FCA FG 16/5 及第三方风险管理
英国金融行为监管局(FCA)负责监管向消费者提供服务的金融机构,并维护英国金融市场的诚信。其工作包括在英国境内实施、监督和执行欧盟及国际标准与法规。 2018年7月,FCA发布最终版指引《FG 16/5:企业外包至"云端"及其他第三方IT服务的指导意见》,旨在协助金融机构有效监管外包安排全生命周期的各个环节。
英国金融行为监管局(FCA)第16/5号指引在云计算领域增设了专项管控措施,这些措施既符合FCA手册中针对受监管机构制定的系统与控制(SYSC)章节所载的一般外包要求,同时要求与《通用数据保护条例》(GDPR)保持一致。
英国金融行为监管局(FCA)认为,企业合理使用云外包及其他第三方IT服务,是提升灵活性、促进创新的有效途径。但该机构同时指出,云外包可能引入需妥善识别、监控和缓解的风险。这需要通过适当的风险评估来实现。
符合FCA交易对手风险管理准则
以下是Prevalent如何帮助您应对《金融行为监管局第16/5号指南》中关于第三方风险管理的指导要求:
FCA FG 16/5 指引
我们如何提供帮助
第3.4节
“机构应妥善识别并管理其使用第三方服务所涉及的操作风险,包括在决定外包前开展尽职调查。我们的方法基于风险且符合比例原则,同时考虑机构业务的性质、规模和复杂程度。”
普瑞瓦尔的网络与业务监控解决方案使企业能够在签订合同前或特定业务合作期间,深入了解服务提供商潜在的网络安全漏洞或相关业务风险。
Prevalent将原生漏洞扫描与多种外部网络威胁情报来源相结合,深入剖析服务提供商面临的网络风险。
Prevalent 的独特之处在于,它提供业务风险监控,利用人工分析师解读潜在的运营、品牌、监管、法律和财务风险。
例如:
- 内部威胁
- 财务问题
- 并购活动
- 裁员
- 数据泄露事件
- 声誉指标
风险管理
因此,企业应:
- 进行风险评估以识别相关风险,并确定减轻这些风险的措施。
- 记录此评估
Prevalent评估服务为安全、隐私及风险管理专业人士提供自动化平台,用于管理服务供应商风险评估流程,并判定其是否符合IT安全、法规及数据隐私要求。该平台采用标准与定制化问卷协助收集证据,提供双向整改工作流、实时报告及便捷仪表盘以提升效率。通过清晰的报告与整改指引,平台确保风险被识别并上报至相应渠道。
服务提供商的监督
确保员工具备足够的技能和资源来监督和测试外包活动;识别、监控并缓解由此产生的风险。
采用低效且易出错的手动数据收集与共享流程进行第三方风险管理,不仅耗费高昂成本,更需投入大量时间。Prevalent的评估解决方案通过自动化方式收集、整理并呈现服务供应商数据,从而即时支持决策制定并有效管理供应商风险。
数据安全
企业应开展安全风险评估,该评估应涵盖服务提供商及企业管理的科技资产。
Prevalent解决方案支持通过自动化、基于标准或定制的问卷调查来识别和管理第三方风险。
基于标准的问卷评估第三方在多项控制措施方面的表现,包括网络安全、信息技术、隐私保护、数据安全、云托管及业务韧性。
该平台还包含双向修复工作流、实时报告功能以及一个易于使用的仪表板,以提升工作效率。
有效获取数据
企业应当:
- 确保与服务提供商商定的数据访问通知要求合理且不过度限制。
- 确保对公司、其审计师或监管机构获取或接收数据的请求数量不设限制。
主流第三方风险管理平台具备高效报告功能,既能满足审计与合规要求,亦可向董事会及高层管理人员呈现分析结果。集中式实时报告控制台可全面展示风险概况,用户可下载并导出报告以核查合规状态。深度报告功能包含筛选器及可点击交互式图表。该解决方案还整合了尽职调查过程中收集与审核的所有文件的完整存储库。
