ESG – nachhaltiges IT-Outsourcing im Finanzsektor

Banken und Versicherungen setzen die Anforderungen an IT-Auslagerungen und den Bezug von IT-Dienstleistungen schon heute gemäß verschiedenen Vorgaben wie MaRisk (Mindestanforderungen an das Risikomanagement), BAIT/VAIT (Bank- bzw. Versicherungsaufsichtliche Anforderungen an die IT) und zukünftig auch DORA (Digital Operational Resilience Act) um. Kernelemente sind dabei:

• Auslagerungsstrategie
• Risikoanalyse und Providersteuerung
• Vertragsgestaltung
• Weiterverlagerungen

Diese Anforderungen werden nun um eine Dimension erweitert. Auch ESG-Faktoren müssen im Risk- und Outsourcing-Management von Finanzunternehmen berücksichtigt werden. In zweifacher Hinsicht: Die Corporate Sustainability Reporting Directive (CSRD) gibt vor, dass sowohl die „Outside-In-Perspektive“ als auch die „Inside-Out-Perspektive“ zu betrachten sind. Unternehmen sollen demnach bewerten, wie Nachhaltigkeitsaspekte sich auf das Unternehmen auswirken (Outside-In), aber auch welche Auswirkungen das Unternehmen auf Mensch und Umwelt hat (Inside-Out).

ESG im Outsourcing-Management

Bei der Frage, in welche Elemente des Outsourcing-Managements ESG-Aspekte einzubeziehen sind, konnten sich Banken bislang am „BaFin-Merkblatt zum Umgang mit Nachhaltigkeitsrisiken“ orientieren. Diese früheren „Good-Practice-Ansätze“ werden nun verpflichtend. Denn im September 2022 stellte die BaFin die neue MaRisk-Novelle zur Konsultation. Diese fordert, dass Nachhaltigkeitsrisiken im Risikomanagement zu berücksichtigen sind. Im Outsourcing-Management sehen wir folgenden Handlungsbedarf:

• Auslagerungsstrategie & „Doppelte Materialität“

Nachhaltigkeitsaspekte und -risiken sollten in die Auslagerungsstrategie einbezogen werden. Dafür sollte grundsätzlich festgelegt werden, welche ESG-Werte das Unternehmen vertritt, und dass es nur mit Dienstleistern zusammenarbeitet, welche diese Werte ebenfalls vertreten. Das können die Einhaltung von Menschenrechten, Diversity und Chancengleichheit sowie die Ethik und Integrität des Unternehmens sein. Zudem sollte definiert werden, welche Regelungen bezüglich ESG mit Dienstleistern getroffen werden sollen und wie diese bei der Erfüllung der Nachhaltigkeitsberichtspflichten unterstützen können.

• Risikoanalyse & „Outside-in“

Die bestehende Outsourcing-Risikoanalyse sollte um ESG-Kriterien gemäß AT9 Tz. 2 MaRisk (Entwurfsfassung) erweitert werden. Als Aspekte können etwa die Anfälligkeit des Providerstandorts für Naturkatastrophen oder für politische und soziale Instabilität herangezogen werden. Es geht darum äußere Einflüsse, die die eigenen betrieblichen Abläufe stören oder gefährden können, zu minimieren. Es kann bei nachhaltigeren Lieferanten auch von einer stabileren Lieferfähigkeit ausgegangen werden, wenn diese beispielsweise von stark schwankenden Rohstoffpreisen weniger betroffen sind oder aufgrund der positiven Mitarbeiterbehandlung weniger Fluktuation verzeichnen.

• Vertragsgestaltung & „Inside-out“

Als Vertragsinhalte bezüglich Nachhaltigkeitsrisiken sind die „Identifizierung, Beurteilung, Steuerung, Überwachung und Berichterstattung von Nachhaltigkeitsrisiken“ sowie der Einbezug von Nachhaltigkeitsstandards wie die “Principles for Responsible Banking”, „Deutscher Nachhaltigkeitskodex” und „Global Reporting Initiative (GRI)“ zu nennen. Mit der Einführung der CSRD wird nun auch der neue europäische Standard “European Sustainability Reporting Standard (ESRS)” für die Berichtspflicht definiert.

Durch die vertragliche Verpflichtung des IT-Dienstleisters zur Einhaltung der Standards soll das von ihm ausgehende ESG-Risiko auf das auslagernde Unternehmen sowie auf Mensch und Umwelt gesteuert werden. In der Praxis können so etwa Nachhaltigkeitsfaktoren wie die CO2-Bilanz der bezogenen Dienstleistungen, die Mindestanforderungen an Arbeitsbedingungen sowie die Gleichbehandlung von verschiedenen Personengruppen in der Vertragsgestaltung und im Auswahlprozess eine entscheidende Rolle spielen. Die Nicht-Einhaltung der vereinbarten Aspekte sollte bis zur Vertragskündigung führen können.

Nachhaltige Lieferkette als Herausforderung

Im Bereich Outsourcing-Management stellen Weiterverlagerungen, also die Subdelegation vom Dienstleister an einen Unterdienstleister, auch unter ESG-Aspekten große Herausforderungen dar. Neben der Einführung eines Auslagerungsregisters, welches die wesentlichen Subdelegationen enthält, sind auch die Einhaltung der ESG-Anforderungen in der gesamten Auslagerungskette zu verantworten.

Bei der Vergabe von Aufträgen an Provider und bei der anschließenden Überwachung sollte demnach auch kontrolliert werden, inwieweit dessen Subdienstleister ESG-Kriterien wie Menschenrechte, Sorgfaltspflichten oder Dekarbonisierung berücksichtigen. Die Tatsache, dass (Sub-)Dienstleister wesentlich zur indirekten Emittierung von Treibhausgasen beitragen, sollte ebenfalls in die Entscheidungsfindung einfließen. Dazu zählen beispielsweise Verbrauch, Nutzung und die Entsorgung von Gütern, aber auch Geschäftsreisen oder Investitionen nach dem Bilanzierungsstandard „GHG Protocol“ für Treibhausgasemissionen.

Fazit

ESG-Aspekte sollten nicht als individueller Bestandteil im IT-Outsourcing-Management gesehen werden, sondern in alle Kernelemente des Auslagerungsmanagements, insbesondere in die Auslagerungsstrategie, die Risikoanalyse und -überwachung sowie die Vertragsgestaltung einfließen. Mit dieser Erweiterung um ESG-Faktoren ist es Unternehmen möglich, einen weitreichenden Risikoblick zu erschaffen, welcher sowohl die Outside-in- als auch die Inside-Out-Perspektive abdeckt. Durch den Einbezug von ESG-Kriterien in die Providerauswahl werden grundsätzlich ESG-konforme Provider bevorzugt. Aufgrund dieses Mechanismus ist davon auszugehen, dass mit nachhaltigen Lieferketten langfristig ein positiver Effekt für Mensch und Umwelt erreicht wird.

Quelle Titelbild: AdobeStock/troyanphoto