Dienstag, 15. Januar 2019

Anforderungen an die Risikoanalyse und Wesentlichkeitseinstufung von Auslagerungen

Laura Zappavigna, bankgeschäftliche Prüferin, Referat Bankgeschäftliche Prüfungen 2, Deutsche Bundesbank, Hauptverwaltung in NRW

Die in diesem Aufsatz vertretenen Auffassungen geben die persönliche Meinung der Autorin wieder und sind nicht notwendigerweise Positionen der Deutschen Bundesbank oder einer anderen Bankenaufsichtsbehörde.

Die Anforderungen an das Auslagerungsmanagement von Instituten sind mit der fünften Novellierung der Mindestanforderungen an das Risikomanagement (MaRisk) und den Bankaufsichtlichen Anforderungen an die IT (BAIT) gestiegen. Neben Regelungen über den Softwarebezug werden insbesondere die Grenzen der Auslagerbarkeit durch die Aufsicht deutlicher definiert. Weitere Kernthemen sind vertragliche Mindestvereinbarungen für wesentliche Auslagerungen, um die Überwachung der Qualität der erbrachten Leistungen sowie der Risiken der Auslagerung jederzeit sicherzustellen, sowie die Einrichtung eines zentralen Auslagerungsmanagements – abhängig von der Art, dem Umfang und der Komplexität der Auslagerungsaktivitäten des jeweiligen Instituts.

Eine angemessene Überwachung des Dienstleisters erfolgt durch die systematische Funktionstrennung des internen Kontrollsystems und der internen Revision. Steht ein Institut vor einer Outsourcing-Entscheidung, hat zunächst eine Risikobetrachtung zu erfolgen, bestehend aus der Analyse der veränderten Risikosituation der Bank nach einer möglichen Auslagerung von Prozessen und Funktionen. So ist nach AT 9 Tz. 2 der MaRisk zunächst auf Grundlage einer Risikoanalyse eigenverantwortlich festzulegen, welche Auslagerungen von Aktivitäten und Prozessen unter Risikogesichtspunkten wesentlich sind. Jene Risikoanalyse ist auf der Grundlage von institutsweit bzw. gruppenweit einheitlichen Rahmenvorgaben sowohl regelmäßig als auch anlassbezogen durchzuführen, wobei neben dem Einbezug der maßgeblichen Organisationseinheiten auch die Interne Revision im Rahmen ihrer Aufgaben zu beteiligen ist.

Neben der umfangreichen Analyse interner, externer und zeitlicher Rahmenbedingungen ist seitens der Institute ebenfalls zu erörtern, welche Auswirkungen sich durch die Auslagerung gewisser Prozesse und Funktionen auf das Risikocontrolling ergeben können. Weiterhin sind u. a. Datenschutz-, Informationssicherheits- und Compliance-Aspekte zu berücksichtigen und die entsprechenden Stellen in die Risikoanalyse einzubeziehen. Während die Gewährleistung von Auskunfts- und Prüfungsrechten sowie Kontrollmöglichkeiten bei allen Auslagerungen sicherzustellen ist, sind ebenfalls Risikokonzentrationen sowie Risiken aus Weiterverlagerungen zu berücksichtigen.

An wesentliche Auslagerungen stellen die MaRisk allerdings erhöhte Anforderungen: Während im Fall der beabsichtigten oder erwarteten Beendigung der Auslagerungsvereinbarung Vorkehrungen zu treffen sind, die die Kontinuität und Qualität der ausgelagerten Aktivitäten und Prozesse gewährleisten, sind etwaige Handlungsoptionen für unerwartete Beendigungen auf ihre Durchführbarkeit zu prüfen und zu verabschieden (AT 9 Tz. 6). Weiterhin sind die in Tz. 7 genannten Mindestanforderungen an die Vertragsgestaltung zu berücksichtigen und die Leistung einschließlich der Eignung des Auslagerungsunternehmens regelmäßig anhand vorzuhaltender Kriterien zu beurteilen (Tz. 9).

SEMINARTIPPS

Umsetzungsprüfung neuer AT 9, 18.03.2019, Frankfurt/M.

Kritische Analyse/Plausibilisierung von Dienstleister-Prüfberichten, 19.03.2019, Frankfurt/M.

PraxisFalle IT-Dienstleistungen: Sonstiger Fremdbezug vs. Auslagerung, 03.04.2019, Köln.

Risikoanalysen bei Auslagerungen, 20.05.2019, Frankfurt/M.

Der MaRisk-konforme Einbezug der internen Revision in die Risikoanalyse der jeweiligen Auslagerung bildet eine wichtige Informationsbasis, um Kenntnis über die bestehenden Auslagerungstatbestände und deren Risiko- und Wesentlichkeitsbewertungen zu erlangen. Neben einer Vertragskontrolle auf die erforderlichen Mindestinhalte und die rechtliche Wirksamkeit des Vertragswerkes sind auch die Vollständigkeit sowie eine einheitliche Vorgehensweise bei der Risikobetrachtung zu hinterfragen.

Im Hinblick auf die grundlegende Bedeutung der IT für das Institut ergibt sich die Besonderheit, dass die BAIT ähnlich hohe Anforderungen an die Steuerung des sogenannten Fremdbezugs von IT-Dienstleistungen wie an Auslagerungen stellen. Dies erfordert demnach auch im Falle des sonstigen Fremdbezugs die Durchführung einer Risikobewertung, deren Ergebnis maßgeblich für die Überwachung der vom Dienstleister geschuldeten Leistung ist. Auch aus der Risikobewertung abgeleitete Maßnahmen sind insofern angemessen in der Vertragsgestaltung zu berücksichtigen, als dass Anpassungsbedarfe mit den Dienstleistern zu verhandeln oder Verträge ggf. gänzlich neu aufzusetzen sind.

PRAXISTIPPS

Sicherstellung der vollständigen Erfassung von Auslagerungstatbeständen, insbesondere hinsichtlich des Fremdbezugs von Software.
Überprüfung der Risikoanalysen (insbesondere im Hinblick auf Risikokonzentrationen und Risiken aus Weiterverlagerungen) sowie Herstellung von instituts- bzw. konzerneinheitlichen Regelungen zur Erstellung und Überprüfung der Risikoanalysen.
Stärkung der institutseigenen Kenntnisse und Erfahrungen, um eine wirksame Überwachung der vom Auslagerungsunternehmen erbrachten Dienstleistungen zu gewährleisten.
Überprüfung des bereits bestehenden Auslagerungsmanagements und Einrichtung einer zentralen Dienstleistersteuerung, um die Prozesse so zu gestalten, dass sie Transparenz und Steuerung gewährleisten.
Einbindung aller maßgeblichen Organisationseinheiten sowie der internen Revision.

Beitragsnummer: 1097

Ein eigenes MeinFCH-Konto ist zwingend Voraussetzung, wenn Sie über unseren Online-Shop eine Bestellung auslösen möchten. Das Konto benötigen Sie, wenn Sie selbst ein Online-Seminar live verfolgen oder Ihre Seminardokumentation bzw. Ihre personalisierte Teilnahmebestätigung herunterladen möchten. Bitte geben Sie Ihre MeinFCH-Login-Daten niemals an dritte Personen weiter. Wir empfehlen Ihnen die Nutzung dieser Browser: Google Chrome, Mozilla Firefox oder Microsoft Edge. Bitte erlauben Sie außerdem Pop-Ups auf unserer Seite.

Anmelden

Bitte melden Sie sich an, um folgende Seite nutzen zu können.

E-Mail-Adresse

Passwort

Angemeldet bleiben

🔒 Sichere SSL-Verschlüsselung

Passwort vergessen?

Neu bei MeinFCH?
Jetzt registrieren!

E-Mail-Adresse

Passwort eingeben

Passwort bestätigen

Passwortlänge: 0 Zeichen

Gültigkeit: -

Sicherheit: -

Ihr sicheres Passwort muss folgende Merkmale besitzen:

Groß- und Kleinschreibung

Zahlen

Sonderzeichen (!$%&#)

mindestens 8 Zeichen

Ja, ich möchte ein Kundenkonto eröffnen und akzeptiere die Datenschutzerklärung.

🔒Sichere SSL-Verschlüsselung

Loggen Sie sich ein, um unsere Favoritenfunktion zu nutzen:

Beitrag teilen:

Beiträge zum Thema:

Anzeigepflicht von Auslagerungen – alter Wein in neuen Schläuchen?

Ist die Anzeigepflicht wesentlicher Auslagerungen (§ 24 Abs. 1 Nr. 19 KWG) ein Déjà-vu oder Teil des holistischen Ansatzes der Bankenaufsicht?

04.07.2022

DORA: Fokus auf die IKT-Dienstleister

Im ersten Schritt sollten alle Banken frühzeitig prüfen welche Auslagerungen, Fremdbezüge tatschlich IKT-relevant sind

10.03.2024

Beschwerdemanagement als zentrale Aufgabe im Institut

Unternehmen, die Veränderungen nicht frühzeitig an Kunden kommunizieren, kämpfen mit hohen Beschwerdezahlen in der aktuellen schnelllebigen Zeit.

21.03.2023

Herausgeberinterview mit Henning Riediger

Interview mit Buchherausgeber Henning Riediger zur Neuerscheinung MaRisk-Berichtswesen

05.04.2024

Wirksamere Geldwäscheprävention als Mittelfristziel

Ausgewählte aktuelle Herausforderungen und Anknüpfungspunkte auf den wesentlichen Ebenen der Geldwäscheprävention

17.01.2024

Berücksichtigung von Modellrisiken in der Risikotragfähigkeitsanalyse

Prüfungsansätze der Bankenaufsicht zur Beurteilung der Notwendigkeit der Berücksichtigung von Modellrisiken innerhalb der Risikotragfähigkeitsanalyse

16.01.2024