欧洲银行管理局与第三方风险管理
欧洲银行管理局(EBA)是欧盟独立监管机构,负责确保欧洲银行业获得有效且一致的监管。2019年初,EBA发布了修订版《外包安排指引》,其中包含金融机构对外包安排治理及相关监管流程的具体规定。 该指引与《支付服务指令》(PSD2)、《金融工具市场指令》(MiFID II)及欧盟委员会授权条例(EU) 2017/565中的外包要求保持一致。
欧洲银行管理局(EBA)指南明确了信贷机构、支付机构和电子货币机构在将内部服务、活动或职能外包时应实施的内部治理安排。鉴于金融服务领域庞大的供应商生态系统,EBA专门用70页篇幅阐述了金融服务业外包管理规范。
欧洲银行管理局(EBA)的指导方针要求对服务提供商风险实施强有力的管理和追踪。该方针明确规定,应建立风险管理政策,包括基于内部控制的评估机制,并对第三方外包安排进行持续监控。该政策应通过金融机构与外包方签订的合同予以明确,同时需对整改措施和审计能力进行规范记录与报告。
这些要求代表了外包服务商组织内部实施的完整控制体系,其范围远超对对外基础设施进行简单自动化扫描的范畴。
满足欧洲银行管理局(EBA)交易对手风险管理(TPRM)指引
以下是Prevalent如何帮助您应对欧洲银行管理局第三方风险管理指南:
| 欧洲银行管理局指引 | 我们如何提供帮助 |
|---|---|
| Title II – Assessment of Outsourcing Arrangements 4 – Critical or important functions Paragraph 30“Particular attention should be given to the assessment of the criticality or importance of functions if the outsourcing concerns functions related to core business lines.” |
普瑞维尔评估解决方案使金融机构能够根据第三方对组织的重要性进行分类。通过一系列可定制的问卷,您可将评估要求与业务关系所呈现的风险等级相匹配。 |
| Title III – Governance Framework 5 – Sound governance arrangement and third-party risk Paragraph 32“Institutions and payment institutions should have a holistic institution-wide risk management framework to identify and manage all their risks, including risks caused by arrangements with third parties.” |
普瑞维尔提供业内唯一专为第三方风险管理打造的统一平台。我们的解决方案通过内向外流程自动化实现供应商风险评估,同时采用外向内方法进行主动持续监控,从而降低风险并满足合规要求。 |
| Title III – Governance Framework 5 – Sound governance arrangement and third-party risk Paragraph 33“Institutions and payment institutions should identify, assess, monitor and manage all risks resulting from arrangements with third parties to which they are or might be exposed.” |
Prevalent评估服务为安全、隐私及风险管理专业人士提供自动化平台,用于管理供应商风险评估流程,并判定供应商是否符合IT安全、法规及数据隐私要求。该平台采用标准与定制化问卷协助收集证据,提供双向整改工作流、实时报告及便捷操作的仪表盘以提升效率。通过清晰的报告与整改指引,平台确保风险被及时识别并上报至相应渠道。 |
| 第三章——治理框架 6——健全的治理安排与外包 第40(c)段在进行外包时,机构和支付机构至少应确保:
|
主流第三方风险管理平台提供完整的评估解决方案,包括问卷调查;整合并管理书面响应证据的环境;用于处理审查结果及整改事项的工作流;以及强大的报告功能,为各级管理层提供评估第三方绩效所需的信息。 |
| Title III – Governance Framework 10 – Internal audit function Paragraph 50“The internal audit function’s activities should cover, following a risk-based approach, the independent review of outsourced activities. The audit plan and programme should include, in particular, the outsourcing arrangements of critical or important functions.” |
主流第三方风险管理平台具备高效报告功能,既能满足审计与合规要求,亦可向董事会及高层管理人员呈现分析结果。集中式实时报告控制台可全面展示风险概况,用户可下载并导出报告以核查合规状态。深度报告功能包含筛选器及可点击交互式图表。该解决方案还整合了尽职调查过程中收集与审核的所有文件的完整存储库。 |
| Title III – Governance Framework 12.3 – Due Diligence Paragraphs 70 & 71“With regard to critical and important functions, institutions and payment institutions should ensure that the service provider has the business reputation to meet its obligations.Additional factors to be considered include its business model, nature, scale, complexity, financial situation, ownership and group structure.” |
Prevalent Cyber & Business Monitoring 服务提供快照和持续的供应商监控,以便立即通知高风险问题、确定优先级和提出补救建议。数据安全和业务风险监控使您能够超越战术性的供应商健康状况,从更具战略性的角度审视供应商的整体信息安全风险。
Prevalent 的独特之处在于,它提供业务风险监控,利用人工分析师解读潜在的运营、品牌、监管、法律和财务风险。 例如:
|
| Title III – Governance Framework 13.2 Security of data and systems Paragraph 82“Where relevant (e.g. in the context of cloud or other ICT outsourcing), institutions and payment institutions should define data and system security requirements within the outsourcing agreement and monitor compliance with these requirements on an ongoing basis.” |
