Welche Pflichten hat ein Auslagerungsbeauftragter?

Welche Pflichten hat ein Auslagerungsbeauftragter? Das Finanzinstitut hat abhängig von der Art, dem Umfang und der Komplexität der Auslagerungsaktivitäten einen Auslagerungsbeauftragten zu bestellen.

Zu den Aufgaben des zentralen Auslagerungsmanagements und / oder Auslagerungsbeauftragten zählen insbesondere:

1. Implementierung und Weiterentwicklung eines angemessenen Auslagerungsmanagements und entsprechender Kontroll- und Überwachungsprozesse,
2. Erstellung und Pflege einer vollständigen Dokumentation der Auslagerungen (einschließlich Weiterverlagerungen),
3. Unterstützung der Fachbereiche bezüglich der institutsinternen und gesetzlichen Anforderungen bei Auslagerungen,
4. Koordination und Überprüfung der durch die zuständigen Bereiche durchgeführten Risikoanalyse.

Der Auslagerungsbeauftragte bzw. das zentrale Auslagerungsmanagement hat mindestens jährlich sowie anlassbezogen einen Bericht über die wesentlichen Auslagerungen zu erstellen und der Geschäftsleitung zur Verfügung zu stellen.

Der Bericht hat eine Aussage darüber zu treffen, ob die erbrachten Dienstleistungen der Auslagerungsunternehmen den vertraglichen Vereinbarungen entsprechen, die ausgelagerten Aktivitäten und Prozesse angemessen gesteuert und überwacht werden können und ob weitere risikomindernde Maßnahmen ergriffen werden sollen.

Das Seminar Sachkunde für Auslagerungsbeauftragte online buchen. Bequem und einfach mit dem Seminarformular online und der Produkt Nr. A21.

Welche Pflichten hat ein Auslagerungsbeauftragter?

Als Auslagerungsbeauftragter müssen Sie die folgenden 14 Punkte bei der Abgrenzung von Auslagerungen und Fremdbezug nach MaRisk prüfen:

1. Welche ausgelagerten Aktivitäten und Prozesse sind nach § 25b KWG einzubeziehen?
2. Keine Auslagerungen im Sinne des § 25b KWG
3. Anforderungen der Prüfungsberichtsverordnung an die Berichterstattung über das Auslagerungsmanagement
4. Begriffsdefinition Auslagerung nach MaRisk
5. Sonstige institutstypische Dienstleistungen – Begriffsdefinition nach MaRisk
6. Beispiele zu: Keine Auslagerung – sonstiger Fremdbezug von Leistungen
7. Stellt das Depot A Management mit Spezialfonds eine Auslagerung dar?
8. Sind die von KVGs bereitgestellten Risikokennzahlen als Auslagerung einzustufen?
9. EBA-Leitlinien mit Katalog zu Dienstleistungen, die keine Auslagerung darstellen
10. Beispiele zu: Auslagerung – Keine Einstufung als sonstiger Fremdbezug
11. Auslagerungsmanagement muss in der Strategie abgebildet werden
12. Auslagerungen und Konzentrationsrisiken
13. Protokoll zur Sondersitzung des Fachgremiums MaRisk am 15.03.2018 in Bonn (BaFin) Thema: Auslagerung
14. Verschärfte Anforderungen der EBA Guidelines on outsourcing arrangements Februar 2019

Gesetzgeber stellt hohe Anforderungen an die Finanzinstitute

Eine Auslagerung darf die ordnungsgemäße Durchführung der Bankgeschäfte, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen sowie die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Abs. 1 KWG nicht beeinträchtigen.

Die ausgelagerten Aktivitäten und Prozesse müssen in das Risikomanagement des auslagernden Institutes einbezogen werden.

Eine Auslagerung darf nicht zu einer Delegation (Übertragung) der Verantwortung der Geschäftsleiter des Institutes an das Auslagerungsunternehmen führen.

Das Institut bleibt auch bei einer Auslagerung für die Einhaltung der vom Institut zu beachtenden gesetzlichen Bestimmungen verantwortlich.

Durch eine Auslagerung darf die BaFin an der Wahrnehmung ihrer Aufgaben nicht gehindert werden. Ihre Auskunfts- und Prüfungsrechte sowie Kontrollmöglichkeiten müssen in Bezug auf die ausgelagerten Aktivitäten und Prozesse auch bei einer Auslagerung auf ein Unternehmen mit Sitz in einem Staat des Europäischen Wirtschaftsraumes oder einem Drittstaat durch geeignete Vorkehrungen gewährleistet werden. Entsprechendes gilt für die Wahrnehmung der Aufgaben der Prüfer des Institutes.

Eine Auslagerung bedarf einer schriftlichen Vereinbarung, welche die zur Einhaltung der vorstehenden Voraussetzungen erforderlichen Rechte des Institutes, einschließlich Weisungs- und Kündigungsrechten, sowie die korrespondierenden Pflichten des Auslagerungsunternehmens festlegt.

Begriffsdefinition Auslagerung nach MaRisk – Welche Pflichten hat ein Auslagerungsbeauftragter?

