- Anzeigen -

Sie sind hier: Home » Markt » Hinweise & Tipps

Auslagerungsmanagement von Banken


Finanzmarkt-Compliance: Auslagerungen von Finanzinstituten werden stärker reguliert
TME Institut rät Banken zur frühzeitigen Anpassung an die Novellierung der MaRisk AT9

- Anzeigen -





Wie Unternehmen anderer Branchen auch lagern Geldinstitute einige Aufgaben oder Organisationseinheiten aus. Sie sind allerdings darin nicht völlig frei, sondern müssen sich an gesetzliche Vorschriften halten. Mit der Novellierung der MaRisk (Mindestanforderungen an das Risikomanagement) AT 9 erhöht die BaFin die regulatorischen Vorgaben für das Auslagerungsmanagement von Banken. "Man trägt damit dem verstärkten Risikobewusstsein, das die Ereignisse der letzten Jahre geschaffen haben, Rechnung", sagt Thomas Deibert vom TME Institut. Er empfiehlt frühzeitiges Handeln, um die novellierte MaRisk zeitgerecht zu erfüllen. Voraussichtlich wird deren finale Fassung noch im Frühjahr 2017 veröffentlicht.

Die BaFin will mit der Novellierung die effektive Steuerung und Überwachung von Auslagerungsrisiken sicherstellen. Um das zu erreichen, wurde beispielsweise klarer als zuvor definiert, was überhaupt als Auslagerung zu betrachten ist. Auch fremdbezogene Software – etwa für die Überwachung von Risiken oder auch für die Durchführung von Bankgeschäften – gilt nun als Auslagerung und nicht als sonstiger Fremdbezug. "Banken sind damit gezwungen, eingekaufte Software inklusive deren Weiterentwicklung und Pflege in ihren Regelprozess zur Steuerung der Risiken einzubinden", so Deibert, der zusammen mit Sebastian Heinzelbecker und Jan Franz von der TME ein Whitepaper zum Thema MaRisk AT 9 verfasst hat. "Der Mehraufwand für die Geldinstitute wird steigen."

Diese Konsequenz haben laut TME Institut auch weitere Vorschriften der Novellierung. Risikokonzentrationen aus Auslagerungen und Risiken aus Weiterverlagerungen müssen in Zukunft im Rahmen der Risikoanalysen berücksichtigt werden – und diese sind sowohl regelmäßig als auch anlassbezogen zu erstellen. Für die Auslagerbarkeit von Kontroll- oder Kernbankbereichen stellt die MaRisk AT 9 Bedingungen auf. Aktivitäten und Prozesse etwa in den Bereichen Compliance oder Risikocontrolling dürfen nur an Dritte vergeben werden, wenn die Bank sie jederzeit wieder selbst übernehmen könnte. Ergo: Das Institut muss Know-how für die abgegebenen Aufgaben vorhalten. Hinzu kommen Konkretisierungen für einzelne Bereiche: Die Risikocontrolling-Funktion darf nicht mehr vollständig ausgelagert werden, die Compliance-Funktion und die Interne Revision nur in kleineren Instituten.

Erhöhte Anforderungen an Ausstiegsstrategien
Für den Fall der erwarteten oder beabsichtigten ebenso wie für eine unerwartete oder unbeabsichtigte Beendigung müssen Maßnahmen im Rahmen des Business Continuity Managements festgelegt werden. Dies war bereits vor der Novellierung so, doch nun sind explizite Ausstiegsprozesse zu dokumentieren, zu verabschieden und auf ihre Wirksamkeit zu überprüfen. Zu den Aufgaben eines zentralen Auslagerungsmanagements, das künftig Pflicht wird, zählt u. a. die Überwachung des korrekten Umgangs mit den Ausstiegsprozessen. Und wenn der Auftragnehmer, der eine Tätigkeit für das Geldinstitut übernommen hat, diese weiterverlagern möchte? Deibert: "Auch das ist reguliert.

Das Geldinstitut muss im Vorhinein konkrete Voraussetzungen festlegen, unter denen sein Auftragnehmer bestimmte Arbeiten weitergeben darf. Oder aber es hat das Recht, seine Zustimmung zu verweigern." Darüber hinaus hat die BaFin stets uneingeschränkte Informations- und Prüfungsrechte.

Als besonders wesentliche Neuerung erachtet Deibert die Vorschrift, das bereits erwähnte zentrale Auslagerungsmanagement (ZAM) zu etablieren. Hier gehe es vor allem um den Kontroll- und Überwachungsprozess sowie die Dokumentation von Auslagerungen inklusive Weiterverlagerungen. Das ZAM soll zudem die Einhaltung institutsinterner Anforderungen und gesetzlicher Vorgaben garantieren. Mindestens einmal jährlich erstellen die für das ZAM Verantwortlichen einen Bericht, in dem sie unter anderem Qualität und Steuerungsmöglichkeiten der ausgelagerten Aktivitäten analysieren. Dies dient der Information der Führungsebene – bis hin zum Vorstand – über die Risikosituation des Unternehmens.

Compliance durch Vier-Phasen-Modell gewährleisten
Die neue MaRisk AT 9 sei eine große Herausforderung für Geldinstitute, so Heinzelbecker. Zu deren Bewältigung sei es zum einen nötig, frühzeitig zu untersuchen, wo genau Handlungsbedarf besteht. Zudem hat die TME AG ein Vier-Phasen-Modell entwickelt, das sich durch einen ganzheitlichen Ansatz auszeichnet und den gesamten Zyklus einer Auslagerung abdeckt. In Phase 1 wird im Rahmen eines Quick-Checks der auslagernden Fachbereiche der Auslagerungstatbestand untersucht. Hierfür wird auch das komplette Vertragswerk überprüft und bei Bedarf aktualisiert. Anschließend geht es in Phase 2 um die Risikoanalyse und Szenarien zur unterbrechungsfreien Sicherstellung der ausgelagerten Dienstleistungen.Im Zentrum von Phase 3 stehen die Implementierung und Unterstützung des ZAM sowie die Steuerung des Dienstleisters und die Sicherstellung der Kontinuität der Leistungserbringung. Phase 4 schließlich befasst sich mit der Beendigung von Auslagerungen und mündet in die Verabschiedung von Ausstiegsprozessen.

"Nach unseren Erfahrungen ist ein solch strukturiertes Vorgehen nötig, um Effektivität Compliance im wichtigen Feld des Auslagerungsmanagements zu gewährleisten. Und das gilt durch die Novellierung der MaRisk AT 9 noch mehr als zuvor", betont Heinzelbecker.
(TME Institut für Vertrieb und Transformationsmanagement: ra)

eingetragen: 31.01.17
Home & Newsletterlauf: 21.02.17

TME Institut: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Kreditnehmer: Verträge sorgfältig prüfen lassen

    Die weit überwiegende Anzahl der Widerrufsbelehrungen in Altverträgen, die zwischen dem 01.09.2002 und dem 10.06.2010 abgeschlossen worden sind, ist bekanntermaßen fehlerhaft. Auch neuere Verträge mit sogenannten Widerrufsinformationen erfüllen oftmals nicht die gesetzlichen Voraussetzungen und können daher auch heute noch wirksam widerrufen werden. "Eine sorgfältige Prüfung der Vertragsunterlagen lohnt sich daher weiterhin", empfehlen Dr. Marcus Hoffmann und Mirko Göpfert, Partner der im Bank- und Kapitalanlagerecht tätigen Kanzlei Dr. Hoffmann & Partner Rechtsanwälte aus Nürnberg. Bei älteren Verträgen kann das Widerrufsrecht bereits erloschen sein, wobei Art. 229 § 38 Abs. 3 EGBGB nicht etwa pauschal für sämtliche Immobilienkredite, sondern nur unter bestimmten und im jeweiligen Einzelfall zu prüfenden Voraussetzungen gilt. Bei Neuverträgen seit dem 11.06.2010 greift die Erlöschensvorschrift jedenfalls unzweifelhaft nicht. "Jeder Verbraucher kann seinen Vertrag daher auch heute noch wirksam widerrufen, falls die Bank die gesetzlichen Vorgaben nicht eingehalten hat", stellt Rechtsanwalt Dr. Hoffmann klar.

