AI）在运营上具有弹性的期望。OR-2的要求包括解决第三方依赖管理。为了降低与使用第三方相关的风险，除其他要求外，预计AI应确保第三方具有与AI同等的运营弹性。如果无法做到这一点，则应确保第三方参与不会削弱其在发生中断时交付关键业务的能力，并且应做出安排，以持续满足第三方保持足够的业务弹性。此外，与正常的BCP安排一致，人工智能应该有适当的BCP安排和退出策略，以解决第三方提供的服务失败或中断。AIsareexpectedottoeteritoorcotieayarragemetswiththirdpartiesthatwoldweatheoperatioalresposibilityofayoftheircriticaloperatios.修订后的TM-G-2旨在通过增强现有的业务连续性规划指南来补充OR-2的要求。金管局要求所有认可机构（i）在最终OR-2模块发布后的1年内，制定了运营弹性框架并确定了其运营弹性的时间表（i。Procedres.到2023年5月31日）；（ii ）在情况允许的情况下，并在最初的1年规划期后的3年之内（i。Procedres.2026年5月31日）。 金管局在2022年8月发行了云计算指南该指南旨在合并各种现有要求。它们包括解决潜在集中风险的要求，使得AIs应保持定期审查因素，包括：（i）云可移植性的可能性；（ii）互操作性解决方案的可用性；（iii）采用多云战略的可行性；以及（iv）是否有可行的退出战略，以便在需要时实现有序退出。特别是在有压力的情况下。金管局认为 ，认可机构亦应考虑及管理任何可能影响云服务供应商提供服务的潜在供应链风险。人工智能还需要制定适当的应急计划 ，以解决云服务提供商的中断问题，并确保中断不会影响人工智能的运营弹性。 新加坡 新加坡金融管理局（MAS），新加坡的中央银行和综合金融监管机构，期望所有金融机构确保其依赖的第三方服务提供商提供服务，并受到适当的治理，风险管理和健全的内部控制。MAS还要求高级管理层评估来自第三方服务的风险，并实施与这些风险的性质和程度相称的控制措施。近年来，金融机构报告了数字银行服务的各种中断，而根。 原因主要与他们有关，