Einführung und Umsetzung des Auslagerungsmanagement bei einem Finanzdienstleister der Softwareprojekte für Banken mit Hilfe weiterer Dienstleister umsetzt

Herausforderung:

Die Erwartungen der Bankenaufsicht an das Auslagerungsmanagement werden durch verschiedene gesetzliche Bestimmungen und Richtlinien definiert. Dazu gehören unter anderem:

• §25a Kreditwesengesetz (KWG): Dieser Paragraph legt besondere organisatorische Pflichten für Banken und Finanzinstitute in Bezug auf Auslagerungen fest.
• §25b Kreditwesengesetz (KWG): In diesem Paragraphen werden spezifische Anforderungen an die Auslagerung von Prozessen im Bereich des Kreditwesens geregelt.
• MaRisk AT 9: Die Mindestanforderungen an das Risikomanagement (MaRisk) enthalten in Abschnitt 9 detaillierte Regelungen zur Auslagerung von Aktivitäten und Prozessen.
• Bankaufsichtliche Anforderungen an die IT (BAIT): Diese Anforderungen konkretisieren die regulatorischen Vorgaben hinsichtlich der IT-Auslagerung und geben den Banken klare Leitlinien für den Umgang mit ausgelagerten IT-Prozessen

Es ist wichtig zu beachten, dass trotz Auslagerungen die Gesamtverantwortung für das Auslagerungsmanagement weiterhin bei den Banken und Finanzinstituten liegt. Die Kontrollmechanismen wurden in den letzten Jahren immer strenger, insbesondere durch die Übernahme der EBA-Leitlinien zur Auslagerung und zum Management von IKT- und Sicherheitsrisiken in die MaRisk bzw. BAIT.

Für Banken und Finanzinstitute stellt es daher eine zunehmende Herausforderung dar, die mit Auslagerungen verbundenen Risiken angemessen zu überwachen und zu steuern. Es bedarf einer sorgfältigen Risiko-bewertung, eines effektiven Auslagerungsmanagements und der Einhaltung aller relevanten gesetzlichen Vorschriften und Richtlinien, um diese Herausforderungen erfolgreich zu bewältigen.

Vorgehensweise:

In enger Zusammenarbeit mit dem internen Team des IT Dienstleisters, bestehend aus Spezialisten/innen
hat die IT Risk Solutions diese Herausforderungen erfolgreich übernommen und umgesetzt. Regelmäßige und anlassbezogene Berichte wurden sowohl an die Geschäftsleitung des Kunden als auch an die involvierten internen Mitarbeiter erstattet.

Um das Auslagerungsmanagement erfolgreich umzusetzen, ist eine reibungslose Zusammenarbeit mit dem Lieferantenmanagement von großer Bedeutung. Es ist wichtig, klare Rollen und Verantwortlichkeiten für den Auslagerungsmanager und den Lieferantenmanager zu definieren, zuzuweisen und zu kommunizieren. Dadurch wird sichergestellt, dass beide Parteien ihre Aufgaben effektiv erfüllen und die gemeinsamen Ziele erreichen können

Aufgaben Lieferantenmangement

• First Point of Contact für den Dienstleister
• Schnittstelle zum Auslagerungs- und Vertragsmanagement
• Bewertung und Überwachung der Risiken bei ausgelagerten Dienstleistungen (Fremdbezugsbewertungen) und Abstimmung mit dem Auslagerungsmanagement
• Definition von Leistungsparametern (SLAs/KPIs) für zu erbringende Dienstleistungen
• Umsetzung / Überwachung der vereinbarten Vertragsklauseln
• Jährliche Durchführung und Protokollierung von Dienstleisterbewertungen und regelmäßigen Performance-Gesprächen
• Abstimmungen mit Auftraggebern an den Finanzdienstleister

Aufgaben Auslagerungsmangement:

• Sicherstellung der gesetzlichen und regulatorischen Anforderungen
• Erstellung / Aktualisierung der Richtlinie für das Auslagerungsmanagement
• Steuerung und Koordination des Lieferantenmanagements
• Einholen der Lieferantenfragebögen zur Informationssicherheit, Datenschutz, etc.
• Beratung der Lieferantenmanager bei der Erstellung von Fremdbezugsbewertungen
• Einordnung des Fremdbezugs als wesentliche Auslagerung oder IT-Fremdbezug
• Aufnahme von Risiken ins Risikomanagement, die sich aus der Auslagerung ergeben können
• Führung des Auslagerungsregisters
• Prüfung der Vollständigkeit der erforderlichen Dokumentation

Vorbereitung des Auslagerungsmanagement:

Der Ausgangspunkt für die Implementierung des Auslagerungsmanagements umfasst die Klassifizierung aller Fremdbezüge des Finanzdienstleisters. Dabei müssen kritische Auslagerungen, nicht wesentliche Auslagerungen und sonstige Fremdbezüge von IT-Dienstleistungen im Prozess des Auslagerungsmanagements berücksichtigt werden. Für die Sonstigen Fremdbezüge sind eigene geeignete Verfahren zur Steuerung zu etablieren. Im vorliegenden Use Case wurde die Vorbereitung des Auslagerungsmanagements des IT Dienstleisters durch die 
IT Risk Solutions umgesetzt.

Ergebnis:

Im ersten Schritt wurden alle relevanten Fremdbezüge klassifiziert. Für alle Dienstleistungen, die als Auslagerung oder externer Fremdbezug von IT-Dienstleistungen eingestuft wurden, wurde von den Lieferanten ein Lieferanten-fragebogen angefordert. Die eingehenden Lieferantenfragebögen wurden geprüft, um sicherzustellen, dass die datenschutzrechtlichen und informationssicherheitsrechtlichen Anforderungen für eine Zusammenarbeit mit diesem Dienstleister erfüllt sind. Sofern alle Voraussetzungen erfüllt waren, wurden Fremdbezugsbewertungen durchgeführt. Die Fremdbezugsbewertungen umfassen die Beurteilung der Auslagerbarkeit gemäß MaRisk AT 9 Tz. 4 und MaRisk AT Tz. 5 sowie eine Risikoanalyse gemäß MaRisk AT 9 Tz.2. Das Auslagerungsmanagement hat die Fremdbezugsbewertungen vorbereitet und sie zur Bewertungsdurchführung dem für dien Dienstleister verantwortlichen Lieferantenmanagement zugewiesen. Im weiterem Workflow werden die Fremdbezugsbewertungen der Dienstleistungen den Rollen Risikomanagement, Informationssicherheit, Notfallmanagement zur Prüfung zugwiesen. Wenn es von diesen Stellen keine Bedenken gegen eine Zusammenarbeit mit dem bewerteten Dienstleister gibt erhält die Interne Revision die Fremdbezugsbewertung zur Information und die Rollen Datenschutz und Vertragsmangement die Fremdbezugsbewertungen um in die Vertragsverhandlungen mit dem Lieferantenmangement und dem Kunden zu gehen  und die entsprechenden Verträge inklusiver KPIs, SLAs und Sicherheitsklauseln zu erstellen. Alle Fremdbezugsbwertungen werden vom Auslagerungsmangement in das Auslagerungsregister aufgenommen. Mögliche Risiken die aus der Zusammenarbeit mit den Dienstleistern entstehen können werden im Risikomanagment erfasst und es werden Maßnahmen zur Risikominderung bzw. Risikovermeidung eingeleitet. Zur Berurteilung der Qualtität der Zusammenarbeit mit den Lieferanten werden regelmässig Dienstleisterbewertungen und Diensleistergespräche durch geführt. Die Koordination erfolgt ebenfalls über Jira Workflows, die Vorgänge werden vom Auslagerungsmangement eingestellt und dem Lieferantenmanagement zugwiesen. 

Die Einhaltung dieser Schritte ist eine Voraussetzung für eine Zusammenarbeit mit einem Dienstleister. Nur wenn der Lieferantenfragebogen und die Fremdbezugsbwertungen vorliegen und postiv bewertet worden sind, darf ein Vertrag erstellt werden.  Die Prüfungen und Bewertungen der Dienstleister und Dienstleistungen werden regelmäßig und anlassbezogen wiederholt, um sicherzustellen, dass bei möglichen Abweichungen schnell reagiert werden kann und Risiken minimiert werden können. Dadurch wird gewährleistet, dass die Zusammenarbeit erfolgreich und gesetzeskonform gestaltet ist.

Prozessdarstellung: