在当今高度互联的金融生态系统中，银行为了保持竞争力比以往任何时候都更加依赖第三方供应商、平台和服务提供商。但这种依赖也带来了风险——尤其是在银行业，合规标准极高、客户信任至关重要、运营韧性更是不可妥协。管理这些风险不仅仅是供应商尽职调查的问题，还涉及保护机构声誉、确保合规一致性以及维护整个金融体系的完整性。对于加拿大通用银行（GBC）这样的机构，如何在与合作伙伴安全扩展的同时应对挑战，需要一本全新的风险手册——由自动化、智能化和集成化驱动。

GBC 是加拿大第一保险集团（First Canadian Insurance Corporation）的全资子公司，也是加拿大为数不多的私人持有的一类特许银行。该行成立于 2005 年，总部位于阿尔伯塔省埃德蒙顿，专注于提供专项贷款和存款产品，通过多样化的渠道合作关系支持加拿大的组织和消费者。

与许多大型同行不同，GBC 并没有零售网点布局。相反，该银行采用合作伙伴为核心的轻资产模式，直接与超过 2,000 家渠道合作伙伴合作，这些合作伙伴包括汽车经销商、抵押贷款经纪人、理财规划师和商业贷款团体。这种模式使 GBC 能够保持敏捷、精简和竞争力，同时为不同细分市场提供高度定制化的服务。

然而，这套为速度与规模而生的模式，随着业务扩张，也带来了严峻的风险管理挑战。第三方合作关系越多，每一家供应商和伙伴所附带的风险就越复杂。由于缺乏统一的管理平台，GBC 的合规、风控和安全团队逐渐被大量手工操作、流程割裂、评估标准不一以及缓慢的准入流程拖入泥潭。

意识到风险管理职能的压力不断加剧，GBC 在 2024 年初采取了大胆的举措，决定对第三方风险管理（TPRM）项目进行全面转型。在 GBC 首席风险、合规与安全官 Adam Ennamli 的领导下，这项计划不仅旨在实现 TPRM 的现代化，更意在从根本上重写该行的风险手册。

这场转型的核心是一项与Coverbase的合作，Coverbase是一家新兴的人工智能驱动型TPRM平台的领导者。在短短几个月内，该平台的实施帮助 GBC 重新定义了公司与第三方的互动、评估和监控的方式——不仅提升了合规性，还加快了业务运转速度，并增强了竞争地位。

挑战：不断扩大的合作伙伴生态与过时的风险管理架构

随着 GBC 拓展业务线，尤其是在超级优质汽车金融和商业贷款领域，第三方关系的数量和多样性激增。每一项合作都需要适当的尽职调查、合同管理、风险分析和持续监控，以满足内部标准和监管要求。

直到2023年，GBC的TPRM流程仍依赖于手工操作：电子表格、邮件往来、共享文件库以及内部知识。风险评估的开展和记录并不一致，没有所谓的“唯一可信来源”。收集SOC 2 报告、财务审计文件、信息安全问卷——往往需要数周时间。后续跟进完全依赖人工，既耗时又低效。入驻后的持续监控更是巨大的挑战。

最紧迫的风险因素如图1所示。

 

与此同时，监管压力也在不断加剧。加拿大金融机构监管办公室（OSFI）近年来发布了修订后的指导方针，尤其涉及：

• B-10 指南：第三方风险管理

• B-13 指南：技术与网络风险管理

这两份指南都强调了健全的尽职调查、董事会层面的透明度和持续监控的重要性。对于 GBC，这一刻成为了转折点。

“风险已不再是理论上的假设。”Ennamli 表示，“我们清楚地意识到，我们需要一个能够随业务同步扩展、自动执行工作流，并满足最高监管标准的平台。”

Ennamli 于 2022 年加入 GBC，他立即意识到现有的方法无法持续。他清楚银行虽有一支小而精的团队，但无论人员多么有能力，组织都无法在碎片化、手工化和割裂的流程基础上实现规模化或标准化。依赖当下的流程和工具，GBC 管理风险的能力根本无法跟上业务的发展。

