Aufrufe
vor 5 Jahren

RISIKO MANAGER 08.2018

  • Text
  • Banken
  • Anforderungen
  • Auslagerungen
  • Risiko
  • Auslagerung
  • Token
  • Unternehmen
  • Vorgaben
  • Insbesondere
  • Ifrs
RISIKO MANAGER ist das führende Medium für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen. Mit Themen aus den Bereichen Kreditrisiko, Marktrisiko, OpRisk, ERM und Regulierung vermittelt RISIKO MANAGER seinen Lesern hochkarätige Einschätzungen und umfassendes Wissen für fortschrittliches Risikomanagement.

34

34 RISIKO MANAGER 08|2018 gregation und Risikoreporting („BCBS Im Spiegel von deutscher Aufsicht, EZB und Baseler Ausschuss Outsourcing – Überblick über die neuen EBA-Vorgaben Am 22. Juni 2018 hat die Europäische Bankenaufsichtsbehörde EBA einen 62-seitigen Textentwurf zur Überarbeitung ihrer Outsourcing-Guidelines aus dem Jahr 2006 veröffentlicht. Die Konsultationsphase der EBA-Guidelines endet am 24. September 2018. Der Leitlinienentwurf nennt den 30. Juni 2019 als indikativen Umsetzungstermin für die neuen Vorgaben. Dennoch sollte der EBA-Entwurf bereits berücksichtigt werden bei der Umsetzung der verschärften Anforderungen an die Steuerung von Auslagerungen im Rahmen der 5. MaRisk-Novelle, die bis 31. Oktober 2018 abgeschlossen sein muss. Gleiches gilt für die vom Baseler Ausschuss für Bankenaufsicht bereits im Jahr 2017 veröffentlichten Vorgaben an international tätige Banken zum sogenannten Step-in Risk (Stützungsrisiko). I. Inhalt, Geltungsbereich und Umsetzungsfrist der EBA- Guidelines im Überblick Die „EBA Draft Guidelines on Outsourcing arrangements“ (EBA/CP/2018/11) basieren auf der Bankenrichtlinie sind aber nicht nur an CRR-Institute und Wertpapierfirmen, sondern auch an Zahlungsinstitute gemäß PSD2-Definition und E-Geldinstitute gemäß E-Geld-Richtlinie gerichtet. 1 Auch aufgrund des erweiterten Geltungskreises ist der Grundsatz der Proportionalität bei der Umsetzung sehr wichtig, was aber zu Unsicherheiten über die aufsichtlichen Erwartungen zu Umfang und Schärfe der Umsetzung führen kann. Gemäß den Klarstellungen der deutschen Aufsicht im BaFin-Journal vom Februar 2018 besitzen EBA-Leitlinien nun automatisch Gültigkeit und erfordern, im Gegensatz zur bisherigen Rechtspraxis, keine gesonderte Umsetzung in deutsche Rechtsnormen wie die MaRisk. Aus diesem Grund ist die Analyse der EBA-Vorgaben zum Outsourcing auch für kleinere Institute sinnvoll. Der aktuelle EBA-Konsultationsentwurf beinhaltet viele neue Vorgaben zur Outsourcing-Governance sowie den Gren- zen der Auslagerungen 2 und integriert die am 20. Dezember 2017 veröffentlichte EBA-Empfehlung zum Outsourcing an Cloud-Service-Provider. 3 Dabei wird mit den neuen Vorgaben zur Identifizierung von „kritischen und wichtigen ausgelagerten Aktivitäten“ auch die Verknüpfung zur Sanierungs- und Abwicklungsplanung geschaffen. Die EBA sieht auch Handlungsbedarf aufgrund der zunehmenden Bedeutung von Auslagerungen für den Zugriff auf neue IT-Techniken und des hohen Kostendrucks im Finanzsektor. 4 Zudem äußert die EBA Besorgnis hinsichtlich der möglichen Konzentration von Auslagerungen gegenüber einzelnen Unternehmen. 5 Als Umsetzungsdatum der neuen Anforderungen schlägt der Leitlinienentwurf den 30. Juni 2019 für neue Auslagerungsvorhaben und Outsourcing an Cloud-Dienstleister vor. Für bereits bestehende Auslagerungen können die neuen Dokumentationsanforderungen im Zuge der turnusgemäßen Anpassung der Auslagerungsvereinbarungen umgesetzt werden. Dies muss spätestens jedoch bis 31. Dezember 2020 erfolgen. Neben der EBA hat auch die EZB eigene Regelungen zu Auslagerungen avisiert. 6 Darüber hinaus sind die Vorgaben des Baseler Ausschusses zu Risikodatenag- 239“) sowie die regelmäßigen Umsetzungsreports des Basel Committee zu BCBS 239 lesenswert ebenso wie die Baseler Vorgaben zum Step-in Risk, 7 um miteinander überlappende Anforderungen, die potenziell bankintern in unterschiedlichen Projekten implementiert werden, zueinander konsistent umzusetzen. Abb. 01 verdeutlicht die Vielzahl der Regelungen. In der MaRisk-Umsetzung bestehen viele Synergiemöglichkeiten, wenn die Risikoanalysen für Auslagerungen gemäß AT 9 und operationelles Risiko gemäß BTR 4 mit der für die Notfallplanung gemäß AT 7.3 notwendigen Kritikalitätsanalyse und den Analysen für die Anpassungsprozesse gemäß AT 8 (d. h. insbesondere Neue-Produkt-Prozess sowie wesentlichen Änderungen in der Aufbau- und Ablauforganisation gemäß AT 8.2 MaRisk) verbunden werden. Darüber hinaus sollten das operationelle Risikomanagement gemäß BTR 4 MaRisk, das IT-Risikomanagement gemäß AT 7.2 und das zentrale Auslagerungsmanagement gemäß AT 9 bei IT-Auslagerungen eng zusammenarbeiten. 8 Während im Strategieprozess über die IT-Strategie hinaus auch eine besondere Auslagerungsstrategie 9 sinnvoll ist, ist eine separate Einbeziehung

