Auslagerung statt Outsourcing Die neuen Regelungen im Modul AT 9 der 5. MaRisk-Novelle

Mit dem Modul AT 9 der 5. MaRisk-Novelle vom 27. Oktober 2017 wurde die Aufsichtspraxis hinsichtlich Auslagerungen konkretisiert, Begrifflichkeiten wurden geschärft, aber auch Grenzen der Auslagerung verdeutlicht. Die neuen MaRisk bedingen für die Institute eine Überprüfung von Auslagerungstatbeständen sowie Mehraufwand, sofern ein zentrales Auslagerungsmanagement erforderlich ist.

Die 5. MaRisk-Novelle

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 27. Oktober 2017 die 5. MaRisk-Novelle veröffentlicht.[1] Das seit Februar 2016 laufende Konsultationsverfahren wurde damit abgeschlossen und die 4. MaRisk-Novelle vom 14. Dezember 2012 abgelöst. Die neuen MaRisk treten direkt mit ihrer Veröffentlichung in Kraft. Umsetzungszeiträume werden lediglich für Neuerungen mit einer Frist bis zum 31.10.2018 eingeräumt.

Neben der effektiven Aggregation von Risikodaten, der Risikoberichterstattung und der Risikokultur ist der Umgang mit Auslagerungen ein wesentlicher Schwerpunkt der neuen MaRisk. Der Fokus des neuen AT 9 liegt auf dem Management von Auslagerungen, der Analyse und Steuerung von mit Auslagerungen verbundenen Risiken sowie auf dem Umgang mit Software und IT-Dienstleistungen hinsichtlich ihrer Erfüllung des Auslagerungstatbestands.

Dabei sind die Regelungen bezüglich Auslagerungen in den neuen MaRisk nicht isoliert zu betrachten, sondern im Zusammenspiel mit dem Kreditwesengesetz (KWG), den neu veröffentlichten bankaufsichtlichen Anforderungen an die IT (BAIT) vom 3. November 2017 sowie den Leitlinien zum Outsourcing des Committee of European Banking Supervisors (CEBS) vom 14. Dezember 2006. Ergänzend ist zudem das Konsultationspapier zum Thema Cloud Outsourcing der European Banking Authority (EBA) vom 17. Mai 2017 zu nennen, dessen Konsultationsphase im August 2017 abgelaufen ist.

Die Aufzählung macht deutlich, dass die IT und zugehörige Dienstleistungen als Basis für bankfachliche und nichtbankfachliche Prozesse eng mit dem Thema Auslagerung verbunden sind, auch weil die Institute zunehmend IT-Dienstleistungen als Auslagerung oder sonstigen Fremdbezug von Dritten beziehen. Hierbei nimmt die IT-Sicherheit in der zukünftigen aufsichtlichen Praxis einen hohen Stellenwert ein: „In einer globalisierten Finanzwelt […] sind IT-Governance und Informationssicherheit keine Randthemen mehr, sondern haben auch für die Aufsicht inzwischen den gleichen Stellenwert, wie die Ausstattung der Institute mit Kapital und Liquidität.“[2] Das Thema Auslagerungen gepaart mit Fragen der IT ist und bleibt damit für alle Institute hochaktuell.

MaRisk-Modul AT 9 – Auslagerungen

Die vorgenommenen Überarbeitungen hinsichtlich Auslagerungen (bzw. ehemals Outsourcing) sind ein zentraler Bestandteil der aktualisierten MaRisk. Die Aufsicht hat mit den Änderungen im Modul AT 9 eine Konkretisierung der aufsichtlichen Praxis vorgenommen, Begrifflichkeiten geschärft und gleichzeitig die Grenzen möglicher Auslagerungen aufgezeigt. Hierbei wurden Erleichterungen für kleine Institute und Tochterunternehmen einer Institutsgruppe berücksichtigt. Der Auslagerungsbegriff selbst wurde im Rahmen der Novellierung weiter konkretisiert, insbesondere im Hinblick auf die Verwendung von Software: Der isolierte Bezug von Software einschließlich dazugehöriger Unterstützungsleistungen ist regelmäßig als sonstiger Fremdbezug zu klassifizieren, womit die allgemeinen Anforderungen an die ordnungsgemäße Geschäftsorganisation gemäß § 25a Abs. 1 KWG zur Anwendung kommen. Dies gilt nicht für Software zum Risikomanagement; konkret zählt hierzu Software zur Identifikation, Beurteilung, Steuerung, Überwachung und Kommunikation von Risiken. Die Einordnung von Software als sonstiger Fremdbezug gilt ebenfalls nicht für Software mit wesentlicher Bedeutung für bankgeschäftliche Aufgaben; hier sind Unterstützungsleistungen in der Regel als Auslagerung anzusehen. Gleiches gilt für den Betrieb dieser Software durch einen Externen. Unabhängig von der Einordnung gelten für Software die sonstigen Sicherheitsanforderungen gemäß AT 9.7 bezüglich Zugriffsrechten sowie bei (IT-)Räumen und Gebäuden die sonstigen Sicherheitsanforderungen bezüglich Zugangsmöglichkeiten.

