Zahlungsverkehr - Outsourcing Rahmenbedingungen

Wiki Zahlungsverkehr BIC Directory SCL Directory Struktur TARGET2 Directory Bankleitzahlendatei IBAN Regeln SEPA EMZ SWIFT Adressen Leitwegsteuerung Zahlungsverkehr Bankstammdaten Prüfzifferverfahren

Die Regulierung und Überwachung von Zahlungsdiensten stellen einen wesentlichen Pfeiler im Finanzsystem Deutschlands dar. Hierbei nimmt das Gesetz über die Beaufsichtigung von Zahlungsdiensten (ZAG) eine zentrale Rolle ein. Es definiert Rahmenbedingungen und Anforderungen, denen Zahlungsdienstleister im Sinne einer sicheren und effizienten Abwicklung von Zahlungstransaktionen nachkommen müssen.


Gesetz über die Beaufsichtigung von Zahlungsdiensten (ZAG)

Rechtliche Grundlagen

Gemäß §§ 26, 27 des ZAG werden spezifische Anforderungen an die Auslagerung von Aktivitäten und Prozessen, die für die Erbringung von Zahlungsdiensten essenziell sind, gestellt. Dies umfasst sowohl IT-Systeme als auch andere wesentliche Dienstleistungen, die für die Durchführung dieser Aktivitäten unerlässlich sind. Die gesetzlichen Vorgaben zielen darauf ab, die Integrität und Zuverlässigkeit der Zahlungsdienstleister zu gewährleisten, indem sie angemessene Vorkehrungen zur Vermeidung von übermäßigen Risiken fordern.

Auslagerungsmanagement

Eine Schlüsselkomponente des ZAG ist die ordnungsgemäße Handhabung von Auslagerungen. Zahlungsdienstleister sind angehalten, Maßnahmen zu ergreifen, die sicherstellen, dass die Auslagerung von wesentlichen Aktivitäten weder die Geschäftsabläufe noch die Dienstleistungsqualität negativ beeinflusst. Dazu gehört insbesondere die Aufrechterhaltung einer angemessenen Geschäftsorganisation und die Einhaltung aller regulatorischen Anforderungen.

IT-Sicherheit und Compliance

Der § 26 ZAG hebt die Bedeutung der IT-Sicherheit im Rahmen der Auslagerung hervor. Zahlungsdienstleister müssen gewährleisten, dass IT-bezogene Auslagerungen den hohen Anforderungen an die Sicherheit, Verfügbarkeit und Integrität der IT-Systeme entsprechen. Dies beinhaltet nicht nur die technischen Aspekte, sondern auch die organisatorischen Maßnahmen, um eine lückenlose Überwachung und Steuerung der ausgelagerten IT-Dienstleistungen zu ermöglichen.

Zahlungsdiensteaufsichtliche Anforderungen an die IT (ZAIT)

Die Digitalisierung im Finanzsektor erfordert eine stetige Anpassung und Modernisierung der IT-Systeme und -Prozesse. Die Gewährleistung von Sicherheit und Effizienz in der Informationstechnologie ist dabei von höchster Bedeutung. Hier setzen die zahlungsdiensteaufsichtlichen Anforderungen an die IT (ZAIT) an, um einen regulativen Rahmen für Zahlungs- und E-Geld-Institute im Umgang mit IT-Ressourcen und deren Auslagerung zu schaffen.

Rahmenbedingungen und Anforderungen

Das Rundschreiben 11/2021 (BA) vom 16.08.2021, bekannt als ZAIT, konkretisiert die Erwartungen der Aufsichtsbehörden an die IT-Systeme und IT-Prozesse von Zahlungs- und E-Geld-Instituten. ZAIT ergänzt damit die gesetzlichen Vorgaben, insbesondere diejenigen des ZAG, indem es detaillierte Anforderungen an das Management von IT-Ressourcen, den IT-Betrieb, IT-Sicherheit, und den Umgang mit IT-Auslagerungen formuliert.

