Die EBA und das Risikomanagement von Drittanbietern
Die Europäische Bankenaufsichtsbehörde (EBA) ist eine unabhängige EU-Behörde, die eine wirksame und kohärente Regulierung und Beaufsichtigung des gesamten europäischen Bankensektors gewährleistet. Anfang 2019 veröffentlichte die EBA überarbeitete Leitlinien zu Auslagerungsvereinbarungen, einschließlich spezifischer Bestimmungen für die Governance von Finanzinstituten bei Auslagerungsvereinbarungen und damit verbundenen Aufsichtsprozessen. Diese Leitlinien stehen im Einklang mit den Auslagerungsanforderungen gemäß der Richtlinie über Zahlungsdienste (PSD2), der Richtlinie über Märkte für Finanzinstrumente (MiFID II) und der Delegierten Verordnung (EU) 2017/565 der Kommission.
Die EBA-Leitlinien legen die internen Governance-Regelungen fest, die Kreditinstitute, Zahlungsinstitute und E-Geld-Institute umsetzen sollten, wenn sie interne Dienstleistungen, Tätigkeiten oder Funktionen auslagern. In Anbetracht des umfangreichen Ökosystems von Zulieferern in der Finanzdienstleistungsbranche widmet die EBA dem Management von Outsourcing in der Finanzdienstleistungsbranche 70 Seiten.
Die EBA-Leitlinien verlangen ein solides Management und die Überwachung der Risiken von Dienstleistern. Sie legen fest, dass eine Strategie für das Risikomanagement vorhanden sein sollte, die auf internen Kontrollen basierende Bewertungen und eine kontinuierliche Überwachung von Outsourcing-Vereinbarungen mit Dritten umfasst. Die Strategie sollte in einem Vertrag zwischen dem Finanzinstitut und der Auslagerungsbeziehung kodifiziert werden, mit einer angemessenen Dokumentation und Berichterstattung sowohl für Abhilfemaßnahmen als auch für Prüfungsmöglichkeiten.
Diese Anforderungen stellen eine vollständige Reihe von Kontrollen dar, die in der gesamten Organisation des Outsourcers implementiert sind und weit über den Umfang einer einfachen automatischen Überprüfung der nach außen gerichteten Infrastruktur hinausgehen.
Relevante Anforderungen
- Unterscheidung zwischen "kritischen oder wichtigen" und nicht kritischen Auslagerungen
-
Durchführung einer Due-Diligence-Prüfung bei der Auswahl des Outsourcing-Prozesses
-
Ermöglichen Sieeine angemesseneRisikobewertung, bei der alle potenziellen operativen Risiken identifiziert, verwaltet, überwacht und gemeldet werden.
-
Verträge verlangen, die Zugangs- und Prüfungsrechte für die Banken und ihre Aufsichtsbehörden festlegen, um eine wirksame Aufsicht zu gewährleisten
-
Durchführung einer fortlaufenden Bewertung undkontinuierlichen Überwachung mit klarer Berichterstattung an die Geschäftsleitung
-
Stellen Sie den Behörden alle Unterlagen zur Verfügung, um Transparenz zu gewährleisten.
-
Festlegung einer klaren Ausstiegsstrategie für den Fall eines Ausfalls des Dienstleisters
Erfüllung der TPRM-Leitlinien der EBA
Hier erfahren Sie, wie Prevalent Ihnen helfen kann, die EBA-Leitlinien zum Risikomanagement für Dritte zu erfüllen:
| EBA-Leitlinien | Wie wir helfen |
|---|---|
| Title II – Assessment of Outsourcing Arrangements 4 – Critical or important functions Paragraph 30“Particular attention should be given to the assessment of the criticality or importance of functions if the outsourcing concerns functions related to core business lines.” |
Die Lösung Prevalent Assessment ermöglicht es Finanzinstituten, Dritte auf der Grundlage ihrer Bedeutung für das Unternehmen zu klassifizieren. Eine Auswahl von anpassbaren Fragebögen ermöglicht es Ihnen, die Bewertungsanforderungen an den Risikograd der Beziehung anzupassen. |
| Title III – Governance Framework 5 – Sound governance arrangement and third-party risk Paragraph 32“Institutions and payment institutions should have a holistic institution-wide risk management framework to identify and manage all their risks, including risks caused by arrangements with third parties.” |
Prevalent bietet die branchenweit einzige zweckbestimmte, einheitliche Plattform für das Risikomanagement von Drittanbietern. Unsere Lösung automatisiert den Inside-Out-Prozess der Risikobewertungen von Anbietern und umfasst gleichzeitig eine proaktive kontinuierliche Überwachung mit einem Outside-In-Ansatz, um Risiken zu reduzieren und die Anforderungen der Compliance zu erfüllen. |
| Title III – Governance Framework 5 – Sound governance arrangement and third-party risk Paragraph 33“Institutions and payment institutions should identify, assess, monitor and manage all risks resulting from arrangements with third parties to which they are or might be exposed.” |
Der Prevalent Assessment Service bietet Fachleuten für Sicherheit, Datenschutz und Risikomanagement eine automatisierte Plattform zur Verwaltung des Risikobewertungsprozesses von Anbietern und zur Ermittlung der Einhaltung von IT-Sicherheits-, Gesetzes- und Datenschutzanforderungen durch die Anbieter. Er verwendet sowohl Standard- als auch benutzerdefinierte Fragebögen, um Beweise zu sammeln, und bietet bidirektionale Abhilfeworkflows, Live-Berichte und ein benutzerfreundliches Dashboard für mehr Effizienz. Mit klaren Berichten und Anleitungen zur Problembehebung stellt die Plattform sicher, dass Risiken erkannt und an die richtigen Stellen weitergeleitet werden. |
| Titel III - Governance-Rahmen 6 - Solide Governance-Regelungen und Outsourcing Absatz 40(c)"Beim Outsourcing sollten die Institute und Zahlungsinstitute zumindest sicherstellen, dass:
|
Die Prevalent-Plattform für das Risikomanagement von Drittanbietern bietet eine Komplettlösung für die Durchführung von Bewertungen, einschließlich Fragebögen, eine Umgebung für die Aufnahme und Verwaltung dokumentierter Nachweise in der Antwort, Arbeitsabläufe für die Verwaltung der Überprüfung und die Behandlung der Ergebnisse sowie ein robustes Berichtswesen, das jeder Managementebene die Informationen liefert, die sie für eine ordnungsgemäße Überprüfung der Leistung des Drittanbieters benötigt. |
| Title III – Governance Framework 10 – Internal audit function Paragraph 50“The internal audit function’s activities should cover, following a risk-based approach, the independent review of outsourced activities. The audit plan and programme should include, in particular, the outsourcing arrangements of critical or important functions.” |
Die Prevalent-Plattform für das Risikomanagement von Drittanbietern umfasst ein effektives Berichtswesen zur Erfüllung von Audit- und Compliance-Anforderungen sowie zur Präsentation der Ergebnisse vor dem Vorstand und der Geschäftsleitung. Das gesamte Risikoprofil kann in der zentralisierten Live-Berichtskonsole eingesehen werden, und die Berichte können heruntergeladen und exportiert werden, um den Konformitätsstatus zu ermitteln. Zu den umfangreichen Berichtsfunktionen gehören Filter und interaktive Diagramme zum Durchklicken. Die Lösung umfasst ein vollständiges Repository aller während des Diligence-Prozesses gesammelten und geprüften Unterlagen. |
| Title III – Governance Framework 12.3 – Due Diligence Paragraphs 70 & 71“With regard to critical and important functions, institutions and payment institutions should ensure that the service provider has the business reputation to meet its obligations.Additional factors to be considered include its business model, nature, scale, complexity, financial situation, ownership and group structure.” |
Der Prevalent Cyber & Business Monitoring Service bietet sowohl eine Momentaufnahme als auch eine kontinuierliche Überwachung von Anbietern für eine sofortige Benachrichtigung über risikoreiche Probleme, die Festlegung von Prioritäten und Empfehlungen zur Behebung. Die Überwachung von Datensicherheit und Geschäftsrisiken ermöglicht es Ihnen, über den taktischen Zustand des Anbieters hinaus eine strategischere Sicht auf das gesamte Informationssicherheitsrisiko eines Anbieters zu erhalten.
Prevalent ist insofern einzigartig, als es eine Überwachung von Geschäftsrisiken anbietet, die menschliche Analysten zur Interpretation potenzieller Betriebs-, Marken-, regulatorischer, rechtlicher und finanzieller Risiken einsetzt. Beispiele hierfür sind:
|
| Title III – Governance Framework 13.2 Security of data and systems Paragraph 82“Where relevant (e.g. in the context of cloud or other ICT outsourcing), institutions and payment institutions should define data and system security requirements within the outsourcing agreement and monitor compliance with these requirements on an ongoing basis.” |
Die Prevalent-Plattform für das Risikomanagement von Drittanbietern bietet eine Komplettlösung für die Durchführung von Bewertungen, einschließlich Fragebögen, eine Umgebung für die Aufnahme und Verwaltung dokumentierter Nachweise in der Antwort, Arbeitsabläufe für die Verwaltung der Überprüfung und die Behandlung der Ergebnisse sowie ein robustes Berichtswesen, das jeder Managementebene die Informationen liefert, die sie für eine ordnungsgemäße Überprüfung der Leistung des Drittanbieters benötigt. |
| Titel III - Governance-Rahmen 13.3 Zugangs-, Informations- und Prüfungsrechte Absatz 87 (b)"Die Institute und Zahlungsinstitute sollten sich vergewissern, dass der Dienstleister sie gewährt:
|
Die Prevalent Assessment-Lösung stellt sicher, dass die Dienstleister die genauen, vereinbarten Anforderungen umsetzen und regelmäßig nachverfolgen und überprüfen. Ein robustes Berichtswesen und umfassende Audit-Funktionen rationalisieren die ordnungsgemäße Leistungsüberprüfung. Der Zugriff auf abgeschlossene Bewertungen und Audits kann über standardmäßige RBAC-Funktionen in der Plattform an Auditoren delegiert werden. |
| Titel III - Governance-Rahmen 13.3 Zugangs-, Informations- und Prüfungsrechte Absatz 91"Institute und Zahlungsinstitute können verwenden:
|
Die Vendor Evidence Sharing Networks von Prevalent sind Ablagen für ausgefüllte, validierte Lieferantenfragebögen und unterstützende Nachweise, die den mühsamen, zeit- und ressourcenaufwendigen Prozess der Datenerfassung von Grund auf eliminieren.
Prevalent bietet sowohl horizontale als auch vertikale Netzwerke, um die Bewertung und Zusammenarbeit innerhalb der Gemeinschaft zu beschleunigen. |
| Title III – Governance Framework 14 Oversight of outsourced functions Paragraph 100“Institutions and payment institutions should monitor, on an ongoing basis, the performance of the service providers. Where the risk, nature or scale of an outsourced function has materially changed, institutions and payment institutions should reassess the criticality or importance of that function.” |
Die Plattform ermöglicht nicht nur automatisierte, regelmäßige, auf internen Kontrollen basierende Bewertungen, sondern bietet auch Cybersicherheit und Unternehmensüberwachung - eine kontinuierliche Bewertung der Netzwerke von Drittanbietern, um potenzielle Schwachstellen zu identifizieren, die von Cyber-Kriminellen ausgenutzt werden können. Prevalent bietet auch Penetrationstests als Dienstleistung an, um Kunden dabei zu helfen, die Netzwerkoperationen von Anbietern auf einer viel detaillierteren Ebene zu untersuchen.
Durch die Integration von internen Bewertungen, externer Cyber-Überwachung und Penetrationstests erhalten die betroffenen Unternehmen einen vollständigen Überblick über die Risiken der Anbieter sowie klare und umsetzbare Anleitungen zur Behebung dieser Risiken. |
| Titel III - Governance-Rahmen 14 Beaufsichtigung ausgelagerter Funktionen Absatz 104“Institutions and payment institutions should ensure that outsourcing arrangements meet appropriate performance and quality standards in line with their policies by:a. ensuring that they receive appropriate reports from service providers; b. die Bewertung der Leistung von Dienstleistern mit Hilfe von Instrumenten wie zentralen Leistungsindikatoren, zentralen Kontrollindikatoren, Berichten über die Erbringung von Dienstleistungen, Selbstzertifizierung und unabhängigen Überprüfungen; und c. Überprüfung aller anderen vom Dienstleister erhaltenen relevanten Informationen, einschließlich Berichten über Maßnahmen zur Aufrechterhaltung des Geschäftsbetriebs und Tests. |
Der Dienst Prevalent Assessment erfasst und prüft Gespräche und gleicht die Dokumentation oder Beweise mit den Risiken ab. Optisch ansprechende und kohärente Dashboards bieten einen klaren Überblick über Aufgaben, Zeitpläne, Risikoaktivitäten, den Abschlussstatus der Untersuchung, Vereinbarungen und zugehörige Dokumente. |
| Title III – Governance Framework 14 Oversight of outsourced functions Paragraph 105“If shortcomings are identified, institutions and payment institutions should take appropriate corrective or remedial actions.” |
Die Prevalent-Lösung umfasst bidirektionale Arbeitsabläufe und gemeinsame Kommunikationsmechanismen zur Verfolgung der Ergebnisse und zur Behebung von Problemen. |
SP 800-53 r5 Kontrolle des Risikomanagements der Lieferkette (SR)
Die folgende Tabelle enthält einen Auszug aus der SP 800-53 r5 Supply Chain Risk Management Kontrolle und zeigt, wie die Prevalent Plattform die Anforderungen erfüllt. Für eine vollständige Zuordnung laden Sie bitte die vollständige NIST-Anleitung herunter.
| SP 800-53 r5 Kontrolle des Risikomanagements der Lieferkette (SR) | Wie wir helfen |
|---|---|
| SR-1 Politik und Verfahren | Prevalent Program Design Services definieren und dokumentieren Ihr Risikomanagementprogramm für Dritte. Sie erhalten einen klaren Plan, der Ihre spezifischen Bedürfnisse berücksichtigt und gleichzeitig die besten Praktiken für ein durchgängiges TPRM einbezieht. |
| SR-2 Risikomanagementplan für die Lieferkette | Die Prevalent Program Optimization Services helfen Ihnen dabei, Ihre Prevalent-Plattform kontinuierlich zu verbessern, um sicherzustellen, dass Ihr TPRM-Programm die Flexibilität und Agilität behält, die es braucht, um die sich entwickelnden geschäftlichen und gesetzlichen Anforderungen zu erfüllen. |
| SR-3 Lieferkettenkontrollen und -prozesse | Prevalent Program Design Services definieren und dokumentieren Ihr Risikomanagementprogramm für Dritte. Sie erhalten einen klaren Plan, der Ihre spezifischen Bedürfnisse berücksichtigt und gleichzeitig die besten Praktiken für ein durchgängiges TPRM einbezieht. |
| SR-5 Beschaffungsstrategien, -werkzeuge und -methoden | Prevalent helps procurement teams reduce cost, complexity and risk exposure during vendor selection. Our RFx Essentials solution provides centralized distribution, comparison, and management of RFPs and RFIs. It also helps you get ahead of potential supplier risks with demographic, 4th-party, and ESG scores – plus optional business, reputational, and financial risk insights. As a result, you’re able to take an important first step toward tackling risk in the third-party lifecycle.
Sobald die Lieferantenauswahl abgeschlossen ist, zentralisiert Prevalent Contract Essentials die Verteilung, Diskussion, Aufbewahrung und Überprüfung von Lieferantenverträgen. Es umfasst auch Workflow-Funktionen zur Automatisierung des Vertragslebenszyklus vom Onboarding bis zum Offboarding. Mit Contract Essentials verfügen Beschaffungs- und Rechtsteams über eine einzige Lösung zur Verwaltung von Lieferantenverträgen, zur Vereinfachung der Verwaltung und Prüfung sowie zur Reduzierung von Kosten und Risiken. |
| SR-6 Lieferantenbeurteilungen und -überprüfungen | The Prevalent Platform includes more than 600 standardized risk assessment survey templates – including for NIST, ISO and many others — a custom survey creation wizard, and a questionnaire that maps responses to any compliance regulation or framework. All assessments are based on industry standards and address all information security topics as they pertain to supply chain partner and business resilience security controls.
Prevalent Vendor Threat Monitor verfolgt und analysiert kontinuierlich extern beobachtbare Bedrohungen für Anbieter und andere Drittparteien. Der Service ergänzt und validiert die von den Anbietern gemeldeten Sicherheitskontrolldaten der Prevalent-Plattform, indem er das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen überwacht und die Bewertungsergebnisse mit Untersuchungen zu betrieblichen, finanziellen, rechtlichen und Markenrisiken in einem einheitlichen Risikoregister korreliert, das eine zentrale Risikostrukturierung und Reaktion ermöglicht. |
| SR-8 Notifizierungsvereinbarungen | Mit der Prevalent-Plattform können Sie gemeinsam an Dokumenten, Vereinbarungen und Zertifizierungen wie NDAs, SLAs, SOWs und Verträgen arbeiten, mit integrierter Versionskontrolle, Aufgabenzuweisung und automatischen Überprüfungsabläufen. Außerdem können Sie alle Dokumente über den gesamten Lebenszyklus des Lieferanten in zentralisierten Lieferantenprofilen verwalten. |
| SR-13 Lieferanteninventar | Prevalent offers an inherent risk assessment questionnaire with clear scoring based on eight criteria to capture, track and quantify risks for all third parties. Assessment criteria include:
Mithilfe der inhärenten Risikobewertung können Sie Lieferanten automatisch in eine bestimmte Kategorie einordnen, geeignete Stufen für weitere Prüfungen festlegen und den Umfang nachfolgender, regelmäßiger Prüfungen bestimmen. Die regelbasierte Tiering-Logik ermöglicht die Kategorisierung von Lieferanten auf der Grundlage einer Reihe von Überlegungen zur Dateninteraktion sowie zu finanziellen, regulatorischen und Reputationsaspekten. |
