Risikoanalyse für Auslagerungen

Die Risikoanalyse nach MaRisk AT

9 ist die regulatorisch vorgeschriebene Bewertung aller Risiken, die mit einer Auslagerung verbunden sind. Sie umfasst die Einstufung der Wesentlichkeit (wesentlich vs. nicht-wesentlich), die Bewertung von operationellen, finanziellen, Compliance- und Informationssicherheitsrisiken sowie die Analyse von Konzentrationsrisiken. Fuer wesentliche Auslagerungen ist die Risikoanalyse jaehrlich zu aktualisieren, fuer nicht-wesentliche alle drei Jahre. Die BaFin hat die Bewertungskriterien um Datenschutz, politische Risiken und Szenarioanalysen erweitert.

Bei der Risikoanalyse von IT-Outsourcing kommen mehrere Methoden zum Einsatz: quantitative Scoring-Modelle mit gewichteten Risikokategorien (Eintrittswahrscheinlichkeit x Schadensausmass), strukturierte Assessment-Frageboegen fuer verschiedene Dienstleistertypen, Due-Diligence-Pruefungen vor Vertragsabschluss, Szenarioanalysen und Stresstests fuer Extremereignisse wie Cyberangriffe oder Dienstleisterinsolvenz sowie kontinuierliches KRI-Monitoring (Key Risk Indicators). Die BAIT verlangt zusaetzlich eine IT-spezifische Risikobewertung mit Fokus auf Informationssicherheit.

Die Wesentlichkeitseinstufung entscheidet ueber den regulatorischen Aufwand: Wesentliche Auslagerungen erfordern eine vollstaendige Risikoanalyse mit jaehrlicher Aktualisierung, BaFin-Anzeige, umfassendem Vertragswerk und Notfallplanung. Nicht-wesentliche Auslagerungen benoetigen eine vereinfachte Risikoanalyse alle drei Jahre. Kriterien sind die Auswirkung auf Geschaeftsstrategie, Ertragslage, Risikosituation und Kontrollmoeglichkeiten. Die BaFin stellt fest, dass Institute die Wesentlichkeit haeufig unterschaetzen und Dienstleistungen zu oberflaechlich bewerten.

Konzentrationsrisiken entstehen, wenn wenige spezialisierte IT-Dienstleister einen Grossteil der Finanzbranche bedienen. Die Risikoanalyse muss Multi-Vendor-Abhaengigkeiten, Weiterverlagerungen an Subdienstleister (Nth-Party-Risiken), geografische Konzentrationen und technologische Lock-in-Effekte bewerten. Die BaFin hat Konzentrationsrisiken als Fokusrisiko 2024–2026 eingestuft. Stoerungen bei einem dominanten Anbieter koennen sich auf die gesamte Wertschoepfungskette auswirken und die Finanzstabilitaet gefaehrden.

DORA (Digital Operational Resilience Act) erweitert die Risikoanalyse um spezifische IKT-Drittanbieter-Anforderungen: Informationsregister, Konzentrations-Risikobewertung und Ueberwachung kritischer IKT-Dienstleister durch die Aufsicht. NIS 2 verschaerft die Cybersicherheitsanforderungen in der Lieferkette fuer kritische Infrastrukturen. Beide Regelwerke ergaenzen die bestehenden MaRisk-Anforderungen und verlangen eine erweiterte Risikobewertung von Dienstleisterbeziehungen mit Fokus auf digitale Resilienz und Lieferkettenrisiken.

Mangelhafte Risikoanalysen koennen zu aufsichtsrechtlichen Massnahmen durch die BaFin fuehren, darunter Kapitalaufschlaege, Anordnungen zur Nachbesserung oder im Extremfall die Untersagung der Auslagerung. Pruefer stellen regelmaessig fest, dass Institute tatsaechliche Risiken unterschaetzen, Wesentlichkeitseinstufungen historisch fortschreiben und Konzentrationsrisiken nicht ausreichend bewerten. DORA verschaerft die Sanktionen: Bussgelder bis zu 1% des weltweiten Tagesumsatzes bei Verstoessen gegen IKT-Risikomanagement-Vorgaben.

ADVISORI fuehrt strukturierte Risikoanalysen fuer Finanzinstitute durch: MaRisk-konforme Wesentlichkeitsbewertung, Entwicklung von Scoring-Modellen und Risikotaxonomien, Bewertung von Konzentrationsrisiken und Nth-Party-Abhaengigkeiten, Due-Diligence-Pruefungen fuer IT-Dienstleister sowie Integration der DORA- und NIS2-Anforderungen. Als spezialisierte Beratung fuer regulatorisches Auslagerungsmanagement verbinden wir Branchenkenntnis mit aufsichtsrechtlicher Expertise und praxiserprobten Methoden.