2022 年 10 月版第 10 期一系列简报 ， 以 Baker McKenzie 的专业金融服务从业人员为基础 ， “一口大小 ” 地审视了不同司法管辖区的国际趋势。简短的简报 ： 外包监管2022 年 10 月本版探讨了德国和欧盟、香港特别行政区、新加坡、瑞士、英国和美国外包监管的发展。通常位于监管范围之外的外包服务提供商正在迅速成为金融基础设施的组成部分。这是因为许多金融机构越来越依赖外包，因为它能够降低成本，并且对于数字服务而言，可以更快地采用和扩展新技术，从而加速其数字化转型。例如，虽然云服务具有规模经济、灵活性、运营效率和成本效益等优势，但外包也可能在数据保护、银行保密、安全问题和集中风险方面带来挑战。这些不仅是单个企业的挑战，而且是系统层面的挑战，因为大型提供商有可能成为许多机构依赖它们的单点故障。监管机构越来越关注服务的运营弹性和连续性，不仅是内部系统和控制，还包括外包服务。另一个问题是，提供者实际上可能是主导方，例如银行即服务，或者他们从事许可活动。所有这些都反映在对外包的监管审查日益严格，以及对受监管机构的监管要求和准则问题上。正如我们在下面讨论的那样，在某些司法管辖区，有建议授予监管机构对某些提供商的直接监督权。UK在业界高度期待的举动中 ， 英国财政部已确认将实施一种制度 ， 即被指定为 “关键 ” 的第三方公司将受到直接监管。英国财政部发布了一份政策声明2022 年 6 月 ， 制定了减轻金融服务公司将重要职能外包给第三方服务提供商所带来的风险的框架 ； 不久之后 ， 立法框架在《 2022 - 23 金融服务和市场法案》中被引入议会。当第三方为金融服务行业的多家公司提供关键职能时，即将出台的制度旨在填补英国当前运营弹性框架留下的系统性风险缺口。根据现有要求，公司必须确保其与第三方的合同安排允许他们遵守监管机构的运营弹性框架 ； 但这些要求并不延伸到第三方公司本身。如果几家公司依赖同一第三方提供物质服务，则该第三方的失败或中断可能会对整个金融部门产生系统性影响。 2该框架将使英国财政部，英格兰银行，金融行为监管局 （ FCA ） 和审慎监管局 （ PRA ） （ 金融监管机构 ） 能够直接监督第三方服务提供商。在该制度下，英国财政部将在指定某些向公司提供服务的第三方为 “关键 ” （ CTP ） 之前与金融监管机构进行磋商 ； 金融监管机构也可以主动建议 CTP 指定。英国财政部还需要考虑潜在 CTP 以及金融服务公司的陈述。CTP 的指定预计将考虑到第三方向公司提供的服务的数量和类型以及这些服务的重要性等因素，并将在二级立法中正式确定。一旦第三方被指定为 CTP，金融监管机构将有权就 CTP 向公司提供的实质性服务制定规则，收集信息并采取执法行动。这些权力将包括制定最低弹性标准的能力，CTP 将被直接要求满足他们向英国金融部门提供的任何物质服务 ，以及额外的信息收集和调查权力，以评估是否符合复原力标准，指导现金转拨方案采取 (或不采取) 具体行动的权力，以及纠正违规行为的执法权力。该法案目前正在进行立法程序 ， 预计将于 2023 年获得皇家批准。 FCA 和 PRA 发布了联合讨论文件2022 年 7 月 ， 阐明他们打算如何使用已授予的权力 ， 并在 2022 年 12 月 23 日之前做出回应。在皇家同意和讨论文件的反馈意见之后 ， 监管机构将发布一份咨询文件 ， 列出拟议的规则。一旦监管规则定稿 ， 英国财政部将开始指定现金转拨方案。尽管新框架的引入将给指定的现金转拨方案带来重大的新监管负担 ， 但受影响的第三方服务提供商的人口预计将仍然很少 ， 至少在短期内是这样 ， 因为这些服务的市场往往高度集中。分析英格兰银行强调 ， 截至 2020 年 ， 超过 65 ％ 的英国公司使用相同的四个云提供商进行云基础设施服务。随着立法的出台，第三方服务提供商应保持简短的观察，并且可以获得更多有关指定标准的信息，以评估新框架是否可以捕获它们。