操作风险管理指引——第三方安排管理

作为审慎监管机构,新加坡金融管理局(MAS)于2016年发布了关于外包第三方安排的指引。该局于2018年10月扩展了外包指导框架,并于2022年8月再度发布题为《操作风险管理——外包与第三方安排管理》的信息文件。

除发布关于如何加强对第三方监督和治理的详细要求外,新加坡金融管理局还制定了关于在外包安排生命周期内开展尽职调查的全面指引。该指引为金融机构在第三方风险管理生命周期的以下领域提供了具体指导:

  • 识别与风险分类
  • 治理与管理监督
  • 尽职调查(包括入职审查和定期审查)
  • 持续的风险管理与监控

相关要求

  • 确保为服务交付所依赖的第三方接受充分的治理、风险管理及健全的内部控制。

  • 实施充分的风险管理和健全的内部控制,以规范外包与非外包安排。

  • 评估第三方服务带来的风险,并实施与风险性质和程度相适应的控制措施。

符合MAS TPRM指引

下表将主流第三方风险管理平台的功能与MAS《操作风险管理——外包与第三方安排管理》信息文件第三章中的特定条款进行对照映射。

注:本文仅为最相关条款的摘要,不应视为全面且权威的指导。如需完整条款列表,请详细查阅完整文件并咨询您的审计师。

MAS控制系统

我们如何提供帮助

A:对外包安排的管控

本节关于对外包安排的管控措施,阐述了以下方面的实践:

I) 治理与管理监督;
II) 尽职调查(入职审查与定期复核);
III) 持续风险管理与监控。

I) 治理与管理监督

外包治理结构与框架

银行应建立完善的治理结构和框架,对外包安排产生的风险实施充分的管理监督和关注,确保承担的风险与银行的战略和风险偏好相一致。

在采用基于风险的方法时,银行确保其审批框架能够促进管理层对现有及潜在外包安排的重大性和风险进行评估。支持外包安排评估与审批的流程应具备充分的稳健性和有效性。

设定适当的外包风险承受能力

银行应制定适当的策略和风险偏好,以界定其在外包安排中愿意且能够承担的风险性质与程度。

Prevalent 公司与您合作,以成熟的最佳实践和丰富的实际经验为基础,建立全面的第三方风险管理 (TPRM) 计划。

我们的专家将与您的团队协作,共同制定并实施第三方风险管理流程与解决方案;筛选风险评估问卷及框架;并根据贵组织的风险偏好,优化您的项目以覆盖整个第三方风险生命周期——从供应商选择与尽职调查,到终止合作与退出管理。

作为这一过程的一部分,Prevalent 可以帮助您确定:

  • 明确的角色和职责(如 RACI)
  • 第三方库存
  • 基于组织风险承受能力的风险评分和阈值
  • 基于第三方关键性的评估和监测方法
  • 第四方映射
  • 持续监控数据的来源(网络、业务、声誉、财务)
  • 关键绩效指标(KPI)和关键风险指标(KRI)
  • 管理保护数据的政策、标准、系统和流程
  • 针对服务水平的合规性和合同报告要求
  • 事件响应要求
  • 风险和内部利益攸关方报告
  • 风险缓解和补救战略

外包管理报告

银行已建立有效的流程机制,能够全面掌握因外包业务产生的风险敞口。管理层定期收到关于外包风险状况、重大外包问题及关键风险指标的报告,以便对外包风险态势、趋势及关注点进行监督。

Prevalent助力金融机构揭示风险趋势、第三方风险状况及异常行为,通过内置机器学习(ML)洞察与基于角色的可定制报告视图实现精准监控。

此外,Prevalent通过自动化合同与绩效评估,并提供基于需求标准的衡量框架,助力企业集中管理第三方关键绩效指标(KPI)与关键风险指标(KRI),从而降低因供应商监管缺失引发的风险。

凭借这项能力,金融机构能够快速识别需要进一步调查的异常情况,并将正确数据传递给正确人员,从而提升风险降低效率。

II) 尽职调查(入职审核与定期审查)

尽职调查(入职审核与持续审查)

银行对新外包安排的尽职调查和风险评估流程,以及对现有安排的定期审查,均制定了明确要求并提供全面指引。此类流程与所涉风险相匹配,充分考虑了客户数据共享等风险因素。银行建立必要的制衡机制,确保及时有效地追踪这些要求和流程的合规执行情况。

银行应征相关中小企业,以确定外包安排中涉及的技术性风险要素是否得到充分考量。

普瑞维兰提供合同前尽职调查评估,基于八项标准进行清晰评分,以捕捉、追踪并量化所有第三方固有风险。评估标准包括:

  • 验证控件所需的内容类型
  • 对业务绩效和运营的关键性
  • 地点及相关法律或监管考虑因素
  • 对第四方的依赖程度(避免集中风险)
  • 接触过业务流程或面向客户的流程
  • 与受保护数据的交互
  • 财务状况和健康
  • 声誉

