24.04.2018

Compliance im Auslagerungsmanagement durch Prozessautomatisierung

Neue Veröffentlichungen seitens der Aufsichtsbehörden erhöhen den Druck auf Finanzinstitute in Bezug auf die Steuerung und Überwachung von Auslagerungen.  So verpflichtet beispielsweise die 5. ­MaRisk ­Novelle zur Einführung eines zentralen Auslagerungsmanagements (ZAM). Bei der Umsetzung der vielfältigen Anforderungen bieten technologiegestützte Lösungen jedoch effiziente und effektive Unterstützung.

Herausforderungen

Mit Veröffentlichung der 5. Novelle der „Mindestanforderungen an das Risikomanagement“ (MaRisk) wurden die Finanzdienstleister unter anderem verpflichtet, ein zentrales Auslagerungsmanagement (ZAM) einzurichten. Zusätzlich zu dessen Erfordernis beinhaltet die MaRisk auch konkrete Anforderungen, welche bei dem Aufbau dieses zentralen Auslagerungsmanagements zu beachten sind.

Neben den Anforderungen der MaRisk existieren bereits weitere regulatorische Anforderungen, die das Auslagerungsmanagement unmittelbar betreffen:

  • BAIT
  • EBA Empfehlungsschreiben
  • EU-DSGVO

Allgemeine Anforderungen der 5. Novelle der MaRisk

Mit Veröffentlichung der 5. Novelle der MaRisk im Oktober 2017 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die erste Erneuerung ihres prinzipienbasierten Papiers seit 2012 herausgegeben. Seit dem ersten veröffentlichten Konsultationsentwurf Anfang 2016 wurde bis zur finalen Veröffentlichung noch eine lange Überarbeitungszeit benötigt. Diese zeigt, in Verbindung mit den letztendlich in die Novelle eingeflossenen Änderungen, welche Schwierigkeit die Anpassung der Formulierungen und deren Abstimmung in den Fachgremien mit sich gebracht haben.

Im Zentrum der novellierten MaRisk, bei der es sich um die Interpretation der gesetzlichen Anforderungen des Kreditwesengesetzes handelt, stehen neue Anforderungen an Finanzinstitute u. a. in den folgenden Bereichen:

  • Risikokultur (AT 3),
  • Risikotragfähigkeit (AT 4.1),
  • Internes Kontrollsystem (AT 4.3),
  • Datenmanagement (AT 4.3.4) und insbesondere
  • Auslagerungen (AT 9)

Abschnitt AT 9 zu den Auslagerungen stellt einen der fachlich am stärksten überarbeiteten Teile in der 5. MaRisk Novelle dar. Das zentrale Auslagerungsmanagement (ZAM) (AT 9 Tz. 12) wird nun erstmalig von der Aufsicht explizit gefordert. Bisher ergab sich die Anforderung nach einem ZAM lediglich implizit aus Steuerungsgründen beispielsweise durch Berichtspflichten. Der damit auf verstärkte Anforderungen an die Steuerung und Überwachung von Auslagerungen gelegte Fokus lässt Rückschlüsse auf künftige Schwerpunkte der Aufsicht zu. Dies schließt in den nächsten Jahren insbesondere mögliche §44 KWG Sonderprüfungen bzw. entsprechende Schwerpunkte in den Jahresabschlussprüfungen mit ein.

Weiterführende Anforderungen an das Auslagerungsmanagement

BAIT

Im Vergleich zur aktualisierten MaRisk wurden mit den „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) im November 2017 ähnliche Anforderungen an die Informationssysteme der Institute gerichtet. Die BAIT konkretisiert zum Teil die in MaRisk ­

AT 9 definierten Anforderungen an das Auslagerungsmanagement hinsichtlich der angemessenen Ausgestaltung der technisch-organisatorischen Ausstattung der IT-Systeme sowie die Ausgestaltung der Notfallkonzepte. Mit der BAIT werden jedoch keine neuen oder zusätzlichen Anforderungen gestellt, vielmehr werden die Anforderungen der MaRisk hinsichtlich deren Anwendung auf die IT konkretisiert.

Allerdings verdeutlicht die BaFin bereits mit der Veröffentlichung der BAIT, dass Weiterentwicklungen notwendig sind. Erste Neuerungen sind bereits im Frühjahr 2018 zu erwarten. Zum Beispiel sollen mit der BAIT auch Anforderungen der Europäischen Bankenaufsichtsbehörde (EBA) zu Auslagerungen mittels Cloud-Dienstleister erfüllt werden.

Empfehlungsschreiben der EBA: Auslagerung an Cloud-Service-Anbieter gerät in den Fokus

Die EBA veröffentlichte am 20. Dezember 2017 unter dem Namen „Final Report on Recommendations on Cloud Outsourcing“ (EBA/REC/2017/03) ein Empfehlungsschreiben für die Auslagerung von Daten an Cloud-Service-Anbieter. Auch wenn es sich hierbei bislang nur um Empfehlungen seitens der EBA handelt, zeigt der Ansatz mit welchen weiteren regulatorischen Anforderungen im Bereich der Auslagerungen in den kommenden Jahren bzw. mit fortschreitender Technologisierung zu rechnen ist.

Entsprechend den bekannten „Guidelines on Outsourcing“, des Committee of European Banking Supervisors („CEBS Guidelines“), macht die EBA in ihrem Empfehlungsschreiben qualitative Vorgaben hinsichtlich:

  • der Feststellung von Wesentlichkeit von Cloud-Auslagerungen,
  • der vertraglichen Ausgestaltung zwischen auslagerndem Unternehmen und Cloud-Dienstleistern,
  • der Anforderungen an IT-Systeme und Daten­sicherheit für den Cloud-Dienstleister,
  • der Kontrollen und Maßnahmen für Daten­transfers (bspw. Verschlüsselungstechnologien),
  • der Anforderungen für Weiterverlagerungen ­sowie
  • der Fortführungspläne und Ausstiegsstrategien.

Europäischer Datenschutz – personenbezogene Daten bei Auslagerungen unter besonderem Schutz

Am 25. Mai 2018 tritt die europäische Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Mit dieser werden der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen sowie insbesondere deren Recht auf den Schutz personenbezogener Daten gestärkt. Gleichzeitig bedeutet dies für auslagernde Institute jedoch eine zusätzliche Überwachung. Da Auslagerungssachverhalte, wie Poststellen oder Druckdienstleister personenbezogene Daten enthalten, wird sich dies zukünftig auch auf die regulatorische Wesentlichkeitseinstufung der Auslagerung, und damit auf den zugehörigen Risikogehalt, niederschlagen.

Zwar gilt die DSGVO für alle Unternehmen – ganz gleich, ob Finanzinstitut oder Druckdienstleister – die Verantwortung für die Sicherstellung des Schutzes personenbezogener Daten verbleibt jedoch weiterhin bei dem auslagernden Institut. Der dadurch entstehende Mehraufwand lässt sich heute nur schwer abschätzen. Sicher ist, dass der Informa­tionsaufwand für eine angemessene Steuerung und Überwachung sowie für ein effektives Reporting steigen wird.

Lösung

Um dem Erfordernis eines ZAMs gerecht zu werden, sollten Banken in einem ersten Schritt eine Inventarisierung ihrer Auslagerungssachverhalte vornehmen. Dabei ist zu prüfen, wie eine zentrale Steuerung ausgestaltet sein könnte. Im Nachgang sind Prozesse und Vorgaben zu etablieren, die Informationen über alle (wesentlichen) Auslagerungen bündeln und eine effektive (Risiko-) Steuerung erlauben.

Workflowbasierte Anwendungen als Möglichkeit der ZAM-Prozessabbildung

Eine Möglichkeit zur standardisierten Abbildung der geforderten Prozesse für ein ZAM ist die Nutzung von workflowbasierten Anwendungen. Diese lassen sich auf bestehende Systeme und Prozesse ohne wesentliche Eingriffe in die vorhandene Architektur implementieren. Dadurch wird die gesamte Steuerung der jeweiligen Prozesse sichergestellt und ein effektives Risikomanagement etabliert. Denkbar ist in diesem Zusammenhang der Einsatz von RegTechs als auch der Aufsatz auf bestehende Standardsoftware (z. B. Microsoft SharePoint).

Daraus ergeben sich vielfältige Möglichkeiten: Automatisierte Anwendungen decken – einmal erfasst – sämtliche geforderten Aufgaben über alle Auslagerungen hinweg ab. Dabei lassen sie sich zentral steuern und überwachen. Informationen werden über festgelegte Prozesse aggregiert, aufbereitet und lassen sich jederzeit ad-hoc darstellen.

TME Lösungsansatz zur Erfüllung aller Anforderungen an das ZAM

Der Lösungsansatz zielt auf die Verwendung workflowbasierter Anforderung ab und schließt unter anderem die folgenden möglichen Leistungen mit ein:

  • Dokumentation sämtlicher Auslagerungsverträge inkl. Versionierung bei Vertragsänderungen
  • Aufbereitung von Berichten sowie Validierung, der durch die Auslagerungsverantwortlichen (AVs) durchgeführten Risiko- und Wesentlichkeitsanalysen gem. AT 9 Tz. 2 MaRisk
  • Abbildung von Kontroll- und Überwachungsprozessen (bspw. KPI/SLA gestützt)
  • Unterstützung der Auslagerungsverantwortlichen (AVs) im Tagesgeschäft (Durchführung Risikoanalysen, Prüfpläne für Dienstleisterbesuche etc.)
  • Etablierung eines effektiven Reportingsystems durch Zusammenführung, der von den AVs zusammengetragenen Informationen und automatisierte Berichtserstattung an das ZAM
  • Aufbereiten, der an das ZAM gelieferten Informationen, Darstellung in einem individualisierbaren ZAM-Dashboard und Generierung von Management Reports (Auslagerungsbericht)

Ausblick und Fazit

Steigende regulatorische Anforderungen aus der nationalen sowie internationalen Aufsichtspraxis zeigen, dass der Aufwand für die angemessene Steuerung von Auslagerungen zunimmt. Damit geht einher, dass die mit Auslagerungen verbundenen Risiken immer umfangreicher und komplexer werden. Es ist zu erwarten, dass Aufsicht und Abschlussprüfer in den kommenden Jahren im Rahmen von Sonder- bzw. Schwerpunktprüfungen wieder einen verstärkten Fokus auf das Thema Auslagerung legen werden.

Der TME Lösungsansatz sieht den Einsatz digitaler Lösungen zur Unterstützung im Auslagerungs­management vor. Die technische Abbildung des Betriebs eines ZAMs in einer "ZAM Factory" stellt dabei eine Möglichkeit dar. Mit der "ZAM Factory" wird der prozess- und toolgestützte Betrieb des ZAMs sichergestellt. Damit wäre die Steuerung von Auslagerungen wie beispielsweise Leistungssteuerung, Reporting, Anforderungs- oder Risikomanagement, nach Ansicht der TME Experten, State of the art. Die Sicherstellung aufsichtsrechtlicher Compliance wird somit gewährleistet, die Effizienz gesteigert, Kosten gesenkt und involvierte Mitarbeiter spürbar entlastet.

Autoren und Ansprechpartner: Stefan Steinhoff, Sebastian Heinzelbecker