Mittwoch, 21. Oktober 2020

IT-Auslagerungen im Fokus der Aufsicht

Erweiterte Anforderungen zur Beurteilung der Prozesse bei IT-Auslagerungen unter Beachtung der neuen Vorgaben gem. MaRisk, BAIT und EBA-Guidelines.

Björn Wehling, Geschäftsführer, Bereichsleiter Revision & Regulatorik, Finanz Colloquium Heidelberg GmbH

Die IT-Dienstleister-Steuerung in Kreditinstituten rückt durch betriebswirtschaftliche Erfordernisse und regulatorische Neuregelungen (u. a. AT 9 der MaRisk, BAIT, EBA Guideline on Outsourcing) in den Fokus der Aufsicht. Dadurch gewinnt auch die interne und externe Überprüfung von Auslagerungsprozessen an Bedeutung.

Aufsichtliche Anforderungen

Durch neue aufsichtliche (Mindest-)Anforderungen an die Inhalte von Auslagerungsvereinbarungen sind alle Institute angehalten, bestehende SLAs zu überprüfen und gegebenenfalls anzupassen. Hier ist sicherzustellen, dass alle Leistungen, die vom Institut benötigt werden, auch in ausreichendem Detaillierungsgrad schriftlich vereinbart werden. Nur dann können sich die Institute im Zweifelsfall auch darauf berufen. Ebenso ist sicherzustellen, dass über alle vereinbarten Sachverhalte regelmäßig und ad hoc an das auslagernde Institut berichtet wird. Insbesondere Sondersachverhalte (z. B. Notfälle, Ausfälle) und die Ergebnisse von Notfalltests sind vom IT-Dienstleister zu berichten und aktiv von der IT-Revision des auslagernden Instituts zu prüfen.

Die Aufsicht erwartet für jede IT-Auslagerung einen Auslagerungsbeauftragten oder die Zusammenführung in einem zentralen Auslagerungsmanagement. Eine Übersicht über alle (IT-)Auslagerungen mit entsprechender Wesentlichkeitseinstufung hat das Institut in Form eines Auslagerungsregisters laufend aktuell vorzuhalten. Alle neuen externen IT-Dienstleistungen sind – zunächst unabhängig von ihrer Klassifizierung als Auslagerung oder sonstiger Fremdbezug – einer umfassenden Risikoanalyse und Wesentlichkeitsbeurteilung zu unterziehen, die regelmäßig auf ihre Aktualität und Richtigkeit zu überprüfen ist. Es empfiehlt sich, den IT-Dienstleister über die Wesentlichkeitseinstufung und die Klassifizierung als Auslagerung oder sonstiger Fremdbezug in Kenntnis zu setzen, um gegebenenfalls damit einhergehende zusätzliche Maßnahmen und Prozesse (z. B. verkürzter Reporting-Turnus) beim IT-Dienstleister anzustoßen.

In den Instituten sind klare und einheitliche Kriterien zur Beurteilung von Schlechtleistungen des jeweiligen IT-Dienstleisters zu definieren und prozessseitig zu implementieren. Die Nachvollziehbarkeit der dokumentierten Handlungsoptionen in Anhängigkeit des erreichten Grads der Schlechtleistung muss sichergestellt sein. Die Auslagerungsstrategie (ggf. Einzelstrategie je Dienstleister) muss eine Ausstiegs- und Kündigungsstrategie beinhalten, die bei einem nicht mehr annehmbaren Grad der Schlechtleistung greift, um Schaden vom Institut abzuwenden.

SEMINARTIPPS

Risikoanalysen bei Auslagerungen, 02.11.2020, Hamburg.

Umgang mit (un)wesentlichen IT-Risiken im OpRisk, 09.11.2020, Zoom.

Excel-Anwendungen und IDV nach neuer MaRisk & neuer BAIT, 10.11.2020, Zoom.

Berechtigungsmanagement Markt: Rechte & Vergabeprozesse, 11.11.2020, Zoom.

Prüfung (NEUE) BAIT im Fokus der Bankenaufsicht, 25.–26.11.2020, Zoom.

Einbindung der Internen Revision

Die (IT-)Interne Revision des auslagernden Instituts ist in die Auslagerungsprozesse einzubinden und berichtet über aktuelle Prüffelder und Feststellungen im Bereich der IT-Auslagerungen. Dabei setzt sie sich kritisch mit häufigen IT-spezifischen Schwachstellen im Auslagerungsprozess auseinander und gibt wertvolle Praxisempfehlungen zur revisionsfesten Umsetzung der neuen Vorgaben und zur Vermeidung von Feststellungen. Je nach Vorhandensein und Ausgestaltung des zentralen Auslagerungsmanagements kann es sinnvoll sein, eine parallele oder nachgeschaltete Auswertung der IT-Dienstleisterberichte sowohl durch die Interne Revision als auch den jeweiligen Fachbereich vorzunehmen und Maßnahmen gemeinsam abzustimmen.