通过这种固有风险评估,您的团队能够自动对供应商进行分级;设定适当的进一步尽职调查级别;并确定持续评估的范围。

基于规则的分层逻辑可利用一系列数据交互、财务、监管和声誉方面的考虑因素对供应商进行分类。

Prevalent 拥有一个由 750 多个预建模板组成的第三方风险评估库。评估可在合同续签时进行,也可按任何要求的频率(如每季度或每年)进行。评估问卷可以是全球性的,也可以是区域性的,以满足独特的法律或运营要求。

Prevalent 可根据风险评估结果提供内置补救建议。这些建议由工作流程和任务管理功能提供支持,以确保第三方及时、满意地处理风险。

三)持续风险管理与监控

外包安排的控制框架

银行应建立一套结构化的框架,用于对外包安排进行持续监控和管控,并确保独立第三方充分参与,对发起外包安排的业务部门实施有效的挑战与监督。

普遍控制验证服务根据既定的测试协议审查第三方的评估回复和文件,以验证所指出的控制措施是否到位。

Prevalent专家团队首先审核来自定制或标准化问卷的评估反馈,随后将反馈结果映射至SIG、SCA、ISO、SOC II、AITECH及其他控制框架。最后,我们将协同您制定整改方案并全程追踪直至完成。通过远程与现场服务相结合的模式,Prevalent凭借专业技术助力您在现有资源基础上有效降低风险。

在合同整个有效期内实施网络安全控制措施

在整个合同生命周期中考虑网络安全:从决定外包、供应商选择、合同授予、供应商交付到终止。思考可采取哪些措施确保每次采购都能落实网络安全。

Prevalent 可持续跟踪和分析第三方面临的外部威胁。该解决方案可监控互联网和暗网的网络威胁和漏洞,以及声誉、制裁和金融信息的公共和私人来源。

所有监控数据均与评估结果相关联,并集中存储于每个供应商的统一风险登记册中,从而简化风险审查、报告及响应流程。风险可通过热力图视图进行分类,该视图以发生概率和影响程度为坐标轴呈现。

监测来源包括

  • 1,500 多个犯罪论坛;数千个洋葱页面;80 多个暗网特殊访问论坛;65 多个威胁源;50 多个用于粘贴泄漏凭证的网站 - 以及多个安全社区、代码库和漏洞数据库,覆盖 55 万家公司
  • 包含全球数千家公司 10 多年数据泄露历史的数据库
  • 550,000 个公共和私人声誉信息来源,包括并购活动、商业新闻、负面新闻、监管和法律信息、运营更新等
  • 由 200 万家企业组成的全球网络,5 年来的组织变革和财务业绩,包括营业额、损益、股东资金等。
  • 30,000 个全球新闻来源
  • 一个包含 180 多万名政治公众人物档案的数据库
  • 全球制裁名单以及 1,000 多份全球执行名单和法院文件
  • 绩效表现,涵盖从合同关键绩效指标(KPI)的遵守情况、补救措施,到服务水平协议(SLA)的执行及延误情况。

B:非外包安排(NOAs)的管控措施

本节关于NOA管控的描述,阐述了在第三方风险管理框架下,银行在以下领域所采取的实践措施:

I) 识别与风险分类;
II) 治理与管理监督;
III) 尽职调查与持续监控。

I) 识别与风险分类

第三方依赖项的风险识别与分类

银行设有第三方风险管理与治理框架,用于管理其非外包类第三方依赖关系。
银行需全面识别并盘点非外包类第三方(NOA)清单,并根据其性质与风险特征进行分类。

银行制定明确标准对其网络运营机构(NOAs)进行风险评估,以确定应适用的治理和尽职调查要求。充分考虑了涉及客户数据共享等安排的风险因素。

Prevalent 公司与您合作,以成熟的最佳实践和丰富的实际经验为基础,建立全面的第三方风险管理 (TPRM) 计划。

我们的专家将与您的团队协作,共同制定并实施第三方风险管理流程与解决方案;筛选风险评估问卷及框架;并根据贵组织的风险偏好,优化您的项目以覆盖整个第三方风险生命周期——从供应商选择与尽职调查,到终止合作与退出管理。

作为这一过程的一部分,Prevalent 可以帮助您确定:

  • 明确的角色和职责(如 RACI)
  • 第三方库存及分类
  • 基于组织风险承受能力的风险评分和阈值
  • 基于第三方关键性的评估和监测方法
  • 第四方映射
  • 持续监控数据的来源(网络、业务、声誉、财务)
  • 关键绩效指标(KPI)和关键风险指标(KRI)
  • 管理保护数据的政策、标准、系统和流程
  • 针对服务水平的合规性和合同报告要求
  • 事件响应要求
  • 风险和内部利益攸关方报告
  • 风险缓解和补救战略

普瑞维兰提供合同前尽职调查评估,基于八项标准进行清晰评分,以捕捉、追踪并量化所有第三方固有风险。评估标准包括:

  • 验证控件所需的内容类型
  • 对业务绩效和运营的关键性
  • 地点及相关法律或监管考虑因素
  • 对第四方的依赖程度(避免集中风险)
  • 接触过业务流程或面向客户的流程
  • 与受保护数据的交互
  • 财务状况和健康
  • 声誉

