粤公网安备 44011302004783号 ❗️欧盟DORA:成本增15%!2025避坑
在当今全球化背景下,中国跨境企业在走向世界的过程中,离不开与各国金融机构及各类服务供应商的深度合作。尤其是在欧洲市场,了解当地严格的金融监管要求,如德国联邦金融监管局(BaFin)颁布的《风险管理最低要求》(MaRisk),对于确保业务合规、规避风险、提升合作效率至关重要。
MaRisk作为德国金融机构风险管理的核心指引,随着数字化转型的加速和云计算服务的普及,其对外包管理的要求也日益精细化。特别是2021年第六次MaRisk修订版,对外包管理的规定进行了大幅扩充和明确,这不仅影响到德国本土的金融机构,也间接触及了与这些机构合作的中国跨境企业。
MaRisk:风险管理的基石
《风险管理最低要求》(MaRisk)是德国联邦金融监管局于2005年首次发布的行政指令,旨在规范德国信用机构的风险管理体系。它具体化了《德国银行法》(KWG)第25a条关于“适当业务组织”的要求,并落实了巴塞尔协议II和巴塞尔协议III中关于银行风险控制及监管审查流程的定性要求。
MaRisk的发布,旨在为监管机构提供统一的执行标准,同时为金融机构提供法律和规划上的确定性。对于中国跨境企业来说,理解MaRisk的框架,有助于评估其欧洲合作伙伴(如支付服务商、金融科技公司)的合规水准。
为何外包管理如此重要?
为了专注于核心业务、节省资源并利用外部专业知识,越来越多的金融机构选择将IT运营等流程外包。MaRisk详细规定了哪些领域可以在何种条件下进行外包。一旦决定“转移”某项活动,外包管理便正式启动。
这涉及到广泛的审查,以及对外包服务商和外包合同的持续监控,并评估由此产生的操作风险。其核心原则是,外包不能给金融机构或监管部门带来任何不利影响,并且即使分包商将服务进一步分包,金融机构也必须拥有充分的介入和终止合同的权利。
MaRisk分为“一般部分”(AT)和“特殊部分”(BT),特殊部分又根据金融经济的不同业务领域(如信贷、交易业务、风险管理和审计)进行细分。合规性检查是年度财务审计的一部分,同时也是“44条审计”(BaFin特殊审计)的重点。
近年来,MaRisk不断更新。2024年发布的第八次MaRisk修订版,例如,就对投资组合中的信用利差风险(IRRBB)提出了新要求,并调整了对受《支付服务监管法》管辖的机构的风险管理要求。此外,IT安全、可持续发展管理(ESG)以及内部控制系统和公司治理方面的要求也得到了加强和完善。
2021年修订版:对外包管理的深度细化(AT 9)
鉴于金融机构越来越多地选择异地数据中心托管(Hosting)并采纳云战略,BaFin在2021年认为有必要进一步明确MaRisk中关于外包管理(AT 9 MaRisk)的规定。此次修订将许多已经存在于实践中的审查要素正式化。
这些要素此前已在BaFin的《向云服务提供商外包备忘录》、《银行IT监管要求》(BAIT)或《EBA外包安排指南》(EBA/GL/2019/02)等文件中发布,并至少在某些方面已被金融机构出于自身利益而遵守。
强化报告与监控:外包管理的核心变革
2021年第六次MaRisk修订版具体化了外包管理的核心要素,主要包括以下几个方面,这些都可能影响中国跨境企业与欧洲伙伴的合作模式:
设立外包专员(Auslagerungsbeauftragte:r):新规明确要求设立一名中央外包专员,负责外包活动的监控和管理。根据金融机构的重要性和规模,该专员需获得进一步的外包管理支持。除了编制年度报告,新增了基于特定事件的外包报告要求,并且外包专员也需参与非重要外包的监控与管理。外包专员应至少隶属于直接向董事会汇报的组织单位。在小型机构,此职能可由董事会成员直接承担。
全面风险分析(Risikoanalyse):在2021年MaRisk修订版之前,MaRisk就已要求在外包前(以及外包过程中)进行风险分析。此次修订再次强调了风险分析的全面性:必须进行360度全方位的风险评估,包括情景分析。外包不应导致公司核心功能的削弱,因此某些公司职能原则上不允许外包。
