iThome
今年8月,金管会正式发布了新版金融机构委外办法,修正部分条文,大幅松绑金融上云的规范,大大简化了金融机构上云的申请流程,但是,新版规范不仅仅是松绑,还增加了不少规范,我们整理出金融上云规范大松绑的QA,让你快速掌握新版办法的重点。
Q 这次金融上云规范大松绑有哪些重点?
A 共三大重点,第一,明定金融机构要以风险基础方法管理委外作业,以风险高低采取适当管理措施。其次也简化了委外流程,取消跨境委外一律须申请核准的规范,开放金融机构能以首案通过的方式,办理金管会核定的其他委外项目,最后一项则是强化监理措施,金管会可视情节要求金融机构终止上云委托。
Q 上云委外申请如何大松绑?只剩哪些项目必须申请?
A 新版委外办法区分出三种上云申请流程,第一,金融机构将重大性消金系统委托至境外,须向金管会申请核准;第二,新型态委外项目若已有首案核定通过,其他金融机构就可迳行办理,不用申请,反之,则须要经过核准;第三,金融机构办理金管会明列的19项一般委外项目,包括资料处理和电子客户服务等,不用申请。
新型态委外项目若尚无首案通过,金管会将以委外项目是否有重大风险或监理考量做为评估标准,因此,金融机构需要提出风险控管相关文件,例如,委外项目风险程度、重大性评估和对受委托机构尽职调查情形等。
这次修法针对上云申请范围进行大幅松绑,境内委外不再受重大性项目需申请核准的规范,跨境委外也仅剩重大性消金业务系统须经过申请核准。
Q 如何界定重大性的消金业务系统?
A 消金业务是金融机构为个人客户提供的金融服务,包括存款、放款、汇款、信用卡、金融商品销售等业务。而在处理前述业务的资讯系统中,委外作业若有服务中断或资安疑虑,而对金融机构业务营运有重大影响,或有涉及客户资料安全事件,而对金融机构或客户权益有重大影响,亦或是其它对金融机构或客户权益有重大影响的委外作业,都视为重大性。金管会未来将在问答集中增列金融机构判断委外作业是否具重大性的举例,供金融机构判断。
Q 消金系统采云端备份或在境外云端建置备援系统,须申请核准吗?
A 资料备份不须经过申请核准,但建置备援系统须要。新版办法说明,金融机构将客户资料或其程式、资料库与作业系统的备份储存在境外公有云,进行冷备份加密储存时,不须向金管会申请核准。意即,若客户资料相关备份档案储存在境外公有云时,无法直接在云端中使用,而是要在特定系统中还原才可以使用,不影响系统正式、备援环境运行,就不需要经过金管会申请核准。反之,若是直接在境外云端建置备援系统,具有云端还原机制和回复业务运作的功能,就需要向金管会申请核准才可使用。
Q 境外资料储存、处理地变更时,金融机构如何办理?
A 委外作业内容和受托机构皆不变,仅变更境外资料储存、处理地时,金融机构不再需要提供储存地变更原因、资安及查核权力等说明文件,只要依规范更新作业委外项目的申报资讯,例如委外项目的内容及范围等资料,并另行评估新增或变更的国家对客户资讯的保护情形。
Q 新版委外上云增加哪些内控管理需求?
A 规范金融机构要订定使用云端服务的政策及原则,并增订第三方查核报告需符合国际隐私保护标准,要求金融机构落实个人资料保护。
Q 金融机构是否能以云端业者提供的资安国际标准认证办理第三方查核报告?
A 可以,但个别金融机构仍应就各自的委外作业项目及云端应用情形,依风险基础方法进行查核,并分别提供查核报告。
Q 金融机构的内部委外办法需要因应新办法进行哪些调整?
A 金融机构要在内部委外规范中建立有效的分层治理架构、风险评估架构和内控机制,例如,金融机构应在内部委外规范中载明风险管理措施,包括评估委外风险、降低风险的适当措施、订定风险评估更新的机制、针对重大性委外风险情境进行测试或演练。
这次修法放宽了重大性委外项目上云须经核准的规范,因此办法中也明列,金融机构应辨识、评估及管理具重大性的委外作业。不只受委托机构,金融机构也要确保内部人员具有足够的专业知识,能够衡量、监督和控制委外风险。
金融机构也要订定终止委托的移转机制,确保能顺利移转至其他受委托机构,或移回自行处理,并确保原受委托机构留存的资料全数删除或销毁,留存删除或销毁的纪录。
Q 测试或演练是否可由受委托机构办理并提供结果?
A 可以,但考量委外风险管理属金融机构和受委托机构共同负责,因此,金融机构仍要针对其管理的部分进行测试或演练。
Q 上云委外若发生事故,谁负全责?
A 金融机构可在契约中与受委托机构明定责任分工,但金融机构对作业委外及客户权益仍负最终责任,因此,金融机构应定期针对云端业者进行审查,并以风险基础方法采取适当的控管措施。此外,新版办法也将委外监督的权责上升至董事会层级,特别点出董事会成员应认知到委外风险,定期监督委外执行情形。
Q 金管会可以要求金融机构停止上云委托吗?
A 可以,当云端业者有违反委外办法或其他法令时,金管会可以视情节轻重,通知金融机构依契约规定终止委托,并要求限期改善,或暂停委托直至受委托机构确认改善为止。过去,这条规范仅用来监理部分委外作业,如消金系统委托至境外,但这次修正改采一致性规定,将规范扩大涵盖到所有委外作业,强化了监理措施。
Q 新版上云规范对外国金融机构有什么影响?
A 外国在台分支的金融机构若要跨境委外重大性消金业务资讯系统,仍要向主管机关提出申请,不过,相较台湾金融机构,有简化部分办理规定。此外,新版规范允许外国在台金融机构将委外作业交由总机构或区域总部办理,不过,外国在台分支机构仍要担任委外专责单位,掌握总机构或区域总部对委外风险的控管。
Q 新版委外办法适用哪些对象?
A 适用的金融机构包括本国银行及其国外分行、外国银行在台分行、信用合作社、票券金融公司及信用卡业务机构。由于金控公司并未办理金融业务,因此不纳入委外办法的适用范畴。
此外,保险局和证期局也在8月发布适用的新版委外规范,并跟进委外办法的修正内容,采一致的上云规范。
Q 新版委外办法的缓冲期有多长?
A 考量这次修正办法中,要求金融机构强化委外作业的风险管理框架,并全面检视既有委外作业,再依规定向金管会申报相关资讯,因此,新版规范给予一年的缓冲期,金融机构可以在办法发布一年内,也就是明年8月25日前进行补正。
Q 上云治理和管理是否会成为明年金检重点之一?
A 过去新政策和业务的监理,以场外监理优先,先确保业者落实相关法令遵循,针对上云新开放的政策,金管会表示,金检也会持续关注法律落实程度,另外也会协助金融业者导入相关的云端治理。
Q 委外的常见问题问答集预计何时公布?
A 委外常见问题问答集预计在11月中公布,且会纳入首例得委外项目清单。金管会后续会进行滚动式检讨,透过银行公会搜集意见,更新问答集内容。