(openPR) Aktuelle, vollständige und richtige Erfassung von Auslagerungen & Fremdbezügen
Die Anforderungen an das zentrale und einheitliche Auslagerungsregister sind durch die Ma‐ Risk-Novelle deutlich erweitert worden. Für wesentliche Auslagerungen sind nun bis zu 20 Merkmale je Auslagerung zu erfassen und an die Aufsicht zu melden. Wesentliche Neuerungen ergeben sich insbesondere bei der Erfassung des Datums der letzten Risikoanalyse mit einer Zusammenfassung der wesentlichen Ergebnisse sowie dem Datum der nächsten Analyse. Ebenso sind beispielweise der Genehmiger der Auslagerung, die Bewertung der Ersetzbarkeit des Dienstleisters mit ggf. alternativen Dienstleistern zu hinterlegen und eine Einschätzung der Zeitkritikalität der ausgelagerten Prozesse zu dokumentieren. Alle wesentlichen Weiterverlagerungen (inkl. Ort des Sub-Dienstleisters und ggf. Ort der Datenhaltung) sind zu erfassen.
Das Auslagerungsregister ist auf Verlangen der Aufsichtsbehörden zugänglich zu machen ist. Das neue Finanzmarktstabilisierungsgesetz (FiSG) verlangt sogar die Meldung einer beabsichtigten wesentlichen Auslagerung und deren Vollzug sowie wesentliche Änderungen und schwerwiegende Vorfälle im Rahmen von bestehenden wesentlichen Auslagerungen an die Aufsicht. Die praktische Umsetzung dieser Vorgaben wird viele betroffene Institute vermutlich vor eine Herausforderung stellen. Bei Cloud- Auslagerungen haben die Institute die Cloud- Dienstleistungs- und -Bereitstellungsmodelle (public/private Cloud) sowie die spezifische Art der Daten (Produktion, Backup) und deren Standorte (Ort der Datenspeicherung) bei der Auslagerung von Funktion an einen Cloud-Anbieter umfassend zu dokumentieren. Oft besteht in den Instituten jedoch kein einheitlicher Prozess zur Aktualisierung der bestehenden Verträge bei Anpassungen der Vorgaben (MaRisk, BAIT, Datenschutz etc.) und bestehende Auslagerungsvereinbarungen sind unvollständig bzgl. messbarer Leistungs- und Qualitätsvorgaben sowie der konkreten Festlegung von ISM-/BCM-Vorgaben, IT-Notfallplanung oder Prüfrechten.
In der Veranstaltung berichten die Referenten aus ihrer Auslagerungsmanagement-Praxis und geben wertvolle Hinweise und Praxistipps zur risikoorientierten und prüfungssicheren Ausgestaltung der neuen Anforderungen an das Auslagerungsregister und das Auslagerungsmanagement.
Folgende Themen werden schwerpunktmäßig behandelt:
- MaRisk-konforme Erfassung von Auslagerungsverträgen und Service Level Agreements (SLAs)
- Dokumentation der Risikoanalyse-Ergebnisse, des Auslagerungs- Genehmigungs-Prozesses (Auslagerungsverantwortlicher!)
- Vollständige Hinterlegung der Sub-Dienstleister-Informationen bei Weiterverlagerungen
- Neue Meldepflicht für beabsichtigte wesentliche Auslagerung
- Abbildung von Outsourcing-Konzentrationen im Auslagerungsregister
- Erfassungen von Cloud-Auslagerungen im Cloud-Register
Weitere Informationen erhalten Sie unter: Auslagerungsregister & Cloud-Register | AH Akademie für Fortbildung Heidelberg GmbH (akademie-heidelberg.de)
