Dienstag, 31. Dezember 2019

Prüfung AT 9

Auslagerungen und Dienstleistersteuerung als neuer Schwerpunkt

Jürgen Krug, CISA, Stv. Abteilungsleiter Zentralrevision/IT-Revisor, Frankfurter Sparkasse

Verschärfte Anforderungen

Im Laufe der letzten Jahre hat die Bedeutung der Auslagerungs- bzw. Dienstleistersteuerung enorm zugenommen. Treiber waren neben den Sparzwängen aufgrund der nach wie vor niedrigen Zinsen v. a. die verschärften Anforderungen an die Dienstleistersteuerung als Folge des neuen AT 9 der MaRisk in Verbindung mit den Bankaufsichtlichen Anforderungen an die IT (BAIT) und den EBA-Guidelines on outsourcing arrangements. Mittlerweile sind seit Veröffentlichung der MaRisk und der BAIT gut zwei Jahre vergangen. Die Tragweite und der damit verbundene Handlungsbedarf werden aber erst jetzt so richtig klar. Das bestätigt sich durch die regelmäßigen Feststellungen bei IT-Prüfungen durch die Aufsicht. Insofern ist noch eine Menge zu tun, um die für das Unternehmen richtige Detailtiefe zu finden. Hilfreich dabei ist das Verständnis der Sichtweisen und Interpretationen der Aufsichtsprüfer.

SEMINARTIPPS

Neue MaRisk 2020, 17.03.2020, Frankfurt/M.

Risikoberichtswesen & Reporting in Praxis & Prüfung, 18.03.2020, Frankfurt/M.

Prüfung AT9 – Auslagerungen, 31.03.2020, Köln.

Kritische Analyse & Plausibilisierung von Dienstleister-Prüfberichten, 01.04.2020, Köln.

Prozessorientierte Prüfungslandkarten & Revisionsberichte, 04.05.2020, Frankfurt/M.

Implementierung und Weiterentwicklung

Werfen wir einen Blick auf die verschärften Auslagerungsregelungen. Zunächst ist ein zentrales Auslagerungsmanagement zu implementieren bzw. weiterzuentwickeln. Eine der Herausforderung dabei sind die für das jeweilige Institut zielführende Abgrenzung der Aufgaben und Verantwortlichkeiten sowie die Festlegung der Methodik zur Risikobewertung gem. BAIT und Risikoanalyse nach AT 9 der MaRisk, sodass die Einbindung in das OpRisk-Management sichergestellt wird. Dass bei der Risikoanalyse alle relevanten Aspekte im Zusammenhang mit der Auslagerung bis hin zur Exitstrategie zu berücksichtigen sind (z. B. die wesentlichen Risiken einschließlich möglicher Risikokonzentrationen und Weiterverlagerungen), macht die Thematik nicht leichter.









Herausforderungen für das Unternehmen

Die Herausforderungen sind vielschichtig. Angefangen mit der Festlegung von Kriterien zur Steuerung und Überwachung der Dienstleistungen (KPI) gilt es, die Hürden im Risikoanalyseprozess und in der Dienstleistersteuerung (zentral sowie dezentral) zu überwinden. Bei der Festlegung der Dokumentationserfordernisse sämtlicher (IT-)Auslagerungen ist ebenfalls das passende Augenmaß anzulegen. Die Erwartungshaltung zum Umgang mit sonstigen Fremdbezügen von IT-Dienstleistungen und IT-Auslagerungen hat zu vielen Diskussionen nicht nur mit externen Aufsehern und der Internen Revision geführt – das letzte Wort ist wohl auch hier noch nicht gesprochen. Weitere Hürden bei der Einbindung von Cloud-Services müssen genommen werden. Weitere Herausforderungen sind u. a. der Umgang mit Risikoanalysen, die Auswertung der Dienstleister-Prüfberichte und der damit verbundene evtl. Verzicht auf eigene Prüfungshandlungen sowie die notwendige Erweiterung der Prüflandkarte – von der Thematik der Weiterverlagerung ganz zu schweigen.

Neben den Herausforderungen für das Unternehmen steigen auch die Anforderungen für die Innenrevision. Eines sei dabei vorausgeschickt: Die Revision sollte nicht als Gegner, sondern zunehmend auch als Berater verstanden werden.

Fazit

Der Aufbau des zentralen Auslagerungsmanagements stellt nicht nur aufgrund knapper Ressourcen immer noch in vielen Unternehmen eine Herausforderung dar. Die Anforderungen werden weiter wachsen. Eine Pauschallösung kann es aufgrund der unterschiedlichen Aufgabenstellungen und Prozesse in den Unternehmen nicht geben.

Ziel muss es sein, die Anforderungen der Aufsicht zugeschnitten auf das Unternehmen in funktionsfähige Prozesse zu übersetzen und wirksame Kontrollen unter Berücksichtigung der Sicherheit, Ordnungsmäßigkeit und den vorhandenen Ressourcen zu implementieren.

PRAXISTIPPS

  • Durchführung einer Risikoanalyse vor Vertragsabschluss.
  • Festlegung der Mindestvertragsinhalte zur Unterstützung des Prozessverantwortlichen.
  • Frühzeitige Kommunikation der Anforderungen an den Dienstleister (Service Levels).


Beitragsnummer: 3913

Beitrag teilen:

Beiträge zum Thema:

Beitragsicon
Berücksichtigung von Modellrisiken in der Risikotragfähigkeitsanalyse

Prüfungsansätze der Bankenaufsicht zur Beurteilung der Notwendigkeit der Berücksichtigung von Modellrisiken innerhalb der Risikotragfähigkeitsanalyse

16.01.2024

Beitragsicon
Dead companies walking – Identifikation von „Zombieunternehmen“

Auch eher unauffällige Unternehmen können ein großes Risiko für Kreditinstitute darstellen. Vor allem, wenn diese Unternehmen vom Substanzverzehr „leben".

07.02.2024

Beitragsicon
Anzeigepflicht von Auslagerungen – alter Wein in neuen Schläuchen?

Ist die Anzeigepflicht wesentlicher Auslagerungen (§ 24 Abs. 1 Nr. 19 KWG) ein Déjà-vu oder Teil des holistischen Ansatzes der Bankenaufsicht?

04.07.2022

Beitragsicon
AML/CFT: Herausfordernde Zeiten zwischen Extremen und Extremismus

Das Themenfeld Terrorismus/Extremismus ist für jedes Kreditinstitut relevant – die Frage ist nur, ob man erkennt, wie hoch die Relevanz ist.

12.04.2023

Beitragsicon
Herausgeberinterview mit Henning Riediger

Interview mit Buchherausgeber Henning Riediger zur Neuerscheinung MaRisk-Berichtswesen

05.04.2024

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.