文章核心观点 英格兰银行发布了一份关于中央对手方外包和第三方风险管理的最新修订版监管声明，该声明为CCP如何管理所有第三方和外包安排的风险提供了具体指导，并支持其根据运营事件及外包和第三方报告要求进行报告和披露，修订后的声明将于2027年3月18日生效[1] 监管声明的适用范围与目标 - 该监管声明适用于所有受英格兰银行监管的CCP以及计划根据英国EMIR向银行申请授权为英国CCP的英国实体[2] - 声明旨在解释银行对外包和第三方风险管理的监管方法，为CCP如何履行其监管义务提供指导，并制定了比PFMI、英国EMIR及相关技术标准和银行规则更具体的要求和期望[4] - 这些要求和期望是对银行于2021年3月发布的《FMIs运营韧性政策》和《运营韧性：运营事件报告监管声明》的补充[5] 关键定义与范围 - **第三方安排**：银行将其定义为CCP与向CCP提供产品或服务的任何人之间的任何形式的安排，无论这些产品或服务是否原本由CCP自身提供、是直接提供还是由分包商提供、或是由集团实体提供，这包括外包和非外包的第三方安排[8] - **外包安排**：定义为CCP与第三方之间的任何形式安排，由该第三方提供产品、执行服务、流程、活动或业务职能，而无论其是直接提供还是通过分包提供，且这些原本将由CCP自身承担[11] - 当CCP将服务或活动外包给第三方时，其仍须对履行所有义务承担全部责任，外包不会导致其责任被委托[12] - **非外包第三方安排**：银行期望CCP评估所有第三方安排的风险，无论其是否属于外包定义范围，并应用适当的治理、风险管理和控制措施来管理这些风险[13] - **重要第三方和外包安排**：定义为那些向CCP提供的产品或服务的中断或故障可能对CCP提供服务的连续性或CCP清算服务的安全与效率构成风险的安排，无论其是外包还是非外包安排[15] - **参与者外包安排**：当CCP允许参与者将其与金融市场基础设施的连接外包到云端时，可能会产生对一个或多个云服务提供商的间接依赖，CCP作为风险管理者应理解其参与者外包的性质和范围[17][19] 比例原则与集团内外包 - CCP应以适合其规模、内部组织、风险状况以及活动性质、范围和复杂性的方式满足本声明中的期望[23] - 比例原则和外包安排的重要性是独立但互补的概念，CCP应考虑两者之间的联系[24] - **集团内外包**：其固有风险并不低于向CCP集团外第三方的外包，并受相同要求约束，CCP应适当考虑对提供外包服务的实体的控制力和影响力水平，并以相称的方式遵守声明中的期望[25] - 控制力和影响力可能因集团特征而异，例如，CCP在决定控制力和影响力水平时，集团治理结构、整个集团的职责分配、CCP改变其集团内外包安排和/或影响其条款和条件的能力以及集团范围内标准、控制、政策和程序的一致性和稳健性等因素可能相关[26] 治理、风险管理和记录保存 - **董事会参与**：CCP的董事会和高级管理层不能外包其责任，签订外包安排的CCP仍对其遵守所有监管义务承担全部责任[28] - CCP的董事会应建立一个清晰、有文件记录的风险管理框架，其中包括其风险承受政策，分配风险决策的责任和问责制，并解决危机和紧急情况下的决策问题[29] - 