Mittwoch, 28. Februar 2018

Auslagerungsmanagement als Schwerpunkt der MaRisk und BAIT

Laura Zappavigna, bankgeschäftliche Prüferin, Referat Bankgeschäftliche Prüfungen 2, Deutsche Bundesbank, Hauptverwaltung in NRW^[1]

Am 27.10.2017 hat die BaFin mit dem Rundschreiben 09/2017 (BA) die fünfte Novellierung der MaRisk verbindlich bekannt gegeben. Die Interpretationsbestimmungen gelten grundsätzlich ab diesem Tag; allerdings gewährt die Aufsicht den Instituten zur Umsetzung jener Vorschriften, die neue Anforderungen schaffen, eine Umsetzungsfrist bis zum 31.10.2018. Neben der Integration einer Reihe international- und europarechtlicher Vorgaben – insbesondere der europäischen Bankenaufsichtsbehörde EBA sowie des Basler Ausschusses für Bankenaufsicht (BCBS) – flossen auch Erfahrungen von BaFin und Bundesbank aus der täglichen Aufsicht sowie aus Sonderprüfungen in die Überarbeitung ein. Wesentliche Neuerungen betreffen nach der Etablierung einer Risikokultur insbesondere die Risikodatenaggregation (BCBS 239) sowie das Management von Auslagerungsrisiken.

Bezugnehmend auf die unmittelbar zuvor erfolgte Veröffentlichung der neuen MaRisk gab die BaFin am 03.11.2017 die neuen Bankaufsichtlichen Anforderungen an die IT (BAIT) bekannt, mit denen sie ihre Anforderungen an die IT der Institute nach § 25a Abs. 1 und § 25b KWG um ein weiteres Rundschreiben zur Konkretisierung der MaRisk ergänzt. Vor dem Hintergrund der verschärften Anforderungen an das Auslagerungsmanagement beschäftigt sich auch das Kapitel 8 der BAIT mit Auslagerungen und dem sonstigen Fremdbezug von IT-Dienstleistungen. Im Gegensatz zu den MaRisk sind die BAIT ab Veröffentlichung für alle Banken in Deutschland ohne Übergangsfrist verbindlich zu beachten.

SEMINARTIPPS

Risikoanalysen bei Auslagerungen, 20.06.2018, Köln.

Kritische Analyse/Plausibilisierung von Dienstleister-Prüfungsberichten, 21.06.2018, Köln.

Neue Pflichten für Dienstleister-Steuerung, 14.11.2018, Frankfurt/M.

Prüfung Auslagerungsprozesse, 22.11.2018, Köln.

Um das Management besonderer, mit Auslagerungen verbundener Risiken effektiver zu gestalten, werden neben Regelungen über den Softwarebezug nicht nur die Grenzen der Auslagerbarkeit durch die Aufsicht deutlicher definiert. Weitere Kernthemen sind Anforderungen an vertragliche Regelungen über Kündigung- und Informationsrechte der Institute, die einen Auslagerungs- oder Weiterverlagerungsvertrag vereinbart haben, sowie die Einrichtung eines zentralen Auslagerungsmanagements – abhängig von der Art, dem Umfang und der Komplexität der Auslagerungsaktivitäten des jeweiligen Instituts.

Einrichtung eines zentralen Auslagerungsmanagements

Diese zentrale Stelle soll gewährleisten, dass die Geschäftsleitung einen Gesamtüberblick über ausgelagerte Aktivitäten und Prozesse behält, der ihr mindestens jährlich in Form eines Berichts über die wesentlichen Auslagerungen zur Verfügung gestellt wird. Neben einer Aussage darüber, ob die erbrachten Dienstleistungen der Auslagerungsunternehmen den vertraglichen Vereinbarungen entsprechen, soll das zentrale Auslagerungsmanagement beurteilen, ob die ausgelagerten Aktivitäten und Prozesse angemessen gesteuert und überwacht werden können und ob weitere risikominimierende Maßnahmen zu ergreifen sind.

Auslagerung besonderer Funktionen

Bei der Auslagerung der besonderen Funktionen Risikocontrolling-Funktion, Compliance-Funktion und Interne Revision ergeben sich besondere Maßstäbe: So kann eine Auslagerung von Aktivitäten und Prozessen in Kontrollbereichen und Kernbankbereichen zunächst nur in einem Umfang vorgenommen werden, der gewährleistet, dass der ordnungsmäßige Betrieb in diesen Bereichen im Falle der Beendigung des Auslagerungsverhältnisses oder der Änderung der Gruppenstruktur fortgesetzt werden kann. Nur wenn das Institut weiterhin über Kenntnisse und Erfahrungen verfügt, die eine wirksame Überwachung der vom Auslagerungsunternehmen erbrachten Dienstleistungen gewährleisten, kann einem Kontrollverlust und dem Verlust von Expertise präventiv begegnet werden.

Überarbeitung der Dienstleisterverträge

Insbesondere im Hinblick auf Risiken, die auf externe Dienstleister zurückzuführen sind, stellen die BAIT die gleich hohen Anforderungen an die Steuerung des sogenannten Fremdbezugs von IT-Dienstleistungen wie an Auslagerungen. So ist in jedem Fall eine Risikobewertung durchzuführen, deren Ergebnis maßgeblich für die Überwachung der vom Dienstleister geschuldeten Leistung ist. Auch aus der Risikobewertung abgeleitete Maßnahmen sind insofern angemessen in der Vertragsgestaltung zu berücksichtigen, als dass Anpassungsbedarfe mit den Dienstleistern zu verhandeln oder Verträge ggf. gänzlich neu aufzusetzen sind.

PRAXISTIPPS

Überprüfung des bereits bestehenden Auslagerungsmanagements und Anpassung an die neuen Verhältnisse, insbesondere im vertraglichen Bereich.
Stärkung der institutseigenen Kenntnisse und Erfahrungen, um eine wirksame Überwachung der vom Auslagerungsunternehmen erbrachten Dienstleistungen zu gewährleisten.
Einrichtung eines zentralen Auslagerungsmanagements, das den Gesamtüberblick über ausgelagerte Aktivitäten und Prozesse behält, um die Geschäftsleitung bei der Steuerung und Überwachung damit verbundener Risiken unterstützen zu können.
Durchführung eines Assessments aller (IT-)Dienstleister, um notwendige Anpassungsbedarfe zu verhandeln oder ggf. Verträge gänzlich neu aufzusetzen.

Die in diesem Aufsatz vertretenen Auffassungen geben die persönliche Meinung der Autorin wieder und sind nicht notwendigerweise Positionen der Deutschen Bundesbank oder einer anderen Bankenaufsichtsbehörde. ↑

Beitragsnummer: 456

Ein eigenes MeinFCH-Konto ist zwingend Voraussetzung, wenn Sie über unseren Online-Shop eine Bestellung auslösen möchten. Das Konto benötigen Sie, wenn Sie selbst ein Online-Seminar live verfolgen oder Ihre Seminardokumentation bzw. Ihre personalisierte Teilnahmebestätigung herunterladen möchten. Bitte geben Sie Ihre MeinFCH-Login-Daten niemals an dritte Personen weiter. Wir empfehlen Ihnen die Nutzung dieser Browser: Google Chrome, Mozilla Firefox oder Microsoft Edge. Bitte erlauben Sie außerdem Pop-Ups auf unserer Seite.

Anmelden

Bitte melden Sie sich an, um folgende Seite nutzen zu können.

E-Mail-Adresse

Passwort

Angemeldet bleiben

🔒 Sichere SSL-Verschlüsselung

Passwort vergessen?

Neu bei MeinFCH?
Jetzt registrieren!

E-Mail-Adresse

Passwort eingeben

Passwort bestätigen

Passwortlänge: 0 Zeichen

Gültigkeit: -

Sicherheit: -

Ihr sicheres Passwort muss folgende Merkmale besitzen:

Groß- und Kleinschreibung

Zahlen

Sonderzeichen (!$%&#)

mindestens 8 Zeichen

Ja, ich möchte ein Kundenkonto eröffnen und akzeptiere die Datenschutzerklärung.

🔒Sichere SSL-Verschlüsselung

Loggen Sie sich ein, um unsere Favoritenfunktion zu nutzen:

Beitrag teilen:

Beiträge zum Thema:

Berücksichtigung von Modellrisiken in der Risikotragfähigkeitsanalyse

Prüfungsansätze der Bankenaufsicht zur Beurteilung der Notwendigkeit der Berücksichtigung von Modellrisiken innerhalb der Risikotragfähigkeitsanalyse

16.01.2024

DORA: Fokus auf die IKT-Dienstleister

Im ersten Schritt sollten alle Banken frühzeitig prüfen welche Auslagerungen, Fremdbezüge tatschlich IKT-relevant sind

10.03.2024

Anzeigepflicht von Auslagerungen – alter Wein in neuen Schläuchen?

Ist die Anzeigepflicht wesentlicher Auslagerungen (§ 24 Abs. 1 Nr. 19 KWG) ein Déjà-vu oder Teil des holistischen Ansatzes der Bankenaufsicht?

04.07.2022

Kryptoverwahrgeschäft – was bringt die Erlaubnis für die Institute?

Abgrenzung zu anderen bestehenden Finanzdienstleistungen sowie Hervorhebung ausgewählter bankaufsichtsrechtlicher Anforderungen

03.01.2023

DORA-Umsetzung: Hilfe zur Selbsthilfe

Ein Vorgehensmodell zur Implementierung der DORA aus der Praxis

26.02.2024