Anzeige
ARCHIV14. März 2016

Regulierung: MaRisk erzwingt zentrales Auslagerungsmanagement

Sven Müller, Procedera ConsultProcedera Consult
Sven Müller, Procedera Consult Procedera Consult

Die BaFin verschärft die Regeln für das Auslagerungswesen deutscher Banken. Kreditinstitute müssen künftig ausgelagerte Aktivitäten und Prozesse stärker überwachen. Dies geht einher mit einem einheitlichen Risikobewusstsein, das die Aufsicht von Finanzunternehmen auch für diese Tätigkeiten erwartet. Viele Banken müssen deshalb umdenken. Zu diesem Ergebnis kommt eine Analyse von Procedera Consult zum jüngst veröffentlichten MaRisk-Konsultationspapier.

von Sven Müller, Procedera Consult

Eine verbesserte Risikokultur in Finanzunternehmen zu schaffen, ist eines der erklärten Ziele für die aktuelle Regulierungswelle im Bereich Risikomanagement. Tatsächlich übernimmt der Gesetzgeber dabei zahlreiche Vorgaben aus internationalen Vereinbarungen, die das deutsche Aufsichtsrecht seit der letzten MaRisk-Novelle 2012 noch nicht explizit abdeckt. Beispielsweise schreibt die Europäische Union den Instituten vor, Grundsätze und Standards einzuführen, die eine wirksame Kontrolle von Risiken durch Leitungsorgane gewährleisten (vgl. Bankenrichtlinie 2013/36/EU, CRD IV). Zudem bezieht sich die BaFin auf das Baseler Papier BCBS 239, das die Risikoberichterstattung und die Risikodatenaggregation behandelt. Damit rücken auch IT-technische Aspekte und mögliche Auslagerungen schlagartig in den Fokus der Aufsicht.

Banken müssen Dienstleister durchleuchten

Die BaFin geht grundsätzlich davon aus, dass bankinterne Mechanismen beispielsweise im Risikocontrolling sowie bei Compliance-Aufgaben und Interner Revision auch bei Auslagerungen und Unterauslagerungen greifen. Die von der Bankenaufsicht erwünschte Risikokultur erstreckt sich damit unmittelbar auf die Dienstleistersteuerung. Institute müssen vor diesem Hintergrund die mit wesentlichen Auslagerungen verbundenen Risiken angemessen steuern und die Ausführung der ausgelagerten Aktivitäten ordnungsgemäß überwachen. Die Ergebnisse sind über einen expliziten Auslagerungsbericht in das eigene Berichtswesen aufzunehmen. Dieser muss zudem eine Aussage darüber treffen, ob die erbrachten Dienstleistungen der Auslagerungsunternehmen den vereinbarten Leistungen entsprechen. Die mit der Durchführung ausgelagerter Aktivitäten einhergehende Verantwortung lässt sich, vereinfacht gesagt, also nicht einfach mit auslagern. Das stellt die Aufsicht unmissverständlich klar: Sie bewertet die Frage des Auslagerungstatbestands unabhängig von möglichen zivilrechtlichen Verträgen.

Sven Müller
Foto-Sven-Mueller-800-2Sven Müller ist Experte für aufsichtsrechtliche Vorschriften bei der Unternehmensberatung Procedera Consult. Seine Beratungsschwerpunkte liegen auf den Themenfeldern Gesamtbanksteuerung, Risikomanagement, IKS und Interne Revision. Müller ist spezialisiert auf die Einhaltung der MaRisk und Basel II/III-Anforderungen unter Berücksichtigung etwaiger Öffnungsklauseln.
Grundsätzlich muss sich jedes Institut die Frage stellen, ob ein anderes Unternehmen mit der Wahrnehmung von Aktivitäten und Prozessen im Zusammenhang mit Bankgeschäften, Finanzdienstleistungen oder institutstypischen Dienstleistungen betraut ist, die anderenfalls vom Haus selbst erbracht würden. Dazu zählen beispielsweise die Lieferung und Wartung einer Software zur Gesamtbanksteuerung oder IT-Anwendungen eines Dienstleisters, die etwa für Wertermittlungen im Kreditbereich eingesetzt werden. Fremdleistungsverträge dieser Art stellen eine Auslagerung nach AT 9 MaRisk dar, die entsprechend in die Kontrollsysteme zu integrieren und laufend zu überwachen sind. Beim Datenaustausch müssen die Beteiligten zudem auf Regelungen zum Schutz der Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der übermittelten Informationen achten, da sich die Kontrollpflicht des Instituts darauf ebenfalls bezieht.

