Laura Zappavigna, Prüferin im Referat Bankgeschäftliche Prüfungen 2, Deutsche Bundesbank, Hauptverwaltung in NRW, Düsseldorf
Mit der seit dem 27.10.2017 gültigen fünften Novellierung der MaRisk stellt die BaFin u. a. erhöhte Anforderungen an das Management von Auslagerungsrisiken. Insbesondere die Erfahrungen von BaFin und Bundesbank aus der täglichen Aufsicht sowie aus Sonderprüfungen flossen neben der Integration einer Reihe international- und europarechtlicher Vorgaben in die Überarbeitung des Rundschreibens ein. In der Aufsichtspraxis sind vielfach Mängel in der Anwendung des AT 9 sichtbar geworden, die z. T. auch auf herrschende Unklarheiten in der Praxis hinsichtlich einer MaRisk-konformen Anwendung zurückzuführen sind. Neben der Aufnahme einiger wesentlicher Neuerungen handelt es sich vielmehr um Präzisierungen und Klarstellungen, die einer verbesserten Transparenz der aufsichtlichen Erwartungshaltung dienen sollen. Während letztere Konkretisierungen grundsätzlich seit dem Tag der Veröffentlichung gelten, gewährt die Aufsicht den Instituten zur Umsetzung jener Vorschriften, die neue Anforderungen schaffen, eine Umsetzungsfrist bis zum 31.10.2018.
Mit der Veröffentlichung der neuen bankaufsichtlichen Anforderungen an die IT (BAIT) am 03.11.2017 ergänzt die BaFin ihre Anforderungen an die IT der Institute nach § 25a Abs. 1 und § 25b KWG um ein weiteres Rundschreiben zur Konkretisierung der MaRisk. Vor dem Hintergrund der verschärften Anforderungen an das Auslagerungsmanagement beschäftigt sich auch das Kapitel 8 der BAIT mit Auslagerungen und dem sonstigen Fremdbezug von IT-Dienstleistungen. Die BAIT sind im Gegensatz zu den MaRisk ab Veröffentlichung für alle Banken in Deutschland ohne Übergangsfrist verbindlich zu beachten.
Überwachungsprozesse
Das risikoorientierte Management der ausgelagerten Bereiche zielt darauf ab, eine ausgewogene Sichtweise von Risiken und Wertschöpfung über die gesamte Laufzeit des Outsourcing-Verhältnisses hinweg zu etablieren und durch Kontroll- und Koordinationsmaßnahmen eine regelmäßige Beurteilung der Leistungen des Dienstleisters vorzunehmen. Dabei sind das rechtzeitige Erkennen von Auffälligkeiten in der Leistungserbringung sowie der zeitgerechte Informationsaustausch innerhalb des Unternehmens von besonderer Bedeutung, um ggf. geeignete Maßnahmen ableiten und umsetzen zu können.
SEMINARTIPPS
Neue Pflichten für Dienstleister-Steuerung, 14.11.2018, Frankfurt/M.
Auslagerungsverträge auf dem Prüfstand, 15.11.2018, Frankfurt/M.
Prüfung Auslagerungsprozesse, 22.11.2018, Köln.
Risikoanalyseprozess
Eine angemessene Überwachung des Dienstleisters erfolgt durch die systematische Funktionstrennung des internen Kontrollsystems und der internen Revision. Steht ein Institut vor einer Outsourcing-Entscheidung, hat zunächst eine Risikobetrachtung zu erfolgen, bestehend aus der Analyse der veränderten Risikosituation der Bank nach einer möglichen Auslagerung von Prozessen und Funktionen. Diese Risikoanalyse ist sowohl regelmäßig als auch anlassbezogen durchzuführen und hat ebenfalls Risikokonzentrationen sowie Risiken aus Weiterverlagerungen zu berücksichtigen. Der MaRisk-konforme Einbezug der internen Revision in die Risikoanalyse der jeweiligen Auslagerung bildet eine wichtige Informationsbasis, um Kenntnis über die bestehenden Auslagerungstatbestände und deren Risiko- und Wesentlichkeitsbewertungen zu erlangen. Neben einer Vertragskontrolle auf die erforderlichen Mindestinhalte und die rechtliche Wirksamkeit des Vertragswerkes sind auch die Vollständigkeit sowie eine einheitliche Vorgehensweise bei der Risikobetrachtung zu hinterfragen.
Risikobewertungen für jeden sonstigen Fremdbezug von (IT-)Dienstleistungen
Um das Management besonderer, mit Auslagerungen verbundener Risiken effektiver zu gestalten, wird neben Regelungen über den Softwarebezug auch die Bewertung des Auslagerungstatbestands durch die Aufsicht deutlicher definiert. Insbesondere im Hinblick auf Risiken, die auf externe Dienstleister zurückzuführen sind, stellen die BAIT die gleichen hohen Anforderungen an die Steuerung des sogenannten Fremdbezugs von IT-Dienstleistungen wie an Auslagerungen. Dies erfordert in jedem Fall die Durchführung einer Risikobewertung, deren Ergebnis maßgeblich für die Überwachung der vom Dienstleister geschuldeten Leistung ist. Auch aus der Risikobewertung abgeleitete Maßnahmen sind insofern angemessen in der Vertragsgestaltung zu berücksichtigen, als dass Anpassungsbedarfe mit den Dienstleistern zu verhandeln oder Verträge ggf. gänzlich neu aufzusetzen sind.
PRAXISTIPPS
- Überprüfung des bereits bestehenden Auslagerungsmanagements und Einrichtung einer zentralen Dienstleistersteuerung, um die Prozesse so zu gestalten, dass sie Transparenz und Steuerung gewährleisten.
- Stärkung der institutseigenen Kenntnisse und Erfahrungen, um eine wirksame Überwachung der vom Auslagerungsunternehmen erbrachten Dienstleistungen zu gewährleisten.
- Überprüfung der Risikoanalysen (insbesondere im Hinblick auf Risikokonzentrationen und Risiken aus Weiterverlagerungen) sowie Herstellung von instituts- bzw. konzerneinheitlichen Regelungen zur Erstellung und Überprüfung der Risikoanalysen.
- Auswertung der Berichterstattung und ihre Überführung in das Risikomanagement als zentralen Baustein der Dienstleistersteuerung implementieren.
Beitragsnummer: 759