Freitag, 15. Juni 2018

Auslagerungsvereinbarungen auf dem Prüfstand

Laura Zappavigna, Prüferin im Referat Bankgeschäftliche Prüfungen 2, Deutsche Bundesbank, Hauptverwaltung in NRW, Düsseldorf^[1]

Durch die am 27.10.2017 in Kraft getretene fünfte Novellierung der MaRisk ergeben sich neben wesentlichen Neuerungen hinsichtlich der Risikodatenaggregation (BCBS 239) sowie der Etablierung einer Risikokultur insbesondere für das Management von Auslagerungsrisiken erhöhte Anforderungen. Neben der Integration einer Reihe international- und europarechtlicher Vorgaben – insbesondere der europäischen Bankenaufsichtsbehörde EBA sowie des Basler Ausschusses für Bankenaufsicht (BCBS) – flossen auch Erfahrungen von BaFin und Bundesbank aus der täglichen Aufsicht sowie aus Sonderprüfungen in die Überarbeitung ein. In der Aufsichtspraxis sind vielfach Mängel in der Anwendung des AT 9 sichtbar geworden, die z. T. auch auf herrschende Unklarheiten in der Praxis hinsichtlich einer MaRisk-konformen Anwendung zurückzuführen sind.

Vertragliche Vereinbarungen bei Auslagerungen

Wenngleich es grundsätzlich keine gesetzlichen Anforderungen an einen Auslagerungsvertrag und dadurch auch keine verbindlichen Regeln gibt, fordern die MaRisk in Tz. 7 des AT 9 vertragliche Mindestvereinbarungen für wesentlichen Auslagerungen. Neben einer möglichst klaren Abgrenzung zwischen den Rechten und Pflichten der Vertragspartner muss die Überwachung der Qualität der erbrachten Leistungen sowie der Risiken der Auslagerung jederzeit sichergestellt werden. Die Gestaltung von Service-Level-Agreements ist dabei essenziell und sollte hinsichtlich Detailtiefe und Präzision an der Kritikalität der Auslagerung ausgerichtet werden. Die Verträge sollten sowohl flexible Variablen zulassen als auch stabile Vorgaben aufweisen. Neben Übernahmeverträgen zu Beginn des Outsourcing-Vorhabens bedarf es auch vertraglicher Vereinbarungen über die (Rück-)Übertragung bestimmter Vermögensgegenstände (Hard- und Software), Weiterverlagerungen und sonstiger Sicherheitsanforderungen wie Zugangsbestimmungen und Zugriffsberechtigungen. Durch die Festlegung von Kündigungsrechten und eines akzeptablen Grades der Schlechtleistung werden Überschreitungen vertraglich dokumentiert und können somit gegenüber dem Dienstleister sanktionierbar gemacht werden.

SEMINARTIPPS

Neue Pflichten für die Dienstleistersteuerung, 14.11.2018, Frankfurt/M.

Auslagerungsverträge auf dem Prüfstand, 15.11.2018, Frankfurt/M.

Prüfung Auslagerungsprozesse, 22.11.2018, Köln.

Abgrenzung von Auslagerungen zu sonstigen Fremdbezügen

Um Unklarheiten hinsichtlich des Auslagerungstatbestandes zu beseitigen und das Management besonderer, mit Auslagerungen verbundener Risiken effektiver zu gestalten, wurde neben der Bewertung des Auslagerungstatbestands auch der sonstige Fremdbezug von Leistungen durch die Aufsicht deutlicher definiert. Für die Vertragsgestaltung bedeutet dies, dass der sonstige Fremdbezug von Leistungen insofern eine Erleichterung erfährt, als dass die einschlägigen Regelungen des § 25b KWG regelmäßig nicht angemessen sind und lediglich die allgemeinen Anforderungen des § 25a Abs. 1 KWG Beachtung finden müssen. Im Hinblick auf die grundlegende Bedeutung der IT für das Institut ergibt sich jedoch die Besonderheit, dass die bankaufsichtlichen Anforderungen an die IT (BAIT) die gleich hohen Anforderungen an die Steuerung des sogenannten Fremdbezugs von IT-Dienstleistungen wie an Auslagerungen stellen. Dies erfordert in jedem Fall die Durchführung einer Risikobewertung, deren Ergebnis maßgeblich für die Überwachung der vom Dienstleister geschuldeten Leistung ist. Auch aus der Risikobewertung abgeleitete Maßnahmen sind insofern angemessen in der Vertragsgestaltung zu berücksichtigen, als dass Anpassungsbedarfe mit den Dienstleistern zu verhandeln oder Verträge ggf. gänzlich neu aufzusetzen sind.

PRAXISTIPPS

Überprüfung des bereits bestehenden Auslagerungsmanagements und Anpassung an die neuen Verhältnisse, insbesondere im vertraglichen Bereich.
Durchführung eines Assessments aller (IT-)Dienstleister, um notwendige Anpassungsbedarfe zu verhandeln oder ggf. Verträge gänzlich neu aufzusetzen.
Stärkung der institutseigenen Kenntnisse und Erfahrungen, um eine wirksame Überwachung der vom Auslagerungsunternehmen erbrachten Dienstleistungen zu gewährleisten.
Analyse bestehender Auslagerungsverträge in Bezug auf Anpassungsbedarfe aufgrund der neuen Regelungen zu Weiterverlagerungen, Kündigungsrechten und Anforderungen an die Datensicherheit.
Auswertung der Berichterstattung und ihre Überführung in das Risikomanagement als zentralen Baustein der Dienstleistersteuerung implementieren.

Die in diesem Aufsatz vertretenen Auffassungen geben die persönliche Meinung der Autorin wieder und sind nicht notwendigerweise Positionen der Deutschen Bundesbank oder einer anderen Bankenaufsichtsbehörde. ↑

Beitragsnummer: 709

Ein eigenes MeinFCH-Konto ist zwingend Voraussetzung, wenn Sie über unseren Online-Shop eine Bestellung auslösen möchten. Das Konto benötigen Sie, wenn Sie selbst ein Online-Seminar live verfolgen oder Ihre Seminardokumentation bzw. Ihre personalisierte Teilnahmebestätigung herunterladen möchten. Bitte geben Sie Ihre MeinFCH-Login-Daten niemals an dritte Personen weiter. Wir empfehlen Ihnen die Nutzung dieser Browser: Google Chrome, Mozilla Firefox oder Microsoft Edge. Bitte erlauben Sie außerdem Pop-Ups auf unserer Seite.

Anmelden

Bitte melden Sie sich an, um folgende Seite nutzen zu können.

E-Mail-Adresse

Passwort

Angemeldet bleiben

🔒 Sichere SSL-Verschlüsselung

Passwort vergessen?

Neu bei MeinFCH?
Jetzt registrieren!

E-Mail-Adresse

Passwort eingeben

Passwort bestätigen

Passwortlänge: 0 Zeichen

Gültigkeit: -

Sicherheit: -

Ihr sicheres Passwort muss folgende Merkmale besitzen:

Groß- und Kleinschreibung

Zahlen

Sonderzeichen (!$%&#)

mindestens 8 Zeichen

Ja, ich möchte ein Kundenkonto eröffnen und akzeptiere die Datenschutzerklärung.

🔒Sichere SSL-Verschlüsselung

Loggen Sie sich ein, um unsere Favoritenfunktion zu nutzen:

Beitrag teilen:

Beiträge zum Thema:

Berücksichtigung von Modellrisiken in der Risikotragfähigkeitsanalyse

Prüfungsansätze der Bankenaufsicht zur Beurteilung der Notwendigkeit der Berücksichtigung von Modellrisiken innerhalb der Risikotragfähigkeitsanalyse

16.01.2024

Anzeigepflicht von Auslagerungen – alter Wein in neuen Schläuchen?

Ist die Anzeigepflicht wesentlicher Auslagerungen (§ 24 Abs. 1 Nr. 19 KWG) ein Déjà-vu oder Teil des holistischen Ansatzes der Bankenaufsicht?

04.07.2022

DORA: Fokus auf die IKT-Dienstleister

Im ersten Schritt sollten alle Banken frühzeitig prüfen welche Auslagerungen, Fremdbezüge tatschlich IKT-relevant sind

10.03.2024

Wirksamkeit von Verwahrentgelten

Die Vereinbarung eines Verwahrentgelts ist als Hauptpreisabrede der AGB-rechtlichen Inhaltskontrolle entzogen sowie zudem nicht unangemessen & intransparent.

23.10.2023

Das Management von Biodiversitätsrisiken – History repeated?

Biodiversitätsrisiken sind mit den Klimarisiken verwandt – und doch bleiben Unterschiede in der regulatorischen Behandlung

16.05.2023

„z. Zt. gültiger Zinssatz“ keine Festpreisabrede

Die Klauseln in langfristigen Prämiensparverträgen beinhalt " aus der maßgeblichen Sicht des Sparers lediglich den zum Abschluss geltenden Zinssatz.

15.01.2024