Anforderungen an das Risikomanagement von Drittanbietern für Finanzdienstleistungsunternehmen

Im Juni 2023 veröffentlichten der Verwaltungsrat des Federal Reserve Systems (Board of Governors), die Federal Deposit Insurance Corporation (FDIC) und das Office of the Comptroller of the Currency (OCC) einheitliche Leitlinien zum Umgang mit Risiken im Zusammenhang mit Beziehungen zu Dritten in Bankorganisationen.

Die behördenübergreifenden Leitlinien zu Beziehungen zu Dritten: Risikomanagementbasieren auf den Leitlinien der OCC aus dem Jahr 2013 und den FAQs aus dem Jahr 2020. Sie ersetzen die bestehenden Leitlinien jeder Behörde zu Beziehungen zu Dritten und gelten für alle von den Behörden beaufsichtigten Bankorganisationen. Ziel der Leitlinien ist es, Einheitlichkeit und Konsistenz in die Art und Weise zu bringen, wie Bankorganisationen Risikomanagementgrundsätze in Bezug auf Beziehungen zu Dritten entwickeln und durchsetzen.

Relevante Anforderungen

  • Entwickeln Sie einen Plan, der die Strategie der Organisation umreißt, die mit der Tätigkeit mit dem Dritten verbundenen Risiken identifiziert und detailliert beschreibt, wie die Organisation den Dritten identifizieren, bewerten, auswählen und beaufsichtigen wird.

  • Führen Sie bei der Auswahl eines Dritten eine angemessene Sorgfaltsprüfung durch.

  • Verhandeln Sie schriftliche Verträge, in denen die Rechte und Pflichten aller Parteien klar formuliert sind.

  • Lassen Sie den Vorstand und die Geschäftsleitung die Risikomanagementprozesse der Organisation überwachen, die Dokumentation und Berichterstattung zur Rechenschaftspflicht aufrechterhalten und unabhängige Überprüfungen durchführen.

  • Führen Sie eine kontinuierliche Überwachung der Aktivitäten und Leistungen des Dritten durch.

  • Entwickeln Sie Notfallpläne für eine effektive Beendigung der Beziehung.

Richten Sie Ihr TPRM-Programm an den wachsenden ESG-Vorschriften aus

Laden Sie diesen Leitfaden herunter, um sich einen Überblick über aktuelle und künftige ESG-Normen und -Gesetze zu verschaffen und zu erfahren, wie Sie Ihr TPRM-Programm auf die Einhaltung der Vorschriften vorbereiten können.

Jetzt lesen

Erfüllung der behördenübergreifenden Richtlinien zu Anforderungen an Beziehungen zu Dritten

So kann Prevalent Ihnen dabei helfen, die Anforderungen an das Risikomanagement für Dritte in den Leitlinien zu erfüllen:

Leitfaden Wie wir helfen

C. Lebenszyklus der Beziehung zu Dritten

„Ein wirksames Risikomanagement in Bezug auf Dritte folgt in der Regel einem kontinuierlichen Lebenszyklus für Beziehungen zu Dritten … Inwieweit die in dieser Leitlinie diskutierten Beispiele für Überlegungen für jede Bankorganisation relevant sind, hängt von den spezifischen Fakten und Umständen ab, und diese Beispiele gelten möglicherweise nicht für alle Beziehungen einer Bankorganisation zu Dritten …“

1. Planung

„Im Rahmen eines soliden Risikomanagements ermöglicht eine effektive Planung einer Bankorganisation, vor dem Eingehen einer Beziehung zu Dritten zu bewerten und zu überlegen, wie Risiken zu handhaben sind. Bestimmte Dritte, wie beispielsweise solche, die risikoreichere Aktivitäten einer Bankorganisation unterstützen, darunter auch kritische Aktivitäten, erfordern in der Regel ein höheres Maß an Planung und Überlegung. Wenn es beispielsweise um kritische Aktivitäten geht, können Pläne dem Vorstand einer Bankorganisation (oder einem dafür bestimmten Ausschuss des Vorstands) vorgelegt und von diesem genehmigt werden …”

Im Rahmen der Einrichtung oder Überarbeitung Ihres Risikomanagementprogramms für Dritte sollten Sie Folgendes berücksichtigen:

