Auslagerungsmanagement im Zeichen der MaRisk-Novelle
Die Umsetzung der Anforderungen der EBA Guidelines on outsourcing arrangements (EBA-Guideline) in der MaRisk-Novelle vom 16. August 2021 bringt neben einigen Klarstellungen auch eine Vielzahl an Neuerungen, die dabei den gesamten Auslagerungslebenszyklus umfassen.
Änderungen mit klarstellendem Charakter sind unmittelbar mit Veröffentlichung der MaRisk-Novelle von den Instituten einzuhalten; für neue Anforderungen gilt in der Regel eine Umsetzungsfrist bis zum 1. Januar 2022. Davon abweichend wurde für die Anpassung von bereits bestehenden oder in Verhandlung befindlichen Auslagerungsverträgen eine gesonderte Umsetzungsfrist bis zum 31. Dezember 2022 eingeräumt. Die BaFin hat in einer Anlage zur MaRisk eine Einordnung der Änderungen in „Klarstellungen“ bzw. „Neuerungen“ vorgenommen.
Die Klarstellungen und Neuerungen können im betroffenen Institut mitunter tiefgreifende Anpassungen erfordern. Insbesondere die notwendigen Vertragsanpassungen sowie die Bereit- und Zusammenstellung der für das Auslagerungsregister definierten Mindestdaten benötigen einen ausreichenden Zeitvorlauf. Aber auch die Ergänzung der aktuellen Analysemethodik(en) um neue relevante Aspekte, die Überprüfung des bisherigen Auslagerungsprozesses sowie die ggf. notwendige Anpassung der Organisationsstruktur, die Neudefinition von Verantwortlichkeiten und die Implementierung neuer oder erweiterter Berichtslinien benötigen zumeist ausreichende Vorlaufzeit. Vor diesem Hintergrund ist es essentiell, dass die Institute eine zügige und detaillierte Analyse der Gaps zwischen der aktuellen Ist- und der durch die MaRisk-Novelle bedingten Soll-Situation zur Ableitung von Handlungserfordernissen vornehmen.
Die wesentlichen Klarstellungen und Neuerungen sind im Folgenden übersichtsweise dargestellt.
In der praktischen Umsetzung der bisher geltenden Regelungen der MaRisk weisen insbesondere die folgenden Themenkomplexe häufig Verbesserungspotenziale auf und sollten im Zuge der Implementierung der aktualisierten MaRisk von den Instituten kritisch überprüft werden:
Thema | Ausgewählte Aspekte |
Auslagerungsstrategie | Jedes Institut, das umfangreiche Auslagerungen vornimmt, sollte über eine aktuelle Auslagerungsstrategie verfügen, die integraler Bestandteil der Geschäftsstrategie ist (vgl. Erläuterungen zu AT 4.2 MaRisk) |
Auslagerungsrahmenwerk | Die schriftlich fixierte Ordnung muss eine vollständige Abbildung der Prozesse zur Betrachtung des gesamten Lebenszyklus einer Auslagerung gewährleisten. Neben den vom Institut festzulegenden Schritten bei Neuauslagerungen sollten insbesondere auch die Verantwortlichkeiten für die operative Überwachung der ausgelagerten Leistung festgelegt sein. Daneben muss es standardisierte Prozesse für die Risiko- und Wesentlichkeitsanalyse sowie Dienstleistungsbewertung geben. |
Identifizierung von Auslagerungsverhältnissen | Oftmals werden Auslagerungen nicht als solche identifiziert, da eine zu enge Auslegung der „Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen, die ansonsten vom Institut selbst erbracht würden“ (vgl. AT 9 Tz. 1 MaRisk), erfolgt. Um diesem Risiko zu begegnen, sollten Institute zum einen die bereits bestehenden Vertragsverhältnisse mit externen Dienstleistern kritisch überprüfen und zum anderen über einen Kriterienkatalog verfügen, der eine Abgrenzung zwischen sonstigem Fremdbezug und Auslagerung ermöglicht. |
Vertragsgestaltung | Im Rahmen der anstehenden Anpassung von Altverträgen sowie bei neuen Auslagerungsverträgen sollte überprüft werden, ob sämtliche Mindestinhalte vorhanden und granular genug dargestellt sind (z.B. ausreichend dargestellte Rechte und Pflichten, die eine angemessene Auslagerungsüberwachung ermöglichen). |
Risiko- und Wesentlichkeitsanalyse | Bei der Durchführung der Risiko- und Wesentlichkeitsanalyse ist insbesondere sicherzustellen, dass alle maßgeblichen Stellen (z.B. Informationssicherheitsbeauftragter, Datenschutzbeauftragter, Interne Revision) eingebunden werden und Schlussfolgerungen für Dritte nachvollziehbar dokumentiert werden. |
Auslagerungscontrolling | Im Zusammenhang mit wesentlichen Auslagerungen ist die fortlaufende Überwachung sowie regelmäßige Beurteilung der durch das Auslagerungsunternehmen erbrachten Leistungen anhand geeigneter und objektivierter Kriterien zu gewährleisten. |
Konzerninterne Auslagerungen | Für konzerninterne Auslagerungsverhältnisse gelten grundsätzlich dieselben Anforderungen wie für Auslagerungen an einen fremden Dritten. Erleichterungen gibt es gemäß AT 9 Tz. 15 MaRisk ausschließlich für Gruppen gemäß AT 4.5 MaRisk und Finanzverbünde. In der Praxis ist daher vor allem auf eine MaRisk-konforme Vertragsgestaltung und ein angemessenes Auslagerungscontrolling zu achten. |
Gerne unterstützen wir Sie bei der Identifizierung von Verbesserungspotenzialen sowie der Implementierung geeigneter Maßnahmen zur Umsetzung der aufsichtsrechtlichen Anforderungen.
Kontakt