Anforderungen an die Risikoanalyse und Wesentlichkeitseinstufung von Auslagerungen

Laura Zappavigna, bankgeschäftliche Prüferin, Referat Bankgeschäftliche Prüfungen 2, Deutsche Bundesbank, Hauptverwaltung in NRW

Die in diesem Aufsatz vertretenen Auffassungen geben die persönliche Meinung der Autorin wieder und sind nicht notwendigerweise Positionen der Deutschen Bundesbank oder einer anderen Bankenaufsichtsbehörde.

Die Anforderungen an das Auslagerungsmanagement von Instituten sind mit der fünften Novellierung der Mindestanforderungen an das Risikomanagement (MaRisk) und den Bankaufsichtlichen Anforderungen an die IT (BAIT) gestiegen. Neben Regelungen über den Softwarebezug werden insbesondere die Grenzen der Auslagerbarkeit durch die Aufsicht deutlicher definiert. Weitere Kernthemen sind vertragliche Mindestvereinbarungen für wesentliche Auslagerungen, um die Überwachung der Qualität der erbrachten Leistungen sowie der Risiken der Auslagerung jederzeit sicherzustellen, sowie die Einrichtung eines zentralen Auslagerungsmanagements – abhängig von der Art, dem Umfang und der Komplexität der Auslagerungsaktivitäten des jeweiligen Instituts.

Eine angemessene Überwachung des Dienstleisters erfolgt durch die systematische Funktionstrennung des internen Kontrollsystems und der internen Revision. Steht ein Institut vor einer Outsourcing-Entscheidung, hat zunächst eine Risikobetrachtung zu erfolgen, bestehend aus der Analyse der veränderten Risikosituation der Bank nach einer möglichen Auslagerung von Prozessen und Funktionen. So ist nach AT 9 Tz. 2 der MaRisk zunächst auf Grundlage einer Risikoanalyse eigenverantwortlich festzulegen, welche Auslagerungen von Aktivitäten und Prozessen unter Risikogesichtspunkten wesentlich sind. Jene Risikoanalyse ist auf der Grundlage von institutsweit bzw. gruppenweit einheitlichen Rahmenvorgaben sowohl regelmäßig als auch anlassbezogen durchzuführen, wobei neben dem Einbezug der maßgeblichen Organisationseinheiten auch die Interne Revision im Rahmen ihrer Aufgaben zu beteiligen ist.

Neben der umfangreichen Analyse interner, externer und zeitlicher Rahmenbedingungen ist seitens der Institute ebenfalls zu erörtern, welche Auswirkungen sich durch die Auslagerung gewisser Prozesse und Funktionen auf das Risikocontrolling ergeben können. Weiterhin sind u. a. Datenschutz-, Informationssicherheits- und Compliance-Aspekte zu berücksichtigen und die entsprechenden Stellen in die Risikoanalyse einzubeziehen. Während die Gewährleistung von Auskunfts- und Prüfungsrechten sowie Kontrollmöglichkeiten bei allen Auslagerungen sicherzustellen ist, sind ebenfalls Risikokonzentrationen sowie Risiken aus Weiterverlagerungen zu berücksichtigen.

An wesentliche Auslagerungen stellen die MaRisk allerdings erhöhte Anforderungen: Während im Fall der beabsichtigten oder erwarteten Beendigung der Auslagerungsvereinbarung Vorkehrungen zu treffen sind, die die Kontinuität und Qualität der ausgelagerten Aktivitäten und Prozesse gewährleisten, sind etwaige Handlungsoptionen für unerwartete Beendigungen auf ihre Durchführbarkeit zu prüfen und zu verabschieden (AT 9 Tz. 6). Weiterhin sind die in Tz. 7 genannten Mindestanforderungen an die Vertragsgestaltung zu berücksichtigen und die Leistung einschließlich der Eignung des Auslagerungsunternehmens regelmäßig anhand vorzuhaltender Kriterien zu beurteilen (Tz. 9).

SEMINARTIPPS

Umsetzungsprüfung neuer AT 9, 18.03.2019, Frankfurt/M.

Kritische Analyse/Plausibilisierung von Dienstleister-Prüfberichten, 19.03.2019, Frankfurt/M.

PraxisFalle IT-Dienstleistungen: Sonstiger Fremdbezug vs. Auslagerung, 03.04.2019, Köln.

Risikoanalysen bei Auslagerungen, 20.05.2019, Frankfurt/M.

Der MaRisk-konforme Einbezug der internen Revision in die Risikoanalyse der jeweiligen Auslagerung bildet eine wichtige Informationsbasis, um Kenntnis über die bestehenden Auslagerungstatbestände und deren Risiko- und Wesentlichkeitsbewertungen zu erlangen. Neben einer Vertragskontrolle auf die erforderlichen Mindestinhalte und die rechtliche Wirksamkeit des Vertragswerkes sind auch die Vollständigkeit sowie eine einheitliche Vorgehensweise bei der Risikobetrachtung zu hinterfragen.

Im Hinblick auf die grundlegende Bedeutung der IT für das Institut ergibt sich die Besonderheit, dass die BAIT ähnlich hohe Anforderungen an die Steuerung des sogenannten Fremdbezugs von IT-Dienstleistungen wie an Auslagerungen stellen. Dies erfordert demnach auch im Falle des sonstigen Fremdbezugs die Durchführung einer Risikobewertung, deren Ergebnis maßgeblich für die Überwachung der vom Dienstleister geschuldeten Leistung ist. Auch aus der Risikobewertung abgeleitete Maßnahmen sind insofern angemessen in der Vertragsgestaltung zu berücksichtigen, als dass Anpassungsbedarfe mit den Dienstleistern zu verhandeln oder Verträge ggf. gänzlich neu aufzusetzen sind.

Cover96

PRAXISTIPPS

  • Sicherstellung der vollständigen Erfassung von Auslagerungstatbeständen, insbesondere hinsichtlich des Fremdbezugs von Software.
  • Überprüfung der Risikoanalysen (insbesondere im Hinblick auf Risikokonzentrationen und Risiken aus Weiterverlagerungen) sowie Herstellung von instituts- bzw. konzerneinheitlichen Regelungen zur Erstellung und Überprüfung der Risikoanalysen.
  • Stärkung der institutseigenen Kenntnisse und Erfahrungen, um eine wirksame Überwachung der vom Auslagerungsunternehmen erbrachten Dienstleistungen zu gewährleisten.
  • Überprüfung des bereits bestehenden Auslagerungsmanagements und Einrichtung einer zentralen Dienstleistersteuerung, um die Prozesse so zu gestalten, dass sie Transparenz und Steuerung gewährleisten.
  • Einbindung aller maßgeblichen Organisationseinheiten sowie der internen Revision.

 

 

Beitragsnummer: 54920


0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.