Auslagerungsüberwachung durch die Three-Lines-of-Defense

Donnerstag, 16. Januar 2020

Gisela Conrads, Leiterin Interne Revision, Münchener Hypothekenbank eG

Mit der steigenden Bedeutung der Auslagerungen in der Bankenwelt sind auch die gesetzlichen Regelungen zur Überwachung von Auslagerungsmaßnahmen bei Banken seit Jahren gestiegen. Die Verantwortung für die ausgelagerten Aktivitäten und Prozesse verbleibt bei der Geschäftsleitung des auslagernden Unternehmens. Somit sind Banken angehalten, auch für ausgelagerte Prozesse ein internes Kontrollsystem (IKS) zu etablieren, um ein frühzeitiges Erkennen und damit eine Steuerung von Risiken zu ermöglichen. Im Umkehrschluss bedeutet dies, dass auch Auslagerungs-Vorhaben und deren Überwachung Bestandteil des IKS sein müssen.

Besondere Regelungen zur Auslagerung finden sich neben den Vorgaben des § 25b KWG (Auslagerung von Aktivitäten und Prozessen) in den Mindestanforderungen an das Risikomanagement (Rundschreiben MaRisk 09/2017(BA)) sowie den ab 30.09.2019 in Kraft getretenen EBA-Guidelines on outsourcing arrangements (EBA/GL/2019/02). Diese definieren eine Vielzahl von Anforderungen an das Management von Auslagerungen und berücksichtigen darüber hinaus auch die Empfehlungen zur Auslagerung an Cloud-Anbieter der EBA aus 2017.

SEMINARTIPPS

Prüfung AT 9 – Auslagerungen, 31.03.2020, Köln.

PraxisFalle IT-Dienstleistungen: Sonstiger Fremdbezug vs. Auslagerung, 22.06.2020, Frankfurt/Offenbach.

Auslagerungen im Fokus von neuer MaRisk/BAIT & EBA-GL, 23.06.2020, Frankfurt/Offenbach.

Risikoanalysen bei Auslagerungen, 02.11.2020, Hamburg.

Ziel der Guidelines ist die Erhöhung der Transparenz hinsichtlich der ausgelagerten Prozesse und Aktivitäten sowie die Steigerung des Risikobewusstseins für Auslagerungsrisiken. In der Vergangenheit war die Beherrschbarkeit von Auslagerungsrisiken nach Ansicht der Aufsicht nicht immer gegeben und die regulatorischen Anforderungen wurden mehr „formell“ als „operativ“ in das Risikomanagement eingebunden.

INHOUSETIPP

Auslagerungsmanagement.

  

Für die Geschäftsführung, die auslagernden Fachbereiche, das zentrale Auslagerungsmanagement und auch die Interne Revision bedeutet dies, sofern tatsächlich noch nicht geschehen, eine intensive Verzahnung der Überwachung von Tätigkeiten des Dienstleisters mit den eigenen Prozessen. Die regelmäßige Überwachung der ausgelagerten Prozesse und Tätigkeiten muss neben der Einhaltung von Service-Level-Agreements auch sicherstellen, dass (erhöhte) Anforderungen an interne Prozesse auch durch den Dienstleister gelebt werden. Dies betrifft z. B. auch die seit 25.05.2018 gültige Datenschutzgrundverordnung.

Konkret bedeutet dies, dass zum einen die Verträge mit den Dienstleistern so ausgestaltet sein müssen, dass neben den aufsichtlich erforderlichen Vertragsbestandteilen zu Prüfungsrechten u. a. auch klare Vorgaben für messbare Service-Level und die Berichterstattung an den Auftraggeber vereinbart werden müssen. Dabei ist zu beachten, dass die Berichte des Dienstleisters auf einer für den Auftraggeber nachvollziehbaren (Daten-)Basis erstellt werden und die Ergebnisse für die Überwachung durch das dezentrale Auslagerungsrisikomanagement geeignet sind (Stichwort Definition von Kennzahlen). Somit ist es notwendig, dass die Berichte sowohl regelmäßig als auch ad-hoc zeitnah vorliegen und Gegensteuerungsmaßnahmen bzw. Eskalationen eine Risikoreduzierung durch das Auslagerungsunternehmen ermöglichen müssen.

        

Zum anderen muss natürlich sichergestellt werden, dass auch Kompetenzen bzw. Berechtigungen an den Dienstleister lediglich in einem für den ausgelagerten Prozess bzw. die ausgelagerte Aktivität angemessenem Maß vergeben werden und diese auch in die regelmäßige Überwachung durch den auslagernden Fachbereich bzw. den Fachbereich IT integriert werden.

Die systematische Herangehensweise an mögliche Risiken kann auch bei der Auslagerungsüberwachung nur durch ein funktionierendes „Three-Lines-of-Defense-Modell“ dazu führen, dass die Risiken im Auslagerungsunternehmen frühzeitig erfasst, identifiziert, analysiert und bewertet werden.

