欧洲银行管理局与第三方风险管理
欧洲银行管理局(EBA)是欧盟独立监管机构,负责确保欧洲银行业获得有效且一致的监管。2019年初,EBA发布了修订版《外包安排指引》,其中包含金融机构对外包安排治理及相关监管流程的具体规定。 该指引与《支付服务指令》(PSD2)、《金融工具市场指令》(MiFID II)及欧盟委员会授权条例(EU) 2017/565中的外包要求保持一致。
欧洲银行管理局(EBA)指南明确了信贷机构、支付机构和电子货币机构在将内部服务、活动或职能外包时应实施的内部治理安排。鉴于金融服务领域庞大的供应商生态系统,EBA专门用70页篇幅阐述了金融服务业外包管理规范。
欧洲银行管理局(EBA)的指导方针要求对服务提供商风险实施强有力的管理和追踪。该方针明确规定,应建立风险管理政策,包括基于内部控制的评估机制,并对第三方外包安排进行持续监控。该政策应通过金融机构与外包方签订的合同予以明确,同时需对整改措施和审计能力进行规范记录与报告。
这些要求代表了外包服务商组织内部实施的完整控制体系,其范围远超对对外基础设施进行简单自动化扫描的范畴。
相关要求
- 在外包选择过程中履行尽职调查
- 要求签订合同,明确银行及其监管机构的访问权和审计权,以确保有效监督。
满足欧洲银行管理局(EBA)交易对手风险管理(TPRM)指引
以下是Prevalent如何帮助您应对欧洲银行管理局第三方风险管理指南:
欧洲银行管理局指引
我们如何提供帮助
第二章——外包安排评估
4——关键或重要职能
第30段
“若外包涉及与核心业务线相关的职能,则应特别关注对职能关键性或重要性的评估。”
普瑞维尔评估解决方案使金融机构能够根据第三方对组织的重要性进行分类。通过一系列可定制的问卷,您可将评估要求与业务关系所呈现的风险等级相匹配。
第三章——治理框架
5——健全的治理安排与第三方风险
第32段
金融机构和支付机构应建立全面的机构级风险管理框架,以识别和管理其所有风险,包括因与第三方安排而产生的风险。
普瑞维尔提供业内唯一专为第三方风险管理打造的统一平台。我们的解决方案通过内向外流程自动化实现供应商风险评估,同时采用外向内方法进行主动持续监控,从而降低风险并满足合规要求。
第三章——治理框架
5——健全的治理安排与第三方风险
第33段
金融机构和支付机构应识别、评估、监控并管理因与第三方达成安排而产生的所有风险,无论这些风险是否已实际暴露或可能暴露。
Prevalent评估服务为安全、隐私及风险管理专业人士提供自动化平台,用于管理供应商风险评估流程,并判定供应商是否符合IT安全、法规及数据隐私要求。该平台采用标准与定制化问卷协助收集证据,提供双向整改工作流、实时报告及便捷操作的仪表盘以提升效率。通过清晰的报告与整改指引,平台确保风险被及时识别并上报至相应渠道。
第三章——治理框架
6——健全的治理安排与外包
第40(c)段
在进行外包时,机构和支付机构至少应确保:
- 当前及计划中的外包安排相关风险已得到充分识别、评估、管理和缓解,包括与信息通信技术(ICT)及金融科技(fintech)相关的风险。
主流第三方风险管理平台提供完整的评估解决方案,包括问卷调查;整合并管理书面响应证据的环境;用于处理审查结果及整改事项的工作流;以及强大的报告功能,为各级管理层提供评估第三方绩效所需的信息。
第三章——治理框架
第10节——内部审计职能
第50段
内部审计职能的活动应遵循基于风险的方法,涵盖对外包活动的独立审查。审计计划和方案应特别包括关键或重要职能的外包安排。
主流第三方风险管理平台具备高效报告功能,既能满足审计与合规要求,亦可向董事会及高层管理人员呈现分析结果。集中式实时报告控制台可全面展示风险概况,用户可下载并导出报告以核查合规状态。深度报告功能包含筛选器及可点击交互式图表。该解决方案还整合了尽职调查过程中收集与审核的所有文件的完整存储库。
第三章 – 治理框架
12.3 – 尽职调查
第70及71段
对于关键和重要职能,金融机构和支付机构应确保服务提供商具备履行其义务的商业信誉。
需考虑的其他因素包括其商业模式、性质、规模、复杂程度、财务状况、所有权及集团结构。
Prevalent Cyber & Business Monitoring 服务提供快照和持续的供应商监控,以便立即通知高风险问题、确定优先级和提出补救建议。数据安全和业务风险监控使您能够超越战术性的供应商健康状况,从更具战略性的角度审视供应商的整体信息安全风险。
Prevalent 的独特之处在于,它提供业务风险监控,利用人工分析师解读潜在的运营、品牌、监管、法律和财务风险。
例如:
- 内部威胁
- 财务问题
- 并购活动
- 裁员
- 数据泄露事件
- 声誉指标
第三章——治理框架
13.2 数据与系统安全
第82段
在相关情况下(例如云服务或其他信息通信技术外包的背景下),金融机构和支付机构应在外包协议中明确数据和系统安全要求,并持续监督这些要求的遵守情况。
主流第三方风险管理平台提供完整的评估解决方案,包括问卷调查;整合并管理书面响应证据的环境;用于处理审查结果及整改事项的工作流;以及强大的报告功能,为各级管理层提供评估第三方绩效所需的信息。
第三章——治理框架
13.3 获取、信息与审计权
第87条(b)款
金融机构和支付机构应确保服务提供商向其授予:
- 与外包安排相关的无限制检查和审计权(“审计权”),以便其监督外包安排并确保遵守所有适用的监管和合同要求。
控制15 概述“建立一套计划,用于开发和维护事件响应能力(例如政策、计划、程序、明确的职责分工、培训和通信机制),以准备、检测并快速响应攻击。”
普瑞维尔评估解决方案确保服务提供商严格执行经双方确认的具体要求,并通过定期跟踪与核验进行监管。强大的报告功能与完整的审计能力可高效推进绩效评估流程。平台通过标准的基于角色的访问控制(RBAC)功能,可将已完成的评估与审计报告访问权限委派给审计人员。
第三章——治理框架
13.3 访问权、知情权与审计权
第91段
机构和支付机构可使用:
- 由同一服务提供商的多个客户共同组织,并由该服务提供商及其客户或其指定的第三方共同实施的合并审计,旨在更高效地利用审计资源,同时减轻客户与服务提供商双方的组织负担。
普瑞维尔的供应商证据共享网络是已完成且经过验证的供应商问卷及支持性证据的存储库,可消除从零开始收集数据所耗费的繁琐时间与资源。
Prevalent 提供横向与纵向双重网络架构,旨在加速社区内的评估与协作进程。
第三章——治理框架
14 外包职能的监督
第100段
金融机构和支付机构应持续监控服务提供商的履职情况。若外包职能的风险、性质或规模发生重大变化,金融机构和支付机构应重新评估该职能的关键性或重要性。
该平台不仅能促进基于内部控制的自动化定期评估,还提供网络安全与业务监控功能——持续评估第三方网络,识别可能被网络犯罪分子利用的潜在弱点。Prevalent同时提供渗透测试即服务,帮助客户以更精细的粒度层级调查供应商的网络运营状况。
通过整合内部评估、外部网络监控和渗透测试,受监管实体能够全面掌握供应商风险状况,并获得清晰可行的整改指导以应对这些风险。
第三章——治理框架
14 外包职能的监督
第104段
机构和支付机构应确保外包安排符合其政策规定的适当绩效和质量标准,具体措施包括:
a. 确保他们从服务提供商处获得适当的报告;
b. 使用诸如关键绩效指标、关键控制指标、服务交付报告、自我认证和独立审查等工具评估服务提供商的绩效;以及
c. 审查从服务提供商处收到的所有其他相关信息,包括业务连续性措施及测试报告。
普瑞维尔评估服务可捕获并审核对话内容,将文件或证据与风险进行匹配。其视觉效果出众且逻辑连贯的仪表板清晰呈现任务概览、日程安排、风险活动、调查完成状态、协议内容及关联文件。
第三章——治理框架
14 外包职能的监督
第105段
若发现不足之处,金融机构和支付机构应采取适当的纠正或补救措施。
该主流解决方案包含双向工作流和共享通信机制,用于追踪发现的问题并实施修复措施。
