19.01.2017

Novellierung der Mindestanforderungen an das Risikomanagement (MaRisk) AT 9 – direkte Auswirkungen auf das Auslagerungsmanagement

TME Whitepaper MaRisk AT9

Mit der Novellierung der MaRisk konkretisiert die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die Anforderungen an das Risikomanagement und erhöht damit auch die regulatorischen Anforderungen an das Auslagerungsmanagement von Finanzinstituten. Die Novellierung trägt ­damit dem neuen Risikofokus der Aufsicht der vergangenen Jahre Rechnung. Dieser adressiert neben den Anforderungen an das Steuern von Auslagerungen auch die Risikodatenaggregation, die Risikoberichterstattung oder die Risikokultur.

Mit der fünften Novellierung hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) am 19. Februar 2016 die erste Aktualisierung der prinzipienbasierten Mindestanforderungen an das Risikomanagement (MaRisk) seit 2012,­ zunächst noch als Konsultationsentwurf, ver­öffentlicht. Das Grundlagenpapier der qualitativen Bankenaufsicht erfährt damit eine bereits überfällige Aktualisierung, die den veränderten Risikofokus der Aufsicht widerspiegelt. Dieser fußt überwiegend auf Erfahrungen aus der Aufsichtspraxis aus den vergangenen Jahren, in ­denen die Aufsicht in zahlreichen Sonderprüfungen mit einer Reihe von Zweifelsfragen konfrontiert wurde. Diese finden nun ihre Berücksichtigung in der Novelle. Aktuell befindet sich das Papier nach den Stellungnahmen aus der ­Finanzwirtschaft in der Überarbeitung. Mit der Veröffentlichung der finalen Fassung wird im Frühjahr 2017 gerechnet.

Neben umfangreichen Änderungen mit denen die BaFin den Anforderungen des Baseler Papiers zu Grundsätzen der Aggregation von Risikodaten und Risikoberichterstattung (BCBS 239) Rechnung trägt, wurden die Anforderungen an das Management von Auslagerungsrisiken ebenfalls maßgeblich spezifiziert.

Sonderprüfung nach § 44 Abs. 1 KWG
Sonderprüfungen nach § 44 Abs. 1 KWG können von der BaFin anlassbezogen beauftragt werden und werden meist von der Bundesbank durchgeführt. Themenschwerpunkte dieser Prüfungen sind häufig die Ordnungsmäßigkeit der Geschäftsorganisation nach § 25 KWG, die Einhaltung der ­MaRisk oder Kreditsonderprüfungen.

Im Abschnitt „Auslagerungen“ wurden verschiedene Passagen wie z. B. die Definition von Auslagerungssachverhalten (AT 9 Tz. 1), Anforderungen an das Auslagern von Kernbankbereichen ­

(AT 9 Tz. 5), Anforderungen an Ausstiegsstrategien (AT 9 Tz. 6) erweitert und konkretisiert. Darüber hinaus hat die BaFin auch mit vier neuen Textziffern die Mindestanforderungen ergänzt und damit den Anspruch an das angemessene Steuern der Risiken durch Auslagerungen ­erhöht. Die BaFin legt neue Vorgaben zur Auslagerung von Kernbankbereichen, interner Revision, Compliance, Risikocontrolling sowie der organisatorischen Verankerung eines zentralen Auslagerungs­managements fest. Dabei beruft sich die BaFin auf die Erfahrungen aus ­

§ 44 Abs. 1 KWG Sonderprüfungen, die sie bei Finanzinstituten in den vergangenen Jahren zum Thema Auslagerungen vermehrt durchgeführt hat.

Zielsetzung der Novellierung der Vorgaben für das Management von Auslagerungen ist die ­Sicherstellung einer effektiven Steuerung und Überwachung von Auslagerungssachverhalten.

Konkretisierung der Auslagerungsdefinition AT 9 Tz. 1

Auslagerungssachverhalte sind zukünftig unabhängig von der zivilrechtlichen Konstruktion zu betrachten. Damit werden Auslagerungen klarer als in der Vergangenheit definiert und abgegrenzt.

Eine weitere Neuerung betrifft die sogenannte fremdbezogene Software. Mit der Novellierung soll fremdbezogene Software nicht mehr als sonstiger Fremdbezug, sondern als Auslagerung bezeichnet werden. Dazu zählt eine Software, die an die individuellen Bedürfnisse eines Instituts angepasst wurde und der Identifizierung, Beurteilung, Steuerung, Überwachung oder der Kommunikation von Risiken dient oder eine wesentliche Rolle für die Durchführung der Bankgeschäfte (wie z. B. bei Kernbanksystemen) spielt. Gleichermaßen betroffen sind damit verbundene Unterstützungsleistungen durch Dritte, wie der Betrieb, die Anwendungspflege oder die Weiterentwicklung.

Was bedeutet dies in der Praxis? Die Klassifizierung als Auslagerungssachverhalt erhöht den Aufwand für das Risikomanagement von fremdbezogener Software. Diese sind zukünftig dem Regelprozess zur Steuerung der Risiken zu unterziehen.