从新供应商的入驻，到 SOC 2 报告的评估、信息安全问卷的管理，以及合同义务的跟踪，TPRM 生命周期中的众多环节都迫切需要现代化。银行需要：

• 一个端到端统一管理第三方风险的平台

• 自动化工作流以大幅减少人工干预

• 一致且可审计的风险评分机制

• 与内部系统的无缝集成

• 基于角色的访问控制

• 对加拿大监管要求的原生支持

更重要的是，GBC 需要的不只是一个工具或供应商，而是一个真正的合作伙伴——能够共同设计、持续迭代，伴随其业务演进而不断成长的解决方案共创者。

解决方案：人工智能驱动的TPRM

GBC 的目标不仅是将一个过时的风险管理系统数字化，而是从根本上重新设计第三方风险管理方法，并以业务成果为导向。这并不是为了“为 AI 而 AI”，而是银行采用了一种有纪律、与业务紧密结合的框架，评估哪些解决方案能够支持更快、更安全的增长，同时提升运营效率和合规卓越性。

GBC的管理层坚信，任何现代化的 TPRM 转型都必须直接支持银行的核心使命：更快地建立高质量合作关系、降低成本、提升资本合作伙伴的回报——同时消除摩擦和低效。

经过广泛的供应商评估流程，GBC最终选择了Coverbase。这个决定基于战略业务需求而不仅仅是技术特性。根据 Ennamli 的说法，银行在启动转型时并不是在寻找一个标有“AI”的万应灵丹。选择合作伙伴的首要任务是确保解决方案的成果与业务需求保持一致。因此，甄选团队关注的重点是 Ennamli 所说的 “so what” 和 “know what” ——也就是能够让银行不断发展的业务需求。他深知，工具的选择必须务实，能够帮助 GBC 实现战略业务目标。

GBC 在选择平台时的主要考量包括：

• 聚焦且高质量的产品 —— TPRM 平台为管理供应商、合作伙伴和服务提供商的风险而专门构建。

• 共创与战略影响力 —— 共创模式让 GBC 能够直接参与产品功能的设计，并推动产品的演进。Ennamli 将其称”游戏中的皮肤(skin in the game)”，即 GBC 有机会围绕真实业务场景塑造工具，而不是将现有流程生硬地套入供应商的固定功能。

• 安全与控制措施的内置设计 —— GBC 的监管义务要求银行必须保持严格的数据主权与控制。TPRM 平台提供了托管在加拿大的单租户云环境，具备先进的加密协议、可定制的访问控制措施以及完整的数据隔离。这一架构不仅让 GBC 满足了监管机构和内部利益相关方的要求，也让第三方和业务合作伙伴建立了信心。

• 务实且结果导向的 AI —— 借助 AI，平台能够自动化执行文档接收、政策与控制分析、安全问卷评估以及自动生成报告等任务。GBC 在不牺牲质量和准确性的前提下，将人工工作量减少了高达 80%。

定制化实施：为GBC而建，与GBC共建

TPRM 平台的实施始于2024 年1月，不到六周便顺利上线。如此快速的部署，得益于高层管理的强力支持、专门的项目团队，以及系统无需大量配置延迟或外部咨询即可实现定制化的能力。

实现快速部署的关键有三个因素。首先，双方都清楚地认识到风险管理软件并非“一刀切”，任何软件或 AI 解决方案在开箱即用时都不可能完美。团队在前期投入了时间，对系统进行微调，使其精准符合预期。其次，该软件在设计之初就明确定位为灵活且高度可定制以满足金融机构的需求和要求，即便在 GBC 快速扩张业务的过程中也能适应。第三，平台具备自动化集成功能，使数据导入系统所需的人工工作量最小化。GBC 团队能够在不到两个工作日内开始第三方评估。

无论员工多么优秀，组织都无法在碎片化、手工化和孤立的流程之上实现规模化或标准化。

在上线后的前 90 天，GBC取得了多个里程碑成果：

• 数据整合——所有现有的第三方供应商数据，包括风险评估、合同、合规文档、审计记录和安全问卷，都迁移到新平台中。此前分散存储在共享驱动器、电子表格和邮件往来中的数据被标准化、清理并建立索引，以便于搜索和引用。

• 风险分类法开发——GBC 与 Coverbase 合作，开发了一套定制化风险分类法，符合 OSFI B-10《第三方风险管理》与 B-13《技术与网络风险》指南，以及美国国家标准与技术研究院（NIST）网络安全框架（CSF）原则。这一分类法成为标准化风险分类和评估逻辑的基础。

