VR Bank Südpfalz setzt auf digital-persönliches Banking

Neue Wege der Kundenkommunikation mit VR-SISy und VR-Viki

Ralf Horder, Mitarbeiter Unternehmenskommunikation, VR Bank Südpfalz eG

Kunden wollen mehr Nähe durch Innovation – online und offline. Sicher erleben auch Sie, wie die Digitalisierung unsere Lebensbereiche verändert. Sie beeinflusst wie kaum eine andere Entwicklung das Kundenverhalten und die etablierten Geschäftsmodelle in der Bankenwelt. Die VR Bank Südpfalz gestaltet diese Veränderung mit klarer Orientierung an den Bedürfnissen ihrer Mitglieder und Kunden und stellt den Kundennutzen in den Mittelpunkt ihrer Überlegungen.

I. VR-SISy – die digitale Filiale

Statt Geschäftsstellen zu schließen oder Öffnungszeiten zu reduzieren, bekennt sich die VR Bank Südpfalz mit dem neuen VR-Service-Interaktiv-System, kurz VR-SISy, klar zur sichtbaren Präsenz in der Fläche. Sie möchte den Service vor Ort bewusst ausweiten und dennoch effizient arbeiten. Dies wird mit VR-SISy und somit dem Ausbau des Vertriebskanals „Digital persönliches Banking“ bewusst umgesetzt.

Vom Grundsatz her ist VR-SISy eine digitale Filiale, die der Kunde betritt und mit einer Mitarbeiterin im VR-KundenServiceCenter der Bank spricht, ohne dass die Mitarbeiterin körperlich da ist. Zentral im Raum steht eine runde oder eckige Kabine, ein geschützter Servicebereich ohne Tür, der einfach betreten werden kann. Innen fällt der Blick auf einen Bildschirm, ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Auslagerungsmanagement und Risikoanalyse nach AT 9 MaRisk

Aus den Augen, aus dem Sinn?

Katja Hampe, Fachreferentin der Geschäftsführung, Wirtschaftsprüferin, AWADO Deutsche Audit GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft

I. Die Auslagerung – tragende Rolle auf vielen Bühnen

Das Thema Auslagerung spielt schon seit längerer Zeit eine tragende Rolle auf diversen Bühnen. Die erste dieser Bühnen ist die der internationalen Papiere, die zu diesem Thema veröffentlicht wurden. Zu nennen sind hier insbesondere Veröffentlichungen des Joint Forums (Zusammenschluss des Baseler Ausschusses für Bankenaufsicht, der IOSCO[1] und der IAIS[2]), der CEBS[3] und der EBA[4] sowie verschiedene Vorgaben der deutschen Aufsicht im Rahmen der MaRisk und des § 25b KWG[5].

Die zweite Bühne ist die der betriebswirtschaftlich sinnvollen Arbeitsteilung (Schlagwort: “Konzentration auf Kernkompetenzen”) und die dritte Bühne ist die der sehr dynamischen Entwicklung der Kreditwirtschaft in diesem Bereich.

Doch eins nach dem anderen…

II. Die Auslagerung – unser Protagonist

Zunächst eine Vorstellung unseres Protagonisten: die Auslagerung, auch bekannt als Outsourcing.

Outsourcing ist ein Kunstwort, das sich aus den drei englischen Wörtern „Outside“, „Ressource“ und „Using“ zusammensetzt. Wörtlich übersetzt bedeutet es in erster Linie „Nutzung externer Ressourcen“. Und das ist auch genau das, was das deutsche Wort „Auslagerung“ insbesondere im Sprachgebrauch der BaFin meint: Eine Auslagerung liegt dann vor, wenn ein Institut einen Dienstleister mit der Wahrnehmung von Prozessen im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt, die ansonsten vom Institut selbst erbracht würden.

 

III. Die Auslagerung – Vielseitigkeit ist ihre Stärke, aber wo Licht ist, da ist auch
Schatten

Schon diese Definition macht deutlich, dass sehr unterschiedliche Auslagerungskonzepte nicht nur denkbar sind, sondern auch genutzt werden. Am einen Ende der Skala werden lediglich einzelne Unterstützungsaufgaben oder Nebentätigkeiten auf Dritte verlagert. Dies ist ganz im Sinne der oben schon erwähnten Konzentration auf Kernkompetenzen. Warum sollte sich eine Bank selbst um Dinge wie Transport zwischen Filialen, Archivierung oder die Mitarbeiterkantine kümmern? Das können andere Anbieter im Zweifel besser und günstiger. Hier überwiegen Vorteile wie Gewinnung von Kosten- und Prozesseffizienzen, Nutzung von Skaleneffekten und Qualitätsverbesserung ganz eindeutig. Zwar dürfen auch solche Aktivitäten und Prozesse nicht ganz aus den Augen verloren werden, stehen aber nicht im Fokus der Aufsichtsbehörden.

Am anderen Ende der Skala findet sich allerdings die Auslagerung ganzer Prozessketten, kompletter bankbezogener Funktionen sowie zentraler Bereiche[6]. Hierfür interessiert sich die Bankenaufsicht naturgemäß sehr wohl. Als Risiko droht nämlich neben Zersplitterung von Prozessen, Verringerung des internen Know-hows oder Unsicherheiten bei der Kostenentwicklung, die Abhängigkeit von einem Drittunternehmen und damit Verlust von Zugriffsmöglichkeiten sowohl für die gesetzlichen Vertreter der auslagernden Bank als auch für die Aufsicht. Deshalb die Botschaft des AT 9 MaRisk: Die Gesamtverantwortung für alle ausgelagerten Prozesse und Aktivitäten verbleibt weiterhin (und nicht delegierbar) bei den gesetzlichen Vertretern des auslagernden Unternehmens. Dies umfasst insbesondere ein angemessenes und wirksames Risikomanagement, welches neben der Implementierung eines eigenen Internen Kontrollsystem (IKS) bezüglich der ausgelagerten Tätigkeit (korrespondierende Kontrollen) auch die Beurteilung des IKS des Dienstleisters beinhaltet.

IV. Das zentrale Auslagerungsmanagement – hier laufen die Fäden zusammen

Bezüglich dieser Implementierung eines eigenen Internen Kontrollsystems bezüglich der ausgelagerten Tätigkeit geht die Aufsicht – zumindest bei größeren Instituten bzw. bei Instituten mit umfangreichen Auslagerungslösungen – davon aus, dass ein zentrales Auslagerungsmanagement eingerichtet ist, so dass eine Stelle in der Bank einen Gesamtüberblick über alle ausgelagerten Aktivitäten und Prozesse hat und so ein möglichst einheitlicher Umgang mit den besonderen Risiken aus Auslagerungen und deren Überwachung sichergestellt wird. AT 9 Tz. 12 nennt als Aufgaben des zentralen Auslagerungsmanagements:

  • Implementierung und Weiterentwicklung eines angemessenen Auslagerungsmanagements und entsprechender Kontroll- und Überwachungsprozesse
  • Erstellung und Pflege einer vollständigen Dokumentation der Auslagerungen (einschließlich Weiterverlagerungen)
  • Unterstützung der Fachbereiche bezüglich der institutsinternen und gesetzlichen Anforderungen bei Auslagerungen
  • Koordination und Überprüfung der durch die zuständigen Bereiche durchgeführten Risikoanalysen

Zudem hat das zentrale Auslagerungsmanagement mindestens einmal im Jahr einen Bericht über die wesentlichen Auslagerungen zu erstellen. Dabei hat der Bericht u. a. darüber eine Aussage zu treffen, „…, ob die erbrachten Dienstleistungen der Auslagerungsunternehmen den vertraglichen Vereinbarungen entsprechen, die ausgelagerten Aktivitäten und Prozesse angemessen gesteuert und überwacht werden und ob weitere risikomindernde Maßnahmen ergriffen werden sollen“ (AT 9 Tz. 13 MaRisk).

