Auslagerungsmanagement leicht gemacht: Banken & Regulatorik

Beim Auslagerungsmanagement müssen Banken zahlreiche aufsichtsrechtliche Aspekte berücksichtigen – v.a. die MaRisk und die BAIT geben die Marschrichtung vor.

Die IT – und damit auch das Auslagerungsmanagement – sind mehr denn je kritische Erfolgsfaktoren für die Finanzbranche. Sie steht jedoch vor der Herausforderung kürzer werdender Innovationszyklen bei gleichzeitig zunehmender Komplexität. Dabei können Finanzinstitute nicht auf allen Gebieten technisches Expertenwissen und Kompetenz besitzen und weiterentwickeln. Die Konsequenz ist eine zunehmende Zahl ausgelagerter Dienstleistungen und Zulieferungen.

Dadurch wird jedoch der Erfolg eines Instituts abhängig vom Funktionieren einer Kette interner und externer Prozesse und der Beherrschung aller damit verbundenen Risiken. Nicht umsonst fordert die Aufsicht daher die Implementierung und Weiterentwicklung eines angemessenen Auslagerungsmanagements und entsprechender Kontroll- und Überwachungsprozesse (MaRisk AT 9 Tz. 12).

Erwartungen der Bankenaufsicht an das Auslagerungsmanagement

Die Regulatorik definiert dabei ganz klar, dass die Gesamtverantwortung für das Auslagerungsmanagement – d.h., für alle ausgelagerten Prozesse und Aktivitäten – weiterhin bei den Banken verbleibt. Diese Kontrollmechanismen wurden in den letzten Jahren stetig verschärft. Zuletzt durch die Überführung der EBA-Leitlinien zur Auslagerung (EBA/GL/2019/02) und für das Management von IKT- und Sicherheitsrisiken (EBA/GL/2019/04) in eine MaRisk- bzw. eine BAIT-Novelle.

Es ist für Banken also eine immer größere Herausforderung, die durch Auslagerungen entstandenen Risiken im Blick zu behalten und zu steuern. Das Auslagerungsmanagement können Softwarelösungen zur Steuerung von IT-Governance, IT-Risikomanagement und IT-Compliance unterstützen.

Zwei zentrale Register

Mit Blick auf das Auslagerungsmanagement ergeben sich für Banken aus den MaRisk- und BAIT-Novellen zwei Kernanforderungen:

1. Das zentrale Auslagerungsregister

Die MaRisk fordern für das Auslagerungsmanagement in AT 9 Tz. 15 ein zentrales Auslagerungsregister mit Informationen über alle Auslagerungsvereinbarungen.

Ein Werkzeug wie die PASS GRC Suite mit seinem zentralen Management von Risiken und Prüfungen bietet sich zur Umsetzung eines solchen Auslagerungsregisters an – und zwar wahlweise für einen Auslagerungsgeber, z.B. ein Finanzinstitut, oder auch einen Auslagerungsnehmer, z.B. einen Mehrmandanten-IT-Dienstleister. Durch die Verknüpfung der in diesem Modul erfassten Auslagerungen mit Risiken lässt sich die Forderung von MaRisk AT 9 Tz. 2 nach einer Analyse und Bewertung der mit jeder Auslagerung verbundenen Risiken leicht erfüllen. Die in Tz. 9 geforderte regelmäßige und anlassbezogene Überprüfung der Leistungserbringung im Kontext des Auslagerungsmanagements wird durch Verknüpfung der Auslagerungen mit dem Audit-Modul und die Überwachung der Leistung des Auslagerungsnehmers mit dem Modul für KPI-basiertes IT-Controlling realisiert.

2. Das zentrale Vertragsregister

Die BAIT fordern mit Blick auf das Auslagerungsmanagement von den Instituten in Tz. 9.3 eine vollständige, strukturierte Vertragsübersicht.

Das Vertragsmodul der PASS GRC Suite ermöglicht nicht nur die Ablage der Auslagerungsverträge, sondern auch eine Zuordnung, an welchen Stellen im Vertrag jeweils die inhaltlichen Vorgaben der Aufsicht (gemäß MaRisk AT 9 Tz. 7) berücksichtigt wurden. Ähnlich dem Auslagerungsregister lassen sich alle Positionen des Vertragsregisters mit Risiken wie auch mit Prüfungen verknüpfen.

Die PASS GRC Suite als Basis für das Auslagerungsmanagement

Mit seiner GRC Suite hat PASS eine gute Grundlage für das integrierte Management von Steuerungsvorgaben, Risiken, internen wie externen Prüfungen sowie der Überwachung von KPIs geschaffen. Zu diesem Thema empfehle ich Ihnen auch meinen Blogbeitrag Digitalisierung der IT-Governance: Integriert, papierlos und kollaborativ. Dabei können die Module der GRC Suite an jede Institutsgröße angepasst werden und sind erweiterbar, beispielsweise um ein Auslagerungs- und ein Vertragsregister.
Tipp!

Das Auslagerungsmanagement erfordert einen Auslagerungsbericht

Der integrierte Ansatz eines Werkzeugs wie der PASS GRC Suite hat den Vorteil, dass Daten der verschiedenen Module leicht miteinander verknüpft werden können und dadurch ein zentrales Berichtswesen möglich wird. Durch den Reportgenerator lässt sich der in MaRisk AT 9 Tz. 13 geforderte Bericht über wesentliche Auslagerungen mit Bewertung der Dienstleistungsqualität und den risikomindernden Maßnahmen – einmal definiert – auf Grundlage gepflegter Daten durch einen Mausklick erstellen.

Wie gut ist das Auslagerungsmanagement Ihrer Bank auf die Anforderungen der BaFin vorbereitet?

Auslagerungsmanagement in Banken – immer auf dem aktuellen Stand

Dieser Artikel zum Thema Auslagerungsmanagement in Banken wurde am 14. April 2021 erstmalig veröffentlicht und am 04. November 2021 aktualisiert.


Bildquelle: Shutterstock

Schreibe einen Kommentar