Risikomanagementintegration

Risikomanagement-Integration bei Auslagerungen bezeichnet die systematische Einbindung von Outsourcing-Risiken in das unternehmensweite Enterprise Risk Management (ERM). Statt Auslagerungsrisiken isoliert zu betrachten, werden sie in das Gesamt-Risikoframework integriert – mit einheitlicher Risikobewertungsmethodik, durchgängigem Reporting und klaren Verantwortlichkeiten nach dem Three-Lines-of-Defense-Modell. Regulatorisch fordern MaRisk AT

9 und DORA (Digital Operational Resilience Act) diese Integration explizit für Finanzinstitute.

MaRisk AT

9 (Rundschreiben 06/2024 der BaFin) definiert die Mindestanforderungen an das Auslagerungsrisikomanagement: Durchfuehrung einer Risikoanalyse vor jeder wesentlichen Auslagerung, laufende Ueberwachung der Dienstleister mit definierten Key Risk Indicators (KRI), klare Zuordnung der Verantwortlichkeiten (die Leitungsverantwortung ist nicht auslagerbar), Exit-Strategien fuer kritische Auslagerungen und ein zentrales Auslagerungsregister. Zudem muessen Konzentrationsrisiken im Auslagerungsportfolio bewertet werden.

DORA (EU-Verordnung 2022/2554) erweitert seit Januar

2025 die Anforderungen an das IKT-Drittparteienrisikomanagement erheblich. Finanzunternehmen muessen ein IKT-Drittparteienregister fuehren, regelmaessige Risikoanalysen fuer alle IKT-Dienstleister durchfuehren, Austrittsstrategien vorhalten und bei kritischen IKT-Drittanbietern verstaerkte Ueberwachungsanforderungen erfuellen. Die EBA-Leitlinien zum Third-Party Risk Management (TPRM) konkretisieren die Integration in das bestehende Risikomanagement-Framework.

Die Integration erfolgt in vier Schritten: (1) Risikoidentifikation – systematische Erfassung aller Auslagerungsrisiken (operationell, finanziell, rechtlich, strategisch, IT/Cyber) und Zuordnung zur unternehmensweiten Risikotaxonomie. (2) Risikobewertung – Anwendung einheitlicher Bewertungsmethoden (Eintrittswahrscheinlichkeit x Auswirkung) mit auslagerungsspezifischen Szenarien. (3) Risikosteuerung – Ableitung von Maßnahmen (Vermeidung, Minderung, Transfer, Akzeptanz) und Verankerung in Verträgen und SLAs. (4) Risikomonitoring – KRI-basiertes laufendes Monitoring mit Eskalationswegen und regelmäßigem Reporting an Geschäftsleitung und Aufsicht.

Das Three-Lines-of-Defense-Modell strukturiert die Verantwortlichkeiten: Die erste Verteidigungslinie (Fachbereiche/Auslagerungsmanager) identifiziert und steuert Risiken im Tagesgeschaeft. Die zweite Linie (Risikomanagement-Funktion, Compliance) ueberwacht die Einhaltung von Standards und Limiten und stellt die Methodik bereit. Die dritte Linie (Interne Revision) prueft unabhaengig die Wirksamkeit des gesamten Risikomanagementsystems. Fuer Auslagerungen bedeutet dies: der Fachbereich steuert den Dienstleister, das Risikomanagement definiert KRI und Schwellenwerte, die Revision prueft das Gesamtsystem.

Effektive KRI fuer das Auslagerungsrisikomanagement umfassen: SLA-Erfuellungsquoten und Trendentwicklung, Anzahl und Schwere von Sicherheitsvorfaellen beim Dienstleister, Finanzielle Stabilitaetskennzahlen des Providers, Personalfluktuation in Schluesselrollen, Ergebnisse aus Audits und Zertifizierungspruefungen (z.B. ISO 27001), Konzentrationsgrad im Auslagerungsportfolio, Reaktionszeiten bei Incidents und Aenderungsanfragen. Die KRI sollten mit definierten Schwellenwerten (gruen/gelb/rot) und automatisierten Eskalationswegen versehen werden.

ADVISORI begleitet Finanzinstitute bei der vollstaendigen Integration des Auslagerungsrisikomanagements: Gap-Analyse des bestehenden Risikomanagementsystems gegenueber MaRisk AT

9 und DORA-Anforderungen, Entwicklung eines integrierten Risiko-Frameworks mit einheitlicher Taxonomie und Bewertungsmethodik, Definition von KRI und Schwellenwerten fuer das laufende Monitoring, Aufbau des IKT-Drittparteienregisters gemaess DORA, Implementierung von Eskalations- und Reporting-Prozessen an Geschaeftsleitung und BaFin, sowie Schulung der Mitarbeiter in allen drei Verteidigungslinien.