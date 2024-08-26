Das Risikomanagement für Drittparteien bleibt eine der obersten Prioritäten für US-Bundes- und Landesaufsichtsbehörden, die kürzlich Durchsetzungsmaßnahmen gegen Finanzinstitute verhängt haben. Dies führte zu zivilrechtlichen Geldstrafen in Millionenhöhe wegen Verstößen gegen das Bankgeheimnisgesetz (Bank Secrecy Act, BSA) und wegen unzureichender Kontrollen des Risikomanagement für Drittparteien.
Aktionen aus der jüngsten Vergangenheit zeigen, dass die Aufsichtsbehörden Finanzinstitute zunehmend für ihre Beziehungen zu Dritten, einschließlich Fintech-Unternehmen, zur Verantwortung ziehen. Aufsichtsbehörden erwarten, dass Institutionen risikobasierte Praktiken etablieren, um eine angemessene Due Diligence bei diesen Dritten durchzuführen und die Risiken dieser Beziehungen kontinuierlich zu überwachen, zu bewerten und zu kontrollieren.
In den vergangenen 18 Monaten haben die Aufsichtsbehörden ihren Fokus verstärkt und detaillierte Leitlinien sowie mehrere Einverständniserklärungen zum Risikomanagement durch Dritte herausgegeben.
Im Juni 2023 veröffentlichten das Office of the Comptroller of the Currency (OCC), das Federal Reserve Board und die Federal Deposit Insurance Corporation (FDIC) behördenübergreifende Leitlinien zum Risikomanagement von Finanzinstituten für Drittparteien. Diese Leitlinien dienen als Roadmap, die die Grundlage für die regulatorischen Erwartungen bildet. Sie zielen darauf ab, die mit den Beziehungen zu Dritten verbundenen Risiken und Best Practices effektiv zu managen.
Weniger als ein Jahr später erließ das US-amerikanische Office of the Comptroller of the Currency (OCC) ein sogenanntes Consent Order (eine Vereinbarung zwischen einer Bank oder Finanzinstitution und der Aufsichtsbehörde (OCC), in der die Bank zustimmt, bestimmte Auflagen zu erfüllen, um gesetzliche oder aufsichtsrechtliche Probleme zu beheben, ohne dass es zu formellen rechtlichen Verfahren kommt) gegen eine regionale Bank im Südatlantik, nachdem sie Schwächen in ihrem Drittanbieter-Risikomanagementprogramm festgestellt hatte.
Die FDIC stellte fest, dass ein Fintech-Unternehmen aus dem Nordosten der USA unsichere und unzulängliche Bankpraktiken anwandte. Sie erließ eine Einverständniserklärung, die sich unter anderem auf das Versäumnis der Bank bezog, interne Kontrollen und Informationssysteme einzurichten, die ihrer Größe angemessen waren. Die Erklärung befasste sich auch mit der Art, dem Umfang, der Komplexität und dem Risiko ihrer Beziehungen zu Dritten.
Die FDIC erließ außerdem eine Einverständniserklärung, in der sie eine Regionalbank im Mittleren Westen anwies, geeignete Richtlinien und Verfahren für das Risikomanagement von Dritten zu entwickeln. Darüber hinaus forderte sie eine Verbesserung der Sorgfaltspflicht und Überwachung von Dritten, die Aufgaben im Bereich der Bekämpfung von Geldwäsche (AML) und Terrorismusfinanzierung (CFT) wahrnehmen.
Institutionen greifen häufig auf externe Dienstleister zurück, um ihre FCC-Kontrollen durchzuführen. In der Vergangenheit beschränkten sich die Dienstleistungen Dritter auf die Identifizierung negativer Nachrichten, die Überprüfung von Sanktionen und die Überwachung von Transaktionen. In jüngster Zeit wurden diese Dienstleistungen um Prozesse wie die Überprüfung der Kundenidentität, die elektronische Datenprüfung, generative künstliche Intelligenz im Bereich der erweiterten Sorgfaltspflicht, die Untersuchung von Warnmeldungen und Risikobewertungen erweitert.
Institutionen verfügen möglicherweise über strenge interne Prozessüberwachungsmaßnahmen. Ohne die Ausweitung dieser Standards und Praktiken auf Dritte besteht jedoch das Risiko, dass Unternehmen falsche Kunden einbinden, unangemessene Warnmeldungen schließen oder es versäumen, eine Warnmeldung über verdächtige Aktivitäten einzureichen. Institutionen, die angemessene Sorgfaltsprüfungen oder regelmäßige Risikobewertungen von Lieferanten durchführen, können Compliance-Risiken für Drittparteien vermeiden.
Trotz der Vorteile, die sich aus der Zusammenarbeit mit Dritten ergeben, ist es unerlässlich, dass Finanzinstitute die mit Dritten verbundenen FCC-Risiken erkennen, berücksichtigen und steuern. Zu diesem Zweck müssen sie ein Risikomanagementprogramm für Dritte implementieren, das die Steuerung von Risiken und die Überwachung der Aktivitäten Dritter erleichtert, um die Einhaltung ihrer regulatorischen Verpflichtungen sicherzustellen.
Der Lebenszyklus zur Gewährleistung einer angemessenen Überwachung und Verwaltung von Drittanbietern umfasst drei wesentliche Komponenten des Risikomanagements: Due-Diligence-Prüfung, kontinuierliche Überwachung und Risikobewertung.
Viele Finanzinstitute können ihre Standard-Compliance-Prüfung im Rahmen der Sorgfaltspflicht während der Vertragsphase mit einem neuen Drittpartner verbessern. Wie in den aktuellen behördenübergreifenden Leitlinien beschrieben, umfasst dies die Bewertung der Wirksamkeit des gesamten Risikomanagements eines Drittpartners, einschließlich Richtlinien, Prozessen und internen Kontrollen. Dazu gehört auch die Überprüfung der Übereinstimmung mit den Richtlinien und Erwartungen in Bezug auf die jeweilige Aktivität.
Die Due Diligence sollte auch eine Überprüfung der eingesetzten Technologien umfassen, um festzustellen, ob die Partei möglicherweise neue oder andere Risiken einführt. Die Compliance-Abteilung des Finanzinstituts kann erste Tests durchführen, um die Qualität der angebotenen Dienstleistungen zu überprüfen. Dies geschieht auch, um sicherzustellen, dass die Drittpartei innerhalb der Risikotoleranzschwelle des Instituts operieren kann.
Die behördenübergreifenden Richtlinien legen Standards für Informationssicherheit, Sicherheit und Stabilität fest, um die kontinuierliche Überwachung von Best Practices zu gewährleisten. Die Aufsichtsbehörden erwarten von den Finanzinstituten, dass sie die Leistung von Dritten während der gesamten Geschäftsbeziehung überwachen. Damit soll sichergestellt werden, dass sie die Erwartungen erfüllen, notwendige Änderungen in der Beziehung aufgedeckt und die daraus resultierenden Änderungen der Risiken und ihrer Kontrollen ermöglicht werden. Zu den wichtigsten Aktivitäten des Risikomanagements in der laufenden Überwachungsphase gehören:
Ein Finanzinstitut kann sein Risikoprofil besser bestimmen, um Compliance-Risiken im Zusammenhang mit Finanzkriminalität genauer zu identifizieren, indem es die bestehenden jährlichen AML- und BSA-Risikobewertungen verbessert. Es kann Risiken identifizieren, die von Dritten ausgehen, und Kontrollen einführen, um diese Risiken zu mindern. Außerdem kann es Beziehungen zu regulatorischen Anforderungen abbilden und wichtige Datenpunkte von Dritten dokumentieren.
Nicht alle Drittparteien können die Due Diligence und Überwachung gewährleisten, aber eine Bewertung der Gesamtrisiken Dritter kann einer Organisation helfen, den geeigneten risikobasierten Ansatz zu finden.
Unser Team aus Experten optimiert und verbessert Risikomanagementprogramme von Drittanbietern. Unsere Beratungsleistungen können Ihrem Unternehmen dabei helfen, Richtlinien und Verfahren zum Risikomanagement für Dritte zu bewerten. Wir können auch die Abdeckung Ihres AML-Programms im Hinblick auf das Risikomanagement von Dritten bewerten, um sicherzustellen, dass es der Risikotoleranz Ihres Unternehmens entspricht.
IBM® Promontory kann Sie bei der Entwicklung von Due Diligence bei der Bekämpfung von Geldwäsche (AML) und eines laufenden Überwachungsprogramms unterstützen, um die Einhaltung der Gesetze zur Bekämpfung von Geldwäsche durch Dritte, die im Auftrag Ihres Unternehmens handeln, sicherzustellen. IBM Promontory kann Ihre mit Dritten verwendeten Vertragsvorlagen bewerten, um sicherzustellen, dass diese Kontrollen zur Bekämpfung von Geldwäsche berücksichtigen. Außerdem kann IBM Promontory Governance-, Berichts- und Risikominderungsverfahren für Dritte entwickeln, die eine Rolle bei der Durchführung von Kontrollen zur Bekämpfung von Geldwäsche haben.
In Zusammenarbeit mit IBM ist IBM Promontory einzigartig positioniert, um automatisierte Datenanalysen, KI-generierte Zusammenfassungen und Clustering sowie KI-gestützte Berichterstellung anzubieten. IBM watsonx Discovery kann große Datenmengen im Zusammenhang mit Dritten analysieren, darunter Due-Diligence-Informationen, Transaktionsaufzeichnungen und Organisationsdokumente. Das Tool kann Muster, Anomalien und Zusammenhänge identifizieren, die für menschliche Analysten möglicherweise nicht erkennbar sind. Es kann auch Visualisierungen und Zusammenfassungen bereitstellen. Diese Funktion ermöglicht die Ermittlung von Schlüsselfaktoren, die für die Due Diligence und die Risikobewertung relevant sind.
IBM Cloud Pak for Data kann dabei helfen, Dritte anhand ihrer Daten, Risikobewertungen und anderer relevanter Faktoren zusammenzufassen und zu gruppieren. Das Tool kann auch Empfehlungen zur Behebung der zugrunde liegenden Probleme geben, wie z. B. verbesserte Überwachung oder Offboarding. IBM Cognos Analytics kann detaillierte Berichte über Trends und Muster bei Dritten erstellen, die der Geschäftsleitung, Aufsichtsbehörden und anderen Stakeholdern als Informationsgrundlage dienen können.
Die Aufsichtsbehörden haben deutlich gemacht, dass sie sich darauf konzentrieren, wie Institutionen mit Risiken durch Finanzkriminalität Dritter umgehen. Finanzinstitute benötigen effiziente und effektive Programme, um Due-Diligence-Prüfungen bei Dritten durchzuführen und die aus diesen Beziehungen resultierenden Risiken kontinuierlich zu überwachen, zu bewerten und zu kontrollieren.