IT-Fremdbezug und Auslagerung

Ein zentraler Aspekt der ZAIT ist die Regelung des Fremdbezugs und der Auslagerung von IT-Dienstleistungen. Institute müssen gemäß Abschnitt 9 der ZAIT sicherstellen, dass ausgelagerte IT-Dienstleistungen den hohen Anforderungen an Sicherheit, Stabilität und Compliance genügen. Dies beinhaltet eine sorgfältige Auswahl der Dienstleister, eine präzise Vertragsgestaltung sowie eine kontinuierliche Überwachung und Bewertung der erbrachten Leistungen.

Risikobewertung bei IT-Bezug
ZAIT legt fest, dass bei jedem Bezug von Hard- und Software die damit verbundenen Risiken adäquat zu bewerten sind. Diese Risikobewertung ist essentiell, um sicherzustellen, dass die integrierten Systeme und Anwendungen nicht nur den operativen Anforderungen des Instituts entsprechen, sondern auch die Sicherheit der verarbeiteten Daten gewährleisten und die Resilienz gegenüber potenziellen Cyber-Bedrohungen stärken.

Definition und Umfang der IT-Auslagerung
In Anlehnung an § 26 ZAG in Verbindung mit dem Abschnitt 9 der ZAIT wird präzisiert, was unter einer IT-Auslagerung zu verstehen ist: Die Übertragung von IT-bezogenen Aktivitäten und Prozessen, die für die Durchführung von Bankgeschäften, Finanzdienstleistungen oder anderen institutstypischen Dienstleistungen notwendig sind, auf ein externes Unternehmen. Hierbei ist entscheidend, dass diese Aktivitäten und Prozesse unter der Verantwortung des auslagernden Instituts bleiben und dessen strategische Ausrichtung, Sicherheit und Compliance nicht beeinträchtigen.

Leitlinien zu Auslagerungen der Europäischen Bankenaufsichtsbehörde (EBA) - EBA/GL/2019/02

Die Effizienz und Sicherheit von Auslagerungsvereinbarungen spielen eine entscheidende Rolle für die Stabilität und Verlässlichkeit von Finanzinstituten. Die Europäische Bankenaufsichtsbehörde (EBA) hat mit den Leitlinien EBA/GL/2019/02 einen detaillierten Rahmen geschaffen, der die Anforderungen an Auslagerungen für Kreditinstitute und Zahlungsdienstleister definiert.

Definition und Rahmen der Auslagerung

Gemäß den Leitlinien der EBA ist eine Auslagerung als eine Vereinbarung in jeglicher Form zwischen einem Institut und einem Dienstleister zu verstehen, in deren Rahmen der Dienstleister Prozesse durchführt, Dienstleistungen erbringt oder Aktivitäten ausführt, die ansonsten intern vom Institut selbst übernommen würden. Diese Definition umfasst ein breites Spektrum an Dienstleistungen und Aktivitäten und betont die Notwendigkeit, Auslagerungen sorgfältig zu prüfen und zu managen.

Rechtliche und regulatorische Compliance
Ein kritischer Aspekt der Leitlinien ist die Betonung darauf, dass bei allen Auslagerungsvereinbarungen die Einhaltung relevanter rechtlicher und regulatorischer Anforderungen gewährleistet sein muss. Dies beinhaltet unter anderem Gesetze zur Geldwäschebekämpfung und zum Datenschutz. Die Einhaltung dieser Vorgaben stellt sicher, dass die ausgelagerten Dienstleistungen nicht nur den internen Standards des Instituts entsprechen, sondern auch alle externen rechtlichen Verpflichtungen erfüllen.

Anzeigepflichten
Besonders wichtig ist die Regelung, dass Institute, die wesentliche Betriebsaufgaben auslagern möchten, verpflichtet sind, die BaFin und die Deutsche Bundesbank darüber in Kenntnis zu setzen. Dieser Schritt ist sowohl vor der geplanten Auslagerung als auch nach dem Vollzug der Auslagerung erforderlich. Die EBA-Leitlinien betonen damit die Transparenz und die Notwendigkeit einer kontinuierlichen Aufsicht über Auslagerungsarrangements. Die Anforderungen für die Anzeige solcher Auslagerungen wurden jüngst durch die Zweite Verordnung zur Änderung der ZAG-Anzeigenverordnung präzisiert, welche die elektronische Einreichung von anzeigepflichtigen Umständen über das MVP-Portal bei der BaFin vorschreibt.

