MaRisk 6.0: Was ändert sich beim Auslagerungsmanagement?
MaRisk 6.0: Was ändert sich beim Auslagerungsmanagement? Detaillierte Anforderungen werden aus den Outsourcing Guidelines in Abschnitt AT 9 umgesetzt. Die Änderungen betreffen den gesamten Auslagerungszyklus.
So wurden Anforderungen zur Risikoanalyse und zur Bestimmung der Wesentlichkeit, zur Ausgestaltung des Auslagerungsvertrages sowie zur Steuerung und Überwachung der Risiken von Auslagerungsvereinbarungen erweitert und präzisiert.
Bei wesentlichen Auslagerungen im Auslagerungsvertrag sollen neben Informations- und Prüfungsrechten auch Zugangsrechte berücksichtigt werden.
#1 MaRisk 6.0: Was ändert sich beim Auslagerungsmanagement?
Um die zentrale Steuerung und Überwachung der Risiken von Auslagerungsvereinbarungen zu bündeln, soll jedes Institut, das Auslagerungen vornimmt, selbst einen zentralen Auslagerungsbeauftragten bestimmen.
Das zentrale Auslagerungsmanagement, welches ein Institut abhängig von Art, Umfang und Komplexität der Auslagerungsaktivitäten einzurichten hat, dient der Unterstützung des Auslagerungsbeauftragten.
Im Hinblick auf die neue Anforderung aus AT 9 Tz. 12, einen Auslagerungsbeauftragten zu ernennen, ist in der Konsultation insbesondere die direkte Unterstellung und Berichtspflicht des Auslagerungsbeauftragen an die Geschäftsleitung hinterfragt worden. Gemäß der finalen Fassung wird es für die aufbauorganisatorischen Anforderungen nunmehr als ausreichend angesehen, dass der Auslagerungsbeauftragte in einer Einheit angesiedelt ist, die der Geschäftsleitung unmittelbar untersteht. Auch kann der Auslagerungsbeauftragte zugleich der Leiter des (unterstützenden) Auslagerungsmanagements sein.
#2 Zentrales Auslagerungsmanagement auf Gruppenebene
Mit der 6. MaRisk Novelle wird nunmehr auch die Möglichkeit eingeräumt, ein zentrales Auslagerungsmanagement auf Gruppen- bzw. Verbundebene einzurichten.
Die Regelungen für Vereinfachungen auf Gruppenebene gelten vollumfänglich nur für solche Gruppen, bei denen die Gruppe sowie auch die Institute, bei denen Funktionen zentralisiert werden sollen, unter die Anwendung der CRR und damit auch der Outsourcing Guidelines fallen.
Darüber hinaus werden die Möglichkeiten hinsichtlich der vollständigen Auslagerung der besonderen Funktionen Risikocontrolling-Funktion, Compliance-Funktion und Interne Revision dahingehend erweitert, dass die vollständige Auslagerung unter bestimmten Umständen nun auch auf Schwesterinstitute innerhalb einer Institutsgruppe möglich ist.
Diesen Funktionen wird als Steuerungs- und Kontrollinstrumente für die Geschäftsleitung weiterhin große Bedeutung beigemessen.
#3 Anforderungen an das Auslagerungsregister + MaRisk 6.0: Was ändert sich beim Auslagerungsmanagement?
Im Konsultationsverfahren wurde auch die fehlende Aufzählung der (Vertrags-)Parameter adressiert, die im Auslagerungsregister einzutragen sind.
Um dem abzuhelfen und zugleich bei der Umsetzung dieser neuen gesetzlichen Vorgabe des 25 b Abs. 1 KWG (gemäß Finanzmarktintegritätsstärkungsgesetz – FISG –E) Abweichungen zu den Outsourcing Guidelines zu vermeiden, wird in der finalen Fassung des AT 9 Tz.14 MaRisk direkt auf Tzn. 54 und 55 dieser Leitlinien verwiesen.
Damit soll europäischen Bankengruppen die Einrichtung eines zentralen Auslagerungsregisters erleichtert werden, wie es in Tz. 53 der Outsourcing Guidelines zugelassen ist.
