Einhaltung der Vorschriften der Währungsbehörde von Singapur (MAS)

Leitlinien für das Management operationeller Risiken - Management von Vereinbarungen mit Dritten

Im Rahmen ihrer Rolle als Aufsichtsbehörde hat die Monetary Authority of Singapore (MAS) im Jahr 2016 Leitlinien zum Outsourcing von Vereinbarungen mit Dritten herausgegeben. Die MAS erweiterte ihre Outsourcing-Leitlinien im Oktober 2018 und erneut im August 2022 mit der Veröffentlichung eines Informationspapiers " Operational Risk Management - Management of Outsourcing and Third Party Arrangements".

Neben der Veröffentlichung detaillierter Anforderungen für eine bessere Überwachung und Steuerung von Dritten hat die MAS umfassende Leitlinien für die Durchführung von Due-Diligence-Prüfungen während des gesamten Lebenszyklus von Outsourcing-Vereinbarungen erstellt. Die MAS enthält spezifische Leitlinien für Finanzinstitute in den folgenden Bereichen des Lebenszyklus des Risikomanagements für Dritte:

Identifizierung und Risikoeinstufung
Governance und Management-Aufsicht
Due-Diligence-Prüfung (einschließlich der Aufnahme der Tätigkeit und regelmäßiger Überprüfungen)
Laufendes Risikomanagement und Überwachung

Relevante Anforderungen

Sicherstellen, dass Dritte, auf die bei der Erbringung von Dienstleistungen zurückgegriffen wird, einer angemessenen Unternehmensführung, einem Risikomanagement und soliden internen Kontrollen unterliegen
Anwendung eines angemessenen Risikomanagements und solider interner Kontrollen zur Regelung von Outsourcing- und Nicht-Outsourcing-Vereinbarungen

Bewertung der Risiken, die sich aus den Dienstleistungen Dritter ergeben, und Einführung von Kontrollen, die der Art und dem Umfang der Risiken angemessen sind

Erfüllung der MAS TPRM-Richtlinien

Die nachstehende Übersichtstabelle ordnet die Funktionen der Prevalent Third-Party Risk Management Platform ausgewählten Artikeln des Informationspapiers MAS Operational Risk Management - Management of Outsourcing and Third Party Arrangements, Kapitel 3, zu.

HINWEIS: Es handelt sich hierbei lediglich um eine Zusammenfassung der wichtigsten Artikel, die nicht als umfassende, endgültige Anleitung angesehen werden sollte. Für eine vollständige Liste der Artikel lesen Sie bitte das vollständige Dokument im Detail durch und konsultieren Sie Ihren Wirtschaftsprüfer.

MAS-Steuerungen

Wie wir helfen

A: Kontrollen über Outsourcing-Vereinbarungen

In diesem Abschnitt über die Kontrolle von Auslagerungsvereinbarungen werden die Praktiken beschrieben:

I) Governance und Managementaufsicht;
II) Due Diligence (Aufnahme der Tätigkeit und regelmäßige Überprüfungen); und
III) Laufendes Risikomanagement und Überwachung.

I) Governance und Managementaufsicht

Outsourcing-Governance-Struktur und -Rahmen

"Die Banken schaffen eine angemessene Governance-Struktur und einen Rahmen für eine angemessene Überwachung durch das Management und achten auf die Risiken, die sich aus den Auslagerungsvereinbarungen ergeben, um sicherzustellen, dass die eingegangenen Risiken mit den Strategien und der Risikobereitschaft der Bank übereinstimmen.

"Bei der Einführung eines risikobasierten Ansatzes stellen die Banken sicher, dass ihr Genehmigungsrahmen die Bewertung der Wesentlichkeit und der Risiken bestehender und künftiger Auslagerungsvereinbarungen durch das Management erleichtert. Die Prozesse, die die Bewertung und Genehmigung von Auslagerungsvereinbarungen unterstützen, sind ausreichend robust und effektiv.

