ASIC審查報告：持牌機構外包業務存多重風險

澳大利亞證券與投資委員會（ASIC）近日公布對持牌機構使用外包服務商的專項審查結果，指出在風險管理、網絡安全及持續監管等方面存在不足，要求機構切實承擔外包業務最終責任。

本次審查分為兩個階段：第一階段普查30家機構，其中17家存在業務外包。第二階段對其中10家開展深度檢查，范圍涵蓋離岸外包，所有機構都表示，他們對離岸外包風險的風險偏好處于平衡或較低的水平，并實施了識別、評估和管理這些風險的安排。  

ASIC明確，持牌機構可將投資管理、資產托管等職能外包，但必須對履行法定義務承擔最終責任。機構需建立有效機制審慎選擇服務商、持續監控其表現，并妥善處理違約行為。

審查發現五大關鍵風險：

• 對業務流程失控，影響客戶信息保密性

• 受外國法律管轄的服務商可能與澳洲法律要求產生沖突

• 離岸外包數據泄露難以及時發現和處理

• 服務中斷可能損害消費者權益

• 外包監督體系有效性面臨挑戰

ASIC調查發現，不同機構管理離岸外包風險的系統成熟度存在顯著差異。總體而言，業務規模越大的機構，其在持續表現監控和服務協議違約處理方面的風險管理體系越完善。4家領先機構建立了專門的外包治理委員會和專業化管理團隊。

改進建議

持牌機構在與外包服務商合作時，建議結合本次審查發現從以下方面完善風險管理安排：

• 建立合理的外包服務商準入盡職調查程序

• 切實履行對外包服務的監督責任

• 確保外包服務商符合本機構網絡安全政策標準

• 對國內外包服務商實行統一的客戶信息處理標準

• 建立持續評估與監控外包風險的有效框架并定期更新

ASIC建議所有正在或計劃使用外包服務商的持牌機構，結合本次審查發現進行針對性改進。該機構也將持續關注金融服務實體的治理與風險管理框架，對未建立必要消費者與投資者保護機制的機構將依法追責。