说明
联邦储备系统理事会(理事会)、联邦存款保险公司(FDIC)及美国财政部货币监理署(OCC)近日最终敲定了关于银行机构管理第三方关系相关风险的统一指引。该指引将取代各机构现行指导文件,使银行机构制定和执行第三方风险管理(TPRM)原则的方式趋于一致。
预计将在未来12个月内实现全面合规——但您如何确定从何处着手,或如何将指导方针应用于贵组织?
加入约瑟夫·马丁内斯——纽约梅隆银行退休董事总经理兼首席采购官——的行列,共同探讨该指导方针及其对贵公司交易对手风险管理计划的影响。
在这场按需点播的网络研讨会中,约瑟夫:
- 概述美国金融跨部门指导意见
- 定义由董事会、联邦存款保险公司(FDIC)和货币监理署(OCC)界定的第三方生命周期阶段
- ...等等!
观看本次网络研讨会,确保贵机构的交易对手风险管理计划符合美国金融监管机构联合指导意见!
发言人
约瑟夫·马丁内斯
纽约梅隆银行退休董事总经理兼首席采购官
文字稿
艾希莉:呃,还有几位嘉宾需要介绍。我是艾希莉,在Prevalent公司负责业务拓展。今天我们邀请到几位特别嘉宾:退休首席隐私官约瑟夫·马丁内斯。你好,约瑟夫。约瑟夫:采购部。艾希莉:哦,采购部。 真抱歉。呃,首席采购官。还有我们自己的产品营销副总裁斯科特·朗。嘿,斯科特。斯科特:嘿,阿什莉。阿什莉:呃,先说明几项注意事项。本次网络研讨会正在录制,结束后我们会尽快发送录播视频及演示文稿。目前各位麦克风处于静音状态,但我们鼓励大家积极参与。请将问题提交至问答区,我们将在研讨会结束时统一解答。今天约瑟夫将为大家解读美国金融跨机构关于第三方关系的指导方针。约瑟夫,现在请您开始讲解。
约瑟夫:谢谢。非常感谢。首先,我要感谢Prevalent及其团队邀请我今天就这个备受期待的话题与诸位交流。 要知道,这对我们所有从事金融服务的人都至关重要。近两年来,我们都在翘首期盼最终版《第三方关系跨机构指导意见》的发布。约瑟夫:我记得2021年7月首次征求意见稿发布,后来征询期被延长,终于——不出所料——两年多后的今天,我们迎来了这一刻。 可以说,包括我在内的许多同仁都持续关注着《联邦公报》,时刻期待着这份最终指南的发布。 约瑟夫:那么,我们现在开始吧。查看今天的议程,我们有大量内容需要讨论。 而且,您看,这份指导文件接近70页,对吧?约瑟夫:我需要预留时间回答各位的问题,但若本次会议无法解答所有疑问,我们将在未来几周内举办第二场会议,以确保 能为各位的项目开发提供所需全部信息——毕竟合规要求的变化,特别是要符合第三方风险管理的最终跨机构指导方针,这些调整至关重要,因此深入探讨非常必要。约瑟夫:通常我不太喜欢使用大量图表,但这次情况特殊——我必须通过大量叙述性内容来确保各位充分理解指南要点。约瑟夫:本次培训将重点涵盖四个领域: 第一是概述美国金融跨机构指导方针;第二是界定由美联储、联邦存款保险公司和美国货币监理署定义的第三方生命周期阶段;然后,我们还想考察各组织在该生命周期每个阶段需要满足的要求,并总结出不仅适用于金融服务行业,所有行业都可遵循的最佳实践。现在请切换到下一张幻灯片。下一张,谢谢。我仍然看到议程,不确定各位是否都看到了。斯科特,
斯科特:不,我正在看那个……我正在看涉及机构的幻灯片,上面有美联储、联邦存款保险公司和联邦住房管理局的三个徽标。你没看到吗?约瑟夫:请再切换一张幻灯片。就是这张。那么,我们先从说明开始。涉及的机构有: 好的。FDIC董事会确认这是正确幻灯片。没错,就是这张。不过他们花了些时间才达成共识,真正希望凝聚共识,深入思考如何在政策指引层面实现协调统一。约瑟夫:要知道,这些机构的视角存在微妙差异。 联邦储备委员会理事会负责监管银行控股公司及在美国运营的外国银行机构。 约瑟夫: 他们有自己的职责范围,而联邦存款保险公司(FDIC)则为银行提供存款保险,并促进稳健的银行业务实践。现在,当我们思考这个问题时,他们监管的是州特许银行,对吧? 这些银行不属于联邦储备体系成员,FDIC是众多社区银行的主要联邦监管机构,对吧?约瑟夫:此外还有货币管制办公室(OCC)。 