  • Richtlinien, Standards, Systeme und Prozesse zum Schutz von Systemen und Daten
  • Rollen und Verantwortlichkeiten (z. B. RACI) aller beteiligten Teammitglieder
  • Bestände von Dritten, um den Umfang und die Reichweite der Beteiligung Dritter zu verstehen
  • Klassifizierungs- und Kategorisierungsansätze von Dritten
  • Risikoeinstufung und Schwellenwerte auf der Grundlage der Risikotoleranz Ihres Unternehmens
  • Bewertungs- und Überwachungsmethoden auf der Grundlage der Kritikalität von Dritten
  • Beteiligung von Viert- und N-Parteien an der Erbringung kritischer Dienstleistungen
  • Quellen für kontinuierliche Überwachungsdaten (Cyber-, Geschäfts-, Reputations- und Finanzdaten)
  • Zentrale Leistungsindikatoren (KPIs) und zentrale Risikoindikatoren (KRIs) zur Messung Ihres Programms und von Dritten
  • Einhaltung von Vorschriften und vertraglichen Meldepflichten
  • Verfahren zur Reaktion auf Vorfälle
  • Interne Berichterstattung an Stakeholder – für die Geschäftsleitung und den Verwaltungsrat
  • Strategien zur Risikominderung und -behebung

Jeder dieser Punkte ist für die Erstellung eines umfassenden TPRM-Programmplans von entscheidender Bedeutung.

2. Sorgfaltspflicht und Auswahl von Dritten

„Die Durchführung einer Due-Diligence-Prüfung von Dritten vor der Auswahl und dem Eingehen von Beziehungen zu Dritten ist ein wichtiger Bestandteil eines soliden Risikomanagements. Sie liefert dem Management die erforderlichen Informationen über potenzielle Dritte, um zu entscheiden, ob eine Beziehung zur Erreichung der strategischen und finanziellen Ziele einer Bankorganisation beitragen würde. Der Due-Diligence-Prozess liefert dem Bankinstitut auch die Informationen, die es benötigt, um zu beurteilen, ob es die mit der jeweiligen Beziehung zu Dritten verbundenen Risiken angemessen identifizieren, überwachen und kontrollieren kann. Die Due Diligence umfasst die Bewertung der Fähigkeit des Dritten, die Tätigkeit wie erwartet auszuführen, die Richtlinien des Bankinstituts in Bezug auf die Tätigkeit einzuhalten, alle geltenden Gesetze und Vorschriften zu befolgen und die Tätigkeit auf sichere und solide Weise auszuüben ...”

Bewerten und überwachen Sie Dritte anhand des Ausmaßes der Bedrohungen für Informationsressourcen, indem Sieinhärente Risiken erfassen, verfolgen und quantifizieren. Zu den Kriterien, die zur Berechnung des inhärenten Risikos für die Klassifizierung von Dritten herangezogen werden, gehören:

  • Art des für die Validierung der Kontrollen erforderlichen Inhalts
  • Kritische Bedeutung für die Unternehmensleistung und den Betrieb
  • Standort(e) und damit verbundene rechtliche oder regulatorische Erwägungen
  • Grad der Abhängigkeit von vierten Parteien (zur Vermeidung von Konzentrationsrisiken)
  • Erfahrung mit operativen oder kundenorientierten Prozessen
  • Interaktion mit geschützten Daten
  • Finanzieller Status und Gesundheit
  • Reputation

Anhand dieser inhärenten Risikobewertung kann Ihr Team automatisch eine Einstufung von Dritten vornehmen, angemessene Stufen für die anschließende Sorgfaltsprüfung festlegen und den Umfang der laufenden Bewertungen bestimmen.

Die regelbasierte Tiering-Logik ermöglicht eine Kategorisierung durch Dritte unter Berücksichtigung einer Reihe von Faktoren wie Dateninteraktion, Finanzen, Regulierung und Reputation.

a. Strategien und Ziele

„Überprüfen Sie die allgemeine Geschäftsstrategie und die Ziele des Dritten, um zu beurteilen, wie sich die aktuellen und geplanten strategischen Geschäftsvereinbarungen des Dritten (wie Fusionen, Übernahmen, Veräußerungen, Partnerschaften, Joint Ventures oder gemeinsame Marketinginitiativen) auf die Tätigkeit auswirken könnten. Berücksichtigen Sie auch die Servicephilosophie, Qualitätsinitiativen, Effizienzsteigerungen sowie Beschäftigungsrichtlinien und -praktiken des Dritten. Überprüfen Sie, ob die Auswahl eines Dritten mit den allgemeinen Unternehmensrichtlinien und -praktiken einer Bankorganisation, einschließlich ihrer Diversitätsrichtlinien und -praktiken, vereinbar ist […]“

Verfolgen und analysieren Sie kontinuierlich externe Bedrohungen für Dritte, indem Sie öffentliche und private Quellen für Informationen zu Reputation, Sanktionen und Finanzen überwachen.

Korrelieren Sie alle Überwachungsdaten mit den Bewertungsergebnissen und zentralisieren Sie diese in einem einheitlichen Risikoregister für jeden Dritten, um die Risikoprüfung, Berichterstattung und Reaktionsmaßnahmen zu optimieren.

