Aufsicht verlangt Kontroll- und Sanktionsmöglichkeiten gegenüber IT-Outsourcing-Dienstleistern – bald §44?
Bereits in einem Artikel der BaFin vom August 2020 nimmt Raimund Röseler, Exekutivdirektor Bankenaufsicht, Stellung zu der aktuellen Lage der IT-Sicherheit und der Dienstleister im Finanzdienstleistungssektor. Gravierende Mängel im Outsourcing zwingen zum Handeln.
von Verena Siemes, Geschäftsführerin ORO Services
Gravierende Mängel testiert die BaFin bei der Steuerung der externen Dienstleister – dem Auslagerungsmanagement. Zwar ist es laut Aufsicht besser, die Daten in einer gesicherten Cloud zu halten, als „auf einem Server im Keller der Bank“.
Aber es geht hier vor allem um weitreichende Kontrollrechte gegenüber dem Dienstleister.”
Gerade vor dem Hintergrund der EBA Guidelines zum Outsourcing und den neuen BAIT- und MaRisk-Novellen werden die Anforderungen an die Dienstleistersteuerung nochmals weiter steigen. Neben einem umfangreichen Vertragswerk inklusive Prüfungs- und Kontrollrechten muss ein Dienstleister z. B. einen Notfallplan inklusive dokumentierter Tests liefern.
Ein regelmäßiges Monitoring dezidierter KPIs und SLAs ist einzurichten, Berichte der internen Revision sind vom Dienstleister an die Bank zu liefern, genau wie Kontrollreports.”
Ein besonderer Augenmerk gilt auch der Weiterverlagerung bestimmter Sub-Dienstleistungen. Dieser Sub-Dienstleister muss genau die gleichen hohen Anforderungen erfüllen.
Der Aufsicht ist dabei auch durchaus bewusst, dass sich etliche Dienstleister hier bereits jetzt sperren. „Warum soll ich meine Verträge ändern?“ „Was soll das mit den Prüfungsrechten?“ „Warum soll ich Reports liefern – ich erbringe doch meine Dienstleistung gut, das soll reichen!“ Da tut sich ein einzelnes Unternehmen schwer, die neuen Anforderungen in Verhandlungen mit den Dienstleistern umzusetzen.
Die Aufsicht wiederum hat nur einen Verantwortlichen als Ansprechpartner: den Finanzdienstleister. Nur diesem kann Sie Sanktionen androhen und diese schlimmstenfalls auch umsetzen.
Direkter Zugriff auf Dienstleister und §44 Prüfungen
Ein direkter kontrollierender Zugriff auf die Dienstleister ist der BaFin derzeit nicht möglich. Und genau dies soll sich künftig ändern, wenn es nach dem neuesten Gesetzesentwurf zur Stärkung der Finanzmarktintegrität (Finanzmarktintegritätsstärkungsgesetz – FISG) geht.”
Ein direkter kontrollierender Zugriff auf die Dienstleister ist der BaFin derzeit nicht möglich. Und genau dies soll sich künftig ändern, wenn es nach dem neuesten Gesetzesentwurf zur Stärkung der Finanzmarktintegrität (Finanzmarktintegritätsstärkungsgesetz – FISG) geht.”
Der Entwurf sieht Anpassungen in verschiedenen Aufsichtsgesetzen wie beispielsweise dem Kreditwesengesetz (KWG) und dem Versicherungsaufsichtsrecht zur Klarstellung und Erweiterung der BaFin-Befugnisse im Bereich der Auslagerungsunternehmen vor.
Mit anderen Worten: IT-Dienstleister, die Systeme zur Unterstützung wesentlicher Prozesse erbringen, sollen direkt der Kontrolle der BaFin unterstellt werden.”
Die BaFin kann dann unmittelbar Anforderungen an den Dienstleister stellen und Sanktionen verhängen. Ebenso sollen auch die von Banken gefürchteten Sonderprüfungen nach §44 KWG im direkten Vollzug bei Dienstleistern möglich sein.
Bereits mit den EBA Guidelines und der MaRisk-Novelle hängen die Früchte für ein aufsichtsrechtlich konformes Outsourcing für Finanzinstitut und Dienstleister gleichermaßen hoch, doch der neue Gesetzesentwurf katapultiert die Anforderungen in eine noch höhere Dimension, mit empfindlichen Konsequenzen bei Nicht-Erfüllung. Egal ob Auslagerer oder Dienstleister – es ist in jedem Fall dringend angeraten, sich mit den komplexen Anforderungen baldmöglichst auseinanderzusetzen. Die MaRisk-Novelle wird bereits Anfang nächsten Jahres in Kraft treten.aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/114796
Schreiben Sie einen Kommentar