Montag, 20. Juni 2022

Auslagerungsmanagement at its best

Die Anforderungen an die Überwachung von Auslagerungen haben sich insbesondere im Bereich der Risikoanalysen & der Weiterverlagerungen deutlich verschärft.

Jan Meyer im Hagen, Geschäftsführer Finanz Colloquium Heidelberg GmbH, im Interview mit Martin Wiesenmaier, Geschäftsführer, FORUM Gesellschaft für Informationssicherheit mbH


Martin Wiesenmaier


Jan Meyer im Hagen


Jan Meyer im Hagen: Die in den aktuellen MaRisk definierten Anforderungen an das Auslagerungsmanagement gelten als deutliche Verschärfung. Wo sehen Sie hier die größten Herausforderungen für die Banken? 

Martin Wiesenmaier: Insgesamt gibt es einige Baustellen, die aus der Erwartung einer intensiveren Steuerung und Überwachung des Auslagerungspartners resultieren. Dies beginnt schon bei der Risikoanalyse, in welcher künftig weitere Kriterien bewertet werden müssen, den erweiterten vertraglichen Anforderungen, Due Diligence-Regelungen, einer detaillierteren Überwachung der ordnungsgemäßen Leistungserbringung mittels SLAs oder KPIs, der Einrichtung eines zentralen Auslagerungsbeauftragten und vor allem der Erstellung eines Auslagerungsregisters mit den Pflichtangaben aus den EBA-Guidelines. In der Gesamtbetrachtung stellen diese zusätzlichen Anforderungen einen erheblichen Mehraufwand für die Banken dar. 

Jan Meyer im Hagen: Was ändert sich konkret an den Risikoanalysen?

Martin Wiesenmaier: Nach wie vor dient die Risikoanalyse zur Bestimmung der Wesentlichkeit von Auslagerungen und damit einer risikoorientierten Steuerung und Überwachung der ausgelagerten Prozesse und Aktivitäten. Bei der Risikoanalyse sind alle für das Institut relevanten Aspekte im Zusammenhang mit der Auslagerung zu berücksichtigen. Hierzu zählen nach den neuen MaRisk nun auch Risiken aus Weiterverlagerungen, politische Risiken, die Eignung des Auslagerungsunternehmens, mögliche Interessenkonflikte, der Schutzbedarf der an das Auslagerungsunternehmen übermittelten Daten sowie die mit der Auslagerung verbundenen Kosten. Diese Kriterien sind in den vorhandenen Risikoanalysen zu ergänzen. Interessant ist, dass in der Risikoanalyse auch Maßnahmen zur Steuerung und Minderung der Risiken berücksichtigt werden können. Je nach Wirksamkeit dieser Maßnahmen kann sich dadurch eine geringe Risikoeinschätzung ergeben. Spannend ist auch, dass künftig auch die Wesentlichkeit von Weiterverlagerungen zu bewerten ist, welche später im Auslagerungsregister ausgewiesen werden muss. Diese Wesentlichkeit sollte im besten Fall auch über eine Risikoanalyse nachvollziehbar bewertet werden, sofern die Bank über die erforderlichen Informationen verfügt. 

Jan Meyer im Hagen: Auch bei den Auslagerungsvereinbarungen gibt es offensichtlich neue Anforderungen?

Martin Wiesenmaier: Die vorgegebenen Mindestbestandteile sind in MaRisk AT 9 Tz. 7 detailliert aufgeführt. Diese sind u. a. auch für das spätere Auslagerungsregister relevant und nehmen insofern teilweise schon die in den EBA-Guidelines vorgesehenen Mindestinhalte für die Dienstleister, Leistungen und Weiterverlagerungen vorweg. Hierunter fallen u. a. Angaben zum Beginn und ggf. Ende der Auslagerung, das geltende Recht (sofern vom deutschen Recht abweichend), die Standorte der Leistungserbringung, die vereinbarte Dienstleistungsgüte mit eindeutigen Leistungszielen und Aussagen zu Notfallkonzepten. In der Praxis dürfte dies in den meisten Altverträgen zu einer Anpassungsnotwendigkeit führen.

Jan Meyer im Hagen: Das Institut hat die mit Auslagerungen verbundenen Risiken angemessen zu steuern und die Ausführung der ausgelagerten Aktivitäten und Prozesse ordnungsgemäß zu überwachen. Inwieweit wurde die Überwachung der ordnungsgemäßen Leistungserbringung durch den Dienstleister verschärft und wer sollte diese Aufgabe übernehmen?

