Die IT – und damit auch das Auslagerungsmanagement – sind mehr denn je kritische Erfolgsfaktoren für die Finanzbranche. Sie steht jedoch vor der Herausforderung kürzer werdender Innovationszyklen bei gleichzeitig zunehmender Komplexität. Dabei können Finanzinstitute nicht auf allen Gebieten technisches Expertenwissen und Kompetenz besitzen und weiterentwickeln. Die Konsequenz ist eine zunehmende Zahl ausgelagerter Dienstleistungen und Zulieferungen.
Dadurch wird jedoch der Erfolg eines Instituts abhängig vom Funktionieren einer Kette interner und externer Prozesse und der Beherrschung aller damit verbundenen Risiken. Nicht umsonst fordert die Aufsicht daher die Implementierung und Weiterentwicklung eines angemessenen Auslagerungsmanagements und entsprechender Kontroll- und Überwachungsprozesse (MaRisk AT 9 Tz. 12).
Erwartungen der Bankenaufsicht an das Auslagerungsmanagement
Die Regulatorik definiert dabei ganz klar, dass die Gesamtverantwortung für das Auslagerungsmanagement – d.h., für alle ausgelagerten Prozesse und Aktivitäten – weiterhin bei den Banken verbleibt. Diese Kontrollmechanismen wurden in den letzten Jahren stetig verschärft. Zuletzt durch die Überführung der EBA-Leitlinien zur Auslagerung (EBA/GL/2019/02) und für das Management von IKT- und Sicherheitsrisiken (EBA/GL/2019/04) in eine MaRisk- bzw. eine BAIT-Novelle.
Es ist für Banken also eine immer größere Herausforderung, die durch Auslagerungen entstandenen Risiken im Blick zu behalten und zu steuern. Das Auslagerungsmanagement können Softwarelösungen zur Steuerung von IT-Governance, IT-Risikomanagement und IT-Compliance unterstützen.
Zwei zentrale Register
Mit Blick auf das Auslagerungsmanagement ergeben sich für Banken aus den MaRisk- und BAIT-Novellen zwei Kernanforderungen:
1. Das zentrale Auslagerungsregister
Die MaRisk fordern für das Auslagerungsmanagement in AT 9 Tz. 15 ein zentrales Auslagerungsregister mit Informationen über alle Auslagerungsvereinbarungen.
Ein Werkzeug wie die PASS GRC Suite mit seinem zentralen Management von Risiken und Prüfungen bietet sich zur Umsetzung eines solchen Auslagerungsregisters an – und zwar wahlweise für einen Auslagerungsgeber, z.B. ein Finanzinstitut, oder auch einen Auslagerungsnehmer, z.B. einen Mehrmandanten-IT-Dienstleister. Durch die Verknüpfung der in diesem Modul erfassten Auslagerungen mit Risiken lässt sich die Forderung von MaRisk AT 9 Tz. 2 nach einer Analyse und Bewertung der mit jeder Auslagerung verbundenen Risiken leicht erfüllen. Die in Tz. 9 geforderte regelmäßige und anlassbezogene Überprüfung der Leistungserbringung im Kontext des Auslagerungsmanagements wird durch Verknüpfung der Auslagerungen mit dem Audit-Modul und die Überwachung der Leistung des Auslagerungsnehmers mit dem Modul für KPI-basiertes IT-Controlling realisiert.
2. Das zentrale Vertragsregister
Die BAIT fordern mit Blick auf das Auslagerungsmanagement von den Instituten in Tz. 9.3 eine vollständige, strukturierte Vertragsübersicht.
Das Vertragsmodul der PASS GRC Suite ermöglicht nicht nur die Ablage der Auslagerungsverträge, sondern auch eine Zuordnung, an welchen Stellen im Vertrag jeweils die inhaltlichen Vorgaben der Aufsicht (gemäß MaRisk AT 9 Tz. 7) berücksichtigt wurden. Ähnlich dem Auslagerungsregister lassen sich alle Positionen des Vertragsregisters mit Risiken wie auch mit Prüfungen verknüpfen.
Die PASS GRC Suite als Basis für das Auslagerungsmanagement
Das Auslagerungsmanagement erfordert einen Auslagerungsbericht
Der integrierte Ansatz eines Werkzeugs wie der PASS GRC Suite hat den Vorteil, dass Daten der verschiedenen Module leicht miteinander verknüpft werden können und dadurch ein zentrales Berichtswesen möglich wird. Durch den Reportgenerator lässt sich der in MaRisk AT 9 Tz. 13 geforderte Bericht über wesentliche Auslagerungen mit Bewertung der Dienstleistungsqualität und den risikomindernden Maßnahmen – einmal definiert – auf Grundlage gepflegter Daten durch einen Mausklick erstellen.
Wie gut ist das Auslagerungsmanagement Ihrer Bank auf die Anforderungen der BaFin vorbereitet?
Auslagerungsmanagement in Banken – immer auf dem aktuellen Stand
Bildquelle: Shutterstock