Ein so verstandenes Einbeziehen der Auslagerungen in das unternehmensweite Risikomanagement geht über die historische Form des operativen Risikomanagements, dessen Fokus primär auf die Risikovermeidung und -minderung ausgelegt war, hinaus. Hauptziel ist das effiziente und effektive Management der ausgelagerten Bereiche, welches alle wesentlichen Einzelrisiken und deren Abhängigkeiten umfasst. Das risikoorientierte Management der ausgelagerten Bereiche hat das Ziel, eine ausgewogene Sichtweise von Risiken und Wertschöpfung über die gesamte Laufzeit des Auslagerungsverhältnisses hinweg zu etablieren. Ein moderner chancen- und risikoorientierter Auslagerungsmanagementansatz integriert die Organisation, die Aufgaben und die Instrumente in ein ganzheitliches Rahmenwerk.

Und Randnotiz oder Zwischenbemerkung: In der Praxis ergibt sich in vielen Banken ein kompliziertes Geflecht aus Auslagerungen, die eine zentrale Instanz notwendig machen, um den Überblick über die Steuerung von Auslagerungen zu behalten. Denn häufig haben es die Institute nicht mit einfachen 1:1-Beziehungen zu nur einem Dienstleister zu tun, sondern mit 1:n-Beziehungen, weil beauftragte Dienstleister ihrerseits Auslagerungen (Weiterverlagerungen) vornehmen.

V. Die Risikoanalyse – aus den Augen, aber weiterhin fest im Blick

Sofern eine Auslagerung vorliegt (wir erinnern uns: wenn ein Institut einen Dienstleister mit der Wahrnehmung von Prozessen im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt, die ansonsten vom Institut selbst erbracht würden), muss jedes Institut auf der Grundlage einer Risikoanalyse eigenverantwortlich festlegen, welche Auslagerungen von Aktivitäten und Prozessen unter Risikogesichtspunkten wesentlich sind. Wenn wir uns an die oben beschriebenen äußeren Enden einer Skala erinnern, so fällt die Beurteilung der Wesentlichkeit für diese Extreme sicherlich noch relativ leicht. Spannend sind hier eher die Auslagerungen, die sich tendenziell in der Mitte der Skala befinden und sich möglicherweise im Laufe der Zeit durch Vertragsänderungen oder besondere Feststellungen in die eine oder andere Richtung verschieben.

Eine Risikoanalyse ist zunächst für jede neue Auslagerung auf der Grundlage einheitlicher Rahmenvorgaben vor Vertragsabschluss durchzuführen.

Eine erneute Risikoanalyse ist bei Änderungen der Auslagerungsdienstleistung sowie dann erforderlich, wenn dem auslagernden Institut Umstände bekannt werden, die darauf schließen lassen, dass sich die bei der Risikoanalyse verwendeten Risikofaktoren verändert haben (anlassbezogene Risikoanalyse). Praktische Beispiele hierzu sind gesellschaftsrechtliche Veränderungen beim Dienstleister, Veränderungen beim Dienstleistungsumfang, Bekanntwerden wesentlicher Feststellungen im Rahmen von Prüfungen beim Dienstleister etc.

Zudem ist die Risikoanalyse in regelmäßigen Zeitabständen zu erneuern, auch wenn kein Anlass besteht (regelmäßige Risikoanalyse). Auf der Sitzung des Fachgremiums MaRisk am 15.03.2018 hat die Aufsicht einen Zeitraum von einem Jahr bei wesentlichen und von drei Jahren bei unwesentlichen Auslagerungen für angemessen erachtet.

Jedes Institut hat auf Basis von vorliegenden Informationen bzw. der institutsinternen Bewertung der Dienstleisterqualität der Auslagerungsunternehmen eine Aussage darüber zu treffen, ob die erbrachten Dienstleistungen der Auslagerungsunternehmen den vertraglichen Vereinbarungen entsprechen, die ausgelagerten Aktivitäten und Prozesse angemessen gesteuert und überwacht werden können, um die mit der Auslagerung verbundenen Risiken angemessen zu steuern, bzw. ob weitere risikomindernde Maßnahmen ergriffen werden sollen. Hierzu werden dem auslagernden Unternehmen vom Dienstleistungserbringer Informationen und Berichte im Zusammenhang mit der Dienstleistungserbringung zur Verfügung gestellt. Diese Informationen und Berichte sind auszuwerten.

Hier eine mögliche Arbeitshilfe für die Erstellung einer Risikoanalyse:

VI. Der große Rahmen – warum ist der Aufsicht der richtige Umgang mit Auslage-
rungen so wichtig?

Da sich Auslagerungen in vielen Fällen auch auf aufsichtliche Vorgaben beziehen (z. B. die Einhaltung von Vorgaben zur Geschäftsorganisation, bestimmte Entscheidungsprozesse und Berichtswege), spielen Auslagerungen von Banken an Drittanbieter, die i. d. R. keine Banken sind, für die Aufsicht eine bedeutende Rolle. Denn das beaufsichtigte Institut bleibt als Träger der Bankerlaubnis für die sachgerechte Umsetzung der aufsichtlichen Vorgaben letztendlich verantwortlich, auch wenn es Funktionen, Aufgaben und Prozesse auslagert.

Die Regelungen zur Auslagerung sind letztlich Teil der allgemeinen Grundsätze ordnungs-mäßiger Geschäftsführung. Die Spezialregelungen des § 25b KWG ergänzen (hinsichtlich ihrer Stellung im KWG nicht ganz überraschend) die Anforderungen an eine ordnungsgemäße Ge-schäftsorganisation aus § 25a KWG, insbesondere die Anforderungen an ein angemessenes und wirksamen Risikomanagement (§ 25a Abs. 1 Satz 3 KWG). Die Aufsicht sieht ihre Aufgabe darin, der möglichen Gefahr zu begegnen, dass das leistungsbeziehende Institut mit einer Auslagerung die Kontrolle über die ordnungsgemäße Durchführung der Geschäfte und Dienstleistungen und damit über die eigenen Aktivitäten und Prozesse verliert. Kurz: „Aus den Augen, aus dem Sinn” (in der Bedeutung nach wiktionary.org „sofortiges Vergessen einer Angelegenheit, Sache, Person oder dergleichen, sobald sie „außer Sichtweite ist“) soll verhindert werden. Das übrigens auch aus Sicht eines weiteren Akteurs, den wir bisher noch nicht betrachtet haben: des Jahresabschlussprüfers.

