Auslagerungscontrolling: Ausfall des Dienstleisters. Nach den MaRisk (AT 9 Tz. 6) hat das auslagernde Institut „bei wesentlichen Auslagerungen im Fall der beabsichtigten oder erwarteten Beendigung der Auslagerungsvereinbarung Vorkehrungen zu treffen, um die Kontinuität und Qualität der ausgelagerten Aktivitäten und Prozesse auch nach Beendigung zu gewährleisten“. Mit BaFin Journal 07-2019 wurden nochmals die wichtigsten Anforderungen aus Sicht der BaFin erläutert.
Im S+P Informationsblog Auslagerungscontrolling: Ausfall des Dienstleisters finden Sie die wesentlichen aufsichtsrechtlichen Anforderungen zu folgenden Themen:
Ausstiegsprozesse und Notfallkonzept (AT 7.3 der MaRisk)
Ausstiegsprozess muss Kontinuität wahren
Sondersituation Mehrmandantendienstleister
Erkenntnisse aus dem Notfallkonzept des Mehrmandantendienstleisters ziehen
Auslagerungscontrolling: Ausfall des Dienstleisters
Was aber ist, wenn das unbeabsichtigt oder unerwartet passiert? Im Rahmen des Auslagerungscontrollings: Ausfall des Dienstleisters ist das Finanzunternehmen gefordert, etwaige Handlungsoptionen auf ihre Durchführbarkeit zu prüfen und zu verabschieden. Soweit es sinnvoll und möglich ist, sollen laut BaFin als Konkretisierung auch Ausstiegsprozesse festgelegt werden.
Für zeitkritische Prozesse müssen entsprechende Maßnahmen bereits im Notfallkonzept (AT 7.3 der MaRisk) dargestellt sein. Die Handlungsoptionen sollen laut BaFin eine Analyse beinhalten, die Vorkehrungen für den Fall benennt, dass die Auslagerung ungeplant endet.
Die BaFin erwartet laut BaFin Journal 07-2019 ausdrücklich nicht, dass ein Institut, welches seine IT vollständig an einen Dienstleister ausgelagert hat, bei dessen Ausfall unverzüglich sämtliche IT-Funktionalitäten wieder übernehmen kann.
Ausstiegsprozess muss Kontinuität wahren – Auslagerungscontrolling: Ausfall des Dienstleisters
Die BaFin führt für das Festlegen der Ausstiegsprozesse folgendes aus. Diese sind mit dem Ziel festzulegen, die notwendige Kontinuität und Qualität der ausgelagerten Aktivitäten und Prozesse aufrechtzuerhalten beziehungsweise in einer angemessenen Zeit wiederherstellen zu können.
Bei gruppen- und verbundinternen Auslagerungen – wenn beispielsweise eine Tochtergesellschaft Dienstleistungen erbringt – können auslagernde Institute allerdings darauf verzichten, Ausstiegsprozesse zu erstellen (AT 9 Tz.6, Erläuterungen der MaRisk).
Gleiches gilt, falls ein Institut kurzfristig keine praktikable Handlungsoption entwickeln kann, wenn eine unerwartete oder unbeabsichtigte Beendigung des Auslagerungsverhältnisses durch den Dienstleister eintritt. Diese Schlussfolgerung sollte jedoch auch auf Basis einer dokumentierten Analyse gezogen werden.
Sondersituation Mehrmandantendienstleister – Auslagerungscontrolling: Ausfall des Dienstleisters
Eine kurzfristig fehlende Alternative kann beispielsweise bei der Auslagerung von Tätigkeiten und Prozessen auf einen Mehrmandantendienstleister angenommen werden, der eine gewisse Alleinstellung innehat.
Existieren keine Handlungsoptionen, muss diese Problematik laut BaFin im Notfallkonzept zwingend berücksichtigt werden (AT 9 Tz.6, Erläuterungen der MaRisk).
Notfallkonzept: Erkenntnisse aus den Notfallkonzepten der Dienstleister können einbezogen werden
Bei kleinen Instituten, die auf einen Mehrmandantendienstleister auslagern, kann die Expertise für ein stimmiges Notfallkonzept fehlen. Dies gilt insbesondere auch für die Anforderung nach AT 7.3 Tz. 1 der MaRisk, wonach das auslagernde Institut und das Auslagerungsunternehmen bei der Auslagerung zeitkritischer Prozesse und Aktivitäten aufeinander abgestimmte Notfallkonzepte zu erarbeiten haben.
Auch hier wird deutlich, dass das Notfallkonzept des Mehrmandantendienstleisters nicht das Notfallkonzept des auslagernden Instituts ersetzen kann.
Allerdings kann das auslagernde Institut wichtige Erkenntnisse aus dem Notfallkonzept des Mehrmandantendienstleisters ziehen und auch Bausteine aus diesem Konzept übernehmen.
Wesentlich bleibt hierbei, dass es eine Schnittstelle zwischen auslagerndem Institut und dem Mehrmandantendienstleister gibt. Die BaFin erwartet zudem, dass das auslagernde Institut sich bereits in der Risikoanalyse Gedanken über die Qualität des Notfallmanagements des Auslagerungsunternehmens gemacht hat.
Die Teilnehmer haben zum Thema Auslagerungscontrolling: Ausfall des Dienstleisters folgende Seminare besucht:
MaRisk 6.0 – neue Anforderungen an das RisikomanagementAuslagerungen im Fokus der BankenaufsichtCompliance Update 2019MaRisk-Compliance – BAIT – Interne RevisionNeue MaRisk – Risikotragfähigkeit – SREP – ICAAPNeue MaRisk – Fahrplan für die PraxisMaRisk-Compliance – BAIT – Interne RevisionMaRisk ComplianceSeminare Interne RevisionSeminare MaRisk
Wir benötigen Ihre Zustimmung, bevor Sie unsere Website weiter besuchen können.Wenn Sie unter 16 Jahre alt sind und Ihre Zustimmung zu freiwilligen Diensten geben möchten, müssen Sie Ihre Erziehungsberechtigten um Erlaubnis bitten.Wir verwenden Cookies und andere Technologien auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern.Personenbezogene Daten können verarbeitet werden (z. B. IP-Adressen), z. B. für personalisierte Anzeigen und Inhalte oder Anzeigen- und Inhaltsmessung.Weitere Informationen über die Verwendung Ihrer Daten finden Sie in unserer Datenschutzerklärung.Sie können Ihre Auswahl jederzeit unter Einstellungen widerrufen oder anpassen.Einige Services verarbeiten personenbezogene Daten in den USA. Mit Ihrer Einwilligung zur Nutzung dieser Services stimmen Sie auch der Verarbeitung Ihrer Daten in den USA gemäß Art. 49 (1) lit. a DSGVO zu. Das EuGH stuft die USA als Land mit unzureichendem Datenschutz nach EU-Standards ein. So besteht etwa das Risiko, dass US-Behörden personenbezogene Daten in Überwachungsprogrammen verarbeiten, ohne bestehende Klagemöglichkeit für Europäer.
Wenn Sie unter 16 Jahre alt sind und Ihre Zustimmung zu freiwilligen Diensten geben möchten, müssen Sie Ihre Erziehungsberechtigten um Erlaubnis bitten.Wir verwenden Cookies und andere Technologien auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern.Personenbezogene Daten können verarbeitet werden (z. B. IP-Adressen), z. B. für personalisierte Anzeigen und Inhalte oder Anzeigen- und Inhaltsmessung.Weitere Informationen über die Verwendung Ihrer Daten finden Sie in unserer Datenschutzerklärung.Einige Services verarbeiten personenbezogene Daten in den USA. Mit Ihrer Einwilligung zur Nutzung dieser Services stimmen Sie auch der Verarbeitung Ihrer Daten in den USA gemäß Art. 49 (1) lit. a DSGVO zu. Das EuGH stuft die USA als Land mit unzureichendem Datenschutz nach EU-Standards ein. So besteht etwa das Risiko, dass US-Behörden personenbezogene Daten in Überwachungsprogrammen verarbeiten, ohne bestehende Klagemöglichkeit für Europäer.Hier finden Sie eine Übersicht über alle verwendeten Cookies. Sie können Ihre Einwilligung zu ganzen Kategorien geben oder sich weitere Informationen anzeigen lassen und so nur bestimmte Cookies auswählen.