准备好您的 TPRM 计划，以适应新的美国证券交易委员会网络安全披露规则

艾希莉：呃，还有几位嘉宾需要介绍。我是艾希莉，在Prevalent公司负责业务拓展。今天我们有幸邀请到几位特别嘉宾。呃，退休首席隐私官约瑟夫·马丁内斯。你好，约瑟夫。

约瑟夫·马丁内斯：采购。

艾希莉：哦，采购部。真抱歉。呃，首席采购官。还有我们自己的产品营销副总裁，斯科特·朗。嘿，斯科特。

斯科特·朗：嘿，艾希莉。

艾希莉：嗯，先做些会议安排说明。本次网络研讨会正在录制，结束后我们将尽快发送录播视频及演示文稿。 目前各位的麦克风均处于静音状态，但我们鼓励大家积极参与。请将问题提交至问答区，我们将在研讨会结束时统一解答。今天约瑟夫将为大家解读美国金融监管机构关于第三方关系的联合指导意见。约瑟夫，现在请您开始讲解。

约瑟夫·马丁内斯：谢谢。非常感谢。首先，我要感谢Prevalent公司及其团队邀请我今天就这个备受期待的话题与各位交流。 对我们金融服务从业者而言，这至关重要。近两年来，我们始终翘首期盼着关于第三方关系的最终跨机构指导意见发布。记得2021年7月，该文件首次公开征求意见。征询期历经延长，终于在两年多后的今天，我们迎来了这一刻。 可以说，包括我在内的许多同仁都持续关注着《联邦公报》，时刻期待着这份最终指南的发布。那么，让我们正式开始吧。查看今天的议程，我们有大量内容需要探讨。 这份指导文件近七十页，对吧？我希望预留时间解答各位问题，但若本次会议无法覆盖所有提问，我们将在未来几周安排第二场会议，确保各位 在项目开发过程中获得所需全部信息。因为合规要求的变化——特别是为满足第三方风险管理的最终跨机构指导方针——具有相当关键的意义，因此深入探讨至关重要。 通常我不偏好大量图表，但本次会议将包含大量——我是说，我本倾向于结合大量图表与详尽叙述，但这次为确保规范解读的准确性，不得不侧重文字说明。 因此我们重点涵盖四个领域：其一是概述美国金融跨机构指导方针；其二是界定FDIC和OTC委员会定义的第三方生命周期阶段；其三是要分析各机构在生命周期各阶段需满足的要求；其四是要总结最佳实践——这些不仅适用于金融服务行业，所有行业都可借鉴。 请切换至下一张幻灯片。下一张，谢谢。我目前仍显示议程页面，不确定各位是否可见。斯科特，

斯科特·朗：不，我在那个……我在相关机构的幻灯片上，上面有美联储、联邦存款保险公司和OC的三个徽标。你没看到吗？

约瑟夫·马丁内斯：请再切换一张幻灯片。就是这张。那么，我们先从说明开始。相关机构都参与其中。好的。联邦存款保险公司董事会确认这是正确的幻灯片。没错，就是这张。不过他们花了些时间才达成共识，真正希望共同探讨如何协调各自的指导方针。 要知道，各机构的视角略有不同。美联储理事会负责监管银行控股公司及在美国运营的外国银行机构，其职责范围明确；而联邦存款保险公司则为银行提供存款保险，并推动健全的银行业务实践。 而FDIC则监管州立特许银行——这些银行不属于联邦储备体系，是众多社区银行的主要联邦监管机构。此外还有货币监理署（OCC），作为美国财政部下属独立机构，负责监管国家银行和联邦储蓄协会。 这些机构之间存在相互制约关系，因此让它们共同商讨如何制定一致性指导方针（而非各自保留细微差异）确实很有意义。请切换到下一张幻灯片。 最终的指导意见由各监管机构联合发布，旨在促进健全的第三方风险管理实践。该最终指导意见就银行在第三方关系全生命周期中制定和实施风险管理实践时应遵循的风险管理原则提出了见解。 该最终指导意见同时指出，健全的第三方风险管理需综合考量风险复杂程度、银行机构规模及第三方关系性质。这一原则至关重要——将银行机构规模纳入考量，将切实有助于其有效落实合规要求。 监管机构发布此联合指引旨在统一监管方法，该文件将取代各机构现行相关通用准则，适用于所有受监管银行机构。需要明确的是，银行机构使用第三方服务时， 切勿误以为通过第三方就能免除银行自身在运营管理方面的责任。因此，我们必须认真审视相关操作实况。 再次强调，使用第三方服务不会减轻或免除银行机构确保业务活动安全稳健、符合相关法律法规的责任。 此外，当前正在撤销并替换所有相关指引——包括董事会2013年指引、FDIC 2008年指引、OC 213-29文件以及2020年常见问题解答。 所有这些文件均已废止，截至6月6日，最终版跨机构指导方针已正式发布。目前距离新规生效仅逾一月，时机恰逢其时，这正是我们展开讨论的契机。请切换至下一张幻灯片。