 

 

VII. …und darüber hinaus – auch der Jahresabschlussprüfer interessiert sich für
Auslagerungen

Dazu lasen wir mal die Einleitung eines aktuellen Werkes, das sich an Abschlussprüfer richtet[7], auszugsweise zu Wort kommen: „Der Abschlussprüfer wird sich im Hinblick auf seine Prüfungsplanung damit auseinandersetzen müssen, in welchem Umfang und in welchem Ausmaß Auslagerungen stattfinden und welche Fehlerrisiken für die Rechnungslegung darin enthalten sind. Um diesen Fehlerrisiken adäquat zu begegnen, gilt es, bedeutsame Kontrollen auf Seiten des Dienstleisters zu identifizieren und anhand geeigneter Prüfungshandlungen zu beurteilen. Aber oftmals scheitern eigene Prüfungshandlungen an der räumlichen Trennung oder der Größe und Komplexität des Dienstleisters. Natürlich könnte der Abschlussprüfer mangels Prüfbarkeit und Nachweisführung eines angemessenen und wirksamen IKS den Anteil seiner aussagebezogenen Prüfungshandlungen erhöhen. Vor dem Hintergrund automatisierter und aufeinander abgestimmter Prozessabläufe ist dies jedoch eine mühsame und beinahe unmögliche Methode, um die erforderliche Prüfungssicherheit zu erlangen. Möglicherweise gibt es aber auch Nachweise über das IKS beim Dienstleistungsunternehmen, die er verwerten oder gar verwenden kann.“

Da sind wir wieder bei den oben schon erwähnten „Informationen und Berichten im Zusammenhang mit der Dienstleistungserbringung”, die das auslagernde Institut dem Abschlussprüfer (bitte ausgewertet!) zur Verfügung stellt. Genannt seien hier explizit Prüfungsberichte bzw.
-bescheinigungen nach IDW PS 951[8] „Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen”[9]. Und lassen Sie sich von jemandem, der selbst Abschlussprüfer ist, sagen, dass das was hier so scheinbar harmlos daher kommt („… könnte der Abschlussprüfer mangels Prüfbarkeit und Nachweisführung eines angemessenen und wirksamen IKS den Anteil seiner aussagebezogenen Prüfungshandlungen erhöhen.“), erstens (viel) Zeit kostet und Zeit ist Geld (Stichwort „Prüfungskosten“) und zweitens im schlimmsten Fall auch ernste Konsequenzen hat: Wenn der Abschlussprüfer nicht in der Lage ist, ausreichende und angemessene Prüfungsnachweise bezüglich des Dienstleistungsunternehmens zu erlangen, die für die Prüfung des Abschlusses des auslagernden Unternehmens relevant sind, ist das Prüfungsurteil im Bestätigungsvermerk einzuschränken oder gar zu versagen.

Und da sind wir dann ganz schnell wieder bei den „Anforderungen an eine ordnungsgemäße Geschäftsorganisation aus § 25a KWG“ und der nicht delegierbaren Gesamtverantwortung der gesetzlichen Vertreter des auslagernden Unternehmens für alle ausgelagerten Prozesse und Aktivitäten.

VIII. Fazit – „des Pudels Kern“

Kerngedanke des Auslagerungsmanagements ist, dass auch im Falle einer Auslagerung die Funktionsfähigkeit der auslagernden Bank jederzeit gewährleistet sein muss, die Verantwortung des Vorstandes unangetastet bleibt, Kontroll- und Überwachungspflichten unverändert beachtet werden und – last but not least – die Aufsicht weiterhin Zugriff auf die ausgelagerten Teile behält. Also alles andere als „aus den Augen, aus dem Sinn”.

PRAXISTIPPS

  • Denken Sie immer daran, dass Sie als Bank für die ausgelagerte Dienstleistung weiterhin die Gesamtverantwortung tragen, nicht das Dienstleistungsunternehmen; lassen Sie sich bezüglich Informationen und Berichten im Zusammenhang mit der Dienstleistungserbringung nicht mit pauschalen Aussagen (z. B. „weitere Unterlagen wollte noch nie jemand haben“ oder „bei uns hat noch kein Auslagernder selbst vor Ort geprüft“ oder „wir benötigen keine neue Zertifizierung, bei unseren Kontrollen hat sich eh nichts geändert“) „abspeisen“.
  • Die Auswertung der Berichterstattung der Dienstleistungsunternehmen ist zentraler Baustein der Dienstleistersteuerung – aus Sicht der Bankenaufsicht z. B. im Rahmen von § 44- KWG-Sonderprüfungen „ist nur ein ausgewerteter Bericht ein gültiger Bericht“.
  • Gestaltet Sie Ihre (ausgelagerten) Prozesse durch eine zentrale Dienstleistersteuerung effizient.
  • Achten Sie darauf, dass in (neuen oder geänderten) Auslagerungsverträgen die Durchführung von Prüfungshandlungen vor Ort durch Sie als auslagerndes Unternehmen ermöglicht wird; verlassen Sie sich nicht auf das Wohlwollen des Dienstleistungsunternehmens.
  • Stellen Sie sicher, dass Sie Ihrer Pflicht zur Dokumentation von ausgelagerten Prozessen nachkommen können. Fordern Sie also von den Dienstleistern ein, die auf ihn ausgelagerten (Teil-)Prozesse nachvollziehbar zu dokumentieren und an Sie als auslagerndes Unternehmen herauszugeben.
  1. IOSCO: International Organisation of Securities Commissions (internationale Organisation der Wertpapieraufsichtsbehörden).
  2. IAIS: International Association of Insurance Supervisors (internationale Vereinigung der Versicherungsaufsichtsbehörden).
  3. CEBS Committee of European Banking Supervisors (Ausschuss der Europäischen Bankaufsichtsbehörden); bis 2010 Vorgängerinstitution der EBA.
  4. EBA: European Banking Authority (Europäische Bankenaufsichtsbehörde).
  5. Joint Forum: Outsourcing in Financial Services, Februar 2005; CEBS Guidelines on Outsourcing, Dezember 2006, EBA: Guidelines on Internal Governance, September 2017.
  6. Eine vollständige Auslagerung der besonderen Funktionen Risikocontrolling-Funktion, Compliance-Funktion oder Interne Revision ist nur in sehr engen Grenzen möglich (vergl. AT 9 Tz. 5 MaRisk).
  7. Tritschler/Lamm „Jahresabschlussprüfung bei Outsourcing und Cloud-Computing“, IDW Verlag GmbH, 1. Aufl. 2018, S. 10,11
  8. Institut der Wirtschaftsprüfer in Deutschland e.V., Prüfungsstandard IDW PS 951 n.F.
  9. In Abhängigkeit von der Auftragserteilung wird die Berichterstattung nach IDW PS 951 gem. Typ 1 oder Typ 2 durchgeführt. Im Rahmen der Berichterstattung Typ 1 stehen folgende Prüfungsurteile im Fokus:
    – Beschreibung des dienstleistungsbezogenen internen Kontrollsystems

    • Eignung der zugrunde gelegten Kriterien und der daraus abgeleiteten Kontrollziele
    • Ausgestaltung der Kontrollen zur Erreichung der in der Beschreibung genannten Kontrollziele

    Im Rahmen der Berichterstattung Typ 2 wird das Prüfungsurteil um die Wirksamkeit der Kontrollen ergänzt. Eine weitgehendere Reduzierung der Einschätzung der Fehleranfälligkeit durch den Auslagernden bzw. den Abschlussprüfer ist dabei nur möglich, wenn eine Berichterstattung vom Typ 2 vorliegt, da hier neben der Aufbau- auch Funktionsprüfungen durchgeführt wurden. Bei Vorliegen einer Berichterstattung vom Typ 1 bedarf es noch weiterer Prüfungshandlungen durch den Verwerter. Dies ist mit zusätzlichem Zeitaufwand respektive höheren Kosten verbunden.

 

Beitragsnummer: 71003

 

Praxisbericht IKS in Fusionszeiten

Daniel Rausch, Spezialist Internes Kontrollsystem und Aufbauorganisation, Konzernorganisation und -personal, Norddeutsche Landesbank

Seit einigen Jahren lässt sich in der Bankenbranche eine fortschreitende Konsolidierung beobachten. Egal ob Sparkassen, Genossenschaftsbanken, Landesbanken oder Privatbanken – regelmäßig finden Fusionen von Kreditinstituten statt. Medienwirksam konnten wir aktuell Spekulationen über eine eventuelle „Mega-Fusion“ von Deutscher Bank und Commerzbank verfolgen.

Solche Phasen und Ereignisse bringen eine Vielzahl von Herausforderungen mit sich. Mit Fortschreiten einer Fusion zählen zweifelsohne das Management der neuen „gemeinsamen“ Ablauforganisation, das Zielbild der zukünftigen schriftlich fixierten Ordnung und insbesondere das Interne Kontrollsystem nach und während des Zusammenschlusses eine bedeutende Rolle.

Die Beantwortung der folgenden Fragestellungen führten nach unseren Erfahrungen aus der erfolgreichen Fusion zwischen NORD/LB und BLB zu einer erfolgreichen Verschmelzung der Ablauforganisation:

  • AKV-Prinzip allgemein: Welche Rollen/Akteure bestreiten das Zusammenlegen von Prozessen? Welches eindeutige Set an Aufgaben, Kompetenzen und Verantwortungen haben diese inne?
  • Prozessgovernance: Welche Prozesse sind in der verschmolzenen Bank führend, bzw. wer ist zukünftig für welchen Prozess verantwortlich?
  • Prozesswanderungsbilanz: Inwiefern sind Prozesslandkarten und/oder Prozesse „deckungsgleich“? Wer entscheidet über nicht eindeutige Konstellationen? Welche Varianten der Wanderungen stehen zur Wahl und welche Fristigkeiten werden verfolgt? Inwieweit verändert sich die Risikosituation in den Prozessen?
  • Kontrollwanderungsbilanz: Wie wird sichergestellt, dass notwendige Kontrollen identifiziert und vollständig im Zielbild enthalten sein werden?

 

 

PRAXISTIPPS

  • Die Verschmelzung der Ablauforganisationen in Fusionsszenarien sollte – spätestens ab einer gewissen Quantität – durch einer Mischung aus zentraler (Projekt-)Koordination und dezentralen Akteuren erfolgen.
  • Die Orga hat sich als zentrale fachliche Koordination und als vermittelnde Rolle im Eskalationsprozess bewährt.
  • Neben der rein fachlichen Seite ist eine strukturierte und fortlaufende Begleitung und Kommunikation im Sinne des Change-Prozesses unabdingbar; objektive und subjektive Belastungen sollten gleichermaßen berücksichtigt werden.
  • Eine Verzahnung mit bestehenden Mechanismen, wie der Koordination wesentlicher Vorgänge AT 8.2 oder auch dem Application-Management, ist wertstiftend.

Seminartipps:

Schlüsselkontrollen Spezial: Kreditprozesse, 09.10.2019, Berlin.

IKS-Prüfungen durch die Bundesbank, 06.11.2019, Hamburg.
IKS Kompakt: Aufbau & Prüfung von Schlüsselkontrollen, 20.11.2019, Berlin.

Prozessorientierte Schlüsselkontrollen im Fokus der Aufsicht, 03.12.2019, Frankfurt/M.

Beitragsnummer: 70577

Anforderungen an ein angemessenes Berechtigungsmanagement

Die BAIT zeigen den Handlungsbedarf im Zusammenhang mit der Einhaltung und Umsetzung aufsichtsrechtlicher Vorgaben beim Berechtigungsmanagement auf.

Stephan Wirth, Datenschutzbeauftragter und Informationssicherheitsbeauftragter, NRW.BANK

Berechtigungsmanagement als Teil der Unternehmens-Compliance

Die Implementierung risikoorientierter Prozesse und Verfahren im Rahmen der Steuerung von Berechtigungen ist ein kritischer Erfolgsfaktor zur Erreichung einer angemessenen Compliance im Unternehmen. Ein ganzheitliches und rollenbasiertes Berechtigungsmanagement ist erforderlich zur Sicherstellung eines adäquaten Schutzniveaus und damit zur Gewährleistung der Einhaltung der aufsichtsrechtlichen Anforderungen. Genau hier sieht die Aufsicht einen zum Teil erheblichen, Handlungsbedarf und hat die Vorgaben der MaRisk durch die Regelungen der BAIT konkretisiert.

Grundlagen zur Gewährung von Berechtigungen

Berechtigungskonzepte müssen konsistent zum Schutzbedarf der betroffenen Informationen aufgesetzt werden. Dabei sind die Berechtigungen aus fachlicher Sicht streng nach dem Need-To-Know-Prinzip zu vergeben. Die Anforderungen an eine angemessene Funktionstrennung sind zwingend zu beachten. Hierzu ist eine Zuordnung einzelner Berechtigungen zu betrieblichen Funktionen hilfreich. Eine technische Umsetzung der Funktionstrennung ist dabei anzustreben.

Umfang des Berechtigungsmanagements

Im Rahmen des Berechtigungsmanagements sind sämtliche Arten von Berechtigungen zu berücksichtigen. Hierzu zählen sowohl personalisierte als auch nicht-personalisierte und technische Nutzer. Aufgrund ihres erweiterten Berechtigungsumfangs und des damit einhergehenden höheren Risikopotentials sind privilegierte Berechtigungen besonders restriktiv zu vergeben und deren Nutzung zu kontrollieren.

Das Berechtigungsmanagement deckt den gesamten Lebenszyklus von Berechtigungen ab. Es müssen Genehmigungs- und Kontrollprozesse für die Einrichtung, Änderung, Deaktivierung und Löschung von Berechtigungen aufgesetzt werden. Ein zentrales Berechtigungsmanagement ermöglicht formalisierte und institutsübergreifende Prozesse und eine vollständige Benutzer- und Berechtigungshistorie.

Regelmäßige Rezertifizierungen

Eingeräumte Berechtigungen für Anwender sind regelmäßig dahingehend zu überprüfen, ob sie weiterhin für die Erfüllung der betrieblichen Aufgaben erforderlich sind. Im Rahmen regelmäßiger und risikoorientierter Rezertifizierungen sind auch die zugrunde liegenden Konzepte angemessen auf Anpassungsbedarf hin zu untersuchen. Die Überwachung der Rezertifizierungsprozesse und -ergebnisse erfolgt durch unabhängige Funktionen im Unternehmen (z. B. den Informationssicherheitsbeauftragten).

PRAXISTIPPS

  • Ein umfassendes und risikoorientiertes Berechtigungsmanagement ist erforderlich, um einen angemessenen Schutz Ihrer Unternehmenswerte sicherzustellen.
  • Beachten Sie das Need-To-Know-Prinzip und stellen Sie eine ausreichende Funktionstrennung sicher.
  • Für privilegierte Rechte bestehen besondere Anforderungen an Prüfung, Überwachung und (zeitliche) Limitierung.
  • Der Rezertifizierungsprozess ist risikoorientiert aufzusetzen und beinhaltet sämtliche Bestandteile des Berechtigungsmanagements.

SEMINARTIPPS

IT-Compliance, 04.06.2019, Frankfurt/M.

6. Fachtagung IT-Revision, 05.-06.06.2019, Frankfurt/M.

FCH Fit & Proper VORSTAND: Risikomanagement, 06.05.2019, Berlin.

IT-Risikomanagement aktuell, 08.05.2019, Frankfurt/Offenbach.

Prozess- & Aufgabenbezogenes Berechtigungsmanagement, 05.11.2019, Wiesbaden.

Beitragsnummer: 62190

Digitalisierung: Soll das Bargeld abgeschafft werden?

Eine Analyse vor dem Hintergrund einer aktuellen Debatte zur Rolle von Bargeld in einem sich stets technologisch weiterentwickelnden Zahlungsverkehr.

         

Jacqueline Bitzhöfer, Berufsbegleitende Masterstudentin, Kreditstab, Gruppe Risikosteuerung, DZ BANK AG Deutsche Zentral-Genossenschaftsbank, Frankfurt/M.

und

       

Dr. phil. Patrick Hedfeld, Dozent an der FOM Hochschule für Oekonomie und Management, Frankfurt/M.

I. Bargeld als Zahlungsmittel

Der Euro-Bargeldumlauf wuchs von 2003 bis 2016 schneller als das nominale Bruttoinlandsprodukt (BIP)[1]. Im europäischen Durchschnitt werden weiterhin 79 % aller Zahlungen an der Ladenkasse mit Banknoten und Münzen und lediglich 19 % mit Karte bezahlt[2]. Allgemein betrachtet ist in Europa ein Gefälle von den stark bargeldaffinen südlichen Ländern hin zu den skandinavischen Ländern erkennbar[3].

Seit mehreren Jahren wird die Abschaffung des Bargeldes als Zahlungsart diskutiert. Konkrete Pläne für diesen Schritt gibt es nicht. Jedoch können Parallelen zu dieser Thematik aufgrund von Bekenntnissen zur Einstellung des 500-€ Scheins und zur Einführung von Höchstgrenzen von Bargeldzahlungen gezogen werden[4]. Die Befürworter einer bargeldlosen Gesellschaft versprechen sich von dieser Maßnahme positive Effekte. Unter anderem rückt ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

IKS neu gedacht – Schlüsselkontrollkonzept 3.0

Michael Helfer, Geschäftsführer, FCH Consult GmbH

I. Der regulatorische Leidensdruck in der Praxis steigt weiter an

Kommt Ihnen das bekannt vor: Alle reden über die „Small Banking Box“, aber nichts passiert? Wie wäre es aber mit Ihrer eigenen Small Regulatory Box? Gibt es so etwas? Schauen wir uns doch die deutsche Regulatorik (insbesondere die MaRisk) etwas näher an. Diese hat sich seit 2005 deutlich im Umfang erweitert und ist zudem immer mehr regelbasierend ausgerichtet worden. Ergänzend hinzu kommt die europäische Regulatorik (EU, EBA, EZB), welche regelbasierend (z. B. CRR) und prinzipienorientiert ist (z. B. EBA-Richtlinien zur „Internen Governance“). Die Verantwortlichen in den Banken und Sparkassen stöhnen zu Recht (?) unter der Regulatorik. In der Tat, die Regulatorik ist umfangreich und auch deutlich in der Breite gewachsen (u. a. durch Bereiche, für die es früher keine Anforderungen gab, z. B. MaBesch für das Beschwerdemanagement). Vieles davon ist durchaus sinnvoll – sofern es denn sachgerecht umgesetzt wird (vgl. MaRisk: „Art, Umfang, Risikogehalt und Komplexität des Geschäftsmodells“). Jedoch ist dies in den Instituten leider nicht immer gelungen. Statt sich aus prozessualer Sicht mit den Themen zu beschäftigen wurden die regulatorischen Anforderungen in der Vergangenheit „immer nur draufgesattelt“.

Bereits in der Erstfassung der MaRisk (2005) hatte die BaFin ihre Erwartungshaltung bezüglich der Aufgabenwahrnehmung innerhalb der Bankorganisation klar artikuliert. Danach heißt es: „Prozesse sowie die damit verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen sowie Kommunikationswege sind klar zu definieren und aufeinander abzustimmen“ (AT 4.3.1, Tz. 2 Satz 1 MaRisk). Mit den MaRisk 5.0 (2012) wurden zudem – induziert durch die EBA-Leitlinien zur Internen Governance – die internen Kontrollbausteine um zwei weitere wichtige Bausteine erweitert (Risikocontrolling und Compliance).

 

 Filmtipps 

IKS 2.0 Schlüsselkontrollkonzept.

MaRisk-Novelle 2017

 

 

Grundlage der in der MaRisk dokumentierten Erwartungshaltung sind zum einen Aspekte der Ordnung der Aufbau- und Ablauforganisation nach betriebswirtschaftlichen Grundsätzen, aber auch negative Erfahrungen aus der Vergangenheit. Insbesondere in Prüfungen nach § 44 KWG wurde vielfach festgestellt, dass eindeutig abgestimmte (und dokumentierte) Vorgaben in den Instituten fehlten, mit der Folge, dass formelle und materielle Kontrollschwächen schlagend wurden. Damit die Organisation in Banken aber einwandfrei funktioniert, stellt die Umsetzung der vorgenannten MaRisk-Vorgabe daher einen zentralen Baustein innerhalb der ordnungsgemäßen Geschäftsorganisation dar.

Nach wie vor ist in den Häusern aber zu beobachten bzw. festzustellen, dass allumfassende Prozessdokumentationen (zumindest für alle wesentlichen Prozesse der Bank) nicht bzw. nur rudimentär oder zu granular (als Fließtext) existieren. Erschwerend kommt hinzu, dass es oftmals noch nicht gelungen ist, eine so genannte „Prozess-Denke“ in der Kultur der Häuser zu verankern. Die Gründe dafür sind vielfältig. Zum einen liegt dies daran, dass keine transparente Prozesslandkarte über alle Prozesse vorhanden ist, zum anderen werden nach wie vor (überwiegend bankaufsichtlich getriebene) isolierte Maßnahmen durchgeführt, welche nicht die Gesamtauswirkung auf den kompletten Prozess berücksichtigen (vgl. AT 8.2 MaRisk).

