BCBS-Grundsätze zum Management von Drittparteirisiken

Der Basler Ausschuss für Bankenaufsicht (BCBS) hat im Juli 2024 Grundsätze für ein solides Management von Drittparteirisiken im Bankensektor zur Konsultation gestellt.

Die zunehmende Abhängigkeit von Drittanbietern im Finanzsektor hat das Risikomanagement von Drittparteien zu einem zentralen Thema für Banken und Finanzinstitute gemacht. Der Basler Ausschuss für Bankenaufsicht (BCBS) hat daher ein Konsultationspapier veröffentlicht, das neue Richtlinien und Empfehlungen für das Management von Drittparteirisiken enthält. Dieses Papier soll Banken dabei unterstützen, ihre Zusammenarbeit mit Drittanbietern sicher und effektiv zu gestalten.

Die Grundsätze sollen Banken und Aufsichtsbehörden eine Orientierungshilfe für ein wirksames Risikomanagement von Drittparteirisiken bieten und die Banken dabei unterstützen, Betriebsstörungen zu widerstehen sowie die Auswirkungen schwerwiegender Störfälle zu mindern. Das Konsultationspapier beinhaltet zwölf übergeordnete Grundsätze, die Banken und Aufsichtsbehörden eine Orientierungshilfe bieten sollen.

Die Schlüsselbereiche des Konsultationspapiers

Das Konsultationspapier des BCBS deckt mehrere zentrale Themenbereiche ab, die Banken berücksichtigen müssen:

1. Identifikation und Klassifizierung von Drittparteirisiken

Banken sollten alle Drittparteien, mit denen sie zusammenarbeiten, systematisch identifizieren und die mit ihnen verbundenen Risiken bewerten. Das BCBS empfiehlt dabei die Einführung eines Risikoklassifikationssystems, das Risiken nach ihrer Kritikalität und potenziellen Auswirkungen bewertet.

2. Risikobewertung und Due Diligence

Vor der Zusammenarbeit mit einem Drittanbieter ist eine umfassende Due-Diligence-Prüfung erforderlich, um sicherzustellen, dass der Anbieter alle rechtlichen und regulatorischen Anforderungen erfüllt und keine schwerwiegenden Risiken für das Unternehmen darstellt. Dieser Prozess sollte nicht nur bei der Erstbewertung, sondern auch kontinuierlich während der gesamten Geschäftsbeziehung durchgeführt werden.

3. Vertragsmanagement

Verträge mit Drittparteien sollten klare Klauseln enthalten, die die Verantwortung und Haftung beider Parteien regeln. Dazu gehört auch die Festlegung von Sicherheitsstandards, Notfallplänen und Service-Level-Agreements (SLAs), um den Betrieb auch im Falle von Störungen sicherzustellen.

4. Kontinuierliches Monitoring und Risikomanagement

Ein zentraler Bestandteil des Drittparteimanagements ist das kontinuierliche Monitoring der Leistung und Risiken des Drittanbieters. Das Konsultationspapier betont die Notwendigkeit, regelmäßige Überprüfungen und Audits durchzuführen, um sicherzustellen, dass die Drittparteien weiterhin die regulatorischen und operativen Anforderungen erfüllen.

5. Risikominderung und Krisenmanagement

Selbst bei sorgfältigem Management können Risiken niemals vollständig ausgeschlossen werden. Deshalb sollten Banken Notfallpläne entwickeln, um auf Störungen oder Zwischenfälle mit Drittanbietern schnell reagieren zu können. Diese Pläne sollten auch Exit-Strategien umfassen, falls die Zusammenarbeit mit einem Drittanbieter beendet werden muss.

Conclusio

Das Drittparteienrisikomanagement hat sich zu einem zentralen Fokusthema für Aufsichtsbehörden entwickelt, da die Risiken, die aus der Zusammenarbeit mit externen Dienstleistern entstehen, zunehmend komplexer und weitreichender werden. Banken sind heute mehr denn je auf Drittparteien angewiesen, sei es für IT-Dienstleistungen, Cloud-Lösungen oder spezialisierte Beratungen. Diese Verlagerung von Kernaktivitäten auf externe Partner erhöht jedoch das Risiko von Sicherheitslücken, Betriebsunterbrechungen und regulatorischen Verstößen.

Die Aufsichtsbehörden und der BCBS reagieren auf diese Entwicklungen, indem sie klare Vorgaben formulieren und von den Instituten erwarten, dass sie verstärkte Maßnahmen ergreifen, um diese Risiken systematisch zu überwachen und zu managen. Dieser verstärkte Fokus zeigt, dass Drittparteienrisiken nicht länger als Randthema betrachtet werden, sondern als integraler Bestandteil eines umfassenden Risikomanagements.