尽管金融机构不会受到新的现金转拨方案框架的直接影响，但它们仍将负责管理其业务弹性的风险，并应开始考虑如何将现金转拨方案框架纳入其自身的业务弹性政策和流程 (例如，是否需要修改合同条款) 。EU英国的 CTP 框架类似于欧盟委员会在其关于金融部门数字运营弹性的拟议法规中对关键信息和通信技术 （ ICT ） 第三方服务提供商的监督制度 （ 广泛称为《数字运营弹性法》 （DORA))，尽管这两种制度采取了不同的方法。根据 DORA，欧洲监管机构 （ ESA ） 将指定对金融实体至关重要的 ICT 第三方服务提供商，然后将受到欧洲银行管理局 （ EBA ） 对其弹性的监督。欧洲证券和市场管理局 (ESMA) 或欧洲保险和职业养老金管理局 (EIOPA) 作为牵头监督者。 3DORA 中提出的指定方法比英国 CTP 框架下的预期方法更为细化和统一。在高层次上，DORA 要求 ESA 考虑指定标准，包括服务的系统性影响，依赖服务的金融机构的系统性重要性，所提供的关键或重要职能，可替代性以及所涉及的成员国数量 - 并进一步授权委员会采取补充这些标准的授权法案。相比之下，英国财政部采用的方法更具酌处性，与英国脱欧后金融服务监管改革的一般方法保持一致。指定后，主管监督员必须评估关键信通技术第三方服务提供商是否制定了全面、健全和有效的规则、程序、机制和安排来管理提供商可能对金融实体构成的信通技术风险，并根据这一评估对提供商制定单独的监督计划。首席监督员还被授予与英国 CTP 框架下授予英国金融监管机构类似的信息收集和调查权力，以及发布建议和实施经济处罚的权力。然而，DORA 和英国的 CTP 框架是否会在实践中出现明显差异还有待观察，许多细节将出现在 ESA 的技术监管标准和英国金融监管机构的详细规则提案中。欧盟理事会和欧洲议会达成临时政治协议这两个机构现在将正式采用 DORA ， 预计欧洲议会将在 2022 年 11 月的全体会议上审议 DORA ， 随后在官方公报上发表 ， 并于 2022 年底或 2023 年更早生效。 DORA 将在生效后 24 个月适用。Germany德国对第三方服务提供商的监管是由其欧盟成员国及其国内要求决定的。除了即将推出的 DORA 框架 （ 如上所述 ） 外，德国有关云外包的主要最新发展还涉及 ： i ） 实施 EBA 外包指南 ； ii ） 实施 ESMA 云外包指南 ； 以及 iii ） 在 Wirecard 丑闻之后引入的立法，称为 FISG 。EBA 和指南关于EBA 指南， 德国监管机构 BaFin 没有简单地宣布它们在国内适用 ， 而是修改了其通告 “风险管理最低要求 ” (MaRisk） 于 2021 年 8 月。它的第 AT 部分仅详细介绍了德国针对银行和金融服务提供商的监管外包制度 ， 需要进行严格审查。因此 ， 很难使用准备好的标准清单来跟踪对 EBA 指南的遵守情况 ， 并且不清楚 MaRisk 是否包含其他要求 （ 超出 EBA 指南 ） 。 4作为附带说明，由于对投资公司的监管已从德国银行法中删除，因此现在在新的《证券机构法》中对其进行了监管 （ 大型的所谓 “1 类 ” 公司除外 ），从技术上讲，MaRis 不再适用于投资公司。但是，由于 BaFi 尚未为投资公司创建单独的轻触式风险管理制度，因此 MaRis 在此期间继续适用于它们。相比之下 ， BaFin 实施了ESMA 指南关于云外包，只需在 2021 年 6 月发布的通知中宣布它们适用。问题在于，BaFi 未能澄清这是否使其先前关于云外包的指导在投资公司和基金经理方面过时。BaFi 关于云外包的指导说明旨在总结所有受监管部门的云外包要求。我们认为，ESMA 指南并未取代 BaFi 关于云外包的指南，因为这两篇论文涵盖了云外包的不同方面。FISG另一个有趣的发展涉及更严格的外包规则FISG， 于 2021 年 7 月 1 日生效。根据 FISG，所有受监管的公司都需要通知 BaFi 他们打算将重大活动外包出去。