Laura Zappavigna, bankgeschäftliche Prüferin, Referat Bankgeschäftliche Prüfungen 2, Deutsche Bundesbank, Hauptverwaltung in NRW
Mit der fünften Novellierung der Mindestanforderungen an das Risikomanagement (MaRisk) und den Bankaufsichtlichen Anforderungen an die IT (BAIT) sind die Anforderungen an das Auslagerungsmanagement der Institute gestiegen. Neben Regelungen über den Softwarebezug werden insbesondere die Grenzen der Auslagerbarkeit durch die Aufsicht deutlicher definiert. Weitere Kernthemen sind vertragliche Mindestvereinbarungen für wesentliche Auslagerungen, um die Überwachung der Qualität der erbrachten Leistungen sowie der Risiken der Auslagerung jederzeit sicherzustellen, sowie die Einrichtung eines zentralen Auslagerungsmanagements – abhängig von der Art, dem Umfang und der Komplexität der Auslagerungsaktivitäten des jeweiligen Instituts.
Im Hinblick auf die grundlegende Bedeutung der IT für das Institut ergibt sich die Besonderheit, dass die BAIT ähnlich hohe Anforderungen an die Steuerung des sogenannten Fremdbezugs von IT-Dienstleistungen wie an Auslagerungen stellen. Dies erfordert in jedem Fall die Durchführung einer Risikobewertung, deren Ergebnis maßgeblich für die Überwachung der vom Dienstleister geschuldeten Leistung ist. Auch aus der Risikobewertung abgeleitete Maßnahmen sind insofern angemessen in der Vertragsgestaltung zu berücksichtigen, als dass Anpassungsbedarfe mit den Dienstleistern zu verhandeln oder Verträge ggf. gänzlich neu aufzusetzen sind.
SEMINARTIPPS
Kritische Analyse/Plausibilisierung von Dienstleister-Prüfberichten, 19.03.2019, Frankfurt/M.
PraxisFalle IT-Dienstleistungen: Sonstiger Fremdbezug vs. Auslagerung, 03.04.2019, Köln.(Un-)Abgestimmte Revisions- und Compliance-Tätigkeiten, 08.04.2019, Köln.
Risikoanalysen bei Auslagerungen, 20.05.2019, Frankfurt/M.
Am 22.06.2018 veröffentlichte die European Banking Authority (EBA) das Konsultationspapier „Draft Guidelines on Outsourcing arrangements“, zu dem die Kreditwirtschaft bis zum 24.09.2018 Stellung nehmen konnte. Mit Inkrafttreten, das für das erste Quartal 2019 vorgesehen ist, ersetzt die Guideline die noch aus dem Jahr 2006 bestehenden Outsourcing-Guidelines des CEBS und stellt detaillierte Anforderungen an die Dienstleistersteuerung, die teilweise über die Anforderungen der MaRisk hinausgehen. Die finale Guideline wird eröffnen, inwiefern die Dienstleistersteuerung auf dieser Grundlage erneut angepasst werden muss.
Dienstleistersteuerung durch angemessene Überwachungsprozesse
Nach AT 9 Tz. 9 der MaRisk sind mit wesentlichen Auslagerungen verbundene Risiken angemessen zu steuern und die Leistungserbringung externer Dienstleister ordnungsgemäß zu überwachen; dies umfasst auch die regelmäßige Beurteilung der Leistung des Auslagerungsunternehmens anhand vorzuhaltender Kriterien. Das rechtzeitige Erkennen von Auffälligkeiten in der Leistungserbringung sowie der zeitgerechte Informationsaustausch innerhalb des Unternehmens sind von besonderer Bedeutung, um ggf. geeignete Maßnahmen ableiten und umsetzen zu können. An dieser Stelle ist die Gestaltung adäquater Service-Level-Agreements (SLAs) essenziell, um die Anforderungen an die Leistungserbringung festzulegen. Neben der Definition des Leistungsumfangs und seiner Qualität, der Abgrenzung von Verantwortlichkeiten und dem Grad der tolerierbaren Schlechtleistung sollten insbesondere Anforderungen an ein nachhaltiges Reporting gestellt werden, das u. a. eine detaillierte Fehlerstatistik sowie die Entwicklung von Zielgrößen über Key Performance Indicators (KPIs) umfasst.
Kritische Würdigung von Dienstleister-(Prüf-)Berichten
Die Anforderungen der MaRisk an die Interne Revision hinsichtlich des Prüfungsumfangs richten sich nach AT 4.4.3 Tz. 3 und umfassen alle Aktivitäten und Prozesse des Instituts, wozu ebenfalls Auslagerungen zählen. Da alle für das Institut hinreichend relevanten Aktivitäten und Prozesse entsprechenden Revisionsprozessen zu unterliegen haben, ist auch die Vorlage der Prüfungs- und turnusmäßigen Berichterstattung des Dienstleistungsunternehmens revisionsseitig zu überwachen. Bei der Auswertung sind zudem Regelungen zum Umgang mit Feststellungen sowie eine Einschätzung hinsichtlich der Auswirkungen auf das eigene Institut zu treffen, um der eigenen Bewertungslogik folgende Feststellungen in die Mängelnachverfolgung übernehmen zu können. Neben der grundsätzlichen Eignung des Dienstleistungsunternehmens hat sich die Interne Revision zudem jährlich von der Funktionsfähigkeit der Revision des Dienstleisters zu überzeugen.
PRAXISTIPPS
- Überprüfung des bereits bestehenden Auslagerungsmanagements und Einrichtung einer zentralen Dienstleistersteuerung, um die Prozesse so zu gestalten, dass sie Transparenz und Steuerung gewährleisten.
- Stärkung der institutseigenen Kenntnisse und Erfahrungen, um eine wirksame Überwachung der vom Auslagerungsunternehmen erbrachten Dienstleistungen zu gewährleisten.
- Definition von Prozessen zur Überwachung des Erhalts und hinsichtlich der Würdigung von Prüfungsberichten.
- Auswertung der Berichterstattung und ihre Überführung in das Risikomanagement als zentralen Baustein der Dienstleistersteuerung implementieren.
Die in diesem Beitrag vertretenen Auffassungen geben die persönliche Meinung der Autorin wieder und sind nicht notwendigerweise Positionen der Deutschen Bundesbank oder einer anderen Bankenaufsichtsbehörde. ↑
Beitragsnummer: 1067