Interagency Guidance on Third-Party Relationships: Wie man sie einhält

Die behördenübergreifenden Leitlinien zu Beziehungen zu Dritten (Interagency Guidance on Third-Party Relationships) vereinheitlichen die Anforderungen des US-amerikanischen Federal Reserve Systems, der US-amerikanischen Federal Deposit Insurance Corporation und des Office of the Comptroller of the Currency. Hier finden Sie bewährte Verfahren zur Vorbereitung Ihres TPRM-Programms auf die Einhaltung der Vorschriften.

Dekoratives Bild

Am 6. Juni 2023 veröffentlichten der Verwaltungsrat des Federal Reserve Systems (der Verwaltungsrat), die Federal Deposit Insurance Corporation (FDIC) und das Office of the Comptroller of the Currency (OCC) einheitliche Leitlinien zum Management von Risiken im Zusammenhang mit Beziehungen zu Dritten in Bankorganisationen. Die behördenübergreifenden Leitlinien zu Beziehungen zu Dritten: Risikomanagement basieren auf den Leitlinien der OCC aus dem Jahr 2013 und den FAQs aus dem Jahr 2020. Sie ersetzen die bestehenden Leitlinien jeder Behörde zu Beziehungen zu Dritten und gelten für alle von den Behörden beaufsichtigten Bankorganisationen.

Da die vollständige Einhaltung innerhalb von 12 Monaten erwartet wird, ist es jetzt an der Zeit, dass regulierte Banken die Empfehlungen überprüfen und feststellen, wie sich diese auf ihre Risikomanagementprogramme für Dritte auswirken. Dieser Beitrag untersucht die Ziele der Leitlinien und bietet Best Practices für die Erreichung der Compliance.

Das Ziel der behördenübergreifenden Leitlinien zu Beziehungen zu Dritten

Das Ziel der behördenübergreifenden Leitlinien ist es, Einheitlichkeit und Konsistenz in die Art und Weise zu bringen, wie Bankorganisationen Risikomanagementgrundsätze in Bezug auf Beziehungen zu Dritten entwickeln und durchsetzen. Dem Dokument zufolge „enthält die endgültige Leitlinie die Ansichten der Behörden zu soliden Risikomanagementgrundsätzen für Bankorganisationen bei der Entwicklung und Umsetzung von Risikomanagementpraktiken für alle Phasen des Lebenszyklus von Beziehungen zu Dritten“.

Definition und Grundsätze für Dritte in den behördenübergreifenden Leitlinien

Die Leitlinien definieren eine Beziehung zu Dritten als„jede geschäftliche Vereinbarung zwischen einer Bankorganisation und einem anderen Unternehmen, sei es durch Vertrag oder auf andere Weise,beschreiben den Lebenszyklus des Risikomanagements für Dritte und legen Grundsätze fest, die für jede Phase des Lebenszyklus von Dritten gelten, wie unten dargestellt:

Behördenübergreifende Richtlinien Lebenszyklus von Beziehungen zu Dritten

Quelle: Vorstand, FDIC und OCC

Wie man die behördenübergreifenden Leitlinien zu Beziehungen zu Dritten einhält

Jeder der sechs Grundsätze der behördenübergreifenden Leitlinien zu Beziehungen zu Dritten entspricht einer Phase des Lebenszyklus eines Dritten. Nachfolgend sind die wichtigsten Anforderungen und empfohlenen Best Practices für jede Phase aufgeführt.

1. Planung

In der frühesten Phase einer Beziehung zu einem Dritten empfiehlt die Leitlinie, die Art und den Charakter der Risiken in dieser Beziehung zu bewerten und einen Plan zur Steuerung der Beziehung und der damit verbundenen Risiken zu entwickeln. Berücksichtigen Sie im Rahmen des Prozesses zur Einrichtung oder Verfeinerung Ihres Risikomanagementprogramms für Dritte Folgendes:

  • Richtlinien, Standards, Systeme und Prozesse zum Schutz von Systemen und Daten
  • Rollen und Verantwortlichkeiten (z. B. RACI) aller beteiligten Teammitglieder
  • Bestände von Dritten, um den Umfang und die Reichweite der Beteiligung Dritter zu verstehen
  • Klassifizierungs- und Kategorisierungsansätze von Dritten
  • Risikoeinstufung und Schwellenwerte auf der Grundlage der Risikotoleranz Ihres Unternehmens
  • Bewertungs-
    und Überwachungsmethoden auf der Grundlage der Kritikalität durch Dritte
  • Beteiligung von Viert- und N-Parteien an der Erbringung kritischer Dienstleistungen
  • Quellen für kontinuierliche Überwachungsdaten (Cyber, Geschäft, Reputation, Finanzen)
  • Leistungskennzahlen (KPIs) und Risikokennzahlen (KRIs) zur Bewertung Ihres Programms und von Drittanbietern
  • Einhaltung von Vorschriften und vertraglichen Meldepflichten
  • Prozesse zur Reaktion auf Vorfälle
  • Interne Berichterstattung an Stakeholder – für die Geschäftsleitung und den Verwaltungsrat
  • Strategien zur Risikominderung und -behebung

Jeder dieser Punkte ist für die Erstellung eines umfassenden TPRM-Programmplans von entscheidender Bedeutung.

