2023年4月,加拿大政府金融机构监管办公室(OSFI)正式颁布《第三方风险管理指引B-10》,该指引旨在规避与供应商及供货商合作关系相关的运营风险与财务风险。
指引B-10规定了受联邦监管的金融机构(FRFI)在管理第三方安排相关风险方面的预期要求。该指引指出:
加拿大金融监管机构(OSFI)要求金融机构(FRFI)管理所有第三方安排相关的风险,并强调金融机构对外包给第三方的业务活动、职能及服务仍需承担责任。
为此,联邦注册金融机构须应要求向加拿大金融监管机构提供与其第三方业务及战略安排、风险管理及控制环境相关的信息,以支持监管机构的监测与审查工作。若因第三方安排导致该金融机构无法履行关键业务职能,监管机构要求其及时通报相关实质性问题。
该指南还扩大了第三方定义的范围,将独立专业人士、经纪人和公用事业公司等更多实体纳入其中,并建议在风险评估中涵盖所有类型的第三方。
这些新要求的驱动因素是从重要性到关键性的转变--当第三方履行的职能与 FRFI 提供的重要业务、职能或服务密不可分时,需要采取双管齐下的方法,即风险和关键性决定尽职调查活动的性质和范围。
为此,该指引同时指出,机构必须识别每项第三方安排(包括分包安排)所产生的风险类型及风险等级,以便金融机构能够以适当的强度管理每项第三方安排。这需要理解每项第三方安排的风险与关键性,以及金融机构的规模、性质、业务范围、运营复杂度和风险状况。
加拿大金融监管机构(OSFI)进一步承认,在某些情况下,通过合同条款管理第三方风险的机会可能有限。尽管如此,OSFI仍期望金融零售机构(FRFI)通过监控、业务连续性措施、应急计划及其他韧性机制,在适当情况下管理风险。
本文探讨了加拿大金融监管机构(OSFI)B10指南中的第三方风险管理要求,并指出了主流第三方风险管理平台具备满足这些要求的能力。
六项预期成果
准则B-10提出了金融机构(FRFI)通过有效实施第三方风险管理应达成的六项预期成果。这些成果旨在增强金融机构的运营与财务韧性,并助力维护其声誉。
金融机构通过管理第三方风险应实现的六项预期成果。图表改编自加拿大金融监管机构《B-10号指引》。
将普遍能力映射至加拿大金融监管机构B-10准则原则
为实现上述六项预期成果,加拿大金融监管机构(OSFI)提出了11项原则,将其定义为第三方风险管理的最佳实践。下文摘要将主流第三方风险管理平台的功能与这11项原则进行对照映射。
注:本文不应被视为全面、权威的指导。完整要求清单请咨询您的审计师。
成果 1:治理和问责结构明确,全面的风险战略和框架到位。
原则一与原则二:Prevalent将 与您携手,基于成熟的最佳实践和丰富的实战经验,构建全面的第三方风险管理(TPRM)体系。我们的专家团队将协同贵方团队:共同制定并实施TPRM流程与解决方案;筛选风险评估问卷及框架;优化管理体系以覆盖第三方风险全生命周期——从供应商遴选与尽职调查,到合作终止与退出管理。
成果 2:确定并评估第三方带来的风险。
原则三:Prevalent首先通过集中化与自动化处理招标书(RFP)和信息征询书(RFI)的分发、比对与管理。我们的解决方案同时提供商业风险、声誉风险、财务风险及数据泄露风险洞察,为供应商选择决策提供依据并增添决策背景。随后,Prevalent将每家入选供应商推进至合同签订和/或入职尽职调查阶段,自动引导供应商完成第三方生命周期管理。
原则四:接下来, Prevalent提供基于八项标准的合同前尽职调查评估,通过清晰的评分体系捕捉、追踪并量化所有第三方供应商的固有风险。基于此固有风险评估,您的团队可自动对供应商进行分级;设定适当的后续尽职调查层级;并确定持续评估的范围。基于规则的分级逻辑通过综合考量数据交互、财务状况、合规监管及声誉表现等多维度因素,实现供应商的精准分类。
Prevalent平台拥有超过750个预构建模板库,用于持续开展第三方风险评估。这些模板与原生网络安全、业务、声誉及财务风险监控能力深度集成,可实时验证评估结果并填补评估间隙。内置的整改建议机制确保第三方能及时有效地解决风险隐患。
