MAS-Outsourcing-Richtlinien und Risikomanagement für Dritte

Die Monetary Authority of Singapore (MAS) hat detaillierte Anforderungen für die Verwaltung von Outsourcing- und Nicht-Outsourcing-Beziehungen mit Dritten festgelegt. Lesen Sie, wie Sie MAS-Audits mit diesen Best Practices vereinfachen können.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter März 6, 2023 6 min gelesen

Die Monetary Authority of Singapore (MAS) wurde 1970 gegründet und ist eine Zentralbank und Finanzaufsichtsbehörde, die alle Finanzinstitute in Singapur einer aufsichtsrechtlichen Überwachung unterzieht – einschließlich der Sicherstellung der finanziellen und operativen Widerstandsfähigkeit gegenüber Risiken. Im Juli 2016 veröffentlichte die MAS Leitlinien für die Auslagerung von Dienstleistungen an Dritte. Im Oktober 2018 und erneut im August 2022 erweiterte die MAS ihre Outsourcing-Leitlinien mit der Veröffentlichung eines Informationspapiers mit dem Titel „Operational Risk Management – Management of Outsourcing and Third Party Arrangements” (Operatives Risikomanagement – Management von Outsourcing und Dienstleistungsvereinbarungen mit Dritten). In diesem Informationspapier legt die MAS Folgendes fest:

  • Veröffentlichung detaillierter Anforderungen zur Verbesserung der Aufsicht und Governance über Dritte; und
  • Umfassende Leitlinien für die Durchführung von Due-Diligence-Prüfungen über den gesamten Lebenszyklus von Outsourcing-Vereinbarungen erstellt.

Die nachstehende Abbildung zeigt die erforderlichen Genehmigungen, Bewertungen, Bewertungshäufigkeiten und Due-Diligence-Unterlagen, die zur Unterstützung der Bewertungen gemäß dem Informationspapier „Management von Outsourcing- und Drittanbieter-Vereinbarungen“ vorgelegt werden sollten.

MAS-Fallbeispiel 3

Mit freundlicher Genehmigung: Operatives Risikomanagement – Management von Outsourcing- und Drittparteienvereinbarungen – Beobachtungen und aufsichtsrechtliche Erwartungen aus thematischen Inspektionen – Informationspapier, August 2022

Dieser Beitrag untersucht wichtige MAS-Bestimmungen, die Outsourcing- und Nicht-Outsourcing-Vereinbarungen regeln, und identifiziert Best-Practice-Fähigkeiten, die zur Erfüllung der MAS-Anforderungen genutzt werden können.

MAS-Richtlinien für Outsourcing und Nicht-Outsourcing

Das Informationspapier „MAS Operational Risk Management – Management of Outsourcing and Third Party Arrangements“ (Operatives Risikomanagement – Management von Outsourcing- und Drittparteienvereinbarungen) enthält in Kapitel 3 spezifische Leitlinien für Finanzinstitute zu den folgenden allgemeinen Bereichen des Risikomanagementzyklus für Drittparteien:

  • Governance und Management-Aufsicht
  • Identifizierung und Risikoeinstufung
  • Due-Diligence-Prüfung (einschließlich der Aufnahme der Tätigkeit und regelmäßiger Überprüfungen)
  • Laufendes Risikomanagement und Überwachung

Governance und Managementaufsicht

MAS verlangt von Finanzdienstleistungsunternehmen, eine Governance-Struktur und einen Governance-Rahmen zu schaffen, Risikobereitschaft festzulegen und ein Management-Berichtswesen einzurichten.

Um diesen Anforderungen gerecht zu werden, sollten Finanzdienstleistungsunternehmen erwägen, die folgenden Kriterien als Teil ihres Risikomanagementprogramms für Dritte festzulegen:

