1. 背景 –欧洲银行管理局(EBA)于2019年2月底发布了其修订的《外包安排指南》(指导方针)。这是自2006年指南首次专门适用于信贷机构以来的首次全面更新。现在,它们适用于范围更广的范围内的金融机构(金融机构)。
  1. 时机 –该准则将适用于在2019年9月30日之后订立,审查或修改的外包安排。现有安排必须在2021年12月31日之前根据准则进行更新,尽管这可能会有一定的灵活性。
  1. 基本原理 操作风险控制在金融科技和数字转型时代,外包是获取新技术和实现规模经济的简便方法。外包不会导致对FI的管理,系统和流程失去控制,并且会增加其信息安全和数据保护风险。
  1. 目的 –该准则要求金融机构对其外包服务提供商进行充分的管理和控制(OSP),其程度与他们自己的系统和流程相同。该准则统一了这些管理和控制框架的方法。
  1. 范围 –该准则将适用于:信贷机构;投资公司; PSD2支付机构; EMD2电子货币机构;金融机构之间的集团内部外包;以及其中一方作为OSP的独立金融机构之间的外包。
  1. 外包的定义 –一个 外包 被认为是OSP为FI执行流程,服务或活动的任何安排,否则这些安排将由FI本身承担。这与MiFID2的实施法规中的相同定义保持一致。该定义有广泛的解释范围,可应用于简单的采购或采购活动。指南提供了思考过程,以帮助缩小解释范围。某些标准化服务不被视为外包,例如市场数据服务和代理银行。
  1. 应用 该准则适用于所有类型的外包(一般, 关键或重要功能或组内) 通过金融机构. 他们没有整齐地规定哪种要求适用于哪种类型的外包,这有时会造成混淆,尽管更严格的规则确实适用于 关键或重要功能 (以前称为 物质功能)。
  2. 外包业务 关键或重要功能 –功能是 关键或重要 绩效上的缺陷或失败会严重损害对金融机构财务授权及其监管义务的遵守;财务绩效;和/或其银行和支付服务及活动的健全性或连续性。
  3. 外包监管活动 –只有在金融服务机构所在的欧盟成员国中将需要授权的银行业务活动或支付服务外包时,才可以外包给位于以下位置的OSP:
  • 在欧盟,且该位置已获得OSP的授权或以其他方式允许该服务;要么
  • 在欧盟以外的国家/地区,并且相关金融监管机构之间已达成合作协议。这将影响英国退出欧盟。
  1. 管治 –准则要求对外包实施以下治理原则:
  • FI管理机构对外包进行有效的日常管理和监督;
  • 金融机构可以继续开展其业务活动,并且 关键或重要功能;
  • 确定,评估,监控和管理所有外包风险(尤其是ICT和金融科技);和
  • OSP具有适当的信息流以及数据和该信息的机密性。
  1. 评定 –在订立外包安排之前,金融机构应进行书面评估,其中应考虑以下方面:
  • 计划的外包是否涉及 关键或重要功能 和/或受监管的活动;
  • 操作风险–包括法律,ICT,合规性和声誉风险;
  • OSP的尽职调查;和
  • 任何利益冲突。
  1. 外包协议 –所有外包应遵守书面合同。的外包协议 关键或重要功能 其中应包含:
  • 对要提供的外包功能的清晰描述;
  • 是否允许分包;
  • 提供功能和/或将保存和处理相关数据的位置;
  • 监视OSP的性能和服务级别的应用;
  • 向OS汇报OSP的义务;
  • 金融机构及其监管机构的合作,审计和访问权;
  • OSP中断业务运营时,FI可以轻松访问数据;和
  • 终止权。
  1. 寄存器 –金融机构应对所有外包(过去和现在)的指定信息进行更新注册。登记册应应要求提供给监管机构。
  2. 外包政策与程序 –该准则要求金融机构实施书面外包政策,该政策规定了外包生命周期主要阶段的原则,责任和流程。
  3. 通知事项 –金融机构应将计划中的外包活动通知其监管部门 关键或重要功能 以及可能对金融机构的业务活动的持续提供产生重大影响的任何重大变更或事件。

 

请与我们联系以获取更多信息,包括我们的EBA外包导航工具。