US-Aufsichtsbehörden erhöhen die Erwartungen an das Risikomanagement von Dritten

Die jüngste Veröffentlichung der Interagency Guidance on the risk management of third parties ist eine willkommene Anerkennung der Tatsache, dass Banken aller Größenordnungen in großem Umfang auf Beziehungen zu Dritten zurückgreifen. Diese Beziehungen treiben die Entwicklung von Produkten und Dienstleistungen voran, helfen ihnen, neue Technologieplattformen zu beherrschen und neue Effizienzgewinne zu erzielen.

Diese Beziehungen können sich auf Dienstleistungen wie IT-Support, Cloud-Computing-Dienste, Anwendungsentwicklung und -unterstützung, Kundenbonitätsprüfungen, Modellentwicklung, Büroräume, Lohn- und Gehaltsabrechnungs- sowie Personaldienstleistungen, Marktanalysen und Daten und vieles mehr erstrecken.

Diese Beziehungen können auch Branchenpartnerschaften umfassen und sich auf Kreditkartendienste, digitale Partnerschaften, Markenfinanzprodukte und andere Werbeaktivitäten erstrecken.

Der Umgang mit tief verwurzelten Beziehungen

Der Leitfaden erkennt an, dass einige dieser Dienstleistungen und Partnerschaften in vielen Geschäftsmodellen der Banken so fest verankert sind, dass es unerlässlich ist, dass die Risikomanagement-Rahmenbedingungen der Banken und die damit einhergehende aufsichtsrechtliche Kontrolle auch diese komplexen Beziehungen zu Dritten einbeziehen.

Die Veröffentlichung des vorgeschlagenen Leitfadens bietet der Branche die Möglichkeit, einen Beitrag zu leisten, signalisiert aber auch, dass das Risikomanagement für Dritte (TPRM) von einem "nice to have" zu einem "need to have" geworden ist.

Fairerweise muss gesagt werden, dass die Grundsätze des Risikomanagements im TPRM anderen Aspekten des Risikomanagements im Bankwesen ähnlich sind.

In den Leitlinien werden mehrere Kernbereiche festgelegt, die zu berücksichtigen sind:

• Planung
• Due Diligence und Auswahl Dritter
• Vertragsverhandlungen
• Aufsicht und Rechenschaftspflicht
• Laufende Überwachung
• Terminierung

Eine Reihe von sehr unterschiedlichen Herausforderungen

Hinter diesen nüchternen Schlagzeilen verbergen sich erhebliche Nuancen.

1. Erstens wird anerkannt, dass sich die Herausforderungen und Probleme des TPRM für die größten Einrichtungen grundlegend von denen der kleinsten unterscheiden. Der Text erkennt an, dass es nicht praktikabel wäre, die Institute an beiden Enden des Spektrums zu zwingen, dieselben Systeme und Verfahren zu verwenden. Stattdessen wird von den Instituten erwartet, dass sie über Systeme und Verfahren verfügen, die auf ihr spezielles TPRM-Risikoprofil abgestimmt sind.
2. Zweitens wird in den Leitlinien anerkannt, dass die Beziehungen zu Dritten oft eine vierte und fünfte Ebene von Unteraufträgen erfordern, um die vertraglichen Anforderungen zu erfüllen. Dies zwingt die Banken dazu, bei ihrer Due-Diligence-Prüfung und ihrem Risikomanagement die Art dieser tieferen Beziehungen - und nicht nur die Drittparteien, mit denen sie direkt Verträge abschließen - zu berücksichtigen. Die Banken müssen wissen, wie sie Einblick in diese tieferen Beziehungen erhalten können, selbst wenn sie keine direkte vertragliche Beziehung haben.
3. Drittens werfen diese engen Beziehungen die Frage des Konzentrationsrisikos auf. Im Bankensektor beispielsweise bieten viele Softwareanwendungen und Dienstleistungsanbieter SaaS-basierte Funktionen an, um ihre Funktionalität bereitzustellen. Sie nutzen oft einen der wenigen Cloud-Service-Anbieter, um die zugrunde liegende Technologie bereitzustellen. Die geringe Anzahl von Cloud-Anbietern bedeutet, dass ein wie auch immer geartetes Problem bei einem Anbieter potenziell viele Softwareanbieter für Banken betreffen kann. Dies wiederum kann sich auf die Banken auswirken, die diese Dienste in Anspruch nehmen, und zwar möglicherweise bei geschäftskritischen Prozessen, was wiederum Auswirkungen auf die Gesamtwirtschaft und das Vertrauen in den Bankensektor hat. Diese Risiken können sowohl durch technologische Probleme als auch durch vertragliche oder kommerzielle Entwicklungen entstehen.

Integration von TPRM in die Risikolandschaft des Unternehmens

Die Anwendung der Grundprinzipien des Risikomanagements auf das TPRM bedeutet, dass diese Risiken in das umfassendere Bild des Risikomanagements im Unternehmen integriert werden müssen. Auf diese Weise kann ein Unternehmen sein TPRM-Profil in seine umfassenderen Pläne für die Widerstandsfähigkeit des Unternehmens einbeziehen, um sicherzustellen, dass es auch im Falle einer Betriebsunterbrechung seine Kerndienstleistungen erbringen kann, wie es von den Regulierungsbehörden des Finanzsektors und der realen Wirtschaft erwartet wird.

Die Regulierungsbehörden haben zwar um Rückmeldungen gebeten, aber die Richtung, in die sich die Banken bewegen müssen, ist klar, und sie müssen mit ihren Plänen zur Umsetzung des endgültigen Textes beginnen.

Wie sieht also die optimale TPRM-Risikolösung aus?

Die Fähigkeit, bis in die Tiefe der Lieferkette vorzudringen, bedeutet, dass eine dezentrale, SaaS-basierte Anwendung unerlässlich ist. Unternehmen in der dritten, vierten und fünften Ebene einer Lieferkette können die TPRM-Anforderungen von Unternehmen schnell und einfach umsetzen, auch wenn sie keine direkte Beziehung zueinander haben.

Innerhalb einer Bank muss es ein zentrales Repository geben, das die relevanten Verträge, die Standarddokumentation der Richtlinien und die Risikoprofile der verschiedenen Lieferanten enthält. Ebenso wichtig ist die Fähigkeit zur proaktiven Überwachung der verschiedenen Elemente der Lieferkette. Wenn auf irgendeiner Ebene Probleme auftauchen - z. B. technischer, kommerzieller, betrieblicher oder politischer Art - können die Risiko-, Betriebs- und Compliance-Funktionen einer Bank bei Bedarf proaktiv reagieren.

Mitratech bietet eine Reihe leistungsfähiger und bewährter TPRM-Lösungen an, die den Banken helfen, positiv und entschlossen auf die gestiegenen Erwartungen ihrer Aufsichtsbehörden zu reagieren. Erfahren Sie mehr.