Auslagerungsprozess

Ermittlung des Auslagerungsbedarfs

Analyse der Geschäftsstrategie und -ziele

  • Bewertung der langfristigen Geschäftsziele und der strategischen Ausrichtung des Unternehmens.
  • Identifikation von Bereichen, in denen Auslagerungen zur Steigerung der Effizienz, zur Kostensenkung oder zur Verbesserung der Dienstleistungsqualität beitragen können.

Bestandsaufnahme und Bewertung interner Ressourcen

  • Durchführung einer umfassenden Bewertung der vorhandenen internen Kapazitäten, Fähigkeiten und Technologien.
  • Identifikation von Lücken oder Engpässen, die durch externe Dienstleister effektiver oder effizienter geschlossen bzw. bewältigt werden können.

Risiko- und Kosten-Nutzen-Analyse

  • Abschätzung der potenziellen Risiken und Kosten, die mit der Auslagerung verbunden sind, sowie der erwarteten Vorteile.
  • Berücksichtigung von direkten und indirekten Kosten, Übergangsrisiken, operationalen Risiken und Compliance-Risiken.

Definition fachlicher Anforderungen

Klare Definition der auszulagernden Dienstleistungen

  • Detaillierte Beschreibung der auszulagernden Prozesse, Dienstleistungen oder Aktivitäten.
  • Festlegung der Qualitätsstandards, Leistungsindikatoren und Compliance-Anforderungen.

Bestimmung der regulatorischen Anforderungen

  • Identifikation der spezifischen gesetzlichen und regulatorischen Vorschriften, die für die ausgelagerten Dienstleistungen relevant sind.
  • Sicherstellung, dass potenzielle Dienstleister die Fähigkeit haben, diese Anforderungen zu erfüllen

Entwicklung eines Anforderungskatalogs

  • Erstellung eines detaillierten Anforderungskatalogs, der sowohl funktionale als auch nicht-funktionale Kriterien umfasst.
  • Berücksichtigung von Aspekten wie Datensicherheit, Datenschutz, Verfügbarkeit, Skalierbarkeit, Flexibilität und Kosten

Stakeholder-Einbindung

  • Einbeziehung relevanter interner und externer Stakeholder in den Prozess der Anforderungsdefinition.
  • Sammeln und Konsolidieren von Feedback und Anforderungen aus verschiedenen Unternehmensbereichen.

Bewertung einer Auslagerung

Die Bewertung einer Auslagerung ist ein kritischer Schritt im Auslagerungsmanagementprozess. Dabei geht es nicht nur darum zu entscheiden, ob eine Dienstleistung ausgelagert werden soll, sondern auch um die Bewertung des Dienstleisters und die Klassifizierung der Auslagerung. Diese Bewertung basiert auf einer risikoorientierten Analyse, die hilft, die Art der Auslagerung zu bestimmen (ob es sich um eine allgemeine Auslagerung, eine IT-Auslagerung oder einen IT-Fremdbezug handelt) und das Risikoniveau sowie die Wesentlichkeit der ausgelagerten Dienstleistung zu ermitteln.

Risikobasierte Bewertung

Analyse der Dienstleistung

  • Detaillierte Bewertung der auszulagernden Dienstleistung hinsichtlich ihres Umfangs, ihrer Komplexität und ihrer Bedeutung für das Unternehmen.
  • Identifizierung der mit der Dienstleistung verbundenen Risiken, einschließlich operationaler, rechtlicher, Compliance- und Reputationsrisiken.

Bewertung des Dienstleisters

  • Prüfung der Zuverlässigkeit, Leistungsfähigkeit und Compliance des Dienstleisters.
  • Bewertung der finanziellen Stabilität, der technischen Fähigkeiten und der Erfahrung des Dienstleisters im relevanten Bereich.

Klassifizierung der Auslagerung

Auslagerung

  • Eine allgemeine Auslagerung liegt vor, wenn externe Dienstleister mit der Durchführung von Prozessen, Dienstleistungen oder Aktivitäten beauftragt werden, die sonst intern erbracht würden.

IT-Auslagerung

  • Bei IT-Auslagerungen werden IT-bezogene Aktivitäten und Prozesse an einen externen Dienstleister übertragen. Diese umfassen oft die Entwicklung, Wartung und den Betrieb von IT-Systemen.

