ASIC审查报告：持牌机构外包业务存多重风险

澳大利亚证券与投资委员会（ASIC）近日公布对持牌机构使用外包服务商的专项审查结果，指出在风险管理、网络安全及持续监管等方面存在不足，要求机构切实承担外包业务最终责任。

本次审查分为两个阶段：第一阶段普查30家机构，其中17家存在业务外包。第二阶段对其中10家开展深度检查，范围涵盖离岸外包，所有机构都表示，他们对离岸外包风险的风险偏好处于平衡或较低的水平，并实施了识别、评估和管理这些风险的安排。  

ASIC明确，持牌机构可将投资管理、资产托管等职能外包，但必须对履行法定义务承担最终责任。机构需建立有效机制审慎选择服务商、持续监控其表现，并妥善处理违约行为。

审查发现五大关键风险：

• 对业务流程失控，影响客户信息保密性

• 受外国法律管辖的服务商可能与澳洲法律要求产生冲突

• 离岸外包数据泄露难以及时发现和处理

• 服务中断可能损害消费者权益

• 外包监督体系有效性面临挑战

ASIC调查发现，不同机构管理离岸外包风险的系统成熟度存在显著差异。总体而言，业务规模越大的机构，其在持续表现监控和服务协议违约处理方面的风险管理体系越完善。4家领先机构建立了专门的外包治理委员会和专业化管理团队。

改进建议

持牌机构在与外包服务商合作时，建议结合本次审查发现从以下方面完善风险管理安排：

• 建立合理的外包服务商准入尽职调查程序

• 切实履行对外包服务的监督责任

• 确保外包服务商符合本机构网络安全政策标准

• 对国内外包服务商实行统一的客户信息处理标准

• 建立持续评估与监控外包风险的有效框架并定期更新

ASIC建议所有正在或计划使用外包服务商的持牌机构，结合本次审查发现进行针对性改进。该机构也将持续关注金融服务实体的治理与风险管理框架，对未建立必要消费者与投资者保护机制的机构将依法追责。