Matrix Technology AG
Blog > Wesentliche Auslagerung: 4 Regeln für erfolgreiches IT-Outsourcing im Finanzsektor

Wesentliche Auslagerung: 4 Regeln für erfolgreiches IT-Outsourcing im Finanzsektor

Ein IT-Outsourcing-Vorhaben ist keine alltägliche Aufgabe, sondern meist das größte IT-Projekt, welches ein Unternehmen bis dato hatte. Im Banken- und Versicherungsumfeld wird die Auslagerung der IT eigentlich immer als wesentliche Auslagerung (BAIT) bzw. als wichtige Ausgliederung (VAIT) eingestuft. Damit gelten dann die entsprechenden Vorgaben der BaFin für das Finanz- bzw. Versicherungsunternehmen. Basierend auf meinen Erfahrungen aus dem Outsourcing-Alltag, habe ich für Sie die vier wichtigsten Regeln für ein erfolgreiches und zukunftsgerichtetes IT-Outsourcing-Vorhaben skizziert.

Regel 1: Die Vorgaben der BAIT & VAIT für den IT-Outsourcing-Dienstleister konkretisieren

Die BaFin konkretisiert mit den Bankaufsichtlichen Anforderungen an die IT (BAIT) sowie mit den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) die Vorgaben des Versicherungsaufsichtsgesetzes (VAG) in Bezug auf vertragliche, organisatorische und technische Maßnahmen für die IT. Die jeweils aktuell gültigen Fassungen verbreitet die BaFin in unregelmäßigen Abständen in Rundschreiben, die von Marktbeobachtern inzwischen als BAIT-Novelle bzw. VAIT-Novelle aufgefasst werden.  

Diese Dokumente sind für ein Outsourcing-Vorhaben jedoch noch zu unspezifisch und bedürfen einer weiteren Konkretisierung. In den Ausschreibungsunterlagen muss möglichst klar hervorgehen, wie der jeweilige Kunde – also die Bank oder Versicherung – die Vorgaben der BaFin für sich weiter konkretisiert und in technisch/fachliche Anforderungen übersetzt. Nur so kann der Provider die Vorgaben erfassen und entsprechend verbindlich und passgenau anbieten. 

Generelle Klauseln wie etwa „der Provider hat alle regulatorischen Vorgaben (z.B. der BAITs) zu erfüllen“ sind dabei zu pauschal und bedürfen einer gemeinsamen Schärfung im Rahmen der Ausschreibungsphase. Auch werden regulatorische Vorgaben häufig in speziellen Dokumenten – z.B. als gesonderte Anlage der Ausschreibung – formuliert. Hier muss nochmal dringend der Abgleich zwischen diesen Anforderungen sowie den Anforderungen aus der allgemeinen Anforderungsbeschreibung erfolgen. Es kommt in der Praxis sehr häufig zu Widersprüchen in den Anforderungen zwischen den beiden Dokumenten. Ein konkretes Beispiel hierfür:

  • In der Anforderungsbeschreibung ist aufgeführt, dass der Provider eine WAN-Anbindung an die Rechenzentren bereitzustellen hat, diese jedoch nicht verschlüsselt werden muss.
  • Gleichzeitig steht in einem Anhang zu den regulatorischen Anforderungen geschrieben, dass jeglicher Netzwerktraffic zu verschlüsseln ist.

Diese Widersprüche sind häufig schwer aufzufinden, da die jeweiligen Dokumente meist viele Seiten Umfang haben und auch von unterschiedlichen Lesern sowohl auf Kunden- als auch auf Providerseite erstellt und bewertet werden.

Expertentipp:
Häufig hilft es, wenn im Ausschreibungsverfahren auch die diskutierten Themen aus der letzten BaFin-Prüfung des Unternehmens transparent offengelegt werden. Damit erkennt der Provider bereits wesentliche Punkte, die im künftigen Lösungsdesign berücksichtigt werden müssen.

