Martin Wiesenmaier, Geschäftsführer, FORUM Gesellschaft für Informationssicherheit mbH
Mängelfreies Auslagerungsmanagement
Aufgrund der EBA-Guideline zum Outsourcing-Management wurden die MaRisk erheblich ausgeweitet. Zudem wurden nach einer Statistik der Deutschen Bundesbank 21 % der wesentlichen Mängel bei 44er-Prüfungen im Bereich Auslagerungsmanagement getroffen.
Dies zeigt, dass die Institute bereits in der Vergangenheit große Mühe hatten, die Anforderungen aus MaRisk AT 9 revisionssicher umzusetzen. Durch die aktuellen Erweiterungen und Verschärfungen wird die „Messlatte“ noch höher gelegt.
Dies bedeutet, dass die Banken einerseits ihre aufbau- und ablauforganisatorischen Regelungen anpassen müssen, um die Ordnungsmäßigkeit in der Soll-Umsetzung nachzuweisen. Anderseits müssen diese ambitionierten Anforderungen auch im Tagesgeschäft wirksam angewendet und bei den Dienstleistern und Weiterverlagerungen durchgesetzt werden.
Risikoanalyse
Kernelement im Auslagerungsmanagement ist nach wie vor eine qualifizierte Risikoanalyse. Die Kriterien zu den Prozess-, Rechts-, Reputations-, Sicherheits- und Ausfallrisiken wurden in den aktuellen MaRisk um weitere Risikofaktoren zu Risikokonzentrationen, Weiterverlagerungen, möglichen Interessenkonflikten, politischen Risiken sowie dem Schutzbedarf der an den Dienstleister übermittelten Daten erweitert. Bei objektiver Bewertung dürften dadurch einige bisher als unwesentlich klassifizierte Auslagerungen wesentlich werden.
Vertragliche Anforderungen
Auch die vertraglichen Anforderungen sind deutlich gestiegen, da viele der neuen Pflichtangaben künftig im Auslagerungsregister ausgewiesen werden müssen. Dies betrifft u. a. das geltende Recht für die Auslagerungsvereinbarung, die Standorte, an welchen die Dienstleistung bzw. die Datenverarbeitung und -speicherung erfolgt sowie die Umsetzung und Überprüfung eines Notfallkonzepts beim Dienstleister.
Darüber hinaus muss im Auslagerungsvertrag die vereinbarte Dienstleistungsgüte mit „eindeutig festgelegten Leistungszielen“ als Grundlage für die Steuerung und Überwachung durch die Bank geregelt werden.
Durch die Erweiterung der Mindestinhalte ergibt sich ein Anpassungsbedarf bei den Altverträgen.
Steuerung und Überwachung
Zur Verbesserung der Steuerung und Überwachung der Auslagerungen sollen durch die o. g. Leistungsziele konkrete Vorgaben für einen regelmäßigen Soll-Ist-Vergleich bezüglich der ordnungsgemäßen Leistungserbringung geschaffen werden. Die bisherigen „vorzuhaltenden Kriterien“ wurden durch die Aufsicht präzisiert (Key Risk Indicators KPI) und können somit als Grundlage für das SLA-Monitoring verwenden werden. Die datenschutzrechtlichen und sonstigen Sicherheitsanforderungen sind ebenfalls laufend zu überwachen.
Weiterverlagerungen
Die mit Weiterverlagerungen verbundenen Risiken müssen im Rahmen der Risikoanalyse bewertet werden. Neu ist, dass hier künftig auch die Wesentlichkeit der Weiterverlagerung klassifiziert werden muss, welche auch in das Auslagerungsregister einfließt.
Interessant ist die Klarstellung der Aufsicht, dass auch das Risiko aus „langen und komplexen Auslagerungsketten“ berücksichtigt werden muss, wonach die Fähigkeit der Institute zur Überwachung bei den weiterverlagerten Subunternehmern eingeschränkt werden kann.
Auslagerungsbeauftragter und zentrales Auslagerungsmanagement
Künftig ist es erforderlich, neben dem zentralen Auslagerungsmanagement einen Auslagerungsbeauftragten zu benennen. Die organisatorische Ansiedlung unmittelbar bei der Geschäftsleistung ist obligatorisch. Das zentrale Auslagerungsmanagement darf den Auslagerungsbeauftragten bei den konzeptionellen, koordinativen und überprüfenden Aufgaben unterstützen („2nd Line of Defense“).
Auslagerungsregister
Im neuen Auslagerungsregister sind künftig über „alle Auslagerungsvereinbarungen“ bestimmte Mindestinhalte aus Tz. 54 und 55 der EBA-Guidelinies zentral und auswertbar zu führen.
Durch die vorgesehenen Meldeprozesse an das MVP-Portal der BaFin wird der Aktualität und Vollständigkeit der Pflichtinformationen aus der EBA-Guideline künftig eine große Bedeutung (und folglich ein erhöhter Aufwand zur Datenerhebung) zukommen.
Der Kreis schließt sich dann wieder bei den Weiterverlagerungen: „Bei wesentlichen Auslagerungen ist festzulegen, ob der weiterzuverlagernde Teil wesentlich und damit ebenfalls im Auslagerungsregister zu erfassen ist.“
PRAXISTIPPS
- Überarbeitung und Ergänzung der bestehenden Risikoanalysen und Auslagerungsvereinbarungen.
- Definition von konkreten SLAs als Grundlage für die regelmäßige Überwachung.
- Steuerungen der Auslagerungen und der damit verbundenen Risiken inkl. Weiterverlagerungsrisiken.
Beitragsnummer: 20597