Zu den Überwachungsquellen sollten gehören:

  • Öffentliche und private Quellen für Informationen zur Reputation, darunter M&A-Aktivitäten, Wirtschaftsnachrichten, negative Nachrichten, regulatorische und rechtliche Informationen, operative Updates und mehr
  • Umwelt-, Sozial- und Governance-Bewertungen (ESG)
  • Globale Nachrichtenquellen
  • Profile politisch exponierter Personen
  • Globale Sanktionslisten
  • Wahrnehmungsindex für Korruption (CPI)
  • Erklärungen zur modernen Sklaverei

b. Einhaltung gesetzlicher und behördlicher Vorschriften

„Eine Überprüfung aller rechtlichen und regulatorischen Compliance-Aspekte im Zusammenhang mit der Beauftragung eines Dritten ermöglicht es einem Bankinstitut zu beurteilen, ob es die mit der Beziehung zu diesem Dritten verbundenen Risiken angemessen mindern kann …”

Erstellen Sie bei der Bewertung eines Drittanbieters einzentrales Drittanbieterprofil, das demografische Informationen, wirtschaftliche Eigentumsverhältnisse, Technologien von Viertanbietern, ESG-Bewertungen, aktuelle Einblicke in das Geschäft und die Reputation, die Historie von Datenverstößen sowie aktuelle regulatorische Erkenntnisse und die finanzielle Performance umfasst.

Zu den Optionen gehören die separate Analyse der Datenquellen oder deren Integration in eine einzige Ansicht, die auf mehrere interne Teams ausgedehnt werden kann.

c. Finanzielle Lage

„Eine Bewertung der Finanzlage eines Dritten anhand der verfügbaren Finanzinformationen, darunter geprüfte Jahresabschlüsse, Geschäftsberichte und bei der US-Börsenaufsichtsbehörde (SEC) eingereichte Unterlagen, hilft einem Bankinstitut dabei, zu beurteilen, ob der Dritte über die finanzielle Leistungsfähigkeit und Stabilität verfügt, um die Tätigkeit auszuüben …”

Nutzen Sie eineglobale Datenbank mit Finanzinformationen zu Millionen von Unternehmen, darunter organisatorische Veränderungen und Finanzergebnisse, Umsatz, Gewinn und Verlust, Aktionärsgelder usw.

Ihr Team kann die Quellen dieser Daten separat analysieren, indem es Finanzberichte herunterlädt, oder die Finanzanalyse in eine umfassendere Risikobewertungsstrategie integrieren.

f. Risikomanagement

„Eine angemessene Sorgfaltspflicht umfasst eine Bewertung der Wirksamkeit des gesamten Risikomanagements eines Dritten, einschließlich Richtlinien, Prozessen und internen Kontrollen, sowie die Übereinstimmung mit den geltenden Richtlinien und Erwartungen der Bankorganisation in Bezug auf die betreffende Aktivität …“

„Wenn relevant und verfügbar, kann eine Bankorganisation die Überprüfung von SOC-Berichten (System and Organization Control) und etwaigen Konformitätsbewertungen oder Zertifizierungen durch unabhängige Dritte in Bezug auf relevante nationale oder internationale Standards in Betracht ziehen.11 In solchen Fällen kann die Bankorganisation auch prüfen, ob der Umfang und die Ergebnisse der SOC-Berichte, Zertifizierungen oder Bewertungen für die auszuführende Tätigkeit relevant sind oder ob eine zusätzliche Überprüfung des Dritten oder eines seiner Auftragnehmer angebracht sein könnte.“

Automatisieren Sie Risikobewertungen die Sichtbarkeit, Effizienz und Reichweite Ihres Risikomanagementprogramms für Dritte in jeder Phase des Lebenszyklus von Dritten zu erweitern.
Stellen Sie sicher, dass Ihr Ansatz zur Bewertung durch Dritte Folgendes umfasst:

  • Eine umfangreiche Bibliothek standardisierter Bewertungen (einschließlich solcher fürNISTundISO) und Anpassungsmöglichkeiten zur flexiblen Bewertung von Dritten.
  • Integrierter Workflow zur Automatisierung der Identifizierung von Risiken (basierend auf Schwellenwerten, die Sie entsprechend der Risikotoleranz Ihres Unternehmens festlegen) und deren Zuweisung an Verantwortliche
  • Integrierte Empfehlungen zur Risikominderung, um Restrisiken zu reduzieren
  • Automatisierte Risiko- und Compliance-Berichterstattung

Die Ergebnisse von Bewertungen und kontinuierlichen Überwachungen sollten in einem einzigen Risikoregister mit Heatmap-Berichten zusammengefasst werden, in denen Risiken anhand ihrer Wahrscheinlichkeit und Auswirkungen gemessen und kategorisiert werden. Mit diesen Erkenntnissen können Teams die Folgen eines Risikos leicht erkennen und verfügen über vorgefertigte Empfehlungen für Abhilfemaßnahmen, mit denen Dritte die Risiken mindern können.