Regel 2: Alle MaRisk-relevanten Themen im Rahmenvertrag berücksichtigen

Während die BAIT bzw. VAIT schon konkret die IT-Services beeinflussen, gibt es natürlich noch diverse Rahmenbedingungen der MaRisk, die im Rahmenvertrag verankert werden müssen. Dieser sollte möglichst frühzeitig und vollständig Teil der Ausschreibung sein. Wie bei allen Outsourcing-Projekten ist generell ein ausgewogener Vertrag zu empfehlen, der Rechte und Pflichten fair auf beide Parteien verteilt. Einseitige Verträge zu Gunsten des auslagernden Unternehmens führen meist zu höheren Preisen in den Angeboten, obwohl manche Klausel und Formulierung nicht zwangsweise benötigt wird. Besonders wichtig im regulierten Umfeld sind auf alle Fälle:

Uneingeschränkte Prüfrechte
Das ist auch ein wesentlicher Punkt, weshalb Public Cloud Services sich noch nicht flächendeckend im Finanzumfeld etabliert haben, da dies bis 2018 die großen Anbieter nicht angeboten haben. Bei IT-Outsourcing Projekten mit typischen IT-Providern sollte die Vereinbarung dieser Prüfrechte jedoch kein Problem darstellen.

Exit-Leistungen
Obwohl dieser Zeitpunkt im Moment der Vertragsschließung noch in ferner Zukunft liegt, ist die Vereinbarung von Exit-Leistungen ein wichtiger Punkt im Rahmenvertrag. Dort wird meist auch bereits ein Exit-Konzept in den ersten Betriebsmonaten vom Provider gefordert, ebenso die vollständige Unterstützung auch über das Vertragsende hinweg, sollte der dann neue Provider die Leistungen noch nicht erbringen können.

Künftige BaFin-Konformität und Sonderkündigungsrechte
Ein weiterer wichtiger Punkt ist die Zusicherung, dass auch künftige Vorgaben der BaFin durch den Provider erfüllt werden müssen, auch wenn dies in gemeinsamen Projekten umgesetzt wird und natürlich nicht automatisch schon in den aktuellen Betriebspauschalen inkludiert sein kann. Damit einhergehend ist immer ein Sonderkündigungsrecht zu formulieren, sollte sich der Dienstleister weigern, diese Anforderungen zu erfüllen oder konstant schlechte Leistungen erbringen.

Sinnvolle SLAs und Pönalen
Als letzten Punkt sollten natürlich auch im regulierten Umfeld SLAs definiert werden. Diese sind jedoch so zu gestalten, dass der Dienstleister danach tatsächlich gesteuert werden kann. Aus der Erfahrung sind weniger SLAs, aber dafür transparente, sinnvolle und nachvollziehbare besser als eine Ansammlung sehr vieler und granularer SLAs, die jedoch nicht ordentlich verzahnt und pönalisiert sind.

Expertentipp:
Guter Rat ist teuer, aber in diesem Fall absolut empfehlenswert. Lassen Sie sich von einem Anwalt unterstützen. Zu empfehlen sind immer Kanzleien, die neben dem reinen IT-Recht auch Erfahrung im regulierten Umfeld haben und Ihnen auch ausgewogen die einzelnen Klauseln sowohl aus Kunden, aber auch aus Providersicht erläutern kann.

Erfahren Sie in nur 5 Minuten, welche wesentlichen Aspekte im Rahmen einer Auslagerung zu berücksichtigen sind!

Jetzt die Checkliste zur Bewertung Ihres Outsourcing-Vorhabens herunterladen

Regel 3: Spezialanforderungen an das IT-Outsourcing benötigen Spezialisten

Die ersten beiden Punkte haben gezeigt, dass ein IT-Outsourcing im finanzregulierten Umfeld eine ganz besondere Disziplin ist und es diverse Punkte zu bedenken gibt. Es gibt sicherlich sehr viele Anbieter am Markt, die einen E-Mail Service bereitstellen können. Es sollten aber im regulierten Umfeld zwingend Anbieter sein, die bereits Erfahrung und Kunden in diesem Umfeld haben. So ist sichergestellt, dass die IT-Provider einerseits ihre besonderen Bedürfnisse und auch die eine oder andere juristische Formulierung besser verstehen kann und gleichzeitig können natürlich spezialisierte Anbieter Synergien bei ihren Lösungen und Prozessen ziehen. Wichtige Indizien bei der Auswahl sind dabei:

Referenzen im Banken- oder Versicherungsumfeld
Achten Sie dabei nicht nur auf die Kundenlogos, sondern hinterfragen Sie auch sehr konkret die erbrachte Leistung.

