25.11.2019: Outsourcing-Leitlinie – neue Orientierungshilfe für Banken und FinTechs

Auslagerung

Auf ihrer Diskussionsveranstaltung "‘Intelligence-enabled Banking‘ und BdB Outsourcing-Leitlinie verstärken die Zusammenarbeit zwischen Banken und FinTechs“ am 13.11.2019 in Frankfurt am Main stellte der Bundesverband deutscher Banken (BdB) seine Outsourcing-Leitlinie für Banken und FinTechs vor. Sie ist das Arbeitsergebnis des Projektausschusses Digital Banking des Bankenverbandes, in dem er eng mit Vertretern aus Kreditinstituten und FinTechs zusammenarbeitet. Bereits im Sommer 2018 veröffentlichte der Bankenverband das Positionspapier „Banken und FinTechs beziehen Stellung – Stichwort Outsourcing“ (wir berichteten), in dem sie ihre Pläne zur Entwicklung einer Outsourcing-Leitlinie, durch welche nicht-leistungsspezifische, bankenaufsichtliche Anforderungen vereinheitlicht werden sollen, offenlegten.

Mit den Outsourcing-Leitlinien verfolgt der Bankenverband das Ziel, die Zusammenarbeit zwischen Banken und FinTechs zu optimieren und den Onboarding-Prozess für ein gemeinsames Engagement zu vereinfachen und zu beschleunigen. Da es sich bei der Zusammenarbeit zwischen Banken und FinTechs um eine Auslagerung handelt, müssen die Anforderungen gemäß BAIT und MaRisk erfüll werden (siehe Beitrag vom 31.05.2017 „Auslagerung von Unterstützungsleistungen zu Kernkompetenzen ist auch innerhalb der aktuellen MaRisk möglich“. Oft sind FinTechs mit den komplexen Anforderungskatalogen der Kreditinstitute überfordert, welche in keinem ausgewogenen Verhältnis zum tatsächlichen Risiko für die Bank stehen. Infolge der unklaren, überdimensionierten Anforderungen kann das regulatorische Onboarding laut Bankenverband bis zu 18 Monaten dauern, wo hingegen das technische Onboarding innerhalb weniger Wochen erfolgreich abgeschlossen werden kann. In dieser Zeitspanne könnten technische Innovationen längst überholt sein. Der Bankenverband ist der Überzeugung, dass der Einsatz der Outsourcing-Leitlinie unnötige Verzögerungen bei der Markteinführung eines gemeinsam entwickelten Produktes oder einer Dienstleistung unterbindet. Außerdem soll die Outsourcing-Leitlinie den Banken mehr Sicherheit bei solchen Bank-FinTech-Auslagerungen geben. Sie soll Ihnen helfen, Risiken, die mit der Auslagerung verbunden sind, besser einschätzen und die Anforderungen, die FinTechs bei einer Kooperation mit einer Bank erfüllen müssen, angemessen festlegen zu können. Gleichzeitig soll die Outsourcing-Leitlinie für FinTechs eine Orientierung bieten, um die von ihnen einzuhaltenden Anforderungen besser verstehen und sich dadurch besser auf die Zusammenarbeit mit Banken vorbereiten zu können.

Methodik und Inhalte der Outsourcing-Leitlinie

Der Bankenverband hat eine Methodik entwickelt und in der Praxis erprobt, bei dem die Anforderungen an FinTechs nach dem Risikogehalt der Geschäftsaktivitäten gestaffelt werden. Diesen methodischen Ansatz hält auch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für zweckmäßig.

Es sind folgende Schritte nacheinander einzuhalten:

1. Risikoreifegrad-Modell:
Mithilfe von 18 Fragen wird das Risiko aus der Zusammenarbeit zwischen Bank und FinTech ermittelt und in einen von vier Risikoreifegraden (RRG) eingestuft. Die Fragen und dazugehörigen Antworten wurden auf Basis der folgenden allgemeingültigen Risikokategorien einer Dienstleistung entwickelt:

  • Geschäftskontinuität,
  • aufsichtsrechtliche Anforderungen,
  • Leistungserbringung durch FinTech,
  • Leistungserbringung durch Bank,
  • Informationssicherheit.

2. Anforderungskatalog:
Der RRG bestimmt die Stufe der Anforderungen, die das kooperierende FinTech tatsächlich erfüllen muss. Es wurde ein Anforderungskatalog entwickelt, der die folgenden Anforderungstypen enthält:

  • Business Continuity Management,
  • interne Kontrollen,
  • Informationssicherheit,
  • Organisationsrichtlinien und Dokumentation,
  • Revisionstätigkeit,
  • Vendor Management.

Für jeden der genannten Anforderungstypen werden in den jeweiligen vier Abstufungen (eine Stufe pro RRG) spezifische Anforderungen festgelegt.

Der Bankenverband betont jedoch, dass es sich bei dem Anforderungskatalog nur um nicht-leistungsspezifische Anforderungen handelt, die im Grundsatz jedes FinTechs unabhängig der Art der erbrachten Leistung zu erfüllen hat. Anforderungen, die in einem unmittelbaren Zusammenhang mit der Leistung stehen und somit sehr spezifisch sind, lassen sich nicht allgemeingültig in Stufen unterteilen. Dies betrifft unter anderem Regelungen zur Ausgestaltung von Verträgen und SLAs sowie die Anforderungen an den Datenschutz und zur Geldwäscheprävention.

Ausblick

Der Bundesverband deutscher Banken strebt an, dass seine Mitgliedsunternehmen die Outsourcing-Leitlinie in der Praxis flächendeckend anwenden und in ihr eigenes Auslagerungsmanagement einbinden werden. Die Outsourcing-Leitlinie soll regelmäßig überprüft und weiterentwickelt werden. Wenn sich die Outsourcing-Leitlinie in der Praxis bewährt, will der Bankenverband einen systematischen Feedback-Loop auf elektronischem Wege etablieren. Als nächsten Schritt hat der Bankenverband eine Zertifizierung von FinTechs auf Basis der Outsourcing-Leitlinie geplant. Mit dem Zertifikat sollen FinTechs nachweisen können, dass sie die Anforderungen, die mit einer Auslagerung verbunden sind, erfüllen können. Dadurch soll der Prüfungsauswand zu Beginn einer Kooperation möglichst geringgehalten und der Onboarding-Prozess schneller abgewickelt werden.

Wir begrüßen sowohl die Outsourcing-Leitlinie als Orientierungshilfe für Banken und FinTechs als auch die Idee einer Zertifizierung. Sie bewirken, dass FinTechs sich auf dem gleichen Stand bezüglich regulatorischer Anforderungen bewegen werden. Gleichzeitig bedeutet es mehr Rechtssicherheit für beide Seiten. Mit unserer Expertise im Outsourcing stehen wir Ihnen beratend zur Seite.

 

Quelle: Bundesverband deutscher Banken


 

Zurück