Die EBA und das Risikomanagement von Drittanbietern
Die Europäische Bankenaufsichtsbehörde (EBA) ist eine unabhängige EU-Behörde, die eine wirksame und kohärente Regulierung und Beaufsichtigung des gesamten europäischen Bankensektors gewährleistet. Anfang 2019 veröffentlichte die EBA überarbeitete Leitlinien zu Auslagerungsvereinbarungen, einschließlich spezifischer Bestimmungen für die Governance von Finanzinstituten bei Auslagerungsvereinbarungen und damit verbundenen Aufsichtsprozessen. Diese Leitlinien stehen im Einklang mit den Auslagerungsanforderungen gemäß der Richtlinie über Zahlungsdienste (PSD2), der Richtlinie über Märkte für Finanzinstrumente (MiFID II) und der Delegierten Verordnung (EU) 2017/565 der Kommission.
Die EBA-Leitlinien legen die internen Governance-Regelungen fest, die Kreditinstitute, Zahlungsinstitute und E-Geld-Institute umsetzen sollten, wenn sie interne Dienstleistungen, Tätigkeiten oder Funktionen auslagern. In Anbetracht des umfangreichen Ökosystems von Zulieferern in der Finanzdienstleistungsbranche widmet die EBA dem Management von Outsourcing in der Finanzdienstleistungsbranche 70 Seiten.
Die EBA-Leitlinien verlangen ein solides Management und die Überwachung der Risiken von Dienstleistern. Sie legen fest, dass eine Strategie für das Risikomanagement vorhanden sein sollte, die auf internen Kontrollen basierende Bewertungen und eine kontinuierliche Überwachung von Outsourcing-Vereinbarungen mit Dritten umfasst. Die Strategie sollte in einem Vertrag zwischen dem Finanzinstitut und der Auslagerungsbeziehung kodifiziert werden, mit einer angemessenen Dokumentation und Berichterstattung sowohl für Abhilfemaßnahmen als auch für Prüfungsmöglichkeiten.
Diese Anforderungen stellen eine vollständige Reihe von Kontrollen dar, die in der gesamten Organisation des Outsourcers implementiert sind und weit über den Umfang einer einfachen automatischen Überprüfung der nach außen gerichteten Infrastruktur hinausgehen.
Relevante Anforderungen
- Unterscheidung zwischen "kritischen oder wichtigen" und nicht kritischen Auslagerungen
- Ermöglichung einer angemessenen Risikobewertung, bei der alle potenziellen operationellen Risiken ermittelt, gesteuert, überwacht und gemeldet werden
- Laufende Bewertung und kontinuierliche Überwachung mit klarer Berichterstattung an die Geschäftsleitung
- Festlegung einer klaren Ausstiegsstrategie für den Fall eines Ausfalls des Dienstleisters
- Durchführung einer Due-Diligence-Prüfung bei der Auswahl des Outsourcing-Prozesses
- Verträge verlangen, die Zugangs- und Prüfungsrechte für die Banken und ihre Aufsichtsbehörden festlegen, um eine wirksame Aufsicht zu gewährleisten
Erfüllung der TPRM-Leitlinien der EBA
Hier erfahren Sie, wie Prevalent Ihnen helfen kann, die EBA-Leitlinien zum Risikomanagement für Dritte zu erfüllen:
EBA-Leitlinien
Wie wir helfen
Titel II - Bewertung von Auslagerungsvereinbarungen
4 - Kritische oder wichtige Funktionen
Absatz 30
"Besondere Aufmerksamkeit sollte der Bewertung der Kritikalität oder Wichtigkeit von Funktionen gewidmet werden, wenn die Auslagerung Funktionen im Zusammenhang mit Kerngeschäftsbereichen betrifft."
Die Lösung Prevalent Assessment ermöglicht es Finanzinstituten, Dritte auf der Grundlage ihrer Bedeutung für das Unternehmen zu klassifizieren. Eine Auswahl von anpassbaren Fragebögen ermöglicht es Ihnen, die Bewertungsanforderungen an den Risikograd der Beziehung anzupassen.
Titel III - Governance-Rahmen
5 - Solide Governance-Regelungen und Risiken für Dritte
Absatz 32
"Institute und Zahlungsinstitute sollten über einen ganzheitlichen, institutsweiten Risikomanagement-Rahmen verfügen, um alle ihre Risiken zu ermitteln und zu steuern, einschließlich der Risiken, die durch Vereinbarungen mit Dritten entstehen."
Prevalent bietet die branchenweit einzige zweckbestimmte, einheitliche Plattform für das Risikomanagement von Drittanbietern. Unsere Lösung automatisiert den Inside-Out-Prozess der Risikobewertungen von Anbietern und umfasst gleichzeitig eine proaktive kontinuierliche Überwachung mit einem Outside-In-Ansatz, um Risiken zu reduzieren und die Anforderungen der Compliance zu erfüllen.
Titel III - Governance-Rahmen
5 - Solide Governance-Regelungen und Risiken für Dritte
Absatz 33
"Institute und Zahlungsinstitute sollten alle Risiken, die sich aus Vereinbarungen mit Dritten ergeben und denen sie ausgesetzt sind oder ausgesetzt sein könnten, ermitteln, bewerten, überwachen und steuern."
Der Prevalent Assessment Service bietet Fachleuten für Sicherheit, Datenschutz und Risikomanagement eine automatisierte Plattform zur Verwaltung des Risikobewertungsprozesses von Anbietern und zur Ermittlung der Einhaltung von IT-Sicherheits-, Gesetzes- und Datenschutzanforderungen durch die Anbieter. Er verwendet sowohl Standard- als auch benutzerdefinierte Fragebögen, um Beweise zu sammeln, und bietet bidirektionale Abhilfeworkflows, Live-Berichte und ein benutzerfreundliches Dashboard für mehr Effizienz. Mit klaren Berichten und Anleitungen zur Problembehebung stellt die Plattform sicher, dass Risiken erkannt und an die richtigen Stellen weitergeleitet werden.
Titel III - Governance-Rahmen
6 - Solide Governance-Regelungen und Outsourcing
Absatz 40(c)
"Beim Outsourcing sollten die Institute und Zahlungsinstitute zumindest sicherstellen, dass:
- die Risiken im Zusammenhang mit aktuellen und geplanten Auslagerungsvereinbarungen angemessen ermittelt, bewertet, gesteuert und gemindert werden, einschließlich der Risiken im Zusammenhang mit IKT und Finanztechnologie (Fintech)."
Die Prevalent-Plattform für das Risikomanagement von Drittanbietern bietet eine Komplettlösung für die Durchführung von Bewertungen, einschließlich Fragebögen, eine Umgebung für die Aufnahme und Verwaltung dokumentierter Nachweise in der Antwort, Arbeitsabläufe für die Verwaltung der Überprüfung und die Behandlung der Ergebnisse sowie ein robustes Berichtswesen, das jeder Managementebene die Informationen liefert, die sie für eine ordnungsgemäße Überprüfung der Leistung des Drittanbieters benötigt.
Titel III - Governance-Rahmen
10 - Interne Auditfunktion
Absatz 50
"Die Tätigkeit der Innenrevision sollte nach einem risikobasierten Ansatz auch die unabhängige Überprüfung ausgelagerter Tätigkeiten umfassen. Der Prüfungsplan und das Prüfungsprogramm sollten insbesondere die Auslagerungsvereinbarungen für kritische oder wichtige Funktionen umfassen."
Die Prevalent-Plattform für das Risikomanagement von Drittanbietern umfasst ein effektives Berichtswesen zur Erfüllung von Audit- und Compliance-Anforderungen sowie zur Präsentation der Ergebnisse vor dem Vorstand und der Geschäftsleitung. Das gesamte Risikoprofil kann in der zentralisierten Live-Berichtskonsole eingesehen werden, und die Berichte können heruntergeladen und exportiert werden, um den Konformitätsstatus zu ermitteln. Zu den umfangreichen Berichtsfunktionen gehören Filter und interaktive Diagramme zum Durchklicken. Die Lösung umfasst ein vollständiges Repository aller während des Diligence-Prozesses gesammelten und geprüften Unterlagen.
Titel III - Governance-Rahmen
12.3 - Due Diligence
Paragraphen 70 & 71
"Im Hinblick auf kritische und wichtige Funktionen sollten die Institute und Zahlungsinstitute sicherstellen, dass der Dienstleister über den geschäftlichen Ruf verfügt, seinen Verpflichtungen nachzukommen.
Weitere Faktoren, die zu berücksichtigen sind, sind das Geschäftsmodell, die Art, der Umfang, die Komplexität, die finanzielle Situation, die Eigentumsverhältnisse und die Konzernstruktur.
Der Prevalent Cyber & Business Monitoring Service bietet sowohl eine Momentaufnahme als auch eine kontinuierliche Überwachung von Anbietern für eine sofortige Benachrichtigung über risikoreiche Probleme, die Festlegung von Prioritäten und Empfehlungen zur Behebung. Die Überwachung von Datensicherheit und Geschäftsrisiken ermöglicht es Ihnen, über den taktischen Zustand des Anbieters hinaus eine strategischere Sicht auf das gesamte Informationssicherheitsrisiko eines Anbieters zu erhalten.
Prevalent ist insofern einzigartig, als es eine Überwachung von Geschäftsrisiken anbietet, die menschliche Analysten zur Interpretation potenzieller Betriebs-, Marken-, regulatorischer, rechtlicher und finanzieller Risiken einsetzt.
Beispiele hierfür sind:
- Insider-Bedrohungen
- Finanzielle Probleme
- M&A-Aktivitäten
- Entlassungen
- Fälle von Datenschutzverletzungen
- Reputationsmetriken
Titel III - Governance-Rahmen
13.2 Sicherheit von Daten und Systemen
Absatz 82
"Gegebenenfalls (z.B. im Zusammenhang mit Cloud- oder anderem IKT-Outsourcing) sollten Institute und Zahlungsinstitute im Rahmen der Outsourcing-Vereinbarung Anforderungen an die Daten- und Systemsicherheit festlegen und die Einhaltung dieser Anforderungen laufend überwachen."
Die Prevalent-Plattform für das Risikomanagement von Drittanbietern bietet eine Komplettlösung für die Durchführung von Bewertungen, einschließlich Fragebögen, eine Umgebung für die Aufnahme und Verwaltung dokumentierter Nachweise in der Antwort, Arbeitsabläufe für die Verwaltung der Überprüfung und die Behandlung der Ergebnisse sowie ein robustes Berichtswesen, das jeder Managementebene die Informationen liefert, die sie für eine ordnungsgemäße Überprüfung der Leistung des Drittanbieters benötigt.
Titel III - Governance-Rahmen
13.3 Zugangs-, Informations- und Prüfungsrechte
Absatz 87 (b)
"Die Institute und Zahlungsinstitute sollten sich vergewissern, dass der Dienstleister sie gewährt:
- uneingeschränkte Einsichts- und Prüfungsrechte in Bezug auf die Auslagerungsvereinbarung ('Prüfungsrechte'), damit sie die Auslagerungsvereinbarung überwachen und die Einhaltung aller geltenden rechtlichen und vertraglichen Anforderungen sicherstellen können"
Kontrolle 15 Überblick "Ein Programm zur Entwicklung und Aufrechterhaltung einer Fähigkeit zur Reaktion auf Zwischenfälle (z.B. Richtlinien, Pläne, Verfahren, definierte Rollen, Schulung und Kommunikation) zur Vorbereitung, Erkennung und schnellen Reaktion auf einen Angriff.
Die Prevalent Assessment-Lösung stellt sicher, dass die Dienstleister die genauen, vereinbarten Anforderungen umsetzen und regelmäßig nachverfolgen und überprüfen. Ein robustes Berichtswesen und umfassende Audit-Funktionen rationalisieren die ordnungsgemäße Leistungsüberprüfung. Der Zugriff auf abgeschlossene Bewertungen und Audits kann über standardmäßige RBAC-Funktionen in der Plattform an Auditoren delegiert werden.
Titel III - Governance-Rahmen
13.3 Zugangs-, Informations- und Prüfungsrechte
Absatz 91
"Institute und Zahlungsinstitute können verwenden:
- gemeinsame Prüfungen mit anderen Kunden desselben Dienstleisters, die von diesem und diesen Kunden oder von einem von ihnen beauftragten Dritten durchgeführt werden, um die Prüfungsressourcen effizienter zu nutzen und den organisatorischen Aufwand sowohl für die Kunden als auch für den Dienstleister zu verringern.
Die Vendor Evidence Sharing Networks von Prevalent sind Ablagen für ausgefüllte, validierte Lieferantenfragebögen und unterstützende Nachweise, die den mühsamen, zeit- und ressourcenaufwendigen Prozess der Datenerfassung von Grund auf eliminieren.
Prevalent bietet sowohl horizontale als auch vertikale Netzwerke, um die Bewertung und Zusammenarbeit innerhalb der Gemeinschaft zu beschleunigen.
Titel III - Governance-Rahmen
14 Beaufsichtigung ausgelagerter Funktionen
Absatz 100
"Die Institute und Zahlungsinstitute sollten die Leistung der Dienstleister laufend überwachen. Wenn sich das Risiko, die Art oder der Umfang einer ausgelagerten Funktion wesentlich verändert hat, sollten die Institute und Zahlungsinstitute die Kritikalität oder Bedeutung dieser Funktion neu bewerten."
Die Plattform ermöglicht nicht nur automatisierte, regelmäßige, auf internen Kontrollen basierende Bewertungen, sondern bietet auch Cybersicherheit und Unternehmensüberwachung - eine kontinuierliche Bewertung der Netzwerke von Drittanbietern, um potenzielle Schwachstellen zu identifizieren, die von Cyber-Kriminellen ausgenutzt werden können. Prevalent bietet auch Penetrationstests als Dienstleistung an, um Kunden dabei zu helfen, die Netzwerkoperationen von Anbietern auf einer viel detaillierteren Ebene zu untersuchen.
Durch die Integration von internen Bewertungen, externer Cyber-Überwachung und Penetrationstests erhalten die betroffenen Unternehmen einen vollständigen Überblick über die Risiken der Anbieter sowie klare und umsetzbare Anleitungen zur Behebung dieser Risiken.
Titel III - Governance-Rahmen
14 Beaufsichtigung ausgelagerter Funktionen
Absatz 104
"Die Institute und Zahlungsinstitute sollten sicherstellen, dass die Auslagerungsvereinbarungen im Einklang mit ihrer Politik angemessene Leistungs- und Qualitätsstandards erfüllen:
a. sicherstellen, dass sie von den Dienstleistern angemessene Berichte erhalten;
b. die Bewertung der Leistung von Dienstleistern mit Hilfe von Instrumenten wie zentralen Leistungsindikatoren, zentralen Kontrollindikatoren, Berichten über die Erbringung von Dienstleistungen, Selbstzertifizierung und unabhängigen Überprüfungen; und
c. Überprüfung aller anderen vom Dienstleister erhaltenen relevanten Informationen, einschließlich Berichten über Maßnahmen zur Aufrechterhaltung des Geschäftsbetriebs und Tests.
Der Dienst Prevalent Assessment erfasst und prüft Gespräche und gleicht die Dokumentation oder Beweise mit den Risiken ab. Optisch ansprechende und kohärente Dashboards bieten einen klaren Überblick über Aufgaben, Zeitpläne, Risikoaktivitäten, den Abschlussstatus der Untersuchung, Vereinbarungen und zugehörige Dokumente.
Titel III - Governance-Rahmen
14 Beaufsichtigung ausgelagerter Funktionen
Absatz 105
"Werden Mängel festgestellt, sollten die Institute und Zahlungsinstitute geeignete Korrektur- oder Abhilfemaßnahmen ergreifen."
Die Prevalent-Lösung umfasst bidirektionale Arbeitsabläufe und gemeinsame Kommunikationsmechanismen zur Verfolgung der Ergebnisse und zur Behebung von Problemen.
