Um erfolgreich am Markt agieren zu können, ist es für Banken und Finanzdienstleister essenziell, ihre Risiken zu kennen und zu beherrschen. Hierbei geht es nicht nur um die Einhaltung quantitativer, vielleicht aus der Vergangenheit abgeleiteter Kennziffern. Es geht vielmehr darum, die Qualität des Risikomanagements so weiterzuentwickeln, dass vorausschauend Risiken erkannt, überwacht und reduziert werden. Den Rahmen hierzu bilden die von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) herausgegebenen MaRisk – die Mindestanforderungen an das Risikomanagement.
Im Rahmen der stetigen Weiterentwicklung ihrer Vorgaben, unter anderem zur Anpassung an Vorgaben der Europäischen Bankenaufsicht (EBA), ist zuletzt durch das Rundschreiben 10/2021 (BA) am 16. August 2021 eine MaRisk Novellierung veröffentlicht worden. Ein Schwerpunkt der MaRisk Novelle 2021 lag dabei auf der Weiterentwicklung der Regelungen zum Auslagerungsmanagement. Dies ist insofern von Bedeutung, da Kreditinstitute aufgrund der Niedrigzinsphase einem erheblichen Kostendruck unterliegen. Dadurch konzentrieren sie sich zusehends mehr auf ihr Kerngeschäft. Sonstige Dienste, zu denen auch der IT-Betrieb zählen kann, wird mehr und mehr ausgelagert. Die Vorteile liegen auf der Hand: Externe Unternehmen können Erfahrungen auch aus anderen Häusern einbringen und kostenseitig können Skaleneffekte genutzt werden.
Definition: Was bedeutet MaRisk?
Die Mindestanforderungen an das Risikomanagement, abgekürzt MaRisk, sind Verwaltungsanweisungen, die erstmals 2005 von BaFin für die Ausgestaltung des Risikomanagements in deutschen Kreditinstituten veröffentlicht wurden. Die MaRisk konkretisieren die Regelungen einer ordnungsgemäßen Geschäftsorganisation (§ 25a KWG) und sind die Umsetzung der qualitativen Anforderungen aus Basel II bzw. Basel III an das Risikocontrolling von Banken und die entsprechenden bankaufsichtlichen Überprüfungsprozesse in deutsches Recht. Sie sollen der Aufsichtsbehörde eine gleichbleibende Anwendung gegenüber den Finanzinstituten ermöglichen und Rechts- und Planungssicherheit schaffen.
Die MaRisk unterteilen sich in einen Allgemeinen Teil (AT) und einen Besonderen Teil (BT), der sich wiederum in Unterkapital für einzelne Unternehmensbereiche der Finanzwirtschaft aufteilt, beispielsweise für das Kredit- oder Handelsgeschäft, aber auch für das Risikomanagement und die Revision. Die Einhaltung der MaRisk zu prüfen ist eine Aufgabe der Wirtschaftsprüfer im Rahmen ihrer regulären Jahresabschlussprüfung; darüber hinaus ist sie Gegenstand von Sonderprüfungen („44er-Prüfungen“).
In den letzten Jahren wurden die MaRisk fortwährend überarbeitet. Im Herbst 2020 starteten die Konsultationen zur 2021er-Novellierung, die am 16. August 2021 veröffentlicht wurden. Ein Schwerpunkt der Neuregelungen betreffen Institute mit einem hohen Bestand an Non-Performing-Loans (NPL), also notleitenden Krediten und anderen Risikopositionen. Hier geht es um eine Konkretisierung der Regelungen zur Risikofrüherkennung und Risikoabwehr (Forbearance) wie auch der NPL-Abwicklungseinheiten.
Das sind die Neuerungen der letzten MaRisk 2021 in Bezug auf das Auslagerungsmanagement
Einen Schwerpunkt der 6. Novelle stellen die Neuregelungen zum Auslagerungsmanagement dar (AT 9 MaRisk). Hier gab es in der Vergangenheit verstärkte Fragestellungen, Prüfungsfeststellungen wie auch Regelungsbedarf, da sich Finanzinstitute u.a. mehr und mehr für den Betrieb ihrer IT in fremden Rechenzentren (Hosting) entscheiden oder sogar eine echte Cloudstrategie verfolgen.
