Dienstleister für Banken und Finanzdienstleister: Anforderungen an Unternehmen

PrintMailRate-it

veröffentlicht am 12. Februar 2020 | Lesedauer ca. 3 Minuten


Kredit- und Finanz­dienst­leis­tungs­institute lagern regelmäßig einzelne Tätig­keiten an andere Unternehmen – häufig auch aus dem Mittelstand – aus. Bei diesem Outsour­cing sind durch die aus­lagernden Institute besondere gesetzliche und regula­torische Anfor­derungen einzuhalten, die über vertrag­liche Vorgaben der auslagernden Institute auch von den Ausla­gerungs­unter­nehmen zu erfüllen sind. Demgemäß sehen sich Aus­lagerungs­unternehmen bei der Übernahme von Tätigkeiten für Institute mit einer Vielzahl von Vorgaben aus den MaRisk (Mindest­anforderungen an das Risiko­manage­ment der BaFin) und den BAIT (Bank­aufsichts­rechtliche Anfor­derungen an die IT) konfrontiert. Der vorliegende Beitrag erörtert anhand eines Praxis­beispiels ausge­wählte Frage­stellungen und gibt praktische Hinweise für Auslage­rungs­unternehmen.



Risikoanalyse der Dienstleistung durch das Institut

Jeder Auslagerung ist eine Risikoanalyse des Instituts vorangestellt. Ausgehend vom  Ergebnis wird die Dienstleistung des Auslagerungsunternehmens als wesentliche oder unwesentliche Auslagerung oder als sonstiger Fremdbezug von (IT-)Dienst­leis­tungen eingestuft. Die Einstufung hat unterschiedliche Auswirkungen auf das Auslagerungsunternehmen, wie bspw. besondere Anforderungen prozessualer Art oder den Grad der Steuerung und Überwachung der Tätigkeiten des Auslagerungs­unter­nehmens durch das Institut. Je „wesentlicher” die Auslagerung sich aus Sicht des Instituts darstellt, desto umfangreicher sind die zu erfüllenden Anforderungen und Regularien.


Praxisbeispiel:

Ein Institut lagert sein Rechenzentrum an ein mittelständisches IT-Unternehmen (Auslagerungsunternehmen) aus. Es ist davon auszugehen, dass diese Auslagerung – wie es regelmäßig auch in der Praxis der Fall sein wird – als eine wesentliche Auslagerung eingestuft wird, was – wie nachfolgend aufgezeigt wird – die umfang­reichsten Anforderungen von Seiten des Instituts an das Auslagerungsunternehmen zur Folge hat. Das Auslagerungsunternehmen sieht sich dann u.a. mit folgenden Anforderungen konfrontiert:


Vertragliche Anforderungen

In der Folge der Einstufung als wesentliche Auslagerung hat der Vertrag zwischen Institut und Auslage­rungsunternehmen zunächst die zwingenden Mindestanforderungen aus den MaRisk zu erfüllen. Sie umfassen insbesondere die vertragliche Festlegung angemessener Informations- und Prüfungsrechte der Internen Revision bzw. der externen Prüfer des Instituts beim Auslagerungsunternehmen sowie die Sicherstellung uneingeschränkter Informations- und Prüfungsrechte und der Kontrollmöglichkeiten der Aufsichtsbehörden bezüglich der ausgelagerten Aktivitäten und Prozesse.


