Mittwoch, 21. Oktober 2020

IT-Auslagerungen im Fokus der Aufsicht

Erweiterte Anforderungen zur Beurteilung der Prozesse bei IT-Auslagerungen unter Beachtung der neuen Vorgaben gem. MaRisk, BAIT und EBA-Guidelines.

Björn Wehling, Geschäftsführer, Bereichsleiter Revision & Regulatorik, Finanz Colloquium Heidelberg GmbH

Die IT-Dienstleister-Steuerung in Kreditinstituten rückt durch betriebswirtschaftliche Erfordernisse und regulatorische Neuregelungen (u. a. AT 9 der MaRisk, BAIT, EBA Guideline on Outsourcing) in den Fokus der Aufsicht. Dadurch gewinnt auch die interne und externe Überprüfung von Auslagerungsprozessen an Bedeutung.

Aufsichtliche Anforderungen

Durch neue aufsichtliche (Mindest-)Anforderungen an die Inhalte von Auslagerungsvereinbarungen sind alle Institute angehalten, bestehende SLAs zu überprüfen und gegebenenfalls anzupassen. Hier ist sicherzustellen, dass alle Leistungen, die vom Institut benötigt werden, auch in ausreichendem Detaillierungsgrad schriftlich vereinbart werden. Nur dann können sich die Institute im Zweifelsfall auch darauf berufen. Ebenso ist sicherzustellen, dass über alle vereinbarten Sachverhalte regelmäßig und ad hoc an das auslagernde Institut berichtet wird. Insbesondere Sondersachverhalte (z. B. Notfälle, Ausfälle) und die Ergebnisse von Notfalltests sind vom IT-Dienstleister zu berichten und aktiv von der IT-Revision des auslagernden Instituts zu prüfen.

Die Aufsicht erwartet für jede IT-Auslagerung einen Auslagerungsbeauftragten oder die Zusammenführung in einem zentralen Auslagerungsmanagement. Eine Übersicht über alle (IT-)Auslagerungen mit entsprechender Wesentlichkeitseinstufung hat das Institut in Form eines Auslagerungsregisters laufend aktuell vorzuhalten. Alle neuen externen IT-Dienstleistungen sind – zunächst unabhängig von ihrer Klassifizierung als Auslagerung oder sonstiger Fremdbezug – einer umfassenden Risikoanalyse und Wesentlichkeitsbeurteilung zu unterziehen, die regelmäßig auf ihre Aktualität und Richtigkeit zu überprüfen ist. Es empfiehlt sich, den IT-Dienstleister über die Wesentlichkeitseinstufung und die Klassifizierung als Auslagerung oder sonstiger Fremdbezug in Kenntnis zu setzen, um gegebenenfalls damit einhergehende zusätzliche Maßnahmen und Prozesse (z. B. verkürzter Reporting-Turnus) beim IT-Dienstleister anzustoßen.

In den Instituten sind klare und einheitliche Kriterien zur Beurteilung von Schlechtleistungen des jeweiligen IT-Dienstleisters zu definieren und prozessseitig zu implementieren. Die Nachvollziehbarkeit der dokumentierten Handlungsoptionen in Anhängigkeit des erreichten Grads der Schlechtleistung muss sichergestellt sein. Die Auslagerungsstrategie (ggf. Einzelstrategie je Dienstleister) muss eine Ausstiegs- und Kündigungsstrategie beinhalten, die bei einem nicht mehr annehmbaren Grad der Schlechtleistung greift, um Schaden vom Institut abzuwenden.

SEMINARTIPPS

Risikoanalysen bei Auslagerungen, 02.11.2020, Hamburg.

Umgang mit (un)wesentlichen IT-Risiken im OpRisk, 09.11.2020, Zoom.

Excel-Anwendungen und IDV nach neuer MaRisk & neuer BAIT, 10.11.2020, Zoom.

Berechtigungsmanagement Markt: Rechte & Vergabeprozesse, 11.11.2020, Zoom.

Prüfung (NEUE) BAIT im Fokus der Bankenaufsicht, 25.–26.11.2020, Zoom.

Einbindung der Internen Revision

Die (IT-)Interne Revision des auslagernden Instituts ist in die Auslagerungsprozesse einzubinden und berichtet über aktuelle Prüffelder und Feststellungen im Bereich der IT-Auslagerungen. Dabei setzt sie sich kritisch mit häufigen IT-spezifischen Schwachstellen im Auslagerungsprozess auseinander und gibt wertvolle Praxisempfehlungen zur revisionsfesten Umsetzung der neuen Vorgaben und zur Vermeidung von Feststellungen. Je nach Vorhandensein und Ausgestaltung des zentralen Auslagerungsmanagements kann es sinnvoll sein, eine parallele oder nachgeschaltete Auswertung der IT-Dienstleisterberichte sowohl durch die Interne Revision als auch den jeweiligen Fachbereich vorzunehmen und Maßnahmen gemeinsam abzustimmen.

