Björn Wehling, Geschäftsführer, Bereichsleiter Revision & Regulatorik, Finanz Colloquium Heidelberg GmbH
Die IT-Dienstleister-Steuerung in Kreditinstituten rückt durch betriebswirtschaftliche Erfordernisse und regulatorische Neuregelungen (u. a. AT 9 der MaRisk, BAIT, EBA Guideline on Outsourcing) in den Fokus der Aufsicht. Dadurch gewinnt auch die interne und externe Überprüfung von Auslagerungsprozessen an Bedeutung.
Aufsichtliche Anforderungen
Durch neue aufsichtliche (Mindest-)Anforderungen an die Inhalte von Auslagerungsvereinbarungen sind alle Institute angehalten, bestehende SLAs zu überprüfen und gegebenenfalls anzupassen. Hier ist sicherzustellen, dass alle Leistungen, die vom Institut benötigt werden, auch in ausreichendem Detaillierungsgrad schriftlich vereinbart werden. Nur dann können sich die Institute im Zweifelsfall auch darauf berufen. Ebenso ist sicherzustellen, dass über alle vereinbarten Sachverhalte regelmäßig und ad hoc an das auslagernde Institut berichtet wird. Insbesondere Sondersachverhalte (z. B. Notfälle, Ausfälle) und die Ergebnisse von Notfalltests sind vom IT-Dienstleister zu berichten und aktiv von der IT-Revision des auslagernden Instituts zu prüfen.
Die Aufsicht erwartet für jede IT-Auslagerung einen Auslagerungsbeauftragten oder die Zusammenführung in einem zentralen Auslagerungsmanagement. Eine Übersicht über alle (IT-)Auslagerungen mit entsprechender Wesentlichkeitseinstufung hat das Institut in Form eines Auslagerungsregisters laufend aktuell vorzuhalten. Alle neuen externen IT-Dienstleistungen sind – zunächst unabhängig von ihrer Klassifizierung als Auslagerung oder sonstiger Fremdbezug – einer umfassenden Risikoanalyse und Wesentlichkeitsbeurteilung zu unterziehen, die regelmäßig auf ihre Aktualität und Richtigkeit zu überprüfen ist. Es empfiehlt sich, den IT-Dienstleister über die Wesentlichkeitseinstufung und die Klassifizierung als Auslagerung oder sonstiger Fremdbezug in Kenntnis zu setzen, um gegebenenfalls damit einhergehende zusätzliche Maßnahmen und Prozesse (z. B. verkürzter Reporting-Turnus) beim IT-Dienstleister anzustoßen.
In den Instituten sind klare und einheitliche Kriterien zur Beurteilung von Schlechtleistungen des jeweiligen IT-Dienstleisters zu definieren und prozessseitig zu implementieren. Die Nachvollziehbarkeit der dokumentierten Handlungsoptionen in Anhängigkeit des erreichten Grads der Schlechtleistung muss sichergestellt sein. Die Auslagerungsstrategie (ggf. Einzelstrategie je Dienstleister) muss eine Ausstiegs- und Kündigungsstrategie beinhalten, die bei einem nicht mehr annehmbaren Grad der Schlechtleistung greift, um Schaden vom Institut abzuwenden.
SEMINARTIPPS
Risikoanalysen bei Auslagerungen, 02.11.2020, Hamburg.
Umgang mit (un)wesentlichen IT-Risiken im OpRisk, 09.11.2020, Zoom.
Excel-Anwendungen und IDV nach neuer MaRisk & neuer BAIT, 10.11.2020, Zoom.
Berechtigungsmanagement Markt: Rechte & Vergabeprozesse, 11.11.2020, Zoom.
Prüfung (NEUE) BAIT im Fokus der Bankenaufsicht, 25.–26.11.2020, Zoom.
Einbindung der Internen Revision
Die (IT-)Interne Revision des auslagernden Instituts ist in die Auslagerungsprozesse einzubinden und berichtet über aktuelle Prüffelder und Feststellungen im Bereich der IT-Auslagerungen. Dabei setzt sie sich kritisch mit häufigen IT-spezifischen Schwachstellen im Auslagerungsprozess auseinander und gibt wertvolle Praxisempfehlungen zur revisionsfesten Umsetzung der neuen Vorgaben und zur Vermeidung von Feststellungen. Je nach Vorhandensein und Ausgestaltung des zentralen Auslagerungsmanagements kann es sinnvoll sein, eine parallele oder nachgeschaltete Auswertung der IT-Dienstleisterberichte sowohl durch die Interne Revision als auch den jeweiligen Fachbereich vorzunehmen und Maßnahmen gemeinsam abzustimmen.
Berücksichtigung von Nachhaltigkeitsaspekten bei IT-Auslagerungen
Künftig wird das Thema Nachhaltigkeit auch zunehmend Einzug in den Bereich der IT-Auslagerungen erhalten. Hier haben die Institute sicherzustellen, dass Aspekte wie beispielsweise Umweltschutz, Arbeitsbedingungen und Ressourcenschonung gemessen, bewertet und gesteuert werden – insbesondere bei Weiterverlagerungen in Drittstaaten.
PRAXISTIPPS
- Überprüfen Sie bestehende Auslagerungsvereinbarungen auf Aktualität und Anpassungsbedarf. Sind alle notwendigen Leistungen auch schriftlich vereinbart? Wird über alle vereinbarten Leistungen auch regelmäßig und in ausreichendem Umfang berichtet?
- Überprüfen Sie, ob der IT-Dienstleister Ihnen auch Berichte zu anderen (Sonder-)Prüfungen bei ihm im Haus (zeitnah) zur Verfügung stellt.
- Stellen Sie sicher, dass das Auslagerungsregister gepflegt und laufend aktuell und vollständig ist.
- Etablieren Sie Prozesse, wie bei sich ändernden Wesentlichkeitseinstufungen intern zu verfahren ist und welche Kommunikation an den IT-Dienstleister damit einhergehen sollte.
- Definieren Sie Stufen und damit zusammenhängende Kriterien für die Bewertung von Schlechtleistungen des IT-Dienstleisters.
- Binden Sie als Fachbereich/Zentrales Auslagerungsmanagement die Interne Revision in ihre (geplanten) Auslagerungsprozesse ein.
- Berücksichtigen Sie die zunehmende Bedeutung – und damit einhergehend die zunehmende aufsichtliche Beurteilung – von Nachhaltigkeitsaspekten bei IT-Auslagerungen.
Beitragsnummer: 12953