• 自动化风险评分——团队实施了一套 AI 驱动的评分引擎，能够分析来自供应商回复、文档（如 SOC 2 报告、保险凭证）以及内部评估表的结构化与非结构化数据。系统根据与银行风险偏好和监管要求挂钩的可配置阈值，分配风险等级。

• 工作流定制化——并非所有第三方的风险都相同。GBC 构建了基于角色的工作流和要求，针对特定的合作伙伴类别（如金融科技供应商、抵押贷款经纪人、营销机构和技术供应商）定制，从而确保了入驻步骤与其风险水平成比例，并与业务目标保持一致。

无需增援，即可扩展

部署带来的最大好处之一是 GBC 实现了在不增加人手的情况下的规模化。通过将超过 50% 以往手工执行的 TPRM 流程（如控制验证、风险审批、重新评估和报告）自动化，GBC 能够在无需招聘额外员工或引入外部顾问的情况下，管理不断增长的超过 80 家软件即服务（SaaS）供应商、云服务商和合同合作伙伴组合。

随着 GBC 进入新市场并建立战略合作关系，这种自助式能力显得尤为关键。Ennamli 强调，合作关系建立的速度不再受制于风险管理的瓶颈。相反，该平台让企业能够更快行动，具备更高透明度和更低摩擦，从而提升了收入增长和运营效率。

平台成为连接银行增长目标与合规及安全承诺的纽带，为更加敏捷、可扩展和具备韧性的未来奠定了基础。

能够学习业务的 AI

另一个优势是平台通过情境分析实现了持续改进。随着 GBC 向系统中不断输入更多数据——从合同到绩效评估——AI 模型在识别风险信号、推荐补救路径以及预测风险暴露领域方面变得更加精准。这些洞察帮助 GBC 将其项目从静态评估演进为持续性的风险情报。

系统使用 GBC 的银行专属文档和风险标准进行训练，确保输出结果能够反映 GBC 的语言、文化和风险容忍度。这一功能消除了通用风险评分模型常见的噪音和无关信息，并让团队对平台的准确性和洞察力充满信心。

不止于合规，更是战略赋能

真正让 TPRM 平台与众不同的是其与业务成果的契合度。GBC 部署的不是一个仅仅满足合规需求的解决方案，而是一个能够积极促进以下方面的系统：    

• 更快、更智能的决策——借助对供应商风险和义务的即时可见性，GBC 能够更有效地评估权衡，并清晰地推进业务。

• 降低运营成本——通过自动化低价值任务并消除冗余的人工操作，团队在提高效率的同时，能够将时间重新分配到高优先级的战略工作上。

• 增强合作伙伴信心——随着 GBC 的风控与风险状况变得更加透明和数据驱动，资本合作伙伴和投资者对银行治理成熟度的信任度大幅提升。

• 企业的前瞻性保障——通过选择愿意打造可扩展、可定制化平台的合作伙伴，GBC 为未来需求做好了准备，从开放银行、实时风险情报到更广泛的企业风险集成，都具备了适应性。

选择 TPRM 平台不仅仅是一次软件实施，而是一项战略性的现代化举措。它将技术、流程与文化融为一体，重新定义了风险管理在 GBC 的角色。TPRM 平台成为连接银行增长目标与合规及安全承诺的纽带，为更加敏捷、可扩展和具备韧性的未来奠定了基础。

全组织范围内的收益

AI驱动的TPRM平台为 GBC 各个职能领域带来了可衡量且广泛的收益，将原本被视为纯粹防御性的职能转变为一种战略能力。

业务的收益是多样化的：

• 加速价值实现

  在开放银行中，价值实现时间是关键的成功指标。对 GBC 而言，快速建立第三方合作关系的能力——同时不牺牲安全性或合规性——是增长战略的核心。供应商处理或评估的延误可能会威胁业务发展速度、削弱信任、破坏战略合作关系，并限制 GBC 把握机会的能力。因此，TPRM 平台的速度和精准性至关重要。解决方案提供商快速且准确的风险分析是 GBC 实现这些目标的关键组成部分。

• 合规改进

  从合规角度来看，GBC 的管理层认识到这一紧迫性。Ennamli 强调，银行必须遵守 OSFI 的 B-10 和 B-13 指南，这些指南要求金融机构建立能够对每个外部合作伙伴进行全面尽职调查的 TPRM 项目。该平台通过深厚的专业能力和 AI 驱动的自动化帮助 GBC 达成了这一要求。

