Qifei Zeng
- 探索金融机构在下一代第三方风险管理(TPRM)方面面临的最新趋势和挑战。
- 在金融机构面临愈发严格的监管审查和复杂风险环境的背景下,探索如何提升管理工作的有效性与效率。
在过去的十年中,金融机构(FI)大大增加了对第三方(例如商户支付处理商、云服务提供商、金融技术公司)的使用。金融机构越来越将第三方视为竞争优势。与此同时,新兴的第三方风险使得基于风险的企业范围的第三方风险管理(TPRM)比以往任何时候都更加重要。持续的预算削减加上对业务连续性、合规性、声誉和网络安全的威胁日益增加,需要提高金融机构 TPRM 计划的有效性和效率。
最新 TPRM 趋势和挑战
虽然第三方在金融机构中发挥着越来越重要的作用,但金融机构反过来也面临着重大的 TPRM 挑战。以下是观察到的新趋势和挑战:
- 对第三方的依赖日益增加:金融机构越来越多地采用第三方技术来提高竞争力并促进创新。这导致该行业越来越依赖第三方提供的基于技术的服务。[1]
- 加强监管审查:全球监管机构正在加大对金融机构的压力,要求它们更好地管理第三方风险。最近美国关于第三方风险管理的机构间指南[2] 呼吁金融机构将具体原则应用于第三方生命周期的不同阶段。该监管指南和其他监管指南的一个共同主题是“弹性作为监管优先事项”,这使得金融机构必须仔细审查外包给第三方的全部关键活动,并实施缓解措施以保持运营弹性。
- 第三方造成的干扰和声誉损害增加:毕马威(KPMG)最近的一项调查显示,72% 的金融机构受访者“在过去 3 年内因第三方事件而遭受了重大破坏、金钱损失或声誉损害”。[3] 如,软件供应商的黑客攻击导致系统瘫痪。
- 有限的资源:由于经济不确定性,许多金融机构正在减少 TPRM 计划的支出。虽然 TPRM 的职权范围不断扩大,但金融机构仍然缺乏有效管理其面临的重大挑战所需的 TPRM 能力的深度和广度。
- 第三方风险范围扩大:第三方风险格局日趋复杂,金融机构面临新的风险。[4] 特别是,网络安全已成为 TPRM 的一个关键领域,随着数据泄露事件的增加,损害了 FI 数据。TPRM 也从仅关注直接缔约方发展到更广泛的视野,包括 N 个缔约方,以更好地识别潜在的制裁和集中风险。此外,随着可持续发展已成为全球的首要目标,金融机构在将 ESG 风险纳入其 TPRM 框架方面面临着越来越大的挑战。
提高第三方风险管理的有效性和效率的机会
第三方服务关系的生命周期
来源:美国联邦储备委员会(Board)、联邦存款保险公司(FDIC)和货币监理署(OCC)。过往表现不代表未来结果。本演示文稿末尾包含重要法律免责声明,请参阅。
第三方服务关系的生命周期通常包括规划、尽职调查和服务提供商的选择、签约、持续监控和终止[6]。随着新兴技术的兴起,金融机构有机会创新管理第三方风险并降低合规成本的方式:
- 不同系统之间的数据同步:许多金融机构面临的典型挑战之一是数据孤岛。每个业务部门都使用自己喜欢的工具,导致需要手动收集孤立的信息岛以进行决策。实施统一的第三方入职平台,自动聚合整个第三方生态系统的数据,使不同的团队能够无缝协作并快速做出决策。
- 自动化基于风险的工作流程:基于风险的方法根据第三方的风险水平定制 TPRM 工作,优化合规资源以查明关键的高风险第三方。自动化基于风险的工作流程使组织能够显着减少处理时间,同时增加评估量。
- 超越制裁和腐败风险的筛查:随着第三方风险领域的扩大,仅关注金融犯罪、制裁和腐败的传统筛查解决方案已不再满足有效且高效的 TPRM 需求。涵盖新兴风险领域的筛查解决方案有助于金融机构有效扩大风险覆盖范围,并在风险识别和评估方面采用更加一致的方法。
- 持续监控和动态风险评分:对第三方的持续监控和动态风险评分涉及在整个 TPRM 生命周期中对风险和威胁进行持续管理。它可以为第三方进行准确、实时的风险评分,从而可能减少审核量,并持续更快地缓解风险。
- 利用增强型尽职调查提供商的创新:如今,许多尽职调查提供商正在利用新技术(例如人工智能)来更快地进行尽职调查,其管辖专业知识的覆盖范围比金融机构内部的更广泛。此外,下一代提供商可以提供机器可读的风险数据,这些数据可以直接输入金融机构的系统,从而减少内部分析师的手动工作。
- N 方的映射:金融机构越来越多地使用第三方技术,导致集中度和运营风险增加,因为该行业的许多技术提供商共享相同的底层技术/数据基础设施。[7]因此,金融机构应对关键的 N 方进行适当的控制,以增强运营弹性。整合供应链映射功能将提供更好的大规模供应商景观可见性,并更快、更准确地发现潜在的风险漏洞
随着金融机构在不断变化的风险环境中越来越依赖第三方技术,提高 TPRM 的有效性和效率至关重要。拥抱新技术带来的创新可以带来巨大的好处——增加最关键领域风险洞察的广度和深度,同时减少人工工作。
