BAIT: Warum die Risiken von Auslagerungen neu bewertet werden müssen
microfin
Mit der Veröffentlichung der BAIT liegen die zukünftigen Schwerpunkte der BaFin offen. Das macht nicht nur die 44er-Prüfungen für Finanzdienstleister transparent, sondern zwingt sie auch dazu, ihre Auslagerungsprojekte neu zu prüfen.
von Sebastian Dosch, Volljurist und Senior Consultant, microfin
Moderne Bank-IT ist so komplex, dass sie oft nicht mehr wirtschaftlich durch hausinterne Abteilungen zu betreiben ist. Stattdessen kümmert sich die IT zunehmend um die Steuerung und Kontrolle von externen Dienstleistern. Auslagerungen spielen heute eine Schlüsselrolle im Finanzsektor.Banken wollen sich auf das Kerngeschäft konzentrieren und gleichzeitig veraltete Technik auf den aktuellen Stand bringen. Auslagerung steht und fällt aber mit der Kontrolle.”
Es muss sicher sein, dass die Services der Dienstleister den regulatorischen Ansprüchen gerecht werden. An dieser Stelle versuchen Banken oft, den eigenen Aufwand zu reduzieren, der ihnen durch die Aufsichtsbehörden entsteht. Sie stufen extern bezogene IT-Dienstleistungen dann nicht als Auslagerung, sondern lediglich als sonstigen Fremdbezug ein. Diese Lücke haben die neue MaRisk sowie die begleitenden BAIT geschlossen. Die Regularien machen hier keinen signifikanten Unterschied mehr.
BAIT: „sonstigen Fremdbezug“
Die neue Abgrenzung von Auslagerungen und dem sogenannten „sonstigen Fremdbezug“ von Leistungen dient der Festlegung, dass für Fremdbezug lediglich § 25a Abs. 1 KWG mit seinen Regelungen für besondere organisatorische Pflichten anzuwenden ist. § 25b KWG hingegen gilt für die Auslagerung. Hiernach darf weder die Ordnungsmäßigkeit typischer Bankgeschäfte und -dienstleistungen noch die Geschäftsorganisation im Sinne des § 25a Absatz 1 beeinträchtigt werden. Für den Fremdbezug ist das regelmäßig zu weit gefasst und daher nicht angemessen.
Bei den sogenannten „44er“-Prüfungen führt das regelmäßig zu Beanstandungen. Aufsichtsbehörden bemängeln, dass keine vertraglichen Mindestbestandteile für sonstige Fremdbezüge vorgesehen sind. Auf diesem Weg wollen es sich die Banken ersparen, umfassende – und von Providern ungeliebte – Regelungen in Verträge aufzunehmen. Damit kann jedoch nicht sichergestellt werden, dass geschlossene Verträge risikoadäquat gestaltet werden. Eine Vereinbarkeit mit § 25a KWG ist daher nicht gewährleistet.
Sebastian Dosch ist Volljurist und Senior Consultant bei der microfin Unternehmensberatung mit den Schwerpunkten IT-Outsourcing, Cloud-Sourcing und Providermanagement. Vor seiner Beratertätigkeit war Dosch als Kanzleiinhaber und Fachanwalt für IT-Recht, Produktplaner in einem auf Insolvenzrecht spezialisierten Softwareunternehmen und als Lehrbeauftragter im Bereich Öffentliches Recht an der Technischen Universität Darmstadt aktiv.Banken werden gehörig umdenken müssen
In der ersten Auflage der BAIT finden sich alle wichtigen Themen rund um das Outsourcing der IT – von der IT-Strategie über das Informationssicherheitsmanagement bis hin zu Regelungen der Auslagerungen und sonstigen Fremdbezüge. Sie zeigt verschiedene Best Practices, die relevante Vorschriften für Planung, Aufbau, Betrieb und Kontrolle von IT-Systemen nach Auffassung der BaFin repräsentieren. Damit hat die Aufsichtsbehörde sehr deutlich gemacht, auf welche Themen sie bei einer Prüfung besonderen Wert gelegt hat bzw. legen wird.
Auch deshalb erweitern MaRisk und BAIT den Anwendungsbereich des Risikomanagements um einen wesentlichen Punkt: Der isolierte Bezug von Software stellt jetzt in der Regel einen sonstigen Fremdbezug dar. Neben dem Bezug gehören dazu auch Dienstleistungen wie Customizing, Testen und Implementieren sowie die Wartung von Software. Auch Unterstützungsleistungen, die über die reine Beratung hinausgehen, werden so kategorisiert. Damit ist quasi jede externe IT-Dienstleistung einer Risikobewertung zu unterziehen und in das Management des operationellen Risikos einzubeziehen.
Die MaRisk macht hiervon drei Ausnahmen, die weitergehend als Auslagerung eingestuft werden:
1. Unterstützungsleistungen für Software, die der Identifizierung, Beurteilung, Steuerung, Überwachung oder Kommunikation von Risiken dient, 2. Unterstützungsleistungen für Software, die von wesentlicher Bedeutung für die Durchführung von bankgeschäftlichen Aufgaben ist, und 3. der Betrieb von Software durch einen externen Dritten.Diese Ausnahmen sind nachvollziehbar: Provider haben auch bei der einmaligen Erbringung ihrer Dienstleistungen nicht immer nur das Wohl von Bankinstituten und deren Kunden im Sinn. Sie verfolgen ebenso eigene Interessen und Ziele und gehen dabei Risiken ein, um ihren Profit zu erhöhen. Dieses Risiko sollte jede Bank kennen, selbst wenn sie nur eine einmalige Leistung an einen Externen vergibt.
Dabei bleibt das Proportionalitätsprinzip der MaRisk erhalten: Jede Bank muss selbst auf Basis ihrer Größe und ihrer Risikogeneigtheit entscheiden, welche der Anforderungen sie in welchem Umfang erfüllt.”
Ein kleines, lokal tätiges Institut mit großem Privatkundengeschäft wie Girokonten oder Kleinkrediten wird die BAIT in weit geringerem Maße umsetzen als eine Großbank mit internationalem und risikoreichem Geschäft wie Investmentbanking oder Hochfrequenzhandel.
Sind die Bedenken der Banken vor den neuen Vorschriften nun gerechtfertigt? Wächst der Berg an Regulierungen jetzt noch weiter? Fakt ist: Die neuen Vorschriften bilden nur das ab, was bei den Prüfungen bereits seit längerer Zeit gängige Praxis war. Die Banken müssen das jetzt lediglich konsequent umsetzen. So gesehen besteht sogar Grund zur Freude: Insbesondere die BAIT gibt Orientierungshilfen für sichere IT und Freiraum zum Einsatz neuer Technik.aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/70538
Schreiben Sie einen Kommentar