MaRisk-Novelle schafft Klarheit
Mit der Vorlage der MaRisk-Novelle am 27. Oktober 2017 hat die BaFin die schriftlich fixierten Regeln an die gelebte Prüfungspraxis angeglichen und letzte Zweifel beseitigt: Auslagerungen und das effektive Management ihrer Risiken stehen im Fokus der Aufsichtsbehörden. Gleichwohl bieten sich auch Ansätze für einen effizienten Umgang mit den Regelungen.
Ein Blick auf den Änderungsmodus der MaRisk-Novelle gegenüber der Version aus 2012 macht deutlich: Gerade im AT (Allgemeinen Teil) 9 hat die Aufsichtsbehörde zum Themenkomplex „Auslagerung“ etliche Änderungen vollzogen und auch gänzlich neue Absätze ergänzt. Damit hat die BaFin die schriftlich fixierten Regelungsinhalte an die gelebte Prüfungspraxis angeglichen – denn im Fokus der Aufsichtsbehörden standen Auslagerungen schon seit geraumer Zeit. Zugleich hat die BaFin etliche Sachverhalte nun auch formal geschärft und insbesondere die Auslagerbarkeit bestimmter Funktionen innerhalb der Institute präzisiert. Grundsätzliche Leitlinie war und ist dabei stets, im Sinne des §25b Kreditwesengesetz (KWG) den ordnungsgemäßen Geschäftsbetrieb des Instituts auch im Falle einer Auslagerung zu gewährleisten. Neben allen formalen und inhaltlichen Ergänzungen haben aber auch Vereinfachungen im Umgang mit Auslagerungen Einzug in die Novelle erhalten.
Sonstiger Fremdbezug schränkt Auslagerungstatbestand ein
Vereinfacht dargestellt handelt es sich immer dann um eine Auslagerung, wenn ein Institut eine Tätigkeit fremdvergibt, die es ansonsten zur Wahrnehmung seiner Funktion als Finanzdienstleister in Eigenregie wahrnehmen müsste. Glücklicherweise definiert die MaRisk auch noch den Begriff des „sonstigen Fremdbezugs“ und schränkt hierdurch den Tatbestand der Auslagerung deutlich ein. Konkret sind somit einmalige oder gelegentliche Leistungsbezüge, bestimmte Zentralbankfunktionen und insbesondere der Bezug von Software von den besonderen Anforderungen ausgenommen.
IT-Dienstleistungen stehen im Fokus der Aufsicht
Eine Ausnahme von der letzten Ausnahme stellt Software dar, die eine für die Durchführung von Bankgeschäften wesentliche Rolle spielt oder für das Management von Risiken eingesetzt wird. Eine Fremdvergabe in diesem Bereich ist nach der MaRisk stets als Auslagerung einzustufen. Ohnehin weckt die IT aktuell vor dem Hintergrund ihrer besonderen Bedeutung für das Bankwesen die besondere Aufmerksamkeit der Aufsicht. So wurden im November 2017 die die MaRisk konkretisierenden Bankaufsichtlichen Anforderungen an die IT (BAIT) veröffentlicht. Unter Ziffer 8. Tz. 52ff finden sich hier weitere Regelungen zum Thema Auslagerung. So ist nun auch für jeden sonstigen Fremdbezug von IT-Dienstleistungen vorab eine Risikoanalyse durchzuführen und eine Dienstleistersteuerung zu etablieren.
Kleinere Institute profitieren von Erleichterungen
Prinzipiell können alle Tätigkeiten eines Instituts ausgelagert werden, solange dadurch die Ordnungsmäßigkeit der Geschäftsorganisation gewahrt bleibt. Gleichwohl setzt die MaRisk hier klare Grenzen: Leitungsaufgaben der Geschäftsführung sind grundsätzlich nicht auslagerbar. Bei Kernfunktionen eines Instituts sowie den Funktionen der zweiten und dritten Verteidigungslinie, also Risikomanagement und Interne Revision, im sogenannten Three-Lines-of-Defence-Modell gelten größenabhängig sehr strenge Regeln. Immerhin wird kleineren (beziehungsweise nicht wesentlichen) Tochter-Instituten, die innerhalb einer Gruppe auf Dienstleistungen einer Mutter zurückgreifen, die vollständige Auslagerung dieser Kontrollfunktionen unter bestimmten Bedingungen gestattet. Selbstredend muss auch in solchen Fällen jeweils die Ordnungsmäßigkeit des Geschäftsbetriebs, etwabei unerwartetem Ausfall des Dienstleisters, sichergestellt sein.