Gemäß MaRisk AT9 gilt folgende Auslagerungsdefinition:

Eine Auslagerung liegt vor, wenn ein anderes Unternehmen mit der Wahrnehmung solcher Aktivitäten und Prozesse im Zusammenhang mit der

• Durchführung von Bankgeschäften,
• Finanzdienstleistungen oder
• sonstigen institutstypischen Dienstleistungen

beauftragt wird, die ansonsten vom Institut selbst erbracht würden.

Zivilrechtliche Gestaltungen und Vereinbarungen können dabei das Vorliegen einer Auslagerung nicht ausschließen.

Eine Auslagerung im Sinne des § 25b Abs. 1 KWG in Verbindung mit AT 9 Tz. 1 MaRisk, für die die erhöhten Anforderungen des AT 9 Tz. 5 bis 9 erfüllt werden müssen, liegt demnach nur vor, wenn die ausgelagerten Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von

• Bankgeschäften,
• Finanzdienstleistungen oder
• sonstigen institutstypischen Dienstleistungen

stehen und wesentlich im Sinne von § 25b Abs. 1 KWG sind.

Dabei ist es unerheblich,

• welche Rechtsform das Auslagerungsunternehmen besitzt,
• ob eine Auslagerung dauerhaft sein soll oder nicht,
• ob ein Beteiligungsverhältnis zwischen Institut und Auslagerungsunternehmen besteht

oder

• ob die auszulagernden Aktivitäten und Prozesse räumlich vom Institut getrennt werden oder nicht.

Zielgruppe zum Seminar Sachkunde für Auslagerungsbeauftragte

• Vorstände und Geschäftsführer bei Banken, Finanzdienstleistern, Kapitalanlage- und Fondsgesellschaften, Leasing- und Factoring-Gesellschaften
• Führungskräfte und Spezialisten aus den Bereichen Auslagerungsmanagement, Risikocontrolling, Compliance, IT-Sicherheit und Interne Revision

Dein Nutzen:

• Solide Governance Regelungen als Basis für das Auslagerungsmanagement
• Schnittstelle Auslagerungsbeauftragter und Informationssicherheitsbeauftragter
• Pre-Outsourcing Analyse nach MaRisk AT 9 und EBA-Leitlinien

Dein Vorsprung:

Jeder Teilnehmer erhält mit dem Seminar Sachkunde für Auslagerungsbeauftragte folgende S+P Produkte:

• Leitfaden für das zentrale Auslagerungsmanagement (Umfang ca. 30 Seiten)
•  Muster-Reporting für Auslagerungsbeauftragte
• S+P Check: Anforderungen an KPI’s und Service-Level-Agreements

Dein Programm: Welche Pflichten hat ein Auslagerungsbeauftragter?

Solide Governance Regelungen als Basis für das Auslagerungsmanagement

• Verschärfte Anforderungen an die Risikobewertung von Auslagerungsvereinbarungen:
  • Welche Auslagerungen sind zwingend als kritisch/wesentlich einzustufen?
  • Operationelle Risiken und Reputationsrisiken
  • Bewertung des Step-in-Risikos
  • Unternehmens- und sektorspezifische Konzentrationsrisiken
  • Kontroll- und/oder Interessenskonflikt
• Bewertung von Vertragsgestaltung, Leistungskontrollen und organisatorischer Vorgaben:
  • MaRisk-Protokoll 03/2018: Neue Präzisierung von Zustimmungsvorbehalten und weitreichenden Informationsrechten
  • Neue Vorgaben an Kontroll- und Berichtspflichten bei Dienstleistern und Auslagerungsbeauftragten
  • Optimierung der Kennzahlen zur Risiko- und Performance Messung (KPIs)
• Neue Vorgaben des FISG an das Auslagerungscontrolling

Schnittstelle Auslagerungsbeauftragter und Informationssicherheitsbeauftragter

• FISG + EBA-Leitfaden Outsourcing: Erweiterte Anforderungen an das Outsourcing
  • Was sind sonstige institutstypische Dienstleistungen?
  • BAIT-Anforderungen an die individuelle Datenverarbeitung
  • Verschärfte Auflagen bei Auslagerungen in Drittstaaten
• Risikobewertung bei IT-Fremdbezug:
  • Ermittlung des IT-Schutzbedarfs und Festlegen eines Sollmaßnahmenkatalogs
  • EBA Leitlinie IKT: 5 Kategorien für schwerwiegende IKT-Risiken

Pre-Outsourcing Analyse nach MaRisk AT 9 und EBA-Leitlinien

• Mindestanforderungen an die Due Diligence Prüfung eines künftigen Dienstleisters:
  • Durchführung der qualitativ verschärften Risikoanalyse auf Basis einheitlicher Scoring-Kriterien
  • Wann muss zwingend eine Einstufung als kritische/wesentliche Auslagerung erfolgen?
  • Einschätzung von Risikogehalt und Risikokonzentration bei Auslagerungen mehrerer Aktivitäten an einen Dienstleister
• IKS-Controlling mit ISB, Datenschutz, BCM und Notfallkonzept:
  • Maßstäbe für Steuerungs- und Kontrolltätigkeiten und deren Durchführung
  • Prüfungssichere Bewertung von Ausstiegsstrategien und Notfallplänen
  • Definition einer maximalen Schlechtleistung eines externen Dienstleisters
  • Überwachung der Leistungserbringung

Auslagerungsmanagement – Abgrenzung von Auslagerungen und Fremdbezug – Welche Pflichten hat ein Auslagerungsbeauftragter?