Aufrufe
vor 5 Jahren

RISIKO MANAGER 08.2018

  • Text
  • Banken
  • Anforderungen
  • Auslagerungen
  • Risiko
  • Auslagerung
  • Token
  • Unternehmen
  • Vorgaben
  • Insbesondere
  • Ifrs
RISIKO MANAGER ist das führende Medium für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen. Mit Themen aus den Bereichen Kreditrisiko, Marktrisiko, OpRisk, ERM und Regulierung vermittelt RISIKO MANAGER seinen Lesern hochkarätige Einschätzungen und umfassendes Wissen für fortschrittliches Risikomanagement.

36

36 RISIKO MANAGER 08|2018 terliegt den allgemeinen Anforderungen an aufsichtlich überwachtes Unternehmen ist, es sich um gruppeninterne Auslagerungen handelt und die Auslagerung innerhalb oder außerhalb der EU bzw. des Europäischen Wirtschaftsraums stattfindet. Sofern bei gruppeninternen Auslagerungen signifikante Interessenskonflikte zwischen den gruppenangehörigen Unternehmen bestehen, müssen entsprechende Maßnahmen zum Management dieser Konflikte ergriffen werden (z. B. Arm’s Length Principle). Ebenfalls weit ausführlicher als in den MaRisk sind die Dokumentationsvorgaben in Abschnitt 8 der Outsourcing Leitlinien. Hier sind zahlreiche Einzeldaten für jede Auslagerung und alle Outsourcing-Provider zu erheben sowie darüber hinaus zusätzliche Informationen für Cloud-Auslagerungen und kritische / wichtige Auslagerungen zentral vorzuhalten. Aufbauend auf den Dokumentationsanforderungen sind die nachfolgend beschriebenen Anforderungen an ein neues EU-weit einheitliches Reporting zu Auslagerungen gestaltet. 2. Das neue Reporting zu Auslagerungen Ein Kern der neuen EBA-Guidelines ist das Reporting Template, mit dem das geforderte Register aller Auslagerungen in standardisierter Form regelmäßig der Aufsicht übermittelt werden soll. Dies soll im Rahmen des SREP erfolgen und wäre somit von allen Instituten zumindest alle drei Jahre und bei größeren Instituten bzw. Unternehmen mit besonderer Risikorelevanz jährlich zu liefern. Das Reporting Template der EBA ist so umfangreich, dass es quasi als zentrales Dokument für das gemäß Abschnitt 8 des Leitlinienentwurfs geforderte Outsourcing-Register dienen kann. Abb. 02 stellt überblicksartig die in dem Template geforderten Informationen dar. Bei der Auflistung der Auslagerungen sollten die Institute gleich auch prüfen, ob möglicherweise auch zu Unternehmen des Schattenbankensektors, die in den Step-in- Risk Guidelines des Baseler Ausschuss genannt sind, Auslagerungsbeziehungen bestehen können. Dies sind insbesondere nicht konsolidierte Special Purpose Vehicles (SPV) zur Kapitalanlage oder Refinanzierung, wie z. B. Fondsanlagevehikel wie Real Estate Investment Trusts (REITs) oder Exchange Traded Funds (ETF), zu denen im Regelfall allerdings lediglich Finanzierungsbeziehungen, nicht jedoch Auslagerungsbeziehungen bestehen. Sofern hierzu dennoch eine Auslagerungsbeziehung besteht, könnten die bis spätestens 2020 umzusetzenden Anforderungen an das Reporting und die Risikosteuerung im Rahmen der „Step-in Risk-Vorgaben“ in Verbindung mit dem Auslagerungsmanagement umgesetzt werden. 11 3. Anforderungen an IT-Dienstleistungen Bereits die jüngste MaRisk-Novelle vom 27. Oktober 2017 und die Bankaufsichtlichen Anforderungen an die IT (BAIT) vom 03. November 2017 stellen neue Anforderungen an die Risikosteuerung von IT-Auslagerungen und den (sonstigen) Bezug von IT-Dienstleistungen inklusive Softwarekauf. Abschnitt 8 der BAIT verweist auf die Vorgaben von AT 9 MaRisk zur Auslagerung von IT-Dienstleistungen und ergänzt, dass dies auch für sogenannte Cloud-Dienstleistungen gilt. 12 Sonstiger Fremdbezug von IT-Dienstleistungen un- die Ordnungsmäßigkeit der Geschäftsorganisation gemäß §25a Abs. 1 KWG sowie den spezifischen Anforderungen gemäß AT 7.2. Konkret fordert Tz. 53 der BAIT eine spezifische Risikobewertung für jeden Fremdbezug von IT-Dienstleistungen unter Einbindung der für Informationssicherheit und Notfallmanagement verantwortlichen Funktionen des Instituts und wiederholt damit die diesbezüglichen Anforderungen in AT 7.2. Tz. 4 Satz 2 MaRisk. AT 7.2 MaRisk fordert im Rahmen des IT-Risikomanagements die Orientierung an gängigen Standards, z. B. am IT-Grundschutzkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) und dem internationalen Sicherheitsstandard ISO/IEC 2700X der International Organization for Standardization. Eine Zertifizierung ist dabei nicht gefordert, dennoch sollte bankintern dokumentiert werden, dass wesentliche Inhalte der gängigen Standards erfüllt sind. Dies betrifft insbesondere die in AT 7.2. MaRisk genannten Bereiche Berechtigungsmanagement, Datenschutz/-Datensicherheit, Testmanagement und generelles Risikomanagement. Ebenso wenig wie die besonderen Vorgaben zur Behandlung von Softwarebezug und Unterstützungsleistungen in den Erläuterungen zu AT 9 Tz. 1 MaRisk sind die in den deutschen BAIT enthaltenen Themengebiete in den EBA Outsourcing Guidelines besonders adressiert. Insofern kommt es im Bereich IT-Auslagerungen zu keiner Verschärfung gegenüber den EBA- Leitlinien zur Behandlung des Informations- und Kommunikationstechnologierisikos im SREP und geltenden Vorgaben des deutschen Aufsichtsrechts. Abb. 02 Instrument Klassifizierung & Reporting von Auslagerungen gemäß Entwurf der EBA Outsourcing Guidelines Kerninhalte des neuen EBA-Reportings gemäß Datenfeldern des Draft Reporting-Template: ÿÿ Einstufung in vorgegebene Auslagerungskategorien (9 Haupttypen, z. B. Risk Management und 41 Untertypen, z. B. Treasury Backoffice) ÿÿ Kurzbeschreibung der Auslagerung und bankintern Verantwortlichen für die Beschlussfassung über Freitextfelder ÿÿ LEI des Auslagerungsunternehmens und der bankinternen auslagernden Einheit, Sitzland der betroffenen Unternehmen sowie Land der Datenspeicherung & Leistungserbringung ÿÿ Voraussichtliche Kosten der Auslagerung, einschlägiges nationales Recht für den Auslagerungsvertrag ÿÿ Ergebnis der Wesentlichkeitseinstufung („critical“ or „important“) ÿÿ Zusatzangaben für kritische oder wichtige Cloud-Auslagerungen zu (vertraglichem) Anfangs-/Enddatum der Auslagerung, Daten der Revisionsprüfungen und Risikoanalysen, Beschreibung des Ergebnisses der Risikoanalyse, Substituierbarkeit, Nennung von potenziellen Alternativanbietern sowie Einstufung der Zeitkritikalität Quelle: © Buchmüller/Rambock, www.marisk.academy

ERM 37 Instrument Abb. 03 Umsetzung EBA-Leitlinien zum Outsourcing (Konsultationsentwurf vom 22. Juni 2018) Betrifft alle Kreditinstitute, Wertpapierfirmen, Zahlungsinstitute sowie E-Geldinstitute Voraussichtlich bis zum 30. Juni 2019 umzusetzen Wesentliche Anforderungen konsistente Herleitung der Auslagerungsstrategie aus der Geschäfts- bzw. Risikostrategie sowie Abstimmung mit der IT-Strategie angemessene Berücksichtigung des Risikos bei Entscheidungen zu Auslagerungen und Fremdbezügen dedizierte und wiederkehrende Analyse der Risikopolitik und des Kontrollumfelds des Outsourcing-Providers sowie Beurteilung der Vereinbarkeit mit dem Risikoappetit des auslagernden Instituts Klassifikation des Outsourcing-Providers Klassifikation der Auslagerung Verpflichtung eine Risikoanalyse grundsätzlich bei allen Leistungsbezügen von Dritten (auch Fremdbezügen) durchzuführen Prozess zur regelmäßigen Leistungsüberwachung des Outsourcing-Providers durch das auslagernde Institut Aufbau eines Reportings zur Erfüllung der Meldepflicht an das Auslagerungsregister der Finanzaufsicht Überprüfung / Verpflichtung des Outsourcing-Providers auf Einhaltung von Informationssicherheitsstandards Berücksichtigung der Anforderungen an Auslagerungsverträge (insbes. Zugangs-/Zugriffsrechte; Informations-/Auskunftsrechte u. ä.) Vorhalten einer Exitstrategie Betroffene Funktionen Risikocontrolling (insbes. OpRisk) Beschaffungswesen IT / IT-Risikomanagement Auslagerungsmanagement Notfallmanagement / BCM Recht / Vertragsmanagement Geschäftsleitung Interne Revision Compliance IT-Sicherheitsbeauftragter Datenschutzbeauftragter betroffene Fachbereiche Hinweise zur Umsetzung Beachten Sie die Mindestanforderungen an die Dokumentation in Abschnitt 8 Der Umfang sowie der Fokus der Risikoanalyse des Outsourcing-Providers muss sich auch an seiner Klassifikation orientieren Bei der Klassifikation einer Auslagerung (Wesentlichkeitseinstufung) kann es im Fall einer gruppeninternen Auslagerung zu abweichenden Einstufungen nach MaRisk (nicht wesentlich) und EBA-Leitlinie (wesentlich) kommen. Prüfen Sie ggf. die Inanspruchnahme von Ausnahmeregelungen (Waiver) Für die Risikoanalyse sollten Sie, wenn möglich, auf bereits vorhandene Analysen (OpRisk Assessment; BIA; NPP etc.) zurückgreifen Das Thema Outsourcing wird von einer ganzen Reihe von Normen adressiert. Verschaffen Sie sich zunächst einen Überblick und betrachten Sie das Thema ganzheitlich Quelle: © Buchmüller/Rambock, www.marisk.academy III. Wesentlichkeitseinstufung von Auslagerungen & Risikoeinstufung 1. Erfassung und Wesentlichkeitseinstufung von Auslagerungen Die Definition der Auslagerungstatbestände in AT 9 Tz. 1 MaRisk geht in ihrem Detailgrad weit über den Entwurf der EBA-Guidelines hinaus. Da sich beide Definitionen nicht widersprechen, ist somit lediglich ein Hinweis in der bankinternen Dokumentation notwendig, dass die EBA-Vorgaben in Tz. 11 sowie 22f des Entwurfs bei der institutsinternen Erfassung von Auslagerungen ebenfalls berücksichtigt sind. In den Outsourcing-Guidelines wird auf den Fremdbezug von IT-Dienstleitungen nicht gesondert eingegangen. Dies erscheint eine pragmatische Lösung, da gleichzeitig gemäß Tz. 23 des Leitlinien-Entwurfs alle Leistungsbezüge von Dritten in die OpRisk-Analysen und das laufende Risikomanagement aufzunehmen sind und somit die gemäß MaRisk für Auslagerungen durchzuführende Risikoanalyse grundsätzlich bei allen Vereinbarungen mit dritten Kontrahenten erforderlich ist. Allgemein erscheint die Definition von Auslagerungen in den EBA-Guidelines so weit und vage, dass sie am besten mit den präzisieren Vorgaben der MaRisk operationalisiert werden kann. Die EBA-Guidelines unterscheiden zwischen Outsourcing of „critical or impor- tant functions“ oder sonstigen Auslagerungen. Auch wenn dies ähnlich wie die wesentlichen Geschäftsaktivitäten und kritischen Funktionen der Sanierungsplanung nach dem Sanierungs- und Abwicklungsgesetz klingt (vgl. §13 Abs. 2, Nr. 2b SAG), entspricht diese Unterscheidung den Folgen nach, der gemäß AT 9.2. Tz. 2 MaRisk erforderlichen Prüfung der Wesentlichkeit einer Auslagerung nach Risikogesichtspunkten. 13 Ebenso wie eine wesentliche Auslagerung nach MaRisk erfordert die Auslagerung von „critical or important functions“ gemäß Outsourcing Guidelines eine stärkere Risikosteuerung einer Auslagerung, insbesondere die Entwicklung einer Exit-Strategie (vgl. AT 9 Tz. 6 MaRisk).

RISIKO MANAGER

 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.