准则 B-10 和第三方风险管理
加拿大政府金融机构监管办公室(OSFI)制定的《第三方风险管理指南》B-10涉及与卖方和供应商关系相关的运营和财务风险。
准则 B-10 规定了联邦监管金融机构 (FRFI) 管理与第三方安排相关的风险的预期。
该准则还扩大了第三方的定义,将独立专业人士、经纪人和公用事业公司等更多实体纳入其中,并建议将所有类型的第三方纳入风险评估。
这些新要求的驱动因素是从重要性到关键性的转变--当第三方履行的职能与 FRFI 提供的重要业务、职能或服务密不可分时,需要采取双管齐下的方法,即风险和关键性决定尽职调查活动的性质和范围。
相关要求
-
治理和问责结构明确,有全面的风险战略和框架
-
确定并评估第三方带来的风险
-
在 FRFI 风险承受能力框架内管理和降低第三方带来的风险
-
监测和评估第三方绩效,积极应对风险和事故
-
FRFI 的第三方风险管理计划允许 FRFI 识别并持续管理一系列第三方关系
-
第三方开展的技术和网络行动透明、可靠、安全
遵守 OSFI 准则 B-10
准则 B-10 提出了 FRFI 通过管理第三方风险应实现的六项预期成果。这些成果旨在促进 FRFI 的运营和财务复原力,并帮助维护其声誉。
支持这六项预期成果的是 OSFI 描述为第三方风险管理最佳实践的 11 项原则。下面的汇总表将普遍的第三方风险管理平台能力与这 11 项原则相对应。
注:本表不应被视为全面、明确的指南。如需完整的要求清单,请咨询审核员。
| OSFI 准则 B-10 原则 | 我们如何提供帮助 |
|---|---|
| 成果 1:治理和问责结构明确,全面的风险战略和框架到位。 | |
|
原则 1:"FRFI 对管理各类第三方安排所产生的风险负有最终责任"。 原则 2:"FRFI 应建立第三方风险管理框架(TPRMF),为识别、管理、降低、监测和报告与使用第三方有关的风险规定明确的问责、责任、政策和流程"。 |
Prevalent 公司与您合作,以成熟的最佳实践和丰富的实际经验为基础,建立全面的第三方风险管理 (TPRM) 计划。 我们的专家与您的团队合作,共同定义和实施 TPRM 流程和解决方案;选择风险评估问卷和框架;优化您的计划,以应对从采购和尽职调查到终止和离职的整个第三方风险生命周期。 作为这一过程的一部分,Prevalent 可以帮助您确定:
|
| 成果 2:确定并评估第三方带来的风险。 | |
| 原则 3:"FRFI 应在作出第三方安排之前并在此后定期确定和评估该安排的风险。风险评估应与安排的重要性相称。具体而言,联邦储备金机构应进行风险评估,以决定第三方的选择;(重新)评估安排的风险和关键性;并计划适当的风险缓解和监督"。 |
Prevalent 可集中并自动分发、比较和管理招标书 (RFP) 和信息请求书 (RFI)。我们的解决方案还能提供业务、声誉、财务和数据泄露风险洞察,为供应商选择决策提供信息和背景资料。 Prevalent 将每个选定的供应商转入签约和/或入职尽职调查阶段,自动推进供应商的第三方生命周期。 Prevalent 拥有一个由 750 多个预建模板组成的库,可用于持续的第三方风险评估。这些模板与本地网络、运营、声誉和财务风险监控功能集成,可持续验证评估结果并填补评估之间的空白。 内置的补救建议可确保第三方及时、满意地处理风险。 有了这种能力,Prevalent 可以在签订第三方协议之前对第三方进行评估,在整个合作关系中定期进行评估,并在合作关系发生重大变化时进行持续监控。 |
| 原则 4:"FRFI 应在与第三方签订合同或其他形式的安排之前进行尽职调查,并根据 安排的风险程度和关键性不断进行尽职调查"。 |
Prevalent 提供合同前尽职调查评估,根据八项标准进行明确评分,以捕捉、跟踪和量化所有第三方的固有风险。标准包括
通过这种固有的风险评估,您的团队可以自动对供应商进行分级;设定适当的进一步审查级别;并确定持续评估的范围。 基于规则的分层逻辑可利用一系列数据交互、财务、监管和声誉方面的考虑因素对供应商进行分类。 Prevalent 拥有一个由 750 多个预建模板组成的第三方风险评估库。评估可在合同续签时进行,也可按任何要求的频率(如每季度或每年)进行。评估问卷可以是全球性的,也可以是区域性的,以满足独特的法律或运营要求。 Prevalent 可根据风险评估结果提供内置补救建议。这些建议由工作流程和任务管理功能提供支持,以确保第三方及时、满意地处理风险。 集成的本地网络、运营、声誉和财务风险监控功能可在定期评估之间标记重大变化,并可触发通知、后续评估或其他行动。 有了这项功能,Prevalent 可以让您的企业在签订协议之前、作为合同续签流程的一部分、根据风险和关键程度定期进行风险评估,或者在第三方协议发生重大变化时进行评估。 |
