编者按:在本周的博客系列《第三方风险管理:如何规避监管雷达》中,我们将探讨英国金融行为监管局(FCA)针对企业外包云服务或其他第三方IT服务的FG 16/5指导文件。请务必查阅本系列所有博客,并下载 白皮书 以全面了解相关要求。
英国金融行为监管局(FCA)是英国的一个独立于英国政府的监管机构,负责监管向消费者提供服务的金融机构,并维护英国金融市场的诚信。
2018年7月,英国金融行为监管局(FCA)发布了最终版指引《FG 16/5:企业外包至"云"端及其他第三方IT服务的指引》,旨在协助金融机构有效监督外包安排全生命周期的各个环节。具体包括:
- 决定外包事宜及选择服务提供商
- 对所有外包安排进行适当的风险评估
- 持续监控外包活动,识别并管理风险
英国金融行为监管局(FCA)第16/5号指引在符合FCA手册中系统与控制(SYSC)章节所列常规外包要求的基础上,新增了针对云服务的专项管控措施,同时要求与《通用数据保护条例》(GDPR)保持一致。尽管该指引不具约束力,旨在说明企业如何遵守相关规则,但企业仍应结合监管体系下的总体义务来考量此指引。 遵循本指引通常表明符合FCA外包监管要求。
满足FCA云服务及第三方IT服务合规要求
英国金融行为监管局(FCA)FG 16/5指引旨在协助企业有效监督外包安排全生命周期的各个环节。为便于理解,本文将精选FCA要求进行梳理,并展示Prevalent第三方风险管理平台的核心功能,以彰显我们完整TPRM平台所能提供的广度与价值。 如需获取FCA要求的完整清单及Prevalent功能与其的直接对应关系,请务必下载白皮书《第三方风险管理合规手册》。
根据FCA FG 16/5规定,有效的第三方IT服务外包包括:
- 妥善识别并管理与使用第三方相关的运营风险,包括在决定外包前进行尽职调查。
- 实施并记录风险评估,以识别相关风险并确定缓解措施。
- 确保员工具备足够的技能和资源来监督和测试外包活动;识别、监控并降低相关风险。
- 开展一项安全风险评估,该评估涵盖服务提供商以及由公司管理的科技资产。
普瑞瓦尔助力根据英国金融行为监管局(FCA)指南评估和监控第三方
英国金融行为监管局(FCA)认为,企业合理使用云外包及其他第三方IT服务,是提升灵活性并推动创新的有效途径。另一方面,FCA也承认云外包可能引入需妥善识别、监控和缓解的风险。这需要通过适当的风险评估来实现。
普瑞维尔风险评估服务实现了供应商风险管理全周期的自动化——涵盖第三方风险的收集、分析与整改——为安全、隐私及风险管理专业人员提供统一解决方案,用于管理IT服务供应商风险评估流程,并判定其是否符合IT安全、法规及数据隐私要求。 该方案通过双向整改工作流、实时报告及高效易用的仪表盘,确保风险被及时识别并上报至相应渠道。
Prevalent的网络与业务监控解决方案使企业能够在签订合同前或特定业务合作期间,深入了解服务提供商潜在的网络漏洞或相关业务风险。该方案将原生漏洞扫描技术与多重外部网络威胁情报源相结合,为服务提供商的网络风险提供深度洞察。 此外,Prevalent的独特之处在于其商业风险监控服务——通过人工分析师解读潜在的运营风险、品牌风险、监管风险、法律风险及财务风险。
这些功能集中于Prevalent第三方风险管理平台,该平台提供高效的报告功能,既能满足审计与合规要求,又能向董事会及高级管理层呈现调查结果。用户可在集中式实时报告控制台中查看完整的风险概况,并可下载及导出报告以确定合规状态。深度报告功能包含筛选器和可点击交互式图表。该解决方案还包含一个完整的文档库,收录了尽职调查过程中收集和审查的所有文件。
普瑞瓦尔的第三方风险管理平台提供了一个完整的框架,用于实施政策管理、审计和报告,以满足英国金融行为监管局《FG 16/5指导意见》的要求。
立即联系我们获取演示,了解详情。
我们的系列继续……
下周的博客将探讨《通用数据保护条例》(GDPR)中固有的第三方风险管理考量。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
