Mittwoch, 21. Oktober 2020

IT-Auslagerungen im Fokus der Aufsicht

Erweiterte Anforderungen zur Beurteilung der Prozesse bei IT-Auslagerungen unter Beachtung der neuen Vorgaben gem. MaRisk, BAIT und EBA-Guidelines.

Björn Wehling, Geschäftsführer, Bereichsleiter Revision & Regulatorik, Finanz Colloquium Heidelberg GmbH

 

Die IT-Dienstleister-Steuerung in Kreditinstituten rückt durch betriebswirtschaftliche Erfordernisse und regulatorische Neuregelungen (u. a. AT 9 der MaRisk, BAIT, EBA Guideline on Outsourcing) in den Fokus der Aufsicht. Dadurch gewinnt auch die interne und externe Überprüfung von Auslagerungsprozessen an Bedeutung. 

 

Aufsichtliche Anforderungen

 

Durch neue aufsichtliche (Mindest-)Anforderungen an die Inhalte von Auslagerungsvereinbarungen sind alle Institute angehalten, bestehende SLAs zu überprüfen und gegebenenfalls anzupassen. Hier ist sicherzustellen, dass alle Leistungen, die vom Institut benötigt werden, auch in ausreichendem Detaillierungsgrad schriftlich vereinbart werden. Nur dann können sich die Institute im Zweifelsfall auch darauf berufen. Ebenso ist sicherzustellen, dass über alle vereinbarten Sachverhalte regelmäßig und ad hoc an das auslagernde Institut berichtet wird. Insbesondere Sondersachverhalte (z. B. Notfälle, Ausfälle) und die Ergebnisse von Notfalltests sind vom IT-Dienstleister zu berichten und aktiv von der IT-Revision des auslagernden Instituts zu prüfen.

 

Die Aufsicht erwartet für jede IT-Auslagerung einen Auslagerungsbeauftragten oder die Zusammenführung in einem zentralen Auslagerungsmanagement. Eine Übersicht über alle (IT-)Auslagerungen mit entsprechender Wesentlichkeitseinstufung hat das Institut in Form eines Auslagerungsregisters laufend aktuell vorzuhalten. Alle neuen externen IT-Dienstleistungen sind – zunächst unabhängig von ihrer Klassifizierung als Auslagerung oder sonstiger Fremdbezug – einer umfassenden Risikoanalyse und Wesentlichkeitsbeurteilung zu unterziehen, die regelmäßig auf ihre Aktualität und Richtigkeit zu überprüfen ist. Es empfiehlt sich, den IT-Dienstleister über die Wesentlichkeitseinstufung und die Klassifizierung als Auslagerung oder sonstiger Fremdbezug in Kenntnis zu setzen, um gegebenenfalls damit einhergehende zusätzliche Maßnahmen und Prozesse (z. B. verkürzter Reporting-Turnus) beim IT-Dienstleister anzustoßen.

In den Instituten sind klare und einheitliche Kriterien zur Beurteilung von Schlechtleistungen des jeweiligen IT-Dienstleisters zu definieren und prozessseitig zu implementieren. Die Nachvollziehbarkeit der dokumentierten Handlungsoptionen in Anhängigkeit des erreichten Grads der Schlechtleistung muss sichergestellt sein. Die Auslagerungsstrategie (ggf. Einzelstrategie je Dienstleister) muss eine Ausstiegs- und Kündigungsstrategie beinhalten, die bei einem nicht mehr annehmbaren Grad der Schlechtleistung greift, um Schaden vom Institut abzuwenden.

 

SEMINARTIPPS

Risikoanalysen bei Auslagerungen, 02.11.2020, Hamburg.

Umgang mit (un)wesentlichen IT-Risiken im OpRisk, 09.11.2020, Zoom.

Excel-Anwendungen und IDV nach neuer MaRisk & neuer BAIT, 10.11.2020, Zoom.

Berechtigungsmanagement Markt: Rechte & Vergabeprozesse, 11.11.2020, Zoom.

Prüfung (NEUE) BAIT im Fokus der Bankenaufsicht, 25.–26.11.2020, Zoom.

 

Einbindung der Internen Revision 

 

Die (IT-)Interne Revision des auslagernden Instituts ist in die Auslagerungsprozesse einzubinden und berichtet über aktuelle Prüffelder und Feststellungen im Bereich der IT-Auslagerungen. Dabei setzt sie sich kritisch mit häufigen IT-spezifischen Schwachstellen im Auslagerungsprozess auseinander und gibt wertvolle Praxisempfehlungen zur revisionsfesten Umsetzung der neuen Vorgaben und zur Vermeidung von Feststellungen. Je nach Vorhandensein und Ausgestaltung des zentralen Auslagerungsmanagements kann es sinnvoll sein, eine parallele oder nachgeschaltete Auswertung der IT-Dienstleisterberichte sowohl durch die Interne Revision als auch den jeweiligen Fachbereich vorzunehmen und Maßnahmen gemeinsam abzustimmen.

 

Berücksichtigung von Nachhaltigkeitsaspekten bei IT-Auslagerungen

 

Künftig wird das Thema Nachhaltigkeit auch zunehmend Einzug in den Bereich der IT-Auslagerungen erhalten. Hier haben die Institute sicherzustellen, dass Aspekte wie beispielsweise Umweltschutz, Arbeitsbedingungen und Ressourcenschonung gemessen, bewertet und gesteuert werden – insbesondere bei Weiterverlagerungen in Drittstaaten. 

 

 

PRAXISTIPPS

  • Überprüfen Sie bestehende Auslagerungsvereinbarungen auf Aktualität und Anpassungsbedarf. Sind alle notwendigen Leistungen auch schriftlich vereinbart? Wird über alle vereinbarten Leistungen auch regelmäßig und in ausreichendem Umfang berichtet?
  • Überprüfen Sie, ob der IT-Dienstleister Ihnen auch Berichte zu anderen (Sonder-)Prüfungen bei ihm im Haus (zeitnah) zur Verfügung stellt.
  • Stellen Sie sicher, dass das Auslagerungsregister gepflegt und laufend aktuell und vollständig ist.
  • Etablieren Sie Prozesse, wie bei sich ändernden Wesentlichkeitseinstufungen intern zu verfahren ist und welche Kommunikation an den IT-Dienstleister damit einhergehen sollte.
  • Definieren Sie Stufen und damit zusammenhängende Kriterien für die Bewertung von Schlechtleistungen des IT-Dienstleisters.
  • Binden Sie als Fachbereich/Zentrales Auslagerungsmanagement die Interne Revision in ihre (geplanten) Auslagerungsprozesse ein.
  • Berücksichtigen Sie die zunehmende Bedeutung – und damit einhergehend die zunehmende aufsichtliche Beurteilung – von Nachhaltigkeitsaspekten bei IT-Auslagerungen.

 


Beitragsnummer: 12953

Beitrag teilen:

Beiträge zum Thema:

Beitragsicon
Immobiliensammler: Kapitaldienstfähigkeit (KDF) kritisch gewürdigt

Analyse der nachhaltigen und zukünftigen Kapitaldienstfähigkeit bei Immobiliensammler. Analyse der Cash Flows bei Immobilien - rechnerische vs. faktische KDF.

05.06.2024

Beitragsicon
Das Auslagerungsmanagement als Prüfungsobjekt

Die Auslagerung von Dienstleistungen ist bei regulierten Instituten weit verbreitet und bietet zahlreiche Vorteile. Sie birgt jedoch auch Risiken

03.06.2024

Beitragsicon
Wahl von Arbeitnehmervertretern zum Aufsichtsrat – Statusverfahren

Eine AG muss das Statusverfahren nach §§ 97 ff. AktG zur Festlegung der Mitbestimmung & zur Besetzung des Aufsichtsrats durchführen.

10.04.2024

Beitragsicon
DORA umsetzen: So gelingt effizientes Management der IKT-Dienstleister

Um DORA-Berichtspflichten nachweislich und ressourcenschonend zu erfüllen, gilt es, Auslagerungsprozesse durchdacht zu digitalisieren.

02.05.2024

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.