Jan Meyer im Hagen, Geschäftsführer Finanz Colloquium Heidelberg GmbH, im Interview mit Martin Wiesenmaier, Geschäftsführer, FORUM Gesellschaft für Informationssicherheit mbH
Martin Wiesenmaier
| 
Jan Meyer im Hagen
|
Jan Meyer im Hagen: Die in den aktuellen MaRisk definierten Anforderungen an das Auslagerungsmanagement gelten als deutliche Verschärfung. Wo sehen Sie hier die größten Herausforderungen für die Banken?
Martin Wiesenmaier: Insgesamt gibt es einige Baustellen, die aus der Erwartung einer intensiveren Steuerung und Überwachung des Auslagerungspartners resultieren. Dies beginnt schon bei der Risikoanalyse, in welcher künftig weitere Kriterien bewertet werden müssen, den erweiterten vertraglichen Anforderungen, Due Diligence-Regelungen, einer detaillierteren Überwachung der ordnungsgemäßen Leistungserbringung mittels SLAs oder KPIs, der Einrichtung eines zentralen Auslagerungsbeauftragten und vor allem der Erstellung eines Auslagerungsregisters mit den Pflichtangaben aus den EBA-Guidelines. In der Gesamtbetrachtung stellen diese zusätzlichen Anforderungen einen erheblichen Mehraufwand für die Banken dar.
Jan Meyer im Hagen: Was ändert sich konkret an den Risikoanalysen?
Martin Wiesenmaier: Nach wie vor dient die Risikoanalyse zur Bestimmung der Wesentlichkeit von Auslagerungen und damit einer risikoorientierten Steuerung und Überwachung der ausgelagerten Prozesse und Aktivitäten. Bei der Risikoanalyse sind alle für das Institut relevanten Aspekte im Zusammenhang mit der Auslagerung zu berücksichtigen. Hierzu zählen nach den neuen MaRisk nun auch Risiken aus Weiterverlagerungen, politische Risiken, die Eignung des Auslagerungsunternehmens, mögliche Interessenkonflikte, der Schutzbedarf der an das Auslagerungsunternehmen übermittelten Daten sowie die mit der Auslagerung verbundenen Kosten. Diese Kriterien sind in den vorhandenen Risikoanalysen zu ergänzen. Interessant ist, dass in der Risikoanalyse auch Maßnahmen zur Steuerung und Minderung der Risiken berücksichtigt werden können. Je nach Wirksamkeit dieser Maßnahmen kann sich dadurch eine geringe Risikoeinschätzung ergeben. Spannend ist auch, dass künftig auch die Wesentlichkeit von Weiterverlagerungen zu bewerten ist, welche später im Auslagerungsregister ausgewiesen werden muss. Diese Wesentlichkeit sollte im besten Fall auch über eine Risikoanalyse nachvollziehbar bewertet werden, sofern die Bank über die erforderlichen Informationen verfügt.
Jan Meyer im Hagen: Auch bei den Auslagerungsvereinbarungen gibt es offensichtlich neue Anforderungen?
Martin Wiesenmaier: Die vorgegebenen Mindestbestandteile sind in MaRisk AT 9 Tz. 7 detailliert aufgeführt. Diese sind u. a. auch für das spätere Auslagerungsregister relevant und nehmen insofern teilweise schon die in den EBA-Guidelines vorgesehenen Mindestinhalte für die Dienstleister, Leistungen und Weiterverlagerungen vorweg. Hierunter fallen u. a. Angaben zum Beginn und ggf. Ende der Auslagerung, das geltende Recht (sofern vom deutschen Recht abweichend), die Standorte der Leistungserbringung, die vereinbarte Dienstleistungsgüte mit eindeutigen Leistungszielen und Aussagen zu Notfallkonzepten. In der Praxis dürfte dies in den meisten Altverträgen zu einer Anpassungsnotwendigkeit führen.
