6月7日,货币监理署(OCC)发布了备受期待的《2013年第三方关系管理指引》更新版(OCC公告2017-21)。 尽管该指引大部分内容聚焦于处理金融科技公司相关问题,但其中若干关键领域此前几乎未获OCC正式阐释。本系列博客首篇将探讨指引中一项将显著优化第三方关系管理流程的要点。
合作
我很高兴看到货币监理署(OCC)终于采纳了协作理念。该指引前部分(第4-6节)主要探讨了协作的益处、采用通用/标准化信息收集工具进行尽职调查评估,以及组建用户群体的必要性。此前OCC虽曾非正式提及协作的优势(及可行性),如今终于正式认可银行在第三方风险管理领域开展协作的理念。 OCC承认,通过协作"开展尽职调查...及持续监控"是降低2013-29号文件要求的第三方风险管理成本的有效途径。
作为共享评估计划的前任项目主任,我曾多次被要求阐述监管机构对银行采取第三方尽职调查共享机制的立场,以及共享第三方安全控制通用问卷的合规性。值得庆幸的是,该问题现已获得明确答复。2017至2021年间,货币监理署(OCC)明确指出尽职调查共享机制具有可接受性,并阐述了其优势:
银行可利用各类工具评估第三方服务提供商的管控措施。这类工具通常通过让参与的第三方填写统一的安全、隐私及业务韧性控制评估问卷,为尽职调查和持续监控提供标准化方法。第三方完成问卷后,评估结果可共享给多家银行及其他客户。 在风险管理生命周期的合同谈判阶段,协作能增强银行的议价能力并降低成本。
OCC 2017-21号文件同时鼓励银行加入共享第三方服务提供商的用户团体。该文件指出,此类用户团体对小型金融机构和社区银行尤为有利,因其缺乏支持大规模风险管理计划的资源。
值得注意的是,2017-21年期间,货币监理署(OCC)重新阐明了其关于第三方尽职调查通用使用方式的立场(此前该立场未正式公布)。《指引》第五部分重申了核心原则:尽管金融机构可共享尽职调查及持续监控信息,但各机构仍需基于自身风险评估,独立判断第三方风险控制措施的可接受性。 因此,银行必须建立健全的机制,对第三方生命周期各环节的风险控制措施进行评估、必要时实施整改,并提供相应文件记录。
普瑞瓦伦公司长期引领着行业协作讨论,始终致力于通过通用存储库和用户网络,赋能银行共享评估尽职调查及持续威胁监测能力。如今获得OCC 2017-21文件的认可,至少可以说令人倍感安心。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
