6. MaRisk-Novelle (Konsultation 14/2020): Änderungen AT 9 Auslagerung Wie Institute den neuen Anforderungen an Outsourcing, Auslagerungsmanagement, Providersteuerung und Risikomanagement begegnen können

Auslagerungen (bzw. Outsourcing) sind innerhalb der Finanzdienstleistungsbranche längst keine Besonderheit mehr. So haben in den letzten Jahren immer mehr Institute die Stärken und Chancen von Auslagerungen erkannt und externe Dienstleister mit der Wahrnehmung von Aktivitäten und Prozessen im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Serviceleistungen beauftragt. Am 26. Oktober 2020 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den lange erwarteten Konsultationsentwurf der Neufassung des Rundschreibens 09/2017 (BA) für die Mindestanforderungen an das Risikomanagement (MaRisk) veröffentlicht und damit auch die Anforderungen an Auslagerungen gemäß AT 9 überarbeitet.

Der neue Konsultationsentwurf 14/2020 zur 6. MaRisk-Novelle im Überblick – Schwerpunkt AT 9 Auslagerung:


 


 

Einführung in die neuen Anforderungen an Auslagerungen

Auslagerungen sind ein beliebtes Instrument, um Zugang zu Wissen und Technologien sowie höhere Flexibilität zu erlangen und um Größenvorteile beim Dienstleister und damit einhergehende eigene Kosteneinsparungen zu realisieren. Jedoch gehen mit einer Auslagerung gleichzeitig Risiken einher, die es institutsseitig zu erfassen und zu steuern gilt. Die nationalen und internationalen Aufsichtsbehörden haben die Anforderungen an Auslagerungen daher stets im Blick und aktualisieren diese regelmäßig, auch um ökonomische und IT-seitige Entwicklungen adäquat in der aufsichtlichen Verwaltungspraxis abzubilden.

Mit dem Konsultationsentwurf der Neufassung des Rundschreibens 09/2017 (BA) für die Mindestanforderungen an das Risikomanagement (MaRisk) wurden u. a. die Anforderungen aus den Guidelines on Outsourcing Arrangements (EBA/GL/2019/02 – Outsourcing Guidelines) der European Banking Authority (EBA) vom 25. Februar 2019 in nationale Aufsichtspraxis übernommen. Stellungnahmen der Verbände und Institutionen zum Konsultationsentwurf der 6. MaRisk-Novelle können bis zum 4. Dezember 2020 an die BaFin und die Deutsche Bundesbank gerichtet werden. Die finale Fassung der 6. MaRisk-Novelle wird im ersten Quartal 2021 erwartet. Die Verschiebung der ursprünglich für das Jahr 2020 geplanten Novellierung in das kommende Jahr wurde bereits im Mai 2020 angekündigt, um die Belastungen der Institute mit neuen regulatorischen Vorgaben während der anhaltenden Coronakrise (COVID-19-Pandemie) so gering wie möglich zu halten.

Die Änderungen gemäß vorliegendem MaRisk-Konsultationsentwurf betreffen den gesamten Auslagerungszyklus, insbesondere durch Konkretisierungen und erweiterte Anforderungen. Dennoch bleiben die MaRisk im Vergleich zu den EBA Guidelines on Outsourcing Arrangements ihrem abgeschwächt verordnenden Charakter treu. Zum Beispiel beschreiben die EBA/GL/2019/02 für die Bewertung von Auslagerungsvereinbarungen wesentlich konkreter, welche Faktoren hinsichtlich der Risikoanalyse und Wesentlichkeitsbestimmung zu berücksichtigen sind – u. a. die Prüfung der potenziellen Beeinflussung der kurzfristigen und langfristigen finanziellen sowie operationellen Widerstandsfähigkeit (fortlaufende Nr. 29 bis 31). Der Konsultationsentwurf der MaRisk hingegen führt zwar Beispiele für potenzielle, mit einer Auslagerung verbundene Risiken auf, bleibt aber bei der allgemeineren Formulierung, dass alle für das Institut relevanten Aspekte bei der Risikoanalyse zu berücksichtigen sind. Somit werden die MaRisk dem Proportionalitätsprinzip und der einzelfallspezifischen Angemessenheit nach Größe, Art, Komplexität und Risiko gerecht.
 


