Matrix Technology AG
Finsurance Blog > Die 4 wichtigsten Regeln für ein IT Outsourcing im regulierten Umfeld

Die 4 wichtigsten Regeln für ein IT-Outsourcing im regulierten Umfeld

Peter Bauer

Peter Bauer ist in seiner Rolle als Vorstand bei der matrix technology AG für die Leistungserbringung der mittelständischen IT-Servicekunden verantwortlich - unter anderem auch aus dem finanzregulierten Umfeld.

Alle Beiträge des Autors

Ein IT-Outsourcing-Vorhaben ist keine alltägliche Aufgabe, sondern meist das größte IT-Projekt, welches ein Unternehmen bis dato hatte. Im Banken- und Versicherungsumfeld wird die Auslagerung der IT eigentlich immer als wesentliche Auslagerung (BAIT) bzw. als wichtige Ausgliederung (VAIT) eingestuft. Damit gelten dann die entsprechenden Vorgaben der BaFin für das Finanz- bzw. Versicherungsunternehmen. Basierend auf meinen Erfahrungen aus dem Outsourcing-Alltag, habe ich für Sie die vier wichtigsten Regeln für ein erfolgreiches und zukunftsgerichtetes IT-Outsourcing-Vorhaben skizziert.

Regel 1: Die Vorgaben der BAIT & VAIT für den IT-Outsourcing-Dienstleister konkretisieren

Die BaFin hat 2017 mit dem Rundschreiben 10/2017 (BA) – Bankaufsichtliche Anforderungen an die IT (BAIT) bzw. 2018 mit dem Rundschreiben 10/2018 – Versicherungsaufsichtliche Anforderungen an die IT (VAIT) in jeweils 9 Kapiteln – die größtenteils inhaltlich identisch sind – eine Konkretisierung für die IT der regulierten Unternehmen veröffentlicht. Diese Dokumente sind für ein Outsourcing-Vorhaben jedoch noch zu unspezifisch und bedürfen einer weiteren Konkretisierung. In den Ausschreibungsunterlagen muss möglichst klar hervorgehen, wie der jeweilige Kunde – also die Bank oder Versicherung – die Vorgaben der BaFin für sich weiter konkretisiert und in technisch/fachliche Anforderungen übersetzt. Nur so kann der Provider die Vorgaben erfassen und entsprechend verbindlich und passgenau anbieten. 

Generelle Klauseln wie etwa „der Provider hat alle regulatorischen Vorgaben (z.B. der BAITs) zu erfüllen“ sind dabei zu pauschal und bedürfen einer gemeinsamen Schärfung im Rahmen der Ausschreibungsphase.

Auch werden regulatorische Vorgaben häufig in speziellen Dokumenten – z.B. als gesonderte Anlage der Ausschreibung – formuliert. Hier muss nochmal dringend der Abgleich zwischen diesen Anforderungen sowie den Anforderungen aus der allgemeinen Anforderungsbeschreibung erfolgen. Es kommt in der Praxis sehr häufig zu Widersprüchen in den Anforderungen zwischen den beiden Dokumenten. Ein konkretes Beispiel hierfür: In der Anforderungsbeschreibung ist aufgeführt, dass der Provider eine WAN-Anbindung an die Rechenzentren bereitzustellen hat, diese jedoch nicht verschlüsselt werden muss. Gleichzeitig steht in einem Anhang zu den regulatorischen Anforderungen geschrieben, dass jeglicher Netzwerktraffic zu verschlüsseln ist. Diese Widersprüche sind häufig schwer aufzufinden, da die jeweiligen Dokumente meist viele Seiten Umfang haben und auch von unterschiedlichen Lesern sowohl auf Kunden- als auch auf Providerseite erstellt und bewertet werden.

Expertentipp:
Häufig hilft es, wenn im Ausschreibungsverfahren auch die diskutierten Themen aus der letzten BaFin-Prüfung des Unternehmens transparent offengelegt werden. Damit erkennt der Provider bereits wesentliche Punkte, die im künftigen Lösungsdesign berücksichtigt werden müssen.

Regel 2: Alle MaRisk-relevanten Themen im Rahmenvertrag berücksichtigen

Während die BAITs bzw. VAITs schon konkret die IT-Services beeinflussen, gibt es natürlich noch diverse Rahmenbedingungen der MaRisk, die im Rahmenvertrag verankert werden müssen. Dieser sollte möglichst frühzeitig und vollständig Teil der Ausschreibung sein. Wie bei allen Outsourcing-Projekten ist generell ein ausgewogener Vertrag zu empfehlen, der Rechte und Pflichten fair auf beide Parteien verteilt. Einseitige Verträge zu Gunsten des auslagernden Unternehmens führen meist zu höheren Preisen in den Angeboten, obwohl manche Klausel und Formulierung nicht zwangsweise benötigt wird. Besonders wichtig im regulierten Umfeld sind auf alle Fälle:

Erfahren Sie in nur 5 Minuten, welche wesentlichen Aspekte im Rahmen einer Auslagerung zu berücksichtigen sind!

