Skip to main content

Auslagerungsrisiken und IKT-Auslagerungsrisiken

Welche Auslagerungsrisiken und IKT-Auslagerungsrisiken sind zu beachten? Im Rahmen des Managements der operationellen Risiken nennt die EBA mehrere Unterkategorien, welche die zuständigen Behörden beim SREP berücksichtigen müssen. Hierzu gehören auch Auslagerungsrisiken sowie Informations- und Kommunikationstechnologie-Risiken (IKT-Risiken).

 

IKT-Auslagerungsrisiken

Das „IKT-Auslagerungsrisiko“ besteht darin, dass die Beauftragung eines Dritten oder eines anderen Gruppenunternehmens durch die Bereitstellung von IKT-Systemen, oder der Erbringung damit zusammenhängender Dienstleistungen, das Leistungs- und Risikomanagement des Institutes negativ beeinflusst. Somit handelt es sich um eine Mischform aus den genannten Unterkategorien.

Im Rahmen des SREP sollten die zuständigen Behörden bewerten, ob die Auslagerungsstrategie des Institutes wie vorgesehen auf IKT-Auslagerungen angewendet wird. Hier sollen die Behörden vor allem bewerten, ob das Institut einen wirksamen Rahmen für die Ermittlung, das Verständnis und die die Bewertung des IKT-Auslagerungsrisikos etabliert hat. Insbesondere sollte das Institut über Kontrollen und ein Kontrollumfeld zur Reduzierung von Risiken verfügen, welche der Größe, den Geschäftsaktivitäten und dem Risikoprofil des Institutes entsprechen.

 

Auslagerungsrisiken und IKT-Auslagerungsrisiken

 

Bewertung der Auswirkungen von IKT-Auslagerungen

Hierbei soll auch eine angemessene Bewertung der Auswirkungen von IKT-Auslagerungen auf das Risikomanagement des Institutes im Zusammenhang mit der Nutzung von Dienstanbietern und deren Dienstleistungen während des Beschaffungsprozesses durchgeführt werden. Diese sollte dokumentiert und von der Geschäftsleitung bei der Entscheidung für oder gegen die Auslagerung von Diensten berücksichtigt werden. Das Institut sollte auch die Vorgaben zum IKT-Risikomanagement sowie die IKT-Kontrollen und das Kontrollumfeld des Dienstanbieters überprüfen. Somit kann es sicherstellen, dass die internen Ziele im Hinblick auf das Risikomanagement und die Risikobereitschaft erfüllt werden.

Während des Auslagerungszeitraumes sollte diese Überprüfung regelmäßig aktualisiert werden. Dabei sind die Merkmale der ausgelagerten Dienstleistungen zu berücksichtigen. Zudem sollten die IKT-Risiken der ausgelagerten Dienstleistungen während des Auslagerungszeitraumes im Rahmen des Risikomanagements überwacht werden, deren Ergebnis in die Berichterstattung einfließt. Außerdem sollten eine Überwachung und ein Vergleich des Dienstleistungsniveaus mit den vertraglich vereinbarten Vorgaben stattfinden, die Bestandteil des Auslagerungsvertrages oder der Dienstleistungsvereinbarung sein sollten.

 

Mitarbeiter, Ressourcen und Kompetenzen zur Überwachung und Steuerung der IKT-Auslagerungsrisiken

Schlussendlich sollten die Behörden prüfen, ob geeignete Mitarbeiter, Ressourcen und Kompetenzen zur Überwachung und Steuerung der IKT-Risiken, die von den Auslagerungen ausgehen, verfügbar sind. Im Zusammenhang mit Auslagerungsrisiken wird mittlerweile allgemeiner auf „Dritt-Partei-Risiken“ abgestellt. Der Baseler Ausschuss für Bankenaufsicht hat Ende 2018 festgestellt, dass die regulatorischen Rahmenbedingungen für Auslagerungen relativ gut etabliert sind und sehr viele Gemeinsamkeiten aufweisen. Jedoch gibt es noch keinen gängigen Ansatz zum Umgang mit Dritt-Partei-Risiken über ausgelagerte Dienstleistungen hinaus, der einen anderen Umfang an Regulierungs- und Aufsichtsmaßnahmen impliziert.

 

Aktives Management der Abhängigkeiten von Dritten über die gesamte Wertschöpfungskette

Dritte können zwar kostengünstige Lösungen zur Erhöhung der Widerstandsfähigkeit bereitstellen, jedoch unterliegt es den Instituten, ein angemessenes Verständnis und ein aktives Management der Abhängigkeiten von Dritten über die gesamte Wertschöpfungskette hinweg nachzuweisen. Somit sollte ein ausgewogenes Modell der Verantwortlichkeiten etabliert werden, vor allem bei Dritten, die der Bankenaufsicht nicht unterliegen. Daraus folgt, dass bei der Zusammenarbeit mit Dritten, die selbst beaufsichtigt werden, andere Maßstäbe angesetzt werden können. Zum Beispiel könnte in diesem Fall auf eine Duplizierung von Steuerungs- und Überwachungsprozessen weitgehend verzichtet werden, wenn den auslagernden Instituten hinreichende Mitwirkungsrechte beim Dritten eingeräumt werden.