Prüfung AT 9

Donnerstag, 2. Januar 2020

Auslagerungen und Dienstleistersteuerung als neuer Schwerpunkt

Jürgen Krug, CISA, Stv. Abteilungsleiter Zentralrevision/IT-Revisor, Frankfurter Sparkasse

Verschärfte Anforderungen

Im Laufe der letzten Jahre hat die Bedeutung der Auslagerungs- bzw. Dienstleistersteuerung enorm zugenommen. Treiber waren neben den Sparzwängen aufgrund der nach wie vor niedrigen Zinsen v. a. die verschärften Anforderungen an die Dienstleistersteuerung als Folge des neuen AT 9 der MaRisk in Verbindung mit den Bankaufsichtlichen Anforderungen an die IT (BAIT) und den EBA-Guidelines on outsourcing arrangements. Mittlerweile sind seit Veröffentlichung der MaRisk und der BAIT gut zwei Jahre vergangen. Die Tragweite und der damit verbundene Handlungsbedarf werden aber erst jetzt so richtig klar. Das bestätigt sich durch die regelmäßigen Feststellungen bei IT-Prüfungen durch die Aufsicht. Insofern ist noch eine Menge zu tun, um die für das Unternehmen richtige Detailtiefe zu finden. Hilfreich dabei ist das Verständnis der Sichtweisen und Interpretationen der Aufsichtsprüfer.

SEMINARTIPPS

Neue MaRisk 2020, 17.03.2020, Frankfurt/M.

Risikoberichtswesen & Reporting in Praxis & Prüfung, 18.03.2020, Frankfurt/M.

Prüfung AT9 – Auslagerungen, 31.03.2020, Köln.

Kritische Analyse & Plausibilisierung von Dienstleister-Prüfberichten, 01.04.2020, Köln.

Prozessorientierte Prüfungslandkarten & Revisionsberichte, 04.05.2020, Frankfurt/M.

Implementierung und Weiterentwicklung

Werfen wir einen Blick auf die verschärften Auslagerungsregelungen. Zunächst ist ein zentrales Auslagerungsmanagement zu implementieren bzw. weiterzuentwickeln. Eine der Herausforderung dabei sind die für das jeweilige Institut zielführende Abgrenzung der Aufgaben und Verantwortlichkeiten sowie die Festlegung der Methodik zur Risikobewertung gem. BAIT und Risikoanalyse nach AT 9 der MaRisk, sodass die Einbindung in das OpRisk-Management sichergestellt wird. Dass bei der Risikoanalyse alle relevanten Aspekte im Zusammenhang mit der Auslagerung bis hin zur Exitstrategie zu berücksichtigen sind (z. B. die wesentlichen Risiken einschließlich möglicher Risikokonzentrationen und Weiterverlagerungen), macht die Thematik nicht leichter.









Herausforderungen für das Unternehmen

Die Herausforderungen sind vielschichtig. Angefangen mit der Festlegung von Kriterien zur Steuerung und Überwachung der Dienstleistungen (KPI) gilt es, die Hürden im Risikoanalyseprozess und in der Dienstleistersteuerung (zentral sowie dezentral) zu überwinden. Bei der Festlegung der Dokumentationserfordernisse sämtlicher (IT-)Auslagerungen ist ebenfalls das passende Augenmaß anzulegen. Die Erwartungshaltung zum Umgang mit sonstigen Fremdbezügen von IT-Dienstleistungen und IT-Auslagerungen hat zu vielen Diskussionen nicht nur mit externen Aufsehern und der Internen Revision geführt – das letzte Wort ist wohl auch hier noch nicht gesprochen. Weitere Hürden bei der Einbindung von Cloud-Services müssen genommen werden. Weitere Herausforderungen sind u. a. der Umgang mit Risikoanalysen, die Auswertung der Dienstleister-Prüfberichte und der damit verbundene evtl. Verzicht auf eigene Prüfungshandlungen sowie die notwendige Erweiterung der Prüflandkarte – von der Thematik der Weiterverlagerung ganz zu schweigen.

Neben den Herausforderungen für das Unternehmen steigen auch die Anforderungen für die Innenrevision. Eines sei dabei vorausgeschickt: Die Revision sollte nicht als Gegner, sondern zunehmend auch als Berater verstanden werden.

Fazit

Der Aufbau des zentralen Auslagerungsmanagements stellt nicht nur aufgrund knapper Ressourcen immer noch in vielen Unternehmen eine Herausforderung dar. Die Anforderungen werden weiter wachsen. Eine Pauschallösung kann es aufgrund der unterschiedlichen Aufgabenstellungen und Prozesse in den Unternehmen nicht geben.

Ziel muss es sein, die Anforderungen der Aufsicht zugeschnitten auf das Unternehmen in funktionsfähige Prozesse zu übersetzen und wirksame Kontrollen unter Berücksichtigung der Sicherheit, Ordnungsmäßigkeit und den vorhandenen Ressourcen zu implementieren.

PRAXISTIPPS

  • Durchführung einer Risikoanalyse vor Vertragsabschluss.
  • Festlegung der Mindestvertragsinhalte zur Unterstützung des Prozessverantwortlichen.
  • Frühzeitige Kommunikation der Anforderungen an den Dienstleister (Service Levels).


Beitragsnummer: 3913

Hinterlassen Sie einen Kommentar

Kommentare:

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, nutzen wir Google Analytics und hierfür erforderliche Cookies. Weitere Infos finden Sie in unseren Datenschutzhinweisen.