Aufsicht veröffentlicht Protokoll zu Auslagerungen

Lukas Walla, Berater, FCH Consult GmbH

Die Aufsicht hat zwischenzeitlich das finale Protokoll mit dem Fachgremium MaRisk am 15.03.2018 veröffentlicht. Als wichtigen Punkt stellt die Aufsicht klar, dass eine Einstufung als sonstiger Fremdbezug nicht gleichbedeutend mit dem Nichtvorliegen eines Risikos ist. Dies verdeutlicht nochmals die Notwendigkeit eines Prozesses, der sich auf sämtliche Drittleistungen erstreckt und sonstige Fremdbezüge nicht von Beginn an ohne Beschäftigung mit den Risiken aussortiert.

Durch die Aufsicht festgestellte Mängel bei Mehrmandantendienstleistern werden auch weiterhin dem auslagernden Institut angerechnet. Darüber hinaus ist sich die Aufsicht bewusst, dass der Umgang mit Mehrmandantendienstleistern eine Herausforderung für die meisten Institute darstellt. Eine Mängelbeseitigung ist dann zusammen mit dem Mehrmandantendienstleister vorzunehmen und entsprechende Überwachungshandlungen sind durchzuführen. Für die Auswertung der oftmals sehr umfangreichen Berichte sind zentrale Interpretationshilfen für die Analyse zulässig. Ebenfalls können verbandsgeprüfte Institute sich einer zentralen verbandsseitigen Auswertung bedienen.

Die Aufsicht stellt klar, dass eine Auslagerung steuernder Bereiche in Drittstaaten nur schwer vorstellbar und auch seitens der europäischen Aufsichtsbehörden nicht gewünscht ist. Weiterhin bleibt die Aufsicht bei Ihrer Position, den Begriff „kleine Institute“ nicht final zu definieren.

Darüber hinaus wird der Betrieb einer Software in einer nicht selbst erstellten und betriebenen Cloud als Auslagerung eingestuft. Hier gelten dieselben Abgrenzungskriterien wie in Tz 1. Weiterhin wird lediglich die Unterstützungsleistung und nicht Software an sich als Auslagerung betrachtet. Dies umfasse auch die Wartung, sofern das Institut Patches vor dem einspielen nicht selbst testet und sich ein eigenes Bild verschafft.

Bezüglich der Risikoanalyse wird seitens der Aufsicht für wesentliche Auslagerungen ein jährlicher Turnus und für unwesentliche Auslagerungen ein Turnus von drei Jahren als angemessen erachtet.

Zusammenfassend lässt sich sagen, dass die Aufsicht einige Punkte klarstellen konnte, jedoch weiterhin viele Fragen offengeblieben sind. Bei der Umsetzung neuer Anforderungen im Bereich der Dienstleistersteuerung sollte unbedingt vorrangig auf eine konsequente Risikoorientierung geachtet werden.

 

 

Beitragsnummer: 56536

0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.