Martin Wiesenmaier: Für die Dokumentation, Steuerung und Überwachung von wesentlichen Auslagerungen hat das Institut klare Verantwortlichkeiten festzulegen. Die Ausführung der ausgelagerten Aktivitäten und Prozesse ist durch die Verantwortlichen zu überwachen. Der Verantwortliche zur objektiven Beurteilung der Ausführung dürfte dabei regelmäßig der Fachbereich sein, dessen Geschäftsprozesse teilweise ausgelagert sind. Die Überwachung umfasst bei wesentlichen Auslagerungen auch die laufende Überwachung der Leistung des Auslagerungsunternehmens anhand vorzuhaltender Kriterien. Neu ist in den MaRisk die Anforderung einer qualifizierteren Bewertung z. B. anhand von SLAs oder Key Performance Indicators, welche einem Soll-Ist-Abgleich zu unterziehen sind, um die Qualität der erbrachten Leistungen nachvollziehbar zu beurteilen.

Jan Meyer im Hagen: Welche neuen Anforderungen werden bezüglich Weiterverlagerungen gestellt?

Martin Wiesenmaier: Die Anforderungen an die Auslagerung von Aktivitäten und Prozessen, sind auch bei der mit wesentlichen Auslagerungen verbundenen Weiterverlagerung von ausgelagerten Aktivitäten und Prozessen zu beachten. Da manche Dienstleister zwischenzeitlich weitere Subunternehmer eingeschaltet haben, können „unter der Haube“ längere bzw. komplexere Auslagerungsketten bestehen. Die mit Weiterverlagerungen verbundenen Risiken sollen ebenfalls in der Risikoanalyse bewertet werden. Damit soll auch das Risiko, dass die Fähigkeit der Institute zur Überwachung der ausgelagerten Aktivitäten und Prozesse eingeschränkt wird, reduziert werden.

Jan Meyer im Hagen: Die Banken haben künftig ein aktuelles Auslagerungsregister mit speziellen Informationen über alle Auslagerungsvereinbarungen vorzuhalten. Wie hoch schätzen Sie den Aufwand für die Erstellung eines Auslagerungsregisters ein?

Martin Wiesenmaier: Sicherlich ist es für die Ersterfassung der Pflichtangaben für die Dienstleister, Leistungen und Weiterverlagerungen ein nicht zu unterschätzender Aufwand – gerade auch, wenn man die Informationen zusammentragen muss. Hierzu haben wir in unserer Software ForumOSM weitere Erfassungsmöglichkeiten in die Masken für die Dienstleister und Leistungen integriert. Um die Erfassung möglichst effizient und ressourcenschonend zu gestalten, unterstützen wir unsere User mit einigen Stammdaten aus den Schwestermodulen von ForumOSM. Am Ende des Tages kann ein aktuelles und vollständiges „Auslagerungsregister auf Knopfdruck“ ausgegeben werden. Darüber hinaus unterstützen wir mit unserem Tool, welches täglich von über 200 Banken eingesetzt wird, sämtliche Aufgaben des zentralen Auslagerungsmanagements sowie der verantwortlichen Fachbereiche; angefangen von Checklisten für die Risikoanalyse, Quick-Checks und die Vertragsprüfung, über die Steuerung und Überwachung der Auslagerungen bis zum Risikomanagement der Auslagerungen und IT-Fremdbezüge. In den letzten Jahren haben wir auf Kundenwunsch zahlreiche Komfortfunktionen wie Workflows, Aufgaben-Cockpits und Erinnerungs-Mails in ForumOSM integriert, um die steigenden Anforderungen möglichst effizient und revisionssicher dokumentieren zu können. 




Beitragsnummer: 21710

Produkte zum Thema:

Produkticon
Auslagerungen und Dienstleister-Steuerung 2. Auflage

119,00 € inkl. 7 %

Produkticon
Auslagerung MaRisk-Compliance
Produkticon
ForumOSM: Wirksame Steuerung und Überwachung von Dienstleistern und Auslagerungen

Produkticon
ForumBCM: Ganzheitliches Business Continuity Management (BCM)
Produkticon
ForumISM: MaRisk- und BAIT- konformes Risiko- und Informationssicherheitsmanagement
Produkticon
ForumOSM: Wirksame Steuerung und Überwachung von Dienstleistern und Auslagerungen

Beiträge zum Thema:

Beitragsicon
Auslagerungsrisiken aktiv managen

Als Kontrollbereich der 2. Linie im Drei-Linien-Modell ist eine aktive Wahrnehmung der Aufgaben im Auslagerungsmanagement erforderlich

24.06.2022

Beitragsicon
Auswirkungen des neuen Lieferkettengesetzes auf die Finanzwirtschaft

Der Beitrag stellt das neue Lieferkettengesetz in seinen Grundzügen sowie mögliche Auswirkungen auf die Finanzwirtschaft dar

22.11.2021

Beitragsicon
Aufbau- und ablauforganisatorische Unabhängigkeit der Gutachter

Neue verschärfte EBA/MaRisk-Vorgaben im Bereich der aufbau- und ablauforganisatorischen Unabhängigkeit von Gutachtern bei der Immobilienbewertung

30.06.2022

Beitragsicon
BAIT: Erweiterte Anforderungen an das Informationsrisikomanagement

Institute müssen sich entsprechend der BAIT über die Bedrohungen und Schwachstellen ihres Informationsverbundes informieren.

24.06.2022


Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.