Ina Märzluft, Senior Consultant/Prokuristin, FCH Consult GmbH
Durch die bankenaufsichtliche Definition nach AT 9 Tz. 1 MaRisk nehmen die Entwicklungen im Auslagerungsmanagement jährlich stetig zu. Die letzte Veröffentlichung durch die Europäische Bankenaufsichtsbehörde (EBA) zu Informations- und Kommunikationstechnologie (IKT) und Sicherheitsrisikomanagement am 28.11.2019 verschärft die aufsichtskonformen Anforderungen in einer weiteren Detailtiefe, nicht nur für Finanzinstitute, sondern auch für (IT-)Dienstleister.
Dadurch definiert die EBA ihre Erwartungen an die Strategie, Governance, Informationssicherheit, Betriebs- und Business-Continuity-Management weiter und intensiviert den Umgang mit Risiken, z. B. durch die Berücksichtigung von Auslagerungs- und Projektrisiken im operationellen Risikomanagement, sowie die Kontrollen der Maßnahmen zur Risikominimierung. Es wird der vollständige Überblick der IKT-Assets (einschließlich IKT-Systeme, Netzwerkgeräte, Datenbanken, usw.) in den einzelnen Finanzinstituten und den ausgelagerten Bereichen inklusive der positiven und negativen Auswirkungen bei Neuerungen, Änderungen oder Löschungen mit der Einhaltung der definierten Kommunikationswege verlangt.
Dieses bedeutet für die Auslagerungsunternehmen (Service Provider), dass sie neben der Analyse und Bewertung der Risiken der jeweiligen Dienstleistung insbesondere die Zugangs-, Informations- und Prüfungsrechte bei allen Auslagerungen vertraglich zusichern und gewähren müssen.
Dieses stellt neue Anforderungen an die (IT-)Dienstleister in ihrer Aufbau- und Ablauforganisation, u. a. durch
- Dokumentation von Geschäftsprozessen in einer schriftlich fixierten Ordnung (Organisationshandbuch)
- Implementierung eines Risikomanagements inklusive einer einheitlichen Risikoanalyse und -bewertung
- Detaillierung der Vertragsvereinbarungen, um die aufsichts- und datenschutzrechtlichen Anforderungen zu erfüllen
- Zunahme der Verantwortlichkeiten, verbunden sowohl mit einem Personal- als auch Know-how-Aufbau, im Three-Lines-of-Defense-Modell (Modell der drei Verteidigungslinien) zur Erfassung, Identifizierung, Analyse und Bewertung der Risiken und im Compliance-Management
- Aufbau eines Internen Kontrollsystems zur Kontrolle und Überwachung der Service-Level-Agreements mit Key-Performance-Indikatoren (KPIs) zur regelmäßigen Messung und Beurteilung der Leistung
- Implementierung einer (IT-)Dienstleistersteuerung und -überwachung zur Sicherstellung der Servicequalität
- Umgang mit Weiterverlagerungen zur Gewährleistung der aufsichtsrechtlichen Anforderungen
- Aufbau einer Internen Revision durch die Zunahme neuer Prüffelder und zur Durchführung von Audits für den Nachweis von diversen Prüfberichten
Durch die Mindestanforderungen an das Risikomanagement (MaRisk), den Bankaufsichtlichen Anforderungen an die IT (BAIT) und EBA-Guidelines sowie dem Datenschutz erhöht sich Steuerung der Auslagerungen bei den Finanzinstituten und damit auch bei den Auslagerungsunternehmen. Die risikoorientierten und aufsichtskonformen Anforderungen der Finanzinstitute werden damit ebenfalls an die (IT-)Dienstleister „ausgelagert“. Bei einer Prüfung der Bundesbank werden nicht mehr „nur“ das Finanzinstitut geprüft, sondern auch die Unternehmen der Auslagerung.
Gemeinsames Ziel zwischen Finanzinstitut und Auslagerungsunternehmen muss es sein, die IKT- und Sicherheitsrisiken so gering wie möglich zu halten und regelmäßig zu kontrollieren, um keine negativen Auswirkungen auf das Risikoprofil oder Risikozuschläge bei der Kernkapitalquote der Finanzinstitute zu erzielen.
Daher bieten wir folgende Unterstützungs-/Beratungsleistungen, insbesondere für (IT-)Dienstleister an:
- Aufbau eines internen Dienstleister-Kontrollsystems
- Durchführung eines Quick-Checks Auslagerungsmanagement
- Unterstützung bei der Implementierung einer aufsichtskonformen Dienstleistersteuerung
SEMINARTIPPS
(Neue) BAIT: Praxis & Prüfung - Künftige Vorgaben & Herausforderungen, 23.03.2020, Köln.
Auslagerungen im Fokus von neuer MaRisk/BAIT & EBA-GL, 23.06.2020, Frankfurt/Offenbach.
Prüfung (NEUE) BAIT im Fokus der Bankenaufsicht, 25.–26.11.2020, Düsseldorf.
BERATUNGSTIPP
Fit für die BAIT und die Sonderprüfung IT.
FILMTIPP
BAIT in der Revisionspraxis: Prüfungsschwerpunkt IT-Governance.
Sie haben Fragen zum Thema? – Gerne unterstütze ich Sie bei der Umsetzung der neuen, erweiterten Anforderungen:
Ina Märzluft
Senior Consultant/Prokuristin
FCH Consult GmbH
www.fchconsult.de
Mobil: +49 176 84 975 974
E-Mail: ina.maerzluft@fch-gruppe.de
Beitragsnummer: 5153