Feedback

Gepostet am 22. April 2021 von  Verena Siemes, Geschäftsführerin von ORO Services in Compliance/Riskmanagement

To be or not to be – Sonstiger IT-Fremdbezug oder doch Auslagerung?

Es wird immer schwieriger, Dienstleistungen nicht als Auslagerung zu deklarieren. Auch hier gilt: Unwissenheit schützt vor Strafe nicht.

Im Rahmen einer Analyse muss ein Finanzinstitut beurteilen, ob es sich bei einer IT-Dienstleistung durch einen Dritten um einen IT-Fremdbezug oder um eine Auslagerung handelt. Das ist häufig nicht immer eindeutig und viele Institute tun sich schwer mit der eindeutigen Festlegung. Allerdings scheint es auch so zu sein, dass man den vermeintlich einfacheren Weg wählt, und statt die Dienstleistung als Auslagerung zu deklarieren, diese als "sonstigen IT-Fremdbezug" einordnet. Dabei ist die Definition darüber, wann eine Auslagerung vorliegt und wann ein sonstiger Fremdbezug, klar beschrieben.

Wann liegt eine Auslagerung vor?

Eine Auslagerung i.S.v. §25b Abs. 1 KWG i.V.m. AT 9 Tz. 1 MaRisk liegt vor, wenn ein anderes Unternehmen mit der Wahrnehmung solcher Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt wird, die ansonsten vom Institut selbst erbracht würden.

Bei Software, die zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation von Risiken eingesetzt wird oder die für die Durchführung von bankgeschäftlichen Aufgaben von wesentlicher Bedeutung ist, stellen die nachfolgenden Unterstützungsleistungen sowie der Betrieb der Software eine Auslagerung dar:

  • die Anpassung der Software an die Erfordernisse des Instituts,
  • die entwicklungstechnische Umsetzung von Änderungswünschen (Programmierung),
  • das Testen, die Freigabe und die Implementierung der Software in die Produktionsprozesse beim erstmaligen Einsatz und bei wesentlichen Veränderungen insbesondere von pro-grammtechnischen Vorgaben,
  • Fehlerbehebungen (Wartung) gemäß der Anforderungs-/Fehlerbeschreibung des Auftrag-gebers oder des Herstellers oder
  • sonstige Unterstützungsleistungen, die über die reine Beratung hinausgehen.

Nun kann man sich allenfalls darüber Gedanken machen, ob das System tatsächlich im weitesten Sinn auch zum Risikomanagement eingesetzt wird (Achtung: Allein der Einsatz zur Kommunikation von Risiken reicht oftmals aus, um dieses Kriterium zu erfüllen!) oder für institutstypische Aufgaben von wesentlicher Bedeutung ist. Letzteres wird regelmäßig z.B. auch für Vertriebsunterstützende Systeme angenommen.

Generell wird es zunehmend schwieriger, Dienstleistungen nicht als Auslagerung zu deklarieren. Da kommt z. B. das neue Auslagerungsregister, welches ein Institut zu führen und zu melden hat, ins Spiel. Was ist, wenn ein Institut dieselbe Dienstleistung, die man ebenfalls bezieht und als sonstigen Fremdbezug deklariert, als Auslagerung dokumentiert? Da wird die Argumentationskette zur Aufsicht hin schnell dünner. Auch dürfte Unwissenheit - wie in vielen anderen Fällen im Outsourcingmanagement- nicht vor Strafe schützen.

Sonstiger Fremdbezug fällt künftig in das Aufgabengebiet des Auslagerungsmanagement

Doch selbst wenn es sich nun tatsächlich „nur“ um einen sonstigen IT-Fremdbezug handelt, sind die Anforderungen an den Umgang durch das Institut diesbezüglich nach dem Entwurf der neuen BAIT (9. Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen) ebenfalls sehr hoch. So muss das Institut anhand einer Risikoanalyse vorab bewerten, welche Risiken mit dem Fremdbezug von IT-Dienstleistungen verbunden sind. Die Ergebnisse der Risikoverortung müssen in die operationellen Risiken der Steuerung einfließen.

Die Aufsicht erwartet eine Aufgabenerweiterung des Auslagerungsmanagements bzw. des zentralen Auslagerungsmanagers um das Management des sonstigen Fremdbezugs. So muss künftig eine vollständige Aufstellung und Risikobewertung des sonstigen Fremdbezugs von IT-Dienstleistungen erfolgen und dies ist auch regelmäßig zu überwachen.  Auch die interne Revision muss ihre Prüfungen auf das Risikomanagement des sonstigen Fremdbezugs erweitern.

Insofern werden die Anforderung auch an das Risikomanagement des sonstigen IT-Fremdbezugs  in Zukunft weiter steigen. Man kann eigentlich schon fast davon ausgehen, dass dies kurzfristig in der Prüfungspraxis ähnlich bewertet wird, wie die Anforderungen an die Auslagerung.

Haben Sie Fragen hierzu? Dann kontaktieren Sie uns!


Zum Kontaktformular


Login 

Passwort vergessen?

Newsletter abonnieren


















Captcha*

Bitte beachten Sie, dass Sie zur Anmeldung eine dienstliche E-Mail benötigen. Außerdem können wir Anmeldungen von Branchendienstleistern nicht berücksichtigen.