Fokusthema: Regulatorik

AUSLAGERUNG UND FREMDBEZUG IN DER IT VON BANKEN NACH MARISK UND BAIT

Die Auslagerungen und der sonstige Fremdbezug von IT-Dienstleistungen stehen im Fokus der aktuellen aufsichtlichen Regelungen bei Banken. Nach Veröffentlichung der MaRisk-Novelle am 27. Oktober 2017 (Rundschreiben 09/2017 (BA) – Mindestanforderungen an das Risikomanagement – MaRisk) hat die BaFin mit „Bankaufsichtliche Anforderungen an die IT (BAIT)“ (Rundschreiben 10/2017 (BA)) vom 03. November 2017 eine weitere zentrale Regelung veröffentlicht.

Abgrenzung von Auslagerung und Fremdbezug

Auslagerung

Gemäß den aktuellen MaRisk AT 9 Nr. 1 liegt eine Auslagerung vor, wenn ein anderes Unternehmen mit der Wahrnehmung solcher Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt wird, die ansonsten vom Institut selbst erbracht würden. Die Anwendung der einschlägigen Regelungen zu § 25b KWG ist angesichts der besonderen, mit solchen Konstellationen einhergehenden Risiken nicht angemessen.

Sonstiger Fremdbezug von Leistungen

Nicht als Auslagerung im Sinne dieses Rundschreibens zu qualifizieren ist der sonstige Fremdbezug von Leistungen. Hierzu zählt zunächst der einmalige oder gelegentliche Fremdbezug von Gütern und Dienstleistungen sowie der Fremdbezug von Leistungen die typischerweise vom Institut nicht selbst erbracht werden können (z. B. die Nutzung von Zentralbankfunktionen, Clearingstellen im Rahmen des Zahlungsverkehrs und der Wertpapierabwicklung). Die angemessene Risikobehandlung sowie die Sicherstellung der Ordnungsmäßigkeit der Geschäftsorganisation gilt auch beim sonstigen Fremdbezug von Leistungen gemäß § 25a Abs. 1 KWG. Die Auslagerungen der IT-Dienstleistungen haben die Anforderungen nach AT 9 der MaRisk zu erfüllen. Dies gilt auch für Auslagerungen von IT-Dienstleistungen, die dem Institut durch ein Dienstleistungsunternehmen über ein Netz bereitgestellt werden (z. B. Rechenleistung, Speicherplatz, Plattformen oder Software) und deren Angebot, Nutzung und Abrechnung dynamisch und an den Bedarf angepasst über definierte technische Schnittstellen sowie Protokolle erfolgen (Cloud-Dienstleistungen). Neu gemäß MaRisk ist insbesondere, dass die BaFin Unterstützungsleistungen bei Software, die zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken eingesetzt wird oder die für die Durchführung von bankgeschäftlichen Aufgaben von wesentlicher Bedeutung ist, als Auslagerung einstuft. Ferner gilt der Betrieb der Software durch einen externen Dritten als Auslagerung.

Der isolierte Bezug von Software ist in der Regel als sonstiger Fremdbezug einzustufen. Hierzu gehören unter anderem auch die folgenden Unterstützungsleistungen:

  • die Anpassung der Software an die Erfordernisse des Instituts
  • die Umsetzung von Änderungswünschen (Programmierung)
  • das Testen, die Freigabe und die Implementierung der Software in die Produktionsprozesse (erstmaliger Einsatz sowie bei wesentlichen Veränderungen)
  • Fehlerbehebungen (Wartung) gemäß der Anforderungs-/Fehlerbeschreibung
  • sonstige Unterstützungsleistungen, die über die reine Beratung hinausgehen

Risikoanalyse – Beurteilung der wesentlichen Risiken

Die Einstufung der Wesentlichkeit ist auf Grundlage der Risikoanalyse (bspw. wesentliche Risiken, Risikokonzentration, Eignung des Auslagerungsunternehmens), sowie einheitlichen Rahmenvorgaben sowohl regelmäßig als auch anlassbezogen unter Einbeziehung der maßgeblichen Organisationseinheiten durchzuführen. Der Proportionalitätsgrundsatz gilt weiterhin. Die Einbeziehung der ausgelagerten Aktivitäten und Prozesse in das Risikomanagement ist obligatorisch. Die Intensität der Analyse ist von Art, Umfang, Komplexität und Risikogehalt der ausgelagerten Aktivitäten und Prozesse abhängig. Das gilt auch im Hinblick auf die Auslagerung der besonderen Funktionen wie Risikocontrolling-Funktion, Compliance-Funktion, Interne Revision oder von Kernbankbereichen. Soweit besondere Funktionen vollständig ausgelagert werden, hat die Geschäftsleitung jeweils einen (Revisions-) Beauftragten zu benennen, der eine ordnungsgemäße Durchführung der jeweiligen Aufgaben gewährleisten muss. Dementsprechend sind auch bei jedem Bezug von Software die damit verbundenen Risiken angemessen zu bewerten (vgl. AT 7.2 Tz. 4 Satz 2 MaRisk). Wegen der grundlegenden Bedeutung der IT für das Institut ist auch für jeden sonstigen Fremdbezug von IT-Dienstleistungen vorab eine Risikobewertung durchzuführen (vgl. Ziffer 8. Tz. 53 BAIT).

