Matrix Technology AG
Blog > BaFin Auslagerung: IT Outsourcing im Fokus der Aufsicht
Regulatorik & Compliance

BaFin Auslagerung: IT Outsourcing im Fokus der Aufsicht

Peter Bauer

Peter Bauer

Managing Partner

http://www.linkedin.com/in/peter-bauer-a065b590
http://www.xing.com/profile/Peter_Bauer34/cv

Peter Bauer ist in seiner Rolle als Managing Partner bei matrix technology für die Leistungserbringung aller IT-Servicekunden verantwortlich - unter anderem auch aus dem finanzregulierten Umfeld.

Alle Beiträge des Autors

Viele regulierte Unternehmen decken größere Teile ihres IT-Bedarfs über Dienstleister ab. Zunehmend rücken dabei Dienstleistungsketten in den Fokus der Aufsicht – vom primären Partner bis zum Sub-Sub-Unternehmen. Während sich der gesetzliche Rahmen in dieser Richtung ausdehnt, existieren bereits Lösungen für regelkonforme Auslagerungen. 

„Jede Dienstleistung verändert die Risikoposition eines Auftraggebers“, stellen die Autoren um Verena Siemes, Geschäftsführerin der ORO Services GmbH, in ihrem aktuellen Whitepaper „Dienstleistungsmanagement im Fokus der Aufsicht“ fest. Unternehmen aus dem Sektor Finanzdienstleistungen sollten daher nicht nur die eigenen Prozesse, sondern auch ihr IT-Provider-Management mit Blick auf die regulatorischen Vorgaben überprüfen. So fordern es auch die novellierten Fassungen von BAIT und MaRisk von August 2021. Das Gesetz zur Stärkung der Finanzmarktintegrität (FISG) erweitert diesen Rahmen zusätzlich.  

Das ausgebaute Gerüst an Vorgaben verdeutlicht die gestiegene Aufmerksamkeit der Finanzmarktkontrolleure für ausgelagerte Risiken. Mängel im Management der beauftragten IT-Provider können auf dieser Basis künftig moniert werden. Typisch für die Praxis sind hierbei Dienstleister-Ketten: Ein primärer Partner vergibt Teilaufträge an Sub-Dienstleister. Verantwortlich für die Compliance entlang der gesamten Kette bleibt jedoch das auslagernde Institut. Im Fall von Revisionen oder externen Prüfungen, etwa durch die BaFin oder durch Wirtschaftsprüfer, muss zielsicher der Nachweis erbracht werden können, dass alle Kriterien für Informationssicherheit und IT-Sicherheit über die gesamte Lieferkette hinweg erfüllt sind. 

Beispiel aus der Praxis: IT Provider Management bei matrix technology

Für diese Anforderung haben wir bei matrix technology einen eigenen, und im Rahmen der ISO-27001 Zertifizierung geprüften Prozess etabliert. Denn dadurch, dass wir häufig als primärer Partner für regulierte Unternehmen agieren, sind wir de facto auch als IT-Provider-Manager tätig, sobald wir Teile der beauftragen Leistungen an geeignete Partner weitergeben. Unser Provider Management (ProvM) Prozess übernimmt die Einordnung, die Auswahl, die Dokumentation und die Steuerung von Dienstleistern und Lieferanten, die im Rahmen der Leistungserbringung bei regulierten Unternehmen zum Einsatz kommen.  

  • Unser IT Provider Management orientiert sich an den Vorgaben und Rahmenbedingungen des ITIL-Prozesses Supplier Management.  
  • Das Supplier and Contract Management Information System (SCMIS) enthält alle wesentlichen Dienstleister und Lieferanten (Supplier) sowie die wesentlichen Attribute aller Verträge, die mit den Lieferanten abgeschlossen sind.  
  • Die Provider werden initial vor der Beauftragung und dann laufend hinsichtlich der Qualität der Leistungserbringung geprüft und einer regelmäßigen Risikobewertung unterzogen

Auslagerungsregister

Was gefordert wird: Künftig ist ein vollständiges und aktuelles Register durch das Institut zu führen, das sämtliche Auslagerungstatbestände umfasst – auch die Unwesentlichen. Ziel der Aufsicht ist es hierbei, die Streuung oder Bündelung von Auslagerungen zu erkennen.

