Die zentralen Handlungsfelder sind vor allem:
- Die Geschäftsleitung muss einen Strategieprozess definieren, der die Planung, Umsetzung, Beurteilung und Anpassung der Strategien umfasst. Insbesondere sind messbare strategische Ziele festzulegen, die regelmäßig beurteilt werden müssen.
- Ein Auslagerungsvertrag muss klare Mindestinhalte (wie bspw. Spezifizierung der Leistung, datenschutzrechtliche Bestimmungen, Kündigungsrechte) erfüllen, damit er nach den MaRisk-Bestimmungen als ordnungsgemäß eingestuft wird.
- Die Risikoanalyse muss instituts- bzw. gruppenübergreifend einheitlichen Kriterien genügen:
Dabei sind insbesondere Risikokonzentrationen und Risiken aus Weiterverlagerungen zu berücksichtigen.
- Ein zentrales Auslagerungsmanagement muss etabliert werden insbesondere mit dem Ziel, zentrale und einheitliche Vorgaben für die Steuerung und Überwachung von Auslagerungen zu definieren.
- Sämtliche Vorgaben, Prozesse sowie Rollen & Verantwortlichkeiten müssen in der schriftlich fixierten Ordnung des Instituts verankert werden.