Blogpost

Audit-Fokus Third-Party-Management

Welchen Fokus legen Prüfer im Auslagerungs- und Third-Party-Management und welche Schwachstellen gibt es in den Instituten in diesem Bereich?

445
3 Minuten Lesezeit
IFD/IFR

Outsourcing- und Third-Party-Management von Banken im Fokus der Aufsicht

In den letzten Jahren haben die aufsichtsbehördlichen Prüfer einen zunehmenden Schwerpunkt auf das Outsourcing- und Third-Party-Management von Banken gelegt. Dies ist auf die zunehmende Zahl von Vorschriften und Richtlinien zurückzuführen,

  • insbesondere der Schärfung von MaRisk AT 9 und BAIT Kapitel 9, die zum Schutz der Verbraucher und zur Gewährleistung der Stabilität des Finanzsystems erlassen wurden,
  • sowie der steigenden Auswirkung, die Fremdbezüge auf die Banken haben.

Infolgedessen sind das Third-PartyManagement und Auslagerungen zu einem wichtigen Schwerpunktbereich für die aufsichtsrechtlichen Prüfer geworden.

Die aufsichtsrechtlichen Prüfer sind dafür verantwortlich, die Prozesse und Kontrollen der Bank für die Verwaltung von Drittanbietern und Outsourcing zu bewerten. Dazu gehört die Beurteilung der Due Diligence der Bank, der Risikobewertungen und der laufenden Überwachung der Beziehungen zu Dritten und Auslagerungen.

Die Prüfer werden auch die Grundsätze und Verfahren der Bank zur Steuerung der Risiken von Drittanbietern und Auslagerungen sowie zur Gewährleistung der Einhaltung der geltenden Gesetze und Vorschriften überprüfen.

Die wichtigsten Erkenntnisse für die Dienstleistersteuerung in Banken

Die wichtigsten Erkenntnisse für die Dienstleistersteuerung in Banken können je nach der durchgeführten Prüfung oder Studie variieren (Abbildung 1).

Die gängigen Feststellungen im Third-Party-Management lassen klare Schlüsse zu

Abbildung 1: Die gängigen Feststellungen im Third-Party-Management lassen klare Schlüsse zu

Zu den häufigsten Feststellungen gehören unserer Erfahrung nach jedoch folgende:

  1. Unzureichende Due Diligence: Viele Banken verfügen über unzureichende Due-Diligence-Prozesse, um die mit der Auslagerung an Drittanbieter verbundenen Risiken zu bewerten. Dies kann dazu führen, dass die Bank es versäumt, potenzielle Risiken zu erkennen und abzuschwächen.
  2. Fehlende laufende Überwachung: Die Banken verfügen häufig über unzureichende Verfahren zur kontinuierlichen Überwachung der Leistung und Einhaltung der Vorschriften von Drittanbietern.
  3. Datenschutz- und Sicherheitsbedenken: Die Prüfer stellen häufig fest, dass die Banken sensible Kundendaten, die mit Drittanbietern ausgetauscht werden, nicht angemessen schützen.
  4. Unzureichendes Vertragsmanagement: Häufig wird festgestellt, dass die Banken ein mangelhaftes Vertragsmanagement betreiben, was dazu führen kann, dass die Interessen der Bank in den Verträgen nicht ausreichend geschützt sind und im Falle einer Vertragsverletzung keine angemessenen Rechtsmittel zur Verfügung stehen.
  5. Mangelnde Unternehmensführung: Bei vielen Banken wurden unzureichende Governance-Strukturen für die Verwaltung von Outsourcing-Beziehungen festgestellt, einschließlich unzureichender Rollen und Verantwortlichkeiten und mangelnder Ressourcen für die Aufsicht.
  6. Falsche Anreize: Banken und Anbieter haben unter Umständen unterschiedliche Anreize, was zu einer Fehlanpassung der Ziele beider Parteien führen und das Risiko eines Ausfalls der erbrachten Dienstleistung erhöhen kann.
  7. Mangelnde Transparenz und Kontrolle: Für Banken kann es schwierig sein, Transparenz und Kontrolle über die Aktivitäten von ausgelagerten Anbietern aufrechtzuerhalten, was das Risiko von Betriebsfehlern, Sicherheitsverletzungen und Rufschädigung erhöhen kann.
  8. Abhängigkeit von einem einzigen Anbieter: Banken können bei kritischen Dienstleistungen in eine übermäßige Abhängigkeit von einem einzigen Anbieter geraten, was das Risiko einer Betriebsunterbrechung bei Ausfall oder Weggang des Anbieters erhöhen kann.

Was die Ergebnisse zeigen

Diese Ergebnisse zeigen, wie wichtig es ist, über solide Verfahren und Kontrollen für die Verwaltung von Outsourcing-Beziehungen zu verfügen, einschließlich einer gründlichen Due-Diligence-Prüfung, einer laufenden Überwachung und eines effektiven Vertragsmanagements. Die Banken sollten auch sicherstellen, dass sie über geeignete Führungsstrukturen verfügen und dass ihre Anreize mit den Anbietern abgestimmt sind. Darüber hinaus sollten sie ihre Outsourcing-Vereinbarungen regelmäßig überprüfen, um sicherzustellen, dass sie die Risiken wirksam steuern und die Vorschriften einhalten.

Insgesamt ist das Auslagerungs- und Third-Party-Management eine entscheidende Komponente der Risikomanagementstrategie der Bank. Die Banken müssen sich über die neuesten Best Practices auf dem Laufenden halten und wirksame Kontrollen einführen, um die Risiken zu steuern, und zwar für alle (IT-)Fremdbezüge und Auslagerungen gemäß ihrer Kritikalität.

Die Banken sollten jedoch auch bestrebt sein, ihre Prozesse für das Outsourcing- und Third-Party-Management ständig zu überprüfen und zu verbessern, um sicherzustellen, dass sie die Risiken wirksam steuern und die Vorschriften einhalten.

Ramin Jabari

ist bei msg for banking für IT-GRC- (IT Governance, Risk, Compliance) und Process-Excellence-Themen zuständig. Er betreut als Experte für Auslagerungsmanagement, IT-Governance und IT-Strategie Kunden bei regulatorisch getriebenen Changeprojekten und generiert zusätzliche Mehrwerte durch die Optimierung und Automatisierung der bankfachlichen Steuerungsprozesse.

Schreiben Sie einen Kommentar

Sie müssen sich anmelden, um einen Kommentar zu schreiben.