 

Leitmotive für das Management von Auslagerungen

Aus dem Konsultationsentwurf der 6. MaRisk-Novelle lassen sich zwei Leitmotive für Auslagerungen herausarbeiten:

  1. Zum einen dürfen Auslagerungen weder zu einer leeren Unternehmenshülle („empty shell“) noch zu einer Einschränkung der Befugnisse des auslagernden Instituts oder der nationalen Aufsichtsbehörden führen. Bei Auslagerungen an Dienstleister mit Sitz außerhalb des Europäischen Wirtschaftsraums (EWR) sind Beaufsichtigungen durch zuständige Behörden im Drittland sowie Kooperationen mit den deutschen bzw. europäischen Aufsichtsbehörden sicherzustellen. Informations- und Prüfungsrechte sollten grundsätzlich auch für nicht wesentliche Auslagerungen vereinbart werden.
  2. Zum anderen sind ausgelagerte Aktivitäten und Prozesse sowie die mit einer Auslagerung verbundenen Risiken ordnungsgemäß zu überwachen und zu steuern. Hierzu ist u. a. die Funktion der/des zentralen Auslagerungsbeauftragten einzurichten, sobald Auslagerungssachverhalte vorliegen. Institutsspezifisch ist vor dem Hintergrund der Proportionalität zu entscheiden, ob zusätzlich ein zentrales Auslagerungsmanagement zur Unterstützung der/des Auslagerungsbeauftragten zu etablieren ist. Explizit wurde herausgearbeitet, dass die Überwachung und Steuerung auch für nicht wesentliche Auslagerungen zu erfolgen hat. Diese Regelungen sind zwar auch schon vor der MaRisk-Novelle in der aufsichtlichen Verwaltungspraxis angewandt worden, mussten aber über die ordnungsgemäße Geschäftsorganisation nach §§ 25a und 25b des Kreditwesengesetzes (KWG) begründet werden. Die MaRisk sind an dieser Stelle eindeutiger geworden.

Gleiches gilt für die Definition des sonstigen Fremdbezugs von Leistungen, welche durch Beispiele analog zu den EBA Guidelines on Outsourcing Arrangements angereichert wurde. Bereits in der gelebten Praxis kaum als Auslagerung angesehene Tatbestände wie die Nutzung öffentlich zugänglicher Daten von Marktinformationsdienstleistern oder der Zugang zu aufsichtlich regulierten, globalen Nachrichteninfrastrukturen zur Übermittlung von Zahlungsverkehrsdaten (bspw. SWIFT) werden in den MaRisk zukünftig als sonstiger Fremdbezug tituliert.

Durch die konkreten Beispiele sollte es den Instituten zukünftig leichter fallen, ausgewählte Fremdbezüge frühzeitig risikoadäquat auszusteuern und somit den Fokus stärker auf (wesentliche) Auslagerungen zu legen. Es bietet sich hierfür an, organisatorisch und prozessual unterschiedliche Vorgehensweisen für die Behandlung von (wesentlichen) Auslagerungen, sonstigem Fremdbezug von IT-Dienstleistungen sowie sonstigem Fremdbezug zu etablieren und in der Governance zu hinterlegen.

Darüber hinaus stellen die neuen MaRisk in der vorliegenden Konsultationsversion folgende Anforderungen entlang des Auslagerungszyklus.

Detaillierte Übersicht zu Neuerungen entlang des Auslagerungszyklus

Kategorisierung

Neben der Detaillierung des sonstigen Fremdbezugs von Leistungen verdeutlicht die Novellierung die Kategorisierung des Softwarebetriebs. Dieser wird nun analog zu der Software behandelt, die zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation von Risiken eingesetzt wird oder die für die Durchführung von bankgeschäftlichen Aufgaben von wesentlicher Bedeutung ist. In beiden Fällen sind lediglich Unterstützungsleistungen wie bspw. Customizing, Development und Maintenance als Auslagerung einzustufen.

