5. Novelle der MaRisk und BAIT

Neue Herausforderungen bei Outsourcing-Verträgen

19.04.2018 von Michaela Witzel

Auslagerungslösungen spielen bei der Suche nach nachhaltigen und ertragreichen Geschäftsmodellen für die Finanzwelt eine zentrale Rolle. 95 Prozent der Mitarbeiter mit mehr als 100 Unternehmen sehen Auslagerungen als wesentlichen Teil ihrer Unternehmensstrategie.

Ende Oktober 2017 wurde die 5. Novelle der MaRisk (Mindestanforderungen an das Risikomanagement der Banken) veröffentlicht, aus der sich eine Reihe (vermeintlicher) Klarstellungen, aber auch Neuerungen für Auslagerungen ergeben. Im November wurden ergänzend die Bankaufsichtlichen Anforderungen an die IT (BAIT) veröffentlicht. Die BAIT sind nunmehr zentraler Baustein für die IT-Aufsicht über den Bankensektor in Deutschland.

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat Ende 2017 einige neue Regularien verabschiedet.
Foto: Anton Violin - shutterstock.com

Wie die MaRisk erläutern auch die BAIT die gesetzlichen Anforderungen des Paragraf 25 Abs. 1 Satz 3 Nr. 4 und 5 KWG (Kreditwesengesetz). Aus Paragraf 25 a KWG ergibt sich die Verpflichtung für Kreditinstitute zur Durchführung eines angemessenen und wirksamen Risikomanagements. Paragraf 25 b KWG enthält Anforderungen, die im Falle einer Auslagerung zu erfüllen sind. Die MaRisk haben Leitliniencharakter. Sie geben einen Handlungsrahmen vor, die Institute haben allerdings weitgehende Freiheiten bei der praktischen Umsetzung.

Vorgaben der 5. Novelle an Auslagerungen

Beim klassischen Outsourcing, zum Beispiel für den Betrieb der IT-Infrastruktur oder einer Kernbanklösung durch einen IT-Dienstleister, bestand schon vor der 5. Novelle der MaRisk Einigkeit, dass ein Auslagerungsvertrag den besonderen Anforderungen des Risikomanagements Rechnung tragen muss. Der reine Erwerb einer Software, deren Implementierung und Pflege galt jedoch nach überwiegender Auffassung nicht als Auslagerung. Die besonderen Kontroll-, Informations- und Prüfungspflichten mussten also nicht Vertragsbestandteil werden.

Die Anforderungen an die Auslagerung in AT 9 der MaRisk wurde nun in Teilen erneuert, konkretisiert und klargestellt. Der Begriff der Auslagerung wurde stärker gegenüber dem „sonstigen Fremdbezug von Leistungen“ abgegrenzt. Darüber hinaus wurden verschiedene neue Anforderungen an das Auslagerungsmanagement, Exit-Prozesse und die Weiterverlagerungen aufgenommen.

Vorgesehen ist die Einrichtung eines zentralen Auslagerungsmanagements mit Dokumentations-, Unterstützungs- und Koordinationspflichten bei größeren Instituten und Instituten mit umfangreichen Auslagerungslösungen.

Lesetipp: FinTech in Deutschland: Was andere Länder besser machen

Die Anforderungen an unbeabsichtigte und unerwartete Beendigungen von Auslagerungen wurden dahingehend ergänzt, dass Ausstiegsprozesse festzulegen sind. Ziel des Beendigungsmanagements ist es, die ausgelagerten Prozesse und Aktivitäten aufrechtzuerhalten oder in angemessener Zeit wiederherzustellen. Die Notfallplanung ist dann zu berücksichtigen, wenn keine Handlungsoptionen mehr existieren.

Handlungsfelder auf Basis der Neufassung des AT 9 der MaRisk

• Die vollständige Erfassung von Auslagerungstatbeständen muss sichergestellt werden, insbesondere auch hinsichtlich des Fremdbezugs von Software und dazugehörenden Unterstützungsleistungen;

• Risikoanalysen sind zu überprüfen, vor allem im Hinblick auf die Risikokonzentration sowie etwaige Weiterverlagerungen;

• Die Zulässigkeit von Auslagerungen ist zu überprüfen;

• Exit Strategien und Beendigungsszenarien sind zu schärfen und

• bestehende Auslagerungsverträge sind in Bezug auf die neuen Regelungen zur Weiterverlagerung, den sonstigen Sicherheitsanforderungen und den „Grad der akzeptablen Schlechtleistung“ anzupassen;

• Ein zentrales Auslagerungsmanagement ist zu schaffen.

