Auslagerungsmanagement

Ganzheitliche Lösungen

Auslagerungs-
management

Unter Auslagerungsmanagement werden sämtliche Aktivitäten verstanden, die im Zusammenhang mit der Steuerung ausgelagerter Prozesse und Dienstleistungen an externe Dienstleister stehen.  Darunter fallen die Überprüfung der Machbarkeit einer Auslagerung, die Dienstleisterauswahl, die Risikoanalyse sowie die Produktivsetzung der Auslagerung und die anschließende kontinuierliche Steuerung der Überwachung des Dienstleisters im operativen Geschäft.

Entwicklung des Auslagerungs-
managements

Mit Veröffentlichung der 5. Novelle der MaRisk im Oktober 2017 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die erste Erneuerung ihres prinzipienbasierten Papiers seit 2012 herausgegeben.

Konkretisierung der Auslagerungsdefinition insbesondere zu fremdbezogener Software (AT 9 Tz. 1)

Auslagerungssachverhalte sind zukünftig unabhängig von der zivilrechtlichen Konstruktion zu betrachten. Damit werden Auslagerungen klarer als in der Vergangenheit definiert und abgegrenzt. Eine weitere Neuerung betrifft die sogenannte fremdbezogene Software. Mit der Novellierung soll fremdbezogene Software nicht mehr als sonstiger Fremdbezug, sondern als Auslagerung bezeichnet werden. Dazu zählt eine Software, die an die individuellen Bedürfnisse eines Instituts angepasst wurde und der Identifizierung, Beurteilung, Steuerung, Überwachung oder der Kommunikation von Risiken dient oder eine wesentliche Rolle für die Durchführung der Bankgeschäfte (wie z. B. bei Kernbanksystemen) spielt. Gleichermaßen betroffen sind damit verbundene Unterstützungsleistungen durch Dritte, wie der Betrieb, die Anwendungspflege oder die Weiter­entwicklung.

Standardisierung der Risikoanalyse und Berücksichtigung von Risikokonzentrationen (AT 9 Tz. 2)

Gemäß den neuen Anforderungen der Novelle sind Risikokonzentrationen aus Auslagerungen sowie Risiken aus Weiterverlagerungen im Rahmen der Risikoanalysen zu berücksichtigen. Darüber hinaus sollen die Risikoanalysen, die auf einheitlichen Regelungen beruhen, sowohl regelmäßig als auch anlassbezogen erstellt werden.

Auslagerbarkeit von Kontroll-und Kernbankbereichen wie Compliance, Risikocontrolling oder der Internen Revision (AT 9 Tz. 4, 5)

Die Voll- oder Teilauslagerung von Kontroll- oder Kernbankbereichen erfahren durch die Novellierung eine Konkretisierung durch die Textziffern 4 und 5. Zukünftig sollen Voll- und Teilauslagerungen von Aktivitäten und Prozessen in Kernbank- und Kontrollbereichen wie Compliance, Risikocontrolling oder Interner Revision, an Bedingungen geknüpft sein. Voraussetzung wird sein, dass das auslagernde Institut stets über genügend „fundierte“ Kenntnisse verfügt, um im Falle einer Beendigung der Auslagerung den ordnungsmäßigen Betrieb fortführen zu können. Eine vollständige Auslagerung der Risikocontrolling-Funktion wird künftig nicht mehr zu­lässig sein.

Ausstiegsprozesse und Handlungsoptionen in beabsichtigten und unbeabsichtigten Fällen (AT 9 Tz. 6)

Institute haben für wesentliche Auslagerungen im Fall erwarteter oder beabsichtigter Beendigung eines Auslagerungsvertrags weiterhin Maßnahmen für die Kontinuität und Qualität der Geschäftsprozesse bereitzuhalten. Diese werden meist wie bisher im Rahmen des Business Continuity Managements (BCM) adressiert.

Weiterverlagerungen von Auslagerungen an Subdienstleister (AT 9 Tz. 8)

Im Rahmen der Novelle konkretisiert die BaFin zusätzlich, dass im Auslagerungsvertrag für den Fall der Weiterverlagerung entweder Zustimmungsvorbehalte des auslagernden Instituts oder konkrete Voraussetzungen für die Weiterverlagerung einzelner Arbeits- und Prozessschritte bestimmt werden müssen. Ferner besteht eine Informationspflicht für die Auslagerungs- und Weiterverlagerungsunternehmen gegenüber dem auslagernden Institut.

