Anmerkung der Redaktion: In der dieswöchigen Ausgabe unserer Blogserie „Risikomanagement bei Drittanbietern: Wie Sie sich vor behördlichen Kontrollen schützen“ befassen wir uns mit den Anforderungen der Europäischen Bankenaufsichtsbehörde (EBA) in Bezug auf Drittanbieter. Lesen Sie unbedingt alle Blogs dieser Serie und laden Sie das Whitepaper herunter, um sich einen vollständigen Überblick über die Anforderungen zu verschaffen.
Die Europäische Bankenaufsichtsbehörde (EBA) ist eine unabhängige EU-Behörde, die sich für eine wirksame und einheitliche Regulierung und Aufsicht im gesamten europäischen Bankensektor einsetzt. Ihre übergeordneten Ziele sind die Wahrung der Finanzstabilität in der EU und die Sicherung der Integrität, Effizienz und ordnungsgemäßen Funktionsweise des Bankensektors.
Anfang 2019 veröffentlichte die EBA überarbeitete Leitlinien zu Outsourcing-Vereinbarungen, darunter spezifische Bestimmungen für die Governance-Rahmenwerke von Finanzinstituten im Rahmen des Mandats der EBA in Bezug auf deren Outsourcing-Vereinbarungen und die damit verbundenen aufsichtlichen Erwartungen und Prozesse. Die im Dezember 2017 veröffentlichte Empfehlung zur Auslagerung an Cloud-Dienstleister ist in die Leitlinien integriert. Diese Leitlinien stehen im Einklang mit den Anforderungen an die Auslagerung gemäß der Zahlungsdiensterichtlinie (PSD2), der Richtlinie über Märkte für Finanzinstrumente (MiFID II) und der Delegierten Verordnung (EU) 2017/565 der Kommission.
Die EBA hat angesichts des umfangreichen Ökosystems im Finanzdienstleistungsbereich und der vielfältigen Arten integrierter Dienstleistungen 70 Seiten dem Thema Outsourcing-Management in der Finanzdienstleistungsbranche gewidmet und weitere 55 Seiten für Antworten auf Kommentare zu diesen Leitlinien vorgesehen.
Zu den wichtigsten Punkten dieser Anforderungen gehört ein solides Outsourcing-Konzept, das:
- Unterscheidet zwischen „kritischen oder wichtigen“ Outsourcings und solchen, die dies nicht sind.
- Führt Due-Diligence-Prüfungen im Rahmen des Outsourcing-Auswahlprozesses durch
- Ermöglicht eine angemessene Risikobewertung, bei der alle potenziellen operativen Risiken identifiziert, gesteuert, überwacht und gemeldet werden.
- Erfordert Verträge, in denen die Zugangs- und Prüfungsrechte der Banken und ihrer Aufsichtsbehörden festgelegt sind, um eine wirksame Aufsicht zu gewährleisten.
- Führt laufende Bewertungen und kontinuierliche Überwachungen durch und erstattet der Geschäftsleitung klar Bericht.
- Stellt den Behörden alle Unterlagen zur Verfügung, um Transparenz zu gewährleisten.
- Definiert eine klare Ausstiegsstrategie für den Fall eines Ausfalls des Dienstleisters.
Erfüllung der EBA-Anforderungen für Risiken durch Dritte mit der Prevalent TPRM-Plattform
Prevalent kann Ihnen dabei helfen, diese Anforderungen zu erfüllen. Für die Zwecke dieses Blogs haben wir jedoch ausgewählte EBA-Anforderungen zusammengefasst und Funktionen der Prevalent Third-Party Risk Management Platform identifiziert, die die Bandbreite und den Mehrwert unserer kompletten TPRM-Plattform verdeutlichen. Eine vollständige Liste der EBA-Anforderungen und eine Übersicht darüber, wie die Funktionen von Prevalent diese Anforderungen erfüllen, finden Sie im Whitepaper „The Third-Party Risk Management Compliance Handbook“ (Handbuch zur Einhaltung von Vorschriften im Bereich Third-Party Risk Management).
Um die EBA-Anforderungen zu erfüllen, hat Prevalent:
- Ermöglicht Finanzinstituten die Einstufung von Dritten anhand ihrer Bedeutung für die Organisation gemäß Titel II – Bewertung von Outsourcing-Vereinbarungen, Abschnitt 4 – Kritische oder wichtige Funktionen, Absatz 30.