Die Konkretisierung der Klassifizierung von Software als Auslagerung oder sonstiger Fremdbezug in den neuen MaRisk wird ergänzt durch die erstmalige Veröffentlichung der bankaufsichtlichen Anforderungen an die IT (BAIT). Neben der aufsichtlichen Perspektive auf die angemessene Ausgestaltung einer technisch-organisatorischen Ausstattung der Institute im Hinblick auf ihre IT-Systeme, inklusive entsprechendem IT-Risikomanagement, wird in den BAIT der zweite Schwerpunkt auf die Auslagerung und den Fremdbezug von IT-Dienstleistungen gelegt und somit neben § 25a KWG auch § 25b KWG konkretisiert. Aufgrund der grundlegendenden Bedeutung der IT für Institute ist gemäß der BAIT auch bei der Klassifizierung einer IT-Dienstleistung als sonstiger Fremdbezug, also de facto bei jeder externen IT-Dienstleistung, eine Risikobewertung durchzuführen und diese in das Management des operationellen Risikos einzubeziehen. Somit greifen MaRisk, BAIT und KWG bei Auslagerungen und sonstigem Fremdbezug ineinander und sind in Kombination zu berücksichtigen.

Ein zweiter Schwerpunkt von Modul AT 9 der neuen MaRisk ist das Management der mit einer Auslagerung verbundenen Risiken sowie das Verhindern des Verlusts von Kontroll- und Durchgriffsrechten im Zuge der Auslagerung. Eine vollständige Auslagerung des Risikocontrollings, der Compliancefunktion oder der internen Revision ist daher nur in wenigen Fällen möglich: bei nicht wesentlichen Tochterunternehmen innerhalb einer Institutsgruppe, sofern das Tochterunternehmen eine untergeordnete Bedeutung für den nationalen Finanzsektor aufweist und nur eine geringe Bedeutung in der Institutsgruppe hat. Außerdem ist die Auslagerung bei kleinen Instituten möglich, wenn die Geschäftsaktivität nicht im angemessenen Verhältnis zur Einrichtung der betreffenden Funktionen erscheint. Unabhängig davon gelten für die zuvor genannten Funktionen besondere Maßstäbe bei der Risikoanalyse und dem Einbezug in das Risikomanagement des Instituts. Darüber hinaus ist auf jede mögliche Auslagerung das Proportionalitätsprinzip bei der Analyse von Art, Umfang, Komplexität und Risikogehalt der auszulagernden Funktion anzuwenden. Die Aufsicht betont zudem, dass eine wirksame Überwachung der Auslagerung, einschließlich Weiterverlagerungen, jederzeit gewährleistet sein muss. Dies beinhaltet nicht nur spezifische Festlegungen im Auslagerungsvertrag, wie beispielsweise Zustimmungsvorbehalte, Prüf- und Weisungsrechte, Informations- und Berichtspflichten, sondern auch das Vorhalten von Kenntnissen und Erfahrungen im auslagernden Institut (sogenannte Retained Organisation). Erleichterungen sind hierbei nur bei den Weisungsrechten und Prüfungshandlungen der Revision des Instituts vorgesehen, sofern Leistungen hinreichend vertraglich spezifiziert sind und anderweitig durchgeführte Revisionstätigkeiten den Anforderungen der MaRisk genügen.