Softwareimplementierung und -pflege als Auslagerungssachverhalt

Der Kreis der Auslagerungstatbestände wurde erweitert. Unterstützungsleistungen, die von einem Kreditinstitut in Anspruch genommen werden, sind nicht mehr als sonstiger Fremdbezug, sondern als Auslagerung zu qualifizieren, wenn die Software

zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken eingesetzt wird oder
für die Durchführung von bankgeschäftlichen Aufgaben von wesentlicher Bedeutung ist. Davon betroffen sind auch Kernbankensysteme, das heißt alle Systeme, mit deren Hilfe die Kernprozesse einer Bank abgebildet werden.

Dazu gehören

Kontoführung,
Umsatzbearbeitung,
Bearbeitung von Krediten, Verwaltung von Kundendaten,
Wertpapierhandel sowie
Geld- und Devisenhandel.

Der reine Erwerb eines Kernbankensystems dürfte auch weiterhin nicht als Auslagerung gelten. Die Bewertung ändert sich aber unmittelbar, wenn der Erwerb mit Unterstützungs- und Implementierungsleistungen erfolgt, was die Regel und nicht die Ausnahme sein dürfte.

Sourcing-Markt Deutschland: Was Anbieter und Berater dazu sagen

Branimir Brodnik, Geschäftsführender Gesellschafter bei der microfin Unternehmensberatung GmbH
Künftig werden Regularien, Datenschutz- und Compliance-Anforderungen die Auswahl von Cloud-Services und des damit einhergehenden Shoring-Modells viel stärker beeinflussen als technische und kommerzielle Aspekte. Nicht alles, was technisch geht, ist auch zulässig.

Khaled Chaar, Managing Director Business Strategy bei Pironet
Beim Outsourcing steigt die Nachfrage nach Multi-Cloud-Strukturen, die das Beste aus Private und Public Cloud miteinander verbinden.

Michael Eberhardt, Vice President and General Manager North and Central Europe bei DXC Technology
Branchen-Know-how reicht heute als Differenzierungsmerkmal nicht mehr aus. Die neuen Kernkompetenzen sind Methoden und Prozesse für Innovation, Inkubation, Restrukturierung und Change Management.

Christian Gfüllner, Director Partner Team Unit Enterprise and Partner Group (EPG) Microsoft Deutschland GmbH
Immer mehr Unternehmen wollen große Teile ihrer Datacenter-Infrastrukturen in die Cloud migrieren, um damit auf der einen Seite eine höhere Flexibilisierung zu erreichen und auf der anderen signifikante Kosteneinsparungspotentiale zu heben.

Thomas Karg, Geschäftsführer des Münchener Benchmarking- und Beratungsunternehmens Maturity
Gerade das komplexe Zusammenspiel mit mehreren Best-of-Breed-Lieferanten macht es erforderlich, dass Unternehmen ihr Sourcing professionalisieren, um alle vertraglichen Leistungen abstimmen, beauftragen und kontrollieren zu können.

Patrick Potters, CEO bei Capgemini Cloud Infrastructure Services Central Europe
Unternehmen sind heute in der Lage, mehrere Sourcing-Partner zu koordinieren und damit ihre individuellen Bedürfnisse optimal abzudecken. Für die Anbieter bedeutet dies unter anderem kürzere Vertragslaufzeiten, geringere Auftragsvolumina und einen erhöhten Preis- und Wettbewerbsdruck.

Jakob Rehäuser von der Ardour Consulting Group
Mittelständische Unternehmen fremdeln noch beim Thema Public Cloud Services. Doch mit der zunehmenden Verbreitung von Cloud-Service-Angeboten, die in Deutschland gehostet und/oder von deutschen Unternehmen betrieben werden, legen die Unternehmen ihre Zurückhaltung ab und bringen immer mehr Anwendungen in die Cloud.

Ulfert Rotermund, Geschäftsführer Allgeier Experts Services
Die Vielfalt der Projekte erhöht die Anforderungen an externe Dienstleister zur Deckung der unterschiedlichen Bedarfe und stellt gerade IT- und Personaldienstleister vor immer größere Herausforderungen.

Jörg Thamm, Head of IT-Strategy and Target Operating Model bei der Managementberatung Horváth & Partners
Der Sourcing-Markt ist erwachsen geworden. Dies bedeutet, dass die Sourcing-Möglichkeiten heute deutlich differenzierter, kleinteiliger und einfacher zu integrieren sind.