  • Richtlinien, Standards, Systeme und Prozesse zum Schutz von Daten
  • Klare Rollen und Verantwortlichkeiten (z. B. RACI) für alle Mitglieder des Teams
  • Risikoeinstufung und Schwellenwerte auf der Grundlage der Risikotoleranz Ihres Unternehmens
  • Bewertungs- und Überwachungsmethoden auf der Grundlage der Kritikalität von Dritten
  • Vierte-Partei-Zuordnung zur Ermittlung von vorgelagerten Abhängigkeiten
  • Quellen für kontinuierliche Überwachungsdaten (z. B. Cyber-, Geschäfts-, Reputations-, Finanzdaten), um einen ständigen Einblick in aufkommende Risiken zu ermöglichen
  • Vertraglich festgelegte Leistungskennzahlen (KPIs) und Risikokennzahlen (KRIs) als Messgrößen
  • Anforderungen an die Reaktion auf Vorfälle zur Vorbereitung auf mögliche Störungen
  • Berichterstattung zur Erfüllung der Anforderungen mehrerer interner (und externer) Stakeholder
  • Risikominderungs- und Abhilfemaßnahmen, einschließlich der Anwendbarkeit von kompensierenden Kontrollen

Viele Unternehmen entscheiden sich dafür, sich an einem anerkannten Risikomanagement-Rahmenwerk wie ISO zu orientieren, um dies zu erreichen. Wenn Sie den Prozess der Bewertung Ihres TPRM-Programms anhand eines Branchen-Rahmenwerks automatisieren möchten, sollten Sie eine Bewertungsplattform wählen, die mehrere vorgefertigte Fragebogenoptionen bietet, die mit verschiedenen Rahmenwerken kompatibel sind.

Identifizierung und Risikokategorisierung

MAS verlangt von Organisationen, Abhängigkeiten von Dritten zu identifizieren und zu kategorisieren. Dazu gehört die Einrichtung eines Management- und Governance-Rahmens, die Identifizierung und Bestandsaufnahme von Dritten, deren Kategorisierung anhand ihrer Art und Risikomerkmale sowie die Festlegung von Kriterien zur Bestimmung der Governance- und Sorgfaltspflichten, denen sie unterliegen sollten.

Um diesen Anforderungen gerecht zu werden, sollten Finanzinstitute:

  • Erstellen Sie ein umfassendes Lieferantenprofil, das demografische Informationen, Eigentumsverhältnisse, Finanzergebnisse, CPI-Werte, Erklärungen zu moderner Sklaverei, Branchen- und Geschäftseinblicke sowie potenziell riskante Beziehungen zu vierten Parteien enthält. Dies hilft dabei, Informationen von Dritten zu zentralisieren und eine einzige Quelle für das Lieferantenmanagement über den gesamten Lebenszyklus der Beziehung hinweg bereitzustellen.
  • Führen Sie inhärente Risikobewertungen Ihrer Drittparteien durch, um diese zu einstufen, legen Sie angemessene Stufen für weitere Sorgfaltspflichten fest und bestimmen Sie den Umfang der laufenden Bewertungen für alle Drittparteien. Zu den Kriterien können gehören:
  • Kritische Bedeutung für die Unternehmensleistung und den Betrieb
  • Standort(e) und damit verbundene rechtliche oder regulatorische Erwägungen
  • Grad der Abhängigkeit von vierten Parteien (zur Vermeidung von Konzentrationsrisiken)
  • Erfahrung mit operativen oder kundenorientierten Prozessen

Sorgfaltspflicht (Onboarding und regelmäßige Überprüfung)

Im Hinblick auf die Sorgfaltspflicht und die Durchführung regelmäßiger Überprüfungen empfiehlt die MAS, die Ergebnisse der Identifizierungs- und Risikokategorisierungsmaßnahme zu nutzen und einen Onboarding-Plan zu entwickeln, der laufende Überprüfungen erleichtert.

Risikobewertungen von Dritten sollten zu Beginn einer Geschäftsbeziehung durchgeführt werden, um sich ein Bild von den Risiken zu machen, die der Dritte für Ihr Unternehmen darstellt, sowie bei Vertragsverlängerungen und immer dann, wenn ein schwerwiegendes Ereignis wie eine Vertragsverletzung, ein Verstoß gegen Compliance-Vorschriften oder ein anderes Versäumnis vorliegt. Zu den entscheidenden Erfolgsfaktoren gehören der Zugriff auf eine umfangreiche Bibliothek mit Fragebogenvorlagen, um die Bewertungsmaßnahmen flexibler zu gestalten, sowie verbindliche Empfehlungen für Abhilfemaßnahmen, um Dritte zur Rechenschaft zu ziehen. Achten Sie im Rahmen dieses Prozesses darauf, dass Sie:

  • Überprüfen Sie die Antworten und Unterlagen von Drittanbietern anhand festgelegter Testprotokolle, um sicherzustellen, dass die angegebenen Kontrollen vorhanden sind.
  • Ordnen Sie die Antworten dem ausgewählten Kontrollrahmen Ihrer Organisation zu.
  • Entwickeln Sie Sanierungspläne und verfolgen Sie diese bis zur Fertigstellung.

Laufendes Risikomanagement und Überwachung

Um ein kontinuierliches Risikomanagement zu ermöglichen, empfiehlt die MAS den Einsatz geeigneter Instrumente und Mechanismen zur Risikoüberwachung, um Risiken durch Dritte zu bewältigen. Überwachen Sie das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Informationen zu Reputation, Sanktionen und Finanzen.

Alle Überwachungsdaten sollten mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Dritten zentralisiert werden, um die Risikoprüfung, Berichterstattung und Reaktionsinitiativen zu optimieren. Risiken können in einer Heatmap-Ansicht mit Wahrscheinlichkeits- und Auswirkungsachsen kategorisiert werden.

Die Überwachungsquellen sollten eine Mischung aus Cyber- und Nicht-Cyber-Quellen umfassen, um ein umfassendes Bild des Risikos eines Dritten zu erhalten. Beispiele hierfür sind:

  • Cyber: Kriminelle Foren; Onion-Seiten; Dark-Web-Foren mit speziellem Zugang; Bedrohungs-Feeds; Paste-Seiten für geleakte Zugangsdaten; Sicherheits-Communities; Code-Repositorys; Schwachstellen-Datenbanken und Datenverletzungs-Datenbanken
  • Geschäft: M&A-Aktivitäten, Wirtschaftsnachrichten und operative Updates
  • Reputation: Negative Nachrichten und politisch exponierte Personen (PEPs).
  • Regulatorisch und rechtlich: Globale Sanktionslisten sowie globale Vollstreckungslisten und Gerichtsakten
  • Finanziell: Finanzielle Leistung; Bonität; Aktionärsmittel; wirtschaftliches Eigentum.

Wie Prevalent dabei hilft, die Anforderungen von MAS an das Risikomanagement durch Dritte zu erfüllen

Die weit verbreitete Plattform für das Risikomanagement von Drittanbietern automatisiert die Arbeitsabläufe, die für die Einführung, regelmäßige Überprüfung und Beendigung von wesentlichen und nicht wesentlichen Outsourcing-Vereinbarungen mit Drittanbietern erforderlich sind, und bietet wichtige Funktionen für mehrere Teams, um das TPRM unternehmensweit zu zentralisieren. Die Lösung bietet spezifische Funktionen, die alle Due-Diligence-Anforderungen abdecken, von der Genehmigung bis zur Beendigung.

Prevalent unterstützt Finanzorganisationen dabei, ihre Outsourcing- und Nicht-Outsourcing-Vereinbarungen durch folgende Maßnahmen besser zu kontrollieren und zu überwachen:

  • Aufbau eines umfassenden, agilen und ausgereiften Risikomanagementprogramms für Dritte auf der Grundlage bewährter Best Practices der Finanzbranche
  • Zentralisierung von Profilen Dritter für eine unternehmensweite Bestandsaufnahme von Outsourcing- und Nicht-Outsourcing-Vereinbarungen
  • Automatisierung der Identifizierung und Bewertung kritischer Dritter auf Grundlage ihrer Bedeutung für das Unternehmen
  • Bewertung und kontinuierliche Überwachung von Risiken in den Bereichen Cybersicherheit, Geschäftstätigkeit, Finanzen und Reputation
  • Messung anhand von Leistungskennzahlen (KPIs) und Risikokennzahlen (KRIs)
  • Empfehlungen zur Risikominderung durch Dritte
  • Einschließlich Vorlagen zur Vereinfachung der Berichterstattung über die Prüfung von Regulierungs- und Sicherheitsrahmenbedingungen gegenüber mehreren internen und externen Stakeholdern

Weitere Informationen darüber, wie Prevalent Ihnen dabei helfen kann, die Anforderungen des MAS Operational Risk Management – Management of Outsourcing and Third-Party Arrangements zu erfüllen, finden Sie in unserer vollständigen MAS-Checkliste, die Sie herunterladen können, oder fordern Sie noch heute eine Demo an.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.