Bereiten Sie Ihr TPRM-Programm auf die neuen SEC-Vorschriften zur Offenlegung der Cybersicherheit vor

Ashley: Äh, ich darf auch nicht vergessen, einige Vorstellungsrunden zu machen. Mein Name ist Ashley. Ich arbeite hier bei Prevalent in der Geschäftsentwicklung. Und heute haben wir einige ganz besondere Gäste zu Besuch. Äh, den pensionierten Datenschutzbeauftragten Joseph Martinez. Hallo, Joseph.

Joseph Martinez: Beschaffung.

Ashley: Oh, Beschaffung. Das tut mir leid. Ähm, Chief Procurement Officer. Und unser Vizepräsident für Produktmarketing, Scott Lang. Hey, Scott.

Scott Lang: Hey, Ashley.

Ashley: Äh, nur eine kleine organisatorische Anmerkung. Dieses Webinar wird aufgezeichnet und wir werden Ihnen die Aufzeichnung zusammen mit den Präsentationsfolien kurz nach dem Webinar zusenden. Äh, Sie sind derzeit alle stummgeschaltet, aber wir freuen uns über Ihre Teilnahme. Bitte geben Sie Ihre Fragen in unser Q&A-Feld ein, damit wir sie am Ende des Webinars besprechen können. Äh, heute wird Joseph die US-amerikanischen Finanzrichtlinien für Beziehungen zu Dritten erläutern. Also, Joseph, ich übergebe jetzt das Wort an Sie und lasse Sie beginnen.

Joseph Martinez: Vielen Dank. Vielen herzlichen Dank. Zunächst einmal möchte ich Prevalent und dem Prevalent-Team dafür danken, dass sie mich eingeladen haben, heute zu diesem lang erwarteten und mit Spannung erwarteten Thema zu sprechen. Wissen Sie, das ist für uns alle, die wir im Finanzdienstleistungsbereich tätig sind, von entscheidender Bedeutung, und wir alle haben seit etwa zwei Jahren auf die Veröffentlichung der endgültigen behördenübergreifenden Leitlinien zu Beziehungen zu Dritten gewartet. Ich glaube, es war im Juli 2021, als sie erstmals zur Stellungnahme veröffentlicht wurden. Die Frist für Stellungnahmen wurde verlängert, und schließlich, wissen Sie, siehe da, über zwei Jahre später sind wir nun hier. Sagen wir einfach, dass viele von uns, mich eingeschlossen, fleißig das Bundesregister durchforsten, oft in Erwartung der Veröffentlichung dieser endgültigen Leitlinien. Also, lassen Sie uns loslegen. Wenn wir uns die Tagesordnung hier ansehen, haben wir heute viel zu besprechen. Und wenn man sich die Leitlinien ansieht, sind das fast 70 Seiten, richtig? Ich möchte Zeit für die Beantwortung Ihrer Fragen lassen, aber wenn wir in dieser Sitzung nicht alle Ihre Fragen beantworten können, werden wir in den nächsten Wochen eine zweite Sitzung, Teil zwei, durchführen, um sicherzustellen, dass Sie wir Ihnen alle Informationen zur Verfügung stellen, die Sie für Ihre Programmentwicklung benötigen, denn die Änderungen hinsichtlich der Compliance und der Einhaltung der endgültigen behördenübergreifenden Richtlinien für das Risikomanagement durch Dritte sind, wie Sie wissen, ziemlich entscheidend, und daher ist es wirklich wichtig, dass wir uns eingehend damit befassen. Normalerweise bin ich kein Fan von vielen Grafiken, aber Sie werden feststellen, dass es viele geben wird. Ich mag viele Grafiken und viel Text, aber in diesem Fall musste ich tatsächlich viel Text für Ihre Weiterbildung einfügen, damit wir sicherstellen können, dass wir die Richtlinien angemessen durchgehen. Wir möchten also vier Bereiche behandeln. Der erste ist ein Überblick über die US-amerikanischen Finanzrichtlinien verschiedener Behörden. Der zweite ist die Definition der Phasen des Lebenszyklus von Dritten, wie sie vom FDIC-Vorstand und der OTC definiert wurden. Dann möchten wir auch die Anforderungen untersuchen, die Organisationen erfüllen müssen, um jede Phase dieses Lebenszyklus zu bewältigen, und dann die Best Practices erkennen, die nicht nur Finanzdienstleister, sondern alle Branchen befolgen können. Wenn wir also zur nächsten Folie übergehen könnten. Nächste Folie, bitte. Ich sehe immer noch die Tagesordnung. Ich bin mir nicht sicher, ob Sie alle das sehen können. Also, Scott, ähm,

Scott Lang: Nein, ich bin auf der Folie mit den beteiligten Behörden, mit den drei Logos der Fed, der FDIC und der OC. Sehen Sie das nicht?

Joseph Martinez: Noch eine Folie bitte. So, bitte sehr. Beginnen wir also mit einer Erklärung. Die Behörden sind involviert. Okay. Der Vorstand der FDIC weiß, dass dies die richtige Folie ist. Nein, das ist die richtige Folie. Nun, es hat einfach eine Weile gedauert, bis sie sich wirklich zusammengesetzt haben und gründlich darüber nachgedacht haben, wie sie sich hinsichtlich ihrer Leitlinien tatsächlich abstimmen wollen. Und wenn man darüber nachdenkt, betrachten sie das Ganze aus etwas unterschiedlichen Blickwinkeln. Der Vorstand der Federal Reserve ist also für die Regulierung und Beaufsichtigung von Bankholdinggesellschaften und ausländischen Bankorganisationen zuständig, die in den Vereinigten Staaten tätig sind. Die FDIC oder Federal Deposit Insurance Corporation ist für die Einlagensicherung von Banken zuständig und fördert solide Bankpraktiken. Wenn wir darüber nachdenken, beaufsichtigen sie staatlich zugelassene Banken, okay? Diese sind keine Mitglieder des Federal Reserve Systems und fungieren als primäre Bundesaufsichtsbehörde für viele Gemeinschaftsbanken, richtig? Und dann haben wir noch das OC, das Office of the Control of Currency. Das ist eine unabhängige Behörde innerhalb des US-Finanzministeriums, die nationale Banken und die Federal Savings Association reguliert. All diese Behörden arbeiten also miteinander zusammen, und daher war es wirklich sinnvoll, dass sie sich zusammengesetzt und überlegt haben, wie sie tatsächlich Leitlinien entwickeln können, die einheitlich sind, anstatt leicht unterschiedliche Nuancen aufzuweisen, wie es zuvor der Fall war. Wenn wir nun bitte zur nächsten Folie übergehen könnten. Die endgültigen Leitlinien der Behörden, die wir als „Behörden” bezeichnen werden, wurden herausgegeben, um solide Praktiken für das Risikomanagement in Bezug auf Dritte zu fördern. Die endgültigen Leitlinien enthalten nun erneut Ansichten zu Risikomanagementprinzipien für Banken bei der Entwicklung und Umsetzung von Risikomanagementpraktiken in allen Phasen des Lebenszyklus von Beziehungen zu Dritten. Diese endgültige Leitlinie besagt auch, dass ein solides Risikomanagement für Dritte die Komplexität des Risikos, die Größe der Bankorganisation und die Art der Beziehung zu Dritten berücksichtigt. Das ist ziemlich wichtig, denn die Berücksichtigung der Größe der Bankorganisation ist wirklich hilfreich, um zu sehen, wie sie die geltenden Vorschriften tatsächlich einhalten. Die Behörden haben diese gemeinsamen Leitlinien herausgegeben, um die Einheitlichkeit ihrer Aufsichtsansätze zu fördern. Sie ersetzen die bestehenden allgemeinen Leitlinien der einzelnen Behörden zu diesem Thema und richten sich an alle Banken, die von diesen Behörden beaufsichtigt werden. Um es klar zu sagen: Bankorganisationen nutzen Dritte. Durch die Beauftragung eines Dritten wird die Bank nicht von ihrer Verantwortung entbunden, wie sie tatsächlich operiert. Daher ist es wirklich wichtig, dass wir uns Gedanken darüber machen, was dort vor sich geht. Und, ähm, noch einmal: Die Inanspruchnahme eines Dritten mindert oder beseitigt nicht die Verantwortung der Bankorganisation, dafür zu sorgen, dass die Aktivitäten auf sichere und solide Weise und in Übereinstimmung mit den geltenden Gesetzen und Vorschriften durchgeführt werden. Und wissen Sie, was außerdem passiert, ist, dass all diese Richtlinien, die Sie hier sehen, die Richtlinien des Vorstands von 2013, die Richtlinien der FDIC von 2008 und die OC 213-29, ähm, und die häufig gestellten Fragen von 2020, zurückgezogen und ersetzt werden. All diese Richtlinien wurden aufgehoben und sind nun, Stand 6. Juni, die endgültigen interinstitutionellen Richtlinien, die veröffentlicht wurden. Wir sind also seit etwas mehr als einem Monat dabei, was gut ist, und deshalb ist es für uns so aktuell, dieses Gespräch zu führen. Wir könnten zur nächsten Folie übergehen.