Jetzt die Checkliste zur Bewertung Ihres Outsourcing-Vorhabens herunterladen

Uneingeschränkte Prüfrechte
Exit-Leistungen
Künftige BaFin-Konformität und Sonderkündigungsrechte
Sinnvolle SLAs und Pönalen

Expertentipp:
Guter Rat ist teuer, aber in diesem Fall absolut empfehlenswert. Lassen Sie sich von einem Anwalt unterstützen. Zu empfehlen sind immer Kanzleien, die neben dem reinen IT-Recht auch Erfahrung im regulierten Umfeld haben und Ihnen auch ausgewogen die einzelnen Klauseln sowohl aus Kunden, aber auch aus Providersicht erläutern kann.

Regel 3: Spezialanforderungen an das IT-Outsourcing benötigen Spezialisten

Die ersten beiden Punkte haben gezeigt, dass ein IT-Outsourcing im finanzregulierten Umfeld eine ganz besondere Disziplin ist und es diverse Punkte zu bedenken gibt. Es gibt sicherlich sehr viele Anbieter am Markt, die einen E-Mail Service bereitstellen können. Es sollten aber im regulierten Umfeld zwingend Anbieter sein, die bereits Erfahrung und Kunden in diesem Umfeld haben. So ist sichergestellt, dass die IT-Provider einerseits ihre besonderen Bedürfnisse und auch die eine oder andere juristische Formulierung besser verstehen kann und gleichzeitig können natürlich spezialisierte Anbieter Synergien bei ihren Lösungen und Prozessen ziehen.

Wichtige Indizien bei der Auswahl sind dabei:

Referenzen im Banken- oder Versicherungsumfeld
Zertifizierungen, insbesondere ISO27.001 und ggf. ISO20.000/ITIL-Orientierung
ISAE 3402 (oder alternativ IDW PS 951) Report
Standard-Lösungen für regulierte Unternehmen

Expertentipp:
Prüfen Sie nicht nur die Zertifizierungen im Rahmen des Ausschreibungsverfahrens, sondern prüfen Sie auch die entsprechenden Umsetzungen – z.B. das SOA-Dokument der ISO-Zertifizierung oder den aktuellen ISAE Report des Unternehmens im Detail.

Regel 4: Kompetenz des IT-Dienstleisters im Public Cloud-Umfeld

Damit Sie mit Ihrem künftigen IT-Outsourcing-Partner auch in Zukunft gut aufgestellt sind, sollte bereits im Rahmen der Auslagerung die Innovationskraft des Dienstleisters geprüft werden. Da die Digitalisierung auch im regulierten Umfeld stark voranschreitet und die Public Cloud hierfür oftmals die Basis ist, um Anwendungsfälle wie KI und Big Data abzubilden, sollte idealerweise auch die Leistungsfähigkeit in diesem Umfeld abgefragt werden. Dazu zählen z.B. Partnerschaften mit den führenden Cloud-Anbietern wie Microsoft (Azure), Amazon Web Services oder Google (Cloud). Auch hier lohnt sich die Abfrage von möglichen Referenzen in der Finanzbranche und mit Public Cloud-Lösungen.

Expertentipp:
Neben der Abfrage der Leistungsfähigkeit empfiehlt sich auch direkt die Abfrage und Vereinbarung von verbindlichen Tagessätzen für die jeweiligen Fachexperten. Zudem muss eine Verlagerung von Services in die Cloud über den Vertrag umsetzbar sein (z.B. Ramp Down einzelner Services im Rechenzentrum; Ramp Up des Service in der Public Cloud)

 

Neben diesen 4 Regeln gibt es natürlich noch die vielen weiteren Stolperfallen, die jedes Outsourcing-Projekt mit sich bringt. Der wichtigste Punkt ist aber in allen Phasen eine offene und transparente Kommunikation und die Entwicklung eines gegenseitigen Verständnisses beider Parteien!

Checkliste: IT-Outsourcing im BaFin-regulierten Umfeld

Sie planen ein IT-Outsourcing-Projekt im BaFin-regulierten Umfeld? Dann laden Sie sich jetzt unsere kostenlose Checkliste herunter und prüfen Sie, ob Sie alle wesentlichen Punkte bei Ihrem Auslagerungsvorhaben berücksichtigt haben.

Jetzt Checkliste herunterladen →

teaser_checkliste_it-outsourcing_im_bafin-regulierten_umfeld.jpg