Aufrufe
vor 3 Jahren

die bank 01 // 2021

  • Text
  • Institut
  • Digitale
  • Anforderungen
  • Risiken
  • Zukunft
  • Unternehmen
  • Digitalen
  • Institute
  • Zahlungsverkehr
  • Banken
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

REGULIERUNG Impact

REGULIERUNG Impact Analyse) wird über abgestufte Zeiträume betrachtet, welche Folgen eine Beeinträchtigung von Aktivitäten und Prozessen für den Geschäftsbetrieb haben kann. Art und Umfang des (im-) materiellen Schadens sowie Auswirkung des Zeitpunkts des Ausfalls auf den Schaden sind dabei wichtige Analysebereiche. Das Notfallkonzept für Notfallszenarien muss gemäß AT 7.3 Tz. 2 Geschäftsfortführungs- sowie Wiederherstellungspläne umfassen. Im Notfallkonzept werden Verantwortlichkeiten, Ziele und Maßnahmen zur Fortführung oder Wiederherstellung von zeitkritischen Aktivitäten und Prozessen bestimmt. So muss im Konzept dargestellt sein, welche Ersatzlösungen im Notfall zeitnah zur Verfügung stehen und wie eine Rückkehr zum Normalbetrieb verlaufen soll. Das Institut soll mindestens folgende Notfallszenarien berücksichtigen: (Teil-) Ausfall eines Standorts, erheblicher Ausfall von IT- Systemen oder Kommunikationsinfrastruktur, Ausfall einer kritischen Anzahl von Mitarbeitern sowie Ausfall von Dienstleistern. Bei Notfällen ist zudem eine angemessene interne und externe Kommunikation sicherzustellen. Wirksamkeit des Notfallkonzepts regelmäßig prüfen Der neue AT 7.3 Tz. 3 verlangt, dass die Wirksamkeit und Angemessenheit des Notfallkonzepts regelmäßig überprüft wird. Die Häufigkeit und der Umfang der Überprüfungen sollen sich grundsätzlich an der Gefährdungslage orientieren. Im Fall der Auslagerung von zeitkritischen Aktivitäten und Prozessen haben das auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzepte zu verfügen, die für alle relevanten Szenarien mindestens jährlich und anlassbezogen überprüft werden müssen. Die Überprüfungen, bei denen die Dienstleister angemessen einzubinden sind, beinhal- ten aus Sicht der Aufsicht insbesondere einen Test der technischen Vorsorgemaßnahmen, Kommunikations-, Krisenstabs- und Alarmierungsübungen sowie Ernstfall- oder Vollübungen. Die Ergebnisse der Überprüfungen des Notfallkonzepts sind zu protokollieren, den jeweiligen Verantwortlichen schriftlich mitzuteilen und hinsichtlich notwendiger Verbesserungen zu analysieren. Auslagerung (AT 9) Die Anforderungen an das Management von Auslagerungsrisiken (AT 9) wurden schon im Zuge der MaRisk 6.0 im Jahr 2017 überarbeitet und werden nun in bestimmten Bereichen verschärft und ergänzt, um die EBA-Outsourcing-Leitlinien umzusetzen. Die Änderungen betreffen den gesamten Auslagerungsprozess. So werden die Anforderungen zur Risikoanalyse und zur Bestimmung der Wesentlichkeit, zur Befugnis der Leistungserbringung des Auslagerungsunternehmens, zur Ausgestaltung des Auslagerungsvertrags sowie zur Steuerung und Überwachung der Risiken von Auslagerungsvereinbarungen erweitert oder präzisiert. Das Institut hat gemäß AT 9 Tz. 2 eine regelmäßige und anlassbezogene Risikoanalyse durchzuführen, für die aufgrund der EBA-Outsourcing-Leitlinien einige Klarstellungen zu den zu erfassenden Risiken und den möglichen Risikotreibern erfolgen. Anhand der Risikoanalyse muss ein Institut bewerten, welche Risiken mit einer Auslagerung verbunden sind. Darüber hinaus muss auch eigenverantwortlich vom Institut festgelegt werden, welche Auslagerungen von Aktivitäten und Prozessen unter Risikogesichtspunkten wesentlich sind. Als Risikotreiber sind dabei insbesondere folgende Faktoren zu berücksichtigen: mehrere Auslagerungsvereinbarungen oder Auslagerungsverträge mit demselben Auslagerungsunternehmen, Eignung des Auslagerungsunternehmens, Schutzbedarf der an das Auslagerungsunternehmen übermittelten Daten, mögliche Interessenkonflikte, Kosten der Auslagerungen, Risiken aus 28 01 // 2021

REGULIERUNG Auslagerung darf also nicht zu einer Delegation der Verantwortung der Geschäftsleitung an das Auslagerungsunternehmen führen. Neu aufgenommen wird in den Regelungstext der Hinweis, dass Institute nach Auslagerungen nicht nur noch als leere Hülle (Empty Shell) existieren dürfen. Zu der Befugnis der Leistungserbringung des Auslagerungsunternehmens wird von der Aufsicht klargestellt, dass das Institut sicherstellen muss, dass das Auslagerungsunternehmen nach dem Recht seines Sitzlands zur Ausübung der ausgelagerten Aktivitäten befugt ist. Zudem muss das Auslagerungsunternehmen über dazu ggf. erforderliche Erlaubnisse und Registrierungen verfügen. Der AT 9 Tz. 5 (bislang Tz. 4) enthält die allgemeine Regelung, dass bei einer Auslagerung von Aktivitäten und Prozessen in Kernbankbereichen und in den wichtigen Kontrollbereichen das Institut weiterhin über Kenntnisse und Erfahrungen verfügt, die eine wirksame Überwachung der vom Auslagerungsunternehmen erbrachten Dienstleistungen gewährleisten. Ziel ist es also, die Kontrollfunktionen möglichst in den Instituten zu belassen und dadurch dem Verlust von dringend benötigter Expertise vorzubeugen. Als Kontrollbereiche werden von der Aufsicht explizit Risikocontrolling, Compliance und Interne Revision genannt. Eine vollständige Auslagerung dieser Kontrollbereiche ist bei nicht wesentlichen Tochterunternehmen innerhalb einer (Instituts-) Gruppe möglich. Aufgrund der abgewandelten Formulierung in der Tz. 5 ist unter bestimm- Weiterverlagerungen, politische Risiken sowie Maßnahmen zur Steuerung und Minderung der Risiken. AT 9 Tz. 11 stellt klar, dass die Risikoanalyse eines Instituts auch die Bewertung der mit einer Weiterverlagerung von Aktivitäten und Prozessen verbundenen Risiken mit einschließt. Bedeutsam in diesem Zusammenhang ist die Bewertung der Wesentlichkeit von Weiterverlagerungen. Dass lange und komplexe Auslagerungsketten die Fähigkeit zur Überwachung der ausgelagerten Aktivitäten und Prozesse einschränken können, sollte ebenfalls als Risiko bewertet werden. Klarstellungen zu den Grenzen der Auslagerung Im AT 9 Tz. 4 (bislang Tz. 3) erfolgen einige Klarstellungen zu den Möglichkeiten und Grenzen der Auslagerung. Grundsätzlich sind – wie bisher – Aktivitäten und Prozesse auslagerbar, solange dadurch die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Abs. 1 KWG nicht beeinträchtigt wird. Die ten Voraussetzungen auch die vollständige Auslagerung der besonderen Kontrollfunktionen an Schwesterinstitute innerhalb einer Institutsgruppe möglich. Die Geschäftsleitung hat gemäß AT 9 Tz. 9 auch weiterhin einen zentralen Auslagerungsbeauftragten zu benennen, der unter anderem ein angemessenes Auslagerungsmanagement gemäß Tz. 11 implementieren und weiterentwickeln soll und der zudem die Einhaltung institutsinterner und gesetzlicher Anforderungen bei Auslagerungen überwachen soll. Der Auslagerungsbeauftragte ist der Geschäftsleitung unmittelbar zu unterstellen. Er unterstützt die Geschäftsleitung bei der Steuerung und Überwachung von mit Auslagerungen verbundenen Risiken. Kleinere, weniger komplexe Institute können diese Funktion auch einem Mitglied der Geschäftsleitung des Instituts übertragen, sofern mindestens eine klare Trennung von Aufgaben und Zuständigkeiten für das Management und die Kontrolle von Auslagerungsvereinbarungen sichergestellt ist. Größere Institute oder Institute mit umfangreicheren Auslagerungslösungen haben gem. AT 9 Tz. 12 ein Auslagerungsmanagement einzurichten, das angemessene Kontroll- 01 // 2021 29

die bank