Freitag, 15. Juni 2018

Prüfung und Beurteilung von Auslagerungsprozessen

Laura Zappavigna, Prüferin im Referat Bankgeschäftliche Prüfungen 2, Deutsche Bundesbank, Hauptverwaltung in NRW, Düsseldorf^[1]

Mit der seit dem 27.10.2017 gültigen fünften Novellierung der MaRisk stellt die BaFin u. a. erhöhte Anforderungen an das Management von Auslagerungsrisiken. Insbesondere die Erfahrungen von BaFin und Bundesbank aus der täglichen Aufsicht sowie aus Sonderprüfungen flossen neben der Integration einer Reihe international- und europarechtlicher Vorgaben in die Überarbeitung des Rundschreibens ein. In der Aufsichtspraxis sind vielfach Mängel in der Anwendung des AT 9 sichtbar geworden, die z. T. auch auf herrschende Unklarheiten in der Praxis hinsichtlich einer MaRisk-konformen Anwendung zurückzuführen sind. Neben der Aufnahme einiger wesentlicher Neuerungen handelt es sich vielmehr um Präzisierungen und Klarstellungen, die einer verbesserten Transparenz der aufsichtlichen Erwartungshaltung dienen sollen. Während letztere Konkretisierungen grundsätzlich seit dem Tag der Veröffentlichung gelten, gewährt die Aufsicht den Instituten zur Umsetzung jener Vorschriften, die neue Anforderungen schaffen, eine Umsetzungsfrist bis zum 31.10.2018.

Mit der Veröffentlichung der neuen bankaufsichtlichen Anforderungen an die IT (BAIT) am 03.11.2017 ergänzt die BaFin ihre Anforderungen an die IT der Institute nach § 25a Abs. 1 und § 25b KWG um ein weiteres Rundschreiben zur Konkretisierung der MaRisk. Vor dem Hintergrund der verschärften Anforderungen an das Auslagerungsmanagement beschäftigt sich auch das Kapitel 8 der BAIT mit Auslagerungen und dem sonstigen Fremdbezug von IT-Dienstleistungen. Die BAIT sind im Gegensatz zu den MaRisk ab Veröffentlichung für alle Banken in Deutschland ohne Übergangsfrist verbindlich zu beachten.

Überwachungsprozesse

Das risikoorientierte Management der ausgelagerten Bereiche zielt darauf ab, eine ausgewogene Sichtweise von Risiken und Wertschöpfung über die gesamte Laufzeit des Outsourcing-Verhältnisses hinweg zu etablieren und durch Kontroll- und Koordinationsmaßnahmen eine regelmäßige Beurteilung der Leistungen des Dienstleisters vorzunehmen. Dabei sind das rechtzeitige Erkennen von Auffälligkeiten in der Leistungserbringung sowie der zeitgerechte Informationsaustausch innerhalb des Unternehmens von besonderer Bedeutung, um ggf. geeignete Maßnahmen ableiten und umsetzen zu können.

SEMINARTIPPS

Neue Pflichten für Dienstleister-Steuerung, 14.11.2018, Frankfurt/M.

Auslagerungsverträge auf dem Prüfstand, 15.11.2018, Frankfurt/M.

Prüfung Auslagerungsprozesse, 22.11.2018, Köln.

Risikoanalyseprozess

Eine angemessene Überwachung des Dienstleisters erfolgt durch die systematische Funktionstrennung des internen Kontrollsystems und der internen Revision. Steht ein Institut vor einer Outsourcing-Entscheidung, hat zunächst eine Risikobetrachtung zu erfolgen, bestehend aus der Analyse der veränderten Risikosituation der Bank nach einer möglichen Auslagerung von Prozessen und Funktionen. Diese Risikoanalyse ist sowohl regelmäßig als auch anlassbezogen durchzuführen und hat ebenfalls Risikokonzentrationen sowie Risiken aus Weiterverlagerungen zu berücksichtigen. Der MaRisk-konforme Einbezug der internen Revision in die Risikoanalyse der jeweiligen Auslagerung bildet eine wichtige Informationsbasis, um Kenntnis über die bestehenden Auslagerungstatbestände und deren Risiko- und Wesentlichkeitsbewertungen zu erlangen. Neben einer Vertragskontrolle auf die erforderlichen Mindestinhalte und die rechtliche Wirksamkeit des Vertragswerkes sind auch die Vollständigkeit sowie eine einheitliche Vorgehensweise bei der Risikobetrachtung zu hinterfragen.

