近年金融機構積極導入雲端運算、雲端儲存等新興技術，以提升數位轉型及金融服務的敏捷彈性，運用範圍逐漸多樣化。為利金融機構對委外作業建構完整風險管理框架，併檢討相關申請程序及申報作業，金融監督管理委員會(下稱金管會)參考國際作法及業者意見，採用風險基礎方法(Risk-Based Approach, RBA)修正「金融機構作業委託他人處理內部作業制度及程序辦法」(下稱委外辦法，如附件1)。
　　　委外辦法已完成法規預告程序，將於近期發布。本次計修正19條、刪除2條，重點如下： 
一、明定以風險為基礎之作業委外管理架構：
(一)    明定金融機構對於作業委外負最終責任、並依重大性及風險基礎方法(RBA)管理委外風險、就作業委外建立妥適之政策及原則，強化委外前、中、後階段之風險控管機制，以作為金融機構辦理所有作業委外事項之控管基礎。(修正條文第4條、第8條)
(二)    修正條文第4條第3項明訂「金融機構對於作業委外負最終責任，應就委外事項之風險程度、重大性及對營運及客戶權益影響進行評估，依風險基礎方法採取適當之管理措施」。對中小型且業務單純的金融機構，得依風險基礎方法就其本身之委外風險程度採取適當之管控措施，故本次修正已考量依金融機構業務規模及屬性給予法規遵循彈性。
二、簡化委外申請流程及文件：
(一)    第3條第1項明定金融機構得委外辦理之事項範圍，非屬該項委外範圍者，如已有金融機構申請經主管機關核定者，其他金融機構得逕依委外內部作業規範辦理。(修正條文第5條)
(二)    刪除信用卡發卡業務及車輛貸款以外之消費性貸款之行銷之委外作業、應收債權催收作業之委外應報經主管機關核准之規定。(修正條文第11條、第12條)
三、調整跨境委外及雲端委外作業應向主管機關申請之範圍，並明定強化規範：
(一)    衡酌對金融機構營運及客戶權益保護之影響性，應向主管機關申請核准之作業委外範圍修正為「重大性消費金融業務資訊系統委託至境外處理」，並簡化及整合現行跨境委外及雲端委外之申請書件。(修正條文第18條)
(二)    對於金融機構將作業委託至境外處理及涉及使用雲端服務，分別明定相關強化規範。(修正條文第17條、第19條)
金管會提醒，金融機構之業務係經主管機關核准辦理，經營業務之部分作業雖委外辦理，惟金融機構仍負擔最終之責任，故資安之防護、客戶資料之維護仍應依照相關之規定辦理，例如委外作業如涉及客戶資料處理，應依委外辦法規定於契約訂定告知客戶之條款，如未定有告知條款者，金融機構應書面通知客戶委外事項，並應依個人資料保護法規定及相關規範落實控管程序。
為落實良好法制作業，確保法規透明、一致及可預測性，金管會在委外辦法之修正過程中，已參酌國際監理規範，並衡酌我國之特性，適度與國際接軌。且於草案預告後召開公聽會就草案內容逐點檢視，充分討論，廣納各界意見，茲整理外界重要關注意見及回應如附件2。考量金融業委外之第三方風險控管係各國重視之監理議題，金管會將持續關注實務執行情形及國際發展，滾動檢討相關規範。
    檢附「金融機構作業委託他人處理內部作業制度及程序辦法」修正總說明、修正條文對照表(附件1)以及外界重要關注意見與金管會回應(附件2)。

聯絡單位：銀行局外國銀行組
聯絡電話：(02)8968-9793 
如有任何疑問，請來信：本會民意信箱