Szenario für Rückverlagerungen durchspielen

In der Praxis ergibt sich in vielen Banken jedoch ein kompliziertes Geflecht aus Auslagerungen, die eine zentrale Instanz notwendig machen, um den Überblick über die Steuerung von Auslagerungen zu behalten. Denn häufig haben es die Institute nicht mit einfachen 1:1-Beziehungen zu nur einem Dienstleister zu tun, sondern mit 1:n-Beziehungen, falls beauftragte Dienstleister ihrerseits Auslagerungen vornehmen. Vor allem bei kleineren Instituten ist es beispielsweise verbreitet, den Zahlungsverkehr an einen gemeinsamen Dienstleister auszulagern. Angesichts des beschränkten Geschäftsauftrags lagert dieser dann häufig die Interne Revision zumindest teilweise aus. Das entlastet jedoch die erstauslagernden Institute nicht von der Verantwortung, für einen ordnungsgemäßen Informationsfluss zu sorgen. Dies ist in den Bedingungen für Weiterauslagerungen festzuhalten und durch das erstauslagernde Institut nachzuhalten.

Bei der Ausformulierung von Auslagerungsverträgen gelten somit strenge Anforderungen. Die Aufsicht fordert einen Prozess, um die Erbringung der Leistungen der Dienstleister und die Möglichkeit der Steuerung und Überwachung der ausgelagerten Prozesse zu beurteilen. Im Falle von Unterauslagerungen ergibt sich daraus eine zu überwachende Kaskade von miteinander verflochtenen Auslagerungen. Die Aufsicht tritt gegenüber auslagernden Instituten jedoch mit dem Anspruch größtmöglicher Transparenz auf. Aus den Augen, aus dem Sinn – das gehört endgültig der Vergangenheit an. Die Bank muss vielmehr fundierte Kenntnisse und Erfahrungen vorhalten, um eine effektive Steuerung ausgelagerter Bereiche zu ermöglichen. Zudem muss das Institut einen Plan B vorhalten, um Rückverlagerungen ohne Störung des Betriebsablaufs zu gewährleisten. Gewissen Spielraum gibt es dagegen nur bei gruppen- und verbundinternen Auslagerungen.

Lohnen sich Auslagerungen noch?

Angesichts der bevorstehenden Herausforderungen ist klar, dass die Geldhäuser in das zentrale Auslagerungsmanagement investieren müssen beziehungsweise damit beginnen, entsprechende Verantwortlichkeiten zu benennen. Allein während der anstehenden MaRisk-Umsetzungsphase dürften vielen Banken große Aufwände enstehen, bestehende Auslagerungsverträge zu überprüfen und gegebenenfalls Service-Level-Vereinbarungen (SLA) nachträglich neu zu verhandeln. Das ist nötig, da die Aufsicht bestehende Zeitvorgaben für Risikoberichte weiter schärft. Berichte für wesentliche Risiken müssen künftig einheitlich alle drei Monate vorgelegt werden, wobei dem Aspekt der zeitnahen Erstellung nunmehr ein besonderes Augenmerk gilt. Doch darauf sind die Dienstleiter heute noch gar nicht eingestellt, geschweige denn, dass die damit verbundenen Mehraufwände bereits eingepreist wären. Insofern ergibt sich der Handlungsbedarf nicht nur auf Seiten der Banken. Einige der bestehenden Dienstleisterbeziehungen stehen sicherlich vor dem Aus, da die zu erwartenden Mehrkosten beim Auslagerungspartner die kalkulierten Kosteneinsparungen auffressen. Als Faustformel gilt: Erst ab etwa 30 Prozent Ersparnis zahlen sich Auslagerungen langfristig wirklich aus. Diese Grenze droht durch die aufsichtsrechtlichen Anforderungen immer häufiger ins Wanken zu geraten.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert