Banken & Regulatorik: Auslagerungsmanagement leicht gemacht

Konsultationen zu MaRisk- und BAIT-Novellen: Das kommt jetzt auf das Auslagerungsmanagement von Banken zu.

Die IT ist mehr denn je der kritische Erfolgsfaktor für die Finanzbranche. Sie steht jedoch vor der Herausforderung kürzer werdender Innovationszyklen bei gleichzeitig zunehmender Komplexität. Dabei können Finanzinstitute nicht auf allen Gebieten technisches Expertenwissen und Kompetenz besitzen und weiterentwickeln. Die Konsequenz ist eine zunehmende Zahl ausgelagerter Dienstleistungen und Zulieferungen. Dadurch wird jedoch der Erfolg eines Instituts abhängig vom Funktionieren einer Kette interner und externer Prozesse und der Beherrschung aller damit verbundenen Risiken. Nicht umsonst fordert die Aufsicht daher die Implementierung und Weiterentwicklung eines angemessenen Auslagerungsmanagements und entsprechender Kontroll- und Überwachungsprozesse (MaRisk AT 9 Tz. 12).

Banken sind für das Auslagerungsmanagement verantwortlich

Die Regulatorik definiert dabei ganz klar, dass die Gesamtverantwortung für alle ausgelagerten Prozesse und Aktivitäten weiterhin bei den Banken verbleibt. Diese Kontrollmechanismen wurden in den letzten Jahren stetig verschärft und es stehen bereits die nächsten Novellierungen ins Haus: Im Herbst 2020 stellte die BaFin eine MaRisk- sowie eine BAIT-Novelle zur Konsultation, welche die EBA-Leitlinien zur Auslagerung (EBA/GL/2019/02) und für das Management von IKT- und Sicherheitsrisiken (EBA/GL/2019/04) in nationale Regelungen überführen.

Es ist für Banken also eine immer größere Herausforderung, die durch Auslagerungen entstandenen Risiken im Blick zu behalten und zu steuern. Hier können Softwarelösungen zur Steuerung von IT-Governance, IT-Risikomanagement und IT-Compliance unterstützen.

Die bewährte PASS GRC Suite als Basis

Mit seiner GRC Suite hat PASS eine gute Grundlage für das integrierte Management von Steuerungsvorgaben, Risiken, internen wie externen Prüfungen sowie der Überwachung von KPIs geschaffen. Zu diesem Thema empfehle ich Ihnen auch meinen Blogbeitrag Digitalisierung der IT-Governance: Integriert, papierlos und kollaborativ. Dabei können die Module der GRC Suite an jede Institutsgröße angepasst werden und sind erweiterbar, beispielsweise um ein Auslagerungs- und ein Vertragsregister.

Zwei neue Register

Mit Blick auf das Auslagerungsmanagement ergeben sich für Banken aus den zur Umsetzung anstehenden MaRisk- und BAIT-Novellen zwei neue Kernanforderungen:

1. Das zentrale Auslagerungsregister

Die überarbeiteten MaRisk fordern in AT 9 Tz. 15 ein zentrales Auslagerungsregister mit Informationen über alle Auslagerungsvereinbarungen.

Ein Werkzeug wie die PASS GRC Suite mit seinem zentralen Management von Risiken und Prüfungen bietet sich zur Umsetzung eines solchen Auslagerungsregisters an. Ein neues Modul wird das abdecken, und zwar wahlweise für einen Auslagerungsgeber, z.B. ein Finanzinstitut, oder auch einen Auslagerungsnehmer, z.B. einen Mehrmandanten-IT-Dienstleister. Durch die Verknüpfung der in diesem Modul erfassten Auslagerungen mit Risiken lässt sich die Forderung von MaRisk AT 9 Tz. 2 nach einer Analyse und Bewertung der mit jeder Auslagerung verbundenen Risiken leicht erfüllen. Die in Tz. 9 geforderte regelmäßige und anlassbezogene Überprüfung der Leistungserbringung wird durch Verknüpfung der Auslagerungen mit dem Audit-Modul und die Überwachung der Leistung des Auslagerungsnehmers mit dem Modul für KPI-basiertes IT-Controlling realisiert.

2. Das zentrale Vertragsregister

Die ebenfalls novellierten BAIT fordern von den Instituten in Tz. 9.3 eine vollständige, strukturierte Vertragsübersicht.

Das neue Vertragsmodul der PASS GRC Suite ermöglicht nicht nur die Ablage der Auslagerungsverträge, sondern auch eine Zuordnung, an welchen Stellen im Vertrag jeweils die inhaltlichen Vorgaben der Aufsicht (gemäß MaRisk AT 9 Tz. 7) berücksichtigt wurden. Ähnlich dem Auslagerungsregister lassen sich alle Positionen des Vertragsregisters mit Risiken wie auch mit Prüfungen verknüpfen.

Nicht neu, aber zentral: der Auslagerungsbericht

Der integrierte Ansatz eines Werkzeugs wie der PASS GRC Suite hat den Vorteil, dass Daten der verschiedenen Module leicht miteinander verknüpft werden können und dadurch ein zentrales Berichtswesen möglich wird. Durch den Reportgenerator lässt sich der in MaRisk AT 9 Tz. 13 geforderte Bericht über wesentliche Auslagerungen mit Bewertung der Dienstleistungsqualität und den risikomindernden Maßnahmen – einmal definiert – auf Grundlage gepflegter Daten durch einen Mausklick erstellen.

Wie ist das Auslagerungsmanagement Ihrer Bank auf die neuen Anforderungen der BaFin vorbereitet?

 

Bildquelle: Shutterstock

Hinterlassen Sie eine Antwort

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.