Die Novelle schreibt dabei viele Sachverhalte fest, die ohnehin Gegenstand der Prüfungspraxis waren, schon in Publikationen wie dem „Merkblatt der BaFin zu Auslagerungen an Cloud-Anbieter“, den „Bankaufsichtliche Anforderungen an die IT“ (BAIT) oder den „EBA Guidelines on Outsourcing Arrangements“ („EBA Leitlinien zu Auslagerungen“ – EBA/GL/2019/02) veröffentlicht wurden und – zumindest in Teilen – sicher bereits von den Finanzinstituten aus eigenem Interesse eingehalten wurden.
Aber auch für Unternehmen, die nicht der Finanzaufsicht unterliegen, mögen hierin Gedankenansätze stecken, wie im Interesse einer Unternehmensrisikominimierung Auslagerungen besser überwacht und gesteuert werden können.
Verstärktes Berichtswesen und verbessertes Monitoring beim Auslagerungsmanagement
Die Novellierung beschreibt zum einen eine Konkretisierung der Anforderungen an das Auslagerungsmanagement, wonach nun ein:e zentrale:r Auslagerungsbeauftragte:r einzurichten ist, die:der auch die Überwachung und Steuerung wesentlicher wie auch nicht-wesentlicher Auslagerungen zu übernehmen hat. Je nach Bedeutung und Größe des Instituts ist der:die Auslagerungsbeauftragte durch ein weitergehendes Auslagerungsmanagement zu unterstützen. Aufgabe des:der Auslagerungbeauftragte:n ist neben der Erstellung des jährlichen – sowie neu –anlassbezogenen Auslagerungsberichts auch, ihn:sie bei der Überwachung und Steuerung von nicht wesentlichen Auslagerungen einzubinden. Der:die Auslagerungsbeauftragte gehört zumindest einer direkt der Geschäftsleitung unterstellten Organisationseinheit an, sofern er:sie nicht ohnehin der Geschäftsleitung direkt unterstellt ist oder – bei kleineren Instituten – diese Position direkt durch eine:n Geschäftleiterin:in wahrgenommen wird (bei kleineren, wenig komplexen Instituten reicht übrigens auch eine Berichterstattung im Rahmen einer Vorstandssitzung aus).
Schon vor der MaRisk-Novelle sahen die MaRisk vor, dass vor (und natürlich auch während) einer Auslagerung eine Risikoanalyse vorzunehmen ist, bei der u.a. festzustellen ist, ob es sich um eine wesentliche oder eine nicht-wesentliche Auslagerung (für die dann die Regularien der MaRisk nicht bzw. nur abgemindert gelten) handelt. Bei der Risikoanalyse stellt die Aufsicht nun nochmals die Vollumfänglichkeit klar: Im Sinne einer echten 360-Grad-Risikobetrachtung sind alle relevanten Punkte „abzuklopfen“, einschließlich einer Szenarioanalyse. Auslagerungen sollen eben nicht zu einer Aushöhlung der Unternehmenshülle führen, weswegen – das war vorher auch schon so – gewisse Unternehmensteile grundsätzlich nicht auslagerbar sind.
Schlussendlich hat das Finanzinstitut neben dem schon beschriebenen Auslagerungsbericht ein Auslagerungsregister zu führen, das alle Auslagerungstatbestände, inklusive der verbandsinternen Auslagerungen, ausweist. Die MaRisk-Novellierung verweist im Hinblick auf den Inhalt des Auslagerungsregisters auf die Textziffern 54 (für alle Auslagerungen) bzw. 55 (für wesentliche Auslagerungen) der EBA Leitlinien zu Auslagerungen (EBA/GL/2019/02). Allein schon für externe wie interne Prüfungszwecke, wie auch der Vollständigkeitsprüfung im Sinne der Risikoanalyse bzw. des jährlichen Risikoberichts, sollte ein derartiges Register sinnvoll gewesen sein, wenngleich es nun explizit gefordert wird. In der Praxis sollten hier Finanzinstitute zumindest eine professionelle Vertragsmanagementlösung einsetzen, die mit ein paar ergänzenden Feldern den Anforderungen einer EBA-Leitlinien-konformen Datenhaltung gerecht werden kann.
