美国监管机构提高对第三方风险管理的要求

最近发布的《第三方风险管理机构间指南》是对各种规模的银行广泛利用第三方关系的一种认可，值得欢迎。这些关系推动了产品和服务的开发，帮助银行掌握了新的技术平台，并创造了新的效率节约。

这些关系可以涵盖各种服务，包括 IT 支持服务、云计算服务、应用程序开发和支持、客户信用检查、模型开发、办公设施、薪资和人力资源服务、市场分析和数据等。

这些关系还包括行业合作关系，可能涉及信用卡服务、数字合作关系、品牌金融产品和其他促销活动。

处理根深蒂固的关系

该指南认识到，其中一些服务和合作关系已 深深扎根于许多银行业务模式中，因此银行的风险管理框架以及与之相适应的监管审查必须延伸到这些复杂的第三方关系 中。

拟议指南的发布为业界提供了提供意见的机会，同时也表明第三方风险管理（TPRM）已从 "很好拥有 "转变为 "必须拥有"。

公平地说，TPRM 的风险管理原则与银行业风险管理的其他方面相似。

该指南列出了几个需要考虑的核心领域：

• 规划
• 尽职调查和第三方选择
• 合同谈判
• 监督和问责
• 持续监测
• 终止

各种各样的挑战

在这些光秃秃的标题中，存在着重大的细微差别。

1. 首先，最大机构与最小机构在技术成果管理方面面临的挑战和问题截然不同。文本认识到，强迫处于两个极端的机构使用相同的系统和程序是不切实际的。取而代之的是，各机构应根据其独特的 TPRM 风险状况，制定相应的系统和程序。
2. 其次，指导意见认识到，第三方关系往往需要第四和第五层分包关系才能按照合同要求交付。这就要求银行在进行尽职调查和风险管理时，考虑这些更深层次关系的性质，而不仅仅是与之直接签约的第三方。银行需要了解如何获得这些深层关系的可见性，即使他们缺乏直接的合同关系。
3. 第三，这些深层关系凸显了集中风险问题。例如，在银行业，许多软件应用程序和服务提供商提供基于 SaaS 的功能，以实现其功能。它们通常使用少数几家云服务提供商中的一家来提供底层技术堆栈。 云服务提供商数量少意味着，如果其中一家出现任何大小问题，都有可能影响到银行的许多软件服务提供商。这反过来又会影响使用这些服务的银行，可能会影响关键业务流程，影响更广泛的经济和对银行业的信心。这些风险可能来自技术问题，也可能来自合同或商业发展。

将 TPRM 纳入企业风险格局

将风险管理的核心原则应用于 TPRM 意味着必须将这些风险纳入更广泛的企业风险管理中。这有助于企业将其 TPRM 情况纳入更广泛的业务恢复计划，以确保即使在业务中断的情况下，企业仍能按照金融部门监管机构和现实世界经济的预期提供核心服务。

虽然监管机构已经征求了反馈意见，但银行的发展方向已经明确，它们需要开始制定实施最终文本的计划。

那么，最佳的 TPRM 风险解决方案是什么样的呢？

能够 "触及 "供应链的纵深，意味着基于 SaaS 的分散式应用程序至关重要。处于供应链第三、第四和第五层的公司，即使没有直接关系，也能快速、轻松地满足企业的 TPRM 要求。

在银行内部，必须有一个中央存储库，其中包含相关的合同、政策标准文件以及不同供应商的风险概况。此外，主动监控供应链各个环节的能力也至关重要。如果在技术、商业、运营或政治等任何层面出现问题，银行的风险、运营和合规职能部门都可以根据需要积极应对。

Mitratech 提供一系列功能强大、久经考验的 TPRM 解决方案，帮助银行积极、果断地应对监管机构的更高要求。了解更多信息。