Dienstag, 10. März 2020

Erfüllung der aufsichtskonformen Anforderungen für (IT-)Dienstleister

Risikoorientierte Steuerung von (IT-)Auslagerungen

Ina Märzluft, Senior Consultant/Prokuristin, FCH Consult GmbH

Durch die bankenaufsichtliche Definition nach AT 9 Tz. 1 MaRisk nehmen die Entwicklungen im Auslagerungsmanagement jährlich stetig zu. Die letzte Veröffentlichung durch die Europäische Bankenaufsichtsbehörde (EBA) zu Informations- und Kommunikationstechnologie (IKT) und Sicherheitsrisikomanagement am 28.11.2019 verschärft die aufsichtskonformen Anforderungen in einer weiteren Detailtiefe, nicht nur für Finanzinstitute, sondern auch für (IT-)Dienstleister.

 Dadurch definiert die EBA ihre Erwartungen an die Strategie, Governance, Informationssicherheit, Betriebs- und Business-Continuity-Management weiter und intensiviert den Umgang mit Risiken, z. B. durch die Berücksichtigung von Auslagerungs- und Projektrisiken im operationellen Risikomanagement, sowie die Kontrollen der Maßnahmen zur Risikominimierung. Es wird der vollständige Überblick der IKT-Assets (einschließlich IKT-Systeme, Netzwerkgeräte, Datenbanken, usw.) in den einzelnen Finanzinstituten und den ausgelagerten Bereichen inklusive der positiven und negativen Auswirkungen bei Neuerungen, Änderungen oder Löschungen mit der Einhaltung der definierten Kommunikationswege verlangt.

 

Dieses bedeutet für die Auslagerungsunternehmen (Service Provider), dass sie neben der Analyse und Bewertung der Risiken der jeweiligen Dienstleistung insbesondere die Zugangs-, Informations- und Prüfungsrechte bei allen Auslagerungen vertraglich zusichern und gewähren müssen. 

 

Dieses stellt neue Anforderungen an die (IT-)Dienstleister in ihrer Aufbau- und Ablauforganisation, u. a. durch

  • Dokumentation von Geschäftsprozessen in einer schriftlich fixierten Ordnung (Organisationshandbuch)
  • Implementierung eines Risikomanagements inklusive einer einheitlichen Risikoanalyse und -bewertung 
  • Detaillierung der Vertragsvereinbarungen, um die aufsichts- und datenschutzrechtlichen Anforderungen zu erfüllen
  • Zunahme der Verantwortlichkeiten, verbunden sowohl mit einem Personal- als auch Know-how-Aufbau, im Three-Lines-of-Defense-Modell (Modell der drei Verteidigungslinien) zur Erfassung, Identifizierung, Analyse und Bewertung der Risiken und im Compliance-Management
  • Aufbau eines Internen Kontrollsystems zur Kontrolle und Überwachung der Service-Level-Agreements mit Key-Performance-Indikatoren (KPIs) zur regelmäßigen Messung und Beurteilung der Leistung 
  • Implementierung einer (IT-)Dienstleistersteuerung und -überwachung zur Sicherstellung der Servicequalität
  • Umgang mit Weiterverlagerungen zur Gewährleistung der aufsichtsrechtlichen Anforderungen
  • Aufbau einer Internen Revision durch die Zunahme neuer Prüffelder und zur Durchführung von Audits für den Nachweis von diversen Prüfberichten 

 

Durch die Mindestanforderungen an das Risikomanagement (MaRisk), den Bankaufsichtlichen Anforderungen an die IT (BAIT) und EBA-Guidelines sowie dem Datenschutz erhöht sich Steuerung der Auslagerungen bei den Finanzinstituten und damit auch bei den Auslagerungsunternehmen. Die risikoorientierten und aufsichtskonformen Anforderungen der Finanzinstitute werden damit ebenfalls an die (IT-)Dienstleister „ausgelagert“. Bei einer Prüfung der Bundesbank werden nicht mehr „nur“ das Finanzinstitut geprüft, sondern auch die Unternehmen der Auslagerung

 

 


Gemeinsames Ziel zwischen Finanzinstitut und Auslagerungsunternehmen muss es sein, die IKT- und Sicherheitsrisiken so gering wie möglich zu halten und regelmäßig zu kontrollieren, um keine negativen Auswirkungen auf das Risikoprofil oder Risikozuschläge bei der Kernkapitalquote der Finanzinstitute zu erzielen.

 

Daher bieten wir folgende Unterstützungs-/Beratungsleistungen, insbesondere für (IT-)Dienstleister an:

  • Aufbau eines internen Dienstleister-Kontrollsystems
  • Durchführung eines Quick-Checks Auslagerungsmanagement
  • Unterstützung bei der Implementierung einer aufsichtskonformen Dienstleistersteuerung

 

SEMINARTIPPS

(Neue) BAIT: Praxis & Prüfung - Künftige Vorgaben & Herausforderungen, 23.03.2020, Köln. 
Auslagerungen im Fokus von neuer MaRisk/BAIT & EBA-GL, 23.06.2020, Frankfurt/Offenbach. 
Prüfung (NEUE) BAIT im Fokus der Bankenaufsicht, 25.–26.11.2020, Düsseldorf.
 

BERATUNGSTIPP

Fit für die BAIT und die Sonderprüfung IT.

 

FILMTIPP
BAIT in der Revisionspraxis: Prüfungsschwerpunkt IT-Governance.


Sie haben Fragen zum Thema? – Gerne unterstütze ich Sie bei der Umsetzung der neuen, erweiterten Anforderungen:

Ina Märzluft
Senior Consultant/Prokuristin
FCH Consult GmbH
www.fchconsult.de
Mobil: +49 176 84 975 974
E-Mail: ina.maerzluft@fch-gruppe.de


Beitragsnummer: 5153

Beitrag teilen:

Beiträge zum Thema:

Beitragsicon
Berücksichtigung von Modellrisiken in der Risikotragfähigkeitsanalyse

Prüfungsansätze der Bankenaufsicht zur Beurteilung der Notwendigkeit der Berücksichtigung von Modellrisiken innerhalb der Risikotragfähigkeitsanalyse

16.01.2024

Beitragsicon
DORA-Umsetzung: Hilfe zur Selbsthilfe

Ein Vorgehensmodell zur Implementierung der DORA aus der Praxis

26.02.2024

Beitragsicon
DORA: Fokus auf die IKT-Dienstleister

Im ersten Schritt sollten alle Banken frühzeitig prüfen welche Auslagerungen, Fremdbezüge tatschlich IKT-relevant sind

10.03.2024

Beitragsicon
8. MaRisk Novelle – Herausforderungen für Finanzinstitute

Die BaFin hat eine Neufassung der MaRisk vorgestellt, die insb. die Umsetzung der EBA-Leitlinien zu IRRBB und CSRBB in deutsches Aufsichtsrecht überführt.

01.03.2024

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.