Risikoanalyse

Hier sieht die BaFin eine Präzisierung und damit gleichzeitig eine Erweiterung der als wesentlich anzusehenden Risiken vor, welche es im Rahmen der Risikoanalyse und Auslagerungssteuerung zu berücksichtigen gilt – u. a. Auslagerungsrisiken einschließlich Risikokonzentrationen, politische Risiken sowie Risiken, die aus Interessenkonflikten entstehen. Neben der zusätzlichen Betrachtung von Weiterverlagerungsrisiken ist das Ergebnis der vorzunehmenden Wesentlichkeitsbestimmung von Aktivitäten und Prozessen zukünftig miteinzusteuern. Hierdurch macht die Aufsicht deutlich, dass bei wesentlichen Auslagerungen angemessene, umfangreiche Risikoanalysen durchzuführen und die Ergebnisse sowohl in die Auslagerungs- als auch die Risikosteuerung einzubeziehen sind. Zusätzlich ist im Rahmen der Risikobewertung bedarfsweise eine Szenarioanalyse durchzuführen. Während kleinere, weniger komplexe Institute in diesem Zusammenhang qualitative Ansätze für die Risikobewertung heranziehen können, sollten große und komplexe Institute einen komplexeren Ansatz wählen. Was genau die BaFin in diesem Zusammenhang unter einem „komplexeren Ansatz“ versteht, wird nicht weiter ausgeführt. Es ist zu erwarten, dass bei größeren und komplexen Instituten die qualitative Risikoanalyse um eine quantitative Bewertung zu erweitern ist.

Weiterverlagerungen

Eine maßgebliche Neuerung der MaRisk gilt den Weiterverlagerungen sowie den damit verbundenen Risiken. Diese sind in die Risikoanalyse unter Beachtung zusätzlicher Risiken bei langen und komplexen Auslagerungsketten (sogenanntes Sub- und Sub-Sub-Outsourcing) miteinzubeziehen. Zudem sind Weiterverlagerungen hinsichtlich ihrer Wesentlichkeit zu bewerten. Spätestens hierdurch wird es für die Institute erforderlich, vollständige Transparenz bezüglich der Auslagerungsketten herzustellen und ggf. komplexe Auslagerungsbeziehungen zu überdenken. Falls noch nicht geschehen, sollten darüber hinaus die regulatorischen „Kosten“ Bestandteil einer jeden Auslagerungsentscheidung und regelmäßigen Auslagerungsüberprüfung werden.

