Welche Rechte müssen Sie für ein effizientes Auslagerungscontrolling regeln? Auslagerung: Zugangs-, Informations- und Prüfungsrechte sind die Grundlage für ein erfolgreiches Auslagerungscontrolling. Für die Auslagerung von Funktionen, die nicht kritisch oder wesentlich sind, sollten die Institute und Zahlungsinstitute die Zugangs- und die Prüfungsrechte entsprechend den Ausführungen in Absatz 87 Buchstaben a und b und in Abschnitt 13.3 auf einem risikobasierten Ansatz sicherstellen.

Dabei sind auch die Art der ausgelagerten Funktion und die dazugehörigen operationellen Risiken und Reputationsrisiken, ihre Skalierbarkeit, die potenziellen Auswirkungen auf die kontinuierliche Ausübung der Tätigkeiten und die Vertragslaufzeit zu berücksichtigen.

Die Institute und Zahlungsinstitute sollten bei den Auslagerungsvereinbarungen berücksichtigen, dass Funktionen im Laufe der Zeit kritisch oder wesentlich werden können.

 

Auslagerung: Zugangs-, Informations- und Prüfungsrechte

 

Auslagerung: Prüfungsrechte für ein effizientes Auslagerungscontrolling

Die Institute und Zahlungsinstitute haben zu beachten, dass die Auslagerungsvereinbarung oder etwaige anderen vertraglichen Regelungen der wirksamen Ausübung der Zugangs- und Prüfungsrechte durch sie selbst, die zuständigen Behörden oder von ihnen für die Ausübung dieser Rechte ernannte Dritte nicht im Wege stehen oder diese einschränken können.

Die Institute und Zahlungsinstitute sollten ihre Zugangs- und Prüfungsrechte ausüben, die Häufigkeit der Prüfungen und die zu prüfenden Bereiche nach einem risikobasierten Ansatz bestimmen und die maßgeblichen, allgemein akzeptierten nationalen und internationalen Prüfstandards einhalten.

Unbeschadet ihrer letztendlichen Verantwortung für Auslagerungsvereinbarungen können Institute und Zahlungsinstitute folgende Maßnahmen nutzen:

  • Sammelprüfungen („pooled audits“), die gemeinsam mit anderen Kunden desselben Dienstleisters organisiert und von ihnen und diesen Kunden oder einem von den Kunden beauftragten Dritten durchgeführt werden, sodass die Prüfungsressourcen effizienter genutzt werden und der Organisationsaufwand für die Kunden und den Dienstleister verringert wird.
  • Zertifizierungen durch Dritte und externe oder interne Revisionsberichte, die vom Dienstleister zur Verfügung gestellt werden.

 

Auslagerung: Zugangs-, Informations- und Prüfungsrechte bei kritischen Auslagerungen

Für die Auslagerung von kritischen oder wesentlichen Funktionen sollten die Institute und Zahlungsinstitute bewerten, ob Zertifizierungen durch Dritte und Berichte entsprechend Absatz 91 Buchstabe b angemessen und hinreichend sind. Nur so können ihre aufsichtlichen Pflichten erfüllen werden. Dabei sollten sie sich nicht dauerhaft ausschließlich auf diese Berichte verlassen.

Bei kritischen Auslagerungen ist sicherzustellen, dass die Schlüsselsysteme und Kontrollen in künftigen Versionen der Zertifizierung oder des Prüfberichts berücksichtigt werden.

Es ist zu beurteilen, ob das Institut mit der Eignung des Zertifizierers oder Prüfers zufrieden ist(beispielsweise hinsichtlich der Rotation des Zertifizierungs- oder Prüfungsunternehmens, der Qualifikationen, des Fachwissens oder der Neudurchführung/Überprüfung der Nachweise in der zugrunde liegenden Prüfdatei).

Institute und Zahlungsinstitute haben sich davon zu überzeugen, dass die Zertifizierungen und die Prüfungen auf der Grundlage allgemein anerkannter einschlägiger professioneller Standards erfolgen und einen Test der operativen Wirksamkeit der vorhandenen wichtigsten Kontrollen beinhalten.

Institute und Zahlungsinstitute sollen über das vertragliche Recht verfügen, die Erweiterung des Umfangs der Zertifizierungen oder Prüfberichte auf weitere einschlägige Systeme und Kontrollen zu verlangen. Die Zahl und Häufigkeit solcher Ersuchen um Änderungen des Umfangs sollten sich in einem vernünftigen Rahmen bewegen und unter dem Aspekt des Risikomanagements berechtigt sein.

Institute und Zahlungsinstitute haben sich das vertragliche Recht auf Durchführung einzelner Prüfungen in ihrem Ermessen mit Blick auf die Auslagerung kritischer oder wesentlicher Funktionen vorzuAuslagerbehalten.

 

Die Teilnehmer haben zum Thema Auslagerungen auch folgende S&P Seminare besucht…

MaRisk- Compliance im Fokus der Bankenaufsicht – Umsetzung der neuen Anforderungen aus den MaRisk 6.0,CRD IV, §25 KWG neu

MaRisk-Compliance –  Aufbauseminar für Compliance Officer Risk-Assessment – IKS-Schlüsselkontrollen – Compliance-Reporting

Depot A – im Fokus der Bankenaufsicht –  Beurteilungsstandards, Checklisten und Musterbeschlüsse Rating-Plausibilisierung und zuverlässige Kreditanalyse im Depot A

Professionelles Projektmanagement – Erfolgreiche Projektumsetzung in der Praxis

Seminar IT-Compliance Manager: Monitoring + Kontrolle + Reporting

Auslagerung: Prüfungsrechte für ein effizientes Auslagerungscontrolling