Aufsichtsrechtliche Anforderungen an das Outsourcing
Auswirkungen auf Steuerungs-, Kontrollbereiche und Interne Revision • Deutlich ausgeweitete Anforderungen durch neue EBA-Vorgaben
Inhaltsverzeichnis:
Schwerpunkte des Beratungsangebots
Zum Thema
Die Steuerung der Auslagerungen und auch der sonstigen Fremdbezüge rückt immer stärker in den Fokus externer sowie interner Prüfungen. Die MaRisk und BAIT haben weitgehende Klarstellungen gebracht und die EBA-Guideline on Outsourcing geht vom Umfang und Detailgrad nochmal weit darüber hinaus. Die Risikoanalyse soll die Wesentlichkeit der Drittbezüge festlegen und die jeweiligen Risiken im Einzelnen konkret bewerten. Darauf aufbauend müssen angemessene Kontrollhandlungen festgelegt werden.
Die EBA veröffentlichte am 25.02.2019 die überarbeiteten „Guidelines on outsourcing arrangements“ (inklusive der Empfehlungen zur Auslagerung an Cloud-Service-Anbieter aus Dezember 2017) und konkretisiert damit ihre Erwartungen an die Rahmenbedingungen für Auslagerungen. Auf 125 Seiten, davon 30 Seiten mit konkreten Anforderungen, wird - im Vergleich zu den MaRisk - eine erweiterte Detailtiefe dokumentiert. Die Guidelines sollen nunmehr zum 30.09.2019 in Kraft treten. Wie auch in der Konsultation verdeutlicht die EBA in der Tz. 33 ihre Erwartungshaltung, dass sämtliche Leistungen, die von Dritten bezogen werden hinsichtlich ihres Risikos bewertet werden sollten. Hinsichtlich des Auslagerungsregisters werden die Dokumentationserfordernisse gem. Tz. 52 ff. erheblich ansteigen. Mit einer weitgehenden Übernahme durch die BaFin ist zu rechnen.
Inhalte
Auslagerungen als Schwerpunkt der MaRisk, BAIT und EBA - aufsichtliche Erwartungen an die praktische Umsetzung
Allgmeine Anforderungen an die Steuerung von wesentlichen und unwesentlichen Auslagerungen
Problemfelder: Outsourcing-Strategien • fehlende Auslagerungsgovernance • lückenhafte laufende Überwachung der SLA-Vereinbarungen • unvollständige Risikoanalysen • fehlende Organisationsrichtlinien und Dokumentationen • besondere Auffälligkeiten im Verbund
Künftige Prüffelder: u. a. Risikoanalyse/Wesentlichkeitseinstufung • Exit-Strategien • Dienstleister-Reporting
Einstufung der IT-Dienstleistungen in Auslagerung und Fremdbezug von IT-Dienstleistungen
Interner Risikoanalyse-Prozess für Auslagerungen als wesentlicher Bestandteil des Risikomanagements
Auslagerungen als ein Instrument zur Wertschöpfung im Geschäftsmodell - bewusste Entscheidungen treffen, die konsistent zur Geschäftsstrategie und zum Risikoappetit sind Bewertung der Auslagerungsrisiken im Einzelfall und aus der Portfoliosicht - Bezug zur Risikoinventur und zum Gesamtrisikoprofil
Aufgabenstellungen des zentralen Auslagerungsmanagements
Aufbau eines Dienstleister-Reportings
IT-Auslagerungen und sonstige IT-Fremdbezüge - Schwerpunkte und häufige Schwachstellen
Interne Revision und Auslagerungen: Projektbegleitung • Analyse externer Revisionsberichte/Notwendigkeit von Prüfungen vor Ort (?) • interne Prüffeldlandkarte
Beratungsangebot anfordern