原则5:作为固有风险评估和供应商入驻流程的一部分,Prevalent可通过问卷评估或被动扫描第三方公开基础设施,识别第四方及第N方分包关系。由此生成的关系图谱将揭示可能使您的环境面临风险的信息路径与依赖关系。 通过此流程发现的供应商将接受持续监控,以识别财务、ESG、网络安全、业务运营及数据泄露风险,同时进行制裁对象/政治敏感人物筛查。该方法可提供洞察力,用于应对潜在的技术或地域集中风险。
成果 3:在 FRFI 风险承受能力框架内管理和降低第三方带来的风险。
原则六:
Prevalent集中管理供应商合同的分发、讨论、存档与审核,这些合同明确了各方的权利与责任。该平台还提供工作流功能,可自动化处理从签约到终止的整个合同生命周期。
原则7:此外, Prevalent提供了一个集中化的协作平台,用于开展隐私评估并缓解第三方和内部隐私风险,以确保采取适当措施保护记录和数据的机密性、完整性和可用性。
原则8:Prevalent通过 收集供应商风险信息、量化风险、提出整改建议并生成报告,自动执行第三方风险管理合规审计,覆盖数十项政府法规和行业框架。 Prevalent将基于控制的评估所收集的信息自动映射至ISO 27001、NIST、GDPR、CoBiT 5、SSAE 18、SIG、SIG Lite、SOX、NYDFS等监管框架,助您快速可视化并解决关键合规要求。
原则9:Prevalent自动 执行第三方业务韧性与连续性的评估、持续监控、分析及修复工作
——同时自动将结果映射至NIST、ISO等控制框架,确保第三方能在运营中断期间维持业务运行,并已启动业务连续性与灾难恢复计划。
成果 4:第三方绩效得到监测和评估,风险和事件得到积极应对。
原则10:Prevalent 持续追踪并分析第三方面临的外部威胁。该解决方案通过监控互联网及暗网中的网络威胁与漏洞,同时整合公共及私有渠道的声誉、制裁和财务信息,实现全面防护。所有监测数据均与评估结果关联,并集中存储于供应商统一风险登记册中,从而优化风险审查、报告及响应流程。
原则11:Prevalent通过 集中管理供应商、开展事件评估、对识别风险进行评分以及获取补救指导,使您的团队能够快速识别并减轻可能影响运营和财务韧性的第三方供应商事件的影响。
成果5:金融零售机构的第三方风险管理计划使其能够持续识别并管理各类第三方关系。
正如原则1所述,Prevalent将与您携手合作,基于成熟的最佳实践和丰富的实际经验,共同构建全面的第三方风险管理(TPRM)体系。
我们的专家将与您的团队协作,共同制定并实施第三方风险管理流程与解决方案;筛选风险评估问卷及框架;优化您的项目方案,全面覆盖第三方风险管理全生命周期——从供应商遴选与尽职调查,到终止合作与退出管理。
成果 6:第三方开展的技术和网络业务透明、可靠和安全。
Prevalent平台包含庞大的标准化评估库(涵盖NIST和ISO最佳实践框架相关评估),并具备灵活的定制化能力,可对第三方进行评估。对于提交SOC 2报告而非完整第三方风险评估的第三方,Prevalent支持您将SOC 2报告中识别出的控制缺口进行映射,在中央评估平台针对该第三方创建风险项,并同步追踪与报告缺陷及其他风险状况。
无论网络安全框架如何,Prevalent 都能帮助您缩短评估时间并降低风险。
加拿大金融监管机构B10指引第三方风险管理合规的后续步骤
Prevalent可协助组织实现第三方业务与财务韧性的自动化评估及持续监控,以支持合规要求并符合加拿大金融监管机构(OSFI)B-10号指引。
若需了解Prevalent如何协助满足加拿大金融监管机构(OSFI)《B-10指引》所列要求,请立即下载完整版合规检查清单或申请产品演示。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
