[회사법무 스타트업] 금융 클라우드컴퓨팅서비스 시에 주요국 금융권 지침 내 업무 중요도 평가 관련

1. (EU-EBA) 클라우드 아웃소싱 관련 권고 - 4.1 중요도 평가

1) 금융회사(위탁 기관)는 업무 위탁 전 대상 업무를 평가하여 중요 업무를 선별해야 한다. 금융회사는 CEBS 지침의 가이드라인 1 (f)에 근거하여 업무의 중요성 평가를 수행해야하며 특히 클라우드서비스 제공 업체에 대한 위탁과 관련하여 다음 사항을 모두 고려해야한다.

(a) 위탁하는 업무의 중요성 및 내재한 위험 프로파일(즉, 금융회사의 비즈니스 연속성과 고객에 대한 의무에 있어 중요한/결정적인 업무)

(b) 중단으로 인한 직접적인 운영 영향 및 법적 위험과 평판 위험

(c) 업무 방해가 금융회사의 수익에 미칠 수 있는 영향

(d) 기밀성 훼손 또는 데이터 무결성 위배가 금융회사 및 고객에게 미칠 수 있는 잠재적 영향

2. (미국-FFIEC) 아웃소싱 클라우드 컴퓨팅 – 2. 상당한 주의(Due Diligence) 中

금융 기관이 전략 계획을 달성하기 위해 제3자를 사용한다고 해서 제3자 활동이 안전하고 건전한 방식으로, 그리고 관련 법률 및 규정을 준수하여 수행되는지 확인하는 이사회 및 경영진의 책임이 줄어들지 않는다. 클라우드서비스 공급자에게 아웃소싱 하는 것은 비용 절감, 유연성, 확장성, 향상된 부하 균형 조정 및 속도와 같은 잠재적인 이점때문에 금융 기관에 유리할 수 있다. 중요한 기능의 위탁을 승인하기 전에, 이러한 조치가 이사회 및 고위 경영진이 승인한 해당 기관의 전략 계획 및 회사 목표와 일치하는지 확인하는 것이 중요하다.

3. (영국-FCA) 클라우드 및 제3자 아웃소싱 관련 지침 – 3.6

(3.6) 다른 유형의 기업은 다른 요구사항을 적용해야 하며, 이는 위탁하는 기능의 유형에 따라 결정될 수 있다. 위탁하는 기능이 심각한(critical or important) 것인지, 중요 위탁(material outsourcing)에 해당하는지 여부가 특히 관련이 있으며, 공인 지불 기관 및 공인 전자 화폐 기관의 경우 기관이 중요 운영 기능 (important operational functions)과 관련이 있는지 여부가 특히 관련 있다. 이러한 용어는 위탁과 관련된 용어이며 다음과 같은 핸드북 또는 규정에 정의되어 있다.

∙ Critical or important - 업무 수행상의 결함이나 실패로 인해 공식 인가, 규제 시스템에 따른 기타 의무, 재무 실적에 관한 기업의 조건 및 의무 또는 관련 서비스 및 업무의 건전성 연속성에 큰 영향을 미치는 경우 해당 기능은 중대하거나 중요하다고 간주한다(고위 관리자 배치 및 시스템 통제 Senior Management Arrangements, Systems and Controls (SYSC 8.1.4R). MiFID 조직 규정의 제30조에 비슷한 정의가 있다.

∙ Material outsourcing - FCA 안내서에 정의된 바와 같이 서비스의 취약점 또는 실패 시 기업이 임계 조건을 만족할 수 없거나 기업 원칙을 준수할 수 없을 정도로 중요한 위탁 서비스를 말한다.

∙ 중요 운영 기능(Important operational functions) - 2011년 전자 화폐 규칙(Electronic Money Regulations 2011) 및 2017년 지불 서비스 규정(Payment Services Regulations 2017)에 따라, 업무수행상의 결함이나 실패로 인해 다음 사항에 심각한 영향을 미친다면 해당 기능이 중요하다고 여겨진다.

(a) 공인 기관의 규정 및 공식 허가 요구사항에 대한 컴플라이언스

(b) 공인 기관의 재무 실적

(c) 공인 기관의 건전성 또는 연속성

우리는 위탁 관련 규정을 해석하고 적용하는 접근 방식을 설명하는 자료를 발표했다.

4. (싱가포르-MAS) 아웃소싱 가이드라인 – 부칙2 중요 아웃소싱

1. 기관은 아웃소싱 계약의 중요성을 평가해야 한다. MAS에서는 중요성을 평가할 때 정성적인 판단이 개입되며 각각의 기관에서 직면하는 상황이 서로 크게 다를 수 있다는 점을 인지하고 있다. 기관에서 고려해야 하는 요인을 예로 들면 다음과 같다.

(a) 아웃소싱 할 비즈니스 업무 활동의 중요도(예: 수익 및 이윤에 대한 기여도 관련)

(b) 소득, 지급능력, 유동성, 펀딩 및 자본과 리스크 프로필 등에 아웃소싱이 미칠 수 있는 잠재적인 영향력

(c) 서비스 제공업체가 서비스를 이행하지 못하거나 기밀성 또는 보안 침해 문제가 발생하는 경우 기관의 평판 및 브랜드 가치, 기관이 비즈니스 목표, 전략과 계획을 달성할 능력 등에 미치는 영향(예: 고객 정보 누출)

(d) 서비스 제공업체가 서비스를 이행하지 못하거나 기밀성 또는 보안 침해가 발생하는 경우 기관의 고객에게 미치는 영향

(e) 서비스 제공업체가 서비스를 이행하지 못하는 경우 기관의 계약 상대방 및 싱가포르 금융 시장에 미치는 영향

(f) 아웃소싱 비용이 기관의 운영 비용 총액에서 차지하는 비율

(g) 아웃소싱 실패 시 치러야 하는 비용. 이 경우 기관은 아웃소싱 된 업무 활동을 사내로 들여오거나 다른 서비스 제공업체로부터 유사한 서비스를 알아보아야 하며, 이 비용은 기관의 운영 비용 총액의 일부분을 차지한다.

(h) 기관이 여러 업무를 같은 서비스 제공업체에 아웃소싱 하는 경우 특정 서비스 제공업체에 대한 통합 노출 리스크

(i) 서비스 제공업체에 운영 문제가 생기는 경우 적절한 내부 통제 수단을 유지하고 규제 요구사항에 부합할 능력

2. 규정 준수, 사내 감사, 재무 회계 및 보험계리 등(인증 업무 활동을 수행하는 것 외) 리스크 관리 또는 내부 통제 업무 전량 또는 상당량을 아웃소싱 하는 경우 이는 중요 아웃소싱 계약으로 간주된다

정회목 변호사