 

II. Implementierung eines Schlüsselkontrollkonzepts als praktikable Lösung

Grundvoraussetzung ist u. a., dass die Prozesse nicht nur aus Dokumentationen in schriftlicher Form bestehen, sondern aus dem Zusammenspiel der schriftlich fixierten Vorgaben im Kontext mit den dafür verwendeten IT-Verfahren und den in den Prozessen arbeitenden Mitarbeitern. Jedes Institut muss ganz individuell sicherstellen, dass alle relevanten gesetzlichen und regulatorischen Vorgaben im Internen Kontrollsystem (IKS) seinen Niederschlag finden. Entscheidend für eine schlanke Umsetzung der Regulatorik ist dabei ein abgestimmtes und dokumentiertes Rollenverständnis aller Beteiligten der sog. „ersten, zweiten und dritten Verteidigungslinie“ (sog. „Three-Lines-of-Defence-Modell“ oder auch „3 LoD“). Die Bereiche der ersten Verteidigungslinie sind nach den MaRisk für die Implementierung und Durchführung des IKS im zugeordneten Prozess verantwortlich. Dazu gehören u. a. die Bewertung der operationellen Risiken, das Sicherstellen einer angemessenen Implementierung von Kontrollen im Prozess (diese müssen auf die Risiken „einzahlen“) nebst der erforderlichen aufbauorganisatorischen Kontrollen, die Verantwortung für Durchführung und Qualität der der angewiesenen Kontrollen, die Verantwortung für die Richtigkeit und Vollständigkeit der Daten, das Initiieren und Mitwirken an Verbesserungen der Kontrollen sowie die Verantwortung für die Umsetzung von regulatorischen Änderungen und Neuerungen (insbesondere der wesentlichen) in der Aufbau- und Ablauforganisation (inkl. IT). Zu den Bereichen der zweiten Verteidigungslinie gehören u. a. Compliance, Geldwäsche, Organisation, Prozessmanagement, IKS-Steuerung, Auslagerungsstelle, IT-Sicherheit, Datenschutz, FRAUD-Prävention, Marktfolge aktiv (risikorelevantes Kreditgeschäft) und Risikocontrolling. Ihre Aufgabe besteht im Wesentlichen darin, die ordnungsgemäße Aufgabenwahrnehmung der ersten Verteidigungslinie zu überwachen sowie gegebenenfalls qualitätssichernden Maßnahmen durchzuführen. Die dritte Verteidigungslinie wird durch die Interne Revision wahrgenommen, welche das IKS risikoorientiert zu prüfen hat.

 

 Beratungstipps

IKS 3.0: Schlüsselkontrollkonzept

Prozessmanagement im Fokus von MaRisk & BAIT: Aufbau/Bewertung & Auditierung

Quick Check „Entschlacktes Organisationshandbuch“

Starter-Kit Risikokultur

Fit für die Sonderprüfung nach § 44 KWG

Fit für MaRisk-Prüfung Gesamtbanksteuerung

Fit für die BAIT und die Sonderprüfung-IT

Quality Assessment & Performance-Analyse der Internen Revision

Effektives & effizientes Zusammenspiel von Compliance & Interner Revision

Implementierung eines effizienten & wirksamen Auslagerungsmanagements

Quick-Check Beauftragtenwesen

Prüfung MaRisk Compliance

 

Wenn die Rollen geklärt sind und auch gelebt werden (was eine anstrengende und Disziplin erfordernde Daueraufgabe ist!) gilt es auf der Basis einer Prozesslandkarte (eine klassische Regionalbank sollte nicht mehr als 120–150 davon haben, damit diese auch wirksam gesteuert werden können) zunächst mal alle Kontrollen in den Prozessen zu identifizieren. In einem weiteren Schritt sind dann auf der Basis von Wesentlichkeitsfaktoren die wesentlichen Kontrollen (Schlüsselkontrollen) zu selektieren. Von hoher Bedeutung ist es hier, die Kontrollen mit den Risiken zu „verheiraten“ (Sie erinnern sich: Kontrollen müssen auf Risiken einzahlen). Wenn dieser Schritt erst einmal getan ist, sind zumeist schon zahlreiche Kontrollen entfallen, weil dafür keine zwingende Notwendigkeit mehr besteht (erfahrungsgemäß bis zu 25 % der aktuell bestehenden Kontrollen!; Anmerkung: eine klassische Regionalbank hat i. d. R. ca. 600–1000 manuelle Prozesskontrollen).

 

 Seminartipps

InformationsRisikoManagement: Zusammenspiel ISB, Compliance & Revision, 27.03.2019 Köln.

Steuerung von IT-Risiken im OpRisk-Management, 09.052019, Frankfurt/Offenbach.

Prozesse/Orga-Handbuch und IKS, 20.-21.05.2019, Berlin.

Im Prüfungsfokus: Wesentliche Prozesse & AT 8.2-Handhabung, 22.05.2019, Berlin.

Prozessorientierte Prüfungslandkarten & Berichte für die Revision, 24.09.2019, Köln.

Entschlackte Organisations-Richtlinien, 25.-26.09.2019, Köln.

Schlüsselkontrollen Spezial: Kreditprozesse, 09.10.2019, Berlin.

IKS-Prüfungen durch die Bundesbank, 06.11.2019. Hamburg.

Schlüsselkontrollkonzept 3.0: Aufbau & Prüfung, 20.11.2019, Berlin.

Prüfung Neue-Produkte-Prozess (NPP) & Produktkatalog, 03.12.2019, Frankfurt/M.

 

III. Fazit

Im Kern geht es darum, welche Funktion (Rolle) innerhalb eines Instituts welche konkreten Aufgaben insbesondere innerhalb des IKS wahrnimmt, und dass dies auf einer transparenten Basis passiert. Die mittlerweile zahlreichen IKS-Vorgaben wie z. B. eine geforderte IKS-Wirksamkeits-Überwachung und drohende Konsequenzen wie z. B. Kapitalzuschläge bei IKS-Mängeln erfordern eine Systematisierung und Dokumentation der oftmals in den Arbeitsanweisungen verstreuten Kontrollen. Die Aufnahme und Bewertung dieser Kontrollen ist bedingt durch häufig nicht prozessorientierte Ablaufbeschreibungen jedoch sehr mühselig und zeitraubend. Das Management der Regulatorik („Small Regulatory Box“) durch eine prüfungssichere Risiko-Kontroll-Matrix als zentrales IKS-Steuerungsinstrument (Basis: Prozesslandkarte) ist daher eine der aktuellen und wichtigen Herausforderungen für die deutschen Banken und Sparkassen. Auf dieser Basis können das IKS-Design, die Dokumentation, ein fortlaufendes Monitoring (inkl. Kontroll-Tests!) sowie die entsprechenden Elemente der Berichterstattung festgelegt werden.

 

Sie haben Fragen? Sie suchen praktikable Lösungen für Ihr IKS/Schlüsselkontrollkonzept?