Aus Stellungnahmen zu der MaRisk-Novelle durch verschiedene Banken geht hervor, dass die Banken erheblichen Mehraufwand durch die Verschärfung der Definition des Fremdbezugs von Software befürchten. Kritikpunkte richten sich gegen Pauschalisierung des Auslagerungstat­bestands bei Softwarebezug sowie die damit verbundenen Unterstützungsleistungen.

Standardisierung der Risikoanalyse AT 9 Tz. 2

Gemäß den neuen Anforderungen der Novelle sind Risikokonzentrationen aus Auslagerungen sowie Risiken aus Weiterverlagerungen im Rahmen der Risikoanalysen zu berücksichtigen. Darüber hinaus sollen die Risikoanalysen, die auf einheitlichen Regelungen beruhen, sowohl regelmäßig als auch anlassbezogen erstellt werden.

Auslagerbarkeit von Kontroll- und Kernbank­bereichen AT 9 Tz. 4, 5

Die Voll- oder Teilauslagerung von Kontroll- oder Kernbankbereichen erfahren durch die Novellierung eine Konkretisierung durch die Textziffern 4 und 5. Künftig sollen Voll- und ­Teilauslagerungen von Aktivitäten und Prozessen in Kernbank- und Kontrollbereichen wie Compliance, Risiko­controlling oder interner Revision, an ­Bedingungen geknüpft sein. Voraussetzung wird sein, dass das auslagernde Institut stets über genügend „fundierte“ Kenntnisse verfügt, um im Falle einer Beendigung der Auslagerung den ordnungsmäßigen Betrieb fortführen zu können. Eine vollständige Auslagerung der Risiko­controlling-Funktion wird künftig nicht mehr zulässig sein.

Eine Vollauslagerung der Compliance-Funktion oder der internen Revision ist zukünftig nur noch für kleinere Institute zulässig. Kleine Institute sind in diesem Zusammenhang gemäß der Novelle jene, die eine Bilanzsumme von unter 30 Mrd. €­

ausweisen. Entscheidend hierfür sind Ausstattung an Personalressourcen sowie Art, Umfang und Komplexität des Risikogehalts der Geschäftstätigkeit. Teilauslagerungen aller genannten ­Bereiche werden weiterhin möglich sein.

Ausstiegsprozesse und Handlungsoptionen AT 9 Tz. 6

Institute haben für wesentliche Auslagerungen im Fall erwarteter oder beabsichtigter Beendigung eines Auslagerungsvertrags weiterhin Maßnahmen für die Kontinuität und Qualität der Geschäftsprozesse bereitzuhalten. Diese werden meist wie bisher im Rahmen des Business ­Continuity Managements (BCM) adressiert.

Ausstiegsstrategie
Eine Ausstiegsstrategie ist eine für das gesamte Institut definierte Vorgabe zur Sicherstellung der angemessenen Weiterführung ausgelagerter Prozesse oder Bereiche im Falle einer unbeabsichtigten bzw. ungeplanten Beendigung.

Das gleiche gilt für den Fall der unerwarteten oder unbeabsichtigten Beendigung, also ­einem sofortigen Aus- oder Wegfall der Dienstleistung. Dieser Sachverhalt war auch bereits vor der ­Novellierung des prinzipienorientierten Rahmenwerks für die meisten Institute herausfordernd, da der schlagartige Wegfall des Dienstleisters zumeist nicht durch BCM Maßnahmen abgedeckt wird.

Eine neue Qualität gewinnt die Tz. 6 daher aus der Anforderung, dass die Maßnahmen zur Aufrechterhaltung des Betriebes der ausgelagerten Aktivitäten nun auch explizit in Ausstiegsstrategien pro Auslagerungssachverhalt zu dokumentieren und zu verabschieden sind. Die mittels angemessener und risikoorientierter Verfahren festzulegenden Handlungsoptionen sind darüber hinaus regelmäßig sowie anlassbezogen auf ihre Funktionalität und Risikoangemessenheit zu überprüfen. Die Aufsicht nimmt die Institute damit explizit in die Pflicht, einem Fall unerwarteter oder ungeplanter Beendigung vorzusorgen und die Vorkehrungen zu dokumentieren.

Die Einhaltung dieser Anforderungen ist durch die jeweils zuständigen steuernden Einheiten, den Service Relationship Ownern (SRO), kontinuierlich nachzuhalten und zu dokumentieren. Eine umfassende, zentrale Überwachung dieses Sachverhaltes wird auch vom neu zu implementierenden zentralen Auslagerungsmanagement zur erfüllen sein (siehe AT 9 Tz. 12, 13).

