Dienstag, 31. Dezember 2019

Steigende Anforderungen im Auslagerungsmanagement

Erhöhte Pflichten und Kontrollen für die Institute aufgrund der verstärkten Durchführung von aufsichtsrechtlichen Sonderprüfungen.

Ina Märzluft, Senior Consultant/Prokuristin, FCH Consult GmbH

Seit dem Jahr 2012 – mit der bankenaufsichtlichen Definition nach AT 9 Tz. 1 MaRisk – nehmen die Entwicklungen im Auslagerungsmanagement jährlich stetig zu. Die letzte Veröffentlichung durch die Europäische Bankenaufsichtsbehörde (EBA) zu Informations- und Kommunikationstechnologie (IKT) und Sicherheitsrisikomanagement am 28.11.2019 verschärft die Anforderungen in einer weiteren Detailtiefe.

Abbildung: Überblick der rechtlichen Anforderungen an das Auslagerungsmanagement

Generell liegt eine Auslagerung vor, wenn ein anderes Unternehmen mit der Wahrnehmung solcher Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt wird, die ansonsten vom Institut selbst erbracht würden. Mit der EBA-Leitlinie Guidelines on Outsourcing (EBA/GL/2019/02) wurde der Anwendungsbereich auf Kreditinstitute, Wertpapierfirmen, Zahlungsinstitute und E-Geld-Institute erweitert.

Cover130BERATUNGSTIPPS

Quick-Check Neue Auslagerungs-Anforderungen.

Fit für die BAIT und die Sonderprüfung IT.

  

Die aktuellen Prüfungserfahrungen zeigen, dass manche Institute diese Definitionen in der Form auslegen, dass in Tätigkeiten von Dritten keine bzw. keine wesentlichen Auslagerungen gesehen werden, welches zu vermehrten Feststellungen durch die Bundesaufsicht beim Institut führt.

Die entscheidende Fragestellung lautet dabei:

  • Wie hat sich das Institut mit den Risiken, die ihm aufgrund einer Leistungserbringung durch Dritte entstehen, auseinandergesetzt bzw. diese eingeschätzt und dadurch entsprechend durch risikominimierende Maßnahmen behandelt?

Aktuell steht das Management von Risiken, die dem Institut aufgrund von Tätigkeiten durch Service-Provider entstehen, im Fokus der aufsichtsrechtlichen Bestimmungen. Daher ist die regulatorische Unterscheidung zwischen „wesentlichen“, „nicht-wesentlichen“ Auslagerungen und Fremdbezug oder zwischen einer „Risikoanalyse“ und einer „Risikobewertung“ ohne große Relevanz. Durch Weiterverlagerungen verschwinden keine Risiken. Allerdings ändert sich in der Regel die Risikosituation. Dieser Tatsache muss vom auslagernden Institut angemessen Rechnung getragen werden. Daher gelten die Regelungen von AT 9 MaRisk auch für Weiterverlagerungen von Tätigkeiten durch den Dienstleister. Die Verantwortung für ausgelagerte Prozesse verbleibt immer beim auslagernden Institut.

Die Verantwortung für das Risikomanagement von Auslagerungen liegt stets bei der Geschäftsleitung. Sie kann niemals delegiert und somit auch nicht ausgelagert werden. Die operative Durchführung ist im Rahmen schriftlich fixierter Regelungen delegierbar.

 SEMINARTIPPS

Neue MaRisk 2020, 17.03.2020, Frankfurt/M.

Prüfung AT 9 – Auslagerungen, 31.03.2020, Köln.

PraxisFalle IT-Dienstleistungen: Sonstiger Fremdbezug vs. Auslagerung, 22.06.2020, Frankfurt/Offenbach.

Auslagerungen im Fokus von neuer MaRisk & BAIT, 23.06.2020, Frankfurt/Offenbach.

Risikoanalysen bei Auslagerungen, 02.11.2020, Hamburg.

Prüfung (NEUE) BAIT im Fokus der Bankenaufsicht, 25.–26.11.2020, Düsseldorf.

Eine Auswertung der von Bundesbankprüfern durchgeführten Prüfungen hat ergeben, dass im Zusammenhang mit Auslagerungen besonders häufig Feststellungen zu nachfolgenden Sachverhalten getroffen werden:

  • Vollständige Übersicht der vorgenommenen Auslagerungen (wesentliche Auslagerung bis sonstiger Fremdbezug) inklusive der Definition von Wesentlichkeit
  • Gestaltung und Durchführung von Risikoanalysen sowie der Begründung der Einstufung als wesentlich/nicht wesentlich und eine einheitliche Risikobewertung
  • Inhalte der vertraglichen Regelungen (Vereinbarung und Kontrolle von Service-Level-Agreements)
  • Dienstleistersteuerung und -überwachung sowie Due-Diligence-Prüfung
  • Revision ausgelagerter Tätigkeiten sowie
  • Dokumentation der Ausstiegsstrategien

Die sogenannte „Altfallregelung“ gilt seit der MaRisk-Novelle 2017 nicht mehr. Bei als wesentlich eingestuften Auslagerungen ist die Risikoanalyse ebenfalls jährlich durchzuführen, während bei „nicht wesentlichen“ Auslagerungen ein Drei-Jahres-Turnus ausreichend ist.

Die MaRisk fordern auch die Vorbereitung des Instituts auf eine erwartete (beabsichtigte) oder vorzeitige (unerwartete) Beendigung der Auslagerung. Bei einer Beendigung der Leistungserbringung durch den Dienstleister sollen die betroffenen Bankgeschäfte weiterhin betrieben werden können. Sowohl die Ausstiegsprozesse als auch die Handlungsoptionen können im Rahmen der Risikoanalyse festgelegt bzw. bestimmt werden.

Die Bankaufsichtlichen Anforderungen an die IT (BAIT) sind zusätzlich ein zentraler Baustein der IT-Aufsicht in Deutschland geworden, welche sich ebenfalls an die Geschäftsleitung der Unternehmen richtet.

FILMTIPP

Verschärfung der Regelungen im Auslagerungsmanagement 2020.

   

Ziel der BAIT ist es, einen verständlichen und flexiblen Rahmen für das Management der IT-Ressourcen, des Informationsmanagementrisikos und der Informationssicherheit zu schaffen. Sie sollen auch dazu beitragen, das unternehmensweite IT-Risikobewusstsein in den Instituten und gegenüber den Auslagerungsunternehmen zu erhöhen. Auch die Erwartungen der Bankenaufsicht an die Institute in Bezug auf die Steuerung und Überwachung des IT-Betriebs, einschließlich des hierfür notwendigen Berechtigungsmanagements, der Anforderungen an das IT-Projektmanagement und der Anwendungsentwicklung, sind nunmehr transparent.

Die BAIT adressieren insgesamt die Themenbereiche, die die Aufsicht aufgrund der Ergebnisse der IT-Prüfungspraxis in den letzten Jahren als besonders wichtig einstuft. Die BAIT konkretisieren, was die Aufsicht unter einer angemessenen technisch-organisatorischen Ausstattung der IT-Systeme, unter besonderer Berücksichtigung der Anforderungen an die Informationssicherheit sowie eines angemessenen Notfallkonzepts, versteht. Nicht zuletzt aufgrund der Bedeutung des Notfallmanagements für die Bewertung der Risikotragfähigkeit konkretisieren daraufhin die MaRisk die Anforderungen und nehmen im Zusammenhang mit Auslagerungen erneut darauf Bezug.

Die teilweise sehr detaillierten Formulierungen der EBA-Leitlinien für Auslagerungsvereinbarungen (EBA/GL/2019/02) stellen insgesamt sehr komplexe Anforderungen an den gesamten Auslagerungsprozess und die Überwachung dar. Um Sie bei Ihren Prozessanpassungen zu unterstützen, finden Sie unter dem Link https://www.fch-gruppe.de/final-report-eba-guideline-outsourcing-arrangements/?utm_source=newsletter&utm_medium=email&utm_campaign=BTS-Vorstand eine Übersetzung der relevanten Textziffern der Guideline (Tz. 7, 12–17, 26–108) sowie eine erste Einschätzung für jede dieser Textziffern.

Die Einrichtung der Funktion und Rolle eines zentralen Auslagerungsmanagers inklusive der Abbildung eines vollständigen Auslagerungsregister ist unabdingbar geworden.

Mit der Veröffentlichung der Richtlinien zur Informations- und Kommunikationstechnologie (IKT) und Sicherheitsrisikomanagement definiert die EBA ihre Erwartungen weiter an die Strategie, Governance, Informationssicherheit, Betriebs- und Business-Continuity-Management und intensiviert den Umgang von Risiken, z. B. durch die Berücksichtigung von Auslagerungs- und Projektrisiken im operationellen Risikomanagement, sowie die Kontrollen der Maßnahmen zur Risikominimierung.

Es wird der vollständige Überblick der IKT-Assets (einschließlich IKT-Systeme, Netzwerkgeräte, Datenbanken, usw.) in den einzelnen Instituten und den ausgelagerten Bereichen inklusive der positiven und negativen Auswirkungen bei Neuerungen, Änderungen oder Löschungen mit der Einhaltung der definierten Kommunikationswege verlangt.

Ziel muss es sein, die IKT- und Sicherheitsrisiken der Institute und der Auslagerungsunternehmen so gering wie möglich zu halten und regelmäßig zu kontrollieren, um keine negativen Auswirkungen auf das Risikoprofil oder Risikozuschläge bei der Kernkapitalquote zu erzielen.

Wir haben für Sie die Richtlinie zum IKT- und Sicherheitsmanagement übersetzt und eine erste Bewertung der einzelnen Kapitel vorgenommen. Dieses können Sie bei uns in Form einer Excel-Tabelle per Mail an info@fch-gruppe.de erwerben.

Sie haben Fragen? Sprechen Sie mich gerne an:

Ina Märzluft

Senior Consultant/Prokuristin

FCH Consult GmbH

www.fchconsult.de

Mobil: +49 176 84 975 974

E-Mail: Ina.Maerzluft@FCH-Gruppe.de


Beitragsnummer: 4855

Beitrag teilen:

Beiträge zum Thema:

Beitragsicon
Anzeigepflicht von Auslagerungen – alter Wein in neuen Schläuchen?

Ist die Anzeigepflicht wesentlicher Auslagerungen (§ 24 Abs. 1 Nr. 19 KWG) ein Déjà-vu oder Teil des holistischen Ansatzes der Bankenaufsicht?

04.07.2022

Beitragsicon
Berücksichtigung von Modellrisiken in der Risikotragfähigkeitsanalyse

Prüfungsansätze der Bankenaufsicht zur Beurteilung der Notwendigkeit der Berücksichtigung von Modellrisiken innerhalb der Risikotragfähigkeitsanalyse

16.01.2024

Beitragsicon
Herausgeberinterview mit Henning Riediger

Interview mit Buchherausgeber Henning Riediger zur Neuerscheinung MaRisk-Berichtswesen

05.04.2024

Beitragsicon
DORA-Umsetzung: Hilfe zur Selbsthilfe

Ein Vorgehensmodell zur Implementierung der DORA aus der Praxis

26.02.2024

Beitragsicon
HR-Prozesse in der Prüfung

Die Personalarbeit rückt weiter in den Fokus der Aufsicht. Die Mitarbeitenden sind u.a. die Grundlage für ein wirksames IKS.

04.03.2024

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.