2022年3月、イングランド銀行のプルデンシャル規制局(PRA)が主導する形で、英国の金融機関に対する規制状況に極めて重要な変化が起きた。これは、SS2/21として知られる新しい監督声明という形で行われ、アウトソーシングと第三者リスクを管理するための包括的な枠組みを定めた。その制定は単なる規制調整ではなく、クラウド・コンピューティングを含むデジタル・テクノロジーへの依存度が高まる時代において、ビジネスの強靭性を強化するための将来を見据えたアプローチであった。このブログ記事では、SS2/21の複雑な詳細、その目的、規制対象企業に課される期待について掘り下げ、組織がコンプライアンスを確保しリスクを最小限に抑えるために、これらの要件をどのようにナビゲートできるかについての洞察を提供する。
SS2/21の目的を理解する
SS2/21の中核は、英国の銀行、投資会社、保険会社、海外の銀行や保険会社の英国支店の業務回復力を強化することである。この野心は、クラウドサービスやその他の最新技術の採用を奨励し、これらの進歩が金融サービスの完全性と信頼性を損なわないようにする一連の指令を通じて実現される。SS2/21は、PRA規則集やオペレーショナル・レジリエンスに関するSS1/21など、より広範な規制の枠組みと調和して運用され、アウトソーシングの取り決めに関する欧州銀行監督機構(EBA)のガイドラインも統合している。
SS2/21の特筆すべき点は、重要なアウトソーシング契約と、アウトソーシング以外の第三者契約との区別である。この区別は、必要な精査とデューデリジェンスのレベルを規定するものであり、規制当局のアプローチを各取決めのリスクプロファイルに合わせて調整するものであるため、極めて重要である。
SS2/21の重点分野
SS2/21は、規制対象企業が取り組むべきいくつかの重要分野の概要を示している:
- データ・セキュリティ:第三者が取り扱うデータの機密性、完全性、可用性を確保すること。
- アクセス、監査、情報の権利:コンプライアンスとセキュリティを確保するために、サードパーティのサービスをレビューし、監査する権利を確立する。
- サブアウトソーシング:第三者業者による更なるアウトソーシングに関連するリスクを管理する。
- 事業継続と撤退戦略:サードパーティ・サービスの中断に備え、その影響を軽減する。
コネクテッド・リスクを活用したサードパーティリスク管理
SS2/21の要求を満たすために、組織は強固な第三者リスク管理戦略を採用しなければならない。コネクテッド・リスクのサードパーティー・リスク・マネジメント・ソリューションは、PRAの期待に沿うように設計された一連のツールを提供し、この文脈において貴重な味方として浮上する。
重要性評価とデューデリジェンスコネクテッド・リスクでは、ベンダーの重要性評価(マテリアリティ・アセスメント)の徹底を支援する。これは、どのサードパーティが重要であり、より厳格な監視の対象となるかを特定するための重要なステップです。
コンプライアンスとリスク報告このソリューションは、リスクとコンプライアンスに関する広範なレポート機能を提供し、企業が規制の枠組みを遵守していることを証明したり、アウトソーシングやサードパーティとの契約に関連するリスクを特定・軽減したりすることを容易にします。
SS2/21の特定要件への対応Connected Riskのソリューションは、SS2/21で強調された特定の重点分野に取り組むように設計されている。これには、RFX管理、契約ライフサイクル管理、プライバシー影響評価、インシデント対応などのツールが含まれます。これらの各機能は、組織が第三者との関係に関連するリスクを効果的に管理できるようにする上で重要な役割を果たします。
結論
PRAによるSS2/21の発動は、進化するテクノロジーとアウトソーシング慣行に直面する金融セクターのレジリエンス強化に向けた重要な一歩である。この監督声明を遵守するためには、デューデリジェンス、継続的なモニタリング、効果的なガバナンスの重要性を強調し、サードパーティのリスク管理に対する包括的なアプローチが必要です。コネクテッド・リスクのようなソリューションは、これらの規制要件を満たすために必要なツールと機能を提供し、相互接続とデジタル化が進む金融業界において、企業が業務を保護し、信頼を維持するための道筋を提供します。
