Aufsichtsrechtliche Einstufung und resultierende Anforderungen
Prof. Dr. Dirk Heithecker, Professur für Quantitative Methoden und Corporate Finance, Hochschule Hannover, und Fachreferent, Kredit- und Restwertrisikomanagement, Volkswagen Bank GmbH (Der Beitrag gibt ausschließlich die persönliche Auffassung und Einschätzung des Autors wieder)
Die Neuerungen und Konkretisierungen im Umgang mit Auslagerungen sind eine der wesentlichen inhaltlichen Anpassungen der 5. Novelle der Mindestanforderungen an das Risikomanagement (MaRisk), deren Frist zur Umsetzung im Oktober endet. Im Zusammenhang mit dem Bezug von Software gelten zudem seit November 2017 die Bankaufsichtlichen Anforderungen an die IT (BAIT). Im vorliegenden Beitrag wird die inhaltliche Abhängigkeit beider Vorgaben erörtert.
Software als Fremdbezug von IT-Dienstleistungen
Vor dem Hintergrund der Vorgaben des § 25a (1) und § 25b KWG gelten besondere Anforderungen im Umgang mit dem Fremdbezug von Leistungen in Kreditinstituten. Zu diesen Leistungen zählen auch IT-Dienstleistungen, die besondere, auf die IT bezogene Aktivitäten darstellen. Dies schließt die Bereitstellung von IT-Systemen, von Projekten und Gewerken oder auch die Personalgestellung im IT-Bereich ein. Die Implementierung von Software dürfte aufsichtsrechtlich auch als Fremdbezug von IT-Dienstleistungen einzustufen sein (vgl. MaRisk, AT 9, Tz. 1, Erläuterungen und auch BAIT, Tz. 52, Satz 3), wenngleich durch Bankenverbände während der Konsultation andere Auffassungen vertreten wurden (vgl. DK, Konsultation des Rundschreibens BAIT, S. 15 und DK, Stellungnahme 5. MaRisk-Novelle, S. 28 ff.). Sogar der isolierte Bezug von Software, aber auch softwarebezogener IT-Dienstleistungen im Rahmen der Implementierung und Nutzung – so genannte Unterstützungstätigkeiten, vgl. Tabelle – gelten per se als Fremdbezug.
Software und Unterstützungsleistung als Auslagerung oder sonstigem Fremdbezug
Die MaRisk unterscheiden beim Fremdbezug von Leistungen zwischen Auslagerungen und sonstigem Fremdbezug (vgl. MaRisk, AT 9, Tz. 1), entsprechend gilt diese Unterscheidung auch für den Fremdbezug von Software. Nach Wortlaut der MaRisk können in der Regel aber nur Unterstützungstätigkeiten beim Fremdbezug von Software den Tatbestand der Auslagerung erfüllen. Im Fokus stehen dabei nur Leistungen für Software, die im Rahmen von Kontrollfunktionen (Risikocontrolling etc.) oder in Kernbankbereichen eingesetzt werden (vgl. MaRisk, AT 9, Tz. 1, Erläuterungen). Liegt eine Auslagerung vor, so sind umfassende MaRisk-Vorgaben an die Organisation, Risikoanalyse und Risikosteuerung, Kontinuität der Geschäftsprozesse und Vertragsgestaltungen zu erfüllen (vgl. Heithecker, Risikokonzentrationen bei Auslagerungen, BankPraktiker, demnächst). Der isolierte Bezug von Software (und deren Implementierung, Testen und Freigabe durch das Kreditinstitut selbst) sollte hingegen nicht als Auslagerung eingestuft werden – unabhängig vom Einsatz.
SEMINARTIPPS:
Auslagerungsverträge auf dem Prüfstand, 15.11.2018, Frankfurt/M.
Prüfung Auslagerungsprozesse, 22.11.2018, Köln.
Auslagerungen im Fokus neuer MaRisk & BAIT, 10.12.–11.12.2018, Frankfurt/M.
Entsprechend der bisherigen Abgrenzung ist der isolierte Fremdbezug von Software einschließlich der Unterstützungsleistungen, die nicht den Tatbestand der Auslagerung erfüllen, ein sonstiger Fremdbezug. Hier sind „lediglich“ die allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsorganisation zu erfüllen, die jedoch in den BAIT konkretisiert werden (vgl. BAIT, Tz. 53 bis 56). So muss vorab eine Risikobewertung vorgenommen werden, zudem ist der Fremdbezug risikoorientiert zu steuern und die Leistungserfüllung zu überwachen. Ferner sind Vereinbarungen zum Notfallmanagement einschließlich von Exit- und Alternativstrategien festzulegen. So mögen diese Vorgaben in regelmäßig üblichen Fällen, etwa beim Bezug von Standardsoftware, durch übliche Vorkehrungen eines Instituts (Programmeinsatzverfahren einschließlich Costumizing, Testdurchführung, Freigabe), einfach umzusetzen sein. Dennoch ergeben sich strukturell zur Auslagerung gleiche Anforderungen, die jedoch inhaltlich weniger anspruchsvoll und umfassend einzustufen sind.
BUCHTIPPS:
Auslagerung nach MaRisk, 2018.
Riediger (Hrsg.): Auslagerungen & Dienstleister-Steuerung, 2018.
Fazit
Durch die augenscheinliche Einstufung als Fremdbezug und aufgrund der zusätzlich in den BAIT formulierten Vorgaben zur Umsetzung einer ordnungsgemäßen Geschäftsorganisation gleichen sich die Umsetzungsbedarfe bei softwarebasierten IT-Dienstleistungen unabhängig einer weiteren Kategorisierung als Auslagerung oder sonstiger Fremdbezug an. Die Vorgaben an den sonstigen Fremdbezug sind unter Proportionalitätsgesichtspunkten im Vergleich zur Auslagerung sicherlich weniger umfassend, müssen jedoch weitestgehend gleiche Themenstellung abdecken. Es empfiehlt sich somit, die Erfüllung der Vorgaben an den sonstigen Fremdbezug und an die Auslagerung bei softwarenahen IT-Dienstleistungen (Softwarebezug einschließlich Unterstützungstätigkeiten) aus einer Hand zu steuern.
PRAXISTIPPS
- Erstellen Sie eine vollständige, strukturierte Vertragsübersicht ihrer eingesetzten Software und damit zusammenhängender Unterstützungsleistungen.
- Legen Sie für die Steuerung fest, welche dieser Leistungen gebündelt und identisch betrachtet werden können.
- Nutzen Sie Ihre Prozesse und Kenntnisse des Auslagerungsmanagements zur adäquaten Einstufung und vereinfachten Steuerung softwarebezogenen IT-Dienstleistungen im sonstigen Fremdbezug.
Beitragsnummer: 820