Auslagerungsverträge

In Zusammenhang mit den zu erstellenden Auslagerungsverträgen bei wesentlichen Auslagerungen konkretisieren die MaRisk, dass diese Verträge der Schriftform unterliegen. Ferner sollten neben Informations- und Prüfungsrechten auch Zugangsrechte bspw. zu Geschäftsräumen, Systemen und Daten vereinbart werden. Dies gilt unabhängig von der Ausgestaltung der konkreten Zusammenarbeit bei einer Auslagerung und somit bspw. auch für Cloud-Dienste. Während die EBA Guidelines on Outsourcing Arrangements bspw. die bisherigen Empfehlungen der EBA zur Auslagerung an Cloud-Anbieter abgelöst haben, wird in der MaRisk-Novelle nicht spezifisch auf Cloud-Dienste eingegangen. Das Merkblatt der BaFin zu Auslagerungen an Cloud-Anbieter behält seine Gültigkeit als Orientierungshilfe und Verdeutlichung der aufsichtlichen Verwaltungspraxis. Unabhängig von der praktischen Handhabung und Durchsetzbarkeit muss die Gewährung des uneingeschränkten Zugriffs auf Informationen und Daten sowie des Zugangs zu den Geschäftsräumen – auch bei Cloud-Anbietern – für alle wesentlichen Auslagerungen vertraglich vereinbart werden. Insbesondere gilt es, für den Fall einer Insolvenz, Abwicklung oder der Einstellung der Geschäftstätigkeit des Auslagerungsunternehmens bzw. Dienstleisters den Zugriff auf die sich im Besitz des Instituts befindlichen Daten zu gewährleisten. In diesem Zusammenhang präzisiert die BaFin, dass Institute generell einen risikobasierten Ansatz im Hinblick auf den Standort der Datenspeicherung, die Datenverarbeitung sowie den grundsätzlichen Datenschutz und die Informationssicherheit wählen sollten. Gleiches trifft auch auf die mit dem Dienstleister zu vereinbarenden Notfallkonzepte zu. Mit der umfassenden Überarbeitung der Anforderungen an das Notfallmanagement in AT 7.3 der MaRisk-Novelle gilt es, die entsprechenden Aktivitäten und Maßnahmen vertraglich zu fixieren und regelmäßig auf deren Einhaltung zu überprüfen. Dies sollte auch Vereinbarungen umfassen, wonach bei Kündigung oder Wechsel des Dienstleisters oder bei der Reintegration (Insourcing) von ausgelagerten Aktivitäten und Prozessen entsprechende Unterstützungsleistungen durch den Dienstleister zu erbringen sind. Für bestimmte Risiken können zudem Versicherungsverpflichtungen vereinbart werden. Neu in Auslagerungsverträge mit aufzunehmen sind Klauseln bezüglich der Einhaltung von Werten und Verhaltensweisen im Sinne einer Corporate Social Responsibility durch den Dienstleister. Die weiteren Inhalte von Auslagerungsverträgen, die ergänzend aufgenommen wurden, umfassen Angaben wie bspw. Datum des Beginns und ggf. des Endes der Auslagerungsvereinbarung, geltendes Recht sowie die Dienstleistungsgüte und sollten daher ohnehin bereits Bestandteil eines jeden Auslagerungsvertrags sein. Institute sollten die zuvor genannten Anforderungen zum Anlass nehmen, ihre Auslagerungsverträge grundsätzlich zu überprüfen und bei Bedarf zu überarbeiten.

Reporting

Für wesentliche Auslagerungen ist ein jährlicher Bericht zu erstellen, der unterjährig durch anlassbezogene (Ad-hoc-) Reportings ergänzt wird. Der qualitativen wie auch quantitativen Dienstleistersteuerung verleiht die BaFin damit einen neuen Schwerpunkt, weil auslagernde Institute angehalten werden, eine laufende Überwachung der vertraglich vereinbarten Leistungsindikatoren (bspw. KPIs, Key Performance Indicators, und KRIs, Key Risk Indicators) sowie weiterer Vertragsinhalte durch kürzere Kontrollzyklen sicherzustellen. Vor diesem Hintergrund ist aus Institutssicht zu überlegen, ein integriertes GRC-Tool (Governance-, Risk- und Compliance-Tool) einzuführen oder ein bestehendes Tool um Funktionalitäten und Benutzergruppen zu erweitern. Hierdurch sollte die Zusammenarbeit der auslagernden Fachabteilungen mit den „2nd-Line-of-Defense-Einheiten“ bzw. Unterstützungseinheiten gestärkt und eine einheitliche Datenbasis sowie der gemeinsame Informationsaustausch gefördert werden.

Gruppen- und verbundinterne Auslagerungen

Hinsichtlich gruppen- und verbundinterner Auslagerungen hat die BaFin die bereits bestehenden Regelungen gebündelt, teilweise ergänzt und konkretisiert sowie am Ende des AT 9 für die Erlangung einer besseren Übersichtlichkeit in Gänze dargestellt. Neu ist bspw. die Option, auf Gruppen- bzw. Verbundebene ein zentrales Auslagerungsmanagement einzurichten, sowie die Möglichkeit, zentrale Vorauswertungen im Rahmen der Risikoberichterstattung und ein zentrales Auslagerungsregister zu nutzen.

