Home Publikationen Fachartikel

BAIT: Warum die Risiken von Auslagerungen neu bewertet werden müssen

Mit der Veröffentlichung der BAIT liegen die zukünftigen Schwerpunkte der BaFin offen. Das macht nicht nur die 44-er-Prüfungen für Finanzdienstleister transparent, sondern zwingt sie auch dazu, ihre Auslagerungsprojekte neu zu prüfen.

Mit der Veröffentlichung der BAIT liegen die zukünftigen Schwerpunkte der BaFin offen. Das macht nicht nur die 44-er-Prüfungen für Finanzdienstleister transparent, sondern zwingt sie auch dazu, ihre Auslagerungsprojekte neu zu prüfen.

Moderne Bank-IT ist so komplex, dass sie oft nicht mehr wirtschaftlich durch hausinterne Abteilungen zu betreiben ist. Stattdessen kümmert sich die IT zunehmend um die Steuerung und Kontrolle von externen Dienstleistern. Auslagerungen spielen heute eine Schlüsselrolle im Finanzsektor. Denn Banken wollen sich auf das Kerngeschäft konzentrieren und gleichzeitig veraltete Technik auf den aktuellen Stand bringen. Auslagerung steht und fällt aber mit der Kontrolle: Es muss sicher sein, dass die Services der Dienstleister den regulatorischen Ansprüchen gerecht werden. An dieser Stelle versuchen Banken oft, den eigenen Aufwand zu reduzieren, der ihnen durch die Aufsichtsbehörden entsteht. Sie stufen extern bezogene IT-Dienstleistungen dann nicht als Auslagerung, sondern lediglich als sonstigen Fremdbezug ein. Diese Lücke haben die neue MaRisk sowie die begleitenden BAIT geschlossen. Die Regularien machen hier keinen signifikanten Unterschied mehr.

Die neue Abgrenzung von Auslagerungen und dem so genannten „sonstigen Fremdbezug“ von Leistungen dient der Festlegung, dass für Fremdbezug lediglich § 25a Abs. 1 KWG mit seinen Regelungen für besondere organisatorische Pflichten anzuwenden ist. § 25b KWG hingegen gilt für die Auslagerung. Hiernach darf weder die Ordnungsmäßigkeit typischer Bankgeschäfte und -dienstleistungen noch die Geschäftsorganisation im Sinne des § 25a Absatz 1 beeinträchtigt werden. Für den Fremdbezug ist das regelmäßig zu weit gefasst und daher nicht angemessen.

Bei den so genannten "44-er"-Prüfungen führt das regelmäßig zu Beanstandungen. Aufsichtsbehörden bemängeln, dass keine vertraglichen Mindestbestandteile für sonstige Fremdbezüge vorgesehen sind. Auf diesem Weg wollen es sich die Banken ersparen, umfassende – und von Providern ungeliebte – Regelungen in Verträge aufzunehmen. Auf diese Weise kann jedoch nicht sichergestellt werden, dass geschlossene Verträge risikoadäquat gestaltet werden. Eine Vereinbarkeit mit § 25a KWG ist daher nicht sichergestellt.

Banken werden hier also gehörig umdenken müssen. In der ersten Auflage der BAIT finden sich alle wichtigen Themen rund um das Outsourcing der IT - von der IT-Strategie über das Informationssicherheitsmanagement bis hin zu Regelungen der Auslagerungen und sonstigen Fremdbezügen. Sie zeigt verschiedene Best Practices, die relevante Vorschriften für Planung, Aufbau, Betrieb und Kontrolle von IT-Systemen nach Auffassung der BaFin repräsentieren. Damit hat die Aufsichtsbehörde sehr deutlich gemacht, auf welche Themen sie bei einer Prüfung besonderen Wert gelegt hat bzw. legen wird.

Auch deshalb erweitern MaRisk und BAIT den Anwendungsbereich des Risikomanagements um einen wesentlichen Punkt: Der isolierte Bezug von Software stellt jetzt in der Regel einen sonstigen Fremdbezug dar. Neben dem Bezug gehören dazu auch Dienstleistungen wie Customizing, Testen und Implementieren sowie die Wartung von Software. Auch Unterstützungsleistungen, die über die reine Beratung hinausgehen, werden so kategorisiert. Damit ist quasi jede externe IT-Dienstleistung einer Risikobewertung zu unterziehen und in das Management des operationellen Risikos einzubeziehen.

[...]

Artikel empfehlen

Durch die Nutzung dieser Webseite erkläre ich mich mit der Verwendung von Cookies einverstanden. Weitere Informationenschließen