Cloud Services

Konsultationsentwurf 6. MaRisk-Novelle erweitert Vorgaben an Auslagerungen

MaRisk-Konsultationsentwurf übernimmt viele Inhalte aus EBA Leitlinien zu Auslagerungen

Im AT 9 der Mindestanforderungen an das Risikomanagement (MaRisk 09/2017) definiert die BaFin Mindestanforderungen in Bezug auf Auslagerungen. Mit dem neuesten Konsultationsentwurf zur MaRisk AT 9 überführt die Aufsicht nun auch die europäischen EBA-Leitlinien zu Auslagerungen (EBA/GL/2019/02) in die nationale Regulatorik und konkretisiert bereits bestehende Anforderungen.

Doch was bedeutet dies für Banken?

Welche Anforderungen bringt der neue Konsultationsentwurf mit?

Die meisten Änderungen resultieren aus der Überführung der Anforderungen aus den EBA-Leitlinien zu Auslagerungen in die nationale Regulatorik. Vor dem Hintergrund der detaillierten und sehr konkret formulierten EBA-Leitlinien liegt es auf der Hand, dass der Konsultationsentwurf im AT9 an einigen Stellen umfassender ausfällt.

Dies betrifft unter anderem die Regelungen hinsichtlich einer die Risikoanalyse ergänzenden Szenarioanalyse, neue / erweiterte Vertragsanforderungen für wesentliche sowie auch nicht wesentliche Auslagerungen (u.U. Informations- und Prüfungsrechte), erweiterte Anforderungen an die Risikoanalyse von Weiterverlagerungen sowie Anforderungen an ein zentrales Auslagerungsregister. Auch die inhaltlichen Anforderungen an die zentralen Vorgaben, also die Outsourcing Policy im Unternehmen, sind konkretisiert (z.B. Vorgaben sind entlang des Auslagerungszyklus zu definieren). Hinzu kommt die Verpflichtung der Institute zur Steuerung der mit der Auslagerung verbundenen Risiken und der Qualität der Leistungserbringung anhand vorzuhaltender Kriterien (Key Performance und Key Risk Indicators).

Eine zentrale Neuerung sind Erleichterungen, die für Gruppen- und Finanzverbünde angewendet werden können. Dies bietet und fördert Möglichkeiten der Zentralisierung, Vereinheitlichung und Vereinfachung. Als Beispiele sind hier die bereits bekannten Handlungsoptionen / Ausstiegsprozesse sowie die neu hinzugekommene Berichterstattung oder ein zentrales Auslagerungsregister zu nennen.

Eine ebenfalls wesentliche Neuerung, die jedoch nicht direkt aus den EBA-Leitlinien zu Auslagerungen abzuleiten ist, ist die Etablierung eines zentralen Auslagerungsbeauftragten im Institut, welcher der Geschäftsführung direkt unterstellt ist. Dieser wird bei Bedarf von einem zentralen Auslagerungsmanagement unterstützt. Damit wird das Ziel verfolgt, die Verantwortung und das Bewusstsein für Auslagerungen im Institut hoch aufzuhängen.

Umsetzung in der Praxis herausfordernd – insbesondere mit Blick auf Cloud-Lösungen

Auch wenn der Konsultationsentwurf keine umfassend neuen Anforderungen aufwirft, werden sich in der praktischen Umsetzung zu einigen Themen Herausforderungen ergeben. Im Fokus stehen hier insbesondere die nun noch umfassenderen Anforderungen an den Auslagerungsvertrag, beispielweise Festlegung von Datenspeicher- und -verarbeitungsort, Umgang mit Weiterverlagerungen und Weisungsrechten oder aber die Vereinbarung von datenschutzrechtlichen und sonstigen Sicherheitsanforderungen – teilweise sogar anzuwenden für nicht wesentliche Auslagerungen. Dies mag in einer klassischen Auslagerungsbeziehung noch in Teilen umsetzbar sein, wohingegen die Vertragsverhandlungen zur Anpassung eines Standardvertrags der großen und international agierenden Cloud-Anbieter womöglich in der Praxis oft nicht erfolgreich sein werden.

Anpassungsbedarf analysieren und Auslagerungen für sich nutzbar machen

In einem ersten Schritt liegt es nun an den Banken, sich einen Überblick zum resultierenden Handlungsbedarf zu verschaffen und zu prüfen, inwieweit sie die neuen Vorgaben bereits erfüllen. Im nächsten Schritt sollten die Finanzinstitute darüber nachdenken, wie sie mit möglichen Abweichungen von den neuen Anforderungen umgehen und auch welche Chancen sich aus den aktualisierten Anforderungen ergeben (z.B. Möglichkeit eines zentralen Auslagerungsmanagements auf Gruppen- bzw. Verbundebene).

Zusammenfassend richtet die BaFin ihre Vorgaben nun mit den aktuellen Änderungsvorschlägen auch an den europäischen Leitlinien zu Auslagerungen der EBA aus. Zusätzlich nutzt die Aufsicht die Gelegenheit, um bestehende Anforderungen zu konkretisieren und neue aufbauorganisatorische Anforderungen an das Auslagerungsmanagement von einzelnen Instituten sowie auf Ebene der Gruppen und Finanzverbände schriftlich zu fixieren.

 

Weiterlesen

Cloud Services

Thema vertiefen

Cloud Services

Die Finanzbranche verändert sich rasant. Wohl kein Marktteilnehmer kann sich den umfassenden technologischen Neuerungen und dem digitalen Wandel entziehen. Themen wie Data & Analytics, Künstliche Intelligenz oder Robotic Process Automation sind die neuen Taktgeber der Finanzbranche.

Aus dieser Entwicklung ergeben sich vielfältige neue, meist zusätzliche Anforderungen an die IT. Nicht nur kostengünstiger soll diese werden, sondern vor allem auch schneller, flexibler und am Bedarf des Tagesgeschäfts ausgerichtet. Konkret heißt das, es müssen kurzfristig neue, innovative Lösungen gefunden und in die unternehmenseigene IT-Landschaft integriert werden – immer mit dem Ziel vor Augen, ein bestmögliches Angebot für den Endkunden zu generieren

Thema vertiefen

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist.

Schließen