Auch an die mögliche Beendigung einer wesentlichen Auslagerung und die damit verbundenen Abläufe stellen die neuen MaRisk konkrete Anforderungen. Für eine reguläre Beendigung einer Auslagerungsvereinbarung sind Vorkehrungen zur Sicherstellung von Kontinuität und Qualität von Aktivitäten und Prozessen zu gewährleisten. Für eine irreguläre Beendigung sind Ausstiegsprozesse und Handlungsoptionen vorab festzulegen. Sollten keine Handlungsoptionen existieren, sind stattdessen Notfallplanungen erforderlich. Ergänzend hat das Institut bereits bei Vertragsanbahnung für wesentliche Auslagerungen intern den noch akzeptierten Grad der Schlechtleistung zu fixieren. Daraus abzuleiten ist, dass vertraglich ein Grad der Schlechtleistung zu vereinbaren ist, der beispielsweise mithilfe von Key Performance Indicators (KPI) gemessen und überprüft werden kann.

Maßgebliches Ziel der MaRisk ist bei einer Auslagerung die Sicherstellung der adäquaten Steuerung und Überwachung aller mit der Auslagerung verbundenen Risiken. Hierfür sind klare Verantwortlichkeiten zu definieren. Bei der Auslagerung von besonderen Funktionen ist ein unabhängiger Beauftragter mit entsprechenden Fachkenntnissen zu benennen, der die ordnungsgemäße Durchführung der ausgelagerten Funktion gewährleisten muss. Bei größeren Instituten und Instituten mit umfangreichen Auslagerungen muss ein zentrales Auslagerungsmanagement eingerichtet werden, welches nicht nur die vollständige Dokumentation aller Auslagerungen und Weiterverlagerungen sicherstellen soll, sondern auch den einheitlichen Umgang mit Risiken aus Auslagerungen, insbesondere deren Analyse, Kontrolle und Überwachung. Daneben hat das zentrale Auslagerungsmanagement eine regulatorische Unterstützungsfunktion für Fachbereiche des Instituts, die Auslagerungen vornehmen möchten. Das zentrale Auslagerungsmanagement ist regelmäßig der sogenannten zweiten Verteidigungslinie des Unternehmens zuzuordnen (Second Line of Defense) und gegenüber der Geschäftsleitung mindestens jährlich berichtspflichtig. Die Berichterstattung umfasst dabei unter anderem die Messung der vertragsgerechten Leistungserbringung, Informationen bezüglich der Steuerung und Überwachung von ausgelagerten Aktivitäten und Prozessen sowie Möglichkeiten zur Risikominderung, sofern notwendig.

Fazit

Die Konkretisierung der aufsichtlichen Praxis, die Schärfung von Begrifflichkeiten sowie die Grenzen der Auslagerbarkeit werden durch die neuen MaRisk verdeutlicht. Aufgrund der gestiegenen Anforderungen der MaRisk, insbesondere an das Auslagerungsmanagement, wird der mit Auslagerungen einhergehende Aufwand bei den Instituten deutlich steigen, wenngleich das Proportionalitätsprinzip zur Anwendung kommt und stellenweise Erleichterungen innerhalb von Institutsgruppen und für kleine Institute möglich sind. Die Behandlung von im Risikomanagement verwendeter Drittsoftware als Auslagerungstatbestand wird zudem viele Banken vor die Herausforderung stellen, die Voraussetzungen für die Verwendbarkeit der Software zu schaffen. Damit verbunden ist auch eine Überprüfung bisheriger Einordnungen von IT-Dienstleistungen und Software bezüglich des Auslagerungstatbestands. Durch die neuen Regelungen der BAIT sind zudem alle externen IT-Dienstleistungen, unabhängig von ihrer Klassifikation gemäß MaRisk Modul AT 9 und unabhängig von ihrer Art der Bereitstellung, hinsichtlich ihres Risikos zu bewerten und in das Risikomanagement einzubeziehen. MaRisk, BAIT und KWG sind diesbezüglich also in Kombination zu betrachten. Das Thema Auslagerung bleibt damit, insbesondere in Kombination mit dem Thema IT, Schwerpunkt der aufsichtlichen Praxis und regulatorisches Fokusthema bei den Instituten.

 

[1] Vgl. Rundschreiben 09/2017 (BA) – Mindestanforderungen an das Risikomanagement – MaRisk.

[2] Raimund Röseler (2017): Rundschreiben 10/2017 (BA) – BAIT: Anschreiben an die Verbände.

Autoren

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Mit BankingHub immer auf dem Laufenden!

Einfach E-Mail-Adresse eingeben, und Sie erhalten alle 2 Wochen die neuesten Analysen und Berichte unserer Banking-Experten – direkt in Ihr Postfach.