Berücksichtigung von Nachhaltigkeitsaspekten bei IT-Auslagerungen

Künftig wird das Thema Nachhaltigkeit auch zunehmend Einzug in den Bereich der IT-Auslagerungen erhalten. Hier haben die Institute sicherzustellen, dass Aspekte wie beispielsweise Umweltschutz, Arbeitsbedingungen und Ressourcenschonung gemessen, bewertet und gesteuert werden – insbesondere bei Weiterverlagerungen in Drittstaaten.

PRAXISTIPPS

Überprüfen Sie bestehende Auslagerungsvereinbarungen auf Aktualität und Anpassungsbedarf. Sind alle notwendigen Leistungen auch schriftlich vereinbart? Wird über alle vereinbarten Leistungen auch regelmäßig und in ausreichendem Umfang berichtet?
Überprüfen Sie, ob der IT-Dienstleister Ihnen auch Berichte zu anderen (Sonder-)Prüfungen bei ihm im Haus (zeitnah) zur Verfügung stellt.
Stellen Sie sicher, dass das Auslagerungsregister gepflegt und laufend aktuell und vollständig ist.
Etablieren Sie Prozesse, wie bei sich ändernden Wesentlichkeitseinstufungen intern zu verfahren ist und welche Kommunikation an den IT-Dienstleister damit einhergehen sollte.
Definieren Sie Stufen und damit zusammenhängende Kriterien für die Bewertung von Schlechtleistungen des IT-Dienstleisters.
Binden Sie als Fachbereich/Zentrales Auslagerungsmanagement die Interne Revision in ihre (geplanten) Auslagerungsprozesse ein.
Berücksichtigen Sie die zunehmende Bedeutung – und damit einhergehend die zunehmende aufsichtliche Beurteilung – von Nachhaltigkeitsaspekten bei IT-Auslagerungen.

Beitragsnummer: 12953

Ein eigenes MeinFCH-Konto ist zwingend Voraussetzung, wenn Sie über unseren Online-Shop eine Bestellung auslösen möchten. Das Konto benötigen Sie, wenn Sie selbst ein Online-Seminar live verfolgen oder Ihre Seminardokumentation bzw. Ihre personalisierte Teilnahmebestätigung herunterladen möchten. Bitte geben Sie Ihre MeinFCH-Login-Daten niemals an dritte Personen weiter. Wir empfehlen Ihnen die Nutzung dieser Browser: Google Chrome, Mozilla Firefox oder Microsoft Edge. Bitte erlauben Sie außerdem Pop-Ups auf unserer Seite.

Anmelden

Bitte melden Sie sich an, um folgende Seite nutzen zu können.

E-Mail-Adresse

Passwort

Angemeldet bleiben

🔒 Sichere SSL-Verschlüsselung

Passwort vergessen?

Neu bei MeinFCH?
Jetzt registrieren!

E-Mail-Adresse

Passwort eingeben

Passwort bestätigen

Passwortlänge: 0 Zeichen

Gültigkeit: -

Sicherheit: -

Ihr sicheres Passwort muss folgende Merkmale besitzen:

Groß- und Kleinschreibung

Zahlen

Sonderzeichen (!$%&#)

mindestens 8 Zeichen

Ja, ich möchte ein Kundenkonto eröffnen und akzeptiere die Datenschutzerklärung.

🔒Sichere SSL-Verschlüsselung

Loggen Sie sich ein, um unsere Favoritenfunktion zu nutzen:

Beitrag teilen:

Beiträge zum Thema:

„Es bewerben sich keine Frauen für Führungspositionen…“

Maßnahmen zur Steigerung der Diversität in Führungsetagen

20.03.2025

Der Single Officer

Die Rolle des Single Officers ist gesetzlich insb. im WpHG und in der DelVO (EU) 2017/565/ MiFID II sowie in der MaDepot aufsichtsrechtlich geregelt.

28.01.2025

Die BaFin veröffentlicht Risiken im Fokus der Aufsicht 2025

Die Veröffentlichung „Risiken im Fokus der BaFin“ beschreibt sechs wesentliche Risiken und drei wichtige Trends, die als besonders kritisch betrachtet werden.

13.03.2025

Schrittweise Aufhebung der BAIT beschlossen

Aufhebung der Rundschreiben zu BAIT erfolgt in zwei Schritten

22.01.2025

Cyber-Resilienz im Finanzsektor: Schwachstellen frühzeitig erkennen

DORA erfordert innovative Cyber-Resilienz: Mit unserem Schwachstellenscan erhalten Sie kompakte Einblicke in Bedrohungen inkl. Cyber-Monitoring & IKT-Risiken.

14.03.2025