Welche Auslagerungsrisiken und IKT-Auslagerungsrisiken sind zu beachten? Im Rahmen des Managements der operationellen Risiken nennt die EBA mehrere Unterkategorien, welche die zuständigen Behörden beim SREP berücksichtigen müssen. Hierzu gehören auch Auslagerungsrisiken sowie Informations- und Kommunikationstechnologie-Risiken (IKT-Risiken).
IKT-Auslagerungsrisiken
Das „IKT-Auslagerungsrisiko“ besteht darin, dass die Beauftragung eines Dritten oder eines anderen Gruppenunternehmens durch die Bereitstellung von IKT-Systemen, oder der Erbringung damit zusammenhängender Dienstleistungen, das Leistungs- und Risikomanagement des Institutes negativ beeinflusst. Somit handelt es sich um eine Mischform aus den genannten Unterkategorien.
Im Rahmen des SREP sollten die zuständigen Behörden bewerten, ob die Auslagerungsstrategie des Institutes wie vorgesehen auf IKT-Auslagerungen angewendet wird. Hier sollen die Behörden vor allem bewerten, ob das Institut einen wirksamen Rahmen für die Ermittlung, das Verständnis und die die Bewertung des IKT-Auslagerungsrisikos etabliert hat. Insbesondere sollte das Institut über Kontrollen und ein Kontrollumfeld zur Reduzierung von Risiken verfügen, welche der Größe, den Geschäftsaktivitäten und dem Risikoprofil des Institutes entsprechen.
Bewertung der Auswirkungen von IKT-Auslagerungen
Hierbei soll auch eine angemessene Bewertung der Auswirkungen von IKT-Auslagerungen auf das Risikomanagement des Institutes im Zusammenhang mit der Nutzung von Dienstanbietern und deren Dienstleistungen während des Beschaffungsprozesses durchgeführt werden. Diese sollte dokumentiert und von der Geschäftsleitung bei der Entscheidung für oder gegen die Auslagerung von Diensten berücksichtigt werden. Das Institut sollte auch die Vorgaben zum IKT-Risikomanagement sowie die IKT-Kontrollen und das Kontrollumfeld des Dienstanbieters überprüfen. Somit kann es sicherstellen, dass die internen Ziele im Hinblick auf das Risikomanagement und die Risikobereitschaft erfüllt werden.
Während des Auslagerungszeitraumes sollte diese Überprüfung regelmäßig aktualisiert werden. Dabei sind die Merkmale der ausgelagerten Dienstleistungen zu berücksichtigen. Zudem sollten die IKT-Risiken der ausgelagerten Dienstleistungen während des Auslagerungszeitraumes im Rahmen des Risikomanagements überwacht werden, deren Ergebnis in die Berichterstattung einfließt. Außerdem sollten eine Überwachung und ein Vergleich des Dienstleistungsniveaus mit den vertraglich vereinbarten Vorgaben stattfinden, die Bestandteil des Auslagerungsvertrages oder der Dienstleistungsvereinbarung sein sollten.
Mitarbeiter, Ressourcen und Kompetenzen zur Überwachung und Steuerung der IKT-Auslagerungsrisiken
Schlussendlich sollten die Behörden prüfen, ob geeignete Mitarbeiter, Ressourcen und Kompetenzen zur Überwachung und Steuerung der IKT-Risiken, die von den Auslagerungen ausgehen, verfügbar sind. Im Zusammenhang mit Auslagerungsrisiken wird mittlerweile allgemeiner auf „Dritt-Partei-Risiken“ abgestellt. Der Baseler Ausschuss für Bankenaufsicht hat Ende 2018 festgestellt, dass die regulatorischen Rahmenbedingungen für Auslagerungen relativ gut etabliert sind und sehr viele Gemeinsamkeiten aufweisen. Jedoch gibt es noch keinen gängigen Ansatz zum Umgang mit Dritt-Partei-Risiken über ausgelagerte Dienstleistungen hinaus, der einen anderen Umfang an Regulierungs- und Aufsichtsmaßnahmen impliziert.
Aktives Management der Abhängigkeiten von Dritten über die gesamte Wertschöpfungskette
Dritte können zwar kostengünstige Lösungen zur Erhöhung der Widerstandsfähigkeit bereitstellen, jedoch unterliegt es den Instituten, ein angemessenes Verständnis und ein aktives Management der Abhängigkeiten von Dritten über die gesamte Wertschöpfungskette hinweg nachzuweisen. Somit sollte ein ausgewogenes Modell der Verantwortlichkeiten etabliert werden, vor allem bei Dritten, die der Bankenaufsicht nicht unterliegen. Daraus folgt, dass bei der Zusammenarbeit mit Dritten, die selbst beaufsichtigt werden, andere Maßstäbe angesetzt werden können. Zum Beispiel könnte in diesem Fall auf eine Duplizierung von Steuerungs- und Überwachungsprozessen weitgehend verzichtet werden, wenn den auslagernden Instituten hinreichende Mitwirkungsrechte beim Dritten eingeräumt werden.
Wir verwenden Cookies
Wir benötigen Ihre Zustimmung, bevor Sie unsere Website weiter besuchen können.Wenn Sie unter 16 Jahre alt sind und Ihre Zustimmung zu freiwilligen Diensten geben möchten, müssen Sie Ihre Erziehungsberechtigten um Erlaubnis bitten.Wir verwenden Cookies und andere Technologien auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern.Personenbezogene Daten können verarbeitet werden (z. B. IP-Adressen), z. B. für personalisierte Anzeigen und Inhalte oder Anzeigen- und Inhaltsmessung.Weitere Informationen über die Verwendung Ihrer Daten finden Sie in unserer Datenschutzerklärung.Sie können Ihre Auswahl jederzeit unter Einstellungen widerrufen oder anpassen.Einige Services verarbeiten personenbezogene Daten in den USA. Mit Ihrer Einwilligung zur Nutzung dieser Services stimmen Sie auch der Verarbeitung Ihrer Daten in den USA gemäß Art. 49 (1) lit. a DSGVO zu. Das EuGH stuft die USA als Land mit unzureichendem Datenschutz nach EU-Standards ein. So besteht etwa das Risiko, dass US-Behörden personenbezogene Daten in Überwachungsprogrammen verarbeiten, ohne bestehende Klagemöglichkeit für Europäer.
Wenn Sie unter 16 Jahre alt sind und Ihre Zustimmung zu freiwilligen Diensten geben möchten, müssen Sie Ihre Erziehungsberechtigten um Erlaubnis bitten.Wir verwenden Cookies und andere Technologien auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern.Personenbezogene Daten können verarbeitet werden (z. B. IP-Adressen), z. B. für personalisierte Anzeigen und Inhalte oder Anzeigen- und Inhaltsmessung.Weitere Informationen über die Verwendung Ihrer Daten finden Sie in unserer Datenschutzerklärung.Einige Services verarbeiten personenbezogene Daten in den USA. Mit Ihrer Einwilligung zur Nutzung dieser Services stimmen Sie auch der Verarbeitung Ihrer Daten in den USA gemäß Art. 49 (1) lit. a DSGVO zu. Das EuGH stuft die USA als Land mit unzureichendem Datenschutz nach EU-Standards ein. So besteht etwa das Risiko, dass US-Behörden personenbezogene Daten in Überwachungsprogrammen verarbeiten, ohne bestehende Klagemöglichkeit für Europäer.Hier finden Sie eine Übersicht über alle verwendeten Cookies. Sie können Ihre Einwilligung zu ganzen Kategorien geben oder sich weitere Informationen anzeigen lassen und so nur bestimmte Cookies auswählen.