Sprechen Sie mich gerne an:

Michael Helfer
Geschäftsführer
Tel.: +49 6221 99 89 8 – 0
E-Mail: Michael.Helfer@FC-Heidelberg.de

www.fchconsult.de
FCH Consult GmbH
Im Bosseldorn 30
D-69126 Heidelberg

 

 

Beitragsnummer: 58940

 

Final Report EBA Guideline on Outsourcing Arrangements

 Weiter steigende Anforderungen im Auslagerungsmanagement

 

Jörg Schmitz, Sourcing Manager Betriebsorganisation, KfW IPEX-Bank

Lukas Walla, FCH Consult GmbH

Laura Zappavigna, bankgeschäftliche Prüferin, Deutsche Bundesbank, Hauptverwaltung in NRW[1]

 

I. Einleitung – Wachsende Komplexität bei regulatorischen Vorgaben

Die European Banking Authority (EBA) veröffentlichte am 25.02.2019 die überarbeiteten „Guidelines on Outsourcing Arrangements“ (inklusive der Empfehlungen zur Auslagerung an Cloud-Service-Anbieter aus Dezember 2017) und konkretisiert damit ihre Erwartungen an die Rahmenbedingungen für Auslagerungen. Auf 125 Seiten, davon 30 Seiten mit konkreten Anforderungen, wird – im Vergleich zu den MaRisk – eine erweiterte Detailtiefe dokumentiert. Die Guidelines sollen nunmehr zum 30.09.2019 in Kraft treten.

Grundsätzlich gilt das Proportionalitätsprinzip (Tz. 18). Die Richtlinie findet auf Einzelinstituts- ebenso wie auf Gruppen-Ebene volle Anwendung (Tz. 21). Wie auch auf nationaler Ebene (BaFin) stellt die EBA eindeutig klar, dass das Leitungsorgan zu jeder Zeit für die eigenen Prozesse verantwortlich bleibt (Tz. 35). Als besonderes Risiko identifiziert die EBA Auslagerungen in Drittstaaten (Tz. 40g). Die Institute müssen darüber hinaus sicherstellen, dass z. B. im Bereich des Datenschutzes EU-Regularien eingehalten werden (Tz. 72). Dies betrifft dann auch vorhandene Weiterverlagerungen. Bei einer nun anstehenden Überprüfung der Verträge sollte dies unbedingt berücksichtigt werden. Ebenso wie die MaRisk unterscheiden die Guidelines (auf Basis MiFID II) kritische und wichtige Funktionen (Tz. 29-31) und sonstige Auslagerungen. Die Grundlage bildet die (Vor-)Risikoanalyse (Tz. 61 und 64 ff.), an welche die EBA sehr ausführlich Anforderungen stellt. Wie auch in der Konsultation verdeutlicht die EBA in der Tz. 33 ihre Erwartungshaltung, dass sämtliche Leistungen, die von Dritten bezogen werden hinsichtlich ihres Risikos bewertet werden sollten. Hinsichtlich des Auslagerungsregisters werden die Dokumentationserfordernisse gem. Tz. 52 ff. erheblich ansteigen.

 

Buchtipp:

Ritz/Schmitz/Walla (Hrsg.): Risikoanalyse für Auslagerungen in der Kreditwirtschaft, 2018.

 

 

 

II. Ausgewählte Neuerungen der Guidelines aus Kapitel 4 im Überblick

 

Eine Übersetzung und Bewertung der einzelnen Textziffern kann für 39 € erworben werden. Erhältlich unter info@fc-heidelberg.de

 

 Seminartipps:

PraxisFalle IT-Dienstleistungen: Sonstiger Fremdbezug vs. Auslagerung, 03.04.2019, Köln.

Risikoanalysen bei Auslagerungen, 20.05.2019, Frankfurt/M.

Kontrollen in der regulatorisch neugeordneten Dienstleistersteuerung, 21.05.2019, Frankfurt/M.

Prüfung Auslagerungsprozesse nach AT 9, 04.11.2019, Köln.

EBA-Vorgaben Auslagerungen: NEUE Anforderungen für alle Banken, 05.11.2019, Köln.

Auslagerungen im Fokus der MaRisk und BAIT, 05.12.2019, Köln.

III. Fazit

Die teilweise sehr detaillierten Formulierungen der EBA stellen komplexe Anforderungen an den gesamten Auslagerungsprozess und die Überwachung dar. Für die Institute empfiehlt es sich, möglichst frühzeitig die Vorgaben in einer GAP-Analyse unter Einbezug aller relevanten Funktionen zu betrachten. So wird beispielsweise in vielen Häusern den Themen Interessenskonflikte und Verhaltenskodex momentan noch wenig Beachtung geschenkt. Insgesamt wird zur Umsetzung der EBA Guidelines eine hohe Transparenz für die oberste Leitungsebene benötigt: Die Geschäftsführung bzw. der Vorstand wird erst dadurch in die Lage versetzt, alle involvierten Mitarbeiter angemessen zu informieren und thematisch mitzunehmen.

IV. Praxistipps

  • Erstellen Sie zeitnah und projekthaft mit den zuständigen Abteilungen und Funktionen (Auslagerungsüberwachung, Compliance, Recht, Data-Governance, etc.) eine GAP-Analyse und leiten Sie Maßnahmen ein, beziehen Sie MaRisk sowie die BAIT mit ein.
  • Definieren Sie einen (realistischen) Zeitplan mit abgestimmten Zuständigkeiten.
  • Geben Sie der Geschäftsführung und dem Vorstand zeitnah einen Überblick über Inhalt und Auswirkung der EBA Guidelines, erweitern Sie das bestehende Management-Reporting um eine Umsetzungsinformation hierzu.
  • Gleichen Sie Ihr Vertragsportfolio mit den Anforderungen der EBA ab (Tz. 74).
  • Erweitern Sie das Auslagerungsregister um die Bestandteile gem. Tz. 54 ff.
  • Die Risikoanalyse muss ggf. um die Tz. 64 ff. erweitert werden.
  • Validieren Sie den Prozess zur Beauftragung Dritter und stellen Sie sicher, dass auch für Dienstleistungen, welche keine Auslagerung darstellen, Risiken ermittelt und gesteuert werden.
  • Gleichen Sie Ihre Vorgaben zur Risikokultur und zum Verhaltenskodex nach MaRisk mit den Vorgaben der Dienstleister ab.

 

Beratungstipps:

  • Implementierung eines effizienten & wirksamen Auslagerungsmanagements
  • Inventarisierung und Prüfung von Auslagerungen
  • Aufsichtskonformes Vertragsmanagement für Auslagerungen: Aufbau & Prüfung

Sie haben weitergehende Fragen? Sie suchen Lösungen für die Weiterentwicklung Ihrer Dienstleistersteuerung und zur Umsetzung der neuen Anforderungen?

Sprechen Sie mich gerne an:

Lukas Walla
Berater
Lukas.Walla@FC-Heidelberg.de
www.fchconsult.de
FCH Consult GmbH
Im Bosseldorn 30
D-69126 Heidelberg

  1. Die in diesem Beitrag vertretenen Auffassungen geben die persönliche Meinung der Autorin wieder und sind nicht notwendigerweise Positionen der Deutschen Bundesbank oder einer anderen Bankenaufsichtsbehörde.