Auslagerungsregister

Als neue Dokumentationsanforderung ist vorgesehen, dass die Institute ein aktuelles Auslagerungsregister mit Informationen über alle Auslagerungsvereinbarungen inklusive gruppeninterner Auslagerungen führen. Neben der Verpflichtung zum Aufbau und der Pflege einer solchen Übersicht sind auch wesentliche Weiterverlagerungen nach internem Ermessen im Register zu berücksichtigen. Eine Übernahme der im Rahmen der EBA Guidelines on Outsourcing Arrangements spezifizierten Angaben je Auslagerung im Register wurde jedoch nicht vorgenommen. Es empfiehlt sich daher, die Kriterien gemäß dem Governance Framework (fortlaufende Nr. 54 und 55) der EBA/GL/2019/02 als Orientierungshilfe heranzuziehen.
 

Abonnieren Sie unseren Newsletter

Erhalten Sie alle 2 Wochen die neuesten Analysen und Berichte unserer Banking-Experten.


 

Fazit und Handlungsbedarf bezüglich AT 9 Auslagerung

Insgesamt verschriftlicht die MaRisk-Konsultation an vielen Stellen die oftmals schon gelebte aufsichtliche Verwaltungspraxis, was aber nach unserer Einschätzung zu mittleren bis hohen Handlungsbedarfen führt, insbesondere im Vertragswesen, bei Dokumentationen (Register), bei Weiterverlagerungen und integrierten Prüf- und Kontrollhandlungen inklusive Notfallkonzeptionen, ergänzt um die Funktion der/des zentralen Auslagerungsbeauftragten. In Abhängigkeit davon, welcher Umsetzungsstand bei den Instituten vorliegt und ob sich bereits an den EBA Guidelines on Outsourcing Arrangements sowie den bisherigen MaRisk, dem BaFin-Merkblatt zu Auslagerungen an Cloud-Anbieter und den bankaufsichtlichen Anforderungen an die IT (BAIT) orientiert wurde, kann sich der Handlungsbedarf erheblich unterscheiden. In der Regel sind hier größere Institute besser aufgestellt, eine umfängliche Überprüfung der Konformität mit den neuen MaRisk im Bereich Outsourcing ist aber unabdingbar.

Die Intention der BaFin, die im Zuge der Veröffentlichung der Konsultationsversion darauf hinweist, dass zusätzlicher neuer Erfüllungsaufwand weder für die Institute noch für die BaFin entstehen soll, ist nur dann zutreffend, wenn die EBA Guidelines on Outsourcing Arrangements (EBA/GL/2019/02), die EBA Guidelines on ICT and Security Risk Management (EBA/GL/2019/04) sowie die bestehenden aufsichtlichen Anforderungen der EZB bereits implementiert und berücksichtigt wurden. Die mit der 6. MaRisk-Novelle verfolgten Ziele der BaFin, nämlich Änderungen der europäischen und internationalen Regelsetzung in die nationale Verwaltungspraxis aufzunehmen, können insgesamt als erfüllt angesehen werden.

 


Haben Sie Handlungsbedarf in den Bereichen Outsourcing, Auslagerungsmanagement, Providersteuerung oder Risikomanagement? Sprechen Sie uns gerne an.


 

Mit BankingHub keinen Trend verpassen

Erhalten Sie alle 2 Wochen die neuesten Analysen und Berichte unserer Banking-Experten.

Dr. Fedor-Immanuel Rahn

Senior Manager Office Frankfurt
Autor Lena Kellen / BankingHub

Lena Kellen

Senior Consultant Office Münster
Autorin Caroline Sieveritz / BankingHub

Caroline Sieveritz

Senior Consultant Office München

Autoren

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Abonnieren Sie unseren Newsletter

Erhalten Sie alle 2 Wochen die neuesten Analysen und Berichte unserer Banking-Experten.