Vertrauen ist hoch, Kontrolle trotzdem gefordert

Der Markt für Finanzdienstleistungen ist hoch dynamisch. Junge FinTechs versuchen, Geschäft von etablierten Instituten abzuziehen, die Erwartungen der Kunden an den Service ihrer Banken steigen, die Anforderungen der Aufsichtsbehörden nehmen ebenfalls zu und gleichzeitig verharren die Zinsen auf extrem niedrigem Niveau. Wenig verwunderlich, dass gerade die alteingesessenen Kreditinstitute unter stetig größer werdenden Kostendruck geraten.

Eine Lösung damit umzugehen, um einen Begriff aus der Industrie zu verwenden, ist die Verringerung der Fertigungstiefe. Will heißen, immer mehr Aufgaben werden auf Dienstleister verlagert und dem Bedarf entsprechend zugekauft. Dadurch wird die Arbeitsverteilung im Unternehmen optimiert, die Wertschöpfung steigt.

Definition einer Auslagerung

In der Folge verlassen sich mehr und mehr Finanzinstitute beim Betrieb ihrer IT-Systeme auf externe Ressourcen. Nach der Studie „Paradigmenwechsel in der Risikostrategie“ der Hamburger PPI haben 74 Prozent der deutschen Banken ihre IT-Prozesse ganz oder teilweise ausgelagert. Wann eine solche Auslagerung vorliegt, definieren die Mindestanforderungen an das Risikomanagement (MaRisk) der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) vom 16. August 2021 in Ziffer 1 des AT 9 so: „[...] eine Auslagerung [liegt] dann vor, wenn ein Institut einen Dienstleister mit der Wahrnehmung von Prozessen im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt, die ansonsten vom Institut selbst erbracht werden.“

Die Bank bleibt verantwortlich

Mit der Verlagerung der Leistung geht allerdings keine Verschiebung der Verantwortung einher. Die verbleibt in jedem denkbaren Fall bei der Bank. Für Sicherheitslücken und deren Konsequenzen haftet also der Auftraggeber, der gut beraten ist, bei der Zuverlässigkeit des Dienstleisters so genau wie möglich hinzuschauen. Denn die verlagerten Funktionen sind in der Regel weder marginal noch untergeordnet. Im Gegenteil, es besteht überwiegend eine hohe Abhängigkeit von den Drittanbietern. Auch im laufenden Betrieb ist eine ständige Prüfung und Kontrolle erforderlich, entsprechende Verpflichtungen dürften absehbar eher zu- als abnehmen.

Komplexität bedingt Outsourcing

Warum lagern Banken angesichts dieser Lastenverteilung überhaupt IT-Prozesse aus? Eine große Rolle spielt hier die hohe Komplexität eigener Entwicklungen. Angesichts der heute geforderten kurzen Time-to-Market und der häufig wechselnden Anforderungen stehen die Institute vor dem Problem, dass ihre historisch gewachsenen Systeme vielfältige innere Abhängigkeiten aufweisen. Die Integration neuer Anwendungen in eine bestehende Architektur ist meist eine große technologische und personelle Herausforderung, die Beauftragung eines entsprechend versierten Drittanbieters eine attraktive Alternative.

Andere Gründe für eine Auslagerung sind der Fachkräftemangel und die zunehmenden regulatorischen Anforderungen. Gerade letztere machen Anpassungen in der bestehenden IT notwendig, die angesichts der Komplexität nur unter hohem Aufwand und mit geschultem Personal realisierbar sind. Dies wird insbesondere dann zum Problem, wenn es sich um sogenannte End-of-Life-Systeme handelt, die auf heute nicht mehr gängigen Programmiersprachen basieren, beispielsweise Cobol. Hier geht die vorhandene Expertise derzeit im Wortsinn in den Ruhestand, Nachwuchs Fehlanzeige. Die Interdependenz zwischen den verschiedenen Outsourcing-Motiven ist vor diesem Hintergrund offensichtlich.

Zunehmend stärker reguliert

In Anbetracht der hohen Kritikalität von Finanzdienstleistern für eine Volkswirtschaft ist verständlich, dass die Regulierungsbehörden bei Outsourcing-Vorhaben ein Wort mitzureden haben. Zumal in der jüngeren Zeit gelegentlich Zweifel an der Qualität einiger Dienstleister aufgekommen sind. Daraus erklärt sich die Veröffentlichung eines neuen Leitfadens für Auslagerungen durch die European Banking Authority (EBA) mit Gültigkeit zum 30. September 2019.

Die dort festgelegten Rahmenbedingungen sind in Teilen deutlich anspruchsvoller als die bestehenden Vorschriften aus der MaRisk oder den Bankaufsichtlichen Anforderungen an die IT (BAIT). Den EBA-Leitlinien nach muss ein funktionierendes Auslagerungsmanagement als Einheit von Governance, Risiko und Compliance zur direkten Bewertung, Steuerung und Überwachung der Dienstleister in der Lage sein.

Entscheidende Parameter

Vor allem das Ergebnis der Prüfung auf Wesentlichkeit und Kritikalität eines auszulagernden Prozesses bestimmt die Anforderungen an den externen Partner und mittelbar auch die Detailtiefe einer Outsourcing-Vereinbarung. Je wichtiger und kritischer eine Anwendung ist, desto größer der administrative Aufwand und auch der Überwachungsbedarf.

Ohne eine exakte Festlegung der Key Performance Indicators (KPIs) und ein separates Service Level Agreement (SLA) wird kein aktueller und künftiger Auslagerungsvertrag mehr auskommen. Die Übergangsfrist für die Anpassung bestehender Dienstleistungsverträge an die neue Leitlinie ist zum 31. Dezember 2021 abgelaufen. An sich müssten also alle Finanzinstitute die notwendigen Arbeiten dazu erledigt haben.

Vertrauensvorschuss

Insgesamt ist das Vertrauen der Banken in ihre Partner aber sehr hoch. Unter diesen befinden sich allerdings auffallend wenig FinTechs, drei Viertel der befragten Institute nutzen die Dienste der sogenannten BigTechs. Hier dürften auch Zuverlässigkeitsaspekte und die Fähigkeit, kurzfristig adäquat auf Krisensituationen reagieren zu können, eine Rolle spielen.

Studie: Detaillierte Informationen zur Risikowahrnehmung deutscher Banken im IKT-Bereich sowie zu weiteren Einzelaspekten dieses weiten Themenfeldes können Interessierte in der Studie „Paradigmenwechsel in der Risikostrategie“ nachlesen. Diese steht auf der Website von PPI kostenlos zum Download zur Verfügung.