Wie wir agieren: Wir führen jede Auslagerung in unserem ITSM-Tool vom Onboarding des Dienstleisters über den gesamten Lebenszyklus der Zusammenarbeit hinweg. Wir führen damit eine Übersicht aller Provider mit den jeweiligen Ist-Zuständen und beauftragten Leistungen – sowohl Auslagerungen als auch sonstige Fremdbezüge. 

Vertragsmanagement

Was gefordert wird: Wenn wesentliche Vertragspflichten auch an Sub-Dienstleister weitergegeben werden, müssen Regeln für diese Weiterverlagerung vereinbart werden.

Wie wir agieren: Wir stellen sicher, dass auch die Sub-Dienstleister im regulierten Umfeld intensive Erfahrung aufweisen. Die Sub-Dienstleister müssen dem im originären Auslagerungsvertrag festgelegten Prüfrechten und weiteren wesentlichen Vertragsbestimmungen zustimmen.

Risikoanalyse

Was gefordert wird: Für jede Auslagerung ist eine Risikoanalyse auf Grundlage einheitlicher Rahmenvorgaben durchzuführen, die durch den Auftraggeber gesetzt werden.

Wie wir agieren: Wir stimmen gemeinsam mit dem Kunden ab, ob es sich um eine (wesentliche) Auslagerung oder um einen sonstigen Fremdbezug handelt und stellen unseren Kunden unsere eigenen Risikoanalysen für ihre Bewertungen zur Verfügung.

Ausstiegsszenarien

Was gefordert wird: Für wesentliche Auslagerungen müssen im Fall einer erwarteten oder unerwarteten Beendigung der Auslagerung Maßnahmen für die Kontinuität und Qualität der Geschäftsprozesse getroffen werden.

Wie wir agieren: Wir stimmen individuelle Exit-Konzepte auch für die Sub-Dienstleister ab und sind auf mögliche Ausfälle vorbereitet.

Notfallmanagement

Was gefordert wird: Die Anforderungen des eigenen Notfallmanagements an den auszulagernden Geschäftsprozess müssen berücksichtigt werden. Wiederanlauf- und Wiederherstellungsprozesse sind zu erstellen und auf ihre Funktionsfähigkeit zu prüfen. Bei wesentlichen Auslagerungen sollen auch Notfall-Übungen stattfinden.

Wie wir agieren: Anstatt individueller Notfallpläne gibt es definierte Wiederherstellungsprozesse für den Gesamtservice, die mehrere Partner einbeziehen.  Ausgangsszenarien sind Ereignisse wie Naturkatastrophen.

Qualitätskontrolle und Berichtswesen

Was gefordert wird: Finanzinstitute, die IT auslagern, müssen die ausgelagerten Aktivitäten regelmäßig im Hinblick auf die definierten Risiken überwachen. Dazu gehören eine Qualitätskontrolle und ein geeignetes Reporting.

Wie wir agieren: Wir vereinbaren mit Sub-Dienstleistern individuelle Service-Level-Agreements (SLAs), die auch Anforderungen an ein Regelreporting beinhalten sowie Strafen für das Verfehlen der in messbaren Werten hinterlegten Ziele. Für eine Ad-hoc-Steuerung der überwachten Prozesse integrieren wir die Partner in unser zentrales IT Service Management-Tool (ITSM).

Regulatorik-Know-how: Wesentliche Auslagerung oder nicht?

Im Fall von regulierten Unternehmen werfen Aufseher wie die BaFin einen besonderen Blick auf eine IT-Auslagerung je nach Art, Risiko, Umfang und Komplexität. Betreibt ein Service-Provider beispielsweise eine Software, die für die Durchführung von bank- oder versicherungsgeschäftlichen Aufgaben von wesentlicher Bedeutung ist, liegt wahrscheinlich eine sogenannte wesentliche Auslagerung vor. Ein solcher Fall führt dazu, dass MaRisk-Kriterien in die Risikomanagement-Anforderungen aller Verträge zwischen dem Kunden und dem Dienstleister, aber auch in alle untergeordneten Verträge im Rahmen der „Weiterverlagerung“ berücksichtigt werden müssen. Diese Vorgaben setzt unser IT Provider Management um. Bei Bedarf können wir Sie auch im Rahmen unserer IT-Outsourcing-Beratung bei Ihrem IT-Provider-Management unterstützen.

Das könnte Sie auch interessieren