Anmerkung der Redaktion: In der dieswöchigen Ausgabe unserer Blogserie „Risikomanagement bei Drittanbietern: Wie Sie sich vor behördlichen Kontrollen schützen“ befassen wir uns mit den Leitlinien FG 16/5 der britischen Finanzaufsichtsbehörde (FCA) für Unternehmen, die Cloud- oder andere IT-Dienstleistungen von Drittanbietern in Anspruch nehmen. Lesen Sie auch alle anderen Blogs dieser Serie und laden Sie das Whitepaper herunter, um sich einen vollständigen Überblick über die Anforderungen zu verschaffen.
Die Financial Conduct Authority (FCA) ist eine vom britischen Staat unabhängige Aufsichtsbehörde, die Finanzunternehmen, die Dienstleistungen für Verbraucher erbringen, reguliert und die Integrität der Finanzmärkte im Vereinigten Königreich gewährleistet.
Im Juli 2018 veröffentlichte die FCA ihre endgültigen Leitlinien, FG 16/5 Guidance for firms outsourcing to the ‘cloud’ and other third-party IT services(Leitlinien für Unternehmen, die in die „Cloud” und andere IT-Dienstleistungen von Drittanbietern auslagern), um Finanzunternehmen dabei zu unterstützen, alle Aspekte des Lebenszyklus von Outsourcing-Vereinbarungen effektiv zu überwachen. Dazu gehören:
- Entscheidungen zum Outsourcing treffen und einen Dienstleister auswählen
- Durchführung angemessener Risikobewertungen für alle Outsourcing-Vereinbarungen
- Laufende Überwachung ausgelagerter Aktivitäten sowie Identifizierung und Management von Risiken
Die FCA-Leitlinie 16/5 fügte cloudspezifische Kontrollen hinzu, die mit den allgemeinen FCA-Outsourcing-Anforderungen in den Abschnitten zu Systemen und Kontrollen (SYSC) des FCA-Handbuchs für angemessen regulierte Unternehmen in Einklang stehen, und verlangt außerdem die Übereinstimmung mit der DSGVO. Obwohl diese Leitlinie nicht verbindlich ist und lediglich veranschaulichen soll, wie Unternehmen die einschlägigen Vorschriften einhalten können, sollten Unternehmen diese Leitlinie im Zusammenhang mit ihren übergeordneten Verpflichtungen im Rahmen des Regulierungssystems berücksichtigen. Die Einhaltung dieser Leitlinien bedeutet in der Regel, dass die Outsourcing-Vorschriften der FCA eingehalten werden.
Erfüllung der Compliance-Anforderungen für FCA Cloud und IT-Dienstleistungen von Drittanbietern
Die FCA FG 16/5-Leitlinien helfen Unternehmen dabei, alle Aspekte des Lebenszyklus von Outsourcing-Vereinbarungen effektiv zu überwachen. Für die Zwecke dieses Blogs haben wir ausgewählte FCA-Anforderungen zusammengefasst und Funktionen der Prevalent Third-Party Risk Management Platform identifiziert, die die Bandbreite und den Wert unserer kompletten TPRM-Plattform verdeutlichen. Eine vollständige Liste der FCA-Anforderungen und eine direkte Zuordnung zu den Funktionen von Prevalent finden Sie im Whitepaper „The Third-Party Risk Management Compliance Handbook” (Handbuch zur Einhaltung von Vorschriften im Bereich des Risikomanagements für Dritte).
Gemäß FCA FG 16/5 umfasst ein wirksames Outsourcing von IT-Dienstleistungen an Dritte:
- Angemessene Identifizierung und Steuerung der mit der Inanspruchnahme von Dritten verbundenen operativen Risiken, einschließlich der Durchführung einer Due-Diligence-Prüfung vor der Entscheidung über eine Auslagerung.
- Durchführung und Dokumentation einer Risikobewertung zur Ermittlung relevanter Risiken und zur Festlegung von Maßnahmen zu deren Minderung
- Sicherstellen, dass die Mitarbeiter über ausreichende Fähigkeiten und Ressourcen verfügen, um die ausgelagerten Aktivitäten zu überwachen und zu testen; Identifizieren, Überwachen und Mindern von Risiken
- Durchführung einer Sicherheitsrisikobewertung, die den Dienstleister und die vom Unternehmen verwalteten Technologie-Assets umfasst
Prevalent hilft bei der Bewertung und Überwachung von Dritten gemäß den FCA-Richtlinien
Die FCA betrachtet die ordnungsgemäße Nutzung von Outsourcing in die Cloud und anderen IT-Dienstleistungen von Drittanbietern als eine Möglichkeit für Unternehmen, ihre Flexibilität zu erhöhen und Innovationen zu ermöglichen. Andererseits räumt die FCA ein, dass Cloud-Outsourcing auch Risiken mit sich bringen kann, die ordnungsgemäß identifiziert, überwacht und gemindert werden müssen. Dies wird durch eine ordnungsgemäße Risikobewertung erreicht.
Der Prevalent Assessment Service automatisiert den gesamten Lebenszyklus des Lieferantenrisikomanagements – einschließlich der Erfassung, Analyse und Behebung von Risiken durch Dritte – und bietet Fachleuten für Sicherheit, Datenschutz und Risikomanagement eine einzige Lösung zur Verwaltung des Risikobewertungsprozesses für IT-Dienstleister und zur Feststellung der Einhaltung von IT-Sicherheits-, Regulierungs- und Datenschutzanforderungen. Mit bidirektionalen Workflows zur Risikobeseitigung, Live-Berichten und einem benutzerfreundlichen Dashboard für mehr Effizienz stellt die Lösung sicher, dass Risiken identifiziert und an die richtigen Stellen eskaliert werden.
Die Cyber- und Geschäftsüberwachungslösung von Prevalent bietet Unternehmen die Möglichkeit, vor Vertragsabschluss oder während einer definierten Geschäftsvereinbarung Einblicke in potenzielle Cyber-Schwachstellen oder relevante Geschäftsrisiken eines Dienstleisters zu gewinnen. Die Lösung kombiniert native Schwachstellenscans mit mehreren externen Quellen für Cyber-Bedrohungsinformationen, um tiefe Einblicke in die Cyber-Risiken von Dienstleistern zu liefern. Darüber hinaus ist Prevalent insofern einzigartig, als es eine Überwachung von Geschäftsrisiken anbietet, bei der menschliche Analysten potenzielle operative, markenbezogene, regulatorische, rechtliche und finanzielle Risiken interpretieren.
Diese Funktionen sind in der Prevalent Third-Party Risk Management-Plattform zentralisiert, die eine effektive Berichterstattung umfasst, um Audit- und Compliance-Anforderungen zu erfüllen und die Ergebnisse dem Vorstand und der Geschäftsleitung zu präsentieren. Das gesamte Risikoprofil kann in der zentralisierten Live-Berichtskonsole eingesehen werden, und Berichte können heruntergeladen und exportiert werden, um den Compliance-Status zu ermitteln. Zu den umfassenden Berichtsfunktionen gehören Filter und interaktive Klick-Diagramme. Die Lösung umfasst ein vollständiges Repository aller während des Due-Diligence-Prozesses gesammelten und geprüften Unterlagen.
Die Plattform für das Risikomanagement von Drittanbietern von Prevalent bietet einen vollständigen Rahmen für die Umsetzung von Richtlinienmanagement, Audits und Berichterstattung gemäß den Anforderungen der FCA FG 16/5 Guidance.
Kontaktieren Sie uns noch heute für eine Demo, um zu sehen, wie das funktioniert.
Unsere Serie geht weiter…
Der Blogbeitrag der nächsten Woche befasst sich mit den Aspekten des Risikomanagements durch Dritte, die in der Datenschutz-Grundverordnung (DSGVO) enthalten sind.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