Festlegung einer angemessenen Risikobereitschaft für das Outsourcing

"Die Banken legen eine geeignete Strategie und Risikobereitschaft fest, um Art und Umfang des Risikos zu definieren, das sie bereit und in der Lage sind, im Rahmen ihrer Outsourcing-Vereinbarungen zu übernehmen.

Prevalent arbeitet mit Ihnen zusammen, um ein umfassendes Programm für das Risikomanagement von Drittanbietern (TPRM) zu entwickeln, das auf bewährten Verfahren und umfassender praktischer Erfahrung basiert.

Unsere Experten arbeiten mit Ihrem Team zusammen, um TPRM-Prozesse und -Lösungen zu definieren und zu implementieren, Fragebögen und Rahmenwerke zur Risikobewertung auszuwählen und Ihr Programm zu optimieren, um den gesamten Lebenszyklus des Risikos von Drittanbietern - von der Beschaffung und Due-Diligence-Prüfung bis hin zur Beendigung und Ausgliederung - entsprechend der Risikobereitschaft Ihres Unternehmens abzudecken.

Als Teil dieses Prozesses kann Prevalent Ihnen bei der Definition helfen:

Klare Rollen und Verantwortlichkeiten (z. B. RACI)
Vorräte von Dritten
Risikoeinstufung und Schwellenwerte auf der Grundlage der Risikotoleranz Ihres Unternehmens
Bewertungs- und Überwachungsmethoden auf der Grundlage der Kritikalität von Dritten
Kartierung von Drittanbietern
Quellen für kontinuierliche Überwachungsdaten (Cyber-, Geschäfts-, Reputations- und Finanzdaten)
Zentrale Leistungsindikatoren (KPIs) und zentrale Risikoindikatoren (KRIs)
Richtlinien, Standards, Systeme und Prozesse zum Schutz von Daten
Einhaltung von Vorschriften und vertraglichen Berichterstattungsanforderungen in Bezug auf Service-Levels
Anforderungen an die Reaktion auf Vorfälle
Risiko- und interne Stakeholder-Berichterstattung
Strategien zur Risikominderung und -behebung

Management-Berichterstattung über Outsourcing

"Die Banken verfügen über wirksame Verfahren, die einen umfassenden bankweiten Überblick über die mit der Auslagerung verbundenen Risiken ermöglichen. Es gibt eine regelmäßige Berichterstattung an die Geschäftsleitung über Outsourcing-Risikoprofile, wesentliche Outsourcing-Probleme und KRIs, um den Überblick über die Outsourcing-Risikolandschaft, Trends und Bedenken zu erleichtern."

Prevalent unterstützt Finanzinstitute dabei, Risikotrends, den Risikostatus von Dritten und Ausnahmen von allgemeinem Verhalten durch eingebettete Erkenntnisse des maschinellen Lernens (ML) und anpassbare, rollenbasierte Berichtsansichten aufzudecken.

Darüber hinaus hilft Prevalent bei der zentralen Messung von KPIs und KRIs von Drittanbietern, um Risiken durch Lücken in der Lieferantenüberwachung zu reduzieren, indem es Vertrags- und Leistungsbewertungen automatisiert und einen Rahmen für die Messung anhand von Anforderungen bereitstellt.

Mit dieser Funktion können Finanzinstitute schnell Ausreißer erkennen, die eine weitere Untersuchung rechtfertigen könnten, und die Effizienz der Risikominderung verbessern, indem sie die richtigen Daten in die richtigen Hände geben.

