Stärkere Regulierung: Novellierung MaRisk AT9 erschwert Auslagerungen bei Finanzinstituten

Banken lagern Aufgaben oder Or­ga­ni­sa­tions­ein­heiten aus – das ist nicht ungewöhnlich. Mit der Novellierung der MaRisk AT 9 erhöht die BaFin aber nun die regulatorischen Vorgaben für das Aus­lager­ungs­ma­na­ge­ment von Banken. Die BaFin will mit der Novellierung die effektive Steuerung und Überwachung von Auslagerungsrisiken sicherstellen.

Mehr Kontrolle bei Auslagerungen: Um das zu erreichen, wurde beispielsweise klarer als zuvor definiert, was überhaupt als Auslagerung zu betrachten ist. Auch fremdbezogene Software – etwa für die Überwachung von Risiken oder auch für die Durchführung von Bankgeschäften – gilt nun als Auslagerung und nicht als sonstiger Fremdbezug.

Banken sind damit gezwungen, eingekaufte Software inklusive deren Weiterentwicklung und Pflege in ihren Regelprozess zur Steuerung der Risiken einzubinden. Man trägt damit dem verstärkten Risikobewusstsein, das die Ereignisse der letzten Jahre geschaffen haben, Rechnung.“

Thomas Deibert, TME Institut

Voraussichtlich wird deren finale Fassung noch im Frühjahr 2017 veröffentlicht. Die drei TME-Mitarbeiter – Deibert, Heinzelbecker und Franz – haben ein aktuelles Whitepaper zum Thema MaRisk AT 9 verfasst. Überraschung: Der Mehraufwand für die Geldinstitute wird steigen. Mal wieder.

Diese Konsequenz haben laut TME Institut auch weitere Vorschriften der Novellierung:
Risikokonzentrationen aus Auslagerungen und Risiken aus Weiterverlagerungen müssen in Zukunft im Rahmen der Risikoanalysen berücksichtigt werden – und diese sind sowohl regelmäßig als auch anlassbezogen zu erstellen. Für die Auslagerbarkeit von Kontroll- oder Kernbankbereichen stellt die MaRisk AT 9 Bedingungen auf. Aktivitäten und Prozesse etwa in den Bereichen Compliance oder Risiko-Controlling dürfen nur an Dritte vergeben werden, wenn die Bank sie jederzeit wieder selbst übernehmen könnte. Ergo: Das Institut muss Know-How für die abgegebenen Aufgaben vorhalten. Hinzu kommen Konkretisierungen für einzelne Bereiche: Die Risiko-Controlling-Funktion darf nicht mehr vollständig ausgelagert werden, die Compliance-Funktion und die Interne Revision nur in kleineren Instituten.

Erhöhte Anforderungen an Ausstiegsstrategien

Für den Fall der erwarteten oder beabsichtigten ebenso wie für eine unerwartete oder unbeabsichtigte Beendigung müssen Maßnahmen im Rahmen des Business Continuity Managements festgelegt werden. Dies war bereits vor der Novellierung so, doch nun sind explizite Ausstiegsprozesse zu dokumentieren, zu verabschieden und auf ihre Wirksamkeit zu überprüfen. Zu den Aufgaben eines zentralen Auslagerungsmanagements, das künftig Pflicht wird, zählt u. a. die Überwachung des korrekten Umgangs mit den Ausstiegsprozessen. Und wenn der Auftragnehmer, der eine Tätigkeit für das Geldinstitut übernommen hat, diese weiterverlagern möchte?

Auch das ist reguliert. Das Geldinstitut muss im Vorhinein konkrete Voraussetzungen festlegen, unter denen sein Auftragnehmer bestimmte Arbeiten weitergeben darf. Oder aber er hat das Recht, seine Zustimmung zu verweigern.“

Thomas Deibert, TME Institut

Darüber hinaus hat die BaFin stets uneingeschränkte Informations- und Prüfungsrechte.

Als besonders wesentliche Neuerung erachtet Deibert die Vorschrift, das bereits erwähnte zentrale Auslagerungsmanagement (ZAM) zu etablieren. Hier gehe es vor allem um den Kontroll- und Überwachungsprozess sowie die Dokumentation von Auslagerungen inklusive Weiterverlagerungen. Das ZAM soll zudem die Einhaltung institutsinterner Anforderungen und gesetzlicher Vorgaben garantieren. Mindestens einmal jährlich erstellen die für das ZAM Verantwortlichen einen Bericht, in dem sie unter anderem Qualität und Steuerungsmöglichkeiten der ausgelagerten Aktivitäten analysieren. Dies dient der Information der Führungsebene – bis hin zum Vorstand – über die Risikosituation des Unternehmens.

Compliance durch Vier-Phasen-Modell gewährleisten

Die neue MaRisk AT 9 sei ei­ne große Herausforde­rung für Geld­in­sti­tu­te, so Hein­zelbecker. Zu de­ren Bewältigung sei es zum ei­nen nötig, frühzeitig zu un­tersu­chen, wo ge­nau Handlungs­bedarf be­steht. Zudem hat die TME AG ein Vier-Phasen-Modell ent­wickelt, das sich durch ei­nen ganzheitli­chen An­satz aus­zeichnet und den ge­sam­ten Zyklus ei­ner Aus­la­gerung abdeckt. In Phase 1 wird im Rah­men ei­nes Quick-Checks der aus­la­gern­den Fachberei­che der Aus­la­gerung­s­tatbe­stand un­tersucht. Hierfür wird auch das komplette Ver­trags­werk über­prüft und aktualisiert.

Anschließend geht es in Phase 2 um die Risikoanalyse und Szenarien zur unterbrechungsfreien Sicherstellung der ausgelagerten Dienstleistungen. Im Zentrum von Phase 3 stehen die Implementierung und Unterstützung des ZAM sowie die Steuerung des Dienstleisters und die Sicherstellung der Kontinuität der Leistungserbringung. Phase 4 schließlich befasst sich mit der Beendigung von Auslagerungen und mündet in die Verabschiedung von Ausstiegsprozessen.

Nach unseren Erfahrungen ist ein solch strukturiertes Vorgehen nötig, um Effektivität und Compliance im wichtigen Feld des Auslagerungsmanagements zu gewährleisten. Und das gilt durch die Novellierung der MaRisk AT 9 noch mehr als zuvor.“

Sebastian Heinzelbecker, TME Institut

Das TME Institut hat ein Whitepaper zum Thema MaRisk AT 9 verfasst. Es steht hier kostenlos und ohne Adressangabe zum Download bereit.aj