Die Verteidigungslinien des Auslagerungsunternehmens haben in diesem Zusammenhang folgende Aufgaben:

1. Line = auslagernder Fachbereich/Fachbereich IT

  • Sicherstellung ordnungsgemäßer Auslagerung,
  • Aufrechterhaltung von entsprechendem Know-how für die ausgelagerten Prozesse und Tätigkeiten,
  • angemessene Vertragsgestaltung,
  • laufende Überwachung der ausgelagerten Prozesse und Tätigkeiten und
  • regelmäßige Berichterstattung der Überwachungsergebnisse
  • direkter Ansprechpartner des Dienstleisters.

2. Line = zentrales Auslagerungsmanagement (daneben Einbindung u. a. CISO/IT/Rechtsabteilung)

  • Sicherstellung, dass aufsichtsrechtliche Anforderungen in Bezug auf Auslagerungen und Fremdbezüge Bank-weit umgesetzt werden,
  • Etablierung einheitlicher Standards für Prozesse zum Umgang mit Auslagerungen, Vertragsgestaltungen für Auslagerungen, Risikoanalyse und Berichterstattung der Überwachungsergebnisse,
  • Sicherstellung, dass alle ausgelagerten Prozesse und Aktivitäten bekannt sind, und alle ausgelagerten Prozesse und Aktivitäten sowie Fremdbezüge in einem vollumfänglichen Auslagerungsregister erfasst werden,
  • regelmäßige zusammenfassende Berichterstattung an die Geschäftsführung über die Risiken aus Auslagerungen und Fremdbezügen,
  • u. a. Ansprechpartner für dezentrale Auslagerungsmanager (DAM), Geschäftsleitung, Jahresabschlussprüfer und Interne Revision.

3. Line = Interne Revision

  • Sicherstellung, dass die Anforderungen an eine funktionsfähige Revision auch für ausgelagerte Prozesse und Tätigkeiten eingehalten werden,
  • Überwachung der als wesentlich eingestuften Auslagerungen im Rahmen der risikoorientierten Prüfungsplanung,
  • Auswertung der Berichte des Dienstleisters, insbesondere Prüfungsberichte der „Dienstleisterrevision“ und Bewertung der Relevanz von Feststellungen,
  • Information der Geschäftsleitung des Auslagerungsunternehmens über Prüfungsergebnisse und Aufnahme unter Risikogesichtspunkten relevanter Feststellungen in das Follow-Up und
  • direkter Ansprechpartner für die Interne Revision des Dienstleiters.

Die Anforderungen und Aufgaben der beteiligten „Lines-of-Defense“ und insbesondere an die Interne Revision zeigen, dass aufgrund klarer Vorgaben und der kooperierenden Zusammenarbeit innerhalb des Auslagerungsunternehmens sowie zwischen den Auslagerungspartnern Reibungsverluste reduziert und ein effizienteres integriertes Risikomanagement ausgelagerter Prozesse und Tätigkeiten möglich ist.

Die Banken – und hier insbesondere die Internen Revisionen – sollten die Kritik an den bisherigen Überwachungsintensitäten und den daraus abgeleiteten Risikomanagementmaßnahmen ernst nehmen und sich verstärkt mit der Bedeutung der Verzahnung von ausgelagerten Aktivitäten in das Risikomanagement der auslagernden Bank beschäftigen. Nicht zuletzt kann die Interne Revision aufgrund ihres Gesamtüberblicks sowie der Betrachtung der Schnittstellen sowohl beim Dienstleister als auch im eigenen Unternehmen frühzeitig auf Diskrepanzen bezüglich der Prozessqualität hinweisen. Bei konsequenter (risikoorientierter) Einplanung der Prüfungsobjekte aus Auslagerungen und verbliebener Prozessteile kann eine nachhaltige Sicherung der Risikoüberwachung und Information der Geschäftsleitung festgestellt werden[1]. Dadurch werden neben den aufsichtsrechtlichen Anforderungen auch die Forderungen der Geschäftsleitung nach Kosteneinsparungen durch optimierte Überwachung von ausgelagerten (Teil-)Prozessen erfüllt und die Interne Revision entlastet.

PRAXISTIPPS

  • Grundlage für eine funktionierende Überwachung von ausgelagerten Prozessen und Tätigkeiten ist das für die Prozesse/Tätigkeiten vorhandene Know-how beim Auslagerungsunternehmen.
  • Klare Schnittstellen und Service Level Agreements sind als Grundlage verlässlicher (erwarteter) Qualität erforderlich.
  • Altverträge sind hinsichtlich der Erfüllung der neuen Anforderungen zu überprüfen und ggf. zu aktualisieren.
  • Bei der Auslagerung von Prozessen und Aktivitäten ist der Kosten-Nutzeneffekt zu beachten, da die Überwachung dieser Tätigkeiten durch das Auslagerungsunternehmen durch die diversen Schnittstellen ebenfalls hohe Kosten verursacht.
  • Hilfestellung bei der Implementierung wirksamer Überwachungsprozesse liefern auch die beim Finanz Colloquium Heidelberg erschienen Fachbücher, Fachartikel und Seminare zum Thema „Auslagerung“.
  1. Vgl. Hanten, Dr. M.; Görke, O.; Ketessidis, A., Outsourcing im Finanzsektor (2011), S. 54.


Beitragsnummer: 4899

Hinterlassen Sie einen Kommentar

Kommentare:

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, nutzen wir Google Analytics und hierfür erforderliche Cookies. Weitere Infos finden Sie in unseren Datenschutzhinweisen.