Aufsichtsrechtliche Anforderungen an das Outsourcing

Auswirkungen auf Steuerungs-, Kontrollbereiche und Interne Revision • Deutlich ausgeweitete Anforderungen durch neue EBA-Vorgaben

Inhaltsverzeichnis:

Schwerpunkte des Beratungsangebots

Zum Thema

Die Steuerung der Auslagerungen und auch der sonstigen Fremdbezüge rückt immer stärker in den Fokus externer sowie interner Prüfungen. Die MaRisk und BAIT haben weitgehende Klarstellungen gebracht und die EBA-Guideline on Outsourcing geht vom Umfang und Detailgrad nochmal weit darüber hinaus. Die Risikoanalyse soll die Wesentlichkeit der Drittbezüge festlegen und die jeweiligen Risiken im Einzelnen konkret bewerten. Darauf aufbauend müssen angemessene Kontrollhandlungen festgelegt werden.

Die EBA veröffentlichte am 25.02.2019 die überarbeiteten „Guidelines on outsourcing arrangements“ (inklusive der Empfehlungen zur Auslagerung an Cloud-Service-Anbieter aus Dezember 2017) und konkretisiert damit ihre Erwartungen an die Rahmenbedingungen für Auslagerungen. Auf 125 Seiten, davon 30 Seiten mit konkreten Anforderungen, wird - im Vergleich zu den MaRisk - eine erweiterte Detailtiefe dokumentiert. Die Guidelines sollen nunmehr zum 30.09.2019 in Kraft treten. Wie auch in der Konsultation verdeutlicht die EBA in der Tz. 33 ihre Erwartungshaltung, dass sämtliche Leistungen, die von Dritten bezogen werden hinsichtlich ihres Risikos bewertet werden sollten. Hinsichtlich des Auslagerungsregisters werden die Dokumentationserfordernisse gem. Tz. 52 ff. erheblich ansteigen. Mit einer weitgehenden Übernahme durch die BaFin ist zu rechnen.

 

Inhalte

Auslagerungen als Schwerpunkt der MaRisk, BAIT und EBA - aufsichtliche Erwartungen an die praktische Umsetzung

Allgmeine Anforderungen an die Steuerung von wesentlichen und unwesentlichen Auslagerungen

Problemfelder: Outsourcing-Strategien • fehlende Auslagerungsgovernance • lückenhafte laufende Überwachung der SLA-Vereinbarungen • unvollständige Risikoanalysen • fehlende Organisationsrichtlinien und Dokumentationen • besondere Auffälligkeiten im Verbund

Künftige Prüffelder: u. a. Risikoanalyse/Wesentlichkeitseinstufung • Exit-Strategien • Dienstleister-Reporting

Einstufung der IT-Dienstleistungen in Auslagerung und Fremdbezug von IT-Dienstleistungen

Interner Risikoanalyse-Prozess für Auslagerungen als wesentlicher Bestandteil des Risikomanagements

Auslagerungen als ein Instrument zur Wertschöpfung im Geschäftsmodell - bewusste Entscheidungen treffen, die konsistent zur Geschäftsstrategie und zum Risikoappetit sind Bewertung der Auslagerungsrisiken im Einzelfall und aus der Portfoliosicht - Bezug zur Risikoinventur und zum Gesamtrisikoprofil

Aufgabenstellungen des zentralen Auslagerungsmanagements

Aufbau eines Dienstleister-Reportings

IT-Auslagerungen und sonstige IT-Fremdbezüge - Schwerpunkte und häufige Schwachstellen

Interne Revision und Auslagerungen: Projektbegleitung • Analyse externer Revisionsberichte/Notwendigkeit von Prüfungen vor Ort (?) • interne Prüffeldlandkarte

Beratungsangebot anfordern

Zu den FAQs

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.