Für Projekte zur Implementierung eines Kernbankensystems und auch für deren spätere Pflege sind nunmehr bei der Vertragsgestaltung die besonderen Anforderungen an Auslagerungsverträge zu beachten. Nur bei Erwerb „sonstiger Software“, deren Implementierung und Betrieb dürfte keine Auslagerung im Sinne der MaRisk vorliegen.

Sicherstellung der Überwachung und Steuerung der Auslagerung

Liegen die Voraussetzung für eine Einstufung als wesentliche Auslagerung vor, enden die aufsichtsrechtlichen Anforderungen nicht mit der Risikoanalyse und Auslagerungsentscheidung durch die Geschäftsleitung. Die Auslagerung muss ordnungsgemäß gesteuert und überwacht werden.
Zielsetzung dabei ist die Sicherstellung einer vertragskonformen Leistungserbringung durch den Dienstleister.

Steuerungs- und Überwachungsmaßnahmen sollen die frühzeitige Erkennung und Steuerung von Risiken ermöglichen. Alle ausgelagerten Prozesse müssen in die Risikosteuerungs- und Risikocontrollingprozesse des Kreditinstituts eingebunden sein. Es muss zum einen kontinuierlich die Qualität der erbrachten Leistungen überwacht werden, darüber hinaus sind Risiken der Auslagerung zu überwachen.

Um diesen Anforderungen nachzukommen, muss zum einen das Kreditinstitut Prozesse mit geeigneten Steuerungs- und Überwachungsmaßnahmen einrichten, anderseits muss der Dienstleister seine Organisation so aufbauen und organisieren, dass eine Überwachung effizient erfolgen kann. Sowohl Kreditinstitut als auch Dienstleister benötigen ein Internes Kontrollsystem (IKS), bestehend aus systematisch gestalteten technischen und organisatorischen Regeln zur Abwehr von Schäden. Folgende Prinzipien sind Grundlagen eines IKS:

Transparenz,
„Vier Augen“,
Funktionstrennung und
Mindestinformation.

Steuerung und Überwachung durch Service Level Agreements

Je höher das Risiko einer Auslagerung, desto größer die Anforderungen an Steuerung und Überwachung. Service Level Agreements sind ein vertraglicher Baustein die Qualität des Dienstleisters sicherzustellen. Service Level Agreements (SLAs) sind im Regelfall Module eines komplexen Vertragswerks, das präzise und interpretationsfrei die Art (was?), die Zeit (wann?), die Quantität und Qualität (wie?) der Leistungserbringung bestimmen soll.

Zum Video: Neue Herausforderungen bei Outsourcing-Verträgen

SLAs sollen die Erwartungen an die Qualität der zu erbringenden Leistungen bestimmen, Verantwortlichkeiten klären und Maßnahmen enthalten, mit denen sich die Zusammenarbeit zwischen Institut und Dienstleister steuern lassen. Es gibt keine Standard SLAs; dies richten sich immer nach den individuellen Rahmenbedingungen und konkreten Anforderungen einer Auslagerung. Fokus ist die betriebswirtschaftliche und nicht die juristische Perspektive.

Folgende Inhalte sollte ein SLA enthalten:

• Definition des Leistungsumfangs;

• Anforderungen an die Qualität der zu erbringenden Leistungen („Service Levels“);

• Monetäre Konsequenzen der Verfehlung von Service Levels, z.B. eine pauschalierte Minderung;

• Tools und Methoden zur Messung (einschließlich der Art und Weise der Dokumentation der Messergebnisse);

• Berichterstattung;

• Mitwirkungsleistungen, Vorleistungen und Beistellung

• Abgrenzung der Verantwortlichkeiten, vor allem im Verhältnis zu Drittanbietern.

SLAs hoher Güte zeichnen sich durch Kürze, Struktur, Präzision, Insistenz und Transparenz, Vollständigkeit und Verständlichkeit aus. Je kritischer die Auslagerung ist, desto detaillierter und präziser sollten die Formulierungen im SLA sein. Unklarheiten, Lücken und Widersprüche in SLAs gehören zu den häufigsten Gründen für das Scheitern einer Auslagerung.

Welche Anforderungen an einen Auslagerungvertrag gestellt werden, lesen Sie in meinem Artikel: IT-Auslagerungsverträge rechtskonform gestalten