Unter den in Tzn. 54 und 55 der Outsourcing Guidelines aufgezählten verbindlichen Parametern wiederum ist in der Sitzung des Fachgremiums MaRisk am 04.03.2021 insbesondere das Erfassungsfeld unter Tz. 55 lit. a thematisiert worden.
Dort sollen Institute, welche zentralen Sicherungseinrichtungen angeschlossen sind, auch die weiteren Vertragspartner des Auslagerungsunternehmens aus dem Verbund auflisten. Die Aufsicht erkennt an, dass dies nur dort als verhältnismäßig gelten kann, wo eine solche Erfassung vorausgesetzt werden kann, insbesondere bei Einrichtung eines zentralen Auslagerungsmanagements auf Verbundebene.
Kritisch wurde auch die Anforderung gesehen, die Kosten der Auslagerung im Auslagerungsregister zu erfassen. Auch dies ist aber eine Vorgabe der Guidelines on Outsourcing, Tz. 55 lit. k. Daher ist auch nach den MaRisk, die diese Leitlinien umsetzen, ein jährlicher Eintrag hinsichtlich der veranschlagten Kosten bzw. des Budgets einzutragen.
Auslagerungen können schwerlich verglichen werden, wenn kein Kostenrahmen vorliegt. Eine unterjährige Erfassung von Kostenanpassungen ist für diesen Zweck aber nicht erforderlich.
#4 Outsourcing: Berücksichtigung von politischen Risiken in der Risikoanalyse
Hinsichtlich der Anforderungen an die Risikoanalyse hat die BaFin zur Umsetzung der EBA Outsourcing Guidelines gegenüber der Konsultationsfassung einen Formulierungsvorschlag der DK aufgenommen und stellen nunmehr in AT 9 Tz. 2 darauf ab, dass die Risikoanalyse zu berücksichtigen hat, inwiefern eine auszulagernde Aktivität oder ein auszulagernder Prozess von wesentlicher Bedeutung sind.
MaRisk 6.0: Was ändert sich beim Auslagerungsmanagement? Als problematischen Aspekt der Risikoanalyse hat die Industrie die Beurteilung politischer Risiken bezeichnet. Darunter ist entsprechend Tz. 68 lit. d der Guidelines on Outsourcing die Beurteilung der politischen Stabilität im Hinblick auf die Sicherheitslage der betreffenden Rechtsordnung zu verstehen, was sich in der Regel nicht auf EWR-Länder beziehen dürfte.
Von besonderer Bedeutung ist die Analyse von politischen Risiken mithin für die mögliche Durchsetzung der vertraglich vereinbarten Rechte in Drittländern. Da auch bisher schon in der Risikoanalyse länderspezifische Risiken zwingend zu berücksichtigen waren, sieht die BaFin insofern keine erhöhten Anforderungen und rechnet nicht mit einer Änderung der bisherigen Praxis.
#5 Outsourcing: Berücksichtigung einer Szenarioanalyse in der Risikoanalyse
Die Ergänzung der Risikoanalyse um eine Szenarioanalyse erscheint der Industrie tendenziell als unverhältnismäßig und auch nur partiell als sinnvoll.
Entsprechend wird in den Erläuterungen der finalen Fassung der MaRisk klargestellt, dass die Risikoanalyse nur dann durch eine Szenarioanalyse zu ergänzen ist, wenn dies sinnvoll und verhältnismäßig ist.
Es ist aber im Einklang mit den Ausführungen in Tz 65 der Guidelines on Outsourcing davon auszugehen, dass es in vielen Fällen durchaus sinnvoll und unter Berücksichtigung des Proportionalitätsgrundsatzes auch erforderlich sein kann, durch eine Szenarioanalyse (noch vor Vertragsschluss) die möglichen Auswirkungen von unterlassenen oder auch nur unzureichenden Dienstleistungen zu bewerten, wie sie sich u. a. aus externen (zu simulierenden) Ereignissen ergeben könnten.