2. Sorgfaltspflicht und Auswahl von Dritten

Sobald ein Dritter identifiziert wurde, ist es unerlässlich, vor der Auswahl und dem Vertragsabschluss eine gründliche Due-Diligence-Prüfung durchzuführen. Die Interagency Guidance on Third-Party Relationships (Behördenübergreifende Leitlinien zu Beziehungen mit Dritten) empfiehlt, dass die Due-Diligence-Prüfung eine Bewertung der Fähigkeit des Dritten umfassen sollte, die erwartete Tätigkeit auszuführen, Richtlinien einzuhalten, alle geltenden Gesetze, Vorschriften und Anforderungen zu erfüllen und auf sichere und solide Weise zu arbeiten.

Der Erfolg dieser Phase erfordert die Bewertung und Überwachung von Dritten auf der Grundlage des Ausmaßes der Bedrohungen für Informationsressourcen durch Erfassung, Verfolgung und Quantifizierung der inhärenten Risiken. Zu den Kriterien für die Berechnung des inhärenten Risikos gehören:

  • Art des für die Validierung der Kontrollen erforderlichen Inhalts
  • Kritische Bedeutung für die Unternehmensleistung und den Betrieb
  • Standort(e) und damit verbundene rechtliche oder regulatorische Erwägungen
  • Grad der Abhängigkeit von vierten Parteien (zur Vermeidung von Konzentrationsrisiken)
  • Erfahrung mit operativen oder kundenorientierten Prozessen
  • Interaktion mit geschützten Daten
  • Finanzieller Status und Gesundheit
  • Reputation

Anhand dieser inhärenten Risikobewertung kann Ihr Team automatisch Drittparteien einstufen, angemessene Stufen für weitere Sorgfaltspflichten festlegen und den Umfang laufender Bewertungen bestimmen.

3. Vertragsverhandlungen

Die Leitlinien empfehlen, bestehende Verträge regelmäßig zu überprüfen, insbesondere solche, die kritische Aktivitäten betreffen, um sicherzustellen, dass sie weiterhin relevante Risikokontrollen und rechtliche Schutzmaßnahmen berücksichtigen.

Um diese Anforderungen zu erfüllen, müssen die Verteilung, Besprechung, Aufbewahrung und Überprüfung von Verträgen mit Dritten zentralisiert werden, damit alle zuständigen Teams an der Vertragsüberprüfung teilnehmen können, um sicherzustellen, dass die entsprechenden Klauseln enthalten sind und verwaltet werden.

Zu den wichtigsten Praktiken, die bei der Verwaltung von Verträgen mit Dritten zu beachten sind, gehören:

  • Zentrale Speicherung von Verträgen
  • Verfolgung aller Verträge und Vertragselemente wie Art, wichtige Termine, Wert, Erinnerungen und Status – mit benutzerdefinierten, rollenbasierten Ansichten
  • Workflow-Funktionen (basierend auf Benutzer oder Vertragsart) zur Automatisierung des Lebenszyklus der Vertragsverwaltung
  • Automatische Mahnungen und Überfälligkeitsmitteilungen zur Rationalisierung von Vertragsprüfungen
  • Zentralisierte Vertragsdiskussion und Verfolgung von Kommentaren
  • Vertrags- und Dokumentenspeicherung mit rollenbasierten Berechtigungen und Prüfprotokollen für alle Zugriffe
  • Versionskontrolle, die die Offline-Bearbeitung von Verträgen und Dokumenten unterstützt
  • Rollenbasierte Berechtigungen, die die Zuweisung von Aufgaben, den Zugriff auf Verträge und den Lese-/Schreib-/Modifizierungszugriff ermöglichen

Durch ein solides Vertragslebenszyklusmanagement kann das Unternehmen folgende Aufgaben effektiv bewältigen:

  • Vereinbarungen und Leistung verwalten
  • Durchsetzung von Informationsaufbewahrung, Prüfungsrechten und Abhilfemaßnahmen
  • Compliance-Berichte einholen
  • Geschäftliche Widerstandsfähigkeit und Kontinuität erfordern
  • Schaffen Sie Transparenz bei der Vergabe von Unteraufträgen und bei ausländischen Dritten.

4. Laufende Überwachung

Erfolgreiche Risikomanagementprogramme für Dritte umfassen regelmäßige, auf internen Kontrollen basierende Bewertungen anhand von branchenüblichen Rahmenwerken sowie eine kontinuierliche Überwachung, um die Qualität und Nachhaltigkeit der Kontrollen des Dritten zu bestätigen.

Um dies zu erreichen, sollten Sie externe Bedrohungen für Dritte kontinuierlich verfolgen und analysieren, indem Sie das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Informationen zu Reputation, Sanktionen und Finanzen überwachen.