Zertifizierungen, insbesondere ISO27001 und ggf. ISO20000/ITIL-Orientierung
Gerade Zertifizierungen des Informationssicherheitsmanagementsystems (ISMS) sowie eine Orientierung an gängige Standards – konkret nach ITIL – sind eine wichtige Basis für eine ordentliche Leistungserbringung und ein Indiz für einen professionell aufgestellten IT-Betrieb.

ISAE 3402 (oder alternativ IDW PS 951) Report
Dieser vom Wirtschaftsprüfer des IT-Providers erstellte Report bescheinigt die Funktionsfähigkeit von gesetzten Kontrollzielen und reduziert damit die Prüf- und Auditierungsaufwände des auslagernden Unternehmens. Aber Achtung: Sie benötigen trotz diesem Report auch die uneingeschränkten Prüfrechte bei dem Provider.

Standard-Lösungen für regulierte Unternehmen
Prüfen Sie, ob der Provider wichtige Themen wie Log Management, Identity Access Management oder diverse Sicherheitslösungen (z.B. SIEM oder Vulnerability Scan) im Portfolio hat; dies sind Standardanforderungen im regulierten Umfeld und ein etablierter Provider sollte hier entsprechende Standardlösungen anbieten können.

Expertentipp:
Prüfen Sie nicht nur die Zertifizierungen im Rahmen des Ausschreibungsverfahrens, sondern prüfen Sie auch die entsprechenden Umsetzungen – z.B. das SOA-Dokument der ISO-Zertifizierung oder den aktuellen ISAE Report des Unternehmens im Detail.

Regel 4: Kompetenz des IT-Dienstleisters im Public Cloud-Umfeld

Damit Sie mit Ihrem künftigen IT-Outsourcing-Partner auch in Zukunft gut aufgestellt sind, sollte bereits im Rahmen der Auslagerung die Innovationskraft des Dienstleisters geprüft werden. Da die Digitalisierung auch im regulierten Umfeld stark voranschreitet und die Public Cloud hierfür oftmals die Basis ist, um Anwendungsfälle wie KI und Big Data abzubilden, sollte idealerweise auch die Leistungsfähigkeit in diesem Umfeld abgefragt werden. Dazu zählen z.B. Partnerschaften mit den führenden Cloud-Anbietern wie Microsoft (Azure), Amazon Web Services oder Google (Cloud). Auch hier lohnt sich die Abfrage von möglichen Referenzen in der Finanzbranche und mit Public Cloud-Lösungen.

Expertentipp:
Neben der Abfrage der Leistungsfähigkeit empfiehlt sich auch direkt die Abfrage und Vereinbarung von verbindlichen Tagessätzen für die jeweiligen Fachexperten. Zudem muss eine Verlagerung von Services in die Cloud über den Vertrag umsetzbar sein (z.B. Ramp Down einzelner Services im Rechenzentrum; Ramp Up des Service in der Public Cloud)

 

Neben diesen 4 Regeln gibt es natürlich noch die vielen weiteren Stolperfallen, die jedes Outsourcing-Projekt mit sich bringt. Der wichtigste Punkt ist aber in allen Phasen eine offene und transparente Kommunikation und die Entwicklung eines gegenseitigen Verständnisses beider Parteien!

Erfolgreiches IT-Outsourcing für regulierte Unternehmen

Ausschreibungsverfahren – Providerauswahl – Vertragswerke

Der Erfolg des Outsourcing-Vorhabens hängt maßgeblich von den Vereinbarungen ab, die während der Vertragsverhandlungen zwischen dem auslagernden Unternehmen und dem Service Provider geschlossen werden. Daher ist es von zentraler Bedeutung, dass Sie sich ausführlich über den richtigen Provider und die richtige Zusammenstellung der Vertragswerke informieren. Wir haben die wichtigsten Informationen für Sie in diesem Whitepaper zusammengestellt. 

Zum Whitepaper →

teaser whitepaper outsourcing im bafin regulierten umfeld