- Vereinheitlicht und verwaltet den Prozess der Risikobewertung von Lieferanten, um die Anforderungen in Titel III – Governance-Rahmenwerk, Abschnitt 5 – Solide Governance-Regelungen und Risiken durch Dritte, Absatz 32 und Titel III – Governance-Rahmenwerk, Abschnitt 5 – Solide Governance-Regelungen und Risiken durch Dritte, Absatz 33 zu erfüllen.
- Bietet eine Komplettlösung für die Durchführung von Bewertungen einschließlich Fragebögen, eine Umgebung zur Einbindung und Verwaltung dokumentierter Nachweise als Antwort, Workflows für die Verwaltung der Überprüfung und Bearbeitung von Ergebnissen sowie eine zuverlässige Berichterstattung, um jeder Führungsebene die Informationen zur Verfügung zu stellen, die sie benötigt, um die Leistung des Dritten ordnungsgemäß zu überprüfen und zu bearbeiten. Titel III – Governance-Rahmenwerk, Abschnitt 6 – Solide Governance-Regelungen und Outsourcing, Absatz 40(c) und Titel III – Governance-Rahmenwerk, Abschnitt 13.2 Sicherheit von Daten und Systemen, Absatz 82.
- Umfasst eine effektive Berichterstattung zur Erfüllung der Prüfungs- und Compliance-Anforderungen sowie zur Vorlage der Ergebnisse gegenüber dem Vorstand und der Geschäftsleitung gemäß Titel III – Governance-Rahmenwerk, Abschnitt 10 – Interne Revision, Absatz 50 und Titel III – Governance-Rahmenwerk, Abschnitt 13.3 Zugang, Informations- und Prüfungsrechte, Absatz 87 (b).
- Stellt Repositorien mit ausgefüllten, validierten Lieferantenfragebögen und Belegen bereit, um die Anforderungen für gepoolte Audits in Titel III – Governance-Rahmenwerk, Abschnitt 13.3 Zugriffs-, Informations- und Auditrechte, Absatz 91 zu erfüllen.
- Bietet Cybersicherheit und Geschäftsüberwachung – kontinuierliche Bewertung der Netzwerke von Drittanbietern, um potenzielle Schwachstellen zu identifizieren, die von Cyberkriminellen ausgenutzt werden können – zur Erfüllung von Titel III – Governance-Rahmenwerk, Abschnitt 12.3 – Sorgfaltspflicht, Absätze 70 und 71, sowie Titel III – Governance-Rahmenwerk, Abschnitt 14 – Überwachung ausgelagerter Funktionen, Absatz 100.
- Erfasst und prüft Gespräche und gleicht Unterlagen oder Nachweise mit Risiken ab, um Titel III – Governance-Rahmenwerk, Abschnitt 14 – Überwachung ausgelagerter Funktionen, Absatz 104 zu erfüllen.
- Umfasst bidirektionale Arbeitsabläufe und gemeinsame Kommunikationsmechanismen zur Nachverfolgung von Ergebnissen und Behebung von Problemen gemäß Titel III – Governance-Rahmenwerk, 14 – Überwachung ausgelagerter Funktionen, Absatz 105.
Nächste Schritte
Die EBA-Leitlinien verlangen ein robustes Management und eine lückenlose Überwachung der Risiken von Dienstleistern. Sie legen fest, dass eine Richtlinie für das Risikomanagement vorhanden sein muss, einschließlich interner kontrollbasierter Bewertungen und einer kontinuierlichen Überwachung von Outsourcing-Vereinbarungen mit Dritten. Die Richtlinie sollte in einem Vertrag zwischen dem Finanzinstitut und dem Outsourcing-Partner festgeschrieben werden, mit einer ordnungsgemäßen Dokumentation und Berichterstattung sowohl für Abhilfemaßnahmen als auch für Audit-Fähigkeiten.
Die Third-Party-Risikomanagement-Lösung von Prevalent bietet ein umfassendes Framework für die Implementierung von Management, Auditing und Berichterstattung, um die EBA-Outsourcing-Richtlinien einzuhalten. Kontaktieren Sie uns noch heute für eine Demo, um zu erfahren, wie das funktioniert.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