IT-Fremdbezug

  • IT-Fremdbezug bezieht sich auf den Erwerb standardisierter IT-Leistungen von Drittanbietern, wie Cloud-Services oder Softwarelizenzen, die nicht spezifisch für das Unternehmen angepasst sind.

Bestimmung der Wesentlichkeit

  • Eine Auslagerung gilt als wesentlich, wenn ihr Ausfall oder ihre Beeinträchtigung die Fähigkeit des Unternehmens, seinen Geschäftsaktivitäten nachzukommen, seine finanzielle Leistungsfähigkeit, seine Kunden oder die Integrität des Marktes ernsthaft gefährden würde.
  • Bei der Bewertung der Wesentlichkeit werden Faktoren wie der Einfluss auf die Geschäftskontinuität, die Kundenbeziehungen, die Compliance mit gesetzlichen und regulatorischen Anforderungen und die Risikoexposition berücksichtigt.

Dokumentation und Monitoring

  • Die Ergebnisse der Bewertung und der Klassifizierung sollten sorgfältig dokumentiert werden, um Compliance zu gewährleisten und die Entscheidungsfindung zu unterstützen.
  • Ein kontinuierliches Monitoring der Auslagerung und des Dienstleisters ist erforderlich, um sicherzustellen, dass die Leistung den Vereinbarungen entspricht und die Risiken angemessen verwaltet werden.

Die Einhaltung der EBA-Leitlinien, insbesondere im Kontext von Auslagerungen und dem sonstigen Fremdbezug von Dienstleistungen, erfordert eine genaue Abgrenzung und Dokumentation der unterschiedlichen Arten von Dienstleistungsbeziehungen. Nach den EBA Guidelines (EBA/GL/2019/02) unter Titel II – Bewertung von Auslagerungsvereinbarungen, Kapitel 3, Ziffer 28, wird klargestellt, dass, wenn es sich um einen sonstigen Fremdbezug handelt, der nach Definition keine Auslagerung darstellt, keine gesonderte Risikoanalyse und Überwachung (RuW-Analyse) erstellt werden muss

Erfassung im Auslagerungsregister

Trotz der Tatsache, dass ein sonstiger Fremdbezug nicht als Auslagerung im Sinne der EBA-Leitlinien gilt und daher keine umfassende Risikoanalyse und Überwachung erfordert, ist es dennoch notwendig, dass der Fremdbezug dokumentiert wird.

  • Erfassung im Auslagerungsregister
    Alle Informationen bezüglich des Fremdbezugs sollten in einem zentralen Register erfasst werden. Dies umfasst die Art der bezogenen Dienstleistung, den Namen des Dienstleisters, die Laufzeit der Vereinbarung und relevante finanzielle Konditionen.

  • Verantwortlichkeit
    Die Auslagerungsbeauftragte ist in der Regel für die Führung und Aktualisierung dieses Registers verantwortlich. Sie stellt sicher, dass alle Informationen korrekt und auf dem neuesten Stand sind.

  • Zugänglichkeit
    Das Auslagerungsregister sollte so gestaltet sein, dass es leicht zugänglich und für die relevanten Stakeholder einsehbar ist. Dies ermöglicht eine effiziente Überprüfung und Kontrolle der externen Dienstleistungsbeziehungen.

Die Dokumentation des sonstigen Fremdbezugs, auch wenn er keine umfassende Risikoanalyse erfordert, spielt eine wichtige Rolle für die interne Kontrolle und das Risikomanagement des Unternehmens. Sie hilft dabei, die Abhängigkeit von externen Dienstleistern zu überwachen und sicherzustellen, dass alle Dienstleistungen in Einklang mit den strategischen Zielen und regulatorischen Anforderungen stehen.

Sonstiger Fremdbezug von Dienstleistungen (ohne IT-Leistung)

Die EBA-Guidelines (EBA/GL/2019/02) zum Management von Auslagerungen bieten klare Richtlinien darüber, welche Arten von Dienstleistungsbeziehungen als Auslagerungen zu betrachten sind und welche nicht. Gemäß diesen Leitlinien wird der sonstige Fremdbezug von Dienstleistungen, der nicht direkt IT-Leistungen betrifft, differenziert behandelt.

