Blog-Auslagerung

Anforderungen für Auslagerungen und Fremdbezug bei Banken

 

Für die Banken ergeben sich für Auslagerung und Fremdbezug durch die MaRisk-Novelle vom 27. Oktober 2017 sowie die Bank-Aufsichtliche Anforderungen an die IT (BAIT) vom 3. November 2017 neue Regelungen. Durch die MaRisk-Novelle werden unter anderem die Anforderungen an eine ordnungsgemäße Geschäftsorganisation für die ausgelagerten Aktivitäten und Prozesse nach § 25a Abs. 2 KWG konkretisiert.

Das auslagernde Institut muss abhängig von Art, Umfang, Komplexität und Risikogehalt einer Auslagerung von Aktivitäten und Prozessen auf einen Dienstleister angemessene Vorkehrungen treffen, um Risiken zu minimieren.

 

 

Begriffsdefinition „Auslagerung“

Von einer Auslagerung wird immer dann gesprochen, wenn Aktivitäten und Prozesse Bestandteil von Bankgeschäften, Finanzdienstleistungen (siehe § 1 KWG) oder sonstigen Instituts typischen Dienstleistungen sind und ein anderes Unternehmen mit der Wahrnehmung dieser Aktivitäten und Prozesse beauftragt wird, die ansonsten von dem Institut selbst erbracht würden.

 

 

Anforderungen an Finanzinstitute aus MaRisk AT9

Aus der MaRisk ergeben sich vielfältige Anforderungen, die Finanzinstitute bei der Auslagerung von Aktivitäten und Prozesse zu beachten haben. Diese sind unter anderem:

  • Auf Basis einer Risikoanalyse muss das Institut feststellen, welche Auslagerungen aus Risikogesichtspunkten als „wesentlich“ eingestuft werden müssen.

  • Für aus Risikogesichtspunkten als „nicht wesentlich“ eingestufte Auslagerungen sind die allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Abs. 1 KWG zu beachten.

  • Für „wesentliche“ Auslagerungen müssen passende Vorkehrungen im Falle der beabsichtigten oder erwarteten Beendigung der Auslagerungsvereinbarung getroffen werden. Bei Fällen unbeabsichtigter oder unerwarteter Beendigung dieser Auslagerungen, die mit einer erheblichen Beeinträchtigung der Geschäftstätigkeit verbunden sein können, hat das Institut etwaige Handlungsoptionen auf ihre Durchführbarkeit zu prüfen und zu verabschieden.

  • Abschluss weitreichender Vereinbarungen zum Auslagerungstatbestand mit dem jeweiligen Dienstleister.

  • Die mit „wesentlichen“ Auslagerungen verbundenen Risiken sind angemessen zu steuern und ausgelagerte Aktivitäten und Prozesse ordnungsgemäß zu überwachen.

  • Für die Steuerung und Überwachung „wesentlicher“ Auslagerungen sind klare Verantwortlichkeiten festzulegen

  • Einrichtung eines zentralen Auslagerungsmanagements.

 

 

Nicht auslagerbare Bereiche

Als nicht auslagerbare Bereiche definiert MaRisk:

  • Leitungsausgaben der Geschäftsführung

  • vollständige Auslagerung der Risikocontrolling-Funktion, der Compliance-Funktion oder die interne Revision (Ausnahme: Tochterinstitute innerhalb einer Institutsgruppe)

 

 

Begriffsdefinition „Sonstige Fremdbezug von Leistungen“ 

Nicht als Auslagerung im Sinne der MaRisk zu qualifizieren ist der sonstige Fremdbezug von Leistungen. Hierzu zählt zunächst der einmalige oder gelegentliche Fremdbezug von Gütern und Dienstleistungen.

Ebenso erfasst werden Leistungen, die typischerweise von einem beaufsichtigten Unternehmen bezogen und aufgrund tatsächlicher Gegebenheiten oder rechtlicher Vorgaben regelmäßig, weder zum Zeitpunkt des Fremdbezugs noch in der Zukunft, vom Institut selbst erbracht werden können (z. B. die Nutzung von Zentralbankfunktionen (innerhalb von Finanzverbünden), bzw. die Nutzung von Clearingstellen im Rahmen des Zahlungsverkehrs und der Wertpapierabwicklung, die Inanspruchnahme von Liquiditätslinien, die Einschaltung von Korrespondenzbanken oder die Verwahrung von Vermögensgegenständen von Kunden nach dem Depotgesetz).

Das Institut hat auch beim sonstigen Fremdbezug von Leistungen die allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsorganisation gemäß 25a Abs. 1 KWG zu beachten.

Der isolierte Bezug von Software ist in der Regel als sonstiger Fremdbezug einzustufen. Hierzu gehören unter anderem auch die folgenden Unterstützungsleistungen:

  • die Anpassung der Software an die Erfordernisse des Kreditinstituts,

  • die entwicklungstechnische Umsetzung von Änderungswünschen (Programmierung),

  • das Testen, die Freigabe und die Implementierung der Software in die Produktionsprozesse beim erstmaligen Einsatz und bei wesentlichen Veränderungen, insbesondere von programmtechnischen Vorgaben,

  • Fehlerbehebungen (Wartung) gemäß der Anforderungs-/Fehlerbeschreibung des Auftraggebers oder Herstellers,

  • sonstige Unterstützungsleistungen, die über die reine Beratung hinausgehen.

Dies gilt nicht für Software, die zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken eingesetzt wird oder die für die Durchführung von bankgeschäftlichen Aufgaben von wesentlicher Bedeutung ist; bei dieser Software sind Unterstützungsleistungen als Auslagerung einzustufen. Ferner gilt der Betrieb der Software durch einen externen Dritten als Auslagerung.

 

 

 

Allgemeine Service- und Unterstützungsleistungen

Keine Auslagerung im Sinne der MaRisk sind allgemeine Service- und Unterstützungsdienstleistungen und die Nutzung von Infrastruktureinrichtungen.

Dazu zählen unter anderem:

  • Postzustellung,

  • Strom, Wasser, Abwasser,

  • Reinigungsdienst,

  • Wachschutz,

  • Abfallentsorgung,

  • Unfallverhütung,

  • Baudienst,

  • Rechts- und Steuerberatung sowie sonstige Beratungsleistungen,

  • Informationsdienste wie Reuters etc.,

  • Bezug von Druckerzeugnissen (Formulare, Vordrucke etc.),

  • Mitarbeiterschulung,

  • Fakturierung,

  • Brandschutz,

  • Betriebsarzt und -psychologe,

  • Verwaltung von Institutsvermögen in Spezialfonds 

Auch wenn allgemeine Service- und Unterstützungsleistungen nicht als Auslagerung zu bewerten sind, so fallen sie dennoch unter die Vorgaben an eine ordnungsgemäße Geschäftsorganisation nach § 25a Abs. 1 KWG und sind damit auch Bestandteil des allgemein geforderten Risikomanagementsystems.

 

 

 

 

Begriffsdefinition „Sonstiger Fremdbezug von IT-Dienstleistungen“

Nach der BAIT umfassen IT-Dienstleistungen alle Ausprägungen des Bezugs von IT; dazu zählen insbesondere die Bereitstellung von IT-Systemen, Projekte/Gewerke oder Personalgestellung. 

Die Auslagerungen der IT-Dienstleistungen haben ebenfalls alle Anforderungen nach AT 9 der MaRisk zu erfüllen. Dies gilt auch für Auslagerungen von IT-Dienstleistungen, die durch ein Dienstleistungsunternehmen über ein Netz bereitgestellt werden (z. B. Rechenleistung, Speicherplatz, Plattformen oder Software) und deren Angebot, Nutzung und Abrechnung dynamisch und an den Bedarf angepasst über definierte technische Schnittstellen sowie Protokolle erfolgen (Cloud-Dienstleistungen). 

Auch beim sonstigen Fremdbezug von IT-Dienstleistungen sind die allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Abs. 1 KWG. Bei jedem Bezug von Software sind die damit verbundenen Risiken angemessen zu bewerten (vgl. AT 7.2 Tz. 4 Satz 2 MaRisk).

Erläuterung zur Einordnung von IT-Dienstleistungen und Softwarebezug in Bezug auf die Vorgaben der BAIT Nr. 8 / Auslagerung und sonstiger Fremdbezug

IT-Dienstleistungen, die unter den sonstigen Fremdbezug fallen, sind ferner Leistungen, die durch Dritte im Rahmen von IT-Projekten oder zur Installation der IT-Hardware und Infrastruktur in der Bank erbracht werden. Der Bezug von Software (Kauf) ist keine IT-Dienstleistung im eigentlichen Sinne, dennoch sind die damit verbundenen Risiken nach AT 7.2 Tz. 4 MaRisk zu bewerten.

 

 

Kontaktiere Uns