Fall der beabsichtigten oder erwarteten Beendigung der Auslagerungsvereinbarung

Das Institut hat bei wesentlichen Auslagerungen für Fälle unbeabsichtigter oder unerwarteter Beendigung dieser Auslagerungen, die mit einer erheblichen Beeinträchtigung der Geschäftstätigkeit verbunden sein können, etwaige Handlungsoptionen auf ihre Durchführbarkeit zu prüfen und zu verabschieden. Dies beinhaltet auch, soweit sinnvoll und möglich, die Festlegung entsprechender Ausstiegsprozesse. Die Handlungsoptionen sind regelmäßig und anlassbezogen zu überprüfen. Die Ausstiegsprozesse sind mit dem Ziel festzulegen, die notwendige Kontinuität und Qualität der ausgelagerten Aktivitäten und Prozesse aufrechtzuerhalten bzw. in angemessener Zeit wieder herstellen zu können. Hierauf kann bei gruppen- und verbundinternen Auslagerungen verzichtet werden. Existieren keine Handlungsoptionen, so ist zumindest eine angemessene Berücksichtigung in der Notfallplanung erforderlich.

Auslagerungsvertrag

Die Anforderungen an die inhaltliche Ausgestaltung des Auslagerungsvertrags bei wesentlichen Auslagerungen sind weiterhin einzuhalten. Mit Blick auf Weiterverlagerungen ist zumindest vertraglich sicherzustellen, dass die Vereinbarungen des Auslagerungsunternehmens mit Subunternehmen im Einklang mit den vertraglichen Vereinbarungen des originären Auslagerungsvertrags stehen. Ferner haben die vertraglichen Anforderungen bei Weiterverlagerungen auch eine Informationspflicht des Auslagerungsunternehmens an das auslagernde Institut zu umfassen. Das Auslagerungsunternehmen bleibt im Falle einer Weiterverlagerung auf ein Subunternehmen weiterhin gegenüber dem auslagernden Institut berichtspflichtig.

Risikosteuerung und Leistungsüberwachung

Das Institut hat die mit (wesentlichen) Auslagerungen verbundenen Risiken angemessen zu steuern und die Ausführung der ausgelagerten Aktivitäten und Prozesse ordnungsgemäß zu überwachen. Dies umfasst auch die regelmäßige Beurteilung der Leistung des Auslagerungsunternehmens anhand vorzuhaltender Kriterien. Für die Steuerung und Überwachung wesentlicher Auslagerungen hat das Institut klare Verantwortlichkeiten festzulegen.

Zentrales Auslagerungsmanagement

Das Institut hat abhängig von der Art, dem Umfang und der Komplexität der Auslagerungsaktivitäten ein zentrales Auslagerungsmanagement einzurichten. Zu dessen Aufgaben zählen insbesondere:

  • Implementierung und Weiterentwicklung eines angemessenen Auslagerungsmanagements und entsprechender Kontroll- und Überwachungsprozesse,

  • Erstellung und Pflege einer vollständigen Dokumentation der Auslagerungen (einschließlich Weiterverlagerungen),
  • Unterstützung der Fachbereiche bezüglich der institutsinternen und gesetzlichen Anforderungen bei Auslagerungen,
  • Koordination und Überprüfung der durch die zuständigen Bereiche durchgeführten Risikoanalyse.

Das zentrale Auslagerungsmanagement hat mindestens jährlich einen Bericht über die wesentlichen Auslagerungen zu erstellen und der Geschäftsleitung zur Verfügung zu stellen. Der Bericht hat eine Aussage darüber zu treffen, ob die erbrachten Dienstleistungen der Auslagerungsunternehmen den vertraglichen Vereinbarungen entsprechen, die ausgelagerten Aktivitäten und Prozesse angemessen gesteuert und überwacht werden können und ob weitere risikomindernde Maßnahmen ergriffen werden sollen.

Mehr

Q_PERIOR unterstützt Sie bei der Analyse, welche Auslagerungen im aufsichtlichen Sinne von Ihrem Institut betrieben werden. Wir begleitet Sie bei der Implementierung adäquater Prozesse und dem Aufbau der notwendigen organisatorischen Strukturen.

Mehr zu unseren Leistungen im Bereich Risikomanagement und Compliance finden Sie hier!

Mehr

Weitere Fokusthemen

WIR SIND FÜR SIE DA!

Mit Q_PERIOR steht Ihnen ein starker Partner zur Seite.
Wir freuen uns auf Ihre Herausforderung!

25. Januar 2018|