在 FISG 生效之前，该规则仅适用于保险公司。此外，受监管的公司必须将外包引起的重大变化和严重事件通知 BaFi 。根据 FISG，公司有法定义务维护外包活动的登记册。至关重要的是，根据 FISG （ 并预示即将到来的 DORA 要求 ），BaFi 可以直接向外包服务提供商发布指令。为此，非 EEA 外包提供商必须在德国指定代理商来提供此类 BaFi 订单的服务。允许 BaFi 发布以下命令 ： （ i ） 防止或停止违反监管规则的适当且必需的命令，或 （ ii ） 防止或消除与受监管公司有关的缺陷，这些缺陷可能危害客户资产的安全或损害正常进行业务或服务。在基金管理公司的情况下，也可以发出这样的命令，以防止基金经理成为信箱实体。这些权力是相当广泛的形式，外包提供商应在其外包协议中考虑适当的保护。Procedre， 用于因遵守此类命令而增加的成本或损失。香港特别行政区确保金融机构在使用外部供应商时的持续运营弹性一直是香港金融服务监管机构的一个长期主题 ： 香港金融管理局 （ HKMA ） 和证券及期货事务监察委员会 （ SFC ） 。旨在确保与使用第三方服务提供商相关的持续完整性和弹性的要求包括但不限于金管局。外包要求， 证监会认可国际证券委员会组织 (IOSCO) 于 2005 年发布的《市场中介机构金融服务外包原则》 (随后修正2021 年由 IOSCO 提供) ， 以及详细的电子数据服务提供商要求已发行2019 年由证监会公布 ， 2020 年由常见问题解答补充。 52021 年 10 月 ， 证监会发布了圆形向中介机构发布运营弹性标准 ， 并要求采取实施措施 ， 以补充证监会关于网络安全、业务连续性计划、内部控制和风险管理等领域的现有指引。该通知还包括 “关于操作弹性和远程工作安排的报告“并建立了关于第三方依赖风险管理的新的运营弹性标准。新标准要求中介机构采取措施识别、控制和管理第三方依赖风险。这些措施包括，例如，在适当的时间间隔或在关键服务提供商发生变化时进行审查，并确保损失风险 (财务或其他) 处于可接受和适当的水平。2022 年 5 月 31 日，金管局发布了关于运营弹性的新监管政策手册 （ SPM ） 模块 OR - 2 和关于业务连续性规划的 SPM 模块 TM - G - 2 的修订版。新的 OR - 2 提供了高水平的指导，以反映金管局对所有认可机构 （ AI ） 在运营上具有弹性的期望。OR - 2 的要求包括解决第三方依赖管理。为了降低与使用第三方相关的风险，除其他要求外，预计 AI 应确保第三方具有与 AI 同等的运营弹性。如果无法做到这一点，则应确保第三方参与不会削弱其在发生中断时交付关键业务的能力，并且应做出安排，以持续满足第三方保持足够的业务弹性。此外，与正常的 BCP 安排一致，人工智能应该有适当的 BCP 安排和退出策略，以解决第三方提供的服务失败或中断。AIs are expected ot to eter ito or cotie ay arragemets with third parties that wold wea the operatioal resposibility of ay of their critical operatios.修订后的 TM - G - 2 旨在通过增强现有的业务连续性规划指南来补充 OR - 2 的要求。金管局要求所有认可机构 （ i ） 在最终 OR - 2 模块发布后的 1 年内，制定了运营弹性框架并确定了其运营弹性的时间表 （ i 。Procedres.到 2023 年 5 月 31 日 ） ； （ ii ） 在情况允许的情况下，并在最初的 1 年规划期后的 3 年之内 （ i 。Procedres.2026 年 5 月 31 日 ） 。金管局在 2022 年 8 月发行了云计算指南该指南旨在合并各种现有要求。它们包括解决潜在集中风险的要求，使得 AIs 应