新加坡金管局就拟议的《第三方风险管理指南》征求反馈意见

知识亮点 19 March 2026

2026年3月6日，新加坡金融管理局（“MAS”）发布了一份征询文件，就拟议的《第三方风险管理指南》（“《指南》”）征求反馈意见。征求意见截止日期为2026年4月20日。

金融机构通常会借助第三方服务来支持其运营及向客户提供服务。此举虽可提升成本效益并带来其他益处，但也会产生需要金融机构审慎管理的风险。例如，服务提供商发生的不利事件可能导致金融机构运营中断或客户信息丢失。

随着金融机构对第三方服务的使用已扩展到外包领域之外，MAS拟出台本《指南》，以阐明其对已使用或计划使用第三方服务的金融机构的监管期望。该《指南》吸收了金融稳定委员会、巴塞尔银行监管委员会等国际标准制定机构的指导意见。《指南》将取代《外包指南（银行）》和《外包指南（非银行金融机构）》，并将目前适用于外包服务的相关期望之适用范围扩大到所有第三方服务。

对于银行和商业银行，关于银行外包相关服务管理的MAS 658号公告和关于商业银行外包相关服务管理的MAS 1121号公告（合称“《公告》”）将继续有效，并继续为银行和商业银行管理外包安排设定基本要求。银行和商业银行在满足《指南》期望的同时，还应遵守《公告》的要求。对于涉及客户信息披露的第三方服务安排（包括外包安排），银行和商业银行还必须确保此类披露符合《1970年银行法》第47条的规定。

《指南》的主要特点如下。

相称性原则

金融机构实施《指南》中期望的程度和范围，应与其规模和复杂性、其所使用第三方服务的风险性质和重要性相匹配。该做法旨在平衡金融机构为遵守监管期望所需付出的努力与第三方服务给金融机构带来的风险水平。

对金融机构分支机构及/或子公司的监督

拥有分支机构或子公司，且（一）受MAS并表监管；或（二）是关键信息基础设施所有者的金融机构，应考虑其分支机构以及/或子公司（包括位于新加坡境外的）所使用的第三方服务对其并表业务的影响。该金融机构应通过应用符合《指南》的第三方风险管理框架，确保其分支机构和子公司遵守《指南》。该金融机构应有清晰的结构和流程，以便其董事会和高级管理层履行其对金融机构及其分支机构和子公司的第三方风险进行监督和管理的职责。该金融机构还应将其分支机构或子公司在使用第三方服务过程中遇到的不利情况通知MAS。

第三方安排的记录与登记册

为有效管理第三方风险，金融机构应能够（一）识别并监控其第三方安排的风险重要性变化；（二）了解其集中度风险（例如，在服务提供商层面或地理层面）；（三）在可能的情况下，梳理与其重大第三方安排相关的依赖关系和相互联系。实现该目标的方式之一是，金融机构在可行且实际的情况下，保存其第三方安排的记录，并在有新安排或现有安排发生影响风险的变化时更新该记录。

MAS提议，金融机构应使用拟议的模板，每半年一次或应要求向 MAS提交第三方安排登记册。该登记册至少应包括其所有重大第三方安排（在可能情况下，包括重大分包商）。为免生疑义，《公告》中的要求继续适用。银行和商业银行只需提交一份登记册，涵盖范围内的第三方安排，包括（一）从服务提供商处获得或接收的所有持续的外包相关服务；以及（二）从服务提供商处获得或接收的、涉及《公告》中规定的客户信息披露的所有外包相关服务。

治理、风险管理和战略

《指南》规定了金融机构董事会和高级管理层的职责。这些职责包括：确保具备完善流程来全面掌握金融机构因第三方服务而产生的风险敞口，并将此类风险的评估和缓释措施纳入金融机构的风险管理框架。MAS期望金融机构建立一个与其更广泛的运营风险管理框架和使用第三方服务提供商的战略相一致的第三方风险管理框架。此外，金融机构应制定与其他相关战略（如运营风险管理战略和技术风险管理战略）及其整体风险偏好相一致的第三方风险管理战略。《指南》规定了金融机构第三方风险管理战略应涵盖的领域。

第三方安排生命周期

《指南》为第三方安排生命周期的各个阶段提供指引：

• 风险评估：金融机构应识别和评估通过第三方安排提供的潜在服务的风险类型、程度及重要性。评估应在金融机构计划与现有或新的服务提供商达成第三方安排时，或在发生影响该安排的重大变更时开展，并作为金融机构第三方安排的审批、战略规划、风险管理或内部控制审查的一部分定期重新进行。《指南》就金融机构在风险评估中应评估的因素提供指引。
• 尽职调查：《指南》列明金融机构对服务提供商进行尽职调查时可涵盖的领域，包括服务提供商的一般情况以及客户信息的保护。银行和商业银行仍须遵守《公告》的要求，并按照《公告》中规定的频率，对其重大的持续外包相关服务开展尽职调查。
• 合同订立：《指南》列明MAS对金融机构与服务提供商之间协议的期望，包括金融机构应考虑纳入的合同条款。拟议的合同条款融合了MAS现有的期望以及国际标准制定机构相关文件中的期望。
• 准入和持续监控：《指南》就金融机构应采取哪些措施来准入和监控其第三方安排提供了指引。MAS拟要求金融机构定期对第三方安排进行尽职调查，包括在金融机构、服务提供商或可能影响服务交付的外部环境发生重大变化时。对于重大第三方安排，重新进行尽职调查的频率应由金融机构董事会批准，并与该安排带来的风险相称。具体而言，重大第三方安排的审计频率应由董事会批准，并与相关服务的性质、范围和复杂性，以及该安排给金融机构带来的风险性质和程度相称。银行和商业银行仍须遵守《公告》，包括《公告》中就重大持续外包相关服务规定的审计频率。
• 终止：金融机构应制定退出计划，以应对各种可能发生的终止情景。《指南》就此类计划应包含的方面提供指引，并列明金融机构应考虑是否终止第三方安排的服务提供商协议的情形，以及MAS可指令金融机构终止该协议的情形。

分包商的使用

由于分包商的使用可能给金融机构的供应链带来额外风险，因此即使金融机构可能与分包商没有直接的合同关系，也必须管理这些风险。在可能的情况下，《指南》中关于金融机构管理重大第三方安排中服务提供商风险的期望，应理解为扩展到管理重大分包商带来的风险。

MAS拟要求金融机构在切实可行的情况下，将其重大分包商纳入其第三方安排记录中。金融机构应尽可能确保服务提供商在聘用重大分包商之前以书面形式通知金融机构。

穿透分包，即涉及金融机构聘用服务提供商，而该服务提供商将将其受聘向金融机构提供的服务的全部或大部分进行分包，这种情况在金融机构和最终服务提供商之间增加多层环节。由于这可能会削弱金融机构进行有效监督的能力，MAS拟要求金融机构评估所涉及的风险，制定缓释措施，并确保有效监督。

MAS进一步建议，对于重大第三方安排，金融机构应在风险相称和尽最大努力的基础上，采取合理措施，确保重大分包商遵守与服务提供商类似的标准，例如，通过在其服务提供商协议中加入适当条款，将部分合同要求传递给重大分包商。

不利情况

在发生不利情况时，服务提供商应配合MAS，提供全面及时的信息。如果配合不力，MAS将考虑采取进一步行动，并在情节严重时，要求金融机构终止或不续签涉及该服务提供商的安排。

豁免服务

根据现有的《外包公告》和《外包指南》，金融机构在使用“豁免服务”时，不受MAS关于外包的要求和期望的约束。豁免服务包括完全由政府科技局（GovTech）或其代理机构提供的服务，以及非为开展该机构任何金融业务而执行的服务（例如，清洁和园艺）。MAS建议在拟议的《指南》中保留“豁免服务”的详尽清单，以便获得或接收任何豁免服务的金融机构无需遵守拟议《指南》中与该豁免服务相关的期望。

MAS进一步建议，金融机构使用金融市场基础设施（“FMI”）和公用事业服务应被纳入豁免服务。此举考虑到将金融机构使用FMI和公用事业服务纳入《指南》期望范围所面临的实践挑战。

尽管如此，使用豁免服务仍可能给金融机构带来重大风险，金融机构应制定适当措施来管理因使用此类服务而产生的风险。金融机构仍应有适当的业务连续性措施和事件响应计划（例如，在发生中断或金融机构机密信息泄露时），以应对其使用豁免服务带来的风险。

过渡期

MAS拟规定，拟议《指南》自发布之日起六个月后生效，为金融机构提供过渡期以完成必要安排，包括更新第三方服务协议以满足《指南》中规定的期望。

在《指南》发布前，MAS期望金融机构管理与其第三方安排相关的运营、技术和网络风险，例如，在发生影响服务提供商风险状况的重大变化或事件时，重新进行风险评估。金融机构还必须建立稳健的业务连续性措施和有效的事件响应机制，以最大限度地减少由服务提供商相关事件引起的服务中断。