Stellt der Abzug von Bundesbank-Geld und Einlagerung im Tresor eines Dienstleisters eine Auslagerung dar?

Ja, es handelt sich um einen Auslagerungstatbestand, für den alle genannten Anforderungen der MaRisk, des FISG und ggf. auch der EBA Guidelines für Outsourcing gelten.

Gibt es weitere Kriterien/Anhaltspunkte zur Beurteilung einer Abgrenzung zwischen "Auslagerung von IT-Diensten" und "Beschaffung von IT-Produkten (Hardware, Software)?

Hier finden Sie eine Orientierungshilfe, die Ihnen bei der Abgrenzung der beiden Begriffe hilft:

Wieviel MAK sollte ein Finanzunternehmen (Bank) für den Auslagerungverantwortlichen einplanen?

Das ist stark abhängig von der Größe und Komplexität des Unternehmens. Im Webinar habe ich die (umfangreichen) Aufgaben aufgezeigt, die der Auslagerungsbeauftragte zu erfüllen hat. Selbst bei kleinsten und wenig komplexen Instituten müssen m.E. mindestens 0,5 MAK eingeplant werden. Häufig wird die Anzahl der Auslagerungen unterschätzt. Etliche Anforderungen gelten auch für nicht wesentliche Anforderungen oder den sonstigen (IT-) Fremdbezug. Allein die operative Überwachung der Dienstleistungsqualität und das Prüfen eingehender Berichte nimmt erheblichen Zeitbedarf ein.

Des Weiteren wird auch eine gewisse Stellvertretung benötigt und der Auslagerungsbeauftragte sollte sich regelmäßig weiterbilden. Zur Orientierung ein Praxisbeispiel: Ein Institut von 250 Mio. € B.V., einzukalkulierende Ressourcen 0,70-1 MAK. Darin enthalten ist eine zeitweise Stellvertretung und auch Ausbildung.

In welchem Umfang sehen Sie das ZAM und das Dezentrale Auslagerungsmanagement in einer Organisationseinheit?

Der zentrale Auslagerungsbeauftragte muss direkt am Vorstand angebunden sein. Des Weiteren muss er auch auf "Augenhöhe" mit den zentralen Bereichen wie: Risikomanagement, Controlling, IT und Revision agieren. Das dezentrale Auslagerungsmanagement sitzt in der Regel in der IT oder den operativen Fachabteilungen. Diese kennen den jeweiligen Dienstleister zumeist gut und können auch die Qualität der Leistungserbringung am besten bewerten. Wichtig ist, dass alle dezentralen Auslagerungsmanager verantwortlich benannt sind und ihre Aufgaben festgelegt sind.

In welchem Turnus müssen Risikoanalysen wiederholt werden? Jährlich oder anlassbezogen?

Risikoanalysen müssen mindestens (!) jährlich und anlassbezogen wiederholt werden.

Was genau ist der Unterschied zwischen Risikoanalyse und Due Diligence? Kann man sagen, dass die Risikoanalyse abstrakt und die Due Diligence konkret auf den einzelnen Dienstleister bezogen ist?

Eine Risikoanalyse bezieht mehrere Perspektiven ein. Das Risiko aus dem jeweiligen ausgelagerten Prozess, die Kosten, die Auswirkungen auf das eigene Institut und dem IKS.

Eine Due Diligence bezieht sich als eine Art "Unternehmensbewertung" auf die Sicherheit und Zukunftsfähigkeit des Dienstleisters. Wenn durch einen Dienstleister mehrere Prozesse wahrgenommen werden, muss die Due Diligence nur einmal für ihn durchgeführt werden. Aber für jeden dieser Prozesse ist eine eigene Risikoanalyse notwendig.

In den Ausführungen wurde mehrmals erwähnt, dass der DAB (Dezentraler Auslagerungsbeauftragte) auch für eine (regelmäßige) Durchführung einer Kostenkontrolle der Auslagerung zuständig ist. Woraus begründet sich dies?

Läuft eine Auslagerung wirtschaftlich aus dem Rahmen, entsteht ein (nicht unerhebliches) Risiko, welches berücksichtigt werden muss. Es kann also sein, dass die Qualität des Service den Erwartungen entspricht, die Anforderungen hinsichtlich Verträgen und Reporting erfüllt werden, aber die Kosten für diese Dienstleistung aus dem Ruder laufen; leider treten diese Konstellationen gar nicht so selten auf. Gründe könnten z.B. hohe Projektkosten oder ungeplant wachsende Lizenz- oder Wartungskosten sein. Ist man dann noch in einer starken Abhängigkeit zum Dienstleister und hat keine raschen Exit-Optionen, entsteht hier eine potenzielle Gefährdung der wirtschaftlichen Situation.

Inwieweit gelten die ganzen Auslagerungsanforderungen, sei es Monitoring, Reportverpflichtungen, etc. auch für Dienstleistungen der Konzern-Mutter?

Das gilt auch für die Konzern-Mutter. Denn die Aufsicht unterscheidet ja nicht, ob eine Dienstleistung extern oder innerhalb eines Konzerns bezogen wird. Das beaufsichtigte Institut bleibt immer für die Einhaltung der regulatorischen Anforderungen verantwortlich.

Gibt es einen Arbeitskreis?

Das ist eine hervorragende Anregung, die ich sehr gerne aufnehme! Ich werde mir Gedanken über die Art, Aufgaben und Zusammensetzung eines Arbeitskreises machen!

Inwiefern sehen Sie bei den typischen Dienstleistern eine Entwicklung, um diese Reporting-Anforderungen zu erfüllen und den Kunden zur Verfügung zu stellen?

Leider sehe ich hier kaum Bewegung. Wenn überhaupt, erfolgt das Reporting weder qualitativ noch quantitativ ausreichend. Einen Dienstleister, der bereits aktiv Risikoreports liefert, habe ich leider bisher noch nicht gefunden. In Verhandlungen mit den Dienstleistern kommt auch häufig die Forderung nach mehr Entlohnung für den "Mehraufwand". Hier fehlt einfach das Verständnis für die Notwendigkeit. Die Dienstleister haben leider noch nicht verstanden, dass sie ansonsten künftig diese Prozesse -zumindest für Finanzdienstleister- nicht mehr erbringen können.

Wie sollte die Risikoanalyse für IT-Fremdbezug aussehen?

In der BAIT (Kapitel 9.2) wird "nur" eine Risikobewertung für einen IT-Fremdbezug verlangt. Art und Umfang der Risikobewertung kann das Institut unter Proportionalitätsgesichtspunkten nach Maßgabe seines allgemeinen Risikomanagements flexibel festlegen. Sicherlich wäre ein Institut nicht schlecht beraten, wenn es auch eine Risikoanalyse für den IT-Fremdbezug vornimmt, das wäre im Zweifel auch effektiv (da ja ohnehin für Auslagerungssachverhalte erforderlich). Eine aufwändige Szenarioanalyse muss dabei nicht erfolgen.

Gibt es spezielle Anforderungen an die Auslagerungen in ein Drittland ?

Zum einen muss der Dienstleister über die erforderlichen Zulassungen in seinem Land verfügen und nach dem FISG ist ein inländischer Zustellungsbevollmächtigter zu benennen.

Kennt das FISG das Thema "Proportionalität", wie es in den MaRisk verankert ist?

Nein, nirgendwo im FSIG findet sich ein Hinweis auf die Proportionalität.

Ausführliche Informationen finden Sie im Whitepaper Outsourcing. Haben Sie weitere Fragen zum Thema Outsourcing? Dann kontaktieren Sie mich.