Aufrufe
vor 5 Jahren

die bank 07 // 2018

die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

REGULIERUNG

REGULIERUNG AUSLAGERUNGSSACHVERHALTE UNTER MARISK Erschweren neue Vorgaben die Einführung von RPA? In der Novellierung der MaRisk, die im Oktober 2017 vorgestellt wurde, beschreibt das Modul AT 9 Ergänzungen und Konkretisierungen zu den Anforderungen an ein zentrales Auslagerungsmanagement. Dadurch, sowie durch die Schärfung des Umgangs mit Software und IT-Dienstleistungen, entstehen neue Fragestellungen. Handelt es sich beispielsweise beim Bezug von Unterstützungssoftware oder Dienstleistungen vor dem Hintergrund der Robotic Process Automation (RPA) um eine „Auslagerung“ oder um einen „sonstigen Fremdbezug“ nach AT 9? In diesem Beitrag wird der neue Regelungsinhalt der Mindestanforderungen an das Risikomanagement (MaRisk), die von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) am 27.Oktober 2017 veröffentlicht wurden vorgestellt. Zudem werden die Funktionalitäten und Einsatzweisen von RPA-Software in der Bankenpraxis daraufhin analysiert, ob diese die Tatbestandsmerkmale einer Auslagerung erfüllen. Besonderes Augenmerk legen die Autoren hierbei auf die Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation von Risiken, da im Allgemeinen Teil (AT) 9 der MaRisk ein verschärfter Fokus auf dem Risikomanagement und dem Einsatz von Software liegt. Die Anforderungen an die Steuerung und Überwachung von Auslagerungen (begriffliche Veränderung von Outsourcing zu Auslagerungen) wurden in AT 9 ergänzt und konkretisiert, sodass es sich vielfach um eine Klarstellung der Aufsicht und ein Annähern an Leading Practices handelt. Dennoch stehen einige Institute vor der Herausforderung, ihre Aufbau- und Ablauforganisation rund um Auslagerungen anzupassen und ein zentrales Auslagerungsmanagement zu installieren. Dieses wird mit Dokumentations-, Überwachungs- und Koordinationspflichten, der Analyse und Steuerung von (Auslagerungs-)Risiken sowie dem Umgang mit Software und hierbei erbrachten IT- Dienstleistungen im Hinblick auf die Erfüllung eines Auslagerungstatbestands betraut. 44 07 // 2018

REGULIERUNG Die Vorgaben sind dabei nicht losgelöst vom Kreditwesengesetz (KWG) und im Kontext weiterer regulatorischer (IT) Anforderungen zu betrachten, wie etwa den bankaufsichtlichen Anforderungen an die IT (BAIT) vom 3. November 2017, den Leitlinien zum Outsourcing des Committee of European Banking Supervisors (CEBS) vom 14. Dezember 2006 oder der finalen Fassung vom 20. Dezember 2017 zum Thema Cloud Outsourcing der European Banking Authority (EBA). Diese neu formulierten Vorgaben zeigen deutlich, dass die Aufsicht der IT in Verbindung mit Governance einen sehr hohen Stellenwert einräumt. Auslagerungen in Verbindung mit ITund Digitalisierungsfragestellungen sind somit für alle Institute besonders aktuell und weitgehend neu. Gegenüber dem inoffiziellen Zwischenentwurf der MaRisk wurde die Abgrenzung zwischen Auslagerung und sonstigem Fremdbezug noch weiter geschärft, sodass ein rein isolierter Bezug von Software weiterhin als sonstiger Fremdbezug angesehen werden kann. Ein Auslagerungssachverhalt liegt jedoch immer dann vor, wenn die Software für wesentliche bankgeschäftliche Aufgaben eingesetzt wird oder aber umfangreiche Unterstützungsleistungen vonseiten des Anbieters zur Identifizierung, Beurteilung, Steuerung und Überwachung und Kommunikation von Risiken vorliegen – insbesondere im Risikomanagement. Diese sind wie folgt definiert: Z die Anpassung der Software an die Erfordernisse des Kreditinstituts, Z die entwicklungstechnische Umsetzung von Änderungswünschen (Programmierung), Z das Testen, die Freigabe und die Implementierung der Software in die Produktionsprozesse beim erstmaligen Einsatz und bei wesentlichen Veränderungen insbesondere von programmtechnischen Vorgaben, Z Fehlerbehebung (Wartung) gemäß der Anforderungs-/ Fehlerbeschreibung des Auftraggebers oder Herstellers, Z sonstige Unterstützungsleistungen, die über die reine Beratung hinausgehen. Der Betrieb einer Software durch externe Dritte ist immer als Auslagerungstatbestand einzustufen. Die Herausforderungen für Institute sind vielschichtig und bestehen u. a. in der Analyse bereits bestehender Auslagerungen und solcher Sachverhalte, die bislang nicht als Auslagerung eingestuft wurden. Im Zuge der fortschreitenden Digitalisierungs- und Automatisierungsvorhaben von Instituten zur Effizienzsteigerung und Kostensenkung entstehen auf dem Markt immer mehr Produkte und Lösungen, die die Institute bei ihrem Vorhaben unterstützen sollen. So auch Robotics Process Automation, kurz RPA. 07 // 2018 45

die bank