Anmerkung der Redaktion: In der dieswöchigen Ausgabe unserer Blogreihe „Risikomanagement bei Drittanbietern: Wie Sie sich vor dem Radar der Aufsichtsbehörden schützen“ befassen wir uns mit den Bulletins 2013-29, 2017-07 und 2017-21 des Office of the Comptroller of the Currency (OCC) zum Thema Beziehungen zu Drittanbietern. Bitte lesen Sie alle Blogs dieser Reihe, um weitere Hinweise zum Risikomanagement bei Dritten zu erhalten, und laden Sie das Whitepaper herunter, um eine vollständige Übersicht über die Anforderungen zu erhalten.
Das Office of the Comptroller of the Currency (OCC), das zum US-Finanzministerium gehört, genehmigt, reguliert und beaufsichtigt alle nationalen Banken und Bundessparkassen sowie Bundesfilialen und -agenturen ausländischer Banken. Da es befugt ist, die von ihm erlassenen Vorschriften durch Prüfungen durchzusetzen – einschließlich Maßnahmen gegen Banken, die sich nicht an Gesetze und Vorschriften halten –, ist es unerlässlich, dass alle Finanzdienstleistungsunternehmen mit seinen Risikomanagementanforderungen vertraut sind.
Dieser Blog fasst die spezifischen Anforderungen an das Risikomanagement von Dritten zusammen, die in den folgenden OCC-Bulletins aufgeführt sind:
- Das OCC Bulletin 2013-29, das durch eine FAQ im OCC Bulletin 2020-10 präzisiert wurde, enthält Risikomanagement-Leitlinien für alle nationalen Banken, Bundessparkassen und Technologiedienstleister zur „Bewertung und Steuerung von Risiken im Zusammenhang mit Beziehungen zu Dritten“.
- OCC 2017-07 enthält Leitlinien für Prüfer dazu, worauf sie bei der Prüfung des Risikomanagementprogramms einer Bank für Dritte achten sollten. Dabei werden die Praktiken dargelegt, deren Umsetzung von den Banken erwartet wird.
Diese Bulletins unterstreichen die Notwendigkeit eines wirksamen Risikomanagementprozesses während des gesamten Lebenszyklus der Beziehung zu Dritten, einschließlich der Notwendigkeit, diese zu bewerten, kontinuierlich zu überwachen und angemessene Unterlagen und Berichte bereitzustellen, um die Aufsicht und Rechenschaftspflicht zu erleichtern.
Erfüllung der Compliance-Anforderungen des OCC zum Risikomanagement durch Dritte
Für die Zwecke dieses Blogs haben wir ausgewählte OCC-Anforderungen zusammengefasst und Funktionen der Prevalent Third-Party Risk Management Platform identifiziert, die die Bandbreite und den Mehrwert unserer kompletten TPRM-Plattform verdeutlichen. Eine vollständige Liste der OCC-Anforderungen und eine Übersicht darüber, wie die Funktionen von Prevalent diese Anforderungen erfüllen, finden Sie im Whitepaper „The Third-Party Risk Management Risk Management Compliance Handbook” (Handbuch zur Compliance im Risikomanagement von Drittanbietern).
Gemäß dem OCC Bulletin 2013-29 umfasst ein wirksamer Prozess zum Management von Risiken durch Dritte Folgendes:
- Pläne, die die Strategie der Bank umreißen, die mit der Tätigkeit verbundenen Risiken identifizieren und detailliert beschreiben, wie die Bank Dritte auswählt, bewertet und überwacht.
- Angemessene Sorgfalt bei der Auswahl eines Dritten
- Schriftliche Verträge, in denen die Rechte und Pflichten aller Parteien festgelegt sind
- Laufende Überwachung der Aktivitäten und Leistungen des Dritten
- Notfallpläne für eine effektive Beendigung der Beziehung
- Klare Rollen und Verantwortlichkeiten für die Überwachung und Verwaltung des Beziehungs- und Risikomanagementprozesses
- Dokumentation und Berichterstattung, die die Aufsicht, Rechenschaftspflicht, Überwachung und das Risikomanagement erleichtern
- Unabhängige Überprüfungen, anhand derer die Bankleitung feststellen kann, dass die Prozesse der Bank mit ihrer Strategie übereinstimmen und Risiken effektiv gesteuert werden.
Vertrauen Sie Prevalent bei der Bewertung und Überwachung von Lieferanten gemäß den Anforderungen der OCC
Die Third-Party Risk Management Platform von Prevalent ermöglicht es nationalen Banken, Bundessparkassen und Technologie-Dienstleistern, diese Anforderungen im gesamten Lieferanten-Ökosystem zu erfüllen. Die Prevalent-Plattform wird in der Einfachheit der Cloud bereitgestellt und kombiniert automatisierte Lieferantenbewertungen, kontinuierliche Bedrohungsüberwachung, Bewertungs-Workflows und Remediation-Management über den gesamten Lieferanten-Lebenszyklus hinweg.
- Die Einstufung von Lieferanten ermöglicht es, Dritte entsprechend dem von ihnen ausgehenden Risiko mit unterschiedlichen Bewertungen, Häufigkeiten und Punktzahlen zu verwalten, je nach Bedarf.
- Anpassbare Umfragen mit dokumentierten Nachweisen ermöglichen die Bewertung und Überwachung in Bezug auf das Risiko und die Funktion jedes Dritten.
- Die Berichterstattung liefert die erforderlichen Informationen in verschiedenen Formen, je nach den Anforderungen der verschiedenen Ebenen der Organisation.
Strenge Richtlinien für Informationssicherheit und Systemmanagement sowie die Messung und Überwachung von Risiken im Zusammenhang mit der Nichteinhaltung von Vorschriften sind Teil des Lebenszyklus des Risikomanagements für Dritte. Dies erfordert einen vollständigen internen Überblick über die vorhandenen Kontrollen sowie eine kontinuierliche Überwachung aller Dritten, was mit einem einfachen externen automatisierten Scan nicht zu bewältigen ist. Vertrauen Sie auf die Plattform für das Risikomanagement von Drittanbietern von Prevalent, um die OCC-Bulletins 2013-29, 2017-07 und 2017-21 zu erfüllen.
Eine vollständige Auflistung der OCC-Anforderungen und eine direkte Zuordnung der Funktionen von Prevalent zu diesen Anforderungen finden Sie im Whitepaper „The Third-Party Risk Management Risk Management Compliance Handbook” (Handbuch zur Einhaltung von Vorschriften im Bereich Risikomanagement bei Drittanbietern).
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
