COVID-19 전염병과 그 여파 가운데, 금융 회사는 규정 준수 기능의 일부를 아웃소싱 고려하는 것이 현명 할 것인가?
톰슨 로이터 규제 인텔리전스의 2019 년 규정 준수 보고서에따르면 약 28 개의 금융 회사가 규정 준수 기능의 일부 또는 전부를 아웃소싱합니다.
규제 당국은 COVID-19의 영향을 완화하기 위해 금융 회사에 상당한 관용과 규제 구제를 확장했지만, 관용은 준수하지 않으며, 규정 준수 위반에 미래의 눈을 돌리는 것을 의미하지 않습니다. 1년 전 아일랜드 중앙은행 의 더빌 롤랜드(Derville Rowland) 사무총장이 “무뚝뚝하게 말하자면, 우리는 광범위한 차원에서 상당한 위험 관리 결함을 발견했습니다. 더 광범위하게, 우리는 아웃소싱 조치, 거버넌스 및 위험 관리 표준에 관해서 는 그들이 있어야 할 곳이 아니라는 결론을 내렸습니다.”
성공적인 아웃소싱의 황금률은 활동을 다른 그룹, 회사 또는 제3자로 이동할 수 있지만 이러한 활동을 관리하는 기술은 사내에서 유지되어야 한다는 것입니다. 실제로 금융 회사는 전략적 생존 가능성과 모든 아웃소싱과 관련된 위험을 긴급한 문제로 고려하는 것이 좋습니다. 전략적 검토를 위해 고려해야 할 요소는 다음과 같습니다.
- 모든 아웃소싱 계약은 아웃소싱 계약의 모든 측면을 명시하는 상세한 서면 계약과 함께 아웃소싱 (그룹 회사인 경우에도)에 대한 선행 실사를 가지고 있어야합니다. 무엇보다도 상세한 서면 합의는 아웃소싱 협정을 종료하는 데 관련된 실질적인 조치를 다루어야 합니다.
- 아웃소싱 회사의 지속적인 복원력도 고려해야 합니다. 대부분의 기업은 아웃소싱 업체와의 관계가 시작될 때 포괄적인 실사를 수행하지만, 아웃소싱업체가 효과적인 지 확인하기 위해 지속적인 검사를 수행하는 것은 일반적이지 않습니다. 모든 기업은 아웃소싱 계약의 복원력을 추적할 뿐만 아니라 아웃소싱 제공업체의 실패에 대처하기 위한 계획을 문서화하기 위한 포괄적이고 테스트된 비상 계획을 수립해야 합니다.
- 현재 상황에서는 기업이 오프사이트 아웃소싱 위치에 물리적으로 액세스할 수 있는 능력이 있을 가능성은 거의 없습니다. 더 정상적인 시간에 모든 주요 또는 재료 아웃소싱업체를 위해 적어도 연간 현장 방문을 수행하여 정보 흐름의 수준, 일정 및 품질을 평가하기 위해 모든 노력을 기울여야 합니다. 기업은 물리적 액세스 부족에 대한 가능한 모든 완화제를 고려, 조치 및 문서화할 수 있도록 노력해야 합니다. 발생하는 모든 과도한 위험은 지속적인 전략적 생존 가능성에 대한 전반적인 평가의 일부로 간주되어야 합니다.
- 많은 기업들이 여러 위치와 여러 관할권에서 데이터를 처리합니다. 물론 기업은 어디에 어떤 기준으로 보유되는지에 대한 강력한 중앙 기록을 가져야 합니다. 이는 데이터 보호 요구 사항을 준수하는 문제일 뿐만 아니라 접근성 및 필요한 경우 검색에 대한 문제이기도 합니다. 신속하고 포괄적인 데이터 송환이 필요한 경우, 회사가 어떤 조건에 따라 어디에 보유하고 있는지 정확히 알 수 있는 필수 전제 조건입니다. 다시 말하지만, 기업은 모든 데이터 처리 및 기타 조치를 검토하고 문서화하고 가능한 위험 허용 오차 내에서 계속 실행 가능한 상태를 유지할지 여부를 결정해야 합니다.
- 기업의 주요 고려 사항은 회사의 데이터 또는 활동이 아웃소싱되기 전에 통보할 권리(아웃소싱 계약에 명시되어야 하는 경우)를 보유했는지 확인하는 것입니다. 너무 많은 기업들이 자신의 데이터가 원래 의 아웃소싱 업체에서 수많은 다른 단체에 전달되어 손실, 전염병, 평판 및 집중 위험을 증가시키는 것으로 나타났습니다.
- 불확실성과 예상치 못한 일이 일어날 가능성이 높아지는 것을 이용하려는 사람들이 있을 수밖에 없습니다. 기업은 이미 사이버 위험 사고가 증가하고 있다는 것을 알고 있어야합니다. 아웃소싱 조치에 대한 검토의 일환으로 아웃소싱 공급자의 사이버 복원력에 대한 고려 사항을 고려해야 합니다. 기업은 취한 접근 방식을 평가할 위험을 감수할 수 있으며 아웃소싱 업체가 원격, 연결되지 않은 백업 또는 저장 시설에서 회사 기밀, 민감한 클라이언트 또는 기타 중요한 파일을 정기적으로 안전하게 백업하도록 함으로써 사이버 공격의 일반적인 예방을 강화할 수 있습니다.
- COVID-19에 대한 대응의 일환으로 많은 기업들이 이미 비즈니스 연속성과 재해 복구 계획을 검토할 것입니다. 그 검토의 일환으로 모든 아웃소싱 배열의 고려는 주요 기능이어야하고 “살아있는 의지”를 만드는 데 필요한 회사에 특히 관련이있었을 것이다. 비즈니스 연속성 또는 재해 복구를 위한 아웃소싱 조치에 의존하는 데 내재된 비상 사태와 위험은 아웃소싱에 대한 전반적인 전략적 생존 가능성에 포함되어야 합니다.
- 기업의 거의 절반이 아웃소싱 의 드라이버로 사내 규정 준수 기술의 부족을보고, 기업은 아웃소싱 활동을 감독 할 수있는 능력을 검토해야한다, 특히 잠재적으로 많은 직원의 수의 가성이나 그렇지 않으면 일을 할 수없는 경우. 문서화된 비상 계획을 필요에 따라 숙련된 사내 자원을 재배치하고 가능한 한 빨리 채워진 기술 격차를 배치해야 합니다.
아웃소싱 계약의 지속적인 전략적 생존 가능성을 결정하는 많은 요인이 있으며 기업은 어떤 평가를 구체적으로 문서화해야합니다. 그것은 항상 판단 전화가 될 것입니다,하지만 기업은 그들이 현재 상황에서 자신의 모든 아웃소싱 조치의 적절한 견고성, 감독을 계속할 수 있는지 여부를 신중하게 고려해야합니다.
일부 기업의 경우( 종종 해외) 아웃소싱 계약을 관리하는 데 필요한 제어 인프라를 단축하고 단순화하여 사내에서 활동을 되돌리는 위험을 감수하는 결정일 수 있습니다.