建立外包登记册(Auslagerungsregister):金融机构除了外包报告,还必须建立一个外包登记册,列出所有外包事项,包括集团内部的外包。MaRisk修订版在登记册的内容方面,参考了EBA外包指南(EBA/GL/2019/02)的第54(所有外包)和55(重要外包)款。这样的登记册对于内部和外部审计目的以及风险分析的完整性检查都非常有用,如今已是明确强制要求。
外包合同与登记册的具体要求
在外包合同的内容方面,2021年BaFin通函的解释也进行了具体化。除了合同期限、书面形式或适用法律等基本要素外,BaFin还要求合同中包含:提供服务或存储和处理数据的地点、明确服务目标的质量标准、是否对外包服务商的某些风险提供了保险、应急预案以及双方行为准则的协调程度。
此外,2021年MaRisk通函的解释进一步明确,对于非重要外包,如果预计其可能转变为重要外包,也应提前约定信息和审查权。这些权利必须包括对外包服务商的访问和审查权。这意味着,以托管和云计算业务为例,软件服务商的数据中心需要遵守MaRisk标准的访问权规定。
最重要的是,一方面,在外包合同终止时,外包服务商必须支持金融机构进行业务回转;另一方面,即使在破产或业务终止的情况下,外包数据也必须得到妥善保管和提供。
关于外包的再外包,即“分包商的分包”,这并不能免除原始外包服务商的报告义务。所有其他已承担的义务也必须转嫁给分包商,以防止这种合同结构导致责任的规避。由于报告制度的全面性,此类合同链条必须透明。在此过程中,风险监控不仅要评估服务质量,还要评估外包服务商提供的信息。对于金融集团,如果集团层面有统一的风险或外包管理,且风险在集团层面得到降低或转移,则可获得豁免。
非重要外包与其他外部采购的明确
2021年BaFin通函的银行监管解释进一步明确,某些通常不被归类为外包的活动,如支付交易数据的传输或市场信息服务的使用,属于“其他外部采购”(sonstiger Fremdbezug),不适用MaRisk的规定。BaFin在此提供了更清晰的界定,允许受监管的金融机构专注于“重要外包”。
然而,这并不意味着金融机构可以免除其责任,仍需以负责任的态度,在风险降低策略的指导下,审查这些外部采购服务及其合同基础。作为中国跨境服务提供者,理解并满足这些要求同样是提供优质服务的核心。
新软件组件引入中的外包判断
引入新的、特别是基于云的软件组件时,一个关键问题是:这是否构成外包?简短的回答是:视情况而定。
根据BaFin的明确,如果“其他外部采购的服务”不构成MaRisk AT 9意义上的外包,那么采购软件,即使是为机构需求定制的软件,也不构成外包。然而,这不适用于“用于识别、评估、管理、监控和沟通风险,或对于执行银行核心业务至关重要的软件”(BaFin通函解释)。这意味着,对于此类软件,即使其运营由外部第三方负责,仍应视为外包。
因此,像用作档案、文档/企业内容管理和工作流平台的软件,应被评估为重要外包。但是,对“银行核心业务”的关注也澄清了,那些对于银行业务或风险管理而言非必要或不重要的软件组件,不属于严格的外包管理规定范畴。
以远程签名为例的外包管理思考
在金融和保险领域,签署合同是一项典型业务。与许多其他行业不同,尽管通常没有书面形式要求,但这些合同通常以书面形式签订。如今,监管机构还要求以数字签名方式提交报告。使用基于云的远程签名是一种便捷的方式。
远程签名的工作原理是:通过浏览器将文档上传到签名解决方案中,确定签名位置,然后将文档传输到签名服务器。服务器生成哈希值并发送给认证的信任服务提供商(如d.trust)。成功认证后,生成签名证书并与文档关联。签名后的文档随后可供下载——整个过程自动化,仅需几秒钟。
在金融行业,签署文件属于核心业务,并且使用了云解决方案。那么,这是否构成外包?使用远程签名是否被视为外包?
