Welche Anforderungen gelten für das Auslagerungscontrolling: Ausfall des Dienstleisters? Nach den MaRisk (AT 9 Tz. 6) hat das auslagernde Institut „bei wesentlichen Auslagerungen im Fall der beabsichtigten oder erwarteten Beendigung der Auslagerungsvereinbarung Vorkehrungen zu treffen, um die Kontinuität und Qualität der ausgelagerten Aktivitäten und Prozesse auch nach Beendigung zu gewährleisten“. Mit BaFin Journal 07-2019 wurden nochmals die wichtigsten Anforderungen aus Sicht der BaFin erläutert.

Im S&P Informationsblog Auslagerungscontrolling: Ausfall des Dienstleisters finden Sie die wesentlichen aufsichtsrechtlichen Anforderungen zu folgenden Themen:

  • Ausstiegsprozesse und Notfallkonzept (AT 7.3 der MaRisk)
  • Ausstiegsprozess muss Kontinuität wahren
  • Sondersituation Mehrmandantendienstleister
  • Erkenntnisse aus dem Notfallkonzept des Mehrmandantendienstleisters ziehen

 

Auslagerungscontrolling: Ausfall des Dienstleisters

 

Auslagerungscontrolling: Ausfall des Dienstleisters

Was aber ist, wenn das unbeabsichtigt oder unerwartet passiert? Im Rahmen des Auslagerungscontrollings: Ausfall des Dienstleisters ist das Finanzunternehmen gefordert, etwaige Handlungsoptionen auf ihre Durchführbarkeit zu prüfen und zu verabschieden. Soweit es sinnvoll und möglich ist, sollen laut BaFin als Konkretisierung auch Ausstiegsprozesse festgelegt werden.

Für zeitkritische Prozesse müssen entsprechende Maßnahmen bereits im Notfallkonzept (AT 7.3 der MaRisk) dargestellt sein. Die Handlungsoptionen sollen laut BaFin eine Analyse beinhalten, die Vorkehrungen für den Fall benennt, dass die Auslagerung ungeplant endet.

Die BaFin erwartet laut BaFin Journal 07-2019 ausdrücklich nicht, dass ein Institut, welches seine IT vollständig an einen Dienstleister ausgelagert hat, bei dessen Ausfall unverzüglich sämtliche IT-Funktionalitäten wieder übernehmen kann.

 

Ausstiegsprozess muss Kontinuität wahren – Auslagerungscontrolling: Ausfall des Dienstleisters

Die BaFin führt für das Festlegen der Ausstiegsprozesse folgendes aus. Diese sind mit dem Ziel festzulegen, die notwendige Kontinuität und Qualität der ausgelagerten Aktivitäten und Prozesse aufrechtzuerhalten beziehungsweise in einer angemessenen Zeit wiederherstellen zu können.

Bei gruppen- und verbundinternen Auslagerungen – wenn beispielsweise eine Tochtergesellschaft Dienstleistungen erbringt – können auslagernde Institute allerdings darauf verzichten, Ausstiegsprozesse zu erstellen (AT 9 Tz.6, Erläuterungen der MaRisk).

Gleiches gilt, falls ein Institut kurzfristig keine praktikable Handlungsoption entwickeln kann, wenn eine unerwartete oder unbeabsichtigte Beendigung des Auslagerungsverhältnisses durch den Dienstleister eintritt. Diese Schlussfolgerung sollte jedoch auch auf Basis einer dokumentierten Analyse gezogen werden.

 

Sondersituation Mehrmandantendienstleister – Auslagerungscontrolling: Ausfall des Dienstleisters

Eine kurzfristig fehlende Alternative kann beispielsweise bei der Auslagerung von Tätigkeiten und Prozessen auf einen Mehrmandantendienstleister angenommen werden, der eine gewisse Alleinstellung innehat.

Existieren keine Handlungsoptionen, muss diese Problematik laut BaFin im Notfallkonzept zwingend berücksichtigt werden (AT 9 Tz.6, Erläuterungen der MaRisk).

 

Notfallkonzept: Erkenntnisse aus den Notfallkonzepten der Dienstleister können einbezogen werden

Bei kleinen Instituten, die auf einen Mehrmandantendienstleister auslagern, kann die Expertise für ein stimmiges Notfallkonzept fehlen. Dies gilt insbesondere auch für die Anforderung nach AT 7.3 Tz. 1 der MaRisk, wonach das auslagernde Institut und das Auslagerungsunternehmen bei der Auslagerung zeitkritischer Prozesse und Aktivitäten aufeinander abgestimmte Notfallkonzepte zu erarbeiten haben.

Auch hier wird deutlich, dass das Notfallkonzept des Mehrmandantendienstleisters nicht das Notfallkonzept des auslagernden Instituts ersetzen kann.

Allerdings kann das auslagernde Institut wichtige Erkenntnisse aus dem Notfallkonzept des Mehrmandantendienstleisters ziehen und auch Bausteine aus diesem Konzept übernehmen.

Wesentlich bleibt hierbei, dass es eine Schnittstelle zwischen auslagerndem Institut und dem Mehrmandantendienstleister gibt. Die BaFin erwartet zudem, dass das auslagernde Institut sich bereits in der Risikoanalyse Gedanken über die Qualität des Notfallmanagements des Auslagerungsunternehmens gemacht hat.

 

Die Teilnehmer haben zum Thema Auslagerungscontrolling: Ausfall des Dienstleisters folgende Seminare besucht:

MaRisk 6.0 – neue Anforderungen an das Risikomanagement

Auslagerungen im Fokus der Bankenaufsicht

Compliance Update 2019

MaRisk-Compliance – BAIT – Interne Revision

Neue MaRisk – Risikotragfähigkeit – SREP – ICAAP

Neue MaRisk – Fahrplan für die Praxis

MaRisk-Compliance – BAIT – Interne Revision

MaRisk Compliance

Seminare Interne Revision

Seminare MaRisk

Auslagerungscontrolling: Ausfall des Dienstleisters