- Anzeigen -

Sie sind hier: Home » Markt » Hinweise & Tipps

Auslagerungsmanagement von Banken


Finanzmarkt-Compliance: Auslagerungen von Finanzinstituten werden stärker reguliert
TME Institut rät Banken zur frühzeitigen Anpassung an die Novellierung der MaRisk AT9

- Anzeigen -





Wie Unternehmen anderer Branchen auch lagern Geldinstitute einige Aufgaben oder Organisationseinheiten aus. Sie sind allerdings darin nicht völlig frei, sondern müssen sich an gesetzliche Vorschriften halten. Mit der Novellierung der MaRisk (Mindestanforderungen an das Risikomanagement) AT 9 erhöht die BaFin die regulatorischen Vorgaben für das Auslagerungsmanagement von Banken. "Man trägt damit dem verstärkten Risikobewusstsein, das die Ereignisse der letzten Jahre geschaffen haben, Rechnung", sagt Thomas Deibert vom TME Institut. Er empfiehlt frühzeitiges Handeln, um die novellierte MaRisk zeitgerecht zu erfüllen. Voraussichtlich wird deren finale Fassung noch im Frühjahr 2017 veröffentlicht.

Die BaFin will mit der Novellierung die effektive Steuerung und Überwachung von Auslagerungsrisiken sicherstellen. Um das zu erreichen, wurde beispielsweise klarer als zuvor definiert, was überhaupt als Auslagerung zu betrachten ist. Auch fremdbezogene Software – etwa für die Überwachung von Risiken oder auch für die Durchführung von Bankgeschäften – gilt nun als Auslagerung und nicht als sonstiger Fremdbezug. "Banken sind damit gezwungen, eingekaufte Software inklusive deren Weiterentwicklung und Pflege in ihren Regelprozess zur Steuerung der Risiken einzubinden", so Deibert, der zusammen mit Sebastian Heinzelbecker und Jan Franz von der TME ein Whitepaper zum Thema MaRisk AT 9 verfasst hat. "Der Mehraufwand für die Geldinstitute wird steigen."

Diese Konsequenz haben laut TME Institut auch weitere Vorschriften der Novellierung. Risikokonzentrationen aus Auslagerungen und Risiken aus Weiterverlagerungen müssen in Zukunft im Rahmen der Risikoanalysen berücksichtigt werden – und diese sind sowohl regelmäßig als auch anlassbezogen zu erstellen. Für die Auslagerbarkeit von Kontroll- oder Kernbankbereichen stellt die MaRisk AT 9 Bedingungen auf. Aktivitäten und Prozesse etwa in den Bereichen Compliance oder Risikocontrolling dürfen nur an Dritte vergeben werden, wenn die Bank sie jederzeit wieder selbst übernehmen könnte. Ergo: Das Institut muss Know-how für die abgegebenen Aufgaben vorhalten. Hinzu kommen Konkretisierungen für einzelne Bereiche: Die Risikocontrolling-Funktion darf nicht mehr vollständig ausgelagert werden, die Compliance-Funktion und die Interne Revision nur in kleineren Instituten.

Erhöhte Anforderungen an Ausstiegsstrategien
Für den Fall der erwarteten oder beabsichtigten ebenso wie für eine unerwartete oder unbeabsichtigte Beendigung müssen Maßnahmen im Rahmen des Business Continuity Managements festgelegt werden. Dies war bereits vor der Novellierung so, doch nun sind explizite Ausstiegsprozesse zu dokumentieren, zu verabschieden und auf ihre Wirksamkeit zu überprüfen. Zu den Aufgaben eines zentralen Auslagerungsmanagements, das künftig Pflicht wird, zählt u. a. die Überwachung des korrekten Umgangs mit den Ausstiegsprozessen. Und wenn der Auftragnehmer, der eine Tätigkeit für das Geldinstitut übernommen hat, diese weiterverlagern möchte? Deibert: "Auch das ist reguliert.

Das Geldinstitut muss im Vorhinein konkrete Voraussetzungen festlegen, unter denen sein Auftragnehmer bestimmte Arbeiten weitergeben darf. Oder aber es hat das Recht, seine Zustimmung zu verweigern." Darüber hinaus hat die BaFin stets uneingeschränkte Informations- und Prüfungsrechte.

Als besonders wesentliche Neuerung erachtet Deibert die Vorschrift, das bereits erwähnte zentrale Auslagerungsmanagement (ZAM) zu etablieren. Hier gehe es vor allem um den Kontroll- und Überwachungsprozess sowie die Dokumentation von Auslagerungen inklusive Weiterverlagerungen. Das ZAM soll zudem die Einhaltung institutsinterner Anforderungen und gesetzlicher Vorgaben garantieren. Mindestens einmal jährlich erstellen die für das ZAM Verantwortlichen einen Bericht, in dem sie unter anderem Qualität und Steuerungsmöglichkeiten der ausgelagerten Aktivitäten analysieren. Dies dient der Information der Führungsebene – bis hin zum Vorstand – über die Risikosituation des Unternehmens.

