BaFin Auslagerung: IT Outsourcing im Fokus der Aufsicht
Viele regulierte Unternehmen decken größere Teile ihres IT-Bedarfs über Dienstleister ab. Zunehmend rücken dabei Dienstleistungsketten in den Fokus der Aufsicht – vom primären Partner bis zum Sub-Sub-Unternehmen. Während sich der gesetzliche Rahmen in dieser Richtung ausdehnt, existieren bereits Lösungen für regelkonforme Auslagerungen.
„Jede Dienstleistung verändert die Risikoposition eines Auftraggebers“, stellen die Autoren um Verena Siemes, Geschäftsführerin der ORO Services GmbH, in ihrem aktuellen Whitepaper „Dienstleistungsmanagement im Fokus der Aufsicht“ fest. Unternehmen aus dem Sektor Finanzdienstleistungen sollten daher nicht nur die eigenen Prozesse, sondern auch ihr IT-Provider-Management mit Blick auf die regulatorischen Vorgaben überprüfen. So fordern es auch die novellierten Fassungen von BAIT und MaRisk von August 2021. Das Gesetz zur Stärkung der Finanzmarktintegrität (FISG) erweitert diesen Rahmen zusätzlich.
Das ausgebaute Gerüst an Vorgaben verdeutlicht die gestiegene Aufmerksamkeit der Finanzmarktkontrolleure für ausgelagerte Risiken. Mängel im Management der beauftragten IT-Provider können auf dieser Basis künftig moniert werden. Typisch für die Praxis sind hierbei Dienstleister-Ketten: Ein primärer Partner vergibt Teilaufträge an Sub-Dienstleister. Verantwortlich für die Compliance entlang der gesamten Kette bleibt jedoch das auslagernde Institut. Im Fall von Revisionen oder externen Prüfungen, etwa durch die BaFin oder durch Wirtschaftsprüfer, muss zielsicher der Nachweis erbracht werden können, dass alle Kriterien für Informationssicherheit und IT-Sicherheit über die gesamte Lieferkette hinweg erfüllt sind.
Beispiel aus der Praxis: IT Provider Management bei matrix technology
Für diese Anforderung haben wir bei matrix technology einen eigenen, und im Rahmen der ISO-27001 Zertifizierung geprüften Prozess etabliert. Denn dadurch, dass wir häufig als primärer Partner für regulierte Unternehmen agieren, sind wir de facto auch als IT-Provider-Manager tätig, sobald wir Teile der beauftragen Leistungen an geeignete Partner weitergeben. Unser Provider Management (ProvM) Prozess übernimmt die Einordnung, die Auswahl, die Dokumentation und die Steuerung von Dienstleistern und Lieferanten, die im Rahmen der Leistungserbringung bei regulierten Unternehmen zum Einsatz kommen.
- Unser IT Provider Management orientiert sich an den Vorgaben und Rahmenbedingungen des ITIL-Prozesses Supplier Management.
- Das Supplier and Contract Management Information System (SCMIS) enthält alle wesentlichen Dienstleister und Lieferanten (Supplier) sowie die wesentlichen Attribute aller Verträge, die mit den Lieferanten abgeschlossen sind.
- Die Provider werden initial vor der Beauftragung und dann laufend hinsichtlich der Qualität der Leistungserbringung geprüft und einer regelmäßigen Risikobewertung unterzogen
Auslagerungsregister
Vertragsmanagement
Risikoanalyse
Ausstiegsszenarien
Notfallmanagement
Qualitätskontrolle und Berichtswesen
Regulatorik-Know-how: Wesentliche Auslagerung oder nicht?
Im Fall von regulierten Unternehmen werfen Aufseher wie die BaFin einen besonderen Blick auf eine IT-Auslagerung je nach Art, Risiko, Umfang und Komplexität. Betreibt ein Service-Provider beispielsweise eine Software, die für die Durchführung von bank- oder versicherungsgeschäftlichen Aufgaben von wesentlicher Bedeutung ist, liegt wahrscheinlich eine sogenannte wesentliche Auslagerung vor. Ein solcher Fall führt dazu, dass MaRisk-Kriterien in die Risikomanagement-Anforderungen aller Verträge zwischen dem Kunden und dem Dienstleister, aber auch in alle untergeordneten Verträge im Rahmen der „Weiterverlagerung“ berücksichtigt werden müssen. Diese Vorgaben setzt unser IT Provider Management um. Bei Bedarf können wir Sie auch im Rahmen unserer IT-Outsourcing-Beratung bei Ihrem IT-Provider-Management unterstützen.