银行期望CCP履行风险管理者的职能，并确保其充分了解对清算服务的风险[32] - **风险框架**：CCP应在其董事会批准的风险偏好范围内，彻底识别、评估、衡量、监控和控制与其第三方相关的风险[33] - **共享责任模型**：作为确保外包安排有效治理的一部分，银行期望CCP定义、记录并理解其自身和第三方各自的责任，在云计算中，常用的术语是“共享责任模型”[39] - **问责制**：CCP应酌情将第三方风险和外包的责任分配给一名责任人，可以是董事会成员和/或高级管理人员[41] - **角色与职责**：应明确界定对第三方和外包安排进行日常监督的角色和职责，包括独立的第二道防线审查职能和第三道防线内部审计职能[42] - **政策**：CCP的董事会应批准、定期审查并实施书面的第三方风险管理政策，并在适当时制定外包政策[43] - CCP应让外包方和第三方了解相关的内部政策，包括关于外包、数据保护、信息技术、网络安全和运营韧性的政策[45] - **记录保存**：银行期望CCP保存其外包和第三方安排的适当记录，CCP必须维护其重要第三方安排信息的最新登记册，并至少每年更新一次，银行期望CCP通过FCA RegData平台提交该登记册[53][54] 外包前阶段：重要性评估、尽职调查和风险评估 - **重要性评估**：银行要求CCP在签订或重大变更重要第三方安排时通知银行，并期望CCP评估每项外包和第三方安排的重要性[59] - 银行对“重要第三方安排”的定义与PFMI对第三方的定义一致，即如果这些服务的持续、安全和高效交付对CCP的运营至关重要，则这些第三方为关键[61] - 如果CCP外包的服务影响重要业务服务的交付，则该安排通常构成“重要外包安排”[62] - 银行期望CCP制定适当的频率，定期（重新）评估其外包和第三方安排的重要性[64] - **重要性标准**：CCP应制定自己的流程来评估重要性，作为其外包或第三方风险管理政策的一部分，并在个案基础上评估其外包和第三方安排的重要性[65] - 银行期望CCP在以下情况下通常将外包或第三方安排视为重要：其向CCP提供的产品或服务的性能中断或故障可能对CCP提供服务的连续性或CCP清算服务的安全与效率构成风险，从而威胁英国的金融稳定；或影响CCP的可处置性[70] - **通知银行**：CCP必须在其签订或重大变更重要第三方安排时通知银行，CCP必须通过FCA Connect平台提交通知[74] - 为避免疑问，银行期望CCP在需要就重要第三方安排通知银行以及需要就重要外包安排通知银行时，均寻求银行的不反对意见[75] - **尽职调查**：银行期望CCP在签订外包或第三方安排之前进行适当的尽职调查，并在可用时确定合适的替代或备用提供商[79] - 银行期望CCP的尽职调查考虑PFMI附件F中规定的期望，并进一步考虑潜在供应商的业务模式、复杂性、财务状况、所有权结构和规模；能力、专业知识和声誉；财务、人力和技术资源；以及将参与交付重要业务服务或其部分的任何分包第三方[80] - **风险评估**：CCP应以相称的方式识别运营风险的可信来源，包括来自对第三方依赖的潜在风险，并通过适当的系统、政策、程序和措施减轻其影响[83] - **集中度风险**：作为风险管理者，银行期望CCP定期（重新）评估并采取合理措施识别和管理其对第三方的总体依赖；以及CCP层面的集中度风险或供应商锁定[86] 外包协议 - 根据英国EMIR第35(2)条，银行要求为所有外包安排（无论重要性如何，包括集团内安排）制定正式的合同协议[86] - **重要外包协议**：重要外包安排的书面协议至少应规定：外包职能的清晰描述；CCP的每项重要业务服务对第三方的依赖程度；开始日期、下次续订日期、终止日期以及关于第三方和CCP终止的通知期；协议管辖法律；双方的财务义务；是否允许分包职能或其部分，如果允许，在何种条件下允许；提供职能或服务的地点，和/或相关数据的保存、处理或转移地点；关于相关数据的可访问性、可用性、完整性、保密性、隐私和安全性的规定；CCP持续监控第三方绩效的权利；商定的服务水平；第三方对CCP的报告义务；第三方是否应就某些风险购买强制性保险；双方实施和测试业务连续性计划的要求；确保在第三方破产、处置或停止业务运营时CCP拥有的数据可被及时访问的规定；第三方与银行合作的义务；CCP和银行检查及审计第三方的权利；以及（如适用）适当和相称的信息安全相关目标和措施、运营和安全事件处理程序、以及终止权利和退出策略[91] 