阿什利：嘿，约瑟夫，我是阿什利。呃

阿什莉：所以你知道，监管机构发布了联合指引，旨在促进各机构采取一致的监管方法。这份指引主要阐述了银行在制定和实施风险管理流程时可遵循的核心原则，这些单位真的……嗨，约瑟夫，你介意关掉摄像头吗？你的信号好像有点不稳定。大家能听到我说话吗？

约瑟夫·马丁内斯：抱歉，技术故障。

约瑟夫·马丁内斯：我们试着关掉摄像头试试，或许能改善画质。希望这样行得通。是的，我的带宽很充足。我实际连接的是高速宽带，所以不太清楚问题出在哪儿，不过我们还是继续吧。 没错。我们审视这份指引时，要知道它本质上是为银行制定的操作规范。关键要理解这是指导性文件，并非即将生效的法律条款。另外，即使使用第三方服务，银行的责任义务也不会因此免除。 你们仍需确保自身行为符合我们所关注的标准。请切换到下一页。这份指引的核心在于规范银行机构如何建立第三方合作关系。 众所周知，金融科技领域正涌现大量新型供应商和合作机构。因此我们必须深入思考当前趋势。第二个要点尤为关键——即即使缺乏合同或报酬关系，第三方合作关系依然存在。 这点值得我们深思——过去我们总从合同角度审视第三方关系，关注其法律属性；如今我们需要以更广阔的视角看待问题。我认为指导原则中阐述的理念对我们至关重要。 因此，银行若未能妥善管理第三方相关风险，可能面临包括重大财务损失和运营中断在内的负面影响。这正是该指引如此重要的原因。银行必须识别、评估、监控并控制第三方相关风险。

约瑟夫·马丁内斯：关系。这是我们需要重点思考的核心原则。请切换到下一张幻灯片。需要强调的是，并非所有关系都具有同等风险等级，对吧？ 监管机构已明确并简化了指导方针，删除了某些重复且无用或可能被解读为过度规范的细节。通过这种方式，他们希望我们能够深入思考：对某家银行机构至关重要的活动，对另一家机构可能并非如此。 这又回到了我之前提到的，监管机构正考虑银行的规模因素。如今他们不再用单一标准衡量所有机构，而是根据各机构的实际情况制定相应要求。因此我们必须认真思考这些变化背后的深意。 再次强调，各银行机构需自行识别关键业务及其支撑这些关键业务的第三方关系，因为这取决于该银行的风险偏好和风险管理方法。我认为这是我们需要厘清的重要概念。现在请看下一张幻灯片。 监管机构还强调，该指引是基于原则制定的。所谓原则性指引，是指其建立在一套基本规范、规则或价值观之上，为决策和行动提供框架。监管者并非提供详细的强制性规则和指令，而是确立了机构必须遵循的一套原则。

约瑟夫·马丁内斯：所以再次强调，当我们审视这些内容时——这些只是对讨论主题的高层级概览——但要知道，监管机构真正想传达的是： 你们必须支持银行机构采用基于风险的方法评估第三方带来的风险，然后据此调整第三方管理流程，确保所做工作与实际业务场景相匹配——这几乎就像在解魔方，对吧？ 因此在管理生命周期的每个阶段，都必须让具备必要知识和技能的员工参与。监管机构要求你们真正整合组织内多领域的专家——无论是法律顾问，还是风险合规团队，或是技术部门的专家。跨领域专家的协同至关重要。需明确的是，银行若采用第三方评估服务（例如Trusite这类评估机构），这类服务作为工具使用。因此，若银行将其纳入商业合作范畴，该合作安排必须整合到银行的第三方风险管理流程中。 因此，即便业务已外包，仍需通过自身视角进行审慎评估。关键在于明确第三方关系所支撑的具体业务活动——需特别注意的是，对某家银行至关重要的业务活动，对另一家银行可能并非如此。这些都是我们必须深思的问题。请切换到下一张幻灯片。 现在我们来定义第三方生命周期的各个阶段。从业一年以上的同仁可能已熟悉这套框架，但鉴于各监管机构现已达成共识，我们仍需系统梳理。

约瑟夫·马丁内斯：那么我们请看下一张幻灯片。您会发现这张幻灯片虽然有些陈旧，但内容直接摘自最新指引。 好的，该内容最初由货币监理署发布。但现已由董事会、联邦存款保险公司及货币监理署共同修订，将其纳入风险管理生命周期的各个阶段。具体包括：规划、尽职调查与第三方选择、合同谈判、持续监控，以及流程末端的终止环节。 这意味着我们现已拥有可重复的标准化流程——包含定性与定量评估，确保风险处理的一致性。为符合新规要求，我们需合理配置工作量，在恰当时机调配合适人员。我很欣慰各方能达成共识并采纳具体方案，因为我认为这点对我们至关重要。现在请翻到下一页，我们将审视组织在生命周期各阶段需满足的要求——相关指导文件已提供了非常详尽的指引。 重申一次，这些并非强制性规定，但请相信我，监管机构会介入并审查这些内容。那么进入下一张幻灯片，我们先从规划流程开始，好吗？在探讨规划时，我已详细解读了法规文本和指导文件，并为各位提取了关键信息。 由于各位将获得完整资料副本，我不会逐条详述，但希望大家能真正理解这些文件的核心内容。这些指导文件实质上阐明了规划的思考路径、需考虑的要素以及管理方法。

约瑟夫·马丁内斯：所以当他们谈论理解商业安排的战略目的时，你需要明白该安排如何与组织的整体战略目标、具体目标、风险偏好、风险状况以及更广泛的企业政策相契合。 这涉及大量信息需要梳理，但这正是考官希望你思考的核心——当你识别并评估商业安排带来的收益与风险时，他们要求你确定如何妥善管理这些已识别风险。因此，仅识别风险远远不够。 必须采取接受或缓解措施。因此他们要求你全面思考：在考量业务安排性质时，需从整体视角出发，并结合实际业务发生地进行评估—— 因为当你审视其要求时，他们真正关注的是：你如何实际部署合规计划？工作执行地点的具体情况？以及是否存在本地或全球监管要求施加于此。 因此当看到第三点提到"考量业务安排的性质"——包括业务量规模、分包商使用、所需技术、客户互动及境外第三方服务商运用时，这点既是新增内容也是关键所在。 所谓境外第三方，特指为贵公司运营提供服务且位于外国（包括离岸/近岸地区）的第三方机构，其受该国法律及司法管辖。 因此，该术语不包含外国企业的美国子公司，因为其服务运营受美国法律管辖。所以他们真正需要思考的是如何实际操作这一规定。

约瑟夫·马丁内斯：我认为这确实至关重要。当我们评估第三方合作关系如何影响银行机构的员工（包括双重身份员工）时，必须明确银行需要采取哪些过渡措施来管理现有内部业务外包带来的影响。 监管方要求你们思考这些问题，并证明拥有切实可行的方案：既要确保员工培训达到适当水平，也要对个人、服务及公司进行充分尽职调查。我认为他们在构建框架方面做得越来越出色。 接下来你需要将这个框架转化为具体的项目方案。请看下一页。延续这个主题，关于风险程度和复杂性——评估潜在第三方对客户的影响，包括：• 客户信息的访问与使用• 第三方与客户的互动（如呼叫中心）• 潜在的消费者损害风险• 客户投诉与咨询的处理 还需考量消费者受损风险及客户投诉处理机制。这要求企业从宏观层面思考问题——第六点虽属高阶要点，却蕴含大量实施复杂性。当我们提及理解潜在信息安全实施影响时，这既涉及银行系统访问权限， 以及接触机密信息的权限。这点至关重要——尤其在当前频发的数据泄露事件中，我们发现许多漏洞实际上源自供应链环节而非企业内部。所以，他们希望我们对此予以重视。

约瑟夫·马丁内斯：第八项在考量潜在物理安全影响时至关重要，这涉及他们是否需要进入银行设施、是否会到现场作业。虽然疫情后情况有所变化，但仍有第三方供应商为提供商品和服务必须进驻现场。当我们审视第十项时——即评估银行组织能否持续对拟议的第三方关系实施充分监督与管理——这便体现了核心要义。 这包括人员配置水平、专业能力、风险管理及合规管理体系是否均符合要求。他们需要确保贵行具备与系统相匹配的内部控制水平，有效落实合同中书面约定的业务安排，并实施恰当的监控。因此，所有这些都属于前期规划范畴。 若想成功推进业务，必须在实际行动前就考虑这些问题。请切换到下一张幻灯片。当我们谈及尽职调查时，您知道这包含规划阶段，随后便是尽职调查环节。没错，这指的是在选择第三方并建立合作关系前，对其进行尽职调查。 这是健全风险管理的重要环节，也是关键环节。尽职调查流程旨在为银行提供必要信息，以评估其能否准确识别、监控并管控所建立合作关系中的相关风险。该流程包括评估第三方履行预期活动的能力。

