Logo

MARTENS

Aufsichts-konformes Auslagerungs-management & -Controlling nach EBA & MaRisk

Anforderungen an Steuerung und Überwachung von Dienstleistern, Auslagerungen und IT-Fremdbezügen sind in aktueller MaRisk deutlich verschärft worden…

office 4249395
Bild: Pixabay

Auslagerungs-management

Aufgrund der EBA-Guideline 2019/02 zum Outsourcing-Management wurde MaRisk erheblich ausgeweitet. 

Dies bedeutet, dass Banken einerseits ihre aufbau- und ablauforganisatorischen Regelungen anpassen müssen, um die Ordnungsmäßigkeit in der Soll-Umsetzung nachzuweisen. Anderseits müssen diese ambitionierten Anforderungen auch im Tagesgeschäft wirksam angewendet und bei den Dienstleistern und Weiterverlagerungen durchgesetzt werden (Enablement). 

Risikoanalyse Auslagerung

Kernelement im Auslagerungsmanagement ist nach wie vor eine qualifizierte Risikoanalyse (Netto-Risiken). Die Kriterien zu den Prozess-, Rechts-, Reputations-, Sicherheits- und Ausfallrisiken wurden in den aktuellen MaRisk um weitere Risikofaktoren zu Risikokonzentrationen, Weiterverlagerungen, möglichen Interessenkonflikten, politischen Risiken sowie dem Schutzbedarf der an den Dienstleister übermittelten Daten erweitert. Bei objektiver Bewertung dürften dadurch einige bisher als unwesentlich klassifizierte Auslagerungen wesentlich werden können.

risk 1945683
Bild: Pixabay
contract 4313684
Bild: Pixabay

Vertragliche Anforderungen

Auch vertragliche Anforderungen sind deutlich gestiegen, da viele der neuen Pflichtangaben künftig im Auslagerungsregister EBA-konform ausgewiesen werden müssen. Dies betrifft u. a. das geltende Recht für die Auslagerungsvereinbarung, die Standorte, an welchen die Dienstleistung bzw. die Datenverarbeitung und -speicherung erfolgt sowie die Umsetzung und Überprüfung eines Notfallkonzepts beim Dienstleister.

Darüber hinaus muss im Auslagerungsvertrag die vereinbarte Dienstleistungsgüte mit „eindeutig festgelegten Leistungszielen“ als Grundlage für die Steuerung und Überwachung durch die Bank geregelt werden.

Durch die Erweiterung der Mindestinhalte ergibt sich ein Anpassungsbedarf bei den Bestandsverträgen. 

Steuerung und Überwachung

Zur Optimierung der Steuerung und Überwachung von Auslagerungen sollen durch Leistungsziele (z.B. KPIs, SLAs) konkrete Vorgaben für einen regelmäßigen Soll-Ist-Vergleich bezüglich der ordnungsgemäßen Leistungserbringung geschaffen werden inkl. Evidenzen. Die bisherigen „vorzuhaltenden Kriterien“ wurden durch die Aufsicht präzisiert (Key Risk Indicators KPI) und können somit als Grundlage für das SLA-Monitoring verwenden werden. Die datenschutzrechtlichen und sonstigen Sicherheitsanforderungen sind ebenfalls laufend zu überwachen. 

business 5475664
Bild: Pixabay
contract 4313684
Bild: Pixabay

Weiterverlagerung

Die mit Weiterverlagerungen verbundenen Risiken müssen im Rahmen der Risikoanalyse bewertet werden. Neu ist, dass hier künftig auch die Wesentlichkeit / Kritikalität der Weiterverlagerung klassifiziert werden muss, welche auch in das Auslagerungsregister einfließt.  

Interessant ist die Klarstellung der Aufsicht, dass auch das Risiko aus „langen und komplexen Auslagerungsketten“ berücksichtigt werden muss, wonach die Fähigkeit der Institute zur Überwachung bei den weiterverlagerten Subunternehmern eingeschränkt werden kann. 

Auslagerungs-beauftragter

Künftig ist es erforderlich, neben dem zentralen Auslagerungsmanagement einen Auslagerungsbeauftragten zu benennen. Der zentrale Auslagerungsbeauftragte hat einer Organisationseinheit anzugehören, die der Geschäftsleitung unmittelbar unterstellt ist. Er kann auch bei anderen Einheiten angesiedelt werden, sofern eine direkte Berichtslinie zur Geschäftsleitung sichergestellt ist. Kleinere, weniger komplexe Institute („LSI – Less Significant Institutions“) können diese Funktion auch einem Mitglied der Geschäftsleitung übertragen. Als Auslagerungsbeauftragter kann auch der Leiter des zentralen Auslagerungsmanagements benannt werden. Das zentrale Auslagerungsmanagement darf den Auslagerungsbeauftragten bei den konzeptionellen, koordinativen und überprüfenden Aufgaben unterstützen („2nd Line of Defense“). 

office 4249391
Bild: Pixabay
archive 3859388
Bild: Pixabay

Auslagerungs-register

Im Auslagerungsregister sind künftig über „alle Auslagerungsvereinbarungen“ bestimmte Mindestinhalte aus Tz. 54 und 55 der EBA-Guidelinies zentral und auswertbar zu führen.

Durch die vorgesehenen Meldeprozesse an das MVP-Portal der BaFin wird der Aktualität und Vollständigkeit der Pflichtinformationen aus der EBA-Guideline künftig eine große Bedeutung zukommen. 

Der Kreis schließt sich dann wieder bei den Weiterverlagerungen: „Bei wesentlichen Auslagerungen ist festzulegen, ob der weiterzuverlagernde Teil wesentlich / kritisch und damit ebenfalls im Auslagerungsregister zu erfassen ist.“