Weiterverlagerungen AT 9 Tz. 8

Im Rahmen der Novelle konkretisiert die BaFin zusätzlich, dass im Auslagerungsvertrag für den Fall der Weiterverlagerung entweder Zustimmungsvorbehalte des auslagernden Instituts oder konkrete Voraussetzungen für die Weiterverlagerung einzelner Arbeits- und Prozessschritte bestimmt werden müssen. Ferner besteht eine Informationspflicht für die Auslagerungs- und Weiterverlagerungsunternehmen gegenüber dem auslagernden Institut. Die Institute werden daher die bestehenden Auslagerungsverträge auf einen entsprechenden Anpassungsbedarf hin zu überprüfen haben. Zusammen mit den Modalitäten von Weiterverlagerungen ist die Bestimmung eines akzeptablen Grades der Schlechtleistung sowie eines Kündigungsrechtes erforderlich und vertraglich festzuhalten. Mit der Definition der akzeptablen Schlechtleistung werden Überschreitungen vertraglich dokumentiert und damit gegenüber dem Dienstleister sanktionierbar gemacht. Ebenfalls sind uneingeschränkte Informations- und Prüfungsrechte sowie die Kontrollmöglichkeiten der BaFin sicherzustellen.

Zentrales Auslagerungsmanagement (ZAM) AT 9 Tz. 12, 13

Eine wesentliche und grundlegende Neuerung hinsichtlich der einheitlichen und konsistenten Steuerung von Auslagerungen ist die konkrete Formulierung der Anforderung an die Finanzinstitute, ein zentrales Auslagerungsmanagement (ZAM) zu etablieren. Das ZAM hat Kontroll- und Überwachungsprozesse zu implementieren sowie die auslagerungsspezifische Dokumentation inkl. Weiterverlagerungen in einem definierten institutsspezifischen Standard zu formulieren und dessen Einhaltung zu überwachen. Darüber hinaus hat das ZAM die von den zuständigen Fachbereichen durchgeführten Risikoanalysen zur Prüfung der Auslagerungen auf Wesentlichkeit gemäß Tz. 2 zu überprüfen und zu koordinieren.

Zentrales Auslagerungsmanagement (ZAM)
Das zentrale Auslagerungsmanagement ist ein übergreifendes Organ zur Durchführung von Kontroll- und Überwachungsprozessen. Das ZAM hat eine vollständige Dokumen­tation von Aus- und Weiterverlagerungen anzulegen und nachzuhalten. Darüber hinaus hat das ZAM die Einhaltung der instituts­internen und gesetzlichen Anforderungen an Auslagerungen zu überwachen und die durch die zuständigen Bereiche durchgeführten Risikoanalysen zu koordinieren und zu überwachen.

Zu den Aufgaben eines ZAMs werden im Wesentlichen die Implementierung und Weiterentwicklung von Kontroll- und Überwachungsprozessen gehören, die u. a. die Einhaltung der instituts­internen Anforderungen und gesetzlichen Vorgaben für Auslagerungen überwachen soll. Zusätzlich wird die Sicherung der Einheitlichkeit der instituts- oder gruppenweiten Risiko- bzw. ­Wesentlichkeitsanalysen zu den Aufgaben gehören, sowie die Erstellung eines mindestens jährlichen Berichtes mit Analysen zur Vertragstreue, Qualität und Steuerungsmöglichkeiten für die Aus- und Weiterverlagerungen. Damit soll sichergestellt werden, dass ein wahrheitsgemäßes und angemessenes Bild der aktuellen Risikosituation bis in den Vorstand berichtet werden kann.

Praktische Herausforderungen für die Institute – Ansatz der TME

Basierend auf jahrelanger Erfahrung bei der Umsetzung und Betreuung eines effektiven Auslagerungsmanagements mittels integriertem und ganzheitlichen Ansatz, hat die TME zur Unterstützung von Instituten bei der Erfüllung der neuen Anforderungen der MaRisk, ein Vier-­Phasen Vorgehensmodell entwickelt, mit dessen Hilfe ein ganzheitlicher Ansatz zur Steuerung und Überwachung von Auslagerungen ermöglicht wird. Die vier Phasen decken dabei den kompletten Zyklus der Auslagerung von der Bestimmung der Wesentlichkeit, über die Risikoanalyse, Steuerung und das Reporting an das zentrale Auslagerungsmanagement sowie die Beendigung ab. Dabei liegt der Fokus nicht nur auf Einzelauslagerungsebene, also individuelle Auslagerungssteuerungen bzw. -verträge, sondern auch auf übergeordneter Ebene im zentralen Auslagerungsmanagement. Zunächst wird die Ausgangssituation im Auslagerungsmanagement analysiert, daraus werden Handlungsbedarfe abgeleitet. Die TME unterstützt bei der Identifizierung der Handlungsfelder sowie deren Umsetzung.

Fazit:

Durch die Novellierung der MaRisk werden für Institute die Anforderungen an die ange­messene Steuerung von Auslagerungen weiter erhöht. Der Umfang der Änderungen verdeutlicht, dass das Thema auch zukünftig weiter im Fokus der Aufsicht stehen wird. Institute sind daher gut beraten, frühzeitig den Handlungsbedarf zu identifizieren um die notwendigen Anpassungen zeitgerecht umzusetzen.

Autoren: Thomas Deibert, Sebastian Heinzelbecker, Jan Franz

TME Whitepaper MaRisk AT9

Januar 2017 | Thomas Deibert, Sebastian Heinzelbecker, Jan Franz

Mit der Novellierung der MaRisk konkretisiert die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die Anforderungen an das Risikomanagement und erhöht damit auch die regulatorischen Anforderungen an das Auslagerungsmanagement von Finanzinstituten.