该机构隶属美国财政部,独立运作,负责监管全国性银行和联邦储蓄协会。 约瑟夫:这些机构之间存在相互制约关系,因此让它们共同制定指导方针确实很有意义——这样能确保政策的一致性,避免因各自为政导致细微差异。 请切换到下一张幻灯片。约瑟夫:最终的指导意见由各监管机构联合发布,我们称之为"机构联合指导",旨在促进健全的第三方风险管理实践。 约瑟夫: 该最终指导意见就银行在第三方关系全生命周期中制定和实施风险管理实践时应遵循的风险管理原则提出了见解。约瑟夫:这份最终指导意见还指出,健全的第三方风险管理需综合考量风险复杂程度、银行机构规模及第三方关系性质。这点至关重要——将银行机构规模纳入考量,将切实有助于其有效落实合规要求。 约瑟夫: 监管机构发布这份联合指引旨在统一监管方法,它将取代各机构现有的相关通用准则,并适用于所有受这些机构监管的银行。约瑟夫:各位请注意,银行机构使用第三方服务时, 切勿误以为通过第三方就能免除银行自身在实际运营中的责任。 因此,我们必须认真审视其中运作机制。约瑟夫:重申一次,使用第三方服务绝不会削弱或免除银行机构确保业务安全稳健开展、符合相关法律法规的责任。Joseph:此外,当前正在撤销并替换所有相关指引——包括董事会2013年指引、FDIC 2008年指引、OC 213-29文件以及2020年常见问题解答。 所有这些文件均已废止,截至6月6日,最终的跨机构指导方针已正式发布。Joseph:距新规实施已逾月有余,时机恰到好处,这也正是我们此刻展开讨论的意义所在。请切换至下一张幻灯片。
阿什利:嗨,约瑟夫,我是阿什利。阿什利:所以你知道,监管机构发布了联合指引,旨在促进监管方法的一致性。这份指引主要阐述了银行在制定和实施风险管理流程时可遵循的核心原则,这些单元真的——嘿,约瑟夫,你介意关掉摄像头吗?你的信号好像有点不稳定。大家能听到我说话吗?约瑟夫:抱歉,技术故障。
约瑟夫:咱们试试关掉摄像头,说不定能改善画质。希望行得通。嗯,我带宽很充足,现在用的是超高速宽带,真搞不懂怎么回事,不过咱们继续吧。约瑟夫:好的。 当我们审视这份指引时,其实它更多是考量企业需求,银行需要遵循的准则。但请注意,这只是指导性文件,并非即将实施的法律法规。 约瑟夫:此外,即使使用第三方服务,银行的责任义务也不会因此免除。你们仍需确保自身行为符合我们所关注的标准。能否请我们进入下一页?约瑟夫:当我们审视这份指导意见时,其核心在于探讨银行机构如何建立第三方合作关系。 众所周知,金融科技领域涌现出大量新型供应商和合作机构。对吧?约瑟夫:因此我们必须深入思考当前态势。第二个要点至关重要——即即使缺乏合同或报酬关系,第三方关联依然存在。我认为这点值得深思——过去我们总从合同角度审视第三方关系,关注其法律属性。如今我们需要更广阔的视角,而指导原则中阐述的理念对我们至关重要。约瑟夫:因此,银行若未能妥善管理第三方相关风险,可能面临包括重大财务损失和运营中断在内的负面影响。这正是该指引如此重要的原因。银行必须识别、评估、监控并控制第三方相关风险。
约瑟夫:关系。所以这是个关键原则,旨在帮助我们系统性地思考问题。请切换到下一张幻灯片。约瑟夫:再次强调,并非所有关系都具有同等风险等级,对吧?监管机构已明确并简化了指导方针,删除了某些重复且无用或可能被解读为过度规范性的细节,对吧?约瑟夫:通过这样做,他们希望我们能够深入思考——某项对一家银行机构至关重要的活动,对另一家机构可能并非如此。这又回到了我之前提到的,他们会考虑银行的规模。现在监管机构不再用单一标准衡量所有机构,而是根据各机构的实际情况进行评估。因此我们必须认真思考这些变化背后的深意。Joseph:关键在于,每家银行机构都需自行识别其关键业务活动及支撑这些活动的第三方关系,因为这取决于该银行的风险偏好和风险管理方法。我认为这个澄清点值得我们深入探讨。Joseph:请切换到下一张幻灯片。监管机构还强调,该指引是基于原则制定的,对吧?所谓原则性指引,是指其建立在一套基本规范、规则或价值观之上,为决策和行动提供框架。监管者并非提供详细的强制性规则和指令,而是确立了机构必须遵循的一套原则,对吧?