通过这种固有风险评估,您的团队能够自动对供应商进行分级;设定适当的进一步尽职调查级别;并确定持续评估的范围。

基于规则的分层逻辑可利用一系列数据交互、财务、监管和声誉方面的考虑因素对供应商进行分类。

Prevalent助力金融机构构建全面的供应商档案,涵盖所有权结构、财务表现、CPI评分、现代奴役声明、行业与业务洞察,并可追踪潜在风险的第四方关联关系。这有助于简化第三方管理流程,为供应商管理提供贯穿合作全周期的统一数据源。

II) 治理与管理监督

国家运营机构风险管理与治理框架的实施

银行设有治理委员会对非经营性资产(NOAs)实施监督。银行还建立符合风险程度的治理与风险管理框架,包括尽职调查要求,以全面管理非经营性资产带来的风险。

Prevalent提供超过750个现成的第三方风险评估模板库,其中包含与主流治理框架(如[ISO](/compliance/iso-27001-27002-27018-27036-2-27701/))对接的模板。评估问卷可覆盖全球范围或特定区域,以满足独特的法律、运营或其他尽职调查要求。

报告功能使金融机构能够通过自动将评估结果和数据源映射至监管要求及框架,从而可视化并满足合规要求。

第三方风险管理报告

银行通过定期及时报告NOA的风险状况和绩效表现,确保充分的管理监督。重大事项(如定期审查过期、供应商事件、绩效违规及关键风险指标违规)均定期上报至相关治理论坛。适当的方(例如第二层级单位)对报告流程实施必要的制衡机制。

此外,Prevalent通过自动化合同与绩效评估,并提供基于需求标准的衡量框架,助力企业集中管理第三方关键绩效指标(KPI)与关键风险指标(KRI),从而降低因供应商监管缺失引发的风险。

凭借这项能力,金融机构能够快速识别需要进一步调查的异常情况,并将正确数据传递给正确人员,从而提升风险降低效率。

与供应商合作

制定整改方案,包含供应商可遵循的建议以降低残余风险。为供应商提供上传证据的论坛,就具体整改措施进行沟通,并配备安全的审计追踪功能以追踪整改直至完成。

变革管理

银行拥有健全的变更管理政策和程序,以管控因新业务操作协议(NOAs)产生的风险。三道防线(LoDs)间职责分工明确,变更实施须接受独立控制与监督。

普瑞瓦伦平台内置自动化与规则引擎,可根据评估结果及外部数据源自动建议行动方案或调整风险评分。凭借此功能,金融机构能基于持续更新的第三方变更自动创建任务,并指派责任人全程追踪直至问题解决。这有助于加速风险降低进程。

三)尽职调查与持续监控

对通知书及第三方风险的尽职调查与持续监控

银行实施风险评估方法论,对风险评级通知书进行评级时充分考虑更高风险因素,例如共享机密信息或为关键职能提供支持。

银行对新客户的尽职调查和独立监督以及对现有客户的审查制定了明确要求,这些要求与涉及的风险相称。尽职调查涵盖新客户的所有相关利益相关方,包括合作伙伴和服务提供商。

银行在客户关系生命周期内实施结构化控制流程,对客户协议进行持续监控。高风险安排需要更严格的持续监控。

银行部署充分的风险监控工具和机制来管理第三方风险。这些工具和机制包括建立第三方风险分类体系,并实施适当的关键风险指标(KRIs),以促进对银行第三方风险的整体把握。

完成入职流程后,分层、画像和分类评估的结果将决定在第三方生命周期中所需持续尽职调查的级别。

为实现这一目标,Prevalent持续追踪并分析针对第三方企业的外部威胁。该解决方案通过监测互联网和暗网中的网络威胁与漏洞,同时整合公共及私有渠道的声誉、制裁和财务信息,构建全面防护体系。

所有监控数据均与评估结果相关联,并集中存储于每个供应商的统一风险登记册中,从而简化风险审查、报告及响应流程。风险可通过热力图视图进行分类,该视图以发生概率和影响程度为坐标轴呈现。

监测来源包括

  • 1,500 多个犯罪论坛;数千个洋葱页面;80 多个暗网特殊访问论坛;65 多个威胁源;50 多个用于粘贴泄漏凭证的网站 - 以及多个安全社区、代码库和漏洞数据库,覆盖 55 万家公司
  • 包含全球数千家公司 10 多年数据泄露历史的数据库
  • 550,000 个公共和私人声誉信息来源,包括并购活动、商业新闻、负面新闻、监管和法律信息、运营更新等
  • 由 200 万家企业组成的全球网络,5 年来的组织变革和财务业绩,包括营业额、损益、股东资金等。
  • 30,000 个全球新闻来源
  • 一个包含 180 多万名政治公众人物档案的数据库
  • 全球制裁名单以及 1,000 多份全球执行名单和法院文件
  • 绩效表现,涵盖从合同关键绩效指标(KPI)的遵守情况、补救措施,到服务水平协议(SLA)的执行及延误情况。