Mit der Novellierung der MaRisk (Mindestanforderungen an das Risikomanagement) AT 9 erhöht die BaFin die regulatorischen Vorgaben für das Auslagerungsmanagement von Banken. „Man trägt damit dem verstärkten Risikobewusstsein, das die Ereignisse der vergangenen Jahre geschaffen haben, Rechnung“, sagt Thomas Deibert vom TME Institut. Er empfiehlt frühzeitiges Handeln, um die novellierte MaRisk zeitgerecht zu erfüllen. Voraussichtlich wird deren finale Fassung noch im Frühjahr 2017 veröffentlicht.
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) will mit der Novellierung der MaRisk die effektive Steuerung und Überwachung von Auslagerungsrisiken sicherstellen. Um das zu erreichen, wurde beispielsweise klarer als zuvor definiert, was überhaupt als Auslagerung zu betrachten ist. Auch fremdbezogene Software – etwa für die Überwachung von Risiken oder auch für die Durchführung von Bankgeschäften – gilt nun als Auslagerung und nicht als sonstiger Fremdbezug. „Banken sind damit gezwungen, eingekaufte Software inklusive deren Weiterentwicklung und Pflege in ihren Regelprozess zur Steuerung der Risiken einzubinden“, so Thomas Deibert, der zusammen mit Sebastian Heinzelbecker und Jan Franz von der TME ein Whitepaper zum Thema MaRisk AT 9 verfasst hat. „Der Mehraufwand für die Institute wird steigen.“
Diese Konsequenz haben laut TME Institut auch weitere Vorschriften der Novellierung. Risikokonzentrationen aus Auslagerungen und Risiken aus Weiterverlagerungen müssen in Zukunft im Rahmen der Risikoanalysen berücksichtigt werden – und diese sind sowohl regelmäßig als auch anlassbezogen zu erstellen. Für die Auslagerbarkeit von Kontroll- oder Kernbankbereichen stellt die MaRisk AT 9 Bedingungen auf. Aktivitäten und Prozesse etwa in den Bereichen Compliance oder Risikocontrolling dürfen nur an Dritte vergeben werden, wenn die Bank sie jederzeit wieder selbst übernehmen könnte. Ergo: Das Institut muss Know-How für die abgegebenen Aufgaben vorhalten. Hinzu kommen Konkretisierungen für einzelne Bereiche: Die Risikocontrolling-Funktion darf nicht mehr vollständig ausgelagert werden, die Compliance-Funktion und die Interne Revision nur in kleineren Instituten.
Erhöhte Anforderungen an Ausstiegsstrategien
Für den Fall der erwarteten oder beabsichtigten ebenso wie für eine unerwartete oder unbeabsichtigte Beendigung müssen Maßnahmen im Rahmen des Business Continuity Managements festgelegt werden. Dies war bereits vor der Novellierung so, doch nun sind explizite Ausstiegsprozesse zu dokumentieren, zu verabschieden und auf ihre Wirksamkeit zu überprüfen.
Zu den Aufgaben eines zentralen Auslagerungsmanagements, das künftig Pflicht wird, zählt unter anderem die Überwachung des korrekten Umgangs mit den Ausstiegsprozessen. Und wenn der Auftragnehmer, der eine Tätigkeit für das Institut übernommen hat, diese weiterverlagern möchte? Deibert: „Auch das ist reguliert. Die Bank oder Sparkasse muss im Vorhinein konkrete Voraussetzungen festlegen, unter denen sein Auftragnehmer bestimmte Arbeiten weitergeben darf. Oder aber es hat das Recht, seine Zustimmung zu verweigern.“ Darüber hinaus hat die BaFin stets uneingeschränkte Informations- und Prüfungsrechte.
Als besonders wesentliche Neuerung erachtet Deibert die Vorschrift, das zentrale Auslagerungsmanagement (ZAM) zu etablieren. Hier gehe es vor allem um den Kontroll- und Überwachungsprozess sowie die Dokumentation von Auslagerungen inklusive Weiterverlagerungen. Das ZAM soll zudem die Einhaltung institutsinterner Anforderungen und gesetzlicher Vorgaben garantieren. Mindestens einmal jährlich erstellen die für das ZAM Verantwortlichen einen Bericht, in dem sie unter anderem Qualität und Steuerungsmöglichkeiten der ausgelagerten Aktivitäten analysieren. Dies dient der Information der Führungsebene – bis hin zum Vorstand – über die Risikosituation des Unternehmens.
Compliance durch Vier-Phasen-Modell gewährleisten
Die neue MaRisk AT 9 sei eine große Herausforderung für Geldinstitute, so Heinzelbecker. Zu deren Bewältigung sei es zum einen nötig, frühzeitig zu untersuchen, wo genau Handlungsbedarf besteht. Zudem hat die TME AG ein Vier-Phasen-Modell entwickelt, das sich durch einen ganzheitlichen Ansatz auszeichnet und den gesamten Zyklus einer Auslagerung abdeckt.
– In Phase 1 wird im Rahmen eines Quick-Checks der auslagernden Fachbereiche der Auslagerungstatbestand untersucht. Hierfür wird auch das komplette Vertragswerk überprüft und bei Bedarf aktualisiert.
– In Phase 2 geht es um die Risikoanalyse und Szenarien zur unterbrechungsfreien Sicherstellung der ausgelagerten Dienstleistungen
– In Phase 3 stehen die Implementierung und Unterstützung des ZAM sowie die Steuerung des Dienstleisters und die Sicherstellung der Kontinuität der Leistungserbringung im Mittelpunkt.
– In Phase 4 geht es um die Beendigung von Auslagerungen und um die Verabschiedung von Ausstiegsprozessen.
„Nach unseren Erfahrungen ist ein solch strukturiertes Vorgehen nötig, um Effektivität Compliance im wichtigen Feld des Auslagerungsmanagements zu gewährleisten. Und das gilt durch die Novellierung der MaRisk AT 9 noch mehr als zuvor“, betont Heinzelbecker.