Samstag, 15. Dezember 2018

Zentrale Anforderungen an die Blackbox „Weiterverlagerungen“

Lukas Walla, Berater, FCH Consult GmbH

An die Steuerung von Auslagerungen sowie sonstigen Fremdbezügen wurden mit der MaRisk-Novelle 2017 weitergehende Anforderungen formuliert. Diese waren nun bis spätestens 31.10.2018 umzusetzen, ohne dass offiziell kommuniziert wurde, bei welchen Anforderungen es sich um tatsächliche Neuerungen handelt. Als solche ist sicherlich das zentrale Auslagerungsmanagement zu bewerten, welches Prozesse implementieren und überwachen soll, um eine angemessene und wirksame Dienstleistersteuerung zu garantieren.

Dabei waren insbesondere in der Vergangenheit Weiterverlagerungen für viele Institute eine Blackbox und wurden nur unzureichend gesteuert. Dies wurde ebenfalls in diversen Sonderprüfungen der BaFin festgestellt, was nun aktuell zu einer verstärkten Prüfung der Dienstleistersteuerung und neuen Vorgaben z. B. durch EBA führt. Die Interne Revision sollte dieses Problemfeld in den anstehenden Prüfungen der Dienstleistersteuerung intensiv beleuchten.

Vertragliche Gestaltungsmöglichkeiten

Bei einer Weiterverlagerung handelt es sich um eine Weitergabe von ausgelagerten Prozessen durch den Dienstleister an einen Sub-Dienstleister. Gem. AT 9 Tz. 8 MaRisk sind hier konkrete Voraussetzungen zu formulieren, wann eine Weiterverlagerung von (Teil-)Prozessen gestattet wird. Im Idealfall wird ein Zustimmungsvorbehalt vereinbart, der jedoch in der Praxis nicht immer durchzusetzen ist. Alternativ können vertraglich bereits Prämissen vereinbart werden, unter welchen eine Weiterverlagerung aus Risikogesichtspunkten gestattet wird. Insbesondere die Weiterverlagerung ohne Zustimmungsvorbehalt in ein Nicht-EU Land sollte vermieden werden. Weiterhin kann beispielsweise die Weitervergabe bestimmter Prozessschritte ausgeschlossen oder explizit gestattet werden. Grundsätzlich ist zu vereinbaren, dass die Pflichten des Auslagerungsunternehmens auf den Sub-Dienstleister übergehen. Das Institut ist hier nicht mehr Vertragspartner und verliert somit auch ggf. die direkten Durchgriffsrechte. Eine Informationspflicht vor Weiterverlagerung ist in jedem Fall verpflichtend und unbedingt notwendig, um die Risikosituation neu einschätzen zu können. Für eine funktionierende Informationsweitergabe durch den Dienstleister sollte die Begrifflichkeit „Auslagerung“ möglichst vermieden werden und auf Vertragspartner abgestellt werden. Somit kann die Vollständigkeit und die letztendliche Beurteilung, ob eine risikobehaftete Weiterverlagerung stattgefunden hat, beim Institut bleiben.

Konsequente Steuerung von Weiterverlagerungen

Nach Bekanntwerden der Weiterverlagerung ist durch das Institut eine neue Risikoanalyse für den Sub-Dienstleister zu erstellen. Denkbar ist ebenfalls eine Aktualisierung der ursprünglichen Risikoanalyse, was jedoch dazu führt, dass die erste und somit auch umfassende Risikoanalyse anzupassen ist. Ebenso wird bei einer Weiterverlagerungskette die Übersichtlichkeit verloren gehen. Die Erstellung einer eigenständigen Risikoanalyse nach der institutsweiten einheitlichen Methodik erlaubt eine nachvollziehbare Einstufung der Wesentlichkeit für die weitergegebenen Prozessschritte.

SEMINARTIPPS

Umsetzungsprüfung neuer AT 9, 18.03.2019, Frankfurt/M.

Kritische Analyse/Plausibilisierung von Dienstleister-Prüfberichten, 19.03.2019, Frankfurt/M.

PraxisFalle IT-Dienstleistungen: Sonstiger Fremdbezug vs. Auslagerung, 03.04.2019, Köln.

Risikoanalysen bei Auslagerungen, 20.05.2019, Frankfurt/M.

Kontrollen in der regulatorisch neugeordneten Dienstleistersteuerung, 21.05.2019, Frankfurt/M.

Je nach festgestelltem Risiko sind die weiterverlagerten Prozesse zu steuern und zu kontrollieren. Dabei verbleibt die Berichtspflicht für die Sub-Dienstleister beim Auslagerungsunternehmen. Beim Reporting durch das Auslagerungsunternehmen ist darauf zu achten, dass das auslagernde Institut jederzeit in der Lage ist, selbst die Risikosituation einzuschätzen. Der Umfang ergibt sich hierbei aus der in der Risikoanalyse festgestellten Risiken und dem Schadenspotenzial.

Die Weiterverlagerungsketten sind letztlich übersichtlich im Auslagerungsregister zu dokumentieren und potenzielle Risikokonzentrationen sind zu bewerten.

Ausblick

Die EBA Guidelines on Outsourcing Arrangements werden weitere (neue) Anforderungen und Konkretisierungen mit sich bringen. Mit der Veröffentlichung der finalen Guidelines ist voraussichtlich Anfang 2019 zu rechnen. Die Neuerungen sollten möglichst schnell analysiert werden, um z. B. bei den aktuellen Vertragsanpassungen bereits die weitergehenden Anforderungen zu berücksichtigen zu können.

PRAXISTIPPS

Verschaffen Sie sich einen Überblick über sämtliche Weiterverlagerungen. Verfolgen Sie die Weiterverlagerungskette risikoorientiert weiter, mindestens jedoch bis zu 3. Ebene.
Erstellen Sie für die Weiterverlagerung eigene Risikoanalysen und implementieren Sie angemessene Kontrollprozesse.
Kontrollieren Sie die Auslagerungsverträge auf entsprechende passende Klauseln.
Beschränken Sie sich im Vertragswerk nicht auf die Begrifflichkeit „Auslagerung“.
Die Interne Revision sollte die Steuerung von Weiterverlagerungen mit besonderem Fokus prüfen.
Erstellen Sie ein umfangreiches Auslagerungsregister, welches bereits die Anforderungen der EBA Guideline berücksichtigt.

Beitragsnummer: 1014

Ein eigenes MeinFCH-Konto ist zwingend Voraussetzung, wenn Sie über unseren Online-Shop eine Bestellung auslösen möchten. Das Konto benötigen Sie, wenn Sie selbst ein Online-Seminar live verfolgen oder Ihre Seminardokumentation bzw. Ihre personalisierte Teilnahmebestätigung herunterladen möchten. Bitte geben Sie Ihre MeinFCH-Login-Daten niemals an dritte Personen weiter. Wir empfehlen Ihnen die Nutzung dieser Browser: Google Chrome, Mozilla Firefox oder Microsoft Edge. Bitte erlauben Sie außerdem Pop-Ups auf unserer Seite.

Anmelden

Bitte melden Sie sich an, um folgende Seite nutzen zu können.

E-Mail-Adresse

Passwort

Angemeldet bleiben

🔒 Sichere SSL-Verschlüsselung

Passwort vergessen?

Neu bei MeinFCH?
Jetzt registrieren!

E-Mail-Adresse

Passwort eingeben

Passwort bestätigen

Passwortlänge: 0 Zeichen

Gültigkeit: -

Sicherheit: -

Ihr sicheres Passwort muss folgende Merkmale besitzen:

Groß- und Kleinschreibung

Zahlen

Sonderzeichen (!$%&#)

mindestens 8 Zeichen

Ja, ich möchte ein Kundenkonto eröffnen und akzeptiere die Datenschutzerklärung.

🔒Sichere SSL-Verschlüsselung

Loggen Sie sich ein, um unsere Favoritenfunktion zu nutzen:

Beitrag teilen:

Beiträge zum Thema:

Auslagerungsmanagement at its best

Die Anforderungen an die Überwachung von Auslagerungen haben sich insbe-sondere im Bereich der Risikoanalysen & der Weiterverlagerungen deutlich verschärft.

20.06.2022

DORA: Fokus auf die IKT-Dienstleister

Im ersten Schritt sollten alle Banken frühzeitig prüfen welche Auslagerungen, Fremdbezüge tatschlich IKT-relevant sind

10.03.2024

OLG Celle zur Frage der Nichtabnahmeentschädigung der Bank

Das OLG Celle entschied, dass die Nennung von bestehenden Grundschulde der praktischen Durchführung der Besicherung diene und keine Abänderungserklärung sei.

21.03.2024

Wirksamere Geldwäscheprävention als Mittelfristziel

Ausgewählte aktuelle Herausforderungen und Anknüpfungspunkte auf den wesentlichen Ebenen der Geldwäscheprävention

17.01.2024

Berücksichtigung von Modellrisiken in der Risikotragfähigkeitsanalyse

Prüfungsansätze der Bankenaufsicht zur Beurteilung der Notwendigkeit der Berücksichtigung von Modellrisiken innerhalb der Risikotragfähigkeitsanalyse

16.01.2024