Für Dritte, die anstelle einer vollständigen Risikobewertung durch Dritte einenSOC 2-Berichtvorlegen, sollten Sie die im SOC 2-Bericht festgestellten Kontrolllücken zuordnen, Risikopunkte für den Dritten in einer zentralen Bewertungsplattform erstellen und Mängel zusammen mit anderen Risiken verfolgen und melden.

g. Informationssicherheit

„Das Verständnis potenzieller Auswirkungen auf die Informationssicherheit, einschließlich des Zugriffs auf die Systeme und Informationen einer Bankorganisation, kann einer Bankorganisation dabei helfen, zu entscheiden, ob sie mit einem Dritten zusammenarbeiten möchte oder nicht. Die Sorgfaltspflicht in diesem Bereich umfasst in der Regel die Bewertung des Informationssicherheitsprogramms des Dritten, einschließlich seiner Übereinstimmung mit dem Informationssicherheitsprogramm der Bankorganisation, wie beispielsweise dessen Ansatz zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit der Daten der Bankorganisation. Sie kann auch die Feststellung umfassen, ob Lücken bestehen, die ein Risiko für die Bankorganisation oder ihre Kunden darstellen, sowie die Prüfung, inwieweit der Dritte Kontrollen anwendet, um den Zugriff auf die Daten und Transaktionen der Bankorganisation zu beschränken, wie z. B. Multi-Faktor-Authentifizierung, End-to-End-Verschlüsselung und sichere Quellcodeverwaltung. Sie hilft einer Bankorganisation auch bei der Feststellung, ob der Dritte über bekannte und neu auftretende Bedrohungen und Schwachstellen informiert ist und über ausreichende Erfahrung bei deren Identifizierung, Bewertung und Minderung verfügt. Gegebenenfalls kann die Bewertung der Daten-, Infrastruktur- und Anwendungssicherheitsprogramme des Dritten, einschließlich des Softwareentwicklungslebenszyklus und der Ergebnisse von Schwachstellen- und Penetrationstests, wertvolle Informationen über Schwachstellen im IT-System liefern. Schließlich kann die Sorgfaltspflicht einer Bankorganisation dabei helfen, die Umsetzung wirksamer und nachhaltiger Korrekturmaßnahmen durch den Dritten zu bewerten, um etwaige während der Tests festgestellte Mängel zu beheben.

Führen SieCybersicherheitsbewertungendurch Dritte zum Zeitpunkt der Einarbeitung, Vertragsverlängerung oder in beliebigen erforderlichen Abständen (z. B. vierteljährlich oder jährlich) durch. Stellen Sie sicher, dass die Bewertungen durch Workflow-, Aufgabenmanagement- und automatisierte Funktionen zur Überprüfung von Nachweisen unterstützt werden.

Anschließend solltenexterne Bedrohungen für Drittekontinuierlich verfolgt und analysiert werden, indem das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen überwacht werden. Zu den Überwachungsquellen sollten gehören: kriminelle Foren, Onion-Seiten, spezielle Zugangsforen im Dark Web, Bedrohungs-Feeds, Paste-Seiten für durchgesickerte Anmeldedaten, Sicherheits-Communities, Code-Repositorys, Schwachstellen-Datenbanken und Datenverletzungs-Datenbanken.

Korrelieren Sie alle Überwachungsdaten mit den Bewertungsergebnissen und zentralisieren Sie diese in einem einheitlichen Risikoregister für jeden Dritten, um die Risikoprüfung, Berichterstattung und Reaktionsmaßnahmen zu optimieren.

Wie oben unter (g) erwähnt, können Sie dann den integrierten Workflow anwenden, um Risiken zu bewerten und durch Abhilfemaßnahmen zu beseitigen.

i. Operative Widerstandsfähigkeit

„Eine Bewertung der operativen Resilienzpraktiken eines Dritten unterstützt die Beurteilung einer Bankorganisation hinsichtlich der Fähigkeit eines Dritten, trotz interner und externer Störungen oder Vorfälle effektiv zu arbeiten und sich davon zu erholen. Eine solche Bewertung ist besonders wichtig, wenn die Auswirkungen solcher Störungen negative Folgen für die Bankorganisation oder ihre Kunden haben könnten, beispielsweise wenn der Dritte mit Kunden interagiert. Es ist wichtig, Optionen zu prüfen, die zum Einsatz kommen können, wenn die Fähigkeit des Dritten zur Ausübung seiner Tätigkeit beeinträchtigt ist, und festzustellen, ob der Dritte über angemessene Verfahren zur Gewährleistung der operativen Widerstandsfähigkeit und Cybersicherheit verfügt, einschließlich Notfallwiederherstellungs- und Geschäftskontinuitätsplänen, in denen der Zeitrahmen für die Wiederaufnahme der Tätigkeiten und die Wiederherstellung der Daten festgelegt ist ...”