  • EU-Roaming nur auf Abruf

    Mit dem Wegfall der Roaming-Gebühren seit dem 15. Juni 2017 dürfen keine zusätzlichen Entgelte mehr für Gespräche aus dem EU-Ausland nach Deutschland erhoben werden. Telefonieren, SMS schreiben und surfen kostet im EU-Ausland nun so viel wie zu Hause. Die O2-Kunden des Telekommunikationsunternehmens Telefonica sollen von dem Wegfall aber erst dann profitieren dürfen, wenn sie zuvor eine SMS an ihren Anbieter schicken. Diese Vorgehensweise will der vzbv nun gerichtlich untersagen lassen. "EU-Roaming gilt aus Sicht des vzbv automatisch und nicht erst, wenn Verbraucher ihren Telefonanbieter darum bitten. Wir sehen uns darin durch öffentliche Erklärungen der Europäischen Kommission bestätigt", sagt Heiko Dünkel, Rechtsreferent beim vzbv. "Nach einer erfolglosen Abmahnung wird der vzbv deshalb nun gerichtliche Schritte gegen O2 einleiten."

  • Rechtssichere IT-Security-Lösungen

    Am 27. Juli 2017 entschied das Bundesarbeitsgericht, dass ein zu weitreichendes Keylogging einen zu starken Eingriff in die Persönlichkeitsrechte des Arbeitnehmers darstellt. Nach § 32 Abs. 1 des Bundesdatenschutzgesetzes (BDSG) ist dies unzulässig, "wenn kein auf den Arbeitnehmer bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht." Gewonnene Erkenntnisse aus dem zugrunde liegenden Fall, bei dem der Angestellte zwar über eine Überwachung informiert war, letztendlich jedoch jeder seiner Tastenschläge aufgezeichnet wurde und zudem eine Spähsoftware den Bildschirm überwachte, waren somit nicht rechtstauglich verwertbar. Dies hätte sich anders dargestellt, wären nur tatsächliche kritische Tätigkeiten an Unternehmensdaten aufgezeichnet worden.

  • Autokauf und Finanzierung

    Bei Baufinanzierungen ist mittlerweile bekannt, dass der Widerruf zu erheblichen wirtschaftlichen Vorteilen führt. Bei sonstigen Verbraucherdarlehen führt der so genannte "Widerrufsjoker" in der öffentlichen Diskussion eher ein Schattendasein. Zu Unrecht. "Denn insbesondere beim finanzierten Autokauf kann der Widerruf des Darlehens für den Verbraucher wirtschaftlich äußerst interessant sein", erklären Dr. Marcus Hoffmann und Mirko Göpfert, Partner der im Verbraucherschutzrecht tätigen Kanzlei Dr. Hoffmann & Partner Rechtsanwälte aus Nürnberg. Viele Besitzer von Dieselautos sind aufgrund des Abgasskandals verunsichert. Wer sein Auto loswerden will, kann den Hersteller oder den Händler in Anspruch nehmen. Auch wenn die Gerichte in letzter Zeit zunehmend zugunsten betroffener Käufer urteilen, sind Rücktritts- und Schadensersatzprozesse aufwendig und dementsprechend oftmals langwierig. Eine abschließende Klärung der inmitten stehenden Rechtsfragen durch den Bundesgerichtshof steht noch aus.

  • Kein Verzicht auf Verschlüsselung

    Daten sind längst zum Unternehmenswert geworden: Wer sie speichert und richtig verarbeitet, kann mit ihrer Hilfe werben und seine Gewinne steigern. Diese Relevanzsteigerung hat aber eine Konsequenz zur Folge: Wer Daten will, muss sie auch schützen. Selbst wer keinen Online-Shop, sondern lediglich eine Info-Site mit Kontaktformular unterhält, ist in der Pflicht, dem Datenschutz einen hohen Stellenwert einzuräumen. Die Ergebnisse einer Searchmetrics-Analyse, weltweit führender Anbieter einer Search- und Content-Performance-Plattform, lässt da bei IT-Sicherheitsexperte Christian Heutger die Alarmglocken schrillen: Nur 12 Prozent der E-Commerce- und Publisher-Seiten in Googles Suchergebnissen kommunizieren per HTTPS mit dem Browser. Nur etwas besser sieht es bei den Finanz- und Reise-Websites aus: Hier setzen immerhin 29 und 23 Prozent auf eine HTTPS-Verbindung.