数据安全 - **数据定义与范围**：数据广义上包括机密、公司敏感和交易数据，也可能包括为提供金融服务而收集、分析和转移的开放源代码数据以及用于处理、转移或存储数据的系统[93] - 银行期望CCP对涉及向第三方转移数据的重要外包或第三方安排，定义、记录并理解其自身和第三方各自对该数据的责任，并采取适当措施予以保护[94] - **数据分类**：CCP负责对其数据进行分类，银行期望CCP在制定和实施其第三方和外包政策及其他相关政策和策略时，以及与第三方共享数据时，实施适当的、基于风险的技术和组织措施来保护不同类别的数据[96] - **数据位置**：银行认识到CCP使用云技术将其数据和应用程序分布在多个地理上分散的可用区和区域对运营韧性的潜在好处，但也认识到限制性数据本地化要求对CCP创新、韧性和成本的潜在负面影响[97][100] - 银行期望CCP对数据位置采取基于风险的方法，使其能够同时利用外包数据存储在多个位置的运营韧性优势并管理相关风险[100] - **数据安全措施**：银行期望CCP实施适当的措施来保护向第三方转移的任何数据，并在其外包和第三方风险管理政策中加以规定，并在适当时写入书面协议[101] - CCP应利用其现有的风险治理和运营风险框架来评估数据在传输、内存和静止状态时产生的风险，并实施有效的控制措施将风险降低到其风险偏好或容忍度之内[102] - 控制措施可能包括但不限于：配置管理、加密和密钥管理、身份和访问管理、对“内部威胁”的持续监控、访问和活动日志记录、事件检测和响应、丢失预防和恢复、数据隔离、操作系统、网络和防火墙配置、员工培训、对第三方控制有效性的持续监控、检测可能影响CCP信息安全的活动并适当响应这些事件的政策和程序，以及退出或终止后从第三方可能存储的所有位置删除企业数据的程序[103] 访问、审计和信息权 - **适用范围与要求**：本节的期望适用于重要外包安排，但银行期望CCP对与所有第三方的外包安排采用基于风险的访问、审计和信息权方法[107] - 银行要求为所有外包安排制定正式的合同协议，该协议应允许CCP和银行充分访问其可能需要的此类信息，银行期望CCP确保重要外包安排的书面协议包含对以下方面的完全访问和无限制的审计及信息权规定，以使CCP能够遵守其法律和监管义务，并监控安排：CCP；CCP的审计师；银行；以及CCP或银行指定的任何其他人[108] - **集中审计和第三方证书及报告**：CCP可以使用一系列审计和其他信息收集方法，包括非现场审计和现场审计[110] - CCP可以选择任何适当的审计方法，只要其能够满足其法律、监管、运营韧性和风险管理义务，然而，预期的保证水平将根据安排的重要性而变得更加严格[112] - 在重要外包安排中，银行期望CCP评估这些证书和报告中信息的充分性，并确保证书和审计报告满足相关期望[113] - 在重要外包安排中，银行期望CCP保留合同权利以：请求额外的、适当的和相称的信息；以及自行决定进行现场审计[114] - **现场审计**：在进行现场审计之前，银行期望CCP以及代表其行事的个人和组织：向第三方提供合理通知；验证执行审计的人员具备适当的专业知识、资格和技能；以及如果对多租户环境进行审计，注意避免或减轻审计过程中对其他第三方客户的风险[115] - **集中审计**：集中审计可以由共享一个或多个第三方的FMI团体组织，或由第三方协助进行，它们可以由参与FMI的代表或代表其指定的专家执行[118] - 