Wesentlichkeit ist ausschlaggebend für erforderlichen Regelungsumfang – innerhalb einer Gruppe sind Vereinfachungen möglich
Ein zentraler Begriff der MaRisk ist die Wesentlichkeit einer Auslagerung, die entscheidend für den internen Regelungsbedarf ist. Basis für die Entscheidung über die Wesentlichkeit ist eine Risikoanalyse, die regelmäßig und anlassbezogen für alle Auslagerungstatbestände zu erstellen ist. Gesteuert durch ein zentrales Auslagerungsmanagement sind maßgebliche Organisationseinheiten, also betroffene Fachbereiche, Risk-Management, Recht, Compliance und die Interne Revision, eng in die Erstellung der Risikoanalyse einzubinden. Dabei wird der Auslagerungssachverhalt nicht selten anhand von 20 oder mehr institutsweit in einem Risikokatalog definierten Einzelrisiken bewertet. Besonderes Augenmerk ist spätestens seit der MaRisk-Novelle auch auf Risiken durch Weiterverlagerung zu legen – diese hebt die BaFin nun als besonders relevant hervor. Speziell größere und als Gruppe aufgestellte Institute dürften erfreut zur Kenntnis nehmen, dass ein gruppenweit einheitliches und umfassendes Risikomanagement sowie entsprechende gruppeninterne Durchgriffsrechte risikomindernd berücksichtigt werden können.
Präzise vertragliche Regelung ist Basis eines effizienten Auslagerungsmanagements
Grundlage jeder Auslagerung ist eine weitreichende vertragliche Vereinbarung (der „Auslagerungsvertrag“). Dabei gilt: je risikobehafteter (und damit wesentlicher) eine Auslagerung für ein Institut ist, desto umfassender sind die darin zu klärenden Regelungsbedarfe. Hierbei liefert die MaRisk eine erstaunlich konkrete und durchaus hilfreiche Auflistung an Themen, die in solchen Fällen zu regeln sind. Erwähnenswert sind dabei insbesondere
-
der akzeptierte Grad einer Schlechtleistung (objektivierbar über Key Performance Indicators (KPIs)),
-
die Regelung weitreichender Informations-, Prüfungs-, Zutritts- und Kontrollrechte für das auslagernde Unternehmen und die Aufsichtsbehörden (z. B. den Zutritt zu Rechenzentren)
- sowie die Festlegung der Modalitäten einer Weiterverlagerung unter Einhaltung bankaufsichtsrechtlicher Verpflichtungen.
Insgesamt wird deutlich, dass die Aufsichtsbehörden vom auslagernden Unternehmen erwarten, den Auslagerungssachverhalt möglichst genau vertraglich zu fixieren und dabei auch „Ausnahmefälle“ wie etwa den Ausfall eines Dienstleisters oder die Beendigung des Dienstleistungsverhältnisses im Blick zu haben.
Die im Oktober 2017 veröffentlichte Novelle der MaRisk verleiht dem Thema Auslagerungen noch mehr Gewicht – höchste Zeit für Institute, sich mit dem Thema auseinanderzusetzen.
Institute erlangen höhere Rechtsverbindlichkeit
Mit der Novelle der MaRisk ist es der BaFin gelungen, bisher noch vorhandene Interpretationslücken zu schließen und dem Thema Auslagerungen das bisher in der Praxis schon wahrgenommene Gewicht zu verleihen. Für die Institute ergibt sich hieraus ein höheres Maß an Zuverlässigkeit und Rechtsverbindlichkeit. Auf Basis fundierter Informationen sollten Banken die Regelungen der MaRisk nutzen, um mit einer sinnvollen Ausgestaltung des Auslagerungsmanagements zwei Fliegen mit einer Klappe zu schlagen: Aufsichtsrechtliche Regelungen erfüllen und Risiken aus der Auslagerung effizient managen. Mit welcher Aufstellung dies gelingt und welche Fallstricke hierbei zu vermeiden sind, folgt in weiteren Teilen dieser Serie.