Donnerstag, 31. Januar 2019

Dienstleistersteuerung im Lichte der MaRisk und BAIT

Laura Zappavigna, bankgeschäftliche Prüferin, Referat Bankgeschäftliche Prüfungen 2, Deutsche Bundesbank, Hauptverwaltung in NRW^[1]

Mit der fünften Novellierung der Mindestanforderungen an das Risikomanagement (MaRisk) und den Bankaufsichtlichen Anforderungen an die IT (BAIT) sind die Anforderungen an das Auslagerungsmanagement der Institute gestiegen. Neben Regelungen über den Softwarebezug werden insbesondere die Grenzen der Auslagerbarkeit durch die Aufsicht deutlicher definiert. Weitere Kernthemen sind vertragliche Mindestvereinbarungen für wesentliche Auslagerungen, um die Überwachung der Qualität der erbrachten Leistungen sowie der Risiken der Auslagerung jederzeit sicherzustellen, sowie die Einrichtung eines zentralen Auslagerungsmanagements – abhängig von der Art, dem Umfang und der Komplexität der Auslagerungsaktivitäten des jeweiligen Instituts.

Im Hinblick auf die grundlegende Bedeutung der IT für das Institut ergibt sich die Besonderheit, dass die BAIT ähnlich hohe Anforderungen an die Steuerung des sogenannten Fremdbezugs von IT-Dienstleistungen wie an Auslagerungen stellen. Dies erfordert in jedem Fall die Durchführung einer Risikobewertung, deren Ergebnis maßgeblich für die Überwachung der vom Dienstleister geschuldeten Leistung ist. Auch aus der Risikobewertung abgeleitete Maßnahmen sind insofern angemessen in der Vertragsgestaltung zu berücksichtigen, als dass Anpassungsbedarfe mit den Dienstleistern zu verhandeln oder Verträge ggf. gänzlich neu aufzusetzen sind.

SEMINARTIPPS

Kritische Analyse/Plausibilisierung von Dienstleister-Prüfberichten, 19.03.2019, Frankfurt/M.

PraxisFalle IT-Dienstleistungen: Sonstiger Fremdbezug vs. Auslagerung, 03.04.2019, Köln.(Un-)Abgestimmte Revisions- und Compliance-Tätigkeiten, 08.04.2019, Köln.

Risikoanalysen bei Auslagerungen, 20.05.2019, Frankfurt/M.

Am 22.06.2018 veröffentlichte die European Banking Authority (EBA) das Konsultationspapier „Draft Guidelines on Outsourcing arrangements“, zu dem die Kreditwirtschaft bis zum 24.09.2018 Stellung nehmen konnte. Mit Inkrafttreten, das für das erste Quartal 2019 vorgesehen ist, ersetzt die Guideline die noch aus dem Jahr 2006 bestehenden Outsourcing-Guidelines des CEBS und stellt detaillierte Anforderungen an die Dienstleistersteuerung, die teilweise über die Anforderungen der MaRisk hinausgehen. Die finale Guideline wird eröffnen, inwiefern die Dienstleistersteuerung auf dieser Grundlage erneut angepasst werden muss.

Dienstleistersteuerung durch angemessene Überwachungsprozesse

Nach AT 9 Tz. 9 der MaRisk sind mit wesentlichen Auslagerungen verbundene Risiken angemessen zu steuern und die Leistungserbringung externer Dienstleister ordnungsgemäß zu überwachen; dies umfasst auch die regelmäßige Beurteilung der Leistung des Auslagerungsunternehmens anhand vorzuhaltender Kriterien. Das rechtzeitige Erkennen von Auffälligkeiten in der Leistungserbringung sowie der zeitgerechte Informationsaustausch innerhalb des Unternehmens sind von besonderer Bedeutung, um ggf. geeignete Maßnahmen ableiten und umsetzen zu können. An dieser Stelle ist die Gestaltung adäquater Service-Level-Agreements (SLAs) essenziell, um die Anforderungen an die Leistungserbringung festzulegen. Neben der Definition des Leistungsumfangs und seiner Qualität, der Abgrenzung von Verantwortlichkeiten und dem Grad der tolerierbaren Schlechtleistung sollten insbesondere Anforderungen an ein nachhaltiges Reporting gestellt werden, das u. a. eine detaillierte Fehlerstatistik sowie die Entwicklung von Zielgrößen über Key Performance Indicators (KPIs) umfasst.

Kritische Würdigung von Dienstleister-(Prüf-)Berichten

Die Anforderungen der MaRisk an die Interne Revision hinsichtlich des Prüfungsumfangs richten sich nach AT 4.4.3 Tz. 3 und umfassen alle Aktivitäten und Prozesse des Instituts, wozu ebenfalls Auslagerungen zählen. Da alle für das Institut hinreichend relevanten Aktivitäten und Prozesse entsprechenden Revisionsprozessen zu unterliegen haben, ist auch die Vorlage der Prüfungs- und turnusmäßigen Berichterstattung des Dienstleistungsunternehmens revisionsseitig zu überwachen. Bei der Auswertung sind zudem Regelungen zum Umgang mit Feststellungen sowie eine Einschätzung hinsichtlich der Auswirkungen auf das eigene Institut zu treffen, um der eigenen Bewertungslogik folgende Feststellungen in die Mängelnachverfolgung übernehmen zu können. Neben der grundsätzlichen Eignung des Dienstleistungsunternehmens hat sich die Interne Revision zudem jährlich von der Funktionsfähigkeit der Revision des Dienstleisters zu überzeugen.

PRAXISTIPPS

Überprüfung des bereits bestehenden Auslagerungsmanagements und Einrichtung einer zentralen Dienstleistersteuerung, um die Prozesse so zu gestalten, dass sie Transparenz und Steuerung gewährleisten.
Stärkung der institutseigenen Kenntnisse und Erfahrungen, um eine wirksame Überwachung der vom Auslagerungsunternehmen erbrachten Dienstleistungen zu gewährleisten.
Definition von Prozessen zur Überwachung des Erhalts und hinsichtlich der Würdigung von Prüfungsberichten.
Auswertung der Berichterstattung und ihre Überführung in das Risikomanagement als zentralen Baustein der Dienstleistersteuerung implementieren.

Die in diesem Beitrag vertretenen Auffassungen geben die persönliche Meinung der Autorin wieder und sind nicht notwendigerweise Positionen der Deutschen Bundesbank oder einer anderen Bankenaufsichtsbehörde. ↑

Beitragsnummer: 1067

Ein eigenes MeinFCH-Konto ist zwingend Voraussetzung, wenn Sie über unseren Online-Shop eine Bestellung auslösen möchten. Das Konto benötigen Sie, wenn Sie selbst ein Online-Seminar live verfolgen oder Ihre Seminardokumentation bzw. Ihre personalisierte Teilnahmebestätigung herunterladen möchten. Bitte geben Sie Ihre MeinFCH-Login-Daten niemals an dritte Personen weiter. Wir empfehlen Ihnen die Nutzung dieser Browser: Google Chrome, Mozilla Firefox oder Microsoft Edge. Bitte erlauben Sie außerdem Pop-Ups auf unserer Seite.

Anmelden

Bitte melden Sie sich an, um folgende Seite nutzen zu können.

E-Mail-Adresse

Passwort

Angemeldet bleiben

🔒 Sichere SSL-Verschlüsselung

Passwort vergessen?

Neu bei MeinFCH?
Jetzt registrieren!

E-Mail-Adresse

Passwort eingeben

Passwort bestätigen

Passwortlänge: 0 Zeichen

Gültigkeit: -

Sicherheit: -

Ihr sicheres Passwort muss folgende Merkmale besitzen:

Groß- und Kleinschreibung

Zahlen

Sonderzeichen (!$%&#)

mindestens 8 Zeichen

Ja, ich möchte ein Kundenkonto eröffnen und akzeptiere die Datenschutzerklärung.

🔒Sichere SSL-Verschlüsselung

Loggen Sie sich ein, um unsere Favoritenfunktion zu nutzen:

Beitrag teilen:

Beiträge zum Thema:

Finanzierung von Einzelhandelsimmobilien in konjunkturschwachen Zeiten

Investitionen und Finanzierungen im Einzelhandel sind schon vor der Pandemie schwieriger geworden - und nun in konjunkturschwachen Zeiten erst recht.

17.09.2024

Risikobewertung gemäß DORA – Revolution oder Evolution?

Evolution statt Revolution – die Grundprinzipien der Risikobewertung ändern sich nicht, dennoch hebt DORA die digitale Resilienz auf ein höheres Level.

26.03.2025

Projektbegleitung durch die Interne Revision in Kreditinstituten

Projektbegleitungen durch die Interne Revision werden oft als Pflichtaufgabe betrachtet. Eine moderne Projektbegleitung liefert jedoch spürbare Mehrwerte.

04.04.2025

Erstattungsfähigkeit von Inkassokosten

Die Kosten für die Beauftragung eines Inkassounternehmens sind erstattungsfähig, wenn diese aufgrund des Zahlungsverzugs des Kunden erforderlich war.

17.04.2025

Millionenschwerer Finanzbetrug zum Nachteil einer Volksbank

Der Beitrag durchleuchtet die staatsanwaltliche Sicht auf den „100-Mio-€-Betrugsfalles zum Nachteil der Volksbank Düsseldorf Neuss“.

02.12.2024