因此,需要检查这是否属于“机构典型”的活动。例如,信贷市场后续活动中的分析活动就可能属于此类。然而,签署文件是一项普遍活动,并非金融机构独有,因此使用远程签名通常不应被视为重要外包。尽管如此,金融机构仍应重视其签署文件的安全性,谨慎选择合作伙伴,并仔细审查数据保护问题,例如加密或修改权限。
2025年最新动态:DORA法规与EBA新指南的影响
显而易见,BaFin的监管规定越来越与欧洲银行管理局(EBA)的指南保持一致。可以预见,在下一次MaRisk修订中,EBA指南的要求将被采纳并进行调整。这将促使与欧洲法规更紧密的统一,显著扩大目前“外包”的定义范围。
Deggendorfer 笔记 2025/06 | 2025年7月
2025年起适用哪些规定?
MaRisk,特别是AT 9部分,以及《德国银行法》第25b条,仍是金融机构外包管理的核心法律基础。然而,随着数字操作韧性法案(DORA)于2025年1月17日生效,以及EBA新的第三方风险管理(TPRM)指南的出台,现有框架得到了显著扩展,部分内容也进行了重新定义。
DORA主要适用于所有与信息通信技术(ICT)相关的外包(例如云服务、软件、基础设施),而EBA指南则作为补充,适用于非ICT服务(例如咨询、ESG审查、设施管理)。这两个法规都对外包的治理、风险监控、文档记录和登记管理提出了新要求。原有的国家法规将被这些欧洲规定所取代,DORA在许多情况下享有优先权。
结合外包管理,金融机构可以参考2021年MaRisk修订版,该版本已将重点放在这些规定(AT 9)上。总结而言,到2025年,金融机构还必须:
- 建立符合DORA的流程体系。
- 充分考虑环境、社会和治理(ESG)风险。
- 对信息通信技术(ICT)服务进行差异化评估。
- 定期更新合同和组织管理要求。
商机风险矩阵
| 政策类型 | 解析方向 | 量化要求 |
|---|---|---|
| 限制类 | ➔ 替代市场+成本对比 | 欧洲金融服务商的合规成本可能增加10-20%,并可能转嫁给中国跨境企业;数据本地化要求可能使中国企业在选择欧洲云服务时,托管成本比全球其他选项增加5-15%。 |
| 激励类 | ➔ 准入条件+红利窗口期 | 选择高合规服务商可使中国跨境企业服务中断风险降低20-30%;更高的数据保护水平可使中国企业在重视隐私的市场获得5-10%的客户信任度提升。红利窗口期为持续的信任与效率提升。 |
政策四维解析
| 政策名称 | 生效日期 | 适用对象 | 缓冲期 |
|---|---|---|---|
| MaRisk AT 9(2021年第六次修订版) | 2021年 | 德国金融机构及其服务供应商 | 立即执行 |
| DORA法规(数字操作韧性法案) | 2025年1月17日 | 欧盟金融实体及其关键第三方ICT服务供应商 | 立即执行 |
| EBA 第三方风险管理指南 (EBA/GL/2019/02) | 2019年9月30日(新协议);2021年1月1日(现有协议) | 欧盟金融机构及其外包服务供应商 | 持续适用 |
结语:外包管理,效率与安全的共赢机遇
当然,责任无法外包。服务商必须清楚其处理的数据存放于何处,以及如何进行访问。随着某些规定被提升到规范性行政法规的层面,托管和云服务提供商也必须积极应对这些议题并满足相关要求。这可能使金融业的系统托管和云业务变得更加简化,尽管监控和报告义务并未因此减少。
通过加强报告义务和强制性的外包登记册,透明度将显著提高,整体监控也将更加便捷。风险管理部门也将从中受益,提升持续监控的效率。
因此,监管对外包的审查不应成为数字化转型的障碍,其带来的优势显而易见。对于中国跨境企业而言,与熟悉并能满足这些高标准合规要求的伙伴合作,如在金融行业深耕的d.velop,能够确保业务在欧洲市场的稳定与合规。
选择如d.velop提供的安全、高可用且易于操作的软件解决方案,例如基于云且可定制的文档管理系统、电子签名软件或专业的合同管理软件,将为您的跨境业务提供坚实保障。许多金融机构已经在使用d.velop签名产品,例如黑森州担保银行就是成功的范例。
新媒网(公号: 新媒网跨境发布),是一个专业的跨境电商、游戏、支付、贸易和广告社区平台,为百万跨境人传递最新的海外淘金精准资讯情报。
本文来源:新媒网 https://nmedialink.com/posts/eu-dora-2025-15-cost-hike-avoid-pits.html
