Martin Wiesenmaier, Geschäftsführer, FORUM Gesellschaft für Informationssicherheit mbH
Auch wenn die neuen Regelungen der MaRisk im Umfang hinter der weitreichenden EBA-Leitlinie bleiben, ergeben sich dennoch für die Institute weitreichende Handlungsfelder.
Allgemeine Anforderungen
Aus der Vergangenheit sind unzulässige Auslagerungen bekannt (z. B. vollständige Auslagerung der Revision, MaRisk-Compliance), dies wurde nun weiter in Richtung „empty shell“ konkretisiert. Demnach dürfen Institute nicht nur als „leere Hülle“ existieren. Aus diesem Grund muss das Institut sicherstellen, dass das Auslagerungsunternehmen zur Ausübung der auslagerten Aktivitäten und Prozesse befugt ist und über dazu ggf. erforderliche Ergebnisse und Registrierungen verfügt. Im Gegenzug werden weitere Beispiele für sonstige Fremdbezüge (z. B. Verwendung von Kartenzahlverfahren, Erwerb von Rechtsgutachten) genannt, welche keinen Auslagerungssachverhalt darstellen.
Die Institute müssen bestehende und neue Risikoanalysen um zusätzliche Kriterien erweitern und dabei ein besonderes Augenmerk auf die Weiterverlagerungen richten. Soweit sinnvoll, soll die Risikoanalyse auch um eine Szenarioanalyse erweitert werden. Die erweiterten Inhalte und die Szenarioanalysen erhöhen damit die Aussagefähigkeit der mit wesentlichen Auslagerungen verbundenen Risken.
Es ergibt sich eine Erweiterung der Mindestinhalte zu Auslagerungsverträgen und damit verbunden ein Anpassungsbedarf bei Neu- bzw. Bestandsverträgen. Die neuen Inhalte zielen insbesondere auf bessere Überwachungs- und Steuerungsmechanismen für die Institute ab.
Für eine Verbesserung im Bereich Steuerung und Überwachung soll eine Schärfung der Überwachungskriterien der Leistungen von Dienstleistern mittels Key Risk Indicators (KRI) und Key Performance Indicators (KPI) sorgen. Die datenschutzrechtlichen und sonstigen Sicherheitsanforderungen sind laufend zu überwachen. Hier bietet es sich an, auf vorhandene Datenschutzmanagementsysteme oder Informationssicherheitsmanagementsysteme aufzusetzen.
Auslagerungsbeauftragter und Zentrales Auslagerungsmanagement
Es ist erforderlich, einen zentralen Auslagerungsbeauftragten zu benennen (ALB). Die organisatorische Ansiedlung unmittelbar bei der Geschäftsleistung ist obligatorisch. Abhängig von Art, Umfang und Komplexität der Auslagerungsaktivitäten und zur Unterstützung des Auslagerungsbeauftragten bietet sich die Einrichtung eines zentralen Auslagerungsmanagements an. Hierbei ist auf eine klare Trennung von Aufgaben und Zuständigkeiten für das Management und die Kontrollen zu achten. Hier sind zusätzliche Ressourcen erforderlich, die bei den Instituten in der Vergangenheit in der Regel nicht vorgehalten wurden.
Das Auslagerungsregister dient zur Weiterentwicklung der Bestandsführung für Auslagerungsvereinbarungen in Richtung eines auswertbaren, zentralen Registers und der Einrichtung entsprechender Berichtsprozesse zur Sicherstellung der Eignung von Dienstleistern bei der Auslagerung von erlaubnispflichtigen Bankgeschäften innerhalb des europäischen Wirtschaftsraums und im Besonderen in Drittstaaten. Es ist auf aktuelle und vollständige Informationen mit Pflichtinformationen (EBA-Guideline) zu allen Auslagerungsvereinbarungen zu achten. Bei Weiterverlagerungen von wesentlichen Auslagerungen ist festzulegen, ob der weiter zu verlagernde Teil wesentlich und damit ebenfalls im Auslagerungsregister zu erfassen ist.
Durch das zentrale Auslagerungsmanagement und/oder den Auslagerungsbeauftragten wird mindestens jährlich sowie anlassbezogen ein Bericht über die wesentlichen Auslagerungen zu erstellen sein.
Für das zentrale Auslagerungsmanagement und den Auslagerungsbeauftragten werden langfristig weitere Ressourcen benötigt. Eine einheitliche, risikoorientierte und effiziente Steuerung der Auslagerungssachverhalte, mittels einer intelligenten Softwarelösung, kann die Ressourcen der Institute dabei schonen.
PRAXISTIPPS
- Erstellen/Anpassen der Risiko- und Szenarioanalysen.
- Aktualisierung der Verträge von wesentlichen Auslagerungen.
- Benennung eines Auslagerungsbeauftragten.
- Steuerungen der Auslagerungen und der damit verbundenen Risiken.
Beitragsnummer: 18290