OSFI دستورالعمل های جدیدی را برای مدیریت ریسک های شخص ثالث – خدمات مالی اعلام می کند

دفتر سرپرست موسسات مالی (OSFI) خود را منتشر کرد راهنمای B-10 – مدیریت ریسک شخص ثالث(“راهنما“) برای همه موسسات مالی تحت نظارت فدرال (FRFIs)، به استثنای شعب بانک های خارجی و شعب شرکت های بیمه خارجی. این دستورالعمل انتظارات مدیریت ریسک شخص ثالث OSFI را برای FRFI ها تعیین می کند و بر برنامه های حاکمیتی و مدیریت ریسک تاکید می کند. FRFI ها را قادر می سازد تا روابط شخص ثالث را به طور مؤثر مدیریت و نظارت کنند.

زمینه

از سال 2001، OSFI راهنمایی هایی را در مورد فعالیت های برون سپاری به FRFIs در خود ارائه کرده است. دستورالعمل B-10: برون سپاری فعالیت ها، عملکردها و فرآیندهای تجاری (بازبینی شده در سال 2003 و 2009) (“قبلی راهنمادستورالعمل قبلی فقط برای فعالیت های برون سپاری اعمال می شد و راهنمایی برای فرآیندهای مدیریت ریسک FRFI و شرایط قراردادی با برون سپاری ها ارائه می کرد.

در پاسخ به خطرات جدید شخص ثالث ناشی از ا،یستم شخص ثالث پیچیده‌تر و گسترده‌تر که توسط FRFIها متکی است، OSFI دستورالعمل جدیدی را منتشر کرد که نه تنها برای ترتیبات برون‌سپاری، بلکه برای همه «ترتیبات‌های شخص ثالث» اعمال می‌شود. ترتیبات شخص ثالث به گونه‌ای تعریف می‌شود که شامل هر نوع تجارت یا ترتیبات استراتژیک است که توسط FRFI با شخص ثالث تحت یک قرارداد کتبی یا موارد دیگر (که اکنون شامل ارائه‌دهندگان خدمات ابری و شرکت‌های فناوری می‌شود) منعقد می‌شود. در نتیجه این اصلاح، روابط شخص ثالث بیشتری با FRFIها تحت نظارت OSFI تحت دستورالعمل خواهد بود.

این دستورالعمل فهرستی به روز شده از شرایطی را که باید در قراردادهای شخص ثالث مورد توجه قرار گیرد و راهنمایی در مورد قراردادهای استاندارد شده ارائه می دهد. مهمتر از همه، این دستورالعمل همچنین آستانه اهمیت در دستورالعمل قبلی را با رویکرد مبتنی بر ریسک جایگزین می کند.

جنبه های کلیدی این دستورالعمل در زیر خلاصه شده است.

نکات برجسته دستورالعمل

حکومت

این دستورالعمل بر روی یک شیوه حاکمیتی کارآمد و صحیح برای ترتیبات شخص ثالث تأکید می کند، زیرا FRFI ها در قبال فعالیت های تجاری، عملکردها و خدمات برون سپاری شده به اشخاص ثالث و مدیریت ریسک ناشی از ترتیبات شخص ثالث پاسخگو هستند. بر این اساس، از FRFIها انتظار می رود که یک چارچوب مدیریت ریسک شخص ثالث (TPRMF) ایجاد کنند که مسئولیت ها، سیاست ها و فرآیندهای روشنی را برای شناسایی، مدیریت، کاهش، نظارت و گزارش در مورد خطرات مربوط به استفاده از اشخاص ثالث تعیین می کند. این دستورالعمل ،اصر کلیدی را برای کمک به FRFI ها در تهیه TPRMF خود تعیین می کند.

مدیریت ارشد FRFIs باید اطمینان حاصل کند که آنها راضی هستند که فعالیت های تجاری انجام شده توسط اشخاص ثالث با ا،امات قانونی و نظارتی قابل اجرا و TPRMF آنها مطابقت دارد.

برنامه مدیریت ریسک شخص ثالث و کاهش آن

این دستورالعمل یک رویکرد مبتنی بر ریسک را برای مدیریت ریسک‌های مرتبط با ترتیبات شخص ثالث توسط FRFI بر اساس “سطح ریسک” و “مقاومت” ارائه‌دهنده خدمات معرفی می‌کند. OSFI انتظار دارد که ترتیبات شخص ثالث با سطوح بالاتر ریسک و بحران باید در معرض ارزیابی مکرر، دقیق و قوی‌تر قرار گیرد.

OSFI انتظار دارد که تحت برنامه مدیریت ریسک شخص ثالث FRFI:

• خطرات ناشی از اشخاص ثالث شناسایی و ارزیابی خواهد شد.




• این خطرات در چارچوب ریسک پذیری FRFI مدیریت و کاهش خواهند یافت.




