Jürgen Krug, IT-Revisor, Zentralrevision, Frankfurter Sparkasse
Das Auslagerungsmanagement hat in den letzten Jahren enorm an Bedeutung gewonnen. Allein die Herausforderungen wie IT-Sicherheitsgesetz, EU-Datenschutzgrundverordnung, Digitalisierung und Cloud-Computing, um nur einige zu nennen, verstärken diesen Aspekt. In der Regel hat mittlerweile jedes Unternehmen entsprechende, zielführende Strukturen und Prozesse implementiert, bei denen die Dienstleister in unterschiedlicher Ausprägung berücksichtigt werden. Das zentrale Auslagerungsmanagement bündelt die für die Steuerung der Dienstleister bedeutenden Tätigkeiten.
Reicht das noch oder muss jetzt alles aufgrund der neuen bzw. verschärften Anforderungen der MaRisk und den BAIT über Bord geworfen werden? Auch wenn dies grundsätzlich sinnvoll wäre, ist es unter Berücksichtigung der personellen Ressourcen zielführender, auf dem Vorhandenen aufzubauen.
SEMINARTIPPS
PraxisFalle IT-Dienstleistungen: Sonstiger Fremdbezug vs. Auslagerung, 03.04.2019, Köln.
Risikoanalysen bei Auslagerungen, 20.05.2019, Frankfurt/M.
Was ist jetzt grundlegend anders? Viele Jahre wurde intensiv über die Wesentlichkeit von Auslagerungen diskutiert, während jetzt das Risiko im Fokus steht. Daher müssen Institute konsequent und ausführlich das Risiko bestehender und geplanter Software-Auslagerungen analysieren, dokumentieren, mit dem eigenen Risikobedarf vergleichen, in das Risikomanagement überführen und ggf. entsprechende Maßnahmen einleiten.
Das Auseinandersetzen und Verstehen der neuen Anforderungen als Voraussetzung für eine zielgerichtete Anpassung der institutseigenen Regelungen hat gezeigt, dass neben der unterschätzten Aufgabenvielfalt auch viel Interpretationsspielraum gegeben ist. Dass viele (Auslegungs-)Fragen noch nicht einheitlich verständlich sind und dadurch noch Verwirrung besteht, wird durch Gespräche u. a. mit Prüfern der Aufsicht und Juristen bestätigt. Insbesondere die Diskussion, ob es sich um eine Auslagerung oder einen sonstigen Fremdbezug von IT-Dienstleistungen handelt, beinhaltet Zündstoff.
Was heißt das nun konkret? Schauen wir uns zunächst einige Aspekte an, die primär im Institut diskutiert und festgelegt werden sollten:
- Unterscheidung zwischen Auslagerung und Fremdbezug
- Auswirkungen auf bestehende Risikoanalysen – neues Denkmodell-Risiko
- Inventarisierung vorhandener Auslagerungen und Fremdbezüge
- Anforderungen an die Schutzbedarfsanalyse und Schutzbedarfsklassifizierung von Software und auch der individuellen Datenverarbeitung (IDV)
- Vertragliche Gestaltung und Verpflichtungen des Auslagerungsunternehmens, auch bei Weiterverlagerungen
- Anforderungen an eine Exit-Strategie und Bewertung der dadurch entstehenden IT-Risiken
Die neuen Anforderungen haben logischerweise auch Einfluss auf die Revisionstätigkeit und führen zu (neuen) Schwerpunkten nicht nur für die Interne Revision. Neben der Sicherstellung einer wirksamen Überwachung (u. a. durch Risikoreports des Dienstleisters) der vom Auslagerungsunternehmen erbrachten Dienstleistungen sind u. a. die Schwachstellen bei der Risikoanalyse von Software-Auslagerungen und -Fremdbezügen (z. B. Risikokonzentrationen) sowie die Transparenz und Steuerbarkeit von Cloud-Anwendungen zu bewerten. Die Anwendung des Proportionalitätsprinzips sollte mit Augenmaß erfolgen.
Als Fazit bleibt festzuhalten, dass wir alle mitten in der Lernkurve sind. Durch die Analyse der vorhandenen Regelungen werden die Defizite transparent und der notwendige Handlungsbedarf offensichtlich. Gerade der neue „Risikodenkansatz“ stellt Herausforderungen in der Zusammenarbeit mit dem Risikomanagement dar. Die Stellschrauben müssen hausindividuell adjustiert werden, um die Weichen im Sinne eines funktionsfähigen Informationsrisikomanagement richtig zu stellen. Es ist noch eine Menge zu tun!
PRAXISTIPPS
- Setzen Sie sich intensiv mit den neuen Anforderungen, insbesondere MaRisk AT 9 und BAIT 8 auseinander, bewerten Sie diese unter Berücksichtigung der vorhandenen Prozesse und dokumentieren Sie die Entscheidungen.
- Setzen Sie auf Best Practices und nutzen Sie die Handlungsempfehlungen von Prüfern der Aufsicht, Juristen und Verbänden.
- Bleiben Sie thematisch „am Ball“, damit Sie eventuelle Klarstellungen frühzeitig mitbekommen und rechtzeitig darauf reagieren können.
Beitragsnummer: 960