Berücksichtigung von Nachhaltigkeitsaspekten bei IT-Auslagerungen

Künftig wird das Thema Nachhaltigkeit auch zunehmend Einzug in den Bereich der IT-Auslagerungen erhalten. Hier haben die Institute sicherzustellen, dass Aspekte wie beispielsweise Umweltschutz, Arbeitsbedingungen und Ressourcenschonung gemessen, bewertet und gesteuert werden – insbesondere bei Weiterverlagerungen in Drittstaaten.

PRAXISTIPPS

Überprüfen Sie bestehende Auslagerungsvereinbarungen auf Aktualität und Anpassungsbedarf. Sind alle notwendigen Leistungen auch schriftlich vereinbart? Wird über alle vereinbarten Leistungen auch regelmäßig und in ausreichendem Umfang berichtet?
Überprüfen Sie, ob der IT-Dienstleister Ihnen auch Berichte zu anderen (Sonder-)Prüfungen bei ihm im Haus (zeitnah) zur Verfügung stellt.
Stellen Sie sicher, dass das Auslagerungsregister gepflegt und laufend aktuell und vollständig ist.
Etablieren Sie Prozesse, wie bei sich ändernden Wesentlichkeitseinstufungen intern zu verfahren ist und welche Kommunikation an den IT-Dienstleister damit einhergehen sollte.
Definieren Sie Stufen und damit zusammenhängende Kriterien für die Bewertung von Schlechtleistungen des IT-Dienstleisters.
Binden Sie als Fachbereich/Zentrales Auslagerungsmanagement die Interne Revision in ihre (geplanten) Auslagerungsprozesse ein.
Berücksichtigen Sie die zunehmende Bedeutung – und damit einhergehend die zunehmende aufsichtliche Beurteilung – von Nachhaltigkeitsaspekten bei IT-Auslagerungen.

Beitragsnummer: 12953

Ein eigenes MeinFCH-Konto ist zwingend Voraussetzung, wenn Sie über unseren Online-Shop eine Bestellung auslösen möchten. Das Konto benötigen Sie, wenn Sie selbst ein Online-Seminar live verfolgen oder Ihre Seminardokumentation bzw. Ihre personalisierte Teilnahmebestätigung herunterladen möchten. Bitte geben Sie Ihre MeinFCH-Login-Daten niemals an dritte Personen weiter. Wir empfehlen Ihnen die Nutzung dieser Browser: Google Chrome, Mozilla Firefox oder Microsoft Edge. Bitte erlauben Sie außerdem Pop-Ups auf unserer Seite.

Anmelden

Bitte melden Sie sich an, um folgende Seite nutzen zu können.

E-Mail-Adresse

Passwort

Angemeldet bleiben

🔒 Sichere SSL-Verschlüsselung

Passwort vergessen?

Neu bei MeinFCH?
Jetzt registrieren!

E-Mail-Adresse

Passwort eingeben

Passwort bestätigen

Passwortlänge: 0 Zeichen

Gültigkeit: -

Sicherheit: -

Ihr sicheres Passwort muss folgende Merkmale besitzen:

Groß- und Kleinschreibung

Zahlen

Sonderzeichen (!$%&#)

mindestens 8 Zeichen

Ja, ich möchte ein Kundenkonto eröffnen und akzeptiere die Datenschutzerklärung.

🔒Sichere SSL-Verschlüsselung

Loggen Sie sich ein, um unsere Favoritenfunktion zu nutzen:

Beitrag teilen:

Beiträge zum Thema:

Die Entwicklung einer effektiven Risiko- und Compliance-Kultur

Wo strukturierte Einarbeitung & Integration fehlt, wird Risiko- & Compliance-Kultur zum Zufallsprodukt - Regelverstöße entstehen fehlendem Risikobewusstsein.

28.04.2025

DORA – Informationsregister richtig befüllen

Für die Etablierung und Sicherstellung einer digitalen operationalen Resilienz hat der europäi-sche Gesetzgeber in Art. 28 Abs. 3 Unterabsatz 1 DORA eine Verp

03.04.2025

Banken schrumpfen, Aufsichtsbehörden wachsen – ein ungleiches Spiel?

Mehr Regulierung, weniger Bankangestellte: Welche Folgen hat das Ungleichgewicht zwischen Finanzindustrie und Aufsicht für den Markt?

15.04.2025

Schrittweise Aufhebung der BAIT beschlossen

Aufhebung der Rundschreiben zu BAIT erfolgt in zwei Schritten

22.01.2025

Erstattungsfähigkeit von Inkassokosten

Die Kosten für die Beauftragung eines Inkassounternehmens sind erstattungsfähig, wenn diese aufgrund des Zahlungsverzugs des Kunden erforderlich war.

17.04.2025