Nicht als Auslagerungen klassifizierte Dienstleistungen

Die folgenden Fälle werden gemäß den EBA-Guidelines typischerweise nicht als Auslagerungen betrachtet, da sie entweder standardisierte Dienstleistungen darstellen oder solche, die außerhalb der primären Geschäftsaktivitäten liegen:

a) Abschlussprüfungen

Diese sind in der Regel gesetzlich vorgeschrieben und werden von externen Prüfungsgesellschaften durchgeführt.

b) Marktinformationsdienste
Die Bereitstellung von Finanz- und Marktdaten durch Dritte wie Bloomberg, Moody’s, Standard & Poor’s, oder Fitch, die für die Analyse und Entscheidungsfindung genutzt werden.

c) Sonstige Dienstleistungen, die sonst nicht intern erbracht werden

  • Rechtliche Dienstleistungen: Bereitstellung von Rechtsgutachten und Vertretung vor Gericht und Verwaltungsbehörden.
  • Facility-Management-Dienstleistungen: Reinigung, Sicherheitsdienste, und weitere Dienstleistungen zur Instandhaltung von Geschäftsräumen.
  • Medizinische Dienstleistungen: Angebot von Gesundheitsdienstleistungen für Mitarbeiter.
  • Büro- und Administrationsdienstleistungen: Bürodienstleistungen, Reisedienstleistungen, Poststellendienste, Bereitstellung von Rezeptions- und Sekretariatskräften sowie Telefonisten.
  • Waren und Versorgungsleistungen: Beschaffung von Plastikkarten, Kartenlesegeräten, Büromaterial, Computern, Möbeln und Versorgungsleistungen wie Strom, Gas, Wasser, Telefon.
  • Beratungsleistungen: Diese können in verschiedenen Formen auftreten, solange sie nicht kritische oder wesentliche Funktionen des Instituts betreffen.

Eine klare Unterscheidung zwischen Auslagerungen und sonstigem Fremdbezug ist für Finanzinstitute aus mehreren Gründen wesentlich:

  • Regulatorische Compliance
    Die Einhaltung der EBA-Guidelines und anderer regulatorischer Anforderungen.
  • Risikomanagement
    Die Identifizierung und das Management von Risiken unterscheiden sich zwischen ausgelagerten Dienstleistungen und sonstigem Fremdbezug.
  • Operative Effizienz
    Die Entscheidung, Dienstleistungen fremd zu beziehen, kann auf Effizienzsteigerung, Kostenreduktion oder dem Zugang zu spezialisiertem Wissen abzielen.

Sonstiger Fremdbezug von IT-Dienstleistungen

Der sonstige Fremdbezug von IT-Dienstleistungen bezieht sich im Allgemeinen auf den Erwerb und die Nutzung von Software und zugehörigen Dienstleistungen, die nicht zentral für die Kerngeschäftsprozesse eines Unternehmens sind.

  • Anpassung der Software: Anpassung von Standardsoftware an die spezifischen Anforderungen der OTTO Payments.
  • Entwicklungstechnische Umsetzung: Realisierung von Änderungswünschen, die über standardmäßige Konfigurationseinstellungen hinausgehen.
  • Testen und Implementierung: Durchführung von Tests und die erstmalige Implementierung der Software in die Produktionsumgebung, sowie bei signifikanten Updates.
  • Fehlerbehebungen: Wartung und Support gemäß den Vorgaben des Auftraggebers oder des Softwareherstellers.
  • Unterstützungsleistungen: Weitere Dienstleistungen, die über Standardberatung hinausgehen und zur Nutzung der Software notwendig sind.

Risikoanalyse

Generelle Risikoanalyse

Die generelle Risikoanalyse konzentriert sich auf die Erstbewertung der Risiken, die mit einer Auslagerung verbunden sind. Dabei werden verschiedene Szenarien berücksichtigt, insbesondere solche, die eine wesentliche Beeinträchtigung der Geschäftstätigkeit zur Folge haben könnten.

  • Beeinträchtigung der kontinuierlichen Einhaltung der Zulassungsbedingungen
    Eine Auslagerung darf nicht dazu führen, dass das Unternehmen nicht mehr in der Lage ist, die regulatorischen Anforderungen und Zulassungsbedingungen zu erfüllen.

  • Beeinträchtigung der Liquiditätssituation
    Es muss sichergestellt sein, dass durch die Auslagerung die Liquidität des Unternehmens nicht negativ beeinflusst wird.