| 原则 5:"FRFI 负责识别、监测和管理由其第三方进行的分包安排所产生的风险"。 |
Prevalent 可通过问卷评估或被动扫描第三方面向公众的基础设施来识别第四方和第 N 方分包关系。由此生成的关系图描述了可能使您的环境面临风险的信息路径和依赖关系。 对通过此流程发现的供应商进行持续监控,以识别财务、环境、社会和治理、网络、业务和数据泄露风险,并进行制裁/PEP 筛选。 这种方法为解决潜在的技术或地域集中风险提供了见解。 |
| 成果 3:在 FRFI 风险承受能力框架内管理和降低第三方带来的风险。 | |
| 原则 6:"FRFI 应订立书面安排,规定各方的权利和责任"。 |
Prevalent 可集中分发、讨论、保留和审查供应商合同。它还提供了工作流程功能,可自动完成从入职到离职的合同生命周期。主要功能包括
有了这种能力,您就可以确保在供应商合同中明确规定责任,并对 SLA 进行相应的跟踪和管理。 |
| 原则 7:"在整个第三方安排期间,FRFI 和第三方应建立并保持适当的措施,以保护记录和 数据的保密性、完整性和可用性"。 |
Prevalent 为开展隐私评估和降低第三方及内部隐私风险提供了一个集中式协作平台。主要数据安全和隐私评估功能包括
|
| 原则 8:"FRFI 的第三方安排应允许 FRFI 及时获得准确和全面的信息,以协助其监督第三方的业绩和风险。FRFI 还应有权对第三方进行或委托进行独立审计"。 |
有了 Prevalent,审计人员就可以建立一个计划,有效地实现和证明合规性。该解决方案通过收集供应商风险信息、量化风险、建议补救措施以及针对数十种政府法规和行业框架生成报告,实现了第三方风险管理合规性审计的自动化。 Prevalent 可将从基于控制的评估中收集到的信息自动映射到 ISO 27001、NIST、GDPR、CoBiT 5、SSAE 18、SIG、SIG Lite、SOX、NYDFS 和其他监管框架,使您能够快速直观地了解并满足重要的合规要求。 此外,Prevalent 还可通过嵌入式机器学习洞察力,揭示单个供应商或群体的风险趋势、状态和常见行为的异常情况。这将使您能够快速识别评估、任务、风险等方面的异常值,从而开展进一步调查。 |
| 原则 9:"FRFI 与第三方的协议应包括在中断情况下提供业务的能力,包括业务 连续性和灾难恢复计划的维护、测试和启动。联邦储蓄银行应为其重要的第三方安排制定应急计划"。 |
Prevalent 可自动对第三方业务复原力和连续性进行评估、持续监控、分析和补救,同时自动将结果映射到 NIST、ISO 和其他控制框架。 为了补充业务复原力评估并验证结果,Prevalent:
这种积极主动的方法使您的组织能够最大限度地减少第三方干扰的影响,并始终满足合规要求。 Prevalent 平台包括基于 ISO 22301 标准实践的全面业务复原力评估,使组织能够:
当需要终止或退出关键服务时,Prevalent 可利用可定制的调查和工作流程,报告系统访问、数据销毁、访问管理、相关法律合规性、最终付款等情况。该解决方案还可根据离职评估的答案提出行动建议,并在必要时将任务分配给审查人员。 |
| 成果 4:第三方绩效得到监测和评估,风险和事件得到积极应对。 | |
| 原则 10:"FRFI 应监督其第三方安排,以核实第三方是否有能力继续履行其义务并有效管 理风险"。 |
Prevalent 可持续跟踪和分析第三方面临的外部威胁。该解决方案可监控互联网和暗网的网络威胁和漏洞,以及声誉、制裁和金融信息的公共和私人来源。 所有监测数据都与评估结果相关联,并集中在每个供应商的统一风险登记册中,从而简化了风险审查、报告和应对措施。 监测来源包括
|
| 原则 11:"FRFI 及其第三方均应制定成文的流程,以有效识别、调查、上报、跟踪和补救事 件,确保持续的业务和财务复原力,并将风险水平维持在 FRFI 的风险偏好范围内"。 | Prevalent 可让您的团队通过集中管理供应商、进行事件评估、对已识别的风险进行评分以及获取补救指导,快速识别第三方供应商事件并减轻其影响。 |
| 成果 5:FRFI 的第三方风险管理计划允许 FRFI 识别并持续管理一系列第三方关系。 | |
| 成果 6:第三方开展的技术和网络业务透明、可靠和安全。 |
Prevalent 平台包含一个庞大的标准化评估库(包括 NIST 和 ISO 最佳实践框架的评估)和自定义功能,可灵活评估第三方。对于提交SOC 2 报告而非完整第三方风险评估的第三方,Prevalent 可帮助您映射 SOC 2 报告中发现的控制漏洞,在中央评估平台内创建针对第三方的风险项目,并针对缺陷和其他风险进行跟踪和报告。 无论网络安全框架如何,Prevalent 都能帮助您缩短评估时间并降低风险。 |