Risikobewertungen für jeden sonstigen Fremdbezug von (IT-)Dienstleistungen

Um das Management besonderer, mit Auslagerungen verbundener Risiken effektiver zu gestalten, wird neben Regelungen über den Softwarebezug auch die Bewertung des Auslagerungstatbestands durch die Aufsicht deutlicher definiert. Insbesondere im Hinblick auf Risiken, die auf externe Dienstleister zurückzuführen sind, stellen die BAIT die gleichen hohen Anforderungen an die Steuerung des sogenannten Fremdbezugs von IT-Dienstleistungen wie an Auslagerungen. Dies erfordert in jedem Fall die Durchführung einer Risikobewertung, deren Ergebnis maßgeblich für die Überwachung der vom Dienstleister geschuldeten Leistung ist. Auch aus der Risikobewertung abgeleitete Maßnahmen sind insofern angemessen in der Vertragsgestaltung zu berücksichtigen, als dass Anpassungsbedarfe mit den Dienstleistern zu verhandeln oder Verträge ggf. gänzlich neu aufzusetzen sind.

PRAXISTIPPS

Überprüfung des bereits bestehenden Auslagerungsmanagements und Einrichtung einer zentralen Dienstleistersteuerung, um die Prozesse so zu gestalten, dass sie Transparenz und Steuerung gewährleisten.
Stärkung der institutseigenen Kenntnisse und Erfahrungen, um eine wirksame Überwachung der vom Auslagerungsunternehmen erbrachten Dienstleistungen zu gewährleisten.
Überprüfung der Risikoanalysen (insbesondere im Hinblick auf Risikokonzentrationen und Risiken aus Weiterverlagerungen) sowie Herstellung von instituts- bzw. konzerneinheitlichen Regelungen zur Erstellung und Überprüfung der Risikoanalysen.
Auswertung der Berichterstattung und ihre Überführung in das Risikomanagement als zentralen Baustein der Dienstleistersteuerung implementieren.

Die in diesem Aufsatz vertretenen Auffassungen geben die persönliche Meinung der Autorin wieder und sind nicht notwendigerweise Positionen der Deutschen Bundesbank oder einer anderen Bankenaufsichtsbehörde. ↑

Beitragsnummer: 759

Ein eigenes MeinFCH-Konto ist zwingend Voraussetzung, wenn Sie über unseren Online-Shop eine Bestellung auslösen möchten. Das Konto benötigen Sie, wenn Sie selbst ein Online-Seminar live verfolgen oder Ihre Seminardokumentation bzw. Ihre personalisierte Teilnahmebestätigung herunterladen möchten. Bitte geben Sie Ihre MeinFCH-Login-Daten niemals an dritte Personen weiter. Wir empfehlen Ihnen die Nutzung dieser Browser: Google Chrome, Mozilla Firefox oder Microsoft Edge. Bitte erlauben Sie außerdem Pop-Ups auf unserer Seite.

Anmelden

Bitte melden Sie sich an, um folgende Seite nutzen zu können.

E-Mail-Adresse

Passwort

Angemeldet bleiben

🔒 Sichere SSL-Verschlüsselung

Passwort vergessen?

Neu bei MeinFCH?
Jetzt registrieren!

E-Mail-Adresse

Passwort eingeben

Passwort bestätigen

Passwortlänge: 0 Zeichen

Gültigkeit: -

Sicherheit: -

Ihr sicheres Passwort muss folgende Merkmale besitzen:

Groß- und Kleinschreibung

Zahlen

Sonderzeichen (!$%&#)

mindestens 8 Zeichen

Ja, ich möchte ein Kundenkonto eröffnen und akzeptiere die Datenschutzerklärung.

🔒Sichere SSL-Verschlüsselung

Loggen Sie sich ein, um unsere Favoritenfunktion zu nutzen:

Beitrag teilen:

Beiträge zum Thema:

Berücksichtigung von Modellrisiken in der Risikotragfähigkeitsanalyse

Prüfungsansätze der Bankenaufsicht zur Beurteilung der Notwendigkeit der Berücksichtigung von Modellrisiken innerhalb der Risikotragfähigkeitsanalyse

16.01.2024

Herausgeberinterview mit Henning Riediger

Interview mit Buchherausgeber Henning Riediger zur Neuerscheinung MaRisk-Berichtswesen

05.04.2024

Prüfung des Managements von Immobilienrisiken

Nach Zinswende 2022 und neuen Regulierungen müssen Banken Immobilienrisiken neu bewerten und managen für Zukunftssicherheit.

02.04.2024

Kryptoverwahrgeschäft – was bringt die Erlaubnis für die Institute?

Abgrenzung zu anderen bestehenden Finanzdienstleistungen sowie Hervorhebung ausgewählter bankaufsichtsrechtlicher Anforderungen

03.01.2023

DORA-Umsetzung: Hilfe zur Selbsthilfe

Ein Vorgehensmodell zur Implementierung der DORA aus der Praxis

26.02.2024