II) Sorgfaltspflicht (Aufnahme der Tätigkeit und regelmäßige Überprüfungen)

Due-Diligence-Prüfung (Einarbeitung und laufende Überprüfungen)

"Die Banken stellen klare Anforderungen an die Sorgfaltspflicht und die Risikobewertung bei der Aufnahme neuer und der regelmässigen Überprüfung bestehender Outsourcing-Vereinbarungen und geben umfassende Hinweise dazu. Diese Verfahren sind den jeweiligen Risiken angemessen, wobei Risikofaktoren wie Vereinbarungen, die die gemeinsame Nutzung von Kundendaten beinhalten, angemessen berücksichtigt werden. Die Banken führen die erforderlichen Kontrollen durch, um sicherzustellen, dass diese Anforderungen und Verfahren rechtzeitig und angemessen überwacht werden.

"Die Banken ziehen relevante KMU hinzu, um festzustellen, ob die technischen Elemente der mit einer Auslagerungsvereinbarung verbundenen Risiken angemessen berücksichtigt werden."

Prevalent bietet eine Due-Diligence-Prüfung vor Vertragsabschluss mit einer klaren Bewertung auf der Grundlage von acht Kriterien, um inhärente Risiken für alle Drittparteien zu erfassen, zu verfolgen und zu quantifizieren. Die Kriterien umfassen:

Art des für die Validierung der Kontrollen erforderlichen Inhalts
Kritische Bedeutung für die Unternehmensleistung und den Betrieb
Standort(e) und damit verbundene rechtliche oder regulatorische Erwägungen
Grad der Abhängigkeit von vierten Parteien (zur Vermeidung von Konzentrationsrisiken)
Erfahrung mit operativen oder kundenorientierten Prozessen
Interaktion mit geschützten Daten
Finanzieller Status und Gesundheit
Reputation

Anhand dieser inhärenten Risikobewertung kann Ihr Team die Lieferanten automatisch in eine bestimmte Kategorie einordnen, angemessene Stufen für die weitere Prüfung festlegen und den Umfang der laufenden Bewertungen bestimmen.

Die regelbasierte Tiering-Logik ermöglicht die Kategorisierung von Anbietern anhand einer Reihe von Überlegungen zur Dateninteraktion sowie zu finanziellen, regulatorischen und Reputationsaspekten.

Prevalent verfügt über eine Bibliothek mit mehr als 750 vorgefertigten Vorlagen für Risikobewertungen Dritter. Die Bewertungen können zum Zeitpunkt der Vertragserneuerung oder in beliebigen Abständen (z. B. vierteljährlich oder jährlich) durchgeführt werden. Die Bewertungsfragebögen können global oder regional ausgerichtet sein, um speziellen rechtlichen oder betrieblichen Anforderungen gerecht zu werden.

Prevalent liefert integrierte Empfehlungen zur Behebung von Risiken auf der Grundlage der Ergebnisse der Risikobewertung. Diese werden durch Workflow- und Aufgabenmanagementfunktionen unterstützt, um sicherzustellen, dass Dritte die Risiken rechtzeitig und zufriedenstellend angehen.

III) Laufendes Risikomanagement und Überwachung

Kontrollrahmen für Outsourcing-Vereinbarungen

"Die Banken schaffen einen strukturierten Rahmen für die laufende Überwachung und Kontrolle von Auslagerungsvereinbarungen unter angemessener Einbeziehung unabhängiger Parteien, um die Geschäftseinheiten, die die Auslagerungsvereinbarungen treffen, wirksam zu kontrollieren und zu überwachen."

Der Prevalent Controls Validation Service prüft die Antworten von Drittanbietern und die Dokumentation anhand etablierter Testprotokolle, um zu validieren, dass die angegebenen Kontrollen vorhanden sind.

Die Experten von Prevalent überprüfen zunächst die Antworten auf benutzerdefinierte oder standardisierte Fragebögen. Anschließend ordnen wir die Antworten SIG, SCA, ISO, SOC II, AITECH und/oder anderen Kontrollrahmen zu. Schließlich entwickeln wir gemeinsam mit Ihnen Pläne zur Behebung der Mängel und verfolgen diese bis zum Abschluss. Prevalent verfügt über das nötige Fachwissen, um Sie bei der Risikominderung mit Ihren vorhandenen Ressourcen zu unterstützen, und bietet Optionen für den Einsatz vor Ort an.

Verankerung von Kontrollen der Cybersicherheit während der gesamten Vertragslaufzeit

Berücksichtigen Sie die Cybersicherheit während des gesamten Vertragslebenszyklus: von der Entscheidung zur Auslagerung über die Auswahl der Lieferanten, die Auftragsvergabe und die Lieferung bis hin zur Kündigung. Überlegen Sie, welche Verfahren eingeführt werden können, um sicherzustellen, dass dies bei jeder Akquisition geschieht.

Prevalent verfolgt und analysiert kontinuierlich externe Bedrohungen für Dritte. Die Lösung überwacht das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Reputations-, Sanktions- und Finanzinformationen.

Alle Überwachungsdaten werden mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert, um die Risikoprüfung, Berichterstattung und Reaktionsinitiativen zu optimieren. Die Risiken können in einer Heatmap-Ansicht mit Wahrscheinlichkeits- und Auswirkungsachsen kategorisiert werden.

Zu den Überwachungsquellen gehören:

Mehr als 1.500 kriminelle Foren, Tausende von Onion-Seiten, mehr als 80 Dark-Web-Special-Access-Foren, mehr als 65 Bedrohungs-Feeds und mehr als 50 Paste-Sites für durchgesickerte Zugangsdaten - sowie mehrere Sicherheits-Communities, Code-Repositories und Datenbanken mit Sicherheitslücken, die 550.000 Unternehmen abdecken
Eine Datenbank mit mehr als 10 Jahren Datenverletzungen für Tausende von Unternehmen auf der ganzen Welt
550.000 öffentliche und private Quellen für Reputationsinformationen, einschließlich M&A-Aktivitäten, Geschäftsnachrichten, negative Nachrichten, regulatorische und rechtliche Informationen, betriebliche Aktualisierungen und mehr
Ein globales Netzwerk von 2 Millionen Unternehmen mit 5 Jahren organisatorischer Veränderungen und finanzieller Leistung, einschließlich Umsatz, Gewinn und Verlust, Aktionärsvermögen usw.
30.000 weltweite Nachrichtenquellen
Eine Datenbank mit über 1,8 Millionen politisch exponierten Personenprofilen
Globale Sanktionslisten und über 1.000 globale Vollstreckungslisten und Gerichtsanmeldungen
Leistung, von der Einhaltung der vertraglichen KPIs und Abhilfemaßnahmen bis hin zu SLAs und verpassten Fristen

B: Kontrollen über Nicht-Outsourcing-Vereinbarungen (NOAs)

In diesem Abschnitt über die Kontrolle von NOAs werden die Praktiken beschrieben, die bei den Banken in den folgenden Bereichen eines Rahmens für das Risikomanagement von Dritten beobachtet wurden:

I) Identifizierung und Kategorisierung von Risiken;
II) Governance und Managementaufsicht; und
III) Sorgfaltspflicht und fortlaufende Überwachung.

I) Identifizierung und Risikoeinstufung

Risikoermittlung und Einstufung von Abhängigkeiten von Dritten

"Die Banken verfügen über ein Rahmenwerk für das Risikomanagement und die Governance von Dritten, um ihre Abhängigkeiten von Dritten, die nicht ausgelagert sind, zu verwalten.
Die Banken identifizieren und inventarisieren eine umfassende Liste von NOAs und kategorisieren sie auf der Grundlage ihrer Art und Risikomerkmale.

"Die Banken legen klare Kriterien für die Risikobewertung ihrer NOAs fest, um die Anforderungen an die Unternehmensführung und die Sorgfaltspflicht zu bestimmen, denen sie unterliegen sollten. Risikofaktoren wie Vereinbarungen, die die gemeinsame Nutzung von Kundendaten beinhalten, werden angemessen berücksichtigt."

Als Teil dieses Prozesses kann Prevalent Ihnen bei der Definition helfen:

Klare Rollen und Verantwortlichkeiten (z. B. RACI)
Bestandsaufnahme und Kategorisierung durch Dritte
Risikoeinstufung und Schwellenwerte auf der Grundlage der Risikotoleranz Ihres Unternehmens
Bewertungs- und Überwachungsmethoden auf der Grundlage der Kritikalität von Dritten
Kartierung von Drittanbietern
Quellen für kontinuierliche Überwachungsdaten (Cyber-, Geschäfts-, Reputations- und Finanzdaten)
Zentrale Leistungsindikatoren (KPIs) und zentrale Risikoindikatoren (KRIs)
Richtlinien, Standards, Systeme und Prozesse zum Schutz von Daten
Einhaltung von Vorschriften und vertraglichen Berichterstattungsanforderungen in Bezug auf Service-Levels
Anforderungen an die Reaktion auf Vorfälle
Risiko- und interne Stakeholder-Berichterstattung
Strategien zur Risikominderung und -behebung

Art des für die Validierung der Kontrollen erforderlichen Inhalts
Kritische Bedeutung für die Unternehmensleistung und den Betrieb
Standort(e) und damit verbundene rechtliche oder regulatorische Erwägungen
Grad der Abhängigkeit von vierten Parteien (zur Vermeidung von Konzentrationsrisiken)
Erfahrung mit operativen oder kundenorientierten Prozessen
Interaktion mit geschützten Daten
Finanzieller Status und Gesundheit
Reputation

Die regelbasierte Tiering-Logik ermöglicht die Kategorisierung von Anbietern anhand einer Reihe von Überlegungen zur Dateninteraktion sowie zu finanziellen, regulatorischen und Reputationsaspekten.

Prevalent ermöglicht es Finanzinstituten, ein umfassendes Lieferantenprofil zu erstellen, das die Eigentumsverhältnisse, die finanzielle Leistung, CPI-Scores, Erklärungen zur modernen Sklaverei sowie Branchen- und Geschäftseinblicke enthält und potenziell riskante Beziehungen zu Drittanbietern aufzeigt. Dies trägt dazu bei, die Komplexität bei der Verwaltung von Drittanbietern zu reduzieren, und bietet eine einzige Quelle der Wahrheit für das Lieferantenmanagement über den gesamten Lebenszyklus ihrer Beziehungen.

II) Governance und Managementaufsicht

Implementierung von Risikomanagement- und Governance-Rahmen für NOAs

"Die Banken verfügen über einen Governance-Ausschuss, der die Aufsicht über NOAs ausübt. Die Banken legen auch risikoadäquate Governance- und Risikomanagement-Rahmenregelungen fest, einschließlich Sorgfaltspflichten, um Risiken, die sich aus NOAs ergeben, auf ganzheitliche Weise zu steuern."

Prevalent verfügt über eine Bibliothek mit mehr als 750 vorgefertigten Vorlagen für Risikobewertungen von Drittanbietern, einschließlich solcher, die sich an führenden Governance-Frameworks wie [ISO](/compliance/iso-27001-27002-27018-27036-2-27701/) orientieren. Die Bewertungsfragebögen können global oder regional ausgerichtet sein, um spezielle rechtliche, betriebliche oder andere Due-Diligence-Anforderungen zu erfüllen.

Das Berichtswesen ermöglicht es den Finanzinstituten, die Compliance-Anforderungen zu visualisieren und zu erfüllen, indem die Bewertungsergebnisse und Dateneinspeisungen automatisch den gesetzlichen Anforderungen und Rahmenbedingungen zugeordnet werden.

Management-Berichterstattung über das Risiko von Dritten

"Die Banken stellen eine angemessene Überwachung durch das Management sicher, indem sie regelmäßig und zeitnah über die Risikoprofile und die Leistung der NOAs berichten. Wichtige Angelegenheiten wie abgelaufene periodische Überprüfungen, Zwischenfälle bei Verkäufern, Leistungsverstöße und Verstöße gegen die KRI werden regelmäßig an das zuständige Führungsgremium gemeldet. Eine geeignete Partei (z.B. eine 2LoD-Einheit) sorgt für die notwendige Kontrolle des Berichtsprozesses."

Arbeiten Sie mit Ihren Lieferanten zusammen

Entwicklung von Abhilfeplänen mit Empfehlungen, die die Lieferanten befolgen können, um das Restrisiko zu verringern. Bereitstellung eines Forums für Lieferanten zum Hochladen von Nachweisen und zur Kommunikation über spezifische Abhilfemaßnahmen mit einem sicheren Prüfpfad zur Verfolgung der Abhilfemaßnahmen bis zum Abschluss.

Management von Veränderungen

"Die Banken verfügen über solide Richtlinien und Verfahren für das Änderungsmanagement, um Risiken, die sich aus neuen NOAs ergeben, zu bewältigen. Es gibt eine klare Zuweisung von Rollen und Verantwortlichkeiten über die drei Verteidigungslinien (LoDs) hinweg, wobei die Umsetzung von Änderungen unabhängigen Kontrollen und Überwachungen unterliegt."

Die Prevalent-Plattform umfasst eine Automatisierungs- und Regel-Engine, die auf der Grundlage von Bewertungsergebnissen und externen Dateneinspeisungen automatisch Maßnahmen vorschlägt oder Risikobewertungen anpasst. Mit dieser Funktion können Finanzinstitute automatisch Aufgaben auf der Grundlage kontinuierlicher Änderungen durch Dritte erstellen und den Verantwortlichen zuweisen, um Probleme bis zum Abschluss zu verfolgen. Dies trägt dazu bei, den Zeitplan für die Risikominderung zu beschleunigen.

III) Sorgfaltspflicht und laufende Überwachung

Due-Diligence-Prüfung und laufende Überwachung von NOAs und Drittparteirisiken

"Die Banken wenden Risikobewertungsmethoden für die Risikoeinstufung von NOAs an, die höhere Risikofaktoren angemessen berücksichtigen, wie z.B. den Austausch vertraulicher Informationen oder die Unterstützung kritischer Funktionen.

"Die Banken stellen klare, risikoadäquate Anforderungen an die Sorgfaltspflicht und die unabhängige Aufsicht für die Aufnahme neuer und die Überprüfung bestehender NOAs auf. Bei der Sorgfaltsprüfung werden alle relevanten Stakeholder der NOAs berücksichtigt, auch Partner und Dienstleistungsanbieter.

"Die Banken führen strukturierte Kontrollprozesse für die laufende Überwachung von NOAs während des gesamten Lebenszyklus der Beziehungen ein. Vereinbarungen mit hohem Risiko erfordern eine strengere laufende Überwachung.

"Die Banken setzen angemessene Instrumente und Mechanismen zur Risikoüberwachung ein, um das Risiko Dritter zu steuern. Zu diesen Instrumenten und Mechanismen gehören die Festlegung einer Taxonomie für Drittparteirisiken und die Einführung geeigneter KRIs, um einen ganzheitlichen Blick auf das Drittparteirisiko der Bank zu ermöglichen."

Nach Abschluss des Onboardings bestimmen die Ergebnisse der Einstufungs-, Profiling- und Kategorisierungsbewertungen den Umfang der fortlaufenden Due-Diligence-Prüfung, die während des gesamten Lebenszyklus des Dritten erforderlich ist.

Um dies zu ermöglichen, verfolgt und analysiert Prevalent kontinuierlich externe Bedrohungen für Dritte. Die Lösung überwacht das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Reputations-, Sanktions- und Finanzinformationen.