约瑟夫·马丁内斯：您知道，银行要遵守相关政策，确保其经营活动符合适用法律法规，以安全稳健的方式开展业务。这需要评估其财务可行性。 还要考察他们的资产配置等情况。所以这其实需要全面考量——监管机构认为，银行仅凭第三方实体类型就降低尽职调查标准是不恰当的。 在意见征询期收到大量相关反馈，其中部分意见试图探讨如何根据第三方实体类型减轻尽职调查负担——显然这些建议未获采纳。因此当银行指导意见同时指出：评估第三方关系风险时，银行可参考各类外部信息来源。这意味着银行不应仅依赖内部资源，而需整合外部信息——但必须确保真正理解并有效运用这些信息。 但获取外部信息并不减轻贵机构的责任——必须确保尽职调查达到应有标准，所引入的信息必须由贵机构承担管理责任，方能确保其有效可用。 因此，指导方针明确指出：在特定情况下，银行应考虑采取措施降低风险；若风险无法消除，则需判定残余风险是否可接受——这意味着你们必须建立健全的风险管理方法论，并能切实向监管方证明对业务的有效管控。 因此我认为，我们必须思考监管机构采取这些措施的根本原因。

约瑟夫·马丁内斯：他们这么做是因为回顾2008年至今，第三方合作方出现了诸多问题，因此他们希望将这段时间积累的经验教训融入指导方针中。具体来说，他们正在建立一套可操作的框架体系，确保相关措施能够切实落地。我认为我们必须深刻思考行动的初衷与实施路径——这套框架不仅要明确方向，更要提供可执行的操作规范。提供一个可操作的框架体系。因此我们必须深刻理解行动的初衷与实施路径。这份指导方针的价值在于，它吸收了《操作手册》常见问题解答中的核心理念。 好的。他们将这些概念融入不同环节——无论是规划阶段还是尽职调查等环节，对吧？ 所以，这个指导方针实际上是将大量常见问题整合到流程中，这样你现在不需要翻阅多份文件，而是有一份清晰一致的指南，帮助你真正看清实际情况。 但归根结底，该指引强调银行有责任识别并评估与各第三方相关的风险，并根据机构规模、组织复杂度、风险特征以及所建立的第三方关系性质，量身定制风险管理措施。 监管机构并未将任何特定第三方关系排除在指引范围之外。此前曾有机构询问：能否豁免银行间交易？能否豁免关联方等？监管方明确表示：指引范围不排除任何特定第三方关系。请切换至下一张幻灯片。

约瑟夫·马丁内斯：因此在进行尽职调查时，其范围和程度应与业务性质相匹配。机构需明确并记录尽职调查的任何局限性，理解这些局限带来的风险，并考虑风险缓解方案——包括可能寻求其他信息来源。对吗？ 因此，尽职调查确实包含评估第三方履行预期活动的能力、遵守银行机构政策及相关活动的能力、遵守所有适用法律法规的能力，以及以安全稳健的方式开展活动的能力。 我特意在此强调并重申这一点，因为这直接源自监管指引，且所有从事第三方风险管理超过一天的人都清楚：从尽职调查视角出发时，这正是工作的核心基础。 但监管机构正重新强调并强化这一理念。我认为我们必须深入思考其具体运作机制。请切换至下一张幻灯片。 如图所示，他们公布了14个重点尽职调查领域，并在每个领域下详细列出了大量信息。我将这些内容展示出来，是因为我们需要思考：他们希望我们关注什么？我们需要进行哪些审查？ 因此，若贵方现有项目尚未在尽职调查阶段覆盖这14个领域，很可能面临问题——比如收到MRA（市场准入报告）或MIR（市场准入审查）等通知。所以关键在于：既要理解这些要求，更要思考如何切实落实，对吧？

约瑟夫·马丁内斯：因为当你审视这些要素时——每项都至关重要。以财务状况为例，你所看到的其实是对第三方财务可行性的评估。因此，无论是从财务报表、年度报告，还是证券交易委员会等机构的备案文件中获取的信息，都用于评估该方的财务可行性。这本质上是对第三方财务可行性的评估。因此，从财务报表、年度报告、证券交易委员会备案文件等渠道获取的信息，都将用于评估合作供应商的财务能力和稳定性。这意味着每个环节都需要投入大量精力。 我建议各位深入思考当前项目如何应对这些问题。若应对力度不足，请务必思考如何切实解决。 在评估支撑项目的工具时，务必确认：我能否通过现有工具追踪并汇报这些领域？这点至关重要。部分工作需线下完成，多数可借助工具实现，但核心在于—— 我认为他们现在特别强调的领域之一是——如果你看E项，关于关键人员资质背景及其他人力资源考量的大致表述，但他们真正想做的是审查第三方负责人及其他关键人员的资质和经验。所以现在他们要求我们进行双重核查，对吧？ 他们要求我们深入分析实际接触的第三方人员构成。因此若当前尚未开展此类工作，这无疑是亟待解决的领域。另一考量点是第三方是否具备培训机制，确保其员工理解自身职责与责任。

约瑟夫·马丁内斯：然后就是关于适用法律法规的知识，这些法规适用于你们所执行的工作内容，对吧？因此我认为我们需要重新审视历史做法——虽然过去的做法很出色，但现在需要深入剖析。有些机构在第三方监管方面，其实只受到名义上的影响。 因此对他们而言，许多内容都是全新的。他们可能会惊呼：天啊，我该如何围绕这些内容构建工作流程？ 如何切实证明合规性？重申一次，这些只是指导原则。发布这些原则的初衷，正是为了让我们能够系统思考如何以严谨精炼的方式构建合规体系——该体系必须自各机构董事会层级自上而下贯穿实施。 所以，当你思考这些时，其实涉及大量工作。因此我建议你仔细梳理每个环节，深入具体指导内容，务必审慎理解要求事项。在执行过程中，你需要明确技术层面可利用的资源，以实现这些目标。 深入研究具体指导方针，务必审慎理解各项要求。在此过程中，需从技术角度考量如何增强方案的弹性与易用性，同时确保能切实符合指导方针要求。现在请翻到下一页。 现在我们从前期规划阶段，经尽职调查阶段，进入合同谈判阶段。请注意，这些内容包含大量标准信息，它们源自多年来的各类审查、各方反馈意见以及各类检查结果。所有这些工作，本质上都是为了帮助企业明确： "这些是我们认为需要考虑的要点。"

约瑟夫·马丁内斯：现在我们要根据这个标准来评估你，对吧？所以，在谈判合同时，银行需要明确界定各方的权利与责任，这非常重要，必须确保实际落实到位。 因此，采用标准主服务协议（MSA）或主采购协议等模板至关重要，对吧？确保协议中包含绩效考核基准指标同样不可或缺。 必须明确定义绩效指标，才能切实评估第三方表现。这在银行与第三方签订的服务水平协议中尤为关键——必须向对方明确展示双方的考核标准与预期，并能切实证明我们纳入了绩效合规性、政策程序遵循性、 以及对适用法律的遵守情况，这些都将贯穿整个流程。后续进入持续监控阶段时，所有这些要求都将得到落实。但若未在合同中明确规划，在执行过程中就很难要求第三方达到应有的合规水平，对吧？ 因此，关键在于合同条款需明确规定：第三方必须履行的义务内容、执行时限、汇报方式，以及银行作为监管方所拥有的权利——包括 监控其风险、评估其表现，并要求其按时提交报告、数据及提供访问权限。 这些都是确保项目成功所需的关键要素。若未将这些条款纳入合同，后续执行将面临巨大困难。当监管机构审查合同时，他们会发现：咦，这条款设计得很有意思。

约瑟夫·马丁内斯：你告诉我你在这么做，但你无法向我展示实际操作方式——比如你的合同里根本没有审计条款。 因此，确保监控绩效表现至关重要——必须将条款书面化，同时纳入独立审计条款，或当存在分包商时，确保有权限实地核查其工作情况。 在处理这些事务时，需注意实际法规中每项要点背后都包含大量细则。虽然我已将其归纳为要点清单，但每项要点背后都对应着法规中数页的详细规定。 您需要重点关注成本与补偿条款。明确列明所有成本及补偿安排的合同，有助于减少建设过程中的误解和纠纷，并确保所有补偿协议符合银行稳健经营规范及适用法律。 关于他们希望你思考的内容，可以列举很多，但重要的是将这些视为快速指南，自问："我的合同模板是否涵盖这些要点？"若答案是否定的，就需要讨论应对方案。切记不要流于表面。 你需要深入挖掘，理解他们制定的指导原则——这代表着他们对你思考方向的最低要求。这些条款必须真正严谨可靠，因为他们会核查你的主协议内容与实际签署协议的差异。

约瑟夫·马丁内斯：所以他们想确认——你告诉我合同里原本有分包条款，但实际签署的协议中该条款已被谈判删除。明白了。重申一次，这是团队协作的事。责任不仅在于第三方风险管理团队，不仅在于业务部门，也不仅在于采购组织或法务部门。 众多参与方都需切实履行职责，确保合同条款得到严格遵守、有效纳入协议，并能切实证明其执行情况。随着工作推进，他们将重点关注一个关键领域——这个领域多年来一直是监管焦点。 我曾负责企业保险事务，这正是监管方重点关注的领域。他们需要了解企业向第三方传递的保险要求——包括保险类型与保额的具体规定。同时他们还需确认：企业是否被列为附加被保险人？若未被列名，则需追问原因。 所以所以所以，你需要深思熟虑——这不仅关乎保险额度高低，更在于如何真正落实操作。要通过审核，你必须重点关注分包环节，因为监管方会严格审查你向其他机构转嫁的责任范围，毕竟这涉及大量工作。 时间有限，请直接跳到下一页。 好的。其实监管机构的意图并非强制推行特定的持续监控方案，而是引导银行将持续监控视为常规的第三方风险管理流程。他们希望你们思考：这如何融入现有项目体系？如何适应机构的复杂性？又如何契合机构的风险特征？对吧？

约瑟夫·马丁内斯：通过这种方式，他们希望你思考持续监控可以采取周期性或连续性两种模式。他们并未限定必须选择其一，而是指出两种方式皆可实施——当第三方关系涉及高风险活动时，更全面或更频繁的监控更为适宜。 因此，你必须建立一套方法论，从而厘清活动本身的实际关键性，以及供应商的关键性，这样你才能知道持续监控的基本构建依据是风险等级——因为关键事项往往需要更深入的持续监控管理视角。 若属低风险项目，则存在差异化处理空间——他们赋予这种灵活性，旨在确保当企业具备恰当方法论且明确风险偏好时，任何超出风险偏好的事项都将获得显著不同的监控强度，区别于风险偏好范围内或低于偏好的事项。 请翻至下一页。此处延续持续监控的讨论。需注意，这些内容仅是监管方认为应纳入考量的事项。 此外，指引明确指出银行机构可考虑通过合作机制或借助外部力量来补充持续监控工作。这点颇具创新性——即允许使用第三方协助完成该流程。但需注意，必须确保第三方切实符合贵机构的标准要求，对吧？

约瑟夫·马丁内斯：因为当你审视持续监控机制时，你会发现它赋予银行的核心能力在于——银行需要同时关注风险的层级与类型，因为这些要素在合作关系存续期间可能发生变化。因此你需要相应调整持续监控的实践方式。 所以，根据第三方合作关系的演变性质，你可能需要调整监控频率、信息类型或监控层级。接下来请看下一张幻灯片，这样就能初步了解风险复杂性及其背后的驱动因素了。 当你们开始审查现状时，监管方既希望你们提升效率，也要求确保操作流程真正有助于合规保障。 他们在此阐述得相当到位：第三方财务状况的变动（包括对其他方的财务义务）——这可通过财务可行性风险评估来验证。关键在于要定期执行评估，而非仅在尽职调查阶段初始进行。 这需要持续进行，对吧？或者通过相关审计、测试结果及其他报告，证明第三方是否仍具备管理风险、履行合同义务及满足监管要求的能力。所以，你必须思考如何向监管机构和董事会证明你正在采取的措施，因为合规性至关重要。 需要强调的是，监管框架并非以强制性指令呈现，而是以符合逻辑的通用原则展开。企业需将这些原则融入自身合规体系，转化为具体行动、活动及报告，从而有效展示合规成效——这最终取决于企业自身业务的复杂程度。

约瑟夫·马丁内斯：这取决于你在执行过程中将考虑哪些因素。请切换到下一张幻灯片。正如我刚才所说，这一切都是前文内容的延续——确保培训达到适当水平，特别是针对银行机构员工及第三方提供的培训。 那么，如何证明培训有效？能否展示实际执行情况？对吧？再次强调，你们是否设有保密条款？是否对第三方实施了责任下放机制？对吧？ 第三方对事件的响应机制或业务连续性安排至关重要——任何可能危及机构运营的环节都必须落实到位。不能仅凭"我们以为他们有业务连续性计划"这种说辞蒙混过关，毕竟从未实际测试过该计划。 在我从业生涯中，多年前就见过这样的案例：企业拥有精美的业务连续性计划，背后却毫无实质支撑。那些华丽的PPT在当时很漂亮，但当洪水来袭、地震发生时，第三方供应商往往会抛弃你，因为他们根本没有可执行的详细计划。 正因如此，将这些内容落实成书面文件、定期进行监控、实地核查其有效性至关重要。接下来进入下一页，你会看到：鉴于本指南采用广泛原则导向，各机构并未针对特定主题或关系类型修订指南。 需要特别注意的是：针对某些主题或关系类型的独立指导原则，其实早已存在于其他指南中。除非被明确废止，否则此类具体指导事项不受新指南影响。

