MaRisk-Novelle beschlossen: Geänderte Anforderungen an Auslagerungen

MaRisk-Novelle beschlossen

Was Sie jetzt bei Auslagerungen (MaRisk AT9) beachten müssen

Keyfacts über MaRisk

  • MaRisk-Novelle schafft mehr Klarheit für Finanzinstitute
  • Auslagerungen von Kontroll- und Kernbereichen sind nicht uneingeschränkt erlaubt
  • Einrichtung eines zentralen Auslagerungsmanagements sinnvoll
Zusammenfassung lesen

Das Warten hat ein Ende – die am 27.10.2017 veröffentlichte Endfassung der fünften MaRisk-Novelle bringt mehr Klarheit für Akteure im Finanzsektor, die sich mit Auslagerungen und dem erforderlichen Risikomanagement beschäftigen. Damit endet eine Situation, die in der Vergangenheit häufig für Diskussionen zwischen Finanzinstituten und externen Prüfern hinsichtlich der Strenge der Regelauslegung sorgte: Während Prüfer nach der weitest denkbaren Regelauslegung arbeiteten, tendierten Finanzinstitute eher zum Gegenteil. Mit der jetzt veröffentlichten Novelle soll nun dieser Interpretationsspielraum verringert werden.

Wir sprechen mit Bernd Schumacher, Partner Financial Services bei KPMG Deutschland, über die wesentlichen Neuerungen, die die MaRisk-Novelle für Auslagerungen (MaRisk AT9) bedeutet.

 

Herr Schumacher, was ist aus Ihrer Sicht die wesentlichste Änderung in der Novelle?

Die wesentlichste Neuerung in der MaRisk-Novelle ist der Umgang mit Software. Ist diese zum Umgang mit Risiken eingesetzt oder ist sie für die Durchführung von bankgeschäftlichen Aufgaben von wesentlicher Bedeutung, so sind zukünftig eine Vielzahl von Unterstützungsleistungen zu dieser Software als Auslagerungen zu betrachten, beispielsweise Anpassungsleistungