Mittwoch, 3. April 2019

Aufsichtsprotokoll zum AT 9 – hohe Relevanz für die Interne Revision

Lukas Walla, Berater, FCH Consult GmbH

Die Aufsicht hat das finale Protokoll zum Thema Auslagerungen veröffentlicht. Auch wenn einige Klarstellungen getroffen wurden, bleiben leider weiterhin Fragestellungen offen.

Für die Auswertung von Berichten der Mehrmandantendienstleister ist eine Interpretationshilfe für die Analyse zulässig. Ebenfalls können verbandsgeprüfte Institute sich einer zentralen verbandsseitigen Auswertung bedienen. Dies betrifft ebenfalls die Auswertung von Revisionsberichten des Dienstleisters.

Bedient sich die Interne Revision des Spezialwissens der Konzernrevision ist dies regelmäßig als Auslagerung einzustufen. Anhand einer Risikoanalyse ist zu beurteilen, ob es sich hierbei um eine wesentliche oder unwesentliche Auslagerung handelt. Solche Konstellationen werden derzeit in vielen Häusern noch nicht als Auslagerung eingestuft, weshalb hier zeitnah eine Analyse stattfinden sollte.

SEMINARTIPPS

Prüfung §18/18a KWG-Prozesse: Neue (BauFi)Kreditwürdigkeitsanalyse, 20.05.2019, Frankfurt/M.

Auslagerungen im Fokus der MaRisk und BAIT, 05.12.2019, Köln.

Bezüglich der Risikoanalyse wird seitens der Aufsicht für wesentliche Auslagerungen ein jährlicher Turnus und für unwesentliche Auslagerungen ein Turnus von drei Jahren als angemessen erachtet. Durch die Einbindung der Internen Revision ist diese auch direkt betroffen. Da sonstige Fremdbezüge nicht gleichbedeutend mit einem Nichtvorliegen eines Risikos sind, ist zu prüfen, ob bei den bestehenden Prozessen sonstige Fremdbezüge ausreichend einbezogen werden und ein Urteil hinsichtlich des Risikos möglich ist.

BUCHTIPP

Ritz/Schmitz/Walla (Hrsg.), Risikoanalyse für Auslagerungen in der Kreditwirtschaft, 2018.

Die Wartung entsprechender Software wird regelmäßig als Auslagerung einzustufen sein. Dies ist nicht der Fall, sofern das Institut die Patches selbst einspielt und eine Bewertung hinsichtlich der erweiterten Funktionen und Fehlerbehebungen machen kann. Wie auch in der schon Vergangenheit ist zu prüfen, inwieweit die Revisionssoftware unter den Tatbestand der Auslagerung fällt und welche Risiken hiermit verbunden sind.

Da es keinen Bestandschutz für Auslagerungsverträge gibt, sollte sichergestellt sein, dass das Institut einen vollständigen Überblick über sämtliche Drittleistungen hat und die Verträge den Vorgaben der MaRisk entsprechen.



Beitragsnummer: 1279

Beitrag teilen:

Beiträge zum Thema:

Beitragsicon
Risikobewertung gemäß DORA – Revolution oder Evolution?

Evolution statt Revolution – die Grundprinzipien der Risikobewertung ändern sich nicht, dennoch hebt DORA die digitale Resilienz auf ein höheres Level.

26.03.2025

Beitragsicon
DORA – Informationsregister richtig befüllen

Für die Etablierung und Sicherstellung einer digitalen operationalen Resilienz hat der europäi-sche Gesetzgeber in Art. 28 Abs. 3 Unterabsatz 1 DORA eine Verp

03.04.2025

Beitragsicon
Cyber-Resilienz – Von der Theorie zur Praxis

Cyber-Resilienz in Banken: Anforderungen und Strategien zur Stärkung der Widerstandsfähigkeit gegen Cyberangriffe und neue EBA-Leitlinien.

12.11.2024

Beitragsicon
Strategien – (nachhaltig) im Fokus der Aufsicht

Praxiserfahrung zum Umgang mit aufsichtlichen Strategie-Anforderungen im Risikomanagement von Kreditinstituten.

08.05.2023

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit dem Tool Matomo aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Matomo.