October 2023
修订金融机构作业委托他人处理内部作业制度及程序办法(台湾)
2023.10
周靖媛
近年来,金融机构朝向数位化转型发展为强劲趋势,对于云端技术等第三方服务以及位于境外的受托机构之需求提升,例如,在资料处理或储存的过程中,便经常可能涉及云端供应商或是境外资讯业者。虽然金融机构作业委外早已行之有年,对于作业委外已累积有相当的管理经验,然而,上述新型态的作业委外在许多方面为实务及监理带来了不同的挑战与风险,致使主管机关对旧有的规范不得不进行调整与反思,主要呈现在两个面向上:其一,为提升金融机构的服务效率与品质,需求更为简化与弹性的行政管制措施;其二,由于云端技术的特性,与过去其他作业委外项目存在不同的考量,例如对于消费者权益保障、资讯安全、客户个人资料隐私保护,甚至是地缘政治的风险,以及各地区资讯安全与个人资料保护等法规范的差异等。
有鉴于此,金融监督管理委员会(下称金管会)于2023年8月25日公告修正「金融机构作业委托他人处理内部作业制度及程序办法」(下称本办法),针对委外内部作业规范、跨境委外及云端委外作业等规范进行多项修订。除了缩小须经金管会核准的范围,并简化申请作业程序,本次修订最核心的改变,即是将现行的作业委外监理架构调整为「以风险为基础(RBA)」的监理方式,以精进金融机构的风险治理能力。
由于金融机构作业分工细密,并非所有业务的作业委外均有相同的风险,为了有效分配资源,并强化风险管理,本办法此次修订明定金融机构必须建立妥适的政策及原则以管理委外风险,包括委外的决策评估、风险管理机制、核决层级及治理架构等,并且引入「重大性」的概念,要求金融机构必须建立足以辨识、衡量、监督及控制委外相关风险的程序或管理措施。此外,更要求金融机构对于作业委外及客户权益保障负最终责任,以促使风险治理机制能有效发挥。另一方面,对于涉及使用云端服务的情形,为了落实个人资料保护,此次修订将国际资讯安全及隐私保护标准纳入相关规范,同时也要求涉及重大性消费金融业务资讯系统的客户资料储存地应以我国境内为原则。
本次增修规定的补正时间为本办法发布实施起一年内,也就是2024年8月25日前,必须完成委外作业框架的全面检视、调整与申报。由于本次修正涉及金融机构整体委外作业风险管理框架的强化,涉及范围广泛并且相关权责分工必须订入与委外受托机构的契约,因此,请已经实施相关作业委外的金融机构特别留意上述补正期间,而规划于未来实施相关作业委外或执行导入云端技术计画者,也请注意应依本办法建构完整风险管理框架。
周靖媛
近年来,金融机构朝向数位化转型发展为强劲趋势,对于云端技术等第三方服务以及位于境外的受托机构之需求提升,例如,在资料处理或储存的过程中,便经常可能涉及云端供应商或是境外资讯业者。虽然金融机构作业委外早已行之有年,对于作业委外已累积有相当的管理经验,然而,上述新型态的作业委外在许多方面为实务及监理带来了不同的挑战与风险,致使主管机关对旧有的规范不得不进行调整与反思,主要呈现在两个面向上:其一,为提升金融机构的服务效率与品质,需求更为简化与弹性的行政管制措施;其二,由于云端技术的特性,与过去其他作业委外项目存在不同的考量,例如对于消费者权益保障、资讯安全、客户个人资料隐私保护,甚至是地缘政治的风险,以及各地区资讯安全与个人资料保护等法规范的差异等。
有鉴于此,金融监督管理委员会(下称金管会)于2023年8月25日公告修正「金融机构作业委托他人处理内部作业制度及程序办法」(下称本办法),针对委外内部作业规范、跨境委外及云端委外作业等规范进行多项修订。除了缩小须经金管会核准的范围,并简化申请作业程序,本次修订最核心的改变,即是将现行的作业委外监理架构调整为「以风险为基础(RBA)」的监理方式,以精进金融机构的风险治理能力。
由于金融机构作业分工细密,并非所有业务的作业委外均有相同的风险,为了有效分配资源,并强化风险管理,本办法此次修订明定金融机构必须建立妥适的政策及原则以管理委外风险,包括委外的决策评估、风险管理机制、核决层级及治理架构等,并且引入「重大性」的概念,要求金融机构必须建立足以辨识、衡量、监督及控制委外相关风险的程序或管理措施。此外,更要求金融机构对于作业委外及客户权益保障负最终责任,以促使风险治理机制能有效发挥。另一方面,对于涉及使用云端服务的情形,为了落实个人资料保护,此次修订将国际资讯安全及隐私保护标准纳入相关规范,同时也要求涉及重大性消费金融业务资讯系统的客户资料储存地应以我国境内为原则。
本次增修规定的补正时间为本办法发布实施起一年内,也就是2024年8月25日前,必须完成委外作业框架的全面检视、调整与申报。由于本次修正涉及金融机构整体委外作业风险管理框架的强化,涉及范围广泛并且相关权责分工必须订入与委外受托机构的契约,因此,请已经实施相关作业委外的金融机构特别留意上述补正期间,而规划于未来实施相关作业委外或执行导入云端技术计画者,也请注意应依本办法建构完整风险管理框架。
