- Welche ausgelagerter Aktivitäten und Prozesse sind nach § 25b KWG einzubeziehen?
- Keine Auslagerungen im Sinne des § 25b KWG
- Anforderungen der Prüfungsberichtsvorordnung an die Berichtserstattung über das Auslagerungsmanagement
- Begriffsdefinition Auslagerung nach MaRisk
- Sonstige institutstypische Dienstleistungen – Begriffsdefinition nach MaRisk
- Beispiele zu: Keine Auslagerung – sonstiger Fremdbezug von Leistungen
- Beispiele zu: Auslagerung – Keine Einstufung als sonstiger Fremdbezug
- Auslagerungsmanagement muss in der Strategie abgebildet werden
- Auslagerungen und Konzentrationsrisiken
Welche Auslagerungen sind zwingend als kritisch/ wesentlich einzustufen?
- IKT-Verfügbarkeits- und Kontinuitätsrisiko: Unangemessenes Kapazitätsmanagement
- IKT-Sicherheitsrisiko: Cyber-Angriffe und sonstige externe IKT-basierte Angriffe
- IKT-Änderungsrisiko: Unangemessene Kontrollen von IKT-Systemänderungen und IKT-Entwicklungen
- IKT-Datenintegritätsrisiko: Fehlerhaft kontrollierte Datenänderungen
- IKT-Auslagerungsrisiko: Unzureichende Resilienz der Dienste von Drittanbietern oder anderer Gruppenunternehmen
Zielgruppe zum Seminar Welche Auslagerungen sind zwingend als kritisch/ wesentlich einzustufen?
- Vorstände und Geschäftsführer bei Banken, Finanzdienstleistern, Kapitalanlage- und Fondsgesellschaften, Leasing- und Factoring-Gesellschaften
- Führungskräfte und Spezialisten aus den Bereichen Auslagerungsmanagement, Risikocontrolling, Compliance, IT-Sicherheit und Interne Revision
Dein Nutzen:
- Solide Governance Regelungen als Basis für das Auslagerungsmanagement
- Schnittstelle Auslagerungsbeauftragter und Informationssicherheitsbeauftragter
- Pre-Outsourcing Analyse nach MaRisk AT 9 und EBA-Leitlinien
Dein Vorsprung:
Jeder Teilnehmer erhält mit dem Seminar Welche Auslagerungen sind zwingend als kritisch/ wesentlich einzustufen? folgende S+P Produkte:- Leitfaden für das zentrale Auslagerungsmanagement (Umfang ca. 30 Seiten)
- Muster-Reporting für Auslagerungsbeauftragte
- S+P Check: Anforderungen an KPI’s und Service-Level-Agreements
Dein Programm:
Solide Governance Regelungen als Basis für das Auslagerungsmanagement
- Verschärfte Anforderungen an die Risikobewertung von Auslagerungsvereinbarungen:
- Welche Auslagerungen sind zwingend als kritisch/wesentlich einzustufen?
- Operationelle Risiken und Reputationsrisiken
- Bewertung des Step-in-Risikos
- Unternehmens- und sektorspezifische Konzentrationsrisiken
- Kontroll- und/oder Interessenskonflikt
- Bewertung von Vertragsgestaltung, Leistungskontrollen und organisatorischer Vorgaben:
- MaRisk-Protokoll 03/2018: Neue Präzisierung von Zustimmungsvorbehalten und weitreichenden Informationsrechten
- Neue Vorgaben an Kontroll- und Berichtspflichten bei Dienstleistern und Auslagerungsbeauftragten
- Optimierung der Kennzahlen zur Risiko- und Performance Messung (KPIs)
- Neue Vorgaben des FISG an das Auslagerungscontrolling
Schnittstelle Auslagerungsbeauftragter und Informationssicherheitsbeauftragter
- FISG + EBA-Leitfaden Outsourcing: Erweiterte Anforderungen an das Outsourcing
- Was sind sonstige institutstypische Dienstleistungen?
- BAIT-Anforderungen an die individuelle Datenverarbeitung
- Verschärfte Auflagen bei Auslagerungen in Drittstaaten
- Risikobewertung bei IT-Fremdbezug:
- Ermittlung des IT-Schutzbedarfs und Festlegen eines Sollmaßnahmenkatalogs
- EBA Leitlinie IKT: 5 Kategorien für schwerwiegende IKT-Risiken
Pre-Outsourcing Analyse nach MaRisk AT 9 und EBA-Leitlinien
- Mindestanforderungen an die Due Diligence Prüfung eines künftigen Dienstleisters:
- Durchführung der qualitativ verschärften Risikoanalyse auf Basis einheitlicher Scoring-Kriterien
- Wann muss zwingend eine Einstufung als kritische/wesentliche Auslagerung erfolgen?
- Einschätzung von Risikogehalt und Risikokonzentration bei Auslagerungen mehrerer Aktivitäten an einen Dienstleister
- IKS-Controlling mit ISB, Datenschutz, BCM und Notfallkonzept:
- Maßstäbe für Steuerungs- und Kontrolltätigkeiten und deren Durchführung
- Prüfungssichere Bewertung von Ausstiegsstrategien und Notfallplänen
- Definition einer maximalen Schlechtleistung eines externen Dienstleisters
- Überwachung der Leistungserbringung