1. Newsletter on third- and fourth-party risk management and concentration risk (bis.org)
2. https://www.fdic.gov/news/financial-institution-letters/2023/fil23029.html
3. TPRM challenges continue for financial services institutions (kpmg.com)
4. Federal Register :: Interagency Guidance on Third-Party Relationships: Risk Management
5. ESG risks in banks (kpmg.com)
6. Federal Register :: Interagency Guidance on Third-Party Relationships: Risk Management
7. Newsletter on third- and fourth-party risk management and concentration risk (bis.org)
法律免责声明
未经伦敦证券交易所集团事先书面同意,不得复制或转发伦敦证券交易所集团内容。
此发布内容仅供参考且不具有法律效力,不构成任何合同的一部分,不构成、也无意构成任何性质的建议。请勿依赖本网站所载声明而行事。虽然伦敦证券交易所集团已作出合理努力确保此发布内容准确可靠,但并不保证本文件不存在错误或遗漏;因此,在任何情况下,您都不应依赖本文件的内容行事,而应自行寻求独立的法律、投资、税务和其他建议。我们和我们的关联公司均不对此发布内容或其他任何内容中的错误、不准确之处或时效性负责,也不对您因依赖该等内容而采取的任何行动负责。
版权所有 © 2024 伦敦证券交易所集团。保留所有权利。
此发布内容仅由伦敦证券交易所集团、其相应的集团企业及/或其关联公司或许可人(统称为“伦敦证券交易所集团”或“我们”)提供。
我们及我们的关联公司均不保证任何第三方内容提供商、广告商、赞助商或其他用户提供的观点或意见准确无误,也不对此等观点或意见背书。我们可能会链接到、引用或推广第三方的网站、应用程序和/或服务。您同意,我们对不属于伦敦证券交易所集团的网站、应用程序或服务不承担责任,也不对该等网站、应用程序或服务拥有控制权。
此发布内容仅供参考。此发布内容包含的所有信息和数据均通过伦敦证券交易所集团认为准确且可靠的来源获得。然而,由于可能存在人为错误和机械错误以及其他因素,该等信息和数据均“按原样”提供,不含任何类型的保证。您理解并同意,此发布内容不构成、也无意构成任何性质的建议。因此,在任何情况下,您都不应依赖本文件的内容行事。关于任何特定证券、投资组合或投资策略的适合性、价值或盈利性,您应自行寻求独立的法律、投资、税务和其他建议。我们和我们的关联公司均不对此发布内容或其他任何内容中的错误、不准确之处或时效性负责,也不对您因依赖该等内容而采取的任何行动负责。您明确同意,使用此文件及其内容的风险由您自行承担。
在适用法律允许的最大范围内,伦敦证券交易所集团明确声明不作任何明示或暗示的陈述或保证,包括但不限于不包含任何关于性能、适销性、特定用途适用性、准确性、完整性、可靠性和不侵权的陈述或保证。伦敦证券交易所集团、其子公司、其关联公司及其各自的股东、董事、高级职员、代理商、广告商、内容提供方和许可方(统称为“伦敦证券交易所集团各方”)明确声明不对因访问、使用或无法获得此发布内容(或其任何部分)而导致或与之相关的任何类型的任何损失、责任或损害承担任何责任;对于任何直接的、间接的、后果性的、特殊性的、附带性的、惩罚性的或惩戒性的损害,无论因何而起,且即便伦敦证券交易所集团各方的任何成员事先被告知可能发生此类损害,或本可预见因使用或无法使用此发布内容中的信息而产生或导致的任何此类损害,伦敦证券交易所集团各方的任何成员也不对您承担任何(共同或各自的)责任。为免生疑,伦敦证券交易所集团各方对因本文件所载信息而引起的或与之有任何关联的任何损失、索赔、要求、行动、诉讼、损害、费用或开支概不负责。
伦敦证券交易所集团是各种知识产权(“IPR”)的所有者,包括但不限于用于识别、宣传和推广伦敦证券交易所集团产品、服务和活动的众多商标。未经书面许可或未签订适用许可条款的情况下,本文中的任何内容均不应被解释为出于任何目的而授予使用商标或伦敦证券交易所集团其他知识产权的许可或权利。
