Montag, 16. September 2024

Auslagerungsmanagement - DORA konform & digital implementieren


Robin Schmeisser, Geschäftsführer der Fabasoft Contracts GmbH

 

I. Einleitung


Finanzunternehmen wie Kreditinstitute, Zahlungsdienstleister und E-Geldinstitute stehen seit einigen Jahren vor einer zunehmenden Herausforderung: Die umfangreichen Anforderungen an Dokumentations- und Berichtspflichten haben sich erheblich verschärft und ausgeweitet. Die Vorgaben richten sich u. a. an das Berichts- und Vertragswesen hinsichtlich ausgelagerter IT-Dienstleistungen. Die Betriebe haben die Aufgabe, sich an die ständig wachsenden und schnell ändernden gesetzlichen Rahmenbedingungen anzupassen. Hinzu kommt: Die Vielschichtigkeit des Vertragswesens nimmt stetig zu. Mithilfe einer einheitlichen Digitalisierung des Auslagerungsmanagements können Finanzunternehmen sicherstellen, dass sie ihre Compliance-Vorgaben verlässlich erfüllen und gleichzeitig ihre Effizienz steigern.

 

II. Auslagerungs- vs. Informationsregister

Einen maßgeblichen Rahmen für die Dokumentations- und Berichtspflichten setzen u. a. die Outsourcing-Leitlinien der European Banking Authority (EBA)[1]. Am 25.02.2019 hat die Europäische Bankenaufsichtsbehörde dazu die finale Version der Guidelines on Outsourcing (EBA/GL/2019/02)[2] veröffentlicht. Diese Leitlinien sind seit dem 30.09.2019 wirksam und fordern die Finanzinstitute auf, „ein aktualisiertes Register mit Informationen über alle Auslagerungen auf Institutsebene sowie gegebenenfalls auf teilkonsolidierter und konsolidierter Basis zu unterhalten und alle bestehenden Auslagerungsvereinbarungen angemessen zu dokumentieren“. Dieses Auslagerungsregister muss Informationen über alle ausgelagerten IT-Dienstleistungen enthalten. Darunter fallen u. a. Cloud-Dienste, IT-Infrastrukturmanagement, Datenmanagement und -speicherung, Cybersecurity-Dienste, Softwareentwicklung und IT-Support-Dienste. Die Maßnahmen sollen sicherstellen, dass Finanzunternehmen jederzeit einen umfassenden Überblick über ihre ausgelagerten Dienstleistungen haben und deren Risiken effektiv steuern können. Welche Informationen in welchem Detailgrad bereitzuhalten sind, hängt von der Höhe des Auslagerungsrisikos ab. Ist eine kritische oder wesentliche Funktion betroffen, benötigt es neben den Mindestanforderungen zudem eine ausgeweitete Risikoanalyse, aktuelle Revisionsberichte sowie Exitstrategien und alternative Provider. Die Verantwortlichen sind angehalten, jenes Register kontinuierlich zu warten und nach Aufforderung der entsprechenden Behörde bereitzustellen.

Mit dem Digital Operational Resilience Act (DORA), der bis 17.01.2025 EU-weit umgesetzt sein muss, verschärfen sich die bestehenden Vorgaben noch weiter: Alle Finanzunternehmen (darunter auch Versicherungen, Wertpapierfirmen oder Krypto-Dienstleister) sind nun verpflichtet, ein Informationsregister aufzusetzen, welches sämtliche bezogenen IT-Dienstleistungen enthält. Die genauen Inhalte und die Struktur der Berichte geben die technischen Implementierungsstandards (ITS)[3] vor, die die ESAs (Europäische Aufsichtsbehörden) basierend auf der EU-Verordnung vorgelegt haben. Das Informationsregister muss auch jene Services enthalten, die bisher laut EBA-Guidelines als „Fremdbezug“ nicht in das Reporting fielen, wie beispielsweise der reine Bezug einer Software. Die EU-Verordnung DORA stuft alle IT-Leistungen als „Auslagerung“ ein, die im Register aufzuführen sind. Eine weitere wesentliche Neuerung ist, dass die Dokumentation der IKT-Dienstleister nicht nur deren Subunternehmen beinhaltet, sondern auch die gesamten Lieferketten.

III. Mehrfachen Arbeitsaufwand vermeiden

 

Der inhaltliche Überschneidungsgrad von Informations- und Auslagerungsregister ist sehr hoch. So enthalten beide Register teilweise sehr ähnliche oder gar dieselben Informationen. Dazu zählen u. a. die vollständige Auflistung der Auslagerungsverträge, Vertragsmetadaten wie Laufzeit und Kündigungsfristen, Lieferanteninformationen und Konzernstrukturen, Wesentlichkeits- und Kritikalitätsbewertungen sowie Angaben zur Auslagerung (z. B. Funktion und Art/Zuordnung). Das Problem: Die Verantwortung und Pflege der Register fallen in der Praxis häufig in unterschiedliche Zuständigkeitsbereiche innerhalb eines Unternehmens. Zum einen bedeutet dies doppelten Arbeitsaufwand. Zum anderen birgt es ein erhebliches Fehlerpotenzial: Bei nicht vorhandener Abstimmung der Daten zwischen den Verantwortlichen kann es zu Redundanzen und Übertragungsfehlern kommen. Zusätzlich obliegt die Aufsicht in beiden Fällen derselben Behörde – in Deutschland der BaFin[4] (Bundesanstalt für Finanzdienstleistungsaufsicht) und in Österreich der FMA[5] (Finanzmarktaufsichtsbehörde). Im Zweifel könnte es also soweit kommen, dass Entitäten unterschiedliche Informationen zu derselben Auslagerung berichten.

 

IV. Synergien mit digitalen Prozessen schaffen

 

Um sicherzustellen, dass beide Register konsistente und vollständige Daten enthalten, muss daher eine kontinuierliche Abstimmung von Auslagerungs- und Informationsregister stattfinden. Finanzunternehmen sind dabei gefordert, das Silodenken innerhalb der Abteilungen zu durchbrechen und einen „Single Point of Truth“ zu schaffen.

 

Dafür benötigt es einen durchgängigen, digitalen Geschäftsprozess, der sich am Aufbau und Ablauf innerhalb des jeweiligen Betriebs orientiert und sämtliche interne wie externe Stakeholder integriert, die über die benötigten Informationen verfügen. Angefangen bei der Erstklassifizierung einer möglichen Auslagerung und dem Einholen aller erforderlichen Unterlagen, dem anschließenden Bewerten des IKT-Dienstleisters (Due-Diligence-Prüfung, Risikoassessment, Exitstrategie), über die Vertragsverhandlungen mit dem Lieferanten, bis hin zum damit verbundenen Berichtswesen.

 

Die digitale Erfassung sämtlicher Daten ab Beginn des Geschäftsprozesses ist dabei entscheidend, um Mehrfacharbeiten und Fehler zu vermeiden, die beispielsweise beim händischen Aufsetzen und Warten von Listen, Kalendereinträgen und Auswertungen auftreten. Sind die Daten einmal digital hinterlegt, stehen sie jederzeit revisionssicher für Auswertungen zur Verfügung. So greifen alle Beteiligten aus den unterschiedlichen Abteilungen auf eine einheitliche Datenbasis zu und können die erforderlichen Prüfberichte wie das Auslagerungs- oder das Informationsregister einfach generieren.

 

V. Auf DORA spezialisierte Software verwenden

 

Um die mit dem Auslagerungsmanagement verbundenen Dokumentations- und Berichtspflichten schnell und effizient zu erfüllen, hat das Softwareunternehmen Fabasoft ein eigenes, auf Künstlicher Intelligenz (KI) basierendes Produkt entwickelt. Die Standardsoftware „Fabasoft DORA[6]“ nutzt ein smartes Datenmodell zur Digitalisierung des gesamten Auslagerungszyklus – einschließlich des aus regulatorischer Sicht erforderlichen Berichtswesens. Eine der Kernfunktionen ist dabei der automatisierte Informationsregistergenerator, der auf Knopfdruck die benötigten Berichte gemäß DORA erstellt.

 

Zu den weiteren Features zählen gestaltbare Vorlagen und Checklisten für die Bewertung von IKT-Drittdienstleistern. Außerdem ermöglicht die Software normierte Prüfprozesse inklusive elektronischer Unterschriften, Klauselbibliotheken, DORA-konforme Vertragsvorlagen sowie digitale Workflows zur verlässlichen Durchführung wiederkehrender (tourlicher) Prüfungen. Zusätzlich unterstützt der Einsatz von KI eine automatisierte Compliance-Analyse des Vertragsbestands. Das System identifiziert selbstständig Abweichungen hinsichtlich der DORA-Regulatorik und bereitet die Ergebnisse je Vertragsakte übersichtlich auf. Bei jenen Verträgen, die Handlungsbedarf aufweisen, erzeugt das Tool automatisiert die richtigen Ergänzungsvereinbarungen auf Basis der Klauselbibliothek. Zudem startet es die notwendigen Genehmigungs- und Zeichnungsprozesse unter direkter Einbindung der externen Partner.

 

Das vordefinierte Datenmodell, revisionssichere Workflow-Unterschriften und Audit-Logs sowie verlässliche Reminder stellen die Einhaltung der EU-Vorgaben nachweislich sicher. Gleichzeitig minimieren sie den Ressourceneinsatz und ermöglichen eine jederzeitige Auskunftsfähigkeit, auch bei Ad-hoc-Anfragen der Behörden. Die Software erfüllt dabei höchste Sicherheitsstandards, da die Datenspeicherung in der international zertifizierten Fabasoft PROCECO Cloud (vormals Fabasoft Cloud) erfolgt.

 

Aufgrund des hohen Standardisierungsgrades und eines Selfservice-Ansatzes lässt sich die Implementierung der Software in wenigen Wochen vornehmen.

 

VI. Fabasoft DORA als Teil des EU-Projekts „EMERALD“

 

In einem weiteren Schritt engagiert sich Fabasoft auf europäischer Ebene: Im Rahmen des EU-Projekts „EMERALD[7]“ beschäftigt sich ein Forschungsteam in einem Anwendungsfall mit der Entwicklung eines digitalen Zertifizierungsprozesses von Cloud-Diensten im Kontext von DORA, auch genannt: „Certification as a Service“ (CaaS). Fabasoft unterstützt das Programm als Technologie- und Use-Case-Partner.

Ziel des Forschungsprojektes ist es, Sicherheitsstandards und Compliance-Anforderungen der Cloud-Dienste kontinuierlich und automatisiert zu überprüfen und zu validieren. Die Entwicklung von Softwarekomponenten soll eine effiziente Arbeitsweise mit maximaler Transparenz und Nachvollziehbarkeit sowie insbesondere die Risikobewertung und -abschätzung von auditrelevanten Inhalten sicherstellen. Wie sich im Finanzsektor die praktische Umsetzbarkeit der Forschungsergebnisse von EMERALD gestaltet, überprüft das Team des DORA-Piloten anhand des Anwendungsfalls der CaixaBank, die ebenfalls Teil des EMERALD-Konsortiums ist. Dafür definiert die Bank Vorgehensweisen und Anforderungen, die bei der Informationseinholung, Bewertung und Kontrolle von Cloud-Dienstleistern einzuhalten sind. Dazu zählen Due-Diligence-Prüfungen, Risikobewertungen und die Erstellung von Exitstrategien. Zur technischen Umsetzung jener Vorgaben verwendet das Projektteam die Software Fabasoft DORA.

Der Austausch von sensiblen Informationen via Mail, u. a. in Form von Due-Diligence-Unterlagen und Cybersecurity-Fragebögen, stellt Angriffsvektoren bei Cyberattacken und somit ein erhebliches Sicherheitsrisiko dar. Für eine sichere Zusammenarbeit mit Externen können Finanzunternehmen mit Fabasoft DORA die Einholung aller benötigen Informationen von ihren IKT-Dienstleistern sowie die Vertragsverhandlungen in sicheren, digitalen Räumen durchführen, ohne dass die Daten die geschützte Umgebung verlassen. Zusätzlich reduzieren Vorlagen für Due-Diligence-Fragebögen und Risikobewertungen den manuellen Aufwand sowie das Fehlerrisiko. Über digitale Workflows erfolgt die Einbindung sämtlicher interner wie externer Stakeholder automatisiert. Dabei können die Prozessverantwortlichen den Fortschritt jederzeit verfolgen. Auch beim laufenden Monitoring unterstützt die Software mittels automatisiert wiederkehrender Prüfungen. Elektronische Workflowunterschriften dokumentieren die durchgeführten Kontrollen.

Neben Fabasoft und der CaixaBank arbeiten bei EMERALD neun weitere akademische und industrielle Partner aus sechs europäischen Ländern mit, darunter Forschungszentren, Großunternehmen sowie kleine und mittelständische Unternehmen (KMU). Das Forschungsteam ist auf Bereiche wie Cybersicherheitszertifizierung, Cloud-Computing, KI, UX/UI-Design und Auditverfahren spezialisiert. Das breite Fachwissen sorgt für eine verlässliche Erreichung der EMERALD-Ziele, mit besonderem Fokus auf die praktische Anwendbarkeit und schnelle Umsetzung der Ergebnisse. Die Förderung des EU-Forschungsprojekts läuft bis Ende Oktober 2026.

 

VII. Fazit

Da die Umsetzungsfrist von DORA am 17.01.2025 bereits in greifbare Nähe rückt, ist es unerlässlich für Finanzunternehmen, ihre bestehenden Geschäftsprozesse umfassend zu betrachten und weiterzuentwickeln. Dabei spielt der Einsatz geeigneter digitaler Werkzeuge eine entscheidende Rolle. Diese optimieren nicht nur die Arbeitsabläufe, sondern unterstützen die Betriebe auch bei der verlässlichen und ressourcenschonenden Erfüllung der neuen regulatorischen Vorgaben und Sorgfaltspflichten. Eine smarte Software wie Fabasoft DORA stellt u. a. mit elektronischen Workflow-Unterschriften und revisionssicheren Audit-Logs eine lückenlose Dokumentation aller Prozessschritte und Tätigkeiten sicher, was insbesondere in Auditsituationen von Vorteil ist. Die automatisierte Berichterstellung ermöglicht die schnelle und effiziente Generierung benötigter Auswertungen wie das Auslagerungs- oder Informationsregister. Damit erhalten Finanzunternehmen jederzeit eine Übersicht über sämtliche bezogenen IKT-Dienstleistungen und sind in der Lage, Ad-hoc-Anfragen zügig zu beantworten.

PRAXISTIPPS

  • Digitalisieren Sie Ihre Daten lückenlos, um Ihren Arbeitsaufwand zu reduzieren und bei Anfragen der Behörden schnell auskunftsfähig zu sein.
  • Schaffen Sie mithilfe der Digitalisierung Synergien, um eine einheitliche Datenbasis des Auslagerungs- und Informationsregisters sicherzustellen.


[1] Webseite EBA, European Bank Authority.

[2] Abschlussbericht zu den Leitlinien zu Auslagerungen, EBA/GL/2019/02, 25.02.2019.

[3] Final report on draft ITS (Implementing Technical Standards) on Register of Information, European Supervisory Authorities – ESAs, 10.01.2024.

[4] Webseite BaFin, Bundesanstalt für Finanzdienstleistungsaufsicht.

[5] Webseite FMA, Österreichische Finanzmarktaufsicht.

[6] Webseite Fabasoft DORA: Digitales Auslagerungsmanagement – DORA-Compliance leicht gemacht.

[7] Webseite EMERALD, Evidence Management For Continuous Certification As A Service In The Cloud.


Beitragsnummer: 22731

Beitrag teilen:

Produkte zum Thema:

Produkticon
Auslagerungen und Dienstleister-Steuerung 2. Auflage

119,00 € inkl. 7 %

Produkticon
Update zu DORA: Weitere Konkretisierungen nach der BaFin-Konferenz?!

255,00 € exkl. 19 %

29.10.2024

Beiträge zum Thema:

Beitragsicon
Anforderungen aus DORA an das Fachwissen des „Management Body“

IT Fachwissen für das Leitungsgremium des Finanzinstituts, das verantwortlich für die Überwachung und Steuerung der unternehmerischen Aktivitäten ist.

19.09.2024

Beitragsicon
Zukunft von KYC: wie digitale B2B Identitäten die Zukunft beeinflussen

Wie digitale B2B-Identitäten den Prüfaufwand bei Know Your Customer (KYC)-Prozessen reduzieren und die Effizienz steigern.

01.10.2024

Beitragsicon
Alles neu macht der Mai – auch der Mai 2024 mit den ZAG-MaRisk?

Ob die ZAG-MaRisk unbekannte neue Vorgaben enthalten, für welche Institute sie gelten und ob es Handlungsbedarf gibt, ist Gegenstand dieses Beitrags.

24.09.2024

Beitragsicon
So gelingt das CO2-Reporting für gewerbliche Objektfinanzierungen

CarbonXplorer ermöglicht CO2-Reporting für Leasingunternehmen/Banken durch präzise Datenerfassung und -analyse, die Effizienz und Compliance sicherstellt.

13.08.2024

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.