  • Beeinträchtigung der Zahlungsdienste
    Insbesondere bei Zahlungsdienstleistern muss die Auslagerung ohne negative Auswirkungen auf die Qualität und Zuverlässigkeit der angebotenen Zahlungsdienste erfolgen.

  • Auslagerung von operationellen Aufgaben interner Kontrollfunktionen
    Die Auslagerung darf die Wirksamkeit der internen Kontrollen nicht beeinträchtigen.

  • Zulassung durch eine zuständige Behörde erforderlich
    Falls für die ausgelagerte Funktion eine gesonderte Zulassung erforderlich ist, muss dies berücksichtigt werden.

  • Unmittelbare Verknüpfung mit der Erbringung von Zahlungsdiensten
    Dienstleistungen, die direkt mit der Erbringung von Zahlungsdiensten zusammenhängen, erfordern eine besonders sorgfältige Prüfung.

Detaillierte Risikoanalyse

Nach der generellen Bewertung folgt eine detaillierte Risikoanalyse, die spezifische Risiken jeder geplanten Auslagerung genauer untersucht. Diese Analyse stützt sich auf eine Metrik, die verschiedene Risikokomponenten wie operationelle Risiken, Compliance-Risiken, Reputationsrisiken und strategische Risiken umfasst.

  • Ermittlung der Risikokomponenten
    Identifizierung aller relevanten Risikokomponenten, die durch die Auslagerung beeinflusst werden könnten.
  • Gewichtung der Risiken
    Anwendung der im Dokument „Anwender Dokumentation zur RuW-Analyse“ definierten Gewichtung auf die identifizierten Risiken.
  • Bewertung der Wesentlichkeit
    Basierend auf der gewichteten Risikoanalyse wird entschieden, ob die Auslagerung als wesentlich einzustufen ist.

Durchführung detaillierte Risikoanalyse für Auslagerungsprojekte

Jedes Risikofeld erfordert spezifische Überlegungen und Maßnahmen zur Risikominderung.

Risiken der Dienstleister Leistungserbringung

  • Qualitätsrisiko
    Das Risiko, dass die Leistungsqualität nicht den Erwartungen entspricht oder über die Zeit sinkt.
  • Ausfallrisiko
    Das Risiko eines kompletten Ausfalls des Dienstleisters, was zu einer Unterbrechung der entsprechenden Dienstleistungen führen könnte.

Eignung des Dienstleisters

  • Marktstellungsrisiko
    Das Risiko, das sich aus einer ungünstigen Marktstellung des Dienstleisters ergibt, z. B. durch Monopolstellung.
  • Konzentrationsrisiko
    Das Risiko, das durch die Bündelung diverser Leistungen bei einem Dienstleister oder bei miteinander verbundenen Dienstleistern entsteht.
  • Ressourcen- und Dokumentationsrisiko
    Risiken, die sich aus mangelhafter Ressourcenausstattung oder Dokumentation des Dienstleisters ergeben

Vertrags- und Auslagerungsrisiken

  • Vertragsrisiko
    Das Risiko langfristiger Schäden durch Nichteinhaltung des Vertrags.
  • Scope-Creep-Risiko
    Das Risiko einer unkontrollierten Ausweitung des Vertragsumfangs durch den Dienstleister.

Reputationsrisiken

  • Gesetzesverstoß
    Das Risiko eines Reputationsschadens durch Verstöße des Dienstleisters gegen relevante Gesetze.
  • Kultur- und Interessenkonflikte
    Risiken, die sich aus einer unpassenden Unternehmenskultur oder Interessenkonflikten ergeben.

Verlust der organisatorischen Kompetenz

  • Know-how-Verlust
    Risiken in Bezug auf den Verlust von Fachwissen, Wettbewerbsvorteilen und Prozesseffizienz.

IT-Risiken

  • Datensicherheitsrisiko
    Risiken, die sich aus einem ungewollten Datenaustausch oder unsicheren Netzwerkverbindungen ergeben.

Überwachung & Steuerung

  • Controlling-Risiko
    Das Risiko, dass das Auslagerungscontrolling aufgrund fehlender Kennzahlen oder Metriken nicht effektiv umgesetzt werden kann.