Ashley: Hallo Joseph, hier ist Ashley. Ähm...

Ashley: Wie Sie wissen, hat die Behörde gemeinsame Richtlinien herausgegeben, um eine einheitliche Vorgehensweise zu fördern. Diese Leitlinien befassen sich mit den wichtigsten Grundsätzen, auf die sich Banken bei der Entwicklung und Umsetzung von Risikomanagementprozessen stützen können, und diese Einheiten... Hey, Joseph, könntest du bitte deine Kamera ausschalten? Dein Signal scheint etwas instabil zu sein. Könnt ihr mich hören?

Joseph Martinez: Entschuldigung. Technische Probleme.

Joseph Martinez: Versuchen wir es mal mit ausgeschalteter Kamera, vielleicht verbessert sich dann die Qualität. Hoffentlich ist das so. Ja, ich habe reichlich Bandbreite. Ich habe eigentlich eine sehr schnelle Verbindung, daher bin ich mir nicht sicher, was los ist, aber lassen Sie uns weitermachen. Richtig. Wenn wir uns das ansehen, berücksichtigt die Richtlinie wirklich, was Unternehmen brauchen und was Banken befolgen müssen. Und Sie müssen verstehen, dass es sich um eine Richtlinie handelt. Es ist nicht unbedingt ein Gesetz, das in Kraft tritt. Und wenn Sie einen Dritten beauftragen, entfällt Ihre Verantwortung als Bank nicht. Sie sind weiterhin verpflichtet, sicherzustellen, dass Ihre Handlungen tatsächlich mit dem übereinstimmen, was wir hier betrachten. Können wir bitte zur nächsten Folie übergehen? Wenn wir uns also die Leitlinien ansehen, geht es darum, wie Bankorganisationen Beziehungen zu Dritten aufbauen können. Und wir alle wissen, dass es eine ganze Reihe neuer Arten von Lieferanten gibt und neue Arten von Unternehmen, mit denen die Banken im Fintech-Bereich zusammenarbeiten. Richtig? Daher ist es wichtig, dass wir uns Gedanken darüber machen, was vor sich geht. Und der zweite Punkt ist wirklich sehr wichtig, da Sie wissen, dass eine Beziehung zu Dritten besteht, obwohl kein Vertrag oder keine Vergütung vorliegt. Das ist etwas, worüber wir meiner Meinung nach wirklich nachdenken sollten, denn aufgrund der historischen Entwicklung haben wir das bisher aus vertraglicher Sicht betrachtet. Wir haben uns angesehen, was dieser Dritte ist. Jetzt betrachten wir das meiner Meinung nach aus einer etwas breiteren Perspektive. Und ich denke, dass die Grundsätze, die sie festlegen, für uns wirklich wichtig sind, um darüber nachzudenken. Also, noch einmal, eine Bank kann negativen Auswirkungen ausgesetzt sein, darunter erhebliche finanzielle Verluste und Betriebsstörungen, wenn sie die mit Dritten verbundenen Risiken nicht angemessen verwaltet. Deshalb ist diese Leitlinie so wichtig. Es ist also wichtig, dass die Bank die mit Dritten verbundenen Risiken identifiziert, bewertet, überwacht und kontrolliert.

Joseph Martinez: Beziehungen. Das ist also etwas, das, wie Sie wissen, ein wichtiger Grundsatz ist, der aufgestellt wurde, damit wir in der Lage sind, die Dinge zu durchdenken. Könnten wir bitte zur nächsten Folie übergehen? Also noch einmal: Nicht alle Beziehungen bergen das gleiche Risiko, richtig? Die Behörden haben die Leitlinien präzisiert und vereinfacht und Details entfernt, die in einigen Fällen doppelt vorhanden waren, weil sie nicht nützlich waren oder als zu präskriptiv interpretiert werden konnten, richtig? Damit wollen sie uns dazu bringen, gründlich nachzudenken und zu bedenken, dass eine Aktivität, die für eine Bankorganisation kritisch ist, für eine andere möglicherweise nicht kritisch ist. Und das führt uns zurück zu dem, was ich zuvor gesagt habe, nämlich dass sie die Größe der Bank berücksichtigen. Sie betrachten nun nicht mehr alle mit derselben Brille. Sie betrachten es auf der Grundlage dessen, was für Ihre Organisation angemessen ist. Daher ist es wirklich wichtig, dass wir uns genau überlegen, was dort vor sich geht. Und noch einmal: Es liegt an jedem Bankinstitut, seine kritischen Aktivitäten und seine Beziehungen zu Dritten zu identifizieren, die diese kritischen Aktivitäten unterstützen, da dies je nach Risikobereitschaft und der von dieser Bank angewandten Risikomethodik unterschiedlich sein wird. Ich denke also, dass dies ein guter Punkt zur Klarstellung ist, den wir uns genauer ansehen sollten. Können wir bitte zur nächsten Folie übergehen? Die Behörden wollten auch noch einmal betonen, dass die Leitlinien auf Prinzipien basieren, richtig? Wenn sie sagen, dass die Leitlinien auf Prinzipien basieren, meinen sie damit, dass die Leitlinien auf einer Reihe grundlegender Normen, Regeln oder Werte beruhen, die einen Rahmen für Entscheidungen und Maßnahmen bilden. Anstatt detaillierte Vorschriften und Anweisungen zu geben, legen die Regulierungsbehörden also eine Reihe von Prinzipien fest, an die sich die Organisationen halten müssen, richtig?

Joseph Martinez: Wenn wir uns das noch einmal ansehen, handelt es sich hierbei um allgemeine Aussagen zu dem, worüber sie sprechen, aber wissen Sie, die Behörden versuchen wirklich zu sagen: Okay, ihr müsst einen risikobasierten Ansatz für eure Bankorganisationen unterstützen, um das Risiko zu bewerten, das von euren Dritten ausgeht, und dann müsst ihr euren Prozess zum Management von Dritten entsprechend anpassen, damit ihr das, was ihr tut, tatsächlich in den richtigen Kontext für eure Tätigkeit stellt, und das ist fast so, als würde man einen Zauberwürfel lösen, oder? Daher ist es wichtig, Mitarbeiter mit den erforderlichen Kenntnissen und Fähigkeiten in jede Phase des Managements dieses Lebenszyklus einzubeziehen. Was sie Ihnen also sagen, ist, dass Sie wirklich Experten aus verschiedenen Disziplinen in Ihrer Organisation einbeziehen müssen, sei esRechtsberater sind, ob es um die Einhaltung von Risikovorschriften geht, um die Technologie usw. Ich halte es für sehr wichtig, Experten aus verschiedenen Disziplinen einzubeziehen, um zu verstehen, dass eine Bank Bewertungsdienste von Dritten in Anspruch nimmt, wie zum Beispiel Trusite, die sieals Dienstleister nutzen. Wenn Ihre Bank also einen dieser Dienste im Rahmen einer geschäftlichen Vereinbarung nutzt, sollte diese Vereinbarung in den Risikomanagementprozess der Bank für Dritte integriert werden. Nur weil Sie etwas auslagern, bedeutet das nicht, dass Sie es nicht aus Ihrer eigenen Perspektive angemessen betrachten müssen. Daher ist es wirklich wichtig, die Aktivitäten zu identifizieren, die die Beziehung zu Dritten unterstützt, und dabei zu beachten, dass eine Aktivität, die für eine Bankorganisation kritisch ist, für eine andere möglicherweise nicht kritisch ist. All dies ist für uns wichtig, darüber nachzudenken. Könnten wir bitte zur nächsten Folie übergehen? Nun möchten wir über die Definition der Phasen des Lebenszyklus eines Dritten sprechen. Alle von uns, die sich seit mehr als einem Jahr damit beschäftigen, wissen wahrscheinlich, was das ist, aber wir werden es jetzt noch einmal durchgehen, da sich die Behörden nun darüber einig sind, was das ist.

Joseph Martinez: Wenn wir nun zur nächsten Folie übergehen könnten – wie Sie sehen, handelt es sich hierbei um eine alte Folie, die jedoch direkt aus den neuen Leitlinien stammt. Okay, ursprünglich wurde sie vom OC veröffentlicht. Aber jetzt wurde sie modifiziert und sowohl vom Vorstand, der FDIC als auch der OCC als Phasen des Risikomanagement-Lebenszyklus übernommen. Sie wissen also, dass Sie die Planung, die Due Diligence und die Auswahl von Dritten haben, Sie haben die Vertragsverhandlungen, die laufende Überwachung und natürlich wissen Sie, dass am Ende dieses Prozesses die Kündigung steht. Das bedeutet also, dass wir jetzt einen standardisierten, wiederholbaren Prozess haben, qualitative und quantitative Bewertungen, dass wir ein einheitliches Risikomanagement haben und dass wir unsere Arbeitsbelastung richtig dimensionieren müssen, um die richtigen Leute zur richtigen Zeit einzusetzen, wenn wir die neuen Vorschriften einhalten wollen, und deshalb bin ich froh, dass sie sich tatsächlich zusammengetan und eine bestimmte Sichtweise angenommen haben, denn ich denke, dass esist es wirklich wichtig, dass wir darüber nachdenken. Warum gehen wir also nicht zur nächsten Folie über, damit Sie wissen, dass wir die Anforderungen untersuchen wollen, die die Organisationen in jeder Phase des Lebenszyklus erfüllen müssen, und sie haben diese Leitlinien sehr gut bereitgestellt. Auch hier handelt es sich nicht um Vorschriften, aber glauben Sie mir, sie werden kommen und sich das ansehen wollen. Wenn wir also zur nächsten Folie kommen, beginnen wir mit dem gesamten Planungsprozess. Okay? Wenn wir also über die Planung nachdenken, habe ich mich sehr genau mit der eigentlichen Verordnung und den Leitlinien befasst und die Informationen für Sie zusammengestellt. Ich möchte nicht jedes einzelne Detail durchgehen, da Sie eine Kopie der Präsentation erhalten werden, aber ich möchte, dass Sie tatsächlich verstehen, was in diesem Dokument steht, okay? Die Leitlinien befassen sich also wirklich damit, wie Sie über die Planung nachdenken sollten, was Sie berücksichtigen müssen und wie Sie das verwalten werden.

Joseph Martinez: Wenn also davon die Rede ist, den strategischen Zweck einer Geschäftsvereinbarung zu verstehen, muss man sich darüber im Klaren sein, wie diese Vereinbarung mit den übergeordneten strategischen Zielen, den Zielsetzungen, der Risikobereitschaft, dem Risikoprofil und den allgemeinen Unternehmensrichtlinien in Einklang steht. Das sind eine Menge Informationen, die es zu verarbeiten gilt, aber genau das ist es, worüber Sie nachdenken sollen. Sie möchten, dass Sie die mit der Geschäftsvereinbarung verbundenen Vorteile und Risiken identifizieren und bewerten und dass Sie entscheiden, wie diese identifizierten Risiken angemessen zu handhaben sind. Es reicht also nicht aus, nur die Risiken zu identifizieren. Sie müssen sie entweder akzeptieren oder mindern. Und deshalb möchten sie, dass Sie darüber nachdenken. Wenn Sie also über die Art der Geschäftsvereinbarung nachdenken, möchten sie, dass Sie dies ganzheitlich betrachten und darüber nachdenken, wo die Aktivität tatsächlich stattfindet, richtig? Denn wenn Sie sich noch einmal ansehen, worüber sie sprechen, möchten sie, dass Sie wirklich darüber nachdenken, wie Sie Ihr Programm tatsächlich umsetzen und wie der Ort aussieht, an dem die Arbeit tatsächlich durchgeführt wird, und ob es lokale oder globale regulatorische Anforderungen gibt, die diesbezüglich gelten. Wenn Sie also unter Punkt drei lesen, dass Sie die Art der Geschäftsvereinbarungen berücksichtigen sollen, wie z. B. das Umfang der Aktivitäten, den Einsatz von Subunternehmern, die erforderliche Technologie, die Interaktion mit Kunden und den Einsatz von ausländischen Dritten. Das ist neu und entscheidend, nicht wahr? Wenn also von ausländischen Dritten die Rede ist, sind damit Dritte gemeint, die Ihre Geschäftstätigkeit unterstützen und ihren Sitz in einem anderen Land haben, also offshore oder nearshore, richtig? Und die den Gesetzen und der Gerichtsbarkeit dieses Landes unterliegen. Dieser Begriff umfasst also keine in den USA ansässige Tochtergesellschaft eines ausländischen Unternehmens, da es Dienstleistungsbetriebe gibt, die den US-Gesetzen unterliegen. Sie möchten also wirklich darüber nachdenken, wie sie das tatsächlich umsetzen.

Joseph Martinez: Und ich denke, dass das wirklich wichtig ist. Und wenn wir uns noch einmal ansehen, wie wir bewerten, wie sich die Beziehung zu Dritten auf die Mitarbeiter der Bankorganisation auswirken könnte, einschließlich doppelter Mitarbeiter, und welche Übergangsschritte für die Bank erforderlich sind, um die Auswirkungen zu bewältigen, wenn die derzeit intern durchgeführten Aktivitäten ausgelagert werden, richtig? Sie möchten also, dass Sie über diese Dinge nachdenken und zeigen, dass Sie einen konkreten Plan haben, dass Sie über das richtige Maß an Schulung verfügen, dass Sie die richtige Sorgfalt sowohl in Bezug auf die Person als auch auf die Dienstleistung und das Unternehmen walten lassen. Ich denke, sie werden wirklich gut darin, den Rahmen festzulegen. Dann müssen Sie diesen Rahmen tatsächlich nehmen und ihn in Ihr Programm umsetzen. Nächste Folie, bitte. Also, um dieses Thema in Bezug auf den Grad des Risikos und der Komplexität fortzusetzen. Sie wissen schon, wieder die Bewertung der Auswirkungen eines potenziellen Dritten auf seine Kunden, richtig? Nun, dazu gehören der Zugriff auf und die Verwendung von Kundeninformationen, die Interaktion von Dritten mit Kunden, Ihre Callcenter usw. Das Potenzial für Verbraucherschäden und die Bearbeitung von Kundenbeschwerden und -anfragen. Das solltet ihr also bedenken. Es ist, wie gesagt, ein sehr wichtiger Punkt Nummer sechs, aber er erfordert eine Menge Umsetzung. Komplexität, richtig? Und wenn wir sagen, dass wir die potenziellen Auswirkungen auf die Informations- oder Sicherheitsimplementierung verstehen, richtig? Dazu gehört auch der Zugriff auf die Bank, auf die Banksysteme, richtig? Und zu vertraulichen Informationen. Und das ist wirklich kritisch, insbesondere angesichts der vielen Datenverstöße, die wir derzeit beobachten und von denen viele tatsächlich ihren Ursprung in der Lieferkette haben und nicht in der eigentlichen Organisation. Sie möchten also, dass wir darüber nachdenken.

Joseph Martinez: Nummer acht ist ziemlich wichtig, wenn man über die möglichen Auswirkungen auf die physische Sicherheit nachdenkt, und das ist, dass sie darüber nachdenken müssen, ob sie Zugang zu den Einrichtungen der Bank haben werden, ob sie vor Ort sein werden, und ich weiß, dass sich das seit, äh, seit co ein wenig geändert hat, aber wir haben immer noch Dritte, die, um die Waren und Dienstleistungen, die sie, die sie uns anbieten, vor Ort kommen müssen. Wenn wir uns zum Beispiel Nummer 10 ansehen, bei der es darum geht, die Fähigkeit der Bankorganisation zu bestimmen, die vorgeschlagene Beziehung zu Dritten kontinuierlich angemessen zu überwachen und zu verwalten. Nun, wissen Sie, dazu gehört auch, ob die Personalausstattung und das Fachwissen oder das Risikomanagement und die Compliance-Managementsysteme eingehalten werden, richtig? Sie wollen sicherstellen, dass Sie über das richtige Maß an internen Kontrollen für Ihre Systeme verfügen. Sie wissen, dass Sie die im Vertrag schriftlich festgelegten Geschäftsvereinbarungen effektiv umsetzen und dass Sie diese tatsächlich angemessen überwachen. Also, noch einmal, all dies ist Teil der Planung. Sie müssen darüber nachdenken, bevor Sie tatsächlich weitermachen, wenn Sie mit dem, was Sie tun, erfolgreich sein wollen. Können wir bitte zur nächsten Folie übergehen? Wenn wir also über die Sorgfaltspflicht nachdenken, wissen Sie, dass Sie planen müssen, dann müssen Sie die Sorgfaltspflicht walten lassen. Okay, das bedeutet, dass Sie Ihre Dritten einer Sorgfaltsprüfung unterziehen müssen, bevor Sie eine Beziehung zu ihnen eingehen. Das ist wichtig und ein entscheidender Bestandteil eines soliden Risikomanagements. Okay. Der Due-Diligence-Prozess liefert also der Bank die Informationen, die sie benötigt, um zu beurteilen, ob sie die mit der eingegangenen Beziehung verbundenen Risiken angemessen identifizieren, überwachen und kontrollieren kann. Zu dieser Due Diligence gehört auch die Bewertung der Fähigkeit des Dritten, die Tätigkeit wie erwartet auszuführen.