Jan Meyer im Hagen: Das Institut hat die mit Auslagerungen verbundenen Risiken angemessen zu steuern und die Ausführung der ausgelagerten Aktivitäten und Prozesse ordnungsgemäß zu überwachen. Inwieweit wurde die Überwachung der ordnungsgemäßen Leistungserbringung durch den Dienstleister verschärft und wer sollte diese Aufgabe übernehmen?
Martin Wiesenmaier: Für die Dokumentation, Steuerung und Überwachung von wesentlichen Auslagerungen hat das Institut klare Verantwortlichkeiten festzulegen. Die Ausführung der ausgelagerten Aktivitäten und Prozesse ist durch die Verantwortlichen zu überwachen. Der Verantwortliche zur objektiven Beurteilung der Ausführung dürfte dabei regelmäßig der Fachbereich sein, dessen Geschäftsprozesse teilweise ausgelagert sind. Die Überwachung umfasst bei wesentlichen Auslagerungen auch die laufende Überwachung der Leistung des Auslagerungsunternehmens anhand vorzuhaltender Kriterien. Neu ist in den MaRisk die Anforderung einer qualifizierteren Bewertung z. B. anhand von SLAs oder Key Performance Indicators, welche einem Soll-Ist-Abgleich zu unterziehen sind, um die Qualität der erbrachten Leistungen nachvollziehbar zu beurteilen.
Jan Meyer im Hagen: Welche neuen Anforderungen werden bezüglich Weiterverlagerungen gestellt?
Martin Wiesenmaier: Die Anforderungen an die Auslagerung von Aktivitäten und Prozessen, sind auch bei der mit wesentlichen Auslagerungen verbundenen Weiterverlagerung von ausgelagerten Aktivitäten und Prozessen zu beachten. Da manche Dienstleister zwischenzeitlich weitere Subunternehmer eingeschaltet haben, können „unter der Haube“ längere bzw. komplexere Auslagerungsketten bestehen. Die mit Weiterverlagerungen verbundenen Risiken sollen ebenfalls in der Risikoanalyse bewertet werden. Damit soll auch das Risiko, dass die Fähigkeit der Institute zur Überwachung der ausgelagerten Aktivitäten und Prozesse eingeschränkt wird, reduziert werden.
Jan Meyer im Hagen: Die Banken haben künftig ein aktuelles Auslagerungsregister mit speziellen Informationen über alle Auslagerungsvereinbarungen vorzuhalten. Wie hoch schätzen Sie den Aufwand für die Erstellung eines Auslagerungsregisters ein?
Martin Wiesenmaier: Sicherlich ist es für die Ersterfassung der Pflichtangaben für die Dienstleister, Leistungen und Weiterverlagerungen ein nicht zu unterschätzender Aufwand – gerade auch, wenn man die Informationen zusammentragen muss. Hierzu haben wir in unserer Software ForumOSM weitere Erfassungsmöglichkeiten in die Masken für die Dienstleister und Leistungen integriert. Um die Erfassung möglichst effizient und ressourcenschonend zu gestalten, unterstützen wir unsere User mit einigen Stammdaten aus den Schwestermodulen von ForumOSM. Am Ende des Tages kann ein aktuelles und vollständiges „Auslagerungsregister auf Knopfdruck“ ausgegeben werden. Darüber hinaus unterstützen wir mit unserem Tool, welches täglich von über 200 Banken eingesetzt wird, sämtliche Aufgaben des zentralen Auslagerungsmanagements sowie der verantwortlichen Fachbereiche; angefangen von Checklisten für die Risikoanalyse, Quick-Checks und die Vertragsprüfung, über die Steuerung und Überwachung der Auslagerungen bis zum Risikomanagement der Auslagerungen und IT-Fremdbezüge. In den letzten Jahren haben wir auf Kundenwunsch zahlreiche Komfortfunktionen wie Workflows, Aufgaben-Cockpits und Erinnerungs-Mails in ForumOSM integriert, um die steigenden Anforderungen möglichst effizient und revisionssicher dokumentieren zu können.
Beitragsnummer: 21710