约瑟夫:所以再次强调,当我们审视这些内容时——这些只是对讨论主题的高层级概览——但要知道,监管机构真正想传达的是: 你们必须支持银行机构采用基于风险的方法来评估第三方带来的风险,然后相应地调整第三方管理流程,这样做才能真正将风险评估置于业务实践的正确语境中——这几乎就像在解魔方,对吧?约瑟夫:因此在管理生命周期的每个阶段,都必须让具备必要知识和技能的员工参与进来。监管机构要求你们真正整合组织内多领域的专家资源——无论是法律顾问、风险合规专员还是技术专家等。跨领域专家的协同至关重要。需明确银行使用第三方评估服务(如Trusite等评估机构)时,作为实用工具使用。因此,若银行将其作为商业安排使用,该安排应纳入银行的第三方风险管理流程。Joseph:所以,仅仅因为你将某些业务外包出去,并不意味着你就不需要通过自己的视角来审视它,对吧?因此,关键是要识别第三方关系所支持的活动,尤其要注意的是,对一家银行机构至关重要的活动,对另一家可能并不重要。所有这些都是我们需要思考的重要问题。请切换到下一张幻灯片。约瑟夫:接下来我们将定义第三方生命周期的各个阶段。从业一年以上的同仁可能已熟悉这套框架,但由于各监管机构现已达成共识,我们仍需系统梳理。
约瑟夫:那么我们请看下一张幻灯片。虽然这张幻灯片有些旧了,但它实际上直接摘自新出台的指导文件。 好的,该内容最初由货币监理署发布。但现已修订,并被联邦存款保险公司和货币监理署共同采纳为风险管理生命周期的阶段框架。约瑟夫:具体包括规划阶段、尽职调查与第三方选择阶段、合同谈判阶段、持续监控阶段,以及流程终结时的终止阶段。 约瑟夫:这意味着我们现在拥有可重复的标准化流程——包含定性与定量评估,确保风险处理的一致性。为符合新规要求,我们需合理配置工作量,在恰当时机调配合适人员。我很欣慰监管机构能达成共识并采纳具体方案,因为这这点对我们至关重要。现在请翻到下一页,我们将审视组织在生命周期各阶段需满足的要求——监管方在这方面的指导非常完善。约瑟夫:重申一次,这并非强制性规定,但请相信我,监管机构必定会来审查这些内容。 那么进入下一张幻灯片,我们先从规划流程整体开始。可以吗?约瑟夫:关于规划环节,我已通过具体法规和指导文件为各位系统梳理了信息。 由于各位将获得完整资料副本,我不会逐条详述,但希望大家能真正理解这些文件的核心内容,对吗?约瑟夫:这些指导文件实质上阐明了规划的思考路径、需考虑的要素以及管理方法。
约瑟夫:所以当他们谈论理解商业安排的战略目的时,你需要明白这个安排如何与组织的整体战略目标、具体目标、风险偏好、风险状况以及更广泛的企业政策相契合。 这涉及大量信息需要梳理,但这正是考官希望你思考的——当你识别并评估商业安排带来的收益与风险时,他们要求你确定如何妥善管理这些已识别风险。 约瑟夫:因此,仅识别风险是不够的。必须采取接受或缓解措施。因此他们要求你深入思考这些问题。约瑟夫:所以当你考量商业安排的性质时,他们希望你进行整体性思考,并结合实际业务发生地来评估,对吧? 因为当你审视这些要求时,他们真正希望你深入思考:如何实际部署你的项目?工作在何处开展?以及是否存在本地或全球监管要求施加于此。Joseph:所以第三点提到"考量业务安排的性质"——包括业务量规模、分包商使用情况、所需技术、客户互动模式以及境外第三方机构的运用。这点是新增内容且至关重要,对吧?Joseph:所谓境外第三方,指的是为贵公司运营提供服务且位于外国的第三方,包括离岸和近岸服务商,对吧? 这些第三方需受该国法律管辖。 约瑟夫:因此该术语不包含外国企业的美国子公司,因为其运营受美国法律约束。他们真正想探讨的是实际操作中的具体实施方式。
约瑟夫:我认为这确实至关重要。当我们评估第三方合作关系如何影响银行机构员工(包括双重雇员)时,必须明确银行需要采取哪些过渡措施来管理现有内部业务外包后的影响,对吧?约瑟夫:监管方要求你们思考这些问题,并证明拥有切实可行的计划、恰当的培训体系,以及对个人、服务及公司层面的充分尽职调查。我认为他们在构建框架方面做得相当出色。 接下来你需要将这个框架转化为具体的实施计划。请看下一张幻灯片。约瑟夫:延续这个主题,关于风险程度和复杂性。再次强调,评估潜在第三方对客户的影响——这包括客户信息的访问与使用、第三方与客户的互动、呼叫中心等环节。消费者受损风险、客户投诉与咨询处理等环节。他们希望你们深入思考这些问题。约瑟夫:第六点虽属高层次原则,但背后蕴含大量实施复杂性,对吧?当我们说要理解潜在信息安全实施影响时——这既涉及银行系统访问权限, 以及接触机密信息的权限。这点至关重要——尤其在当前频发的数据泄露事件中,我们发现许多漏洞其实源自供应链环节,而非企业内部。所以他们希望我们对此有所考量。
约瑟夫:第八项在考量潜在物理安全影响时至关重要——这涉及第三方是否能进入银行设施、是否需要现场操作等问题。虽然疫情后情况有所变化,但仍有第三方为提供商品和服务当我们审视第十项时,其核心在于评估银行组织能否持续对拟议的第三方关系实施充分监督与管理。 约瑟夫:这包括人员配置水平、专业能力、风险管理及合规管理体系是否均 符合要求。他们要确保贵方系统具备恰当的内部控制水平,有效落实合同中书面约定的业务安排,并实施恰当的监控。约瑟夫:所以说,这一切都属于前期规划范畴。若想成功推进业务,必须在实际操作前就考虑周全。 请切换到下一张幻灯片。约瑟夫:关于尽职调查,我们知道需要先规划再执行。这指的是在选择并建立第三方合作关系前,对合作方进行尽职调查。这是健全风险管理的重要环节,也是关键环节。好的。约瑟夫:尽职调查流程旨在为银行提供必要信息,用于评估其能否有效识别、监控并管控所建立合作关系中的相关风险。该流程包括评估第三方履行预期活动的能力。
约瑟夫:你知道,银行要遵守相关政策,确保其经营活动符合适用法律法规,以安全稳健的方式开展业务。这涉及评估其财务可行性。 还要考察他们的资产配置等情况。所以这其实需要全面考量——监管机构认为,银行仅依据第三方实体类型就降低尽职调查标准的做法并不妥当。 约瑟夫:在意见征询期收到大量相关反馈,其中部分意见试图探讨如何根据第三方实体类型减轻尽职调查负担。但正如你所见,这种主张并未被采纳。当银行指导意见同时指出:评估第三方关系风险时,银行可参考多渠道信息来源。这意味着银行不应仅依赖内部资源,而需综合外部信息——但获取外部信息时,必须确保真正理解并有效利用这些信息。约瑟夫:但获取外部信息并不减轻贵机构的责任——必须确保尽职调查达到应有标准,且所引入的信息必须由贵机构承担管理责任,方能确保其有效可用。约瑟夫:因此指导原则明确指出,特定情况下银行应采取措施降低风险;若风险无法消除,则需评估残余风险是否可接受。这意味着你们必须建立健全的风险管理方法论,并能切实向监管方证明对业务的有效管控。约瑟夫:因此我认为,我们必须思考监管机构推行此举的深层动机。
约瑟夫:他们这么做是因为回顾2008年至今,第三方合作方出现了诸多问题,因此他们希望将这段时间积累的经验教训融入指导方针中。具体来说,他们正在提供一套可供我们采纳并切实执行的标准与框架。因此我认为,我们必须深刻思考行动的初衷与实施路径——这套框架不仅要明确方向,更要确保操作可行性。提供一个可操作的框架体系。因此我们必须深刻理解行动动因与实施路径。这份指导方针的价值在于,它吸纳了《操作守则》常见问题解答中的若干核心理念。约瑟夫:明白了。他们将这些概念融入不同环节——无论是规划阶段还是尽职调查等环节,对吧?约瑟夫:所以这份指引实际上整合了大量常见问题解答内容,将其纳入流程体系。这样一来,当前操作无需翻阅多份文件,只需遵循清晰统一的指南就能清晰掌握全局。 约瑟夫:但归根结底,指导方针强调银行有责任识别并评估与每个第三方相关的风险,同时根据机构规模、复杂程度、风险状况以及所建立的第三方关系性质,量身定制风险管理实践。 约瑟夫:监管机构并未将任何特定第三方关系排除在指引范围之外。此前曾有机构询问能否豁免银行间交易、关联方等情形,但监管方明确表示:指引不排除任何特定第三方关系。请切换到下一张幻灯片。
约瑟夫:因此在进行尽职调查时,应明确尽职调查的范围和程度,识别并记录尽职调查的任何局限性,理解这些局限性带来的风险,并考虑风险缓解方案——包括可能寻求其他信息来源。对吗?约瑟夫:因此尽职调查确实包含评估第三方履行预期活动的能力,包括遵守银行机构政策及相关活动要求,遵循所有适用法律法规,并以安全稳健的方式开展业务。 约瑟夫:我特意强调这一点,因为这直接源自监管指引。所有从事第三方风险管理超过一天的人都清楚,从尽职调查视角出发,这正是工作的核心基础。约瑟夫:但他们现在重新强调了这一点,将其重新融入当前工作。我认为我们必须认真思考其具体运作方式。请切换到下一页。约瑟夫:如图所示,他们公布了14个重点关注的尽职调查领域。每个领域下都附有相当详尽的信息。我将这些内容展示出来,是因为我们需要思考:监管机构希望我们关注什么?我们需要进行哪些审查?约瑟夫:因此,若当前项目尚未在尽职调查阶段覆盖这14个领域,很可能面临问题——比如收到MRA(市场准入审查)或MIR(市场准入调查)等通知。所以关键在于既要理解这些要求,更要思考如何切实落实,对吧?
约瑟夫:因为当你审视这些要素时,每项都至关重要。以财务状况为例——这本质上是对第三方财务可行性的评估。因此,从财务报表、年度报告、证券交易委员会备案文件等渠道获取的信息,都将用于评估合作供应商的财务能力和稳定性。这意味着每个环节都需要投入大量精力。Joseph:我建议各位深入思考当前项目如何应对这些问题。若应对力度不足,请务必思考如何切实解决。约瑟夫:在评估项目支持工具时,务必确认:我的工具能否有效追踪并汇报这些领域?这点至关重要,对吧?约瑟夫:部分工作需线下完成,多数可通过工具实现,但这确实是重中之重。 当前他们特别强调的领域之一是:若观察E项,即关键人员资质背景及其他人力资源考量——虽然表述笼统,但实质要求是审查第三方机构负责人及其他核心人员的资质经验。这相当于要求我们进行双重核查,对吧?Joseph:这意味着他们要求我们深入分析实际接触的第三方人员构成,对吧?所以如果目前尚未开展这项工作,这很可能是亟待解决的领域。Joseph:另一个考量点是第三方机构是否具备培训机制,确保其员工理解自身职责与责任。
约瑟夫:然后就是关于适用法律法规的认知,这些法规如何适用于你们所执行的工作,对吧?因此我认为我们需要重新审视历史做法——虽然过去的做法很出色,但现在需要深入剖析。有些机构在第三方监管方面,其实只受到名义上的约束。 所以对他们而言,很多内容都是全新的。约瑟夫:很多情况会让他们惊呼:天啊,我该如何围绕这些内容构建工作流程? 我该如何切实证明合规性?但请注意,这些只是指导原则。发布这些原则的初衷,正是为了让我们能够系统思考:如何以严谨而精炼的方式构建合规体系,且该体系必须自各机构董事会层级逐级落实。 约瑟夫:所以呢,当你思考这些时,其实涉及大量工作。我建议你系统梳理每个领域,深入具体指导文件。务必审慎研读理解要求内容,在执行过程中明确技术层面可运用的手段。 深入研究具体指导方针,务必审慎解读要求内容。在此过程中,需从技术角度考量:如何通过技术手段增强方案的弹性与易用性,同时确保完全符合指导方针要求。约瑟夫:那么请切换到下一张幻灯片。我们从前期规划阶段,经尽职调查环节,现进入合同谈判阶段。请注意,这些内容均源自多年实践积累——通过各类审查、反馈意见及现场检查形成的标准信息库,旨在帮助企业明确: "这些是我们认为需要考虑的要点。"
约瑟夫:现在我们要根据这个标准来评估你,对吧?所以,在谈判合同时,银行明确界定各方权利义务很有必要,你必须确保确实做到这一点。约瑟夫:因此,采用标准的MSA(主服务协议)或主采购协议等就显得尤为重要,对吧? 确保协议中包含绩效评估基准指标至关重要。 约瑟夫:必须明确定义绩效指标,才能切实评估第三方表现。这在银行与第三方签订的服务水平协议中尤为关键——必须向对方明确展示双方的考核标准与预期,进而通过具体证据证明我们纳入了绩效合规性、政策流程遵循性、 遵守适用法律等要求,这些都需贯穿整个流程。约瑟夫:后续进入持续监控阶段时,所有这些要求都将得到落实。但若未在合同中明确规划,就很难在合作过程中确保第三方达到应有的合规水平,对吧?Joseph:所以重申,关键在于合同条款要明确规定:第三方必须履行的义务、具体工作内容、执行时限、汇报方式,以及银行作为监管方拥有哪些权利——比如 监控其风险、评估其表现,并要求其按时提供报告、数据及访问权限。约瑟夫:所有这些都是项目成功实施的必要条件。若未将这些条款纳入合同,后续执行将面临巨大困难。当监管机构介入审查时,他们会发现:"这情况很有意思。"
约瑟夫:你告诉我你在做这件事,但你无法向我展示具体操作方式,而且你的合同里连审计条款这样的基本规定都没有。 所以,确保监控绩效、书面记录、纳入独立审计条款至关重要——无论是针对主承包商还是分包商,你都应有权限实地核查其工作 。约瑟夫:在梳理这些内容时—— 这些内容确实包含大量信息。我已将其归纳为要点,但每个要点背后,实际法规中都有数页详述。约瑟夫:嗯,关键在于您需要深入理解成本与补偿机制,对吧? 那些明确规定所有成本与补偿安排的合同,能有效减少建设过程中的误解和纠纷,并确保所有补偿协议符合银行稳健经营规范及适用法律。对吧?约瑟夫:他们要求你思考的内容可以列举很多,但关键是要把这些当作快速指南,自问: "我的合同模板是否涵盖这些要点?"若答案是否定的,就该讨论改进方案。约瑟夫:但切记不要流于表面。 你需要深入挖掘,理解他们制定的准则究竟是什么——因为这些准则代表着他们对你思考方向的最低要求。约瑟夫: 这些条款必须真正严谨可靠,他们会核查你的主协议内容与实际签署协议的差异。
约瑟夫:所以他们想确认——你告诉我合同里原本有分包条款,但实际签署的协议中该条款已被谈判删除。明白了。约瑟夫:重申一次,这是团队协作的事。责任不仅在于第三方风险管理团队,不仅在于业务部门,也不仅在于采购或法务部门。 众多参与方都需切实履行职责,确保合同条款得到严格遵守、有效纳入协议,并能切实证明其执行情况。 约瑟夫:随着工作推进,他们将重点关注一个关键领域——这个领域多年来一直是他们的关注焦点。我曾负责企业保险事务,这正是他们重点审查的领域。他们需要了解企业向第三方传递的保险要求——包括指定保险类型和保额。约瑟夫:同时他们还需确认企业是否被列为附加被保险人。若未被列名,则需追问原因。 所以你需要深思熟虑——这不仅关乎保险额度高低,更在于如何切实落实操作方案。他们特别关注分包环节,因为需要了解你向其他机构转嫁的责任范围,毕竟这涉及大量工作。约瑟夫:时间有限,请直接跳到下一张幻灯片。 好的。其实监管机构在此并非鼓励采用特定的持续监控方法,而是希望银行将持续监控视为常规的第三方风险管理流程来思考。 约瑟夫:所以他们希望你们结合自身项目特点、组织复杂度及风险状况来设计监控方案,对吗?
