| 제1조(목적) |
|
본 가이드라인은 금융투자업자(이하 "회사"라 한다)가 영위하는 업무의 일부를 제3자에게 위탁함에 있어서 필요한 업무처리절차를 규정함에 그 목적이 있다.
| 제2조(용어의 정의) |
|
| ① | 이 가이드라인에서 사용하는 용어의 정의는 다음과 같다. |
| 1. | "제3자 리스크"란 회사와 업무위탁 계약관계에 있는 거래상대방의 리스크 발생으로부터 전이되는 리스크를 말한다. |
| 2. | "제3자 리스크관리 체계"란 효과적인 제3자 리스크관리 활동을 수행하기 위한 조직구조, 업무분장 및 점검·승인 절차, 의사소통 ,모니터링 ,정보시스템 등의 종합적 체계를 말한다. |
| 3. | "업무위탁"이란 회사가 인가 등을 받은 금융업을 영위하기 위하여 제3자의 용역 또는 시설 등을 계속적으로 활용하는 행위를 말한다. 다만, 금융업 영위와 직접적으로 관계되지 아니하는 시설관리 등 단순한 구매ㆍ용역 계약은 제외한다. |
| 4. | "이사회등"이란 이사회 및 이사회 내 리스크관리위원회(또는 이에 준하는 기구)를 말한다. 다만 이사회가 없는 경우 이사회에 상응하는 내부의사결정기구로 갈음한다. |
| 5. | "경영진"이란 그 명칭과 상관없이 회사의 제3자 리스크관리에 관하여 중요한 의사결정을 수행하거나 제3자 리스크관리에 중요한 영향을 미치는 업무를 수행하는 자를 말한다. |
| 제3조(적용범위) |
|
본 가이드라인은 투자매매업자, 투자중개업자 또는 집합투자업자인 회사 중 최근 사업연도말 기준으로 자산 5조원 또는 운용재산 20조원 이상인 회사에 대해 적용한다.
| 제4조(기본원칙) |
|
회사는 전사적인 리스크관리 프로세스와 통합된 제3자 리스크관리 체계를 구축, 시행 및 유지하여야 한다. 이때 회사의 규모, 복잡성 및 위탁계약의 특성 등을 감안하여야 한다.
| 제5조(이사회등의 역할과 책임) |
|
| ① | 이사회등은 업무위탁에 따른 제3자 리스크관리에 대한 최종책임을 진다. 다만, 효과적인 관리 ㆍ감독을 위해 경영진에 일부 권한을 위임할 수 있다. |
| ② | 이사회등은 업무위탁에 따른 리스크 편중(회사의 제3자에 대한 전반적인 의존도, 종속성 포함)에 유의하여 제3자 리스크관리 정책 수립 및 감독 관련 주요 사항을 심의·의결한다. |
| 제6조(경영진의 역할과 책임) |
|
| ① | 경영진은 이사회등이 수립한 제3자 리스크관리 정책이 효과적으로 이행될 수 있도록 제3자 리스크관리 체계를 구축ㆍ시행ㆍ유지할 책임이 있다. |
| ② | 경영진은 제3자 리스크관리 체계가 효과적으로 작동할 수 있도록 관리조치를 이행하며, 이행 결과를 이사회등에 보고한다. |
| 제7조(중점관리 위탁계약) |
|
| ① | 회사는 별표 1을 참고하여 전체 업무위탁 계약 중 리스크 수준 및 업무중요도를 고려하여 중점적으로 관리할 계약(이하 "중점관리 위탁계약")을 선정하여야 한다. |
| ② | 회사가 동일한 수탁자에게 중요도 높은 업무를 다수 위탁하는 경우 해당 수탁자와의 계약은 중점관리 위탁계약에 반드시 포함하여야 한다. |
| 제8조(업무연속성 계획) |
|
회사는 업무위탁 계약기간 중중대한 사고발생에 따른 손실을 줄이고 회사가 지속적으로 서비스를 제공할 능력이 있음을 확인하는 업무연속성 계획(BCP: Business Continuity Plan)을 마련하고 정기적으로 그 적정성을 점검하여야 한다.
| 제9조(기록관리) |
|
회사는 업무위탁 및 이로 인한 제3자 리스크관리 활동내역 관련 기록을 문서화(전자문서 포함)하여 보관 및 유지한다.
| 제10조(계약체결 전) |
|
회사는 별표 2를 참고하여 업무위탁 계약체결 전 거래상대방을 평가하여 이로 인한 리스크가 감내가능한 전사적 리스크 수준 이내가 되도록 하여야 하며, 필요한 경우 현장실사를 통해 수탁자의 서비스 제공 역량을 검증할 수 있다.
| 제11조(계약체결) |
|
회사는 별표 3을 참고하여 업무위탁계약 체결 시 서면 계약서에 수탁자의 업무수행 범위 및 수준, 보안요구사항, 위탁자의 감사권한 및 자료요구권한, 소비자보호 등 제3자 리스크관리에 필요한 내용들을 명확히 규정하여야 한다.
| 제12조(계약이행 모니터링) |
|
| ① | 회사는 업무위탁 계약기간 중 업무위탁계약의 제3자 리스크 수준을 주기적으로 모니터링 하여야 한다. |
| ② | 위탁부서의 장은 제3자 리스크관리 체계에 따라 제3자의 중대한 리스크 징후 등을 발견하는 경우 경영진에게 즉시 보고하고 조치하여야 한다. |
| ③ | 제7조제1항에 따라 선정된 중점관리 위탁계약에 대해서는 리스크평가 주기를 단축하여 모니터링하는 등 강화된 리스크관리를 수행하여야 한다. |
| 제13조(계약종료) |
|
| ① | 회사는 위탁계약 종료 전 대체서비스 제공자 확보, 정보보호 및 파기, 소비자 피해방지 등을 포함한 체계적인 계약종료 절차를 마련하여야 한다. |
| ② | 리스크가 발생할 수 있는 사항에 대하여는 위탁계약이 종료된 후에도 점검 및 관리하여야 한다. |
| 제14조(세부사항) |
|
본 가이드라인 시행에 필요한 세부사항은 회사가 별도로 정할 수 있다.
부칙
제1조(시행일)
본 가이드라인은 2026년 2월 18일부터 시행한다.