FCA FG 16/5 Einhaltung

Kontakt zu einem Experten

Zurück zu allen Use Cases

FCA FG 16/5 und Risikomanagement durch Dritte

Die Financial Conduct Authority (FCA) reguliert Finanzunternehmen, die Dienstleistungen für Verbraucher erbringen, und sorgt für die Integrität der Finanzmärkte im Vereinigten Königreich. Zu ihren Aufgaben gehören die Umsetzung, Überwachung und Durchsetzung von EU- und internationalen Standards und Vorschriften im Vereinigten Königreich. Im Juli 2018 veröffentlichte die FCA ihre endgültigen Leitlinien,FG 16/5 Guidance for firms outsourcing to the „cloud” and other third-party IT services(Leitlinien für Unternehmen, die Outsourcing-Dienstleistungen indie „Cloud” und andere IT-Dienstleistungen von Drittanbietern auslagern), um Finanzunternehmen dabei zu unterstützen, alle Aspekte des Lebenszyklus von Outsourcing-Vereinbarungen effektiv zu überwachen.

Die FCA-Leitlinie 16/5 fügt cloudspezifische Kontrollen hinzu, die mit den allgemeinen FCA-Outsourcing-Anforderungen in den Abschnitten zu Systemen und Kontrollen (SYSC) des FCA-Handbuchs für entsprechend regulierte Unternehmen in Einklang stehen, und verlangt außerdem die Übereinstimmung mit der DSGVO.

Die FCA betrachtet die ordnungsgemäße Nutzung von Outsourcing in die Cloud und anderen IT-Dienstleistungen von Drittanbietern als eine Möglichkeit für Unternehmen, ihre Flexibilität zu erhöhen und Innovationen zu ermöglichen. Die FCA räumt jedoch auch ein, dass Cloud-Outsourcing Risiken mit sich bringen kann, die ordnungsgemäß identifiziert, überwacht und gemindert werden müssen. Dies wird durch eine ordnungsgemäße Risikobewertung erreicht.

Relevante Richtlinien

  • Laufende Überwachung ausgelagerter Aktivitäten sowie Identifizierung und Management von Risiken

Erfüllung der FCA-Richtlinien zum Risikomanagement

So kann Prevalent Ihnen dabei helfen, die FCA FG 16/5-Richtlinien zum Risikomanagement durch Dritte umzusetzen:

FCA FG 16/5 Leitlinien

Wie wir helfen

Abschnitt 3.4

„Ein Unternehmen identifiziert und verwaltet die mit der Inanspruchnahme von Dritten verbundenen operativen Risiken angemessen, einschließlich der Durchführung einer Due-Diligence-Prüfung vor der Entscheidung über eine Auslagerung. Unser Ansatz ist risikobasiert und verhältnismäßig und berücksichtigt die Art, den Umfang und die Komplexität der Geschäftstätigkeit eines Unternehmens.“

Die Cyber- und Geschäftsüberwachungslösung von Prevalent bietet Unternehmen die Möglichkeit, vor Vertragsabschluss oder während einer definierten Geschäftsvereinbarung Einblicke in potenzielle Cyber-Schwachstellen oder relevante Geschäftsrisiken eines Dienstleisters zu gewinnen.

Prevalent kombiniert native Schwachstellenscans mit mehreren externen Quellen für Cyber-Bedrohungsinformationen, um tiefe Einblicke in die Cyber-Risiken von Dienstleistern zu liefern.

Prevalent ist insofern einzigartig, als es eine Überwachung von Geschäftsrisiken anbietet, die menschliche Analysten zur Interpretation potenzieller Betriebs-, Marken-, regulatorischer, rechtlicher und finanzieller Risiken einsetzt.

Beispiele hierfür sind:

  • Insider-Bedrohungen
  • Finanzielle Probleme
  • M&A-Aktivitäten
  • Entlassungen
  • Fälle von Datenschutzverletzungen
  • Reputationsmetriken

Risikomanagement

„Dementsprechend sollten Unternehmen:

  • eine Risikobewertung durchführen, um relevante Risiken zu identifizieren und Maßnahmen zu deren Minderung zu ermitteln
  • diese Bewertung dokumentieren

Der Prevalent Assessment Service bietet Fachleuten für Sicherheit, Datenschutz und Risikomanagement eine automatisierte Plattform zur Verwaltung des Risikobewertungsprozesses von Dienstleistern und zur Feststellung der Einhaltung von IT-Sicherheits-, Regulierungs- und Datenschutzanforderungen. Er verwendet sowohl Standard- als auch benutzerdefinierte Fragebögen, um Beweise zu sammeln, und bietet bidirektionale Workflows zur Behebung von Mängeln, Live-Berichte und ein benutzerfreundliches Dashboard für mehr Effizienz. Mit klaren Berichten und Anleitungen zur Behebung von Mängeln stellt die Plattform sicher, dass Risiken identifiziert und an die richtigen Stellen weitergeleitet werden.

Überwachung von Dienstleistern

„Sicherstellen, dass die Mitarbeiter über ausreichende Fähigkeiten und Ressourcen verfügen, um die ausgelagerten Aktivitäten zu überwachen und zu testen; die auftretenden Risiken identifizieren, überwachen und mindern.“

Das Risikomanagement von Drittanbietern ist kostspielig und zeitaufwendig, wenn ineffiziente und fehleranfällige manuelle Prozesse zur Datenerfassung und -weitergabe zum Einsatz kommen. Die Assessment-Lösung von Prevalent automatisiert diesen Prozess, indem sie Daten von Dienstleistern sammelt, organisiert und präsentiert, um die Entscheidungsfindung zu erleichtern und das Lieferantenrisiko zu verwalten.

Datensicherheit

„Unternehmen sollten eine Sicherheitsrisikobewertung durchführen, die den Dienstleister und die vom Unternehmen verwalteten Technologie-Assets umfasst.“

Die Prevalent-Lösung ermöglicht automatisierte, standardbasierte oder benutzerdefinierte Fragebögen zur Identifizierung und Verwaltung von Risiken durch Dritte.

Standardbasierte Fragebögen bewerten Dritte hinsichtlich verschiedener Kontrollen, darunter Cybersicherheit, IT, Datenschutz, Datensicherheit, Cloud-Hosting und Geschäftskontinuität.

Die Plattform umfasst außerdem bidirektionale Remediation-Workflows, Live-Berichterstellung und ein benutzerfreundliches Dashboard für mehr Effizienz.

Effektiver Zugriff auf Daten

„Ein Unternehmen sollte:

  • sicherstellen, dass die mit dem Dienstleister vereinbarten Benachrichtigungsanforderungen für den Zugriff auf Daten angemessen und nicht übermäßig restriktiv sind
  • sicherstellen, dass es keine Beschränkungen hinsichtlich der Anzahl der Anträge gibt, die das Unternehmen, sein Wirtschaftsprüfer oder die Aufsichtsbehörde stellen können, um Zugang zu Daten zu erhalten oder diese zu erhalten.

Die Prevalent-Plattform für das Risikomanagement von Drittanbietern umfasst ein effektives Berichtswesen zur Erfüllung von Audit- und Compliance-Anforderungen sowie zur Präsentation der Ergebnisse vor dem Vorstand und der Geschäftsleitung. Das gesamte Risikoprofil kann in der zentralisierten Live-Berichtskonsole eingesehen werden, und die Berichte können heruntergeladen und exportiert werden, um den Konformitätsstatus zu ermitteln. Zu den umfangreichen Berichtsfunktionen gehören Filter und interaktive Diagramme zum Durchklicken. Die Lösung umfasst ein vollständiges Repository aller während des Diligence-Prozesses gesammelten und geprüften Unterlagen.

Zusätzliche Ressourcen

Blog

Wie man die Compliance-Anforderungen der Financial Conduct Authority (FCA) für Cloud- und Drittanbieter-IT-Services erfüllt

Weißbuch

Das Handbuch zur Einhaltung von Drittparteien: Industriestandards

Blog

Kenne deinen Kunden (KYC): Was es ist und die 3 wichtigsten Schritte

Leitfaden

Richten Sie Ihr TPRM-Programm an 14 Branchenstandards aus

Weitere Ressourcen anzeigen

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.