• عملکرد شخص ثالث به طور مستمر تحت نظارت و ارزیابی قرار خواهد گرفت و هرگونه خطر و رویداد به طور فعال رسیدگی خواهد شد. و




• فناوری و عملیات سایبری انجام شده توسط اشخاص ثالث شفاف، قابل اعتماد و امن است.

انتظار می رود سطح ریسک و بحر، بودن به طور مداوم ارزیابی شود، برخلاف تاکید بر ارزیابی اهمیت در ابتدای رابطه همانطور که در دستورالعمل قبلی وجود داشت. این دستورالعمل عوامل مختلفی را تعیین می کند که می تواند توسط FRFI ها برای کمک به تعیین سطح خطر و بحر، اتخاذ شود. این موارد شامل استفاده شخص ثالث از پیمانکاران فرعی، توانایی FRFI برای ارزیابی کنترل های شخص ثالث، سلامت مالی شخص ثالث، میزان اتکای FRFI به شخص ثالث (از جمله قابلیت جایگزینی) و سایر خطرات مالی و غیر مالی مرتبط مرتبط است. با استفاده از شخص ثالث این دستورالعمل همچنین شامل راهنمایی دقیق تر در مورد ترتیبات پیمانکاری فرعی است.

توافقنامه با نهادهای شخص ثالث

همانند دستورالعمل قبلی، طبق دستورالعمل از FRFI انتظار می رود که ترتیبات خود را با اشخاص ثالث در یک توافق نامه کتبی مستند کنند. OSFI همچنین انتظار دارد که FRFIها در توافقنامه های کتبی برای ترتیبات پرخطر و حیاتی، مفاد مندرج در پیوست 2 دستورالعمل را لحاظ کنند. انتظار می رود در قراردادهای شخص ثالث، مسئولیت هر یک از طرفین در رابطه با محرمانه بودن، در دسترس بودن و یکپارچگی سوابق و داده ها مشخص شود.

OSFI تشخیص می دهد که ممکن است شرایطی وجود داشته باشد که در آن FRFI نتواند با اشخاص ثالث در مورد قراردادها مذاکره کند. در چنین مواردی، FRFI باید اطمینان حاصل کند که برنامه مدیریت ریسک شخص ثالث، این رابطه را شامل کنترل‌های کاهش و مک،سم‌های تداوم ،ب‌وکار برای خطرات احتمالی پوشش می‌دهد. FRFIها همچنین باید اطمینان حاصل کنند که برنامه مدیریت ریسک شخص ثالث آنها به ترتیبات شخص ثالث بدون قرارداد کتبی رسیدگی می کند.

OSFI همچنین انتظار دارد که ترتیبات شخص ثالث FRFIها به آنها امکان دسترسی به موقع به اطلاعات دقیق برای کمک به نظارت بر عملکرد شخص ثالث را بدهد و باید شامل رویه هایی برای شخص ثالث برای گزارش رویدادهایی باشد که ممکن است بر خطرات و ارائه خدمات تأثیر اساسی بگذارد. FRFI باید این حق را داشته باشد که یک حسابرسی مستقل از یک شخص ثالث انجام دهد و اطمینان حاصل کند که توافقنامه ها حاوی مقررات کافی هستند تا FRFI را قادر سازد تا با ا،امات گزارشگری گسترده خود مطابقت داشته باشد. مشاوره گزارش دهی حوادث فناوری و امنیت سایبری OSFI.

فناوری و ریسک سایبری در ترتیبات شخص ثالث

این دستورالعمل مست،م ایجاد نقش‌ها و مسئولیت‌های روشن برای کنترل‌های فناوری و سایبری است. در تعیین این مسئولیت‌ها، FRFI باید ریسک و اهمیت ترتیبات خود را در نظر بگیرد و در صورت ،وم، باید فرآیندهایی را ایجاد کند تا اطمینان حاصل شود که اشخاص ثالث با سطوح بالای فناوری و ریسک سایبری با استانداردهای FRFI یا استانداردهای شناخته‌شده صنعت، به‌ویژه در حوزه‌ها مطابقت دارند. مدیریت دسترسی و امنیت و حفاظت از داده ها.

با توجه به افزایش خدمات ابری، OSFI انتظار دارد که FRFIها اطمینان حاصل کنند که پذیرش ابر به صورت استراتژیک اجرا می شود و همچنین از FRFIها انتظار دارد که قابلیت حمل ابر را هنگام وارد شدن به توافق با یک ارائه دهنده خدمات ابری و همچنین خطرات قابل حمل و کاهش دهنده ها در غیاب قابلیت حمل را در نظر بگیرند.

برای ،ب اطلاعات بیشتر در مورد دستورالعمل، لطفاً با هر یک از اعضای گروه نظارتی خدمات مالی ما تماس بگیرید.

محتوای این مقاله به منزله مشاوره حقوقی نیست و نباید به آن استناد کرد. باید در مورد شرایط خاص خود به دنبال مشاوره ویژه باشید.