Compliance durch Vier-Phasen-Modell gewährleisten
Die neue MaRisk AT 9 sei eine große Herausforderung für Geldinstitute, so Heinzelbecker. Zu deren Bewältigung sei es zum einen nötig, frühzeitig zu untersuchen, wo genau Handlungsbedarf besteht. Zudem hat die TME AG ein Vier-Phasen-Modell entwickelt, das sich durch einen ganzheitlichen Ansatz auszeichnet und den gesamten Zyklus einer Auslagerung abdeckt. In Phase 1 wird im Rahmen eines Quick-Checks der auslagernden Fachbereiche der Auslagerungstatbestand untersucht. Hierfür wird auch das komplette Vertragswerk überprüft und bei Bedarf aktualisiert. Anschließend geht es in Phase 2 um die Risikoanalyse und Szenarien zur unterbrechungsfreien Sicherstellung der ausgelagerten Dienstleistungen.Im Zentrum von Phase 3 stehen die Implementierung und Unterstützung des ZAM sowie die Steuerung des Dienstleisters und die Sicherstellung der Kontinuität der Leistungserbringung. Phase 4 schließlich befasst sich mit der Beendigung von Auslagerungen und mündet in die Verabschiedung von Ausstiegsprozessen.

"Nach unseren Erfahrungen ist ein solch strukturiertes Vorgehen nötig, um Effektivität Compliance im wichtigen Feld des Auslagerungsmanagements zu gewährleisten. Und das gilt durch die Novellierung der MaRisk AT 9 noch mehr als zuvor", betont Heinzelbecker.
(TME Institut für Vertrieb und Transformationsmanagement: ra)

eingetragen: 31.01.17
Home & Newsletterlauf: 21.02.17

TME Institut: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Befreiung von der Zertifizierungspflicht

    Nicht jeder Netzbetreiber muss eine eigene Zertifizierung durchführen, um die Anforderungen des IT-Sicherheitskataloges zu erfüllen. Dabei ist nicht alleine die Größe des Unternehmens wesentlich. Entscheidend ist, ob er gengenüber der Bundesnetzagentur nachweisen kann, dass er keine Anlagen betreibt, die vom IT-Sicherheitskatalog erfasst sind. Die Süd IT AG hat bereits umfangreiche Erfahrungen gesammelt, Netzbetreiber mit ihrem bewährten Vorgehen bei der Argumentation gegenüber der Bundesnetzagentur erfolgreich zu unterstützen.

  • Auslagerungsmanagement von Banken

    Wie Unternehmen anderer Branchen auch lagern Geldinstitute einige Aufgaben oder Organisationseinheiten aus. Sie sind allerdings darin nicht völlig frei, sondern müssen sich an gesetzliche Vorschriften halten. Mit der Novellierung der MaRisk (Mindestanforderungen an das Risikomanagement) AT 9 erhöht die BaFin die regulatorischen Vorgaben für das Auslagerungsmanagement von Banken. "Man trägt damit dem verstärkten Risikobewusstsein, das die Ereignisse der letzten Jahre geschaffen haben, Rechnung", sagt Thomas Deibert vom TME Institut. Er empfiehlt frühzeitiges Handeln, um die novellierte MaRisk zeitgerecht zu erfüllen. Voraussichtlich wird deren finale Fassung noch im Frühjahr 2017 veröffentlicht.

  • Website ohne Datenschutzerklärung

    Das OLG Hamburg hat bereits am 27.06.2013 entschieden, dass fehlende Datenschutzerklärungen auf Websites abgemahnt werden können. Betroffen sind nicht nur die Webshop-Betreiber sondern wirklich alle Website-Betreiber. Dass immer noch viele Websites keine Datenschutzerklärung beinhalten zeigt leider, dass diese wichtige Information noch nicht bis zu deren Betreibern durchgedrungen ist. Wer kann heute noch von sich behaupten, dass er den vollen Überblick hat über das geltende Internetrecht? Eine Hand voll Urteile sticht aus der immer komplexer werdenden Informationsdichte hervor, die nicht nur wenige sondern viele oder sogar jeden betreffen. Dazu gehört sicherlich das Urteil des OLG Hamburg vom 27.06.2013 Az. 3 U 26/12, nach dem fehlende Datenschutzerklärungen abmahnfähig sind.

  • Tipps gegen Datenschutzrisiken bei Geschenken

    Inzwischen weiß nicht nur der Weihnachtsmann, ob die Beschenkten brav sind. Denn viele Produkte, die am 24. Dezember unter dem Weihnachtsbaum liegen, sind mit Überwachungsfunktionalität ausgestattet. Bei den Geschenken stehen nützliche Haushaltshelfer, Entertainment-Geräte, Gesundheitsprodukte oder Technikspielereien für Alt und Jung hoch im Kurs. Ein Grund für das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein, die Kategorien typischer Präsente aus Datenschutzsicht unter die Lupe zu nehmen und Hinweise zu geben. Marit Hansen, die Leiterin des ULD Schleswig-Holstein, erläutert: "Selbstverständlich ist nicht jedes Weihnachtsgeschenk mit einem Datenschutz-Risiko verbunden. Aber man sollte bei technischen Produkten mindestens Folgendes prüfen: Werden Daten gespeichert und übertragen? Wenn ja: An wen und zu welchem Zweck? Kann man solche Datensammlungen und -weiterleitungen verhindern?"

  • Datenschutz: Betriebe müssen künftig umdenken

    Werden personenbezogene Daten im Auftrag für ein anderes Unternehmen verarbeitet, spricht das Bundesdatenschutzgesetz (BDSG) von der Auftragsdatenverarbeitung. Es verpflichtet den Auftraggeber, einen Vertrag mit dem Dienstleister zu schließen und diesen regelmäßig und wiederholt hinsichtlich der getroffenen technischen sowie organisatorischen Maßnahmen zum Datenschutz zu prüfen. Die Ergebnisse des Datenschutzindikators (DSI) von TÜV SÜD und LMU München zeigen aber, dass 41 Prozent der Befragten keine entsprechenden Verträge abgeschlossen haben und nur gut ein Drittel (36 Prozent) regelmäßig kontrolliert, ob ihre externen Dienstleister die Datenschutzpflichten einhalten.