Joseph Martinez: Wissen Sie, sich an die Bankvorschriften oder, ähm, wissen Sie, an die Richtlinien halten, ähm, wissen Sie, wenn sie in der Lage sind, die geltenden Gesetze und Vorschriften einzuhalten und ihre Aktivitäten auf sichere und solide Weise auszuüben. Es geht darum, ihre finanzielle Tragfähigkeit zu prüfen. Es geht darum, sich ihr Sock-Profil usw. anzusehen. Es geht also wirklich darum, alles zu durchdenken, und daher halten es die Behörden nicht für angemessen, dass eine Bank ihre Sorgfaltspflicht allein aufgrund der Art des Dritten reduziert. Es gab viele Kommentare in der Kommentierungsphase, die darauf abzielten, dass man tatsächlich sagen wollte, wie man die Sorgfaltspflicht je nach Art des Dritten, mit dem man zu tun hat, potenziell reduzieren könnte, und das wurde, wie Sie sehen können, nicht akzeptiert, und wenn man sich die Leitlinien ansieht, heißt es dort, dass eine Bank bei der Bewertung des Risikos einer Beziehung zu einem Dritten Informationen aus verschiedenen Quellen berücksichtigen kann, und sie sagen Ihnen also, dass Sie sich nicht nur auf das verlassen sollen, was Sie intern tun können.sich die Leitlinien ansieht, heißt es dort auch, dass eine Bank bei der Bewertung des Risikos einer Beziehung zu einem Dritten Informationen aus verschiedenen Quellen berücksichtigen kann. Man sagt Ihnen also, dass Sie sich nicht nur auf das verlassen sollen, was Sie intern tun können, sondern auch einen Blick auf das werfen sollen, was es da draußen gibt. Wenn Sie sich jedoch Dinge da draußen ansehen, müssen Sie sicherstellen, dass Sie diese Informationen wirklich verstehen und nutzen. Durch die Verwendung dieser externen Informationen wird jedoch Ihre Verantwortung als Organisation nicht gemindert, sicherzustellen, dass Sie wirklich die richtige Sorgfalt walten lassen und dass die Informationen, die Sie einbringen, wirklich in der Verantwortung Ihrer Organisation liegen, damit sie verfügbar sind. Die Leitlinien sehen also vor, dass Banken unter bestimmten Umständen Maßnahmen zur Risikominderung in Betracht ziehen sollten oder, wenn die Risiken nicht gemindert werden können, entscheiden müssen, ob die Restrisiken akzeptiert werden können. Das bedeutet, dass Sie über eine solide Risikomethodik verfügen müssen und in der Lage sein müssen, ihnen konkret zu zeigen, dass Sie die Kontrolle über Ihre Handlungen haben. Ich halte es für sehr wichtig, dass wir uns Gedanken darüber machen, warum die Behörden dies tun.

Joseph Martinez: Sie tun dies, weil es seit 2008 bis heute viele verschiedene Probleme mit Dritten gegeben hat und sie daher sicherstellen wollen, dass sie das Wissen, das sie in der letzten Zeit gesammelt haben, in die Leitlinien einfließen lassen, damit sieein Niveau und einen Rahmen bieten, den wir dann übernehmen und richtig umsetzen können. Daher halte ich es für äußerst wichtig, dass wir darüber nachdenken, warum wir dies tun und wie dies geschieht. Eine der Maßnahmen der Leitlinien bestand darin, dass einige der Konzepte berücksichtigt wurden, die in den häufig gestellten Fragen des OC enthalten waren. Okay. Diese wurden dann aufgegriffen und in die verschiedenen Teile integriert, sei es in die Planung, die Sorgfaltspflicht usw. Richtig? Die Leitlinien enthalten also wirklich viele dieser häufig gestellten Fragen. So müssen Sie jetzt nicht mehr mehrere Dokumente durchsehen, sondern haben klare und einheitliche Leitlinien, die Ihnen helfen, tatsächlich zu verstehen, was vor sich geht. Letztendlich betont die Leitlinie jedoch, dass es in der Verantwortung der Bank liegt, die mit jedem ihrer Dritten verbundenen Risiken zu identifizieren und zu bewerten und die Risikomanagementpraxis an die Größe der Organisation, die Komplexität der Organisation, das Risikoprofil und natürlich die Art der Beziehungen zu Dritten, die Sie eingehen, anzupassen. Die Behörden haben jedoch keine bestimmten Beziehungen zu Dritten aus dem Geltungsbereich der Leitlinien ausgeschlossen. Und das war eine der Fragen, die gestellt wurden: Können wir Bank-zu-Bank-Beziehungen ausschließen? Können wir verbundene Unternehmen ausschließen usw.? Sie sagen, dass sie keine bestimmten Beziehungen zu Dritten aus dem Geltungsbereich der Leitlinien ausschließen. Können wir bitte zur nächsten Folie übergehen?

Joseph Martinez: Wenn man sich also mit der Sorgfaltspflicht befasst, sollten Umfang und Grad der Sorgfaltspflicht identifiziert und dokumentiert werden, um etwaige Einschränkungen der Sorgfaltspflicht zu erkennen und die Risiken solcher Einschränkungen zu verstehen. Es sollten Alternativen in Betracht gezogen werden, wie dieses Risiko gemindert werden könnte, einschließlich der möglichen Suche nach einer anderen Quelle. Richtig? Die Sorgfaltspflicht umfasst also die Bewertung der Fähigkeit des Dritten, die erwartete Tätigkeit auszuführen, die Richtlinien der Bankorganisation und damit verbundene Aktivitäten einzuhalten, alle geltenden Gesetze und Vorschriften zu befolgen und diese Tätigkeit auf sichere und solide Weise auszuführen. Ich füge dies hier ein und wiederhole es, weil es direkt aus den Leitlinien stammt und weil alle, die sich schon länger mit dem Risikomanagement von Dritten beschäftigen, wissen, dass dies sozusagen die Grundlage für die Arbeit ist, wenn man sie aus der Perspektive der Sorgfaltspflicht betrachtet. Aber das ist etwas, das sie, wie Sie wissen, erneut betont haben, sie haben es wieder in das Geschehen integriert. Und ich denke, es ist wirklich wichtig für uns, darüber nachzudenken, wie das tatsächlich funktioniert. Wenn wir also bitte zur nächsten Folie übergehen könnten. Wenn Sie sich das ansehen, gibt es 14 verschiedene Schwerpunktbereiche und Sorgfaltspflichten, die sie veröffentlicht haben. Und sie haben tatsächlich ziemlich viele Informationen unter jedem dieser Bereiche zusammengestellt. Ich habe sie hier aufgeführt, weil ich denke, dass es für uns wichtig ist, darüber nachzudenken, was sie von uns erwarten und welche Überprüfung wir durchführen müssen. Wenn Sie darüber nachdenken, werden Sie wahrscheinlich ein Problem bekommen, wenn Ihre aktuellen Programme nicht tatsächlich in der Sorgfaltspflichtphase sind und alle diese 14 Bereiche abdecken. Sie werden wahrscheinlich eine MRA oder eine MIR usw. bekommen. Daher ist es wichtig, dass Sie darüber nachdenken und dann überlegen, wie Sie es tatsächlich umsetzen können, richtig?

Joseph Martinez: Denn wenn man sich jedes dieser Dinge ansieht, ist es ziemlich wichtig, wenn man sich zum Beispiel die finanzielle Lage ansieht, die manSie gesehen haben, wissen Sie, dass dies wirklich eine Bewertung der finanziellen Lebensfähigkeit des Dritten ist, richtig? Und wenn man diese Informationen aus Finanzberichten oder Jahresberichten oder aus Unterlagen der Börsenaufsichtsbehörde und anderen Quellen bezieht, werden all diese Informationen verwendet, um die finanzielle Leistungsfähigkeit und Stabilität des Lieferanten, mit dem Sie zusammenarbeiten, zu bewerten. Sie wissen also, dass hinter jedem dieser Punkte ein großer Aufwand steckt. Ich möchte Sie alle dazu ermutigen, sich damit auseinanderzusetzen und zu überlegen, wie Ihr aktuelles Programm diese Aspekte berücksichtigt. Und wenn es diese Aspekte nicht ausreichend berücksichtigt, würde ich Ihnen empfehlen, darüber nachzudenken, wie Sie das tatsächlich angehen können. Und wenn Sie sich dann die Tools ansehen, die Ihr Programm unterstützen, stellen Sie sicher, dass Sie tatsächlich sagen können: Okay, wie kann ich mit meinem Tool diese Bereiche verfolgen und darüber berichten? Denn ich denke, es ist wirklich wichtig, dass wir darüber nachdenken, oder? Ähm, und einiges davon wird offline erledigt werden. Vieles davon kann mit den Tools erledigt werden, aber ich halte es für wirklich wichtig. Ich denke, einer der Bereiche, auf den sie jetzt wirklich Wert legen, ist, wenn man sich Nummer E ansieht, die Qualifikationen und Hintergründe des Schlüsselpersonals und andere allgemeine Aussagen zu Personalfragen, aber was sie eigentlich wollen, ist, dass sie sich die Qualifikationen und Erfahrungen der Führungskräfte und anderen Schlüsselpersonen des Drittunternehmens ansehen. Das ist also eine doppelte Aufgabe, die sie uns stellen, richtig? Sie verlangen also von uns, dass wir wirklich eine gründliche Analyse durchführen, wer die Mitarbeiter sind, mit denen wir bei diesem Dritten tatsächlich zu tun haben, richtig? Und wenn Sie das heute noch nicht tun, ist das wahrscheinlich ein Bereich, den Sie wirklich angehen müssen, richtig? Eine weitere Überlegung ist, ob der Dritte über Schulungen verfügt, um sicherzustellen, dass seine Mitarbeiter ihre Pflichten und Verantwortlichkeiten verstehen.