约瑟夫·马丁内斯：所以如果他们针对网络安全事件发布了相关指引，但这些内容并未被纳入此处，那么这些事项仍然存在。因此，这些内容仅是从持续监控角度出发，供您思考的要点。现在我们进入生命周期下一张幻灯片的第五部分。 终止阶段，对吧？我总爱这么思考：要么终止合作，要么续签协议。比如银行可能因各种原因终止合作关系。 比如合作自然到期、合同到期；也可能是违约行为；第三方未能遵守相关法律法规；或是出于各种原因需要寻找新供应商；甚至可能将业务转为内部处理，或直接终止该业务。 因此当这种情况发生时，组织管理层必须高效有效地终止合作关系——无论业务是转交其他第三方、内部化处理还是彻底终止。所有这些可能性都需提前规划，这也是为何合同会明确列出终止相关的各项成本与费用。 比如如何处理共同知识产权？这些问题必须在合同阶段就予以考量，但最终执行环节仍需在终止阶段落实。因此我们必须对此予以重视。 请切换到下一张幻灯片。时间所剩不多，我们先进行宏观概述。几周后我们会深入探讨细节，但此刻我们想向各行业组织推荐一些最佳实践方案。

约瑟夫·马丁内斯：当你思考这个问题时，其实各行各业的企业在第三方风险管理方面都可以遵循若干最佳实践，对吧？其中关键的一点就是——你必须清楚自己的第三方供应商是谁。你必须明确供应商的优先级排序，对吧？ 你需要确保持续监控供应商，那么具体如何实现呢？必须实现流程自动化。无论银行机构如何构建流程，我提到的这些实践都是通用的，需要通过监督与问责、独立审查、文件记录和报告机制来落实。 这些措施将引导我们聚焦核心议题。机构可通过多种流程实现此目标，因此—— 问责机制通常由业务线承担，从第一道防线角度考量。不过我见过银行将该流程集中管理的案例——有时归属合规部门，有时由信息安全部门负责，有时纳入采购流程，有时则交由其他风险职能部门。但关键在于：该项目的成熟度、建立的完善性，以及项目本身具备可审计性，这些都是我们必须重点思考的要素。 那么，如果我们看下一张幻灯片，这始于董事会，对吧？归根结底，董事会负责确立愿景蓝图，对吧？因此，他们建立的关系网络对我们至关重要，对吧？ 因此，无论是否涉及第三方风险管理，任何项目都需建立完善的监督与问责机制。银行董事会肩负最终责任，并通过要求管理层承担相应责任来履行职责。

约瑟夫·马丁内斯：所以董事会将提供明确的指导方针，帮助你们设定可接受的风险偏好，批准相关政策，并确保建立适当的程序和实践。 但归根结底，他们以足够高的视角和独立性审视事务，以引导企业驶向正确方向。因此在履行职责时，董事会或其指定委员会通常会综合考量诸多因素—— 例如第三方关系的管理方式是否符合银行的战略目标或愿景等。他们会明确阐述愿景框架及评估标准，而管理层则需在下一页幻灯片中落实具体操作方案。 管理层肩负着治理与监督责任，这至关重要——我再次列出这些要点（各位会收到副本，恕不逐项详述），关键是要设立第三方风险管理委员会，将第三方风险管理将第三方风险管理纳入银行整体风险管理流程，确保与第三方签订的合同经过适当审核、批准和执行——这绝非简单签字盖章。实际操作需基于风险等级、金额规模及复杂程度进行审慎决策。因此管理层的职责在于建立有效运作的流程机制。 那么，请看下一张幻灯片，此时就需要考虑独立审查了。银行机构必须定期开展独立审查，评估其第三方管理流程的有效性。这才是真正见真章的环节——因为此时第三道防线开始发挥作用。

约瑟夫·马丁内斯：他们正在审查贵组织如何切实建立并遵守既定规范——你们是否践行了承诺？执行是否到位？是否达到超越最低标准的成熟度？是否真正构建了能帮助你们降低并理解风险的有效体系？ 管理层将依据独立审查结果，决定是否及如何调整第三方风险管理流程与方案。例如：是否需要修订政策？报告机制是否完善？现有资源与专业能力是否匹配？ 控制措施是否到位？因此管理层必须对发现的问题或疑虑及时全面回应，并酌情上报董事会。虽然具体操作涉及诸多细节，但我想强调这些核心要点供大家思考。顺便提一句，这适用于所有行业，不仅限于银行。 这属于规范操作范畴。接下来我们审视文档记录与报告环节——虽然涉及内容繁杂，但这两者实为核心要素，能协助组织内外人员开展管控活动。 因此，根据第三方关系的风险程度和复杂性，需要开展多种不同的活动。当我们谈论当前所有第三方关系的清单时，这实际上帮助我们清晰识别那些与高风险活动（包括关键活动）相关的关联关系。