Konkretisierung von nicht-wesentlicher Auslagerungen und sonstigem Fremdbezug
Ein Gedanke noch zu den „nicht-wesentlichen Auslagerungen“: Hier konkretisieren die bankaufsichtlichen Erläuterungen zum Rundschreiben 10/2021 (BA), dass ohnehin kaum als Auslagerung klassifizierte Tätigkeiten wie die Übermittlung von Zahlungsverkehrsdaten oder die Nutzung von Marktinformationsdiensten einen „sonstigen Fremdbezug“ darstellen, für den die Regelungen der MaRisk nicht gelten. Hier schafft die Aufsicht insofern mehr Klarheit und Erleichterungen, damit die beaufsichtigten Institute sich auf die „wesentlichen Auslagerungen“ fokussieren können. Dies entbindet die Institute gleichwohl nicht von ihrer Verpflichtung, die Erbringer derartiger Fremdbezugsleistungen und die dazu erforderlichen vertraglichen Grundlagen verantwortungsvoll und im Sinne einer Risikominderungsstrategie zu prüfen und ggf. weiter zu monitoren.
Übrigens: Im Sinne der Konkretisierung, dass ein „sonstiger Fremdbezug von Leistungen“ keine Auslagerung im Sinne von AT 9 MaRisk darstellt, ist auch wichtig, dass der Bezug von Software, auch soweit sie an die Bedürfnisse des Instituts angepasst wird, keine Auslagerung darstellt; dies gilt jedoch nicht für „Software, die zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken eingesetzt wird oder die für die Durchführung von bankgeschäftlichen Aufgaben von wesentlicher Bedeutung ist“. Sprich: Hier ist weiter von einer Auslagerung auszugehen, auch soweit der Betrieb der Software durch einen externen Dritten erfolgt. Womit wir wieder beim Thema „Hosting“ bzw. „Cloud“ wären, das damit – zumindest im Kontext der Nutzung als Archiv bzw. Dokumenten-/Enterprise Contentmanagement und Workflowplattform – als wesentliche Auslagerung zu bewerten ist bzw. sein dürfte.
Die Fokussierung auf die „bankgeschäftlichen Aufgaben“ bedeutet im Umkehrschluss aber auch die Klarstellung, dass Softwarekomponenten, die für die Abwicklung des Bankgeschäfts oder des Risikomonitorings nicht notwendig bzw. nicht von wesentlicher Bedeutung sind (z.B. den Einsatzeiner digitalen Signaturlösung als Ersatz für „analoge Unterschriften“), nicht unter die engen Regelungen des Auslagerungsmanagements fallen.
Durchblick im Compliance-Dschungel: Mit MaRisk, BAIT, MiFID II und Co zu mehr Sicherheit im Finanzunternehmen
Konkretere Anforderungen an den Auslagerungsvertrag und Schaffung eines Auslagerungsregisters
Zum Inhalt des Auslagerungsvertrages gibt es ebenfalls einige Neuerungen und Konkretisierungen. Es wird festgehalten, dass der Auslagerungsvertrag in Textform zu fassen ist. Neben Selbstverständlichkeiten wie die Dauer oder das anzuwendende Recht des Auslagerungsvertrages erwartet die BaFin auch Vereinbarungen über
- den Standort, an denen Dienstleistungen erbracht oder Daten gespeichert und verarbeitet werden,
- die Dienstleistungsgüte mit eindeutigen Leistungszielen,
- die Angabe, ob für gewisse Risiken Versicherungen des Auslagerungsunternehmens vorliegen,
- die vorliegenden Notfallkonzepte und
- Regelungen, inwieweit die Verhaltenskodexe der Vertragsparteien im Einklang zueinanderstehen.
Weiter wird in den Erläuterungen konkretisiert, dass Informations- und Prüfungsrechte vorausschauend auch für nicht-wesentliche Auslagerungen zu vereinbaren sind, sofern absehbar ist, dass sich diese in wesentliche Auslagerungen wandeln können. Diese Rechte müssen dabei auch Zugangs- und Prüfungsrechte bei den Auslagerungsunternehmen, d.h. u.a. in deren Rechenzentren, wenn man hier einmal das Hosting- und Cloudgeschäft betrachtet, umfassen.
Nach den Konsultationen ist noch der Zusatz aufgenommen worden, dass der Ort der Leistungserbringung (z. B. Stadt oder, sofern notwendig, genaue Anschrift) dem Institut jederzeit bekannt sein.
Und schließlich müssen einerseits Auslagerungsunternehmen bei Vertragskündigungen bei der Re-Migration unterstützen und andererseits die ausgelagerten Daten auch im Falle einer Insolvenz oder einer Geschäftsbeendigung zur Verfügung stehen bzw. stellen.
Übrigens ist bei Auslagerungen an Dienstleister mit Sitz außerhalb des Europäischen Wirtschaftsraums (EWR) sicherzustellen, dass auch hier eine ausreichende Beaufsichtigung durch dort ansässige zuständige Behörden erfolgt und die ausländischen Behörden mit den deutschen bzw. europäischen Behörden zusammenarbeiten.
