MAS外包指南与第三方风险管理

新加坡金融管理局(MAS)已制定详细要求,规范第三方外包与非外包关系的管控。了解如何通过这些最佳实践简化MAS审计流程。

Mitratech 员工
Mitratech 员工 三月6,2023 6 分钟阅读
Decorative image

新加坡金融管理局(MAS)成立于1970年,作为中央银行及金融监管机构,负责对新加坡所有金融机构实施审慎监管——包括确保其具备抵御风险的财务与运营韧性。 2016年7月,MAS发布了关于第三方外包安排的指导方针。2018年10月,MAS扩展了外包指导范围,并于2022年8月再次发布题为《操作风险管理——外包与第三方安排管理》的信息文件。该文件中,MAS:

  • 发布了关于如何加强对第三方监督和治理的详细要求;以及
  • 建立了关于在外包安排生命周期内开展尽职调查的全面指导方针。

下图标明了所需的批准类型、评估、评估频率以及应提供的尽职调查文件,以支持《外包与第三方安排管理》信息文件中所述的评估工作。

MAS案例示例3

来源:操作风险管理——外包与第三方安排的管理——专题检查中的观察与监管期望——信息文件,2022年8月

本文探讨了管理外包与非外包安排的关键MAS条款,并指明了可用于满足MAS要求的最佳实践能力。

MAS外包与非外包指南

新加坡金融管理局《操作风险管理——外包与第三方安排管理》信息文件第三章,为金融机构在第三方风险管理生命周期的以下主要领域提供了具体指引:

  • 治理与管理监督
  • 识别与风险分类
  • 尽职调查(包括入职审查和定期审查)
  • 持续的风险管理与监控

治理与管理监督

新加坡金融管理局要求金融机构建立治理结构和框架;设定风险偏好;并建立管理报告机制。

为满足这些要求,金融机构应考虑在其第三方风险管理计划中制定以下标准:

  • 管理保护数据的政策、标准、系统和流程
  • 明确团队所有成员的职责分工(例如RACI模型)
  • 基于组织风险承受能力的风险评分和阈值
  • 基于第三方关键性的评估和监测方法
  • 第四方映射以确定上游依赖关系
  • 持续监测数据来源(例如网络安全、业务运营、声誉管理、财务状况等),以提供对新兴风险的实时洞察。
  • 合同关键绩效指标(KPI)和关键风险指标(KRI)作为衡量标准
  • 事件响应要求以应对潜在中断
  • 为满足多个内部(及外部)利益相关方的需求而进行的报告
  • 风险缓解与补救策略,包括补偿性控制措施的适用性

许多组织选择采用公认的风险管理框架如ISO)来实现这一目标。若您希望将TPRM计划的评估流程与行业框架自动化对接,请务必选择提供多种预设问卷选项的评估平台,这些选项需兼容多个框架体系。

识别与风险分类

MAS要求机构识别并分类第三方依赖关系。这包括建立管理和治理框架;识别并盘点第三方;根据其性质和风险特征进行分类;并制定标准以确定应适用的治理和尽职调查要求。

为满足这些要求,金融机构应:

  • 建立全面的供应商档案,涵盖人口统计信息、所有权结构、财务表现、CPI评分、现代奴役声明、行业与业务洞察,并绘制潜在高风险的第四方关联关系图谱。此举有助于集中管理第三方信息,为供应商全生命周期关系管理提供统一可信的数据源。
  • 对第三方进行固有风险评估以分级管理;设定适当的进一步尽职调查级别;并确定所有第三方持续评估的范围。评估标准可包括:
  • 对业务绩效和运营的关键性
  • 地点及相关法律或监管考虑因素
  • 对第四方的依赖程度(避免集中风险)
  • 接触过业务流程或面向客户的流程

尽职调查(入职审核与定期审查)

在尽职调查和定期审查方面,新加坡金融管理局建议将风险识别与风险分类工作产生的结果纳入考量,并据此制定客户尽职审查计划,以促进持续性审查的开展。

在建立合作关系之初、合同续签时以及发生重大事件(如数据泄露、合规违规或其他失职行为)时,均应开展第三方风险评估,以全面了解该第三方对贵组织构成的风险。关键成功要素包括:拥有丰富的问卷模板库以增强评估灵活性,并提供规范化的整改建议以确保第三方承担责任。在此过程中,务必做到:

  • 根据既定的测试规程,审查第三方评估响应及相关文件,以验证所示控件是否已到位。
  • 将响应映射到贵组织选定的控制框架。
  • 制定整改方案并跟踪直至完成。

持续风险管理与监控

为实现持续风险管理,新加坡金融管理局建议部署充分的风险监控工具和机制以管控第三方风险。需对互联网及暗网进行监控,防范网络威胁与漏洞,同时监测公共及私有渠道的声誉、制裁及财务信息。

所有监控数据均应关联评估结果,并集中存储于针对每个第三方建立的统一风险登记册中,从而简化风险审查、报告及响应流程。风险可通过热力图视图进行分类,该视图以发生概率和影响程度为坐标轴呈现。

监控来源应包含网络与非网络渠道的组合,以全面掌握第三方风险状况。具体示例包括:

  • 网络空间:犯罪论坛;洋葱页面;暗网特权访问论坛;威胁情报源;泄露凭证粘贴站;安全社区;代码仓库;漏洞数据库;数据泄露数据库
  • 商业:并购活动;商业新闻;运营动态
  • 声誉:负面新闻;以及政治人物(PEPs)。
  • 监管与法律:全球制裁名单;全球执法名单及法院文件
  • 财务:财务表现;信用评分;股东资金;实际所有权。

普瑞维兰如何助力满足MAS第三方风险管理要求

主流第三方风险管理平台可自动化处理接入、定期审查及终止重要与非重要第三方外包协议所需的工作流程,为多个团队提供关键能力,实现企业范围内的第三方风险管理集中化。该解决方案具备特定功能,可满足从审批到终止的全流程尽职调查要求。

普瑞维尔通过以下方式助力金融机构对其外包与非外包安排实施治理与监督:

  • 基于金融行业成熟的最佳实践,构建全面、灵活且成熟的第三方风险管理计划
  • 集中管理第三方档案,建立企业范围内的统一外包与非外包协议清单
  • 基于第三方对组织的重要性,实现其识别与评估的自动化
  • 评估并持续监控网络安全、业务、财务及声誉风险
  • 对照关键绩效指标(KPI)和关键风险指标(KRI)进行评估
  • 提供补救建议以降低第三方残余风险
  • 包含模板以简化向多个内部和外部利益相关方提交监管与安全框架审计报告的过程

如需了解Prevalent如何协助满足 新加坡金融管理局《操作风险管理——外包及第三方安排管理》 的要求 ,请立即下载我们的完整MAS检查清单申请演示

编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
授权。自动化。提升。三ratech

©2026 Mitratech, Inc. 保留所有权利。

授权。自动化。提升。三ratech

©2026 Mitratech, Inc. 保留所有权利。