约瑟夫:通过这种方式,他们希望你思考持续监控可以采取周期性或连续性两种模式。他们并未限定必须选择其中一种,而是指出两种方式皆可实施——当第三方关系涉及高风险活动时,更全面或更频繁的监控更为适宜。约瑟夫:因此关键在于建立方法论,既要厘清业务活动的实际重要性,也要评估供应商的风险等级。持续监控的强度将直接取决于风险层级——当涉及关键事项时,你必然需要更深入地管理监控内容。约瑟夫:若属于低风险项目,则存在差异化管理空间。这种灵活性旨在确保:当企业具备完善的方法论体系和明确的风险偏好时,任何超出风险偏好的事项都将获得显著不同的监控强度——远高于风险偏好范围内的项目。Joseph:请翻到下一页。这其实是持续监控的延伸。需要强调的是,这些内容仅代表监管方认为你应在执行过程中重点关注的要点。Joseph:指导意见明确指出,银行机构可考虑通过合作安排或借助外部力量来补充持续监控工作。这点颇具创新性——即允许使用第三方协助完成该流程。但关键在于,必须确保第三方能真正达到贵机构设定的标准,对吧?
约瑟夫:因为当你审视持续监控机制时,你会发现它赋予银行的核心能力在于——银行需要同时关注风险的程度与类型,因为这些要素在合作关系存续期间可能发生变化。因此你需要相应调整持续监控的实践方式。约瑟夫:所以根据第三方合作关系的演变性质,你可能需要调整监控频率、信息类型或监控强度。接下来请看下一张幻灯片。约瑟夫:这样就能初步理解风险复杂性及其背后的驱动因素了,对吧? 当你们开始审查实际情况时,监管方既希望你们提升效率,也要求确保操作流程真正有助于合规保障,对吧? 所以他们在这里阐述得非常到位。约瑟夫: 第三方财务状况的变化,包括对其他方的财务义务。这可以通过财务可行性风险评估来证明。但要注意,这种评估不能仅在尽职调查阶段进行,而应持续开展,对吧?约瑟夫:或者通过相关审计、测试结果及其他报告,证明第三方是否仍具备管理风险、履行合同义务及满足监管要求的能力。对吧?所以你得思考如何向监管机构和董事会证明你的行动依据,因为合规性至关重要。 Joseph:需要强调的是,监管框架并非以强制性条款呈现,而是通过符合逻辑的通用原则进行阐述。企业需将这些原则融入自身合规体系,转化为具体行动、活动及报告,从而有效展示合规成效——这最终取决于企业自身业务的复杂程度。
约瑟夫:这取决于你在执行过程中将考虑哪些因素。请切换到下一张幻灯片。约瑟夫:所以你明白,这一切都是我刚才论述的延续——确保培训达到适当水平,特别是针对银行机构员工和第三方提供的培训。那么,如何证明培训有效?能否展示实际执行情况?对吧?约瑟夫:关键在于:你们是否设有保密条款?是否对第三方实施了责任下放机制?对吧? 第三方对事件的响应机制、业务连续性安排——这些至关重要。任何可能危及机构运营的环节都不能仅凭"我们以为他们有业务连续性计划"这种空谈,必须经过实际测试。约瑟夫:在我从业生涯中,多年前就见过这样的情况:企业拥有精美的业务连续性计划,但背后毫无实质支撑。那些PPT在当时很漂亮,可当洪水来袭、地震发生时,第三方供应商往往会让你陷入困境——因为他们根本没有可执行的详细计划。约瑟夫:正因如此,将这些内容以书面形式固化,定期实地核查并确保其有效性至关重要。 约瑟夫:接下来进入新幻灯片,您将看到:鉴于指导原则采用宽泛原则导向,监管机构并未针对特定议题或关系类型修订指导文件。 好的,这点值得注意。约瑟夫:因此,某些主题或关系的独立指引已存在于其他指南中。这类具体指引事项除非被明确废止,否则不受新指引影响。
约瑟夫:所以如果他们针对网络安全事件发布了相关指引,但这些内容并未在此处体现——那些事项依然存在。因此,这些内容仅是从持续监控角度出发,提示您需要关注的事项。约瑟夫:现在我们进入生命周期第五阶段,即下一张幻灯片的内容。 就是终止阶段,对吧?我总爱这么思考:要么是终止,要么是续约,对吧?约瑟夫:所以,所以,嗯...银行可能因各种原因终止合作关系。 比如合作自然到期、合同到期;也可能是违约行为;或是第三方未能遵守相关法律法规;又或是出于各种原因需要寻找新供应商;甚至可能将该业务转为内部处理,或在某些情况下直接终止该业务。 对吧?约瑟夫:所以当这种情况发生时,组织管理层必须以高效的方式终止合作关系——无论业务是转交其他第三方、内部化处理还是彻底终止。所有这些方案都需要提前规划,这也是为何合同会明确列出终止相关的各项成本与费用。 比如共同知识产权如何处置?这些问题必须在合同阶段就予以考量,但最终执行环节仍需在终止阶段落实。约瑟夫:因此我们必须对此予以重视。 请直接切换到下一张幻灯片。时间所剩无几,我们先做高屋建瓴的概述。几周后我们会深入探讨细节,但此刻我们想向各行业组织推荐一些最佳实践方案,对吗?
