MC-Bankrevision

Auslagerungen

Aktuelles

Die BaFin hat ein Protokoll des Sonderfachgremiums IT zum Thema "Cloud/Weiterverlagerung" aus September 2022 veröffentlicht. Dieses beschäftig sich mit Weiterverlagerungen. Für die anstehenden und laufenden Meldungen sind diese Hinweise bedeutsam. Inwieweit diese in der Praxis immer so umsetzbar sind wird sich zeigen, da dies nicht nur in der Sphäre der Bank liegt. Nachfolgend der Link zum Protokoll

Die Pflicht zur Anzeige von Auslagerungen nach § 24 Abs. 1 Nr. 19 KWG i.V. mit § 3 AnzV ist seit dem 29.11.2022 zu beachten. Nachmeldungen müssen bis zum 01.03.2023 erfolgen.

Rechtsgrundlagen

Das Auslagerungsmanagement nimmt im Rahmen der Risikomanagementprozesse einen wesentlichen Stellenwert ein. Dies muss als folgerichtig angesehen werden. Denn wenn die Bank die Prozesse selber durchführen würde, wären diese Prozesse Teil des internen Risikomanagements und die Frage nach der "Wesentlichkeit dieser Prozesse" wäre nicht notwendig. Insofern kann es nicht sein, dass eine Bank sich durch Auslagerung "exkulpieren" kann, da ein Dritter diese Aufgabe durchführt. Die relevanten Rechtsvorschriften für diese Prozesse sind auf nationaler Ebene das KWG, die MaRisk und die BAIT. Auf EU Ebene stellen die neuen Leitlinien zu Auslagerungen vom 25. Februar 2019 die relevante Vorgabe dar. Weiterhin enthalten die Leitlinien zur internen Governance (EBA/GL/2017/11), die Leitlinien für die IKT-Risikobewertung im Rahmen des aufsichtlichen Überprüfungs- und Bewertungsprozesses (SREP-EBA/GL/2017/05 11/09/2017).

Prozesse in der Bank

In der Bank ergeben sich verschiedene Prozesse, die sich mit der Auslagerungsthematik beschäftigen. Diese betreffen die three line of defense. In der first line sind insbesondere die Prozessowner und die Fachbereiche betroffen, die Auslagerungsprozesse nutzen. In der second line of defense sind insbesondere das Auslagerungsmanagemet, das Informationssicherheitsmanagement, das Risikocontrolling, der Datenschutzbereich und das Notfallmanagement betroffen. Schnittstellen zum Compliancemanagement sind gegeben. In der third linie ergeben sich jährliche Prüfungsprozesse seitens der Internen Revision. Weiterhin bestehen Schnittstellen zur "fourth line of defense", dem Aufischtsorgan, dem zumindest der Jahresbericht des Auslagerungsbereiches vorzustellen ist. Bei wesentlichen Abweichungen im Rahmen der Auftragserfüllung wesentlicher Auslagerungen ist dem Aufsichtsrat regelmäßig und umfassend zu berichten. Dies kann auch Erkenntnisse der Internen Revision einschließen.

Übersicht regelmäßiger Auslagerungen

Auslagerungssachverhalte im genossenschaftlichen Bereich sind insbesondere in nachstehenden Bereichen anzutreffen:

-IT Dienstleister (z.B. Fiducia & GAD IT AG)
-Zentralbank (z.B. DZ Bank AG)
-Risikomodelle (z.B. parcIT)
-Wertpapierabwicklungsverfahren (z.B. Deutsche WertpapierService Bank AG (dwpbank)
-Wertpapierdienstleistungen (z.B. für Risikokennzahlen im Depot A Bereich)
-Fremdbezug von Software (z.B. zur Risikosteuerung -VR Control)

Abzugrenzen sind vorgenannte wesentliche Auslagerungen nach nationalem Recht von den nicht wesentlichen Auslagerungen, z.B. im Zahlungsverkehr Nutzung von Software) sowie dem sonstigen Fremdbezug, der Zentralbankfunktion und sonstigen Dienstleistungen (z.B. Bargeldversorgung durch Wertdienstleister)

Prüfungspaket