Abschnitt AT 9 zu den Auslagerungen stellt den fachlich am stärksten überarbeiteten Teil in der 5. MaRisk Novelle dar. Das zentrale Auslagerungsmanagement (ZAM, AT 9 Tz. 12) wird nun erstmalig von der Aufsicht explizit gefordert. Der damit auf verstärkte Anforderungen an die Steuerung und Überwachung von Auslagerungen gelegte Fokus lässt Rückschlüsse auf künftige Schwerpunkte der Aufsicht zu. Dies schließt in den nächsten Jahren insbesondere mögliche §44 KWG Sonderprüfungen bzw. entsprechende Schwerpunkte in den Jahresabschlussprüfungen mit ein.

Im Vergleich zur aktualisierten MaRisk wurden mit den „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) im November 2017 ähnliche Anforderun­gen an die Informationssysteme der Institute ge­richtet. Die BAIT konkretisiert zum Teil die in MaRisk AT 9 definierten Anforderungen an das Auslagerungsmanagement hinsichtlich der angemessenen Ausgestaltung der technisch-organisatorischen Ausstattung der IT-Systeme sowie die Ausgestaltung der Notfallkonzepte.

Die EBA veröffentlichte am 20. Dezember 2017 unter dem Namen „Final Report on Recommendations on Cloud Outsourcing“ (EBA/REC/2017/03) ein Empfehlungsschreiben für die Auslagerung von Daten an Cloud-Service-Anbieter. Auch wenn es sich hierbei bislang nur um Empfehlungen seitens der EBA handelt, zeigt der Ansatz mit welchen weiteren regulatorischen Anforderungen im Bereich der Auslagerungen in den kommenden Jahren bzw. mit fortschreitender Technologisierung zu rechnen ist.

Am 25. Mai 2018 trat die europäische Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Mit dieser werden der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen sowie insbe­sondere deren Recht auf den Schutz personenbezogener Daten gestärkt. Gleichzeitig bedeutet dies für auslagernde Institute jedoch eine zusätzliche Überwachung. Da Auslagerungssachverhalte, wie Poststellen oder Druckdienstleister personenbezogene Daten enthalten, wird sich dies zukünftig auch auf die regulatorische Wesentlichkeitseinstufung der Auslagerung, und damit auf den zugehörigen Risiko­gehalt, niederschlagen.

Wir geben unser Wissen gerne weiter 

Publikationen zu diesem Thema

Whitepaper | April 2018

Compliance im Auslagerungsmanagement
durch Prozessautomatisierung

Whitepaper | Dezember 2017

RPA und Auslagerung – Ansatz zur Reduzierung von
Steuerungsaufwand
und Steigerung von Effizienz

Whitepaper | Januar 2017

Novellierung der Mindestanforderungen an das Risikomanagement (MaRisk) AT 9 – direkte Auswirkungen
auf das Auslagerungsmanagement

Warum wir Ihr Ansprechpartner sind

Unsere Lösungen für im Auslagerungsmanagement

Mit unseren Lösungen unterstützen wir Sie bei der Ausgestaltung Ihres Auslagerungsmanagements. Ob Compliance im Auslagerungsmanagement, die Reduzierung des Ressourcenaufwands oder die Optimierung der Steuerbarkeit – wir sind Ihr Ansprechpartner.

Compliance im Auslagerungs-management

Wir beraten Sie in der Ausgestaltung von Prozessen im Rahmen des Auslagerungsmanagements unter Berücksichtigung der aktuellen regulatorischen Anforderungen... ​

Reduzierung des Ressourcenaufwands

Auf Basis von Best Practice Lösungen helfen wir Ihnen bei der ressourceneffizienten Ausgestaltung des Auslagerungsmanagements...

Optimierung der Steuerbarkeit

Zur Schaffung valider Entscheidungsgrundlagen helfen wir Ihnen bei der Aufnahme und Analyse bestehender Reporting und Auswertungsprozesse...

TME Ansprechpartner

Sebastian Heinzelbecker

Gemeinsam mit  seinem Team, betreut Sebastian Heinzelbecker das Thema Auslagerungsmanagement. Er ist Ihr Ansprechpartner wenn es um die Erreichung der Compliance, die Reduzierung des Ressourcenaufwands und die Optimierung der Steuerbarkeit von Auslagerungen geht.

TME Ansprechpartner

Sebastian Heinzelbecker

Gemeinsam mit  seinem Team betreut Sebastian Heinzelbecker das Thema Auslagerungsmanagement. Er ist Ihr Ansprechpartner wenn es um die Erreichung der Compliance, die Reduzierung des Ressourcenaufwands und die Optimierung der Steuerbarkeit von Auslagerungen geht.