编者按:在本周的博客系列《第三方风险管理:如何规避监管雷达》中,我们将探讨《FFIEC信息技术检查手册》作为准备第三方相关审计的机制。请务必查阅本系列所有博客,并下载 白皮书 以全面了解相关要求。
联邦金融机构检查委员会(FFIEC)是美国一个正式的跨机构组织,由五个成员机构组成,有权制定联邦金融机构检查的指导方针、统一原则和标准,包括:
- 联邦储备委员会
- 联邦存款保险公司(FDIC)
- 国家信用合作社管理局(NCUA)
- 货币监理署(OCC)
- 消费者金融保护局(CFPB)
联邦金融机构检查委员会(FFIEC)编制了一系列手册或指南,供检查人员审查金融机构的IT实践时使用,从而为这些实践提供指导方针。其中关于如何管理第三方供应商相关风险的指导意见,对许多机构具有重要参考价值。 《业务连续性手册》附录J专门阐述了增强外包技术服务韧性的必要性。《信息安全手册》则设有独立章节,聚焦第三方服务供应商的监督管理。
这些IT手册要求对第三方供应商的业务连续性规划(BCP)和IT安全风险实施严格管理与追踪。其明确规定:必须建立风险管理政策,在选择第三方时应履行相关尽职调查,并将该政策纳入供应商协议。此外,供应商应依据约定要求接受管理与审计。
通过主流平台满足FFIEC第三方指导要求
Prevalent可协助满足《业务连续性手册》附录J及《信息安全手册》中"第三方服务提供商监督"章节所建议的第三方要求。
为响应FFIEC的建议,Prevalent:
- 通过基于内部控制的评估(采用行业标准框架或定制问卷),根据业务连续性计划手册附录J的建议,将要求与业务关系所呈现的风险等级相匹配,从而与技术服务提供商(TSP)建立明确界定的合作关系,以保障业务韧性。
- 聚焦于业务连续性规划相关问题,包括影响分析、运营风险评估及业务恢复管理,依据业务连续性规划手册附录J中尽职调查部分的建议。重点审查技术服务提供商及其分包商所带来的风险。
- 提供报告以满足审计和合规要求,并将调查结果呈报董事会及高级管理层,以支持业务连续性计划手册附录J中合同部分的建议。
- 提供完整的评估执行解决方案,包括问卷调查;整合并管理响应中文件化证据的环境;用于管理审查与处理发现问题的流程;以及强大的报告功能,为各级管理层提供必要信息,以便其妥善审查第三方绩效,从而满足业务连续性计划手册附录J中"持续监控"部分的要求。
- 提供快照式与持续性的供应商监控,可即时通知高风险问题、确定优先级并给出修复建议,以满足业务连续性计划手册附录J中网络弹性部分的要求。
- 通过采用行业标准及定制化问卷、双向工作流、强大的报告功能和完整的审计能力,自动执行供应商调查的收集与分析工作,以验证第三方服务提供商是否根据《信息安全手册》II.C.20条款(第三方服务提供商监督)的要求,实施并维持了足以有效降低风险的控制措施。
下一步工作
尽管法律并未强制要求,FFIEC仍为面临第三方风险管理审计的 金融机构提供了切实可行的指导。Prevalent通过其框架体系,助力企业落实FFIEC《IT手册》中的各项建议,全面识别、衡量、监控并缓解外包相关的风险。立即联系我们获取演示,了解具体实施方式。
我们的系列继续……
下周的博客将探讨信息安全领域的ISO标准。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