当集中审计产生共同的、共享的发现时，银行期望CCP评估这些发现对其各自的意义，将风险和控制的评估与其更广泛的运营风险框架保持一致，并评估其自身是否需要采取后续行动或补救措施[119] 分包 - **定义与风险**：银行将分包定义为外包安排下的第三方将外包职能全部或部分进一步转移给另一个第三方的情况，分包可能放大外包安排中的某些风险，包括限制CCP管理外包安排风险的能力，以及产生CCP可能未完全意识到或可能不想要的额外或增加的依赖性[121] - **对分包的监督**：银行期望CCP在签订外包协议前评估分包的相关风险，CCP应特别注意大型、复杂的分包链对其运营韧性的潜在影响[122] - CCP应评估每个分包协议是否符合第5节规定的重要性标准，CCP仅在以下情况下同意分包：分包不会损害CCP管理其第三方风险的能力；对此类分包安排的风险评估在CCP的风险偏好或容忍度之内；有外包第三方或分包第三方提供的足够的管理信息和关键绩效指标报告，使CCP能够监督和监控外包服务；以及分包第三方承诺遵守所有适用的法律、监管要求和合同义务，并授予CCP和银行与授予第三方同等的合同访问、审计和信息权[123][124] - **书面协议**：银行期望与重要第三方的外包书面协议表明是否允许分包，如果允许，则应：定义服务的重要性并指定任何不能分包的活动；确定在允许分包的情况下要遵守的条件；要求第三方在转移数据前获得CCP事先具体或一般的书面授权，并将任何计划中的分包或重大变更通知CCP；并确保CCP拥有明确批准或反对拟议分包或重大变更的权利，以及在特定情况下终止协议的合同权利[128] 业务连续性和退出计划 - **适用范围与重点**：本节的期望适用于重要外包安排，银行在业务连续性计划和退出策略方面的主要重点是CCP在发生极端但可信的破坏事件时，按照其影响容忍度交付由第三方提供或支持的重要业务服务的能力[130][131] - **业务连续性**：CCP应为所有重要外包安排实施适当的业务连续性计划，以预测、抵御、响应极端但可信的运营破坏并从中恢复，CCP的业务连续性计划应确保其能够在破坏性事件发生后两小时内恢复运营，并且该计划应使CCP即使在极端情况下也能在当天完成结算[134] - 对于重要的云外包安排，银行期望CCP评估正在外包的服务和数据的韧性要求，并以基于风险的方法决定一种或多种可用的云韧性选项[136] - 没有一种放之四海而皆准的云韧性选项组合，最佳选项或组合将取决于各种因素，包括但不限于：CCP活动的规模、内部组织以及性质、范围和复杂性；外包安排对CCP提供重要业务服务的潜在影响；以及不同选项的相对成本和收益[138] - **压力退出场景**：CCP的退出计划应涵盖压力退出，并尽可能适当地记录和测试[141] - 银行不规定或偏好压力场景下的退出形式，其关注点在于支持金融稳定的退出结果，而不是实现该结果的方法[142] - 银行期望CCP在压力退出场景中识别可行的退出形式，并认真考虑那些最能保障其运营韧性的形式[143] - **业务连续性和退出计划的治理**：CCP应开始制定其业务连续性和退出计划，特别是在外包前阶段确定计划的外包安排被归类为关键后，一旦外包安排实施，CCP应使用基于风险的方法测试其业务连续性和退出计划[146][147] - CCP应分配明确的角色和职责来制定业务连续性和退出计划，在制定业务连续性和退出计划时，CCP应定义计划的目标[150][151] - CCP应采取合理措施测试退出计划，特别是与压力退出相关的计划，测试的范围和性质将因外包安排的类型和相应的退出计划而异[152] - 业务连续性和退出计划应定期审查、更新和测试，以确保此类计划保持最新，并考虑到可能改变业务连续性措施或退出的可行性的触发因素或事态发展[155]