主流第三方风险管理平台提供完整的评估解决方案,包括问卷调查;整合并管理书面响应证据的环境;用于处理审查结果及整改事项的工作流;以及强大的报告功能,为各级管理层提供评估第三方绩效所需的信息。 |
| 第三章——治理框架 13.3 获取、信息与审计权 第87条(b)款金融机构和支付机构应确保服务提供商向其授予:
|
普瑞维尔评估解决方案确保服务提供商严格执行经双方确认的具体要求,并通过定期跟踪与核验进行监管。强大的报告功能与完整的审计能力可高效推进绩效评估流程。平台通过标准的基于角色的访问控制(RBAC)功能,可将已完成的评估与审计报告访问权限委派给审计人员。 |
| 第三章——治理框架 13.3 访问权、知情权与审计权 第91段机构和支付机构可使用:
|
普瑞维尔的供应商证据共享网络是已完成且经过验证的供应商问卷及支持性证据的存储库,可消除从零开始收集数据所耗费的繁琐时间与资源。
Prevalent 提供横向与纵向双重网络架构,旨在加速社区内的评估与协作进程。 |
| Title III – Governance Framework 14 Oversight of outsourced functions Paragraph 100“Institutions and payment institutions should monitor, on an ongoing basis, the performance of the service providers. Where the risk, nature or scale of an outsourced function has materially changed, institutions and payment institutions should reassess the criticality or importance of that function.” |
该平台不仅能促进基于内部控制的自动化定期评估,还提供网络安全与业务监控功能——持续评估第三方网络,识别可能被网络犯罪分子利用的潜在弱点。Prevalent同时提供渗透测试即服务,帮助客户以更精细的粒度层级调查供应商的网络运营状况。
通过整合内部评估、外部网络监控和渗透测试,受监管实体能够全面掌握供应商风险状况,并获得清晰可行的整改指导以应对这些风险。 |
| 第三章——治理框架 14 外包职能的监督 第104段“Institutions and payment institutions should ensure that outsourcing arrangements meet appropriate performance and quality standards in line with their policies by:a. ensuring that they receive appropriate reports from service providers; b. 使用诸如关键绩效指标、关键控制指标、服务交付报告、自我认证和独立审查等工具评估服务提供商的绩效;以及 c. 审查从服务提供商处收到的所有其他相关信息,包括业务连续性措施及测试报告。 |
普瑞维尔评估服务可捕获并审核对话内容,将文件或证据与风险进行匹配。其视觉效果出众且逻辑连贯的仪表板清晰呈现任务概览、日程安排、风险活动、调查完成状态、协议内容及关联文件。 |
| Title III – Governance Framework 14 Oversight of outsourced functions Paragraph 105“If shortcomings are identified, institutions and payment institutions should take appropriate corrective or remedial actions.” |
该主流解决方案包含双向工作流和共享通信机制,用于追踪发现的问题并实施修复措施。 |
SP 800-53 r5 供应链风险管理 (SR) 控制
下表包括 SP 800-53 r5 供应链风险管理控制的摘录以及 Prevalent 平台如何满足这些要求。如需完整的映射,请下载完整的NIST 指南。
| SP 800-53 r5 供应链风险管理 (SR) 控制 | 我们如何提供帮助 |
|---|---|
| SR-1 政策和程序 | Prevalent 计划设计服务可确定并记录您的第三方风险管理计划。您将获得一份明确的计划,该计划既能满足您的特定需求,又能纳入端到端 TPRM 的最佳实践。 |
| SR-2 供应链风险管理计划 | Prevalent 计划优化服务可帮助您不断改进 Prevalent 平台部署,确保您的 TPRM 计划保持所需的灵活性和敏捷性,以满足不断变化的业务和监管要求。 |
| SR-3 供应链控制和流程 | Prevalent 计划设计服务可确定并记录您的第三方风险管理计划。您将获得一份明确的计划,该计划既能满足您的特定需求,又能纳入端到端 TPRM 的最佳实践。 |
| SR-5 采购战略、工具和方法 | Prevalent 帮助采购团队在供应商甄选过程中降低成本、简化流程并减少风险敞口。我们的 RFx 基本知识 该解决方案可对 RFP 和 RFI 进行集中分发、比对和管理。它还能帮助您抢占先机 潜在供应商风险 包括人口统计、第四方及ESG评分——此外还可选配业务、声誉和财务风险分析。因此,您能够迈出应对第三方生命周期中风险的重要第一步。
一旦完成供应商选择,PrevalentContract Essentials将集中分发、讨论、保留和审查供应商合同。它还包括工作流功能,可自动完成从入驻到离职的合同生命周期。有了 Contract Essentials,采购和法律团队就有了管理供应商合同、简化管理和审查、降低成本和风险的单一解决方案。 |
| SR-6 供应商评估和审查 | Prevalent 平台包含 600 多个标准化 风险评估 调查问卷模板——包括 NIST、ISO 以及其他众多标准的模板——自定义调查问卷创建向导,以及可将回答与任何合规法规或框架进行映射的问卷。所有评估均基于行业标准,并涵盖与供应链合作伙伴及业务韧性安全控制相关的所有信息安全主题。
PrevalentVendor Threat Monitor(供应商威胁监控器)可持续跟踪和分析针对供应商和其他第三方的外部可观测威胁。该服务通过监测互联网和暗网的网络威胁和漏洞,将评估结果与运营、财务、法律和品牌风险研究关联起来,形成统一的风险登记册,实现集中的风险分流和响应,从而补充和验证供应商从 Prevalent 平台报告的安全控制数据。 |
| SR-8 通知协议 | 利用 Prevalent 平台,您可以通过内置的版本控制、任务分配和自动审查程序,对文档、协议和认证(如 NDA、SLA、SOW 和合同)进行协作。您还可以在集中的供应商档案中管理整个供应商生命周期内的所有文档。 |
| SR-13 供应商库存 | Prevalent 提供一款 固有风险评估问卷 采用基于八项标准的明确评分机制,以识别、追踪和量化所有第三方所涉及的风险。评估标准包括:
利用固有风险评估,您可以自动对供应商进行分级,设定适当的进一步尽职调查级别,并确定后续定期评估的范围。 基于规则的分层逻辑可根据一系列数据交互、财务、监管和声誉方面的考虑因素对供应商进行分类。 |
