Skip to main content

Auslagerung: Risikobewertung von Auslagerungsvereinbarungen

Welche Anforderungen sind bei der Risikobewertung von Auslagerungsvereinbarungen zu beachten? Auslagerung: Risikobewertung von Auslagerungsvereinbarungen sind mit den EBA Leitlinien Auslagerungen umfassend geregelt worden.

Die Institute und Zahlungsinstitute sollten die möglichen Auswirkungen von Auslagerungsvereinbarungen auf ihr operationelles Risiko bewerten. Diese Ergebnisse der Bewertung sind bei der Entscheidung zu berücksichtigen, ob die Funktion an einen Dienstleister ausgelagert werden sollte, und geeignete Schritte einleiten, um unnötige zusätzliche operationelle Risiken vor dem Abschluss von Auslagerungsvereinbarungen zu vermeiden.

 

Auslagerung: Risikobewertung von Auslagerungsvereinbarungen

 

Auslagerung: Risikobewertung von Auslagerungsvereinbarungen

Bei der Durchführung der Risikobewertung vor der Auslagerung und während der laufenden Überwachung der Leistung des Dienstleisters haben die Institute und Zahlungsinstitute umfangreiche EBA Anforderungen zu beachten. Auslagerung: Risikobewertung von Auslagerungsvereinbarungen umfasst folgende Mindestanforderungen:

  1. Funktionen und entsprechenden Daten und Systeme hinsichtlich ihrer Sensitivität und der erforderlichen Sicherheitsmaßnahmen sind zu ermitteln und einstufen.
  2. Gründliche risikobasierte Analyse der Funktionen und entsprechenden Daten und Systeme durchführen, die für eine Auslagerung infrage kommen oder ausgelagert wurden, sowie den potenziellen Risiken Rechnung tragen, insbesondere den operationellen Risiken, einschließlich der rechtlichen Risiken, IT-, Compliance- und Reputationsrisiken, sowie Einschränkungen bei der Beaufsichtigung in Ländern, in denen die ausgelagerten Dienstleistungen erbracht werden oder erbracht werden können bzw. in denen die Daten gespeichert oder wahrscheinlich gespeichert werden.
  3. Folgen des Standortes der Niederlassung des Dienstleisters (innerhalb oder außerhalb der EU) berücksichtigen.
  4. Politische Stabilität und Sicherheitslage der betreffenden Rechtsordnungen berücksichtigen, einschließlich der geltenden Gesetze, darunter auch die Gesetze zum Datenschutz.
  5. Geltende Vorschriften zur Rechtsdurchsetzung.
  6.  Insolvenzrechtlichen Vorschriften, die bei einem Ausfall des Dienstleisters Anwendung fänden, sowie etwaiger Einschränkungen, die insbesondere bezüglich der dringenden Wiederherstellung der Daten des Instituts oder Zahlungsinstituts entstehen könnten;
  7. Festlegung und Vorgabe eines angemessenen Schutzniveaus für die Vertraulichkeit von Daten, die Kontinuität ausgelagerter Tätigkeiten sowie die Integrität und Rückverfolgbarkeit von Daten und Systemen im Rahmen der geplanten Auslagerung.

 

Auslagerung: Risikobewertung mit Hilfe von Szenarien

Die Bewertung hat Szenarien möglicher Risikoereignisse einzuschließen. Darunter sind auch operationelle Risikoereignisse mit gravierenden Folgen zu berücksichtigen. Im Rahmen der Szenarioanalyse sollten die Institute und Zahlungsinstitute die möglichen Auswirkungen von unterlassenen oder unzureichenden Dienstleistungen bewerten. Darunter sind auch Risiken zu erfassen, die durch Prozesse, Systeme, Menschen oder externe Ereignisse verursacht werden.

Die Institute und Zahlungsinstitute sollten unter Berücksichtigung des Grundsatzes der Verhältnismäßigkeit die vorgenommene Analyse und ihre Ergebnisse dokumentieren. Dabei ist auch der Umfang einzuschätzen, in dem ihr operationelles Risiko durch die Auslagerungsvereinbarung erhöht oder verringert wird.

 

Kleine und nicht komplexe Institute und Zahlungsinstitute können qualitative Ansätze für die Risikobewertung heranziehen, während große oder komplexe Institute einen komplexeren Ansatz wählen sollten. Sofern verfügbar sind auch interne und externe Verlustdaten als Grundlage für die Szenarioanalyse zu verwenden.

 

Mindestanforderungen an die Risikobewertung von Auslagerungsvereinbarungen + Step in risk

Im Rahmen der Risikobewertung sollten die Institute und Zahlungsinstitute auch die erwarteten Vorteile und Kosten der geplanten Auslagerungsvereinbarung berücksichtigen. Diese Bewertung hat auch eine Abwägung etwaiger Risiken, die verringert oder besser gesteuert werden können, gegenüber Risiken, die durch die geplante Auslagerungsvereinbarung entstehen können, zu umfassen.

Mindestens folgende Punkte sind bei der Risikobewertung zu berücksichtigen:

Konzentrationsrisiken, unter anderem durch die Auslagerung an einen beherrschenden Dienstleister, der nicht leicht zu ersetzen ist und mehrere Auslagerungsvereinbarungen mit demselben Dienstleister oder eng miteinander verbundenen Dienstleistern.

Die Bewertung aggregierter Risiken, die auf die Auslagerung mehrerer Funktionen im gesamten Institut oder Zahlungsinstitut zurückgehen, sowie im Fall von Gruppen von Instituten oder institutsbezogenen Sicherungssystemen die aggregierten Risiken auf konsolidierter Basis oder Basis des institutsbezogenen Sicherungssystems.

Im Fall von bedeutenden Instituten ist das „Step-in risk“ zu bewerten. Das heißt das Risiko, das durch die erforderliche Bereitstellung finanzieller Unterstützung für einen Dienstleister in einer Notsituation oder die Übernahme seiner Geschäftstätigkeit entstehen kann.

Es sind die von dem Institut oder Zahlungsinstitut sowie dem Dienstleister ergriffenen Maßnahmen zur Steuerung und Minderung der Risiken zu bewerten.

 

Risikobewertung von Weiterverlagerungs-Regelungen

Wenn die Auslagerungsvereinbarung die Möglichkeit beinhaltet, dass der Dienstleister kritische oder wesentliche Funktionen an andere Dienstleister weiterverlagert, sollten die Institute und Zahlungsinstitute Folgendes berücksichtigen:

Die mit der Weiterverlagerung verbundenen Risiken sind zu bewerten. Dazu zählen auch die zusätzlichen Risiken, die entstehen können, wenn der Subunternehmer seinen Sitz in einem Drittstaat oder einem anderen Land als der Dienstleister hat.

Das Risiko von langen und komplexen Auslagerungsketten ist gesondert zu beurteilen. Dieses Risiko betrifft die Fähigkeit der Institute oder Zahlungsinstitute zur Überwachung der ausgelagerten kritischen oder wesentlichen Funktion und die Fähigkeit der zuständigen Behörden zu einer wirksamen Beaufsichtigung.

Kommentare (2)

Kommentare sind geschlossen.

Chaticon