Montag, 22. März 2021

IT-Dienstleistungen – Fremdbezug oder doch Auslagerung?

Die neuen BAIT und ihre Folgen für die Auslagerungssteuerung.

Markus Wietzke, Teamkoordinator Zentrales Auslagerungsmanagement, IT- & Dienstleistersteuerung, Sparkasse Hannover

 

Ohne IT geht in der heutigen Bankenwelt gar nichts mehr. Es gibt so gut wie keine Dienstleistung einer Bank, die nicht auf irgendeine Art und Weise von IT abhängig ist. Kein Wunder also, dass die BaFin sich genötigt sah, „Bankaufsichtliche Anforderungen an die IT“ zu veröffentlichen, in denen sie beschreibt, wie sie die Anforderungen des §25a KWG an eine ordnungsgemäße IT einschätzt. Daraus ergeben sich allerdings erhebliche Handlungsfelder für die Kreditinstitute.


Auslagerung „durch die Hintertür“

Laut AT 9, Tz.1 der aktuellen (und voraussichtlich auch der neuen) MaRisk ist der reine Bezug von Software inklusive der damit verbundenen Dienstleistungen als Fremdbezug einzustufen. Was ist aber z. B. mit Programmiertätigkeiten an einer Software, mit der Bilanzen analysiert werden und die als Basis für Kreditentscheidungen genutzt wird? Was ist, wenn die Software, mit der die Bank ihre Liquiditätskennzahlen täglich ermittelt, auf einem Server bei einer anderen Firma läuft? Flapsig gesagt ist zu fragen: Guckt da einer mal darauf, was mit „unserer Software“ passiert? Hier kommt dann doch wieder eine Abgrenzungsentscheidung ins Spiel: Wenn die Dienstleistungen sich um eine Software drehen, die zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation von Risiken dient (oben 2. Fall) oder diese für die Durchführung von bankgeschäftlichen Aufgaben lt. §1 KWG von wesentlicher Bedeutung ist (1. Fall), liegt eben doch wahrscheinlich eine Auslagerung vor. Dies einzuschätzen obliegt jedem Institut selbst und ist individuell zu beurteilen. Auch hier gilt: Jede dieser Entscheidungen ist für Dritte nachvollziehbar zu dokumentieren. Und Achtung: Alleine das Hosten solch einer relevanten Software stellt dann auch eine Auslagerung dar!

Da es sicher Hunderte einzelner Softwarestücke bei jedem Institut gibt, und bei jedem geschaut werden muss, ob Dienstleistungen mit der Software eingekauft werden und ob diese Software in eine der beiden o. g. Kriterien fällt, ist ein strukturierter, standardisierter und nachvollziehbarer Entscheidungsprozess zu installieren. Liegt ein Auslagerungstatbestand vor, ist die reguläre Risikoanalyse nach AT 9 MaRisk für den Dienstleister zusätzlich zu Risikobewertungen für die Software etc. durchzuführen.

 

Ist bei Fremdbezug also alles gut?

„Jein“, müsste man sagen. Wenn keine Auslagerung vorliegt, entfällt natürlich die Risikoanalyse nach AT9 MaRisk. Allerdings verlangen die BAIT auch in diesen Fällen eine Betrachtung möglicher Risiken. Hier ist zu differenzieren, ob es sich nur um eine reine Dienstleistung handelt, also z. B. eine Programmiertätigkeit an bereits eingesetzter Software, oder ob sogar die Software selbst erst noch mit eingekauft wird. Für den reinen Dienstleistungsbezug gilt es, eine Risikobewertung durchzuführen, d. h. eine Gegenüberstellung unserer Anforderungen an den Dienstleister mit seinen Angaben aus dem Vertrag. Welche Anforderungen das Kreditinstitut als sinnvoll erachtet, hängt vom Schutzbedarf des Prozesses ab, den der neue Dienstleister übernehmen soll. Je höher z. B. die Vertraulichkeit, die Integrität oder die Verfügbarkeit des Prozesses und damit der Dienstleistung eingeschätzt wird, desto strengere Kriterien werden im Rahmen dieser Risikobewertung an den Vertrag gelegt.

Wird gleich eine ganze Software inklusive Unterstützungsleistungen erworben, kann die Software im Vordergrund stehen und mit ihr die Daten. Zu betrachten ist wieder der Schutzbedarf des durch die Software abgehandelten Prozesses. Dieses Mal muss dann die Software, die diesen Schutzbedarf des Prozesses praktisch vererbt bekommt, unsere Anforderungen erfüllen. Dies geschieht in der Regel durch Technisch-organisatorische Maßnahmen. 

Sind alle unsere Anforderungen an den Vertrag bzw. an die Software erfüllt, kann die Risikobewertung damit erledigt sein. Gibt es Lücken, sind diese intern zu bewerten, ggf. weitere Maßnahmen zu veranlassen bzw. diese in die OpRisk-Szenarien mit aufzunehmen.

Seminartipps

 Zu beachten ist aber, dass bei allen diesen Anforderungen an den Fremdbezug von Dienstleistungen oder Software nicht ein höherer Aufwand betrieben wird als bei einer Auslagerung selbst. Die Verhältnismäßigkeit sollte immer gewahrt bleiben.


 


Fazit

 

Über allen Vorgängen, ob nun Auslagerungen oder Fremdbezügen, schwebt im Aufsichts-recht immer die Frage: haben wir uns als Kreditinstitut genaue Gedanken über mögliche Risiken gemacht, vor allem dadurch, dass wir interne Prozesse aus der Hand geben? Welche haben wir identifiziert und wie sind wir damit umgegangen? Wenn dadurch ein solides Risikomanagement erkennbar wird, dann klappt’s auch mit der Aufsicht.

 

PRAXISTIPPS

 

 


Beitragsnummer: 17081

Beitrag teilen:

Beiträge zum Thema:

Beitragsicon
Immobiliensammler: Kapitaldienstfähigkeit (KDF) kritisch gewürdigt

Analyse der nachhaltigen und zukünftigen Kapitaldienstfähigkeit bei Immobiliensammler. Analyse der Cash Flows bei Immobilien - rechnerische vs. faktische KDF.

05.06.2024

Beitragsicon
Kryptoverwahrgeschäft – was bringt die Erlaubnis für die Institute?

Abgrenzung zu anderen bestehenden Finanzdienstleistungen sowie Hervorhebung ausgewählter bankaufsichtsrechtlicher Anforderungen

03.01.2023

Beitragsicon
DORA: Fokus auf die IKT-Dienstleister

Im ersten Schritt sollten alle Banken frühzeitig prüfen welche Auslagerungen, Fremdbezüge tatschlich IKT-relevant sind

10.03.2024

Beitragsicon
Das Auslagerungsmanagement als Prüfungsobjekt

Die Auslagerung von Dienstleistungen ist bei regulierten Instituten weit verbreitet und bietet zahlreiche Vorteile. Sie birgt jedoch auch Risiken

03.06.2024

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.