Zu den Überwachungsquellen sollten gehören:

  • Kriminelle Foren, Tausende von Onion-Seiten, spezielle Dark-Web-Foren, Bedrohungs-Feeds und Paste-Seiten für geleakte Zugangsdaten sowie mehrere Sicherheits-Communities, Code-Repositorys und Schwachstellen-Datenbanken
  • Öffentliche und private Quellen für Informationen zur Reputation, darunter M&A-Aktivitäten, Wirtschaftsnachrichten, negative Nachrichten, operative Updates und mehr
  • Finanzielle Leistung, einschließlich Umsatz, Gewinn und Verlust, Eigenkapital usw.
  • Quellen zu Reputation, Regulierung und Sanktionen, darunter Profile politisch exponierter Personen, globale Sanktionslisten sowie regulatorische und rechtliche Informationen

Korrelieren Sie alle Überwachungsdaten mit den Bewertungsergebnissen und zentralisieren Sie diese in einem einheitlichen Risikoregister für jeden Dritten, um die Risikoprüfung, Berichterstattung und Reaktionsmaßnahmen zu optimieren.

5. Kündigung

Organisationen können nach Vertragsende Risiken ausgesetzt sein, doch Untersuchungen zeigen, dass nur wenige Organisationen am Ende einer Geschäftsbeziehung ein Risikomanagement durchführen. Die behördenübergreifenden Leitlinien besagen, dass es für das Management wichtig ist, Geschäftsbeziehungen mit Dritten auf effiziente Weise zu beenden, unabhängig davon, ob die Aktivitäten an einen anderen Dritten übertragen, intern übernommen oder eingestellt werden.

Um den Prozess der Lieferantenabmeldung zu optimieren, automatisieren Sie Vertragsbewertungen und Abmeldeverfahren, um das Risiko Ihrer Organisation nach Vertragsende zu verringern:

  • Planen Sie Aufgaben zur Überprüfung von Verträgen, um sicherzustellen, dass alle Verpflichtungen erfüllt wurden. Erstellen Sie anpassbare Vertragsbewertungen, um den Status zu bewerten.
  • Nutzen Sie anpassbare Umfragen und Workflows für Berichte über Systemzugriff, Datenvernichtung, Zugriffsmanagement, Einhaltung aller relevanten Gesetze, Abschlusszahlungen und vieles mehr.
  • Speichern und verwalten Sie Dokumente und Zertifizierungen wie NDAs, SLAs, SOWs und Verträge zentral. Nutzen Sie die integrierte automatische Dokumentenanalyse, die auf AWS Natural Language Processing und maschinellen Lernanalysen basiert, um zu bestätigen, dass wichtige Kriterien erfüllt sind.
  • Ergreifen Sie konkrete Maßnahmen zur Reduzierung von Risiken durch Dritte mit integrierten Empfehlungen und Anleitungen zur Behebung von Problemen.
  • Visualisierung und Erfüllung von Compliance-Anforderungen durch automatische Zuordnung von Bewertungsergebnissen zu beliebigen Vorschriften oder Rahmenbedingungen.

Optimierung der Einhaltung der behördenübergreifenden Leitlinien zu Beziehungen zu Dritten

Die Anforderungen der Leitlinien effektiv zu erfüllen, ist praktisch unmöglich, wenn Sie sich bei der Erfassung, Analyse, Korrektur und Berichterstattung von Cybersicherheitskontrollen auf Tabellenkalkulationen verlassen. Mit der Prevalent Third-Party Risk Management Platform kann Ihr Finanzdienstleistungsunternehmen seine Compliance-Initiativen automatisieren und beschleunigen. Die Plattform ermöglicht Ihnen Folgendes:

  • Entwickeln Sie ein umfassendes, agiles und ausgereiftes Risikomanagementprogramm für Dritte, das auf bewährten Best Practices der Finanzbranche basiert.
  • Automatisieren Sie die Identifizierung und Bewertung kritischer Dritter auf Grundlage ihrer Bedeutung für das Unternehmen.
  • Dritte hinsichtlich verschiedener Arten von Risiken bewerten und kontinuierlich überwachen
  • Automatisierte Abhilfemaßnahmenempfehlungen an Dritte übermitteln, um Restrisiken zu reduzieren
  • Messung anhand vertraglicher Leistungskennzahlen (KPIs) und Risikokennzahlen (KRIs)
  • Vereinfachung der Berichterstattung über die Prüfung von Regulierungs- und Sicherheitsrahmenbedingungen gegenüber mehreren internen und externen Stakeholdern
  • Bereitstellung von verbindlichen Programmen für Geschäftskontinuität und Vorfallreaktion, um sicherzustellen, dass Dritte über die erforderlichen Richtlinien und Verfahren verfügen, um auf neu auftretende Risiken zu reagieren.
  • Sichern Sie sich durch einen vorgeschriebenen Prozess gegen Dritte ab, um sicherzustellen, dass das Unternehmen keinem fortdauernden Restrisiko ausgesetzt ist.

Um mehr über die Einhaltung der behördenübergreifenden Richtlinien zu Beziehungen zu Dritten zu erfahren, laden Sie unseren Leitfaden zu bewährten Verfahren herunter oder kontaktieren Sie uns, um eine Demo zu vereinbaren.


Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.