约瑟夫:当你思考这个问题时,其实各行各业的企业在第三方风险管理方面都可以遵循若干最佳实践,对吧?约瑟夫:其中一项关键就是真正了解你的第三方供应商,明白吗?你必须明确供应商的优先级排序,对吧? 你必须确保持续监控供应商,那么具体该如何实现呢?约瑟夫:需要实现流程自动化。无论银行机构如何构建流程,我提到的这些实践都是通用的,需要通过监督与问责、独立审查、文件记录和报告机制来落实。 约瑟夫:这些措施将引导我们聚焦核心目标。机构可通过多种流程实现这一目标。约瑟夫:因此, 问责机制应由业务线承担,从第一道防线角度而言。不过银行机构的运作模式各异——我见过银行将该流程集中管理的案例,有时归属合规部门,有时隶属信息安全部门,有时设在采购部门,有时则纳入其他风险职能部门。但关键在于推动项目成熟化,确保项目机制真正建立并具备可审计性,这点值得我们重点考量。Joseph:那么,如果我们看下一张幻灯片,这始于董事会,对吧?归根结底, 董事会负责确立愿景蓝图,对吗?因此,他们建立的关系网络对我们至关重要,对吧?约瑟夫:无论是否涉及第三方风险管理,任何项目都需要完善的监督机制和问责体系。银行董事会承担最终责任,并通过管理层落实问责机制,对吗?
约瑟夫:所以董事会将提供明确的指导方针,协助你们设定可接受的风险偏好,批准相关政策,并确保建立适当的流程和实践。约瑟夫:但归根结底,他们以足够高的视角和独立性审视事务,从而引导企业驶向正确方向。 因此在履行职责时,董事会或其指定委员会通常会综合考量诸多因素——正如你所见。约瑟夫:比如第三方关系的管理方式是否符合银行的战略目标或愿景等。因此他们会明确阐述:这是我们的愿景,必须以此为导向。约瑟夫:请翻到下一页,你会看到管理层需要将愿景转化为具体行动。管理层肩负着治理与监督责任,这至关重要。我再次列出这些要点——各位会收到副本,我不打算逐条详述——但必须建立类似第三方风险管理委员会的机制,将第三方风险管理-party risk management into the bank’s organization overall risk management process that you’re providing um the contracts with the third parties um are appropriately reviewed and approved and executed so it’s not just somebody signing need a piece of paper.Joseph:实际操作中需基于风险等级、金额规模及业务复杂度进行分级管理。 因此管理层需建立有效流程确保其运作。约瑟夫:那么请看下一张幻灯片,此时就需要考虑独立审查了。银行机构必须定期开展独立审查,评估第三方管理流程的完善程度。 要知道,这才是真正见真章的环节——因为此时第三道防线开始发挥作用。
约瑟夫:他们正在审查贵组织如何切实建立并遵守相关规定——你们是否践行了承诺?执行得是否到位?是否达到了超越最低标准的成熟度?是否真正构建了能帮助你们降低风险、理解风险的有效体系?约瑟夫:管理层将依据独立审查结果,决定是否及如何调整第三方风险管理流程与方案。例如:是否需要修订政策?报告机制是否完善?现有资源与专业能力是否匹配? 控制措施是否到位?约瑟夫:因此管理层必须对发现的问题或疑虑及时全面回应,并酌情上报董事会。虽然具体操作涉及诸多细节,但我想强调这些要点供大家思考。 约瑟夫:顺便提一句,这适用于所有行业,不仅限于银行。这是基本规范。接下来看下一张幻灯片,我们谈谈文件记录和报告机制。 约瑟夫:内容虽多,但文件记录和报告机制是核心要素,它们能协助组织内外人员开展控制活动。 约瑟夫:因此,根据第三方关系的风险程度和复杂性,需要开展多种不同的活动。当我们讨论当前所有第三方关系的清单时,这实际上能帮助我们清晰识别那些涉及高风险活动(包括关键活动)的关系。
约瑟夫:所以如果你没有切实可行的方法来展示你的风险库存,以及这些风险在库存中的具体分布,那么就无法通过你的方法论来筛选——通过风险评估流程来判断是否存在超出风险承受能力的风险。你知道,这对整个团队来说,结果恐怕不会太好。约瑟夫:嗯,向董事会定期汇报也很重要。这适用于任何依赖单一供应商的情况——尤其当多家供应商都与财务困境中的企业存在业务往来时。约瑟夫:比如说,如果你的主要供应商遭遇过网络攻击之类事件,对吧? 因此必须周全考虑:制定恰当的补救方案、明确各环节责任人、建立第三方事件报告机制等。约瑟夫:接下来请看下一张幻灯片。 实际上,每家监管机构都会在常规流程中审查受监管银行机构的风险管理及第三方合作关系,对吧?约瑟夫:监管审查将评估风险管理措施的有效性,判断业务活动是否安全稳健,以及是否真正符合相关法律法规要求。约瑟夫:他们的评估将重点考察:你们如何与多元化的第三方开展合作——毕竟不同第三方关系带来的风险各异;你们是否真正理解如何根据风险特性调整业务实践;以及是否建立了切实可行、可衡量且可重复的管控程序。对吧?约瑟夫:嗯...我知道时间所剩无几了。 请切换到下一张幻灯片。各位能听到我的声音吗?