ERM 35 Abb. 01 Instrument Relevante Regelungs- und Themenbündel für das Auslagerungsmanagement Nationales Recht Primäres EU-Recht & EBA-Vorgaben EZB & Baseler Ausschuss Kreditwesengesetz: ÿ ÿ ÿ ÿ § 25b KWG: Ordnungsgemäße Geschäftsorganisation; angemessenes & wirksames Risikomanagement; Verordnungsermächtigung § 25c Abs. 4a Nr. 6 KWG: Geschäftsleitung muss im Rahmen ihrer Gesamtverantwortung angemessene Verfahren und Prozesse für Auslagerungen sicherstellen (fällt unter Strafvorschriften des § 54a KWG) MaRisk 6.0 vom 27. Oktober 2017: ÿÿ AT 2.2 Risiken (mit Risikoinventur & Konzentrationen) ÿÿ AT 4.2 Strategien (Risikoappetit, IT-Strategie) ÿÿ AT 7.2 technisch-organisatorische Grundausstattung (Anforderungen an IT-Systeme, -Prozesse & -Risikomanagement) ÿÿ AT 7.3 Notfallkonzept ÿÿ AT 8 Anpassungsprozesse ÿÿ AT 9 Auslagerung (Risikoanalyse, Risikosteuerung, Zentrales Auslagerungsmanagement & Auslagerungsbericht, Auslagerungsvertrag, Exit-Strategie, Softwarebezug) ÿÿ BT 4 Operationelle Risiken BAIT 1.0 vom 03. November 2017: ÿÿ Abschnitt 8 mit Anforderungen an Auslagerungen und sonstigen Fremdbezug von IT-Dienstleistungen, v. a. Risikobewertung für jeden Fremdbezug von IT-Dienstleistungen, Vertragsübersicht und Leistungsüberwachung Quelle: © Buchmüller/Rambock, www.marisk.academy Relevante EU-Richtlinien und Verordnungen: ÿÿ RL 2013/36/EU (CRD) für Kreditinstitute & Wertpapierfirmen ÿÿ RL 2014/65/EU (MiFID), RL 2009/110/EC (E-Geldrichtlinie), RL 2015/2366/EU (PSD2) für Zahlungsinstitute und E-Geldinstitute ÿÿ RL 2014/59/EU (BRRD), VO 2016/679/EU (DSGV) EBA Outsourcing GL Entwurf vom 22. Juni 2018: ÿÿ ÿÿ ÿÿ ÿÿ Weitere relevante EBA-Guidelines: ÿÿ ÿÿ ÿÿ Verschärfte Governance-Anforderungen Regel-Reporting für Auslagerungen im Rahmen des SREP Vorgaben zur Prüfung, ob „critical or important“ (ähnlich zur Wesentlichkeitsanalyse gemäß AT 9, Tz. 2 MaRisk) Vorgaben zu Conflict of Interest, Pre-Outsourcing Analysis und zahlreichen weiteren Punkten auf 62 Entwurfsseiten GL on ICT Risk Assessment under the SREP vom 11. September 2017: Auslagerungsrisiko als eigener Teil der Informations- und Kommunikationsrisiken (IKT), Berücksichtigung der IKT-Risikosteuerung des Auslagerungsunternehmens vor Entscheidung über wesentliche Auslagerung & regelmäßige Überwachung der IT-Risikosteuerung des Auslagerungsunternehmens GL on Internal Governance vom 26. September 2018: Vorgaben zur Outsourcing Policy SREP-Guidelines vom 19. Juli 2018: Auslagerungen sind Teil der SREP-Prüfung v. a. in Teilbereichen Internal Governance / interne Kontrollen & ICAAP / OpRisk Basel Committee (für international tätige Institute): ÿÿ ÿÿ BCBS 239 vom Januar 2013: Vorgaben zu Risikodatenaggregation & Risikoberichterstattung, betrifft auch Auslagerungen mit Bezug zu Berichterstattungssystemen und -prozessen Step-in Risk Guidelines, 10/2017: Vorgaben zu Identifikation, Steuerung & Reporting des „Stützungsrisikos” v. a. bzgl. Schattenbanken, die von einer Bank potenziell auch ohne vertragliche Verpflichtung, z. B. aus Reputationsgründen, unterstützt werden könnten. European Central Bank (für wesentliche Institute): ÿÿ ÿÿ ICAAP / ILAAP Guides, Entwürfe vom 02. März 2018 Outourcing Guide, Entwurf in 2018 in die Risikotragfähigkeit gemäß AT 4.1 bzw. gar die Definition von Auslagerungen als eigenständige wesentliche Risikoart unüblich und nicht sinnvoll. Risiken aus Auslagerungen sollten hingegen in die üblichen Hauptrisikoarten, d. h. insbesondere das operationelle Risiko und dessen Unterarten Rechts- und IT-Risiken, integriert werden. II. Outsourcing-Governance 1. Die verschärften Anforderungen an die Outsourcing-Governance im Überblick Oftmals übersehen wird, dass bereits die am 26. September 2017 in finaler Form veröffentlichten EBA Guidelines on Internal Governance in knapper Form in Abschnitt 8 Vorgaben zu den Inhalten der Outsourcing-Policy enthalten. Auch in den am 11. September 2017 veröffentlichten EBA-Leitlinien für die IKT-Risikobewertung im SREP wird auf Auslagerungen eingegangen: Tz. 60a der Guidelines fordert, dass die Risiken der Auslagerungen der Informations- und Kommunikationstechnologie (IKT) bei der Entscheidung über eine Auslagerung bzw. einen Fremdbezug angemessen berücksichtigt werden. Dabei soll auch die IKT-Risikopolitik sowie das entsprechende Kontrollumfeld des Outsourcing-Providers inklusive dessen Vereinbarkeit mit dem Risikoappetit der Bank berücksichtigt werden. 10 Die diesbezüglichen Analysen sollen entsprechend dokumentiert und regelmäßig während der Laufzeit der Auslagerung aktualisiert werden. Streng genommen sind die SREPund IKT-Risikoleitlinien nur an die Aufsicht gerichtet. Da sie aber als Leitlinien für die Verhängung von SREP-Zuschlägen sowie weitere aufsichtliche Maßnahmen gelten, entfalten die Vorgaben dieser EBA-Regelungstexten indirekt auch eine Bindungswirkung gegenüber den dem SREP unterliegenden Banken. Abschnitt 4 des vorliegenden Entwurfs der EBA-Leitlinien zum Outsourcing listet auf knapp zwei Seiten die notwendigen Bestandteile der bankinternen Outsourcing Policy auf und verweist dabei mehrfach auf die Internal Governance Guidelines, u. a. auch auf deren Vorgaben zum Neue-Produkt-Prozess und Änderungen interner Prozesse, die bereits auch in AT 8.1 bzw. 8.2 der MaRisk enthalten sind. Neu in dieser Klarheit gegenüber den MaRisk ist die Vorgabe von Prozessen zur regelmäßigen Bewertung der Performance und Risiken des Outsourcing-Providers. Dies ist in Abschnitt 11 des Leitlinienentwurfs näher beschrieben und betrifft auch das Einfordern regelmäßiger Berichte des Auslagerungsunternehmens und die Definition und Überwachung von Key Performance Indicators sowie Key Control Indicators. Ebenfalls neu ist die Vorgabe in Tz. 36 des Leitlinienentwurfs, dass die in der Outsourcing Policy enthaltenen Prozesse abgestuft werden müssen – nicht nur nach der Wesentlichkeit der Auslagerung, sondern auch danach, ob der Outsourcing Provider ein

RISIKO MANAGER

 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.