Anforderungen an das Interne Kontrollsystem (IKS)

Eine weitere regelmäßige Anforderung an das Auslagerungsunternehmen ist der Aufbau eines sog. dienst­leistungsbezogenen IKS. Es beinhaltet insbesondere eine IKS-Beschreibung, die die prozessuale Darstellung der gegenüber dem Institut erbrachten Dienstleistungen (sog. dienst­leistungs­bezogenes IKS) und der zur Erfüllung der Dienstleistungen identifizierten und implementierten Kontrollen umfasst. Die Angemessenheit und Funktionsfähigkeit des dienstleistungsbezogenen IKS sollte jährlich – bspw. durch den Abschlussprüfer des Auslagerungsunternehmens – überprüft werden (sog. Prüfung nach IDW PS 951). Der Prüfungsbericht ist dem Institut zur Verfügung zu stellen. Ist eine solche Prüfung im Auslagerungsunternehmen nicht vorgesehen, hat das Auslagerungsunternehmen damit zu rechnen, dass das Institut das IKS des Auslagerungsunternehmens durch eigene oder beauftragte Prüfer einer Kontrolle unterziehen wird. Die Prüfung des IKS durch einen Prüfer stellt zwar einen zusätzlichen Kostenfaktor für das Auslagerungsunternehmen dar, ist jedoch im Ergebnis zu empfehlen. Die Bereitschaft zu einer solchen Prüfung kann die Position bei den Vertragsverhandlungen mit dem Institut verbessern, insbesondere wenn das Auslagerungsunternehmen selbst über keine eigene Interne Revision verfügt.


Steuerung/Überwachung durch das Auslagerungsmanagement des Instituts

Die Dienstleistungserbringung des Auslagerungsunternehmens wird durch das Auslagerungsmanagement des Instituts gesteuert und überwacht. Hierzu muss das Auslagerungsunternehmen dem Auslagerungsmanagement kontinuierlich Berichte wie  Datenschutz-, Informationssicherheits-, Notfall- oder Revisionsberichte zur Auswertung vorlegen. Bei der Auslagerung eines Rechenzentrums müssen zusätzlich auch IT-Performance­berichte vorgelegt werden. Das Auslagerungsunternehmen sollte zur Erfüllung seiner Reportinganforderungen angemessene Personalkapazitäten vorhalten und sich wegen der Vielzahl an Anforderungen regelmäßig mit dem Auslagerungsmanagement des Instituts austauschen.


Interne Revision

Im idealen Fall hat das Auslage­rungs­unter­nehmen eine eigene Interne Revision eingerichtet. Deren Revisions­berichte mit Bezug zu Dienstleistungen des Instituts sind dem Institut zu Auswertungs- und Überwachungs­zwecken zur Verfügung zu stellen. Zudem wird die Revision des Auslagerungsunternehmens durch die Interne Revision des Instituts jährlich auf Funktionsfähigkeit geprüft.

In Fällen ohne eigene Interne Revision des Auslagerungsunternehmens – das dürfte auf die Mehrheit der mittelständischen Unternehmen zutreffen – hat die Interne Revision des Instituts nach aufsichtsrechtlichen Vorgaben beim Auslagerungsunternehmen vor Ort eigene Prüfungshandlungen durchzuführen. Auch das stellt einen zusätzlichen Kosten- und Zeitfaktor für das Auslagerungsunternehmen dar. Als Alternative bietet es sich an, die Interne Revision durch eine externe Wirtschaftsprüfungsgesellschaft durchzuführen oder sich bei der Durchführung durch externes Personal unterstützen zu lassen.


Fazit

Mit der Übernahme von Dienstleistungen für Institute sind für mittelständische Auslagerungsunternehmen eine Vielzahl von Anforderungen und Pflichten verbunden. Das ist ein zentraler Unterschied zur Übernahme von Aufgaben anderer, nicht dem Aufsichtsrecht unterliegenden Branchen. Das Auslagerungsunternehmen hat – wie im Beitrag aufgezeigt – insbesondere im Fall einer wesentlichen Auslagerung für die Erfüllung der Vielzahl an Anforderungen zusätzliche personelle Ressourcen vorzuhalten und muss mit weiteren monetären Belas­tungen rechnen. Allerdings bieten sich mittelständischen Unternehmen durch die wiederholte Übernahme von Tätigkeiten für Institute auch Chancen in der Prozessverbesserung und -dokumentation mit der Aussicht auf Folgeaufträge oder Aufträge von anderen Instituten.

Deutschland Weltweit Search Menu