2023 年 6 月 6 日,联邦储备系统理事会(理事会)、联邦存款保险公司(FDIC)和货币监理署(OCC)发布了关于管理与银行组织第三方关系相关的风险的统一指导。关于第三方关系的机构间指导:风险管理》以 OCC 2013 年指南和 2020 年常见问题解答为基础。该指南取代了各机构现有的第三方关系指南,适用于各机构监管的所有银行组织。
预计在 12 个月内全面合规,现在是受监管银行审查建议并确定其第三方风险管理计划如何受到影响的时候了。本文章将探讨《指导意见》的目标,并提供实现合规的最佳实践。
第三方关系机构间指南》的目标
机构间指南》的目标是使银行组织在制定和执行与第三方关系相关的风险管理原则时保持统一性和一致性。根据该文件,"最终指南提供了各机构对健全风险管理原则的看法,供银行组织在制定和实施第三方关系生命周期各阶段的风险管理实践时参考"。
机构间指南中的第三方定义和原则
指导意见》将第三方关系定义为 "银行组织与另一实体之间通过合同或其他方式达成的任何业务安排";描述了第三方风险管理的生命周期;并确定了适用于第三方生命周期各阶段的原则,如下所示:
资料来源来源:存保委、联邦存款保险公司和 OCC
如何遵守《第三方关系机构间指南
第三方关系机构间指南》中的六项原则分别对应第三方生命周期的一个阶段。以下是每个阶段的关键要求和推荐的最佳实践。
1.规划
在第三方关系的最初阶段,《指导意见》建议评估关系中风险的类型和性质,并制定管理关系及其相关风险的计划。作为建立或完善第三方风险管理计划过程的一部分,应考虑
- 管理保护系统和数据的政策、标准、系统和流程
- 所有相关团队成员的角色和职责(如 RACI
- 第三方清单,以了解第三方参与的规模和范围
- 第三方分类和归类方法
- 基于组织风险承受能力的风险评分和阈值
- 评估
基于第三方关键度的评估和监测方法 - 第四方和第 N 方参与提供关键服务
- 持续监控数据来源(网络、业务、声誉、财务)
- 衡量您的计划和第三方的关键绩效指标 (KPI) 和关键风险指标 (KRI)
- 合规和合同报告要求
- 事件响应流程
- 内部利益相关者报告--面向管理层和董事会
- 风险缓解和补救战略
这些项目中的每一项对于制定全面的 TPRM 计划都至关重要。
2.尽职调查和第三方选择
一旦确定了第三方,就必须在选择和签订合同之前进行彻底的尽职调查。第三方关系机构间指南》建议,尽职调查应包括评估第三方是否有能力按预期开展活动、遵守政策、遵守所有适用法律、法规和要求,以及以安全稳健的方式运营。
要在这一阶段取得成功,就必须通过捕捉、跟踪和量化固有风险,根据信息资产受到威胁的程度来评估和监控第三方。用于计算固有风险的标准包括
- 验证控件所需的内容类型
- 对业务绩效和运营的关键性
- 地点及相关法律或监管考虑因素
- 对第四方的依赖程度(避免集中风险)
- 接触过业务流程或面向客户的流程
- 与受保护数据的交互
- 财务状况和健康
- 声誉
通过这种固有的风险评估,您的团队可以自动对第三方进行分级;设定适当的进一步尽职调查级别;并确定持续评估的范围。
3.合同谈判
指导意见》建议定期审查现有合同,特别是那些涉及关键活动的合同,以确保它们继续解决相关的风险控制和法律保护问题。
满足这一要求意味着集中分发、讨论、保留和审查第三方合同,以便所有适用团队都能参与合同审查,确保包含和管理适当的条款。
在管理第三方合同时需要考虑的主要做法包括
- 合同集中存储
- 跟踪所有合同和合同属性,如类型、关键日期、价值、提醒事项和状态,并提供基于角色的定制视图
- 工作流程功能(基于用户或合同类型),实现合同管理生命周期自动化
- 自动提醒和逾期通知,以简化合同审查
- 集中合同讨论和意见跟踪
- 合同和文件存储,具有基于角色的权限,并对所有访问进行审计跟踪
- 支持离线合同和文件编辑的版本控制跟踪
- 基于角色的权限,可分配职责、访问合同和读/写/修改访问权限
确保健全的合同生命周期管理将使组织能够有效地:
- 管理协议和绩效
- 执行信息保留、审计权条款和补救措施
- 获取合规报告
- 要求业务复原力和连续性
- 提高分包和国外第三方的能见度
4.持续监测
成功的第三方风险管理计划包括根据行业标准框架进行基于内部控制的定期评估,以及持续监控,以确认第三方控制的质量和可持续性。
为此,通过监控互联网和暗网的网络威胁和漏洞,以及声誉、制裁和财务信息的公共和私人来源,持续跟踪和分析第三方面临的外部威胁。
监测来源应包括
- 犯罪论坛;成千上万的洋葱页面;暗网特殊访问论坛;威胁源;以及用于粘贴泄漏凭证的网站--还有一些安全社区、代码库和漏洞数据库
- 公开和非公开的声誉信息来源,包括并购活动、商业新闻、负面新闻、运营更新等
- 财务业绩,包括营业额、损益、股东资金等。
- 声誉、监管和制裁来源,包括政治公众人物简介、全球制裁名单以及监管和法律信息
将所有监控数据与评估结果关联起来,并集中到每个第三方的统一风险登记册中,从而简化风险审查、报告和应对措施。
5.终止
组织可能面临合同后风险,但研究表明,很少有组织在关系结束时进行风险管理。机构间指导意见》指出,管理层必须以有效的方式终止第三方关系,无论这些活动是过渡到另一个第三方、转入内部还是终止。
为简化供应商离职流程,可自动进行合同评估和离职程序,以降低企业的合同后风险:
- 安排审查合同的任务,确保履行所有义务。发布可定制的合同评估,以评估状态。
- 利用可定制的调查和工作流程,报告系统访问、数据销毁、访问管理、遵守所有相关法律、最终付款等情况。
- 集中存储和管理文件与认证,如 NDA、SLA、SOW 和合同。利用基于 AWS 自然语言处理和机器学习分析的内置自动文档分析功能,确认关键标准已得到满足。
- 通过内置的补救建议和指导,采取可行措施降低第三方风险。
- 通过将评估结果自动映射到任何法规或框架,可视化并满足合规要求。
简化第三方关系机构间指南的合规程序
如果依靠电子表格来收集、分析、补救和报告网络安全控制措施,几乎不可能有效满足《指导意见》中的要求。有了Prevalent 第三方风险管理平台,您的金融服务机构就能实现自动化,加快合规计划的实施。该平台使您能够
- 以成熟的金融业最佳实践为基础,建立全面、灵活、成熟的第三方风险管理计划
- 根据关键第三方对组织的重要性,自动识别和评估关键第三方
- 评估并持续监控第三方的多种风险
- 向第三方提供自动修复建议,以降低残余风险
- 根据合同规定的关键绩效指标(KPI)和关键风险指标(KRI)进行衡量
- 简化对多个内部和外部利益相关者的监管和安全框架审计报告
- 提供规范性业务连续性和事件响应计划,确保第三方制定政策和程序,以应对新出现的风险
- 通过规范性流程安全脱离第三方,确保组织不会面临持续的残余风险
要了解有关遵守《第三方关系机构间指南》的更多信息,请下载我们的最佳实践指南或联系我们安排演示。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