Weiterverlagerung an einen Sub-Dienstleister

  • Subcontracting-Risiko
    Risiken, die sich aus der Weiterverlagerung von Dienstleistungen an Sub-Dienstleister ergeben.

Wiedereingliederung

  • Beendigungsrisiko
    Das Risiko, dass die Auslagerung unerwartet beendet wird und eine schnelle Wiedereingliederung der Dienstleistungen erforderlich macht.

Schutzbedarfsanalyse

  • Jede Auslagerung sollte eine Schutzbedarfsanalyse beinhalten, die die fünf Schutzziele der Informationssicherheit berücksichtigt und bei Bedarf durch den Informationssicherheitsbeauftragten unterstützt wird.

Einbindung der maßgeblichen Organisationseinheiten

Die Einbindung der maßgeblichen Organisationseinheiten bei der Erstellung der Risikoanalyse und Überwachung (RuW-Analyse) ist ein zentraler Bestandteil des Auslagerungsmanagements gemäß ZAIT Nr. 9.5.

Die Aufgaben und Verantwortlichkeiten der beteiligten Organisationseinheiten sind dabei wie folgt definiert:

Auslagerungsbeauftragte

  • Prüft die RuW-Analyse und das Ergebnis und erteilt ein Votum.

Internal Audit

  • Betrachtet präventiv effektive Risiken und Schwachstellen.
  • Trägt durch Anregungen und Empfehlungen zur Verbesserung des Risikomanagements und des internen Kontrollsystems bei.

Corporate Compliance

  • Ist durch die Freigabe der Auslagerungsbeauftragten, des Risikomanagements, des Informationssicherheitsbeauftragten (ISO) und des Datenschutzes vertreten.
  • Eine spezielle Einbindung erfolgt bei wesentlichen Auslagerungen.

Risikomanagement

  • Überprüft Risiken auf Plausibilität und gleicht wesentliche Risiken mit dem internen Kontrollsystem (IKS) ab.

Informationssicherheitsbeauftragter

  • Bestätigt, dass die IT-Sicherheitsanforderungen abgestimmt sind.

Finance

  • Bestätigt das veranschlagte Budget für die Auslagerung.

Einkauf (Corporate Development)

  • Bestätigt die Kenntnis und Abstimmung der Auslagerung sowie der Vertragsinhalte.

Datenschutz

  • Bestätigt die Vereinbarung und Abstimmung der Datenschutzbestimmungen gemäß Vertrag.

Geldwäschebeauftragter

  • Wird einbezogen, sofern die Auslagerung AML-Themen beinhaltet.

Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH

Hettwer UnternehmensBeratung

Hettwer UnternehmensBeratung GmbH - Spezialisierte Beratung - Umsetzungsdienstleistungen im Finanzdienstleistungssektor – Experte im Projekt- und Interimsauftragsgeschäft - www.hettwer-beratung.de

H-UB ERFOLGSGESCHICHTE

Wir bieten

  • Projektmanagement aus einer Hand
  • Strategische Partnerschaften mit exzellenten Marktführern
  • Unterstützt durch modernste Künstliche Intelligenz Technologie eischl. Machine Learning Library (KI, MLL)
  • Innovative Lösungen und fundierte Expertise für Ihren Projekterfolg
KI-unterstütztes Projektmanagement
Mit strategischen Partnerschaften zum nachhaltigen Erfolg
HUB_Leistungsportfolio.pdf
Adobe Acrobat Dokument 5.3 MB

Auszeichnung

Gold-Partner-Zertifikat

Hettwer UnternehmensBeratung GmbH wurde aufgrund der erbrachten Beraterleistungen in den exklusiven Kreis der etengo Gold-Partner aufgenommen.

H-UB EXPERTENWISSEN

- Eine Beratung mit PROFIL -

Hettwer UnternehmensBeratung GmbH – Expertenprofil Klaus Georg Hettwer (Geschäftsführer): Beratungskompetenz, Fachliche Kompetenz, Methodische Kompetenz, Soziale Kompetenz, Kommunikationskompetenz; Sonderthemen: SEPA, EMIR, TARGET2, MiFID, T2S

H-UB SOCIAL MEDIA PRÄSENZ

© 2010-2024 Hettwer UnternehmensBeratung GmbH