Joseph: Yeah, we can hear you, Joe. Joseph: Good. Good. Yeah. So, uh you know, one of the things that I think that we should think about is um As you’re looking into reviewing your your risk management processes and and and and you’re evaluating them, you need to make sure that everything you’re doing is helping to not just fulfill the obligation for how you’re managing on behalf of your company, but also on behalf of your client, right? Joseph: And how are you actually designing your process to protect your customers and to provide fair, you know, access to your your financial services. So, it’s not just about being prescriptive. It’s about actually how does this actually enable you to make money? How does this enable you to have a better customer experience? Joseph: I I know that we’re running short on time. Uh why don’t we jump to the next slide, please? So, you know, I wanted you to kind of think about some of the best practices that that that people need to be thinking about. And one one of those is, you know, how do you actually put the right level of framework in place? Joseph: So, where you have the right oversight and governance, you have the tools and controls, and you have the analytics and actionable reporting, right? How do you kind of lay that out in order for it to be to be appropriate? Joseph: I do want to get to some question. So, why don’t we jump to the next slide? This here is really kind of talking about the three lines of defense. If you’ve been in banking for more than a day, you’re probably aware of this, but let’s go ahead and um and I put this in here because I think it’s important for us to be thinking about that framework. We’ll do more of a deeper dive in our next session. Next slide. Joseph: This here is just kind of some recommended best practices uh that organizations in all industries can follow around kind of look here’s here’s a high level operating framework. Here are kind of the the the risks that we’re looking at. Here are the objectives and then you know here’s a third party risk assessment and here’s the engagements in that risk assessment and how we actually can kind of drive through that. Joseph: And if we could go to the next slide please and this right here is just kind of leveraging the foundation in order for us to actually think about that. And that second point I put a box around it is you know segmentation and onboarding is critical right because the classification of who your partners are and how you’re actually putting that methodology in place is really going to be foundational to how you’re actually going to be able to do the management and oversight across that entire life cycle. Joseph: Uh, next slide. So, we got to be thinking beyond just the regulatory requirements because it’s this isn’t the check the box exercise, right? Joseph: So, so you know, you need to think about how do you protect your organization’s knowledge and expertise. You know, you know, have you created any dependencies with a third party that now is becoming an issue for you if something happens to that third party, right? Joseph: You know, is the quality of your service consistent end to end with your third parties, right? And have you evaluated the total cost? You know, are there any additional or hidden costs that you need to be thinking about because there’s what you’ve put in contractually and what you’ve agreed to, but then as you start to come back and you’re starting to to to put your program in place, you’re going to see that your suppliers are going to push back on that. Joseph: And then did you take into consideration the increase in operational risks, right? Because all all of that is is just like really important for us to be thinking about because um If we don’t think about it outside of the regulator regulatory requirement, if we don’t think about that in terms of how do we actually put a program together, what we end up doing is we end up increasing our risk. We we fail in terms of our compliance to the guidelines and and basically this will impact our earnings per share and this will impact our reputational uh reputation in the industry. Joseph: So why don’t we take some qu go to the next slide. Let’s get some questions and answers. I know I went kind of fast through a number of these slides. We wanted to take a second session where we’re going to do more of a deep dive, but there were there was a tremendous amount that I wanted to kind of cover through, make sure that you guys had the ability to see because it’s really important for us to be thinking about this. Joseph: Uh because these new guidelines just came out and so as you know, once the guidelines come out, that’s in in in a short period of time, they’re going to start coming out and starting to see how you’re addressing the program to the new guidelines. So, uh with that, do we have any questions? Ashley: Hey, thanks Joseph. Uh Scott, do you have any closing thoughts on this? I’m sorry, guys. I know we didn’t really have any time for questions, but uh Joseph will be doing a part two in an upcoming webinar, and we’ll be able to address some more of this information there. Scott,
斯科特:呃,没有,我没什么要补充的。我们可以继续下去了。艾希礼:好的。非常感谢各位的参与。祝大家今天剩余时间愉快,周末也过得愉快,期待下次网络研讨会再见。祝好。
©2026 Mitratech, Inc. 保留所有权利。
©2026 Mitratech, Inc. 保留所有权利。