Weiterverlagerungen von Auslagerungen – also „Sub-Subunternehmensverhältnisse“ – entbinden das ursprüngliche Auslagerungsunternehmen nicht von seinen Berichtspflichten. Dabei sind auch alle sonstigen eingegangenen Verpflichtungen auf den Subunternehmer zu übertragen, damit durch derartige Vertragskonstruktionen keine Aushöhlung erfolgt. Aufgrund des umfangreichen Berichtswesens müssen solche Vertragsketten transparent sein. Vermutlich werden Institute im Sinne einer handhabbaren Risikosteuerung längere Vertragsverkettungen ohnehin nicht dulden.
Im Rahmen des Risikomonitorings ist dabei übrigens neben der Qualität der erbrachten Leistungen auch die durch das Auslagerungsunternehmen erbrachten Informationen, zum Beispiel anhand vorzuhaltender Kriterien, zu bewerten.
Für Finanzverbünde gelten dabei Erleichterungen, sofern auf Verbandsebene ein einheitliches Risiko– bzw. Auslagerungsmanagement betrieben und die Risiken auf Verbandsebene reduziert bzw. übertragen werden.
Ausblick auf eine MaRisk-Novelle 2022
Offenkundig ist es so, dass sich die BaFin-Regularien immer stärker an den Formulierungen der EBA-Leitlinien orientieren bzw. hierauf verwiesen wird. Dies war im Konsultationsentwurf noch wenig der Fall, findet sich aber in der endgültigen Fassung bereits in AT 9 Tz. 14 wieder, wo unter Bezugnahme auf die EBA-Richtlinien für Auslagerungen auf eine erneute Darstellung des zum Inhalt des Auslagerungsregisters verzichtet wird. Auch in den bankaufsichtlichen Erläuterungen zu dem Rundschreiben 10/2021 (BA) finden sich nun vermehr Verweise auf EBA-Richtlinien. Dies ist möglicherweise ein Indiz, dass nationale und europaweite Regelungen noch enger miteinander verzahnt werden.
Bezogen auf das Auslagerungsmanagement erwarten wir durch eine – möglicherweise im IIi. Quartal 2022 erfolgenden erneute MaRisk-Novellierung – keine wesentlichen Ergänzungen da die MaRisk Novelle 2021 bereits einen Schwerpunkt auf diese Regelungen (AT 9) gelegt hat. Wir werden dies aber weiter beobachten und in unserem Blog berichten.
MaRisk Novelle 2021 – Ein Fazit
Die regulatorischen Anforderungen der BaFin stellen bei Lichte betrachtet im Wesentlichen Selbstverständlichkeiten dar. Natürlich kann man Verantwortung nicht outsourcen. Und natürlich muss ein Dienstleister darlegen, wo er mit den ihm anvertrauten Daten verbleibt, und wie der Zugriff darauf erfolgt bzw. wie er sie verschlüsselt. Dadurch, dass einzelne Regelungen nun auf den Rang einer normeninterpretierenden Verwaltungsvorschrift gehoben werden, müssen sich auch Hosting- wie Cloudanbieter diesen Themenstellungen widmen und die Anforderungen erfüllen, wollen sie nicht die breit aufgestellte Finanzbranche verlieren. Dies kann dazu führen, dass das Systemhosting wie auch das Cloudgeschäft für die Finanzwirtschaft einfacher wird, wenngleich sich Monitoring- und Berichtspflichten hierdurch nicht gerade reduzieren. Durch die verschärften Berichtspflichten sowie das verpflichtende Auslagerungsregister wird aber die Transparenz deutlich gesteigert und die Überwachung insgesamt vereinfacht. Hiervon kann das Risikomanagement auch profitieren und die Effizienz für das laufende Monitoring steigen.
Mit d.velop setzen Sie auf einen in der Finanzbranche fest verankerten Partner, der Ihre Herausforderungen kennt. Und mit Produkten wie beispielweise der einem cloudbasierten und auf Ihre Bedürfnisse anpassbaren Dokumentenmanagementsystem, der digitalen Unterschrift oder dem professionellen Vertragsmanagement nutzen Sie sichere, hochverfügbare und intuitiv zu bedienende Softwarelösungen, mit denen Sie zudem Ihre regulatorischen Anforderungen umsetzen können.
Wie die Bürgschaftsbank Hessen mit der digitalen Unterschrift den Anforderungen der BaFin gerecht wird.