约瑟夫·马丁内斯：所以，如果你没有切实可行的方法来展示你的库存状况，并且将这些库存数据与你的方法论进行比对，以便通过风险评估流程来判断是否存在超出风险承受范围的项目。 要知道，这种情况对整个团队而言恐怕不会有好结果。此外，定期向董事会汇报也很重要。这同样适用于任何依赖单一供应商的情况——若多家供应商同时陷入财务困境， 比如供应商遭遇网络攻击等事件时，必须审慎规划补救措施的层级，明确各环节的责任人，及时接收第三方报告等。请看下一张幻灯片。 实际上，每家监管机构都会在常规流程中审查受监管银行机构的风险管理及第三方合作关系。监管审查将评估风险管理措施的有效性，判断业务活动是否安全稳健，以及是否真正符合相关法律法规要求。 他们的评估将重点考察：贵机构如何管理多元化的第三方合作关系——毕竟不同第三方关系带来的风险各异；贵机构是否真正理解如何根据风险特性调整管理措施；以及是否建立了切实可行、可衡量且可重复的风险管理程序？对吧？时间所剩无几了。 请直接跳到下一张幻灯片。各位能听到我的声音吗？

斯科特·朗：是啊，乔，我们听得到你。

约瑟夫·马丁内斯：很好。很好。是的。所以，你知道，我认为我们应该思考的一点是——当你们审视并评估自身的风险管理流程时，必须确保所有举措不仅能履行公司层面的管理义务，更能代表客户利益行事，对吧？ 你们如何设计流程来保护客户权益，确保他们公平获取金融服务？这不仅关乎流程规范，更要思考：这些措施如何真正创造收益？如何提升客户体验？我知道时间所剩无几。 我们直接切换到下一张幻灯片如何？我想请大家思考一些行业最佳实践，其中关键在于如何建立恰当的框架体系——既要确保有效的监督治理，又要配备工具控制机制，同时具备数据分析与可操作性报告功能。 如何合理规划这些要素才能恰到好处？接下来我想回答一些问题。 那么我们直接进入下一张幻灯片吧？这里主要阐述三道防线理论。若您在银行业从业超过一天，应该对此有所了解，但我仍将其纳入讨论，因为这个框架值得我们深入思考。我们将在下一环节进行更深入的探讨。 下一张幻灯片展示的是跨行业组织可遵循的最佳实践建议：这里是高阶运营框架，这里是风险识别清单，这里是目标设定，这里是第三方风险评估流程，以及评估中的具体实施环节。 请切换至下一页。此处重点在于如何运用基础框架进行思考。我用框标出的第二点是：分段管理与入驻流程至关重要。因为对合作伙伴的分类及方法论的实施，将奠定整个生命周期管理与监督的基础。 呃，下一张幻灯片。因此我们必须超越监管要求的思考维度，这绝非走过场式的勾选任务。所以，您需要思考如何保护组织的核心知识与专业能力。 比如：是否因与第三方建立依赖关系，导致该方出现问题时自身陷入困境？服务质量能否通过第三方实现端到端保障？是否评估过总成本？ 是否存在需要关注的额外或隐性成本？因为合同条款和协议约定是一回事，但当你着手实施计划时，供应商很可能会对此提出异议。 此外，您是否考虑过运营风险的增加？这些因素都至关重要，因为若我们仅关注监管要求而忽视实际方案设计，最终只会增加风险。 这将导致我们无法合规执行指导方针，进而影响每股收益，并损害我们在业内的声誉。现在请翻到下一页。 现在进入问答环节。我意识到刚才讲得有些快，我们计划安排第二场会议进行深度探讨。但本次内容确实需要全面覆盖，确保各位充分理解——毕竟这关乎我们思考的核心要义。 因为新指南刚发布，各位也清楚，指南出台后短期内就会开始实施，各方将着手调整项目以符合新规。那么，现在有问题吗？

艾希莉：嘿，谢谢你，约瑟夫。斯科特，你对这个话题还有什么补充吗？抱歉各位，我知道我们确实没时间提问了，不过约瑟夫会在即将举办的网络研讨会第二部分继续探讨，届时我们可以深入讨论更多相关信息。斯科特。

斯科特·朗：呃，不，我没什么要说的了。我们可以……我们可以继续了。

艾希莉：好的。非常感谢各位的参与。祝大家今天剩余时间愉快，周末也过得愉快，期待下次网络研讨会再见。干杯。