Beitragsnummer: 58086

Nutzung von IT-Ressourcen Dritter – Cloud-Computing

Die Nutzung von externen IT-Dienstleistern bringt unzählige Anwendungsmöglichkeiten, Expertise und Kosteneinsparpotenzial – aber auch neue Herausforderungen.

Pascal Ritz, Geschäftsführer, Justo Unternehmensberatung GmbH[1].

     

I. Die Wolke über dem Neuland

„Das Internet ist für uns alle Neuland“, mit diesen Worten sorgte die Bundeskanzlerin für einige Erheiterung. Insbesondere für Kreditinstitute ist die Integration von externen, über das Internet angebundenen IT-Dienstleistungen keine Unbekannte. Cloud-Lösungen, mit unterschiedlichen Betreibermodellen versehen, werden regelmäßig nachgefragt.

Die Gründe für die Nutzung von Cloud-Anbietern sind in der Praxis vielfältig. Neben wirtschaftlichen Aspekten spielt regelmäßig der Zukauf von Leistungen eine Rolle, die aktuell von dem eigenen Rechenzentrum nicht erbracht werden (können). Darüber hinaus ist auch die Partizipation an der Expertise des Dritten ein Entscheidungsgrund.

Für Kreditinstitute relevante Dienstleistungsmodelle im Cloud-Computing können wie folgt beschrieben werden:

  • Bereitstellung von Rechenleistungen und Speicherplatz (IaaS),
  • Bereitstellung von Entwicklerplattformen (PaaS),
  • Bereitstellung von Softwareapplikationen/Webanwendungen (SaaS).

Mit dem Dienstleistungsmodell gehen unterschiedlich starke Souveränitätsverluste einher. Während das Kreditinstitut bei der Nutzung von Speicherplatz im Regelfall über das verwendete Betriebssystem und die installierten (Software-)Komponenten bestimmt, ist bei der Entwicklerplattform die Einflussmöglichkeit auf die ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

EBA veröffentlicht überarbeitete Guideline on outsourcing arrangements

Lukas Walla, Berater, FCH Consult GmbH

Die European Banking Authority (EBA) hat am 25.02.2019 die überarbeiteten Guidelines on outsourcing arrangements veröffentlicht. Die gesamte Veröffentlichung umfasst 125 Seiten, wovon 30 Seiten die konkreten Anforderungen darstellen. Sie sollen zum 30.09.2019 in Kraft treten.

Die EBA konkretisiert damit ihre Erwartungen an die Rahmenbedingungen für Auslagerungen. Die EBA-Empfehlungen zur Auslagerung an Cloud-Service-Anbieter aus Dezember 2017 sind in die vorliegende Guideline eingeflossen.

Wie auch auf nationaler Ebene durch die BaFin stellt die EBA eindeutig klar, dass das Leitungsorgan zu jeder Zeit für die eigene Prozesse verantwortlich bleibt. Als besonderes Risiko identifiziert die EBA Auslagerungen in Drittstaaten. Die Institute müssen sicherstellen, dass z. B. im Bereich des Datenschutzes EU-Regularien eingehalten werden. In Konsequenz betrifft dies dann auch eventuelle Weiterverlagerungen. Bei einer nun anstehenden Überprüfung der Verträge sollte dies unbedingt berücksichtigt werden.

Ebenso wie die MaRisk unterscheiden die Guidelines kritische und wichtige Funktionen (wesentliche) und sonstige Auslagerungen. Ein risikoorientierter Ansatz wird somit weiterhin gewährleistet und sollte auch unbedingt gelebt werden. Die Grundlage bildet die Risikoanalyse, an welche die EBA sehr ausführlich Anforderungen stellt. Wie auch in der Konsultation verdeutlicht die EBA in der Tz. 33 ihre Erwartungshaltung das sämtliche Leistungen, die von Dritten bezogen werden hinsichtlich ihres Risikos bewertet werden sollte. Hinsichtlich des Auslagerungsregisters werden die Dokumentationserfordernisse gem. Tz. 52 ff. erheblich ansteigen.

Insgesamt stellt die EBA sehr konkrete Anforderungen an den gesamten Auslagerungsprozess und die Überwachung. Die Institute sollten sich möglichst frühzeitig mit den neuen Vorgaben vertraut machen und eine GAP-Analyse erstellen. So wird beispielsweise in vielen Häusern den Themen Interessenskonflikte und Verhaltenskodex momentan noch wenig Beachtung geschenkt.

 

 

 

Beitragsnummer: 56749

Aufsicht veröffentlicht Protokoll zu Auslagerungen

Lukas Walla, Berater, FCH Consult GmbH

Die Aufsicht hat zwischenzeitlich das finale Protokoll mit dem Fachgremium MaRisk am 15.03.2018 veröffentlicht. Als wichtigen Punkt stellt die Aufsicht klar, dass eine Einstufung als sonstiger Fremdbezug nicht gleichbedeutend mit dem Nichtvorliegen eines Risikos ist. Dies verdeutlicht nochmals die Notwendigkeit eines Prozesses, der sich auf sämtliche Drittleistungen erstreckt und sonstige Fremdbezüge nicht von Beginn an ohne Beschäftigung mit den Risiken aussortiert.

Durch die Aufsicht festgestellte Mängel bei Mehrmandantendienstleistern werden auch weiterhin dem auslagernden Institut angerechnet. Darüber hinaus ist sich die Aufsicht bewusst, dass der Umgang mit Mehrmandantendienstleistern eine Herausforderung für die meisten Institute darstellt. Eine Mängelbeseitigung ist dann zusammen mit dem Mehrmandantendienstleister vorzunehmen und entsprechende Überwachungshandlungen sind durchzuführen. Für die Auswertung der oftmals sehr umfangreichen Berichte sind zentrale Interpretationshilfen für die Analyse zulässig. Ebenfalls können verbandsgeprüfte Institute sich einer zentralen verbandsseitigen Auswertung bedienen.

Die Aufsicht stellt klar, dass eine Auslagerung steuernder Bereiche in Drittstaaten nur schwer vorstellbar und auch seitens der europäischen Aufsichtsbehörden nicht gewünscht ist. Weiterhin bleibt die Aufsicht bei Ihrer Position, den Begriff „kleine Institute“ nicht final zu definieren.

Darüber hinaus wird der Betrieb einer Software in einer nicht selbst erstellten und betriebenen Cloud als Auslagerung eingestuft. Hier gelten dieselben Abgrenzungskriterien wie in Tz 1. Weiterhin wird lediglich die Unterstützungsleistung und nicht Software an sich als Auslagerung betrachtet. Dies umfasse auch die Wartung, sofern das Institut Patches vor dem einspielen nicht selbst testet und sich ein eigenes Bild verschafft.

Bezüglich der Risikoanalyse wird seitens der Aufsicht für wesentliche Auslagerungen ein jährlicher Turnus und für unwesentliche Auslagerungen ein Turnus von drei Jahren als angemessen erachtet.

Zusammenfassend lässt sich sagen, dass die Aufsicht einige Punkte klarstellen konnte, jedoch weiterhin viele Fragen offengeblieben sind. Bei der Umsetzung neuer Anforderungen im Bereich der Dienstleistersteuerung sollte unbedingt vorrangig auf eine konsequente Risikoorientierung geachtet werden.

 

 

Beitragsnummer: 56536