• 生态系统掌控力

  同样重要的是对技术生态系统风险的可见性。有效的 TPRM 要求组织能够理解环境中的各个层级——从一级、二级，甚至是更深层次的供应商。TPRM 解决方案为 GBC 提供了一种方式来跟踪和量化整个供应链中的风险，识别威胁，并快速评估潜在影响。
  
  在人力层面，部署 Coverbase 带来的好处同样显著。

• 合规收益

  随着 OSFI 的监管要求（尤其是 B-10 和 B-13 指南）日益细化和严格，银行能够展示一种积极、结构化的第三方治理方法，直接契合不断演变的监管指导。手工合规跟踪被自动化工作流和实时仪表盘取代，大大减少了与审计准备和持续审查相关的管理负担。更重要的是，得益于集中化的文档管理和透明的工作流，银行能够与内部利益相关方——从法律、信息安全到采购部门——无缝协作。风险责任不再被割裂，而是成为一种精确执行的共同责任。

• 安全增强

  自动化收集和分析供应商的安全文档（如 SOC 2 报告和渗透测试摘要），帮助团队能够在生命周期的早期——往往是在初始入驻阶段而非部署后——发现控制措施弱点。将供应商风险数据整合到银行更广泛的网络风险管理战略中，使在威胁出现时能够更快、更有依据地响应。安全分析师不再是孤立应对，而是能够将第三方事件与更广泛的威胁环境和风险态势联系起来，并将补救措施优先落实在对企业影响最大的领域。

简而言之，通过对 TPRM 方法的现代化与自动化，GBC 在跨部门层面实现了收益和整体业务改进——简化运营、降低暴露风险，并为可持续、可扩展的增长奠定了基础。

成果：可见性、速度与风险降低

这场转型几乎立即带来了可衡量的收益：

• 尽职调查时间减少了77%——以往超过 60 天的风险评估缩短到不到 14 天。自动化工作流和 AI 辅助文档审查消除了反复邮件沟通和大量人工分析。

• 风险评估一致性提升了40%——借助标准化风险模型和自动评分，GBC 在供应商评估的一致性上取得了大幅提升。这一点对于展示监管合规尤为重要。

• 供应商入驻速度提升了30%——更快的风险审查让企业能够更迅速地引入新合作伙伴。这意味着销售周期更短、产品更快上市以及客户满意度的提升。

• 可审计性、责任性与可追溯性得到加强——现在每一次风险评估、文档上传、评分和决策都有日志记录和时间戳。TPRM 平台生成的实时审计轨迹满足了内部审计和监管要求，使业务领导者能够基于更高质量和更完整的信息做出决策。

展望未来：迈向持续风险智能

展望未来，GBC 计划扩展 TPRM 平台的应用，以支持：

• 基于供应商安全态势变化的实时警报

• 与外部威胁情报源的集成

• 针对关键供应商的自动化重新评估

• 将平台扩展至涵盖第四方（分包商）风险

平台与组织的深度集成使其能够快速适应不断变化的监管要求和市场环境。

结语

GBC 对 TPRM 平台的实施，是 AI 如何重塑关键且高度受监管职能的一个典型案例。通过将第三方风险管理重新定义为一项协作性、智能驱动的学科，GBC 不仅实现了合规，还获得了实质性的业务优势。

“我们不仅仅是把手工流程数字化了，”Ennamli 表示，“我们重新定义了对风险的认知。在此过程中，我们建立了一个能够随业务扩展、符合监管要求，并在市场中脱颖而出的模式。”

随着开放银行和数字化转型在金融服务领域的加速推进，GBC 已经准备好以充足信心引领未来——依托于一个快速、智能、面向未来的风险管理职能。

作者：KATIE TEITLER-SANTULLO，OX Security 产品营销总监

翻译：杨皓然（AdySec），CISSP，CISM，CISA，CDPSE，CRISC，CGEIT，PMP，CCSK，CZTP，CDSP，CCSSP，RHCA，CCNP，ISO27001 Auditor，ISACA微信公众号特邀通讯员，ISACA中国特邀专家，ISC2北京分会会员，致力于云安全、数据安全、安全运营、安全攻防、开源威胁情报、AI应用开发等方向。

校对：姚凯（Kevin Yao），CISA，CISM，CRISC，CGEIT，CDPSE，ISACA微信公众号特邀通讯员，拥有二十余年IT从业经验，近年来关注IT安全，隐私保护和数字化。