Automatisieren Sie die Bewertung, kontinuierliche Überwachung, Analyse und Behebung der Geschäftskontinuität und -resilienz von Drittanbietern mithilfe einer umfassenden Bewertung der Geschäftskontinuität auf Basis der Norm ISO 22301.

Dieser Ansatz ermöglicht Ihrem Team Folgendes:

  • Kategorisieren Sie Dritte nach ihrem Risikoprofil und ihrer Bedeutung für das Unternehmen.
  • Umriss der Wiederherstellungspunktziele (RPOs) und der Wiederherstellungszeitziele (RTOs)
  • Zentralisierung von Systeminventar, Risikobewertungen, RACI-Diagrammen und Drittparteien
  • Sorgen Sie für eine konsistente Kommunikation mit Dritten während Betriebsunterbrechungen
    Zur Ergänzung von Bewertungen der Unternehmensresilienz und zur Validierung der Ergebnisse:
  • Automatisieren Sie die kontinuierliche Cyberüberwachung, die mögliche Auswirkungen auf das Geschäft Dritter vorhersagen kann.
  • Greifen Sie auf qualitative Erkenntnisse aus öffentlichen und privaten Quellen zu Reputationsinformationen zu, die auf Instabilität hindeuten könnten.
  • Nutzen Sie Finanzinformationen aus einem globalen Netzwerk von Unternehmen, um die finanzielle Gesundheit oder operative Probleme Dritter zu identifizieren.

Dieser proaktive Ansatz ermöglicht es Ihrem Unternehmen, die Auswirkungen von Störungen durch Dritte zu minimieren und die Compliance-Anforderungen zu erfüllen.

j. Programme zur Meldung und zum Management von Vorfällen

„Die Überprüfung und Bewertung der Prozesse eines Dritten zur Meldung und zum Management von Vorfällen ist hilfreich, um festzustellen, ob es klar dokumentierte Prozesse, Zeitpläne und Verantwortlichkeiten für die Identifizierung, Meldung, Untersuchung und Eskalation von Vorfällen gibt. Eine solche Überprüfung trägt dazu bei, zu bestätigen, dass die Eskalations- und Benachrichtigungsprozesse des Dritten den Erwartungen der Bankorganisation und den regulatorischen Anforderungen entsprechen.“

Erwägen Sie, Ihr Incident Management durch Dritte anhand eines der folgenden branchenüblichen Rahmenwerke zu strukturieren und zu benchmarken:

  • NIST 800-61R2: Leitfaden zum Umgang mit Computersicherheitsvorfällen
  • ISO/IEC 27035-1: Management von Vorfällen der Informationssicherheit – Teil 1: Grundsätze des Vorfallmanagements
  • ISO/IEC 27035-2: Management von Informationssicherheitsvorfällen Teil 2: Leitfaden zur Planung und Vorbereitung des Vorfallmanagements
  • OCC 2021-55: Endgültige Regelung zur Meldung von Bankvorfällen, veröffentlicht am 23.11.2021
  • OCC 2022-8: Ansprechpartner für Informationstechnologie bei Meldungen zu Computersicherheitsvorfällen von Banken, veröffentlicht am 29.03.2022

Zu den wichtigsten Bestandteilen Ihrer Meldung von Vorfällen durch Dritte sollten gehören:

  • Anpassbare Fragebögen für das Ereignis- und Vorfallmanagement
  • Verfolgung des Fortschritts beim Ausfüllen des Fragebogens in Echtzeit
  • Festgelegte Risikoverantwortliche mit automatischer Erinnerungsfunktion, um die Erhebungen im Zeitplan zu halten
  • Proaktive Meldungen durch Dritte
  • Konsolidierte Ansichten von Risikobewertungen, Anzahlen, Punktzahlen und markierten Antworten für jeden Dritten
  • Workflow-Regeln zur Auslösung automatisierter Playbooks, um auf Risiken entsprechend ihrer potenziellen Auswirkungen auf das Unternehmen zu reagieren
  • Anleitung von eingebauten Sanierungsempfehlungen zur Risikominderung
  • Integrierte Berichtsvorlagen
  • Daten- und Beziehungsmapping zur Identifizierung von Beziehungen zwischen Ihrem Unternehmen und Dritten, um Informationspfade zu visualisieren und gefährdete Daten zu ermitteln

l. Abhängigkeit von Subunternehmern

„Eine Bewertung des Umfangs und der Art der an Subunternehmer vergebenen Tätigkeiten sowie des Ausmaßes, in dem der Dritte auf Subunternehmer angewiesen ist, hilft dabei, festzustellen, ob solche Unterauftragsvereinbarungen ein zusätzliches oder erhöhtes Risiko für ein Bankinstitut darstellen. Dazu gehört in der Regel eine Bewertung der Fähigkeit des Dritten, mit der Vergabe von Unteraufträgen verbundene Risiken zu identifizieren, zu steuern und zu mindern, einschließlich der Art und Weise, wie der Dritte seine Subunternehmer auswählt und beaufsichtigt und sicherstellt, dass seine Subunternehmer wirksame Kontrollen durchführen. Weitere wichtige Überlegungen sind, ob durch den geografischen Standort eines Subunternehmers oder die Abhängigkeit von einem einzigen Anbieter für mehrere Tätigkeiten zusätzliche Risiken entstehen.“

Identifizieren SieSubunternehmerbeziehungen der vierten und N-ten Partei, indem Sie eine fragebogenbasierte Bewertung durchführen oder die öffentlich zugängliche Infrastruktur des Dritten passiv scannen. Die daraus resultierende Beziehungskarte zeigt Informationspfade und Abhängigkeiten auf, die Ihre Umgebung einem Risiko aussetzen könnten.

Durch diesen Prozess identifizierte Dritte werden kontinuierlich überwacht, um finanzielle Risiken, ESG-Risiken, Cyberrisiken, Geschäftsrisiken und Risiken im Zusammenhang mit Datenschutzverletzungen zu erkennen und um Sanktionen/PEP-Screenings durchzuführen.

Dieser Ansatz bietet Einblicke, um potenzielle technologische oder geografische Konzentrationsrisiken anzugehen.

3. Vertragsverhandlungen

„Bei der Beurteilung, ob eine Geschäftsbeziehung mit einem Dritten eingegangen werden soll, entscheidet eine Bankorganisation in der Regel, ob ein schriftlicher Vertrag erforderlich ist und ob der vorgeschlagene Vertrag den Geschäftszielen und Risikomanagementanforderungen der Bankorganisation entspricht. Nach dieser Entscheidung handelt eine Bankorganisation in der Regel Vertragsbestimmungen aus, die ein wirksames Risikomanagement und eine wirksame Aufsicht ermöglichen und die Erwartungen und Verpflichtungen sowohl der Bankorganisation als auch des Dritten festlegen. Eine Bankorganisation kann den Detaillierungsgrad und die Vollständigkeit solcher Vertragsbestimmungen auf der Grundlage des Risikos und der Komplexität der jeweiligen Beziehung zu Dritten anpassen ...“

Zentralisieren Sie die Verteilung, Besprechung, Aufbewahrung und Überprüfung von Verträgen mit Dritten, damit alle zuständigen Teams an der Vertragsüberprüfung teilnehmen können, um sicherzustellen, dass die entsprechenden Klauseln enthalten sind und verwaltet werden.

Zu den wichtigsten Praktiken, die bei der Verwaltung von Verträgen mit Dritten zu beachten sind, gehören:

  • Zentrale Speicherung von Verträgen
  • Verfolgung aller Verträge und Vertragselemente wie Art, wichtige Termine, Wert, Erinnerungen und Status – mit benutzerdefinierten, rollenbasierten Ansichten
  • Workflow-Funktionen (basierend auf Benutzer oder Vertragsart) zur Automatisierung des Lebenszyklus der Vertragsverwaltung
  • Automatische Mahnungen und Überfälligkeitsmitteilungen zur Rationalisierung von Vertragsprüfungen
  • Zentralisierte Vertragsdiskussion und Verfolgung von Kommentaren
  • Vertrags- und Dokumentenspeicherung mit rollenbasierten Berechtigungen und Prüfprotokollen für alle Zugriffe
  • Versionskontrolle, die die Offline-Bearbeitung von Verträgen und Dokumenten unterstützt
  • Rollenbasierte Berechtigungen, die die Zuweisung von Aufgaben, den Zugriff auf Verträge und den Lese-/Schreib-/Modifizierungszugriff ermöglichen

Durch ein solides Vertragslebenszyklusmanagement kann das Unternehmen folgende Aufgaben effektiv bewältigen:

  • Vereinbarungen und Leistung verwalten
  • Durchsetzung von Informationsaufbewahrung, Prüfungsrechten und Abhilfemaßnahmen
  • Compliance-Berichte einholen
  • Geschäftliche Widerstandsfähigkeit und Kontinuität erfordern
  • Schaffen Sie Transparenz bei der Vergabe von Unteraufträgen und bei ausländischen Dritten.

b. Leistungskennzahlen oder Benchmarks

„Bei bestimmten Beziehungen können klar definierte Leistungskennzahlen einer Bankorganisation dabei helfen, die Leistung eines Dritten zu bewerten. Insbesondere kann eine Dienstleistungsvereinbarung zwischen der Bankorganisation und dem Dritten dazu beitragen, die Kennzahlen in Bezug auf die Erwartungen und Verantwortlichkeiten beider Parteien festzulegen, einschließlich der Einhaltung von Richtlinien und Verfahren sowie der geltenden Gesetze und Vorschriften. Solche Kennzahlen können verwendet werden, um die Leistung zu überwachen, schlechte Leistungen zu sanktionieren oder herausragende Leistungen zu belohnen. Es ist wichtig, Leistungskennzahlen auszuhandeln, die keine Anreize für unvorsichtiges Handeln oder Verhalten bieten, wie z. B. die Förderung des Verarbeitungsvolumens oder der Verarbeitungsgeschwindigkeit ohne Rücksicht auf Genauigkeit, Compliance-Anforderungen oder nachteilige Auswirkungen auf das Bankinstitut oder die Kunden.“

Nehmen Sie während der Vertragsverhandlungsphase des Lebenszyklus von Drittanbietern durchsetzbare Service Level Agreements (SLAs), Key Performance Indicators (KPIs) und Key Risk Indicators (KRIs) in Verträge mit Drittanbietern auf, weisen Sie Verantwortliche zu und verfolgen Sie kontinuierlich die Fortschritte bei der Erreichung dieser Ziele.

Es ist wichtig, den Unterschied zwischen Leistungskennzahlen (KPIs) und Risikokennzahlen (KRIs) zu bestimmen und zu verstehen, wie diese miteinander in Zusammenhang stehen.

  • Leistungskennzahlen (Key Performance Indicators, KPIs) messen die Effektivität von Funktionen und Prozessen.
  • Key Risk Indicators (KRIs) geben an, wie hoch das Risiko für das Unternehmen ist und welche Risikomaßnahmen zu ergreifen sind.

Wenn es um die Messung von KPIs und KRIs geht, kategorisieren Sie diese wie folgt:

  • Risikomessungen helfen dabei, das Risiko einer Geschäftsbeziehung mit einem Dritten sowie die damit verbundenen Risikominderungsmaßnahmen zu verstehen.
  • Die Bewertung von Bedrohungen überschneidet sich teilweise mit der Risikobewertung und liefert ein vollständigeres und validierteres Bild des Risikos.
  • Compliance-Messungen legen fest, ob Dritte Ihre internen Kontrollanforderungen erfüllen.
  • Abdeckungsmessungen beantworten die Frage: „Habe ich eine vollständige Abdeckung meiner Drittanbieter-Fußabdrücke und werden diese entsprechend gestaffelt und behandelt?“

Stellen Sie dann sicher, dass Sie die Ergebnisse mit den Vertragsbestimmungen verknüpfen, um eine vollständige Kontrolle über den Prozess zu gewährleisten.

4. Laufende Überwachung

„Durch kontinuierliche Überwachung kann ein Bankinstitut: (1) die Qualität und Nachhaltigkeit der Kontrollen eines Dritten und dessen Fähigkeit zur Erfüllung vertraglicher Verpflichtungen bestätigen; (2) wichtige Probleme oder Bedenken eskalieren, wie z. B. wesentliche oder wiederholte Prüfungsfeststellungen, Verschlechterung der Finanzlage, Sicherheitsverletzungen, Datenverlust, Dienstunterbrechungen, Compliance-Verstöße oder andere Indikatoren für ein erhöhtes Risiko; und (3) auf solche wichtigen Probleme oder Bedenken reagieren, sobald sie identifiziert werden …

„Ein wirksames Risikomanagement in Bezug auf Dritte umfasst eine kontinuierliche Überwachung während der gesamten Dauer der Beziehung zu Dritten, die dem Risikoniveau und der Komplexität der Beziehung sowie den von Dritten ausgeübten Tätigkeiten angemessen ist …

„Die laufende Überwachung kann periodisch oder kontinuierlich erfolgen, wobei eine umfassendere oder häufigere Überwachung angemessen ist, wenn eine Beziehung zu Dritten risikoreichere Aktivitäten, einschließlich kritischer Aktivitäten, unterstützt. Da sich sowohl das Ausmaß als auch die Art der Risiken im Laufe der Beziehung zu Dritten ändern können, können Bankorganisationen ihre laufenden Überwachungspraktiken entsprechend anpassen, einschließlich Änderungen der Häufigkeit oder Art der bei der Überwachung verwendeten Informationen ...”

Kontinuierliche Verfolgung und Analyseexterner Bedrohungen für Drittedurch Überwachung des Internets und des Dark Webs auf Cyber-Bedrohungen und Schwachstellen sowie öffentlicher und privater Quellen für Informationen zu Reputation, Sanktionen und Finanzen.

Zu den Überwachungsquellen sollten gehören:

  • Kriminelle Foren, Tausende von Onion-Seiten, spezielle Dark-Web-Foren, Bedrohungs-Feeds und Paste-Seiten für geleakte Zugangsdaten sowie mehrere Sicherheits-Communities, Code-Repositorys und Schwachstellen-Datenbanken
  • Öffentliche und private Quellen für Informationen zur Reputation, darunter M&A-Aktivitäten, Wirtschaftsnachrichten, negative Nachrichten, regulatorische und rechtliche Informationen, operative Updates und mehr
  • Finanzielle Leistung, einschließlich Umsatz, Gewinn und Verlust, Eigenkapital usw.
  • Globale Nachrichtenquellen
  • Profile politisch exponierter Personen
  • Globale Sanktionslisten

Korrelieren Sie alle Überwachungsdaten mit den Bewertungsergebnissen und zentralisieren Sie diese in einem einheitlichen Risikoregister für jeden Dritten, um die Risikoprüfung, Berichterstattung und Reaktionsmaßnahmen zu optimieren.

5. Kündigung

„Eine Bankorganisation kann eine Geschäftsbeziehung aus verschiedenen Gründen beenden, beispielsweise aufgrund des Ablaufs oder der Verletzung des Vertrags, der Nichteinhaltung geltender Gesetze oder Vorschriften durch den Dritten oder aufgrund des Wunsches, einen anderen Dritten zu suchen, die Tätigkeit intern zu übernehmen oder die Tätigkeit einzustellen. In diesem Fall ist es wichtig, dass die Geschäftsleitung die Geschäftsbeziehungen auf effiziente Weise beendet, unabhängig davon, ob die Tätigkeiten auf einen anderen Dritten übertragen, intern übernommen oder eingestellt werden ...“

Automatisieren Sie Vertragsbewertungen undOffboarding-Verfahren, um das Risiko Ihrer Organisation nach Vertragsende zu verringern.

  • Planen Sie Aufgaben zur Überprüfung von Verträgen, um sicherzustellen, dass alle Verpflichtungen erfüllt wurden. Erstellen Sie anpassbare Vertragsbewertungen, um den Status zu bewerten.
  • Nutzen Sie anpassbare Umfragen und Workflows für Berichte über Systemzugriff, Datenvernichtung, Zugriffsmanagement, Einhaltung aller relevanten Gesetze, Abschlusszahlungen und vieles mehr.
  • Speichern und verwalten Sie Dokumente und Zertifizierungen wie NDAs, SLAs, SOWs und Verträge zentral. Nutzen Sie die integrierte automatische Dokumentenanalyse, die auf AWS Natural Language Processing und maschinellen Lernanalysen basiert, um zu bestätigen, dass wichtige Kriterien erfüllt sind.
  • Ergreifen Sie konkrete Maßnahmen zur Reduzierung von Risiken durch Dritte mit integrierten Empfehlungen und Anleitungen zur Behebung von Problemen.
  • Visualisierung und Erfüllung von Compliance-Anforderungen durch automatische Zuordnung von Bewertungsergebnissen zu beliebigen Vorschriften oder Rahmenbedingungen.

D. Unternehmensführung

„Es gibt verschiedene Möglichkeiten, wie Bankorganisationen ihre Prozesse zum Management von Risiken durch Dritte strukturieren können. Einige Bankorganisationen verteilen die Verantwortung für ihre Prozesse zum Management von Risiken durch Dritte auf ihre verschiedenen Geschäftsbereiche. Andere Bankorganisationen zentralisieren die Prozesse möglicherweise unter ihren Funktionen für Compliance, Informationssicherheit, Beschaffung oder Risikomanagement. Unabhängig davon, wie eine Bankorganisation ihren Prozess strukturiert, werden die folgenden Praktiken in der Regel während des gesamten Lebenszyklus des Managements von Risiken durch Dritte berücksichtigt, entsprechend dem Risiko und der Komplexität.“

Um die Anforderungen an die Governance von Risikomanagementprogrammen für Dritte zu erfüllen, sollten Sie nach einer TPRM-Plattform suchen, die die für die Einbindung von Dritten erforderlichen Workflows automatisiert und die Risiken in Bezug auf Sicherheit, Datenschutz, Compliance, Betrieb und Beschaffung/Lieferkette in jeder Phase des Lieferantenlebenszyklus identifiziert, bewertet, verwaltet, kontinuierlich überwacht und behebt. Eine umfassende Lösung, die das Management mehrerer Risikoarten zum Nutzen funktionsübergreifender Teams vereint, senkt die Kosten, erleichtert die Compliance-Berichterstattung und verringert das Risiko von Kontrolllücken.