Joseph Martinez: Und dann das Wissen über die geltenden Gesetze und Vorschriften, die für Ihre Tätigkeit gelten, richtig? Ich denke, wir müssen wirklich überdenken, was wir in der Vergangenheit getan haben, was meiner Meinung nach großartig war. Das bedeutet, dass wir uns damit intensiv auseinandersetzen müssen, und es gibt einige Institutionen, die von ihrer Aufsichtsbehörde nur nominell beeinflusst wurden, was ihre Pflichten gegenüber Dritten angeht. Vieles davon wird für sie also wirklich neu sein. Vieles davon wird so sein wie: Oh mein Gott, wie soll ich den Arbeitsablauf dafür gestalten? Wie kann ich das konkret demonstrieren?“ Nun, noch einmal: Diese Dinge sind Richtlinien. Diese Richtlinien werden erneut herausgegeben, damit wir darüber nachdenken können, wie wir tatsächlich auf sehr überzeugende und prägnante Weise ein Programm zusammenstellen können, und dieses Programm muss von der Geschäftsleitung jeder dieser Organisationen bis hinunter zu den Mitarbeitern durchgesetzt werden. Das bedeutet also eine Menge Arbeit, wenn man darüber nachdenkt, und deshalb würde ich Ihnen empfehlen, sich jeden dieser Bereiche genau anzuschauen. Sehen Sie sich die eigentlichen Leitlinien an, und Sie wissen, dass es wichtig ist, zu überprüfen und zu verstehen, was verlangt wird, und Sie wissen, wenn Sie dies tun, wissen Sie, was Sie aus technologischer Sicht nutzen können, um dies viel widerstandsfähiger und viel benutzerfreundlicher zu machen und sicherzustellen, dass Sie in der Lage sind, diese Leitlinien tatsächlich einzuhalten. Wenn wir also zur nächsten Folie übergehen könnten. Wir bewegen uns also von der Planung, die wir hatten, zur Sorgfaltspflicht und kommen nun zur Vertragsverhandlung. Wenn Sie sich das ansehen, werden Sie feststellen, dass es sich um viele Standardinformationen handelt, die aus verschiedenen Überprüfungen stammen, die im Laufe der Jahre durchgeführt wurden, aus den Kommentaren, die sie aus den verschiedenen Inspektionen erhalten haben, die sie durchgeführt haben, und all dies dient im Grunde dazu, ihnen zu helfen, zu sagen: „Okay, das sind die Dinge, über die Sie unserer Meinung nach nachdenken sollten.

Joseph Martinez: Jetzt werden wir Sie daran messen, richtig? Bei Vertragsverhandlungen ist es für eine Bank also hilfreich, die Rechte und Pflichten jeder Partei zu klären und festzulegen, und Sie müssen sicherstellen, dass Sie das auch tatsächlich tun. Daher ist es wichtig, über einen Standard-MSA (Master Service Agreement) oder einen Rahmenkaufvertrag usw. zu verfügen, nicht wahr? Und es ist wichtig, sicherzustellen, dass Sie tatsächlich Leistungsmessungen und Benchmark-Marken darin haben. Sie müssen also die Leistungskennzahlen klar definieren, damit Sie die Leistung des Dritten wirklich bewerten können. Dies ist entscheidend für Service Level Agreements zwischen der Bank und dem Dritten, bei denen Sie wirklich in der Lage sein müssen, ihnen zu zeigen, dass dies die Kennzahlen und Erwartungen sind, die wir an beide Parteien haben, und dann müssen wir konkret nachweisen können, dass wir die Einhaltung von Richtlinien und Verfahren, die Einhaltung geltender Gesetze, und all dies fließt in diesen Prozess ein. Später, wenn Sie zur laufenden Überwachung kommen, wird all dies dann umgesetzt. Aber wenn Sie nicht darüber nachdenken und es nicht in den Vertrag aufnehmen, wird es für Sie schwierig sein, das richtige Maß an Compliance von Ihren Dritten zu erreichen, richtig, während Sie den Prozess durchlaufen? Daher ist es wichtig, die Vertragsbestimmungen zu berücksichtigen, die die Verpflichtungen des Drittanbieters in Bezug auf das, was Sie von ihm erwarten, wann Sie es von ihm erwarten, wie er Ihnen Bericht erstatten soll und welche Rechte Sie als Bank haben, um einzugreifen und ihre Risiken und ihre Leistung zu überwachen und Dinge anzusprechen, die sie Ihnen in Bezug auf Berichte, Daten und Zugriff zur Verfügung stellen müssen. Also all die Dinge, die Sie benötigen, um ein erfolgreiches Programm zu haben. Wenn Sie diese nicht in Ihren Vertrag aufnehmen, wird es für Sie sehr schwierig sein, dies zu erreichen. Und wenn die Aufsichtsbehörden kommen und sich das ansehen, werden sie sagen: „Nun, das ist interessant.“

Joseph Martinez: Sie sagen mir, dass Sie das tun, aber Sie können mir nicht zeigen, wie Sie das tatsächlich tun, da Sie keine Audit-Klausel als Beispiel in Ihrem Vertrag haben. Es ist also wirklich wichtig, dass Sie diese Leistung überwachen, dass Sie dies schriftlich festhalten und dass Sie auch Bestimmungen für unabhängige Audits einfügen, die Sie dort haben können, oder, wenn sie Subunternehmer haben, dass Sie die Möglichkeit haben, sich anzuschauen, was diese tun. Wenn Sie all dies durchgehen, werden Sie feststellen, dass es sich um eine Menge Informationen handelt. Ich habe sie in diesen Stichpunkten zusammengefasst, aber hinter jedem dieser Stichpunkte stehen wieder Seiten über Seiten in der eigentlichen Verordnung. Äh, wissen Sie, und im Wesentlichen müssen Sie sich damit befassen und verstehen, wenn Sie sich die Kosten und die Vergütung ansehen, richtig? Verträge, in denen alle Kosten und Vergütungsvereinbarungen klar beschrieben sind, tragen dazu bei, Missverständnisse und Streitigkeiten über Gebäude zu reduzieren. Und sie tragen dazu bei, dass alle Vergütungsvereinbarungen mit den soliden Bankpraktiken und den geltenden Gesetzen im Einklang stehen. Richtig? Man könnte also endlos darüber reden, was sie von Ihnen erwarten, aber es ist wichtig, dass Sie diese Punkte als grobe Richtlinie betrachten und sich fragen: „Okay, sind diese Punkte in meinen Vertragsvorlagen berücksichtigt?“ Wenn die Antwort „Nein“ lautet, müssen Sie wahrscheinlich darüber sprechen, was Sie tun werden. Aber auch hier gilt: Betrachten Sie die Sache nicht nur oberflächlich. Sie müssen sich intensiv damit auseinandersetzen und verstehen, welche Richtlinien sie festlegen, denn das ist die Mindestanforderung, die sie in Bezug auf das haben, was Sie bedenken sollen. Und wissen Sie, es ist wirklich wichtig, dass diese Bestimmungen wirklich solide sind, und sie werden sich noch einmal ansehen, wie Ihr Mustervertrag aussah und wie der tatsächlich abgeschlossene Vertrag aussieht.

Joseph Martinez: Sie möchten sich also ansehen, dass Sie mir gesagt haben, dass Sie eine Subunternehmerklausel darin hatten, aber wenn ich mir die unterzeichnete Vereinbarung ansehe, wurde diese tatsächlich wegverhandelt. Okay. Also noch einmal: Das ist ein Mannschaftssport. Es ist nicht nur die Aufgabe des Risikomanagementteams für Dritte. Es ist nicht nur die Aufgabe des Unternehmens, nicht nur die Aufgabe der Beschaffungsorganisation oder der Rechtsabteilung. Es gibt viele Akteure, die sich tatsächlich damit befassen müssen, um sicherzustellen, dass wir wirklich dafür sorgen, dass diese Vertragsbestimmungen eingehalten und in die Verträge aufgenommen werden und dass wir sie dann auch tatsächlich nachweisen können. Äh, während wir voranschreiten, ist ein wichtiger Bereich, den sie seit vielen Jahren im Blick haben. Ich habe früher tatsächlich Unternehmensversicherungen verwaltet, und das ist ein Bereich, den sie sich wirklich ansehen wollen, nicht wahr? Und sie wollen verstehen, welche Anforderungen Sie an Ihre Drittparteien stellen, um die festgelegten Arten und Beträge von Versicherungen aufrechtzuerhalten, nicht wahr? Und sie wollen auch sicherstellen, dass Sie als zusätzlicher Versicherter genannt werden. Und wenn nicht, warum nicht, nicht wahr? Sie müssen also nicht nur über eine hohe Revision nachdenken, sondern auch darüber, wie Sie das tatsächlich umsetzen können, damit Sie das durchstehen können. Ein Bereich, auf den sie sich besonders konzentrieren werden, ist die Vergabe von Unteraufträgen, weil sie verstehen wollen, was Sie an diese anderen Organisationen weitergeben, weil dort viel Arbeit zu erledigen ist. Aus Zeitgründen lassen Sie uns bitte zur nächsten Folie übergehen. Okay. Wie Sie wissen, versuchen die Behörden hier nicht, einen bestimmten Ansatz für die laufende Überwachung zu fördern, sondern sie versuchen vielmehr, die Banken dazu zu bewegen, die laufende Überwachung wie jeden anderen Risikomanagementprozess für Dritte zu betrachten. Sie möchten also, dass Sie darüber nachdenken, wie sich dies auf Ihr Programm, die Komplexität Ihrer Organisation und das Risikoprofil Ihrer Organisation auswirkt, richtig?

Joseph Martinez: Und damit möchten sie, dass Sie darüber nachdenken, dass die laufende Überwachung periodisch oder kontinuierlich durchgeführt werden kann. Sie sagen nicht, dass es entweder das eine oder das andere sein muss. Oder sie haben gesehen, dass beides möglich ist und dass eine umfassendere oder häufigere Überwachung angemessen ist, wenn die Beziehung zu Dritten Aktivitäten mit höherem Risiko beinhaltet. Also noch einmal: Sie müssen über eine Methodik verfügen, mit der Sie herausfinden können, wie kritisch die Aktivität tatsächlich ist und wie kritisch der Lieferant ist, damit Sie wissen, dass Ihre laufende Überwachung im Grunde genommen auf diesem Risikoniveau aufbaut, denn wenn Sie etwas Kritisches haben, werden Sie wahrscheinlich eine viel tiefere Einsicht in das haben, was Sie aus Sicht der laufenden Überwachung verwalten möchten. Wenn es sich um einen Punkt mit geringem Risiko handelt, wird es unterschiedliche Unterschiede geben, und sie geben Ihnen diesen Spielraum, um sicherzustellen, dass, wenn Sie tatsächlich über die richtige Methodik verfügen und wenn Sie eine erklärte Risikobereitschaft haben, alles, was über Ihrer Risikobereitschaft liegt, deutlich anders überwacht wird als alles, was innerhalb der Risikobereitschaft liegt oder darunter. Kommen wir bitte zur nächsten Folie. Dies ist eine Art Fortsetzung der laufenden Überwachung. Auch hier gilt: Wenn Sie sich das ansehen, erfahren Sie lediglich, worüber Sie ihrer Meinung nach nachdenken sollten, während Sie diesen Prozess durchlaufen. Und noch einmal: Die Leitlinien besagen, dass die Bankorganisationen Kooperationsvereinbarungen oder die Hinzuziehung externer Parteien in Betracht ziehen können, um die laufende Überwachung zu ergänzen. Das ist insofern neu, als dass Sie tatsächlich einen Dritten hinzuziehen können, der Sie bei diesem Prozess unterstützt. Aber auch hier müssen Sie sicherstellen, dass dieser Dritte tatsächlich Ihren Standards entspricht. Richtig?

Joseph Martinez: Denn wenn man sich das einmal ansieht, dann weiß man, dass die laufende Überwachung es der Bank ermöglicht, sowohl das Ausmaß als auch die Art der Risiken zu betrachten, da sich diese im Laufe der Geschäftsbeziehung ändern können, und dass man daher möglicherweise seine laufenden Überwachungspraktiken entsprechend anpassen muss. Es kann also zu Änderungen kommen, was die Häufigkeit oder die Art der Informationen oder das Ausmaß der Überwachung angeht, je nachdem, wie sich die Beziehung zu diesem Dritten entwickelt. Wenn wir also bitte zur nächsten Folie gehen. Dann können Sie sich ein Bild von der Komplexität der Risiken machen und davon, was sie damit erreichen wollen, richtig? Wenn Sie also beginnen, sich die Bewertungen anzusehen, um zu erfahren, was vor sich geht, möchten sie, dass Sie tatsächlich Effizienzsteigerungen erzielen, aber sie möchten auch sicherstellen, dass Sie einen Prozess befolgen, der wirklich dazu beiträgt, dass Sie die Vorschriften einhalten, richtig? Das wird hier also sehr effektiv dargelegt. Veränderungen in der finanziellen Situation des Dritten, einschließlich der finanziellen Verpflichtungen gegenüber anderen. Auch das können Sie mit Ihrer Risikobewertung der finanziellen Tragfähigkeit nachweisen. Wenn Sie das regelmäßig tun, sollten Sie es nicht nur zu Beginn in der Due-Diligence-Phase tun. Sie müssen das kontinuierlich tun, richtig? Oder relevante Audits, Testergebnisse und andere Berichte, die sich damit befassen, ob der Dritte weiterhin in der Lage ist, Risiken zu managen und vertragliche Verpflichtungen und regulatorische Anforderungen zu erfüllen. Richtig? Sie müssen also darüber nachdenken, wie Sie der Aufsichtsbehörde und dem Vorstand tatsächlich beweisen können, was Sie zu tun versuchen, denn diese Compliance ist wirklich wichtig. Und noch einmal: Sie legen dies nicht in einer vorschreibenden Weise dar, sondern in einer allgemeinen Weise, die logisch sinnvoll ist. Und dann liegt es an Ihnen, dies in Ihr Programm aufzunehmen und in Maßnahmen, Aktivitäten und Berichte umzusetzen, um es zeigen zu können, und wieder kommt es auf den Grad der Komplexität an, den Sie haben.

Joseph Martinez: Es kommt darauf an, welche Faktoren Sie dabei berücksichtigen. Bitte gehen Sie zur nächsten Folie. Wie Sie wissen, ist all dies nur eine Fortsetzung dessen, worüber ich gerade gesprochen habe, und Sie müssen sicherstellen, dass Sie über das erforderliche Ausbildungsniveau verfügen, wenn Sie sagen, dass die Ausbildung den Mitarbeitern der Bankorganisation und Dritten angeboten wird. Nun, wie beweisen Sie das? Können Sie mir zeigen, dass dies tatsächlich geschieht? Richtig? Haben Sie wieder Geheimhaltungsvereinbarungen? Haben Sie Weitergaben, die mit diesem Dritten stattfinden? Richtig? Was passiert mit der Reaktion des Dritten auf Vorfälle oder mit der Geschäftskontinuität? Das ist wirklich wichtig, denn alles, was den Betrieb Ihrer Organisation gefährden könnte, muss berücksichtigt werden. Man kann nicht einfach sagen: „Wir dachten, sie hätten einen Geschäftskontinuitätsplan, aber wir haben ihn nie wirklich getestet.“ Nun, wissen Sie, in meiner Karriere habe ich vor vielen, vielen Jahren gesehen, dass es zwar schöne Business-Continuity-Pläne gab, diese aber in Wirklichkeit nichts dahinter hatten. Damals waren es großartige Powerpoint-Präsentationen, aber als Überschwemmungen kamen, als Erdbeben passierten, ließen Sie die Drittparteien irgendwie im Stich, weil sie nicht wirklich über das Niveau an Plänen und Details verfügten, die tatsächlich umsetzbar waren. Deshalb ist es so wichtig, diese Pläne schriftlich festzuhalten, sie regelmäßig zu überprüfen, vor Ort zu kontrollieren und sicherzustellen, dass man sie hat. Wenn wir nun zur nächsten Folie übergehen, werden Sie sehen, dass die Behörden angesichts des breit angelegten Ansatzes der Leitlinien diese nicht überarbeitet haben, um bestimmte Themen oder Arten von Beziehungen zu behandeln. Okay, das ist wichtig zu beachten. Es gibt also bereits separate Leitlinien zu bestimmten Themen oder Beziehungen in anderen Richtlinien, richtig? Und diese spezifischen Leitlinien bleiben, sofern sie nicht ausdrücklich widerrufen werden, von dieser neuen Leitlinie unberührt.

Joseph Martinez: Wenn es also etwas gibt, das mit der Cybersicherheit zu tun hat, das hier nicht erwähnt wird, dann sind diese Dinge immer noch vorhanden. Auch hier geht es also nur darum, was Sie aus Sicht der laufenden Überwachung beachten müssen. Kommen wir nun zum fünften Teil auf der nächsten Folie des Lebenszyklus. Es geht um die Beendigung, richtig? Und wissen Sie, ich denke immer gerne darüber nach. Es geht entweder um die Beendigung oder um die Verlängerung, richtig? Also, also, also, wissen Sie, eine Bank kann eine Beziehung aus verschiedenen Gründen beenden. Es könnte sein, dass Sie das natürliche Ende erreicht haben und der Vertrag ausläuft. Es könnte ein Vertragsbruch vorliegen. Es könnte sein, dass ein Dritter die geltenden Gesetze oder Vorschriften nicht einhält, oder Sie möchten aus irgendeinem Grund einen anderen Lieferanten finden. Oder Sie möchten diese Aktivität tatsächlich intern durchführen oder in einigen Fällen einstellen. Richtig? Wenn dies geschieht, ist es wichtig, dass das Management der Organisation die Geschäftsbeziehungen auf effiziente und effektive Weise beendet, unabhängig davon, ob die Aktivitäten an einen anderen Dritten übertragen, intern übernommen oder eingestellt werden. Sie müssen all diese Aspekte berücksichtigen, und deshalb haben sie festgelegt, welche Kosten und Gebühren mit dieser Beendigung verbunden sind. Sie wissen, wie Sie mit dem gemeinsamen geistigen Eigentum umgehen werden. Sie müssen also in der Vertragsphase über diese Dinge nachdenken, aber letztendlich werden sie in der Kündigungsphase umgesetzt. Daher ist es für uns wirklich wichtig, darüber nachzudenken. Lassen Sie uns bitte zur nächsten Folie übergehen. Ich weiß, dass uns die Zeit davonläuft. Lassen Sie uns also einen Überblick geben. Wir werden in ein paar Wochen noch einmal genauer darauf eingehen, aber jetzt möchten wir einige Best Practices empfehlen, die die Organisationen und Branchen befolgen können, richtig?

Joseph Martinez: Und wenn man darüber nachdenkt, gibt es mehrere bewährte Verfahren, die Unternehmen aller Branchen im Zusammenhang mit dem Risikomanagement von Drittanbietern befolgen können, nicht wahr? Eines davon ist, dass man wissen muss, wer seine Drittanbieter sind, nicht wahr? Man muss wissen, dass man seine Lieferanten priorisieren muss, nicht wahr? Sie müssen sicherstellen, dass Sie Ihre Lieferanten kontinuierlich überwachen, und wie erreichen Sie das? Sie müssen Ihre Prozesse automatisieren, nicht wahr? Unabhängig davon, wie die Bankorganisation den Prozess strukturiert, sind die von mir erwähnten Praktiken allgegenwärtig und müssen durch Aufsicht und Rechenschaftspflicht, unabhängige Überprüfungen, Dokumentation und Berichterstattung durchdacht werden. Und das wird uns dann irgendwie beruhigen, was wir denken, richtig? Es gibt also verschiedene Möglichkeiten, wie die Organisationen dies tatsächlich mit ihren Prozessen umsetzen können. Sie wissen also, die Rechenschaftspflicht liegt also bei der Geschäftslinie, und Sie wissen das aus der Perspektive der ersten Verteidigungslinie, aber die Bankorganisation, wissen Sie, ich habe gesehen, dass Banken diesen Prozess zentralisiert haben, und manchmal ist es die Compliance, manchmal ist es die Informationssicherheit, manchmal ist es die Beschaffung, manchmal sind es andere Risikofunktionen, aber wieder ist es für uns wirklich wichtig, darüber nachzudenken, dass dieses Programm ausgereift ist, dass dieses Programm tatsächlich etabliert ist und dass dieses Programm so ist, dass es selbst auditierbar ist. Wenn wir also zur nächsten Folie gehen, beginnt dies beim Vorstand, richtig? Und letztendlich ist der Vorstand dafür verantwortlich, festzulegen, wie diese Vision aussehen soll, richtig? Daher ist es für uns wirklich wichtig, über die Beziehungen nachzudenken, die sie haben, richtig? Eine angemessene Aufsicht und Rechenschaftspflicht sind wichtige Aspekte jedes Programms, unabhängig davon, ob es sich um das Risikomanagement von Dritten handelt oder nicht, richtig? Der Vorstand der Bank trägt also die letztendliche Verantwortung und wird das Management dafür zur Rechenschaft ziehen. Richtig?

Joseph Martinez: Der Vorstand wird also klare Leitlinien vorgeben und Ihnen dabei helfen, die akzeptable Risikobereitschaft festzulegen. Er wird die Richtlinien genehmigen und sicherstellen, dass geeignete Verfahren und Praktiken eingeführt werden. Aber letztendlich betrachten sie die Dinge auf einer ausreichend hohen Ebene und mit ausreichender Unabhängigkeit, um das Schiff in die richtige Richtung zu lenken. Bei der Wahrnehmung seiner Aufgaben berücksichtigt der Vorstand oder sein designierter Ausschuss in der Regel viele der Faktoren, die Sie dort sehen. Sie prüfen beispielsweise, ob die Beziehungen zu Dritten in einer Weise gepflegt werden, die mit den strategischen Zielen oder Visionen der Bank im Einklang steht. Sie legen also fest, wie die Vision aussieht und wie sie umgesetzt werden soll. Wenn Sie zur nächsten Folie übergehen, sehen Sie, dass die Geschäftsleitung diese Vision dann tatsächlich umsetzen muss, richtig? Das Management hat also wirklich diese Governance- und Aufsichtspflicht, und es ist wirklich wichtig, dass sie das tun. Ich habe diese Punkte noch einmal aufgelistet, Sie bekommen eine Kopie davon. Ich möchte nicht jeden einzelnen Punkt durchgehen, aber es ist wichtig, dass Sie so etwas wie einen Ausschuss für das Risikomanagement von Dritten haben, damit Sie wissen, dass Sie das Risikomanagement von Dritten in denRisikomanagement in den gesamten Risikomanagementprozess der Bank integriert, dass die Verträge mit Dritten angemessen geprüft, genehmigt und ausgeführt werden, sodass es nicht nur darum geht, dass jemand ein Stück Papier unterschreibt. Es gibt tatsächlich Überlegungen, die auf dem Risikoniveau, dem Dollarbetrag und der Komplexität basieren. Was Sie also tun, ist, dass das Management dafür verantwortlich ist, diesen Prozess zu schaffen, um sicherzustellen, dass er funktioniert. Wenn wir uns nun die nächste Folie ansehen, dann ist dies der Zeitpunkt, an dem Sie über unabhängige Überprüfungen nachdenken, richtig? Daher ist es für Bankorganisationen wichtig, regelmäßige unabhängige Überprüfungen durchzuführen, um die Angemessenheit ihrer Prozesse zum Management von Dritten zu bewerten. Und hier kommt es wirklich darauf an, denn hier kommt Ihre dritte Verteidigungslinie ins Spiel.

Joseph Martinez: Sie schauen sich an, wie Ihre Organisation tatsächlich aufgebaut ist und ob sie die bekannten Anforderungen erfüllt, ob Sie das tun, was Sie sagen, dass Sie tun werden, ob Sie es gut machen und ob Sie es auf einem Niveau tun, das nicht nur die Mindestanforderungen erfüllt, sondern tatsächlich ein Programm umfasst, das Ihnen hilft, die Risiken, denen Sie ausgesetzt sind, zu reduzieren und zu verstehen. Sie wissen also, dass das Management die Ergebnisse dieser unabhängigen Überprüfung nutzen wird, um zu entscheiden, ob und wie es seinen Prozess und sein Programm zum Risikomanagement für Dritte anpassen muss. Müssen wir unsere Richtlinien ändern? Wie sieht es mit unserer Berichterstattung aus? Verfügen wir über die richtigen Ressourcen mit dem richtigen Maß an Fachwissen? Verfügen wir über die richtigen Kontrollen? Es ist wichtig, dass das Management umgehend und gründlich auf alle identifizierten Probleme oder Bedenken reagiert und diese gegebenenfalls an den Vorstand weiterleitet. Auch hier gibt es wieder viele Details, aber ich wollte sicherstellen, dass ich darauf hinweise, damit wir darüber nachdenken. Übrigens gilt dies für alle Branchen. Das betrifft nicht nur Banken. Wissen Sie, das ist eine bewährte Praxis. Und wenn wir dann zur nächsten Folie übergehen, denken wir über die Dokumentation und Berichterstattung nach, richtig? Es gibt hier eine Menge Dinge, aber Dokumentation und Berichterstattung sind wirklich die Schlüsselelemente, die denjenigen innerhalb und außerhalb einer Organisation helfen, die Aktivitäten durchzuführen und zu kontrollieren. Je nach Risiko und Komplexität der Beziehungen zu Dritten müssen also viele verschiedene Aktivitäten durchgeführt werden. Wenn wir also über die aktuelle Bestandsaufnahme aller Beziehungen zu Dritten sprechen, dann wissen Sie, dass uns das wirklich hilft, diejenigen Beziehungen klar zu identifizieren, die mit risikoreicheren Aktivitäten verbunden sind, einschließlich kritischer Aktivitäten.

Joseph Martinez: Wenn Sie also keine Möglichkeit haben, Ihren Bestand konkret darzustellen, und dieser Bestand dann anhand Ihrer Methodik überprüft wird, um im Rahmen Ihres Risikobewertungsprozesses herauszufinden, ob Sie etwas haben, das über Ihrer Risikobereitschaft liegt. Wissen Sie, es wird wahrscheinlich nicht gut enden für die Gruppe. Ähm, wissen Sie, es ist auch wichtig, dem Vorstand regelmäßig Bericht zu erstatten. Äh, und das gilt für alle Abhängigkeiten, die Sie von einem einzelnen Anbieter haben. Wenn es mehrere Aktivitäten mit einem Anbieter gibt, der finanzielle Probleme hat. Ähm, wissen Sie, wenn einer Ihrer Pri-uh-Anbieter zum Beispiel Cyberangriffe und solche Dinge erlebt hat, richtig? Es ist also wirklich wichtig, dass Sie sich überlegen, wie Sie über die richtigen Abhilfemaßnahmen verfügen, wissen Sie, wer für die Arten von Berichten zuständig ist, die von Dritten usw. erstellt werden. Und ähm, wissen Sie, wenn wir uns bitte die nächste Folie ansehen. Also, wirklich, jede Behörde überprüft das Risikomanagement der von ihr beaufsichtigten Bankorganisationen und deren Beziehungen zu Dritten als Teil ihres Standardprozesses, richtig? Bei den aufsichtsrechtlichen Überprüfungen werden also die Risiken und die Wirksamkeit Ihres Risikomanagements bewertet. Das Management bewertet, ob Ihre Aktivitäten auf sichere und solide Weise durchgeführt werden und ob Sie tatsächlich die geltenden Gesetze oder Vorschriften einhalten. Bei ihren Bewertungen wird also wirklich berücksichtigt, was Sie bei der Einbindung verschiedener Dritter tun, denn nicht alle Beziehungen zu Dritten bergen die gleichen Risiken. Verstehen Sie tatsächlich, wie Sie Ihre Praktiken an die bestehenden Risiken anpassen können, und verfügen Sie tatsächlich über ein Programm, das konkret, messbar und wiederholbar ist? Richtig? Also, ähm, ich weiß, dass uns die Zeit davonläuft. Lassen Sie uns bitte zur nächsten Folie übergehen. Können Sie mich hören?

Scott Lang: Ja, wir können dich hören, Joe.

Joseph Martinez: Gut. Gut. Ja. Also, wissen Sie, eines der Dinge, über die wir meiner Meinung nach nachdenken sollten, ist, dass Sie, wenn Sie Ihre Risikomanagementprozesse überprüfen und bewerten, sicherstellen müssen, dass alles, was Sie tun, nicht nur dazu beiträgt, die Verpflichtungen zu erfüllen, die Sie im Namen Ihres Unternehmens haben, sondern auch im Namen Ihrer Kunden, richtig? Und wie gestalten Sie Ihren Prozess tatsächlich, um Ihre Kunden zu schützen und ihnen einen fairen Zugang zu Ihren Finanzdienstleistungen zu ermöglichen? Es geht also nicht nur darum, Vorschriften zu machen. Es geht darum, wie Sie damit tatsächlich Geld verdienen können. Wie können Sie damit ein besseres Kundenerlebnis schaffen? Ich weiß, dass wir wenig Zeit haben. Äh, warum springen wir nicht zur nächsten Folie, bitte? Also, ich wollte, dass Sie über einige der Best Practices nachdenken, über die man nachdenken sollte. Und eine davon ist, wie man tatsächlich das richtige Maß an Rahmenbedingungen schafft. Wenn man also die richtige Aufsicht und Governance hat, hat man auch die Tools und Kontrollen und verfügt über die Analysen und umsetzbaren Berichte, richtig? Wie legt man das so an, dass es angemessen ist? Ich möchte nun zu einigen Fragen kommen. Warum gehen wir nicht zur nächsten Folie über? Hier geht es eigentlich um die drei Verteidigungslinien. Wenn Sie schon länger als einen Tag im Bankwesen tätig sind, wissen Sie das wahrscheinlich, aber lassen Sie uns weitermachen, und ich habe das hier eingefügt, weil ich denke, dass es wichtig ist, dass wir über dieses Framework nachdenken. In unserer nächsten Sitzung werden wir uns näher damit befassen. Nächste Folie. Hier sind einige empfohlene Best Practices, die Unternehmen aller Branchen befolgen können. Hier sehen Sie ein allgemeines Betriebs-Framework. Hier sind die Risiken, mit denen wir uns befassen. Hier sind die Ziele, und hier sehen Sie eine Risikobewertung durch Dritte und die Maßnahmen in dieser Risikobewertung und wie wir das tatsächlich umsetzen können. Wenn wir bitte zur nächsten Folie übergehen könnten, hier geht es darum, die Grundlagen zu nutzen, damit wir tatsächlich darüber nachdenken können. Der zweite Punkt, den ich mit einem Kasten markiert habe, ist die Segmentierung und das Onboarding, denn die Klassifizierung Ihrer Partner und die Art und Weise, wie Sie diese Methodik tatsächlich umsetzen, sind wirklich grundlegend dafür, wie Sie das Management und die Überwachung über den gesamten Lebenszyklus hinweg tatsächlich durchführen können. Äh, nächste Folie. Wir müssen also über die regulatorischen Anforderungen hinausdenken, denn es geht hier nicht darum, einfach nur ein paar Kästchen anzukreuzen, oder? Sie müssen also darüber nachdenken, wie Sie das Wissen und die Fachkompetenz Ihres Unternehmens schützen können. Haben Sie Abhängigkeiten von Dritten geschaffen, die nun zu einem Problem für Sie werden, wenn diesen Dritten etwas zustößt? Ist die Qualität Ihrer Dienstleistungen durchgängig mit der Ihrer Dritten konsistent? Und haben Sie die Gesamtkosten bewertet? Gibt es zusätzliche oder versteckte Kosten, die Sie berücksichtigen müssen, weil Sie vertraglich etwas vereinbart haben, aber wenn Sie dann zurückkommen und Ihr Programm umsetzen wollen, werden Sie feststellen, dass Ihre Lieferanten sich dagegen wehren werden. Und haben Sie auch die Erhöhung der operativen Risiken berücksichtigt? Denn all das ist wirklich wichtig für uns, darüber nachzudenken, denn wenn wir nicht über die regulatorischen Anforderungen hinausdenken, wenn wir nicht darüber nachdenken, wie wir ein Programm tatsächlich zusammenstellen, dann erhöhen wir letztendlich unser Risiko. Wir verfehlen dann die Richtlinien und das wirkt sich auf unseren Gewinn pro Aktie und unseren Ruf in der Branche aus. Also, warum gehen wir nicht zur nächsten Folie über? Kommen wir zu einigen Fragen und Antworten. Ich weiß, dass ich einige dieser Folien ziemlich schnell durchgegangen bin. Wir wollten eine zweite Sitzung einplanen, in der wir uns eingehender mit dem Thema befassen, aber es gab so viel, was ich behandeln wollte, um sicherzustellen, dass Sie alles sehen konnten, denn es ist wirklich wichtig, dass wir darüber nachdenken. Äh, weil diese neuen Richtlinien gerade erst herausgekommen sind, und wie Sie wissen, werden sie, sobald sie herauskommen, in kurzer Zeit veröffentlicht werden, und dann wird man sehen, wie Sie das Programm an die neuen Richtlinien anpassen. Also, äh, haben wir irgendwelche Fragen dazu?

Ashley: Hey, danke Joseph. Äh, Scott, hast du noch ein paar abschließende Gedanken dazu? Es tut mir leid, Leute. Ich weiß, wir hatten nicht wirklich Zeit für Fragen, aber Joseph wird in einem kommenden Webinar einen zweiten Teil machen, und dort werden wir noch mehr zu diesen Informationen sagen können. Scott.

Scott Lang: Äh, nein, sonst nichts für mich. Wir können, äh, wir können weitermachen.

Ashley: In Ordnung. Vielen Dank für Ihre Teilnahme. Ich wünsche Ihnen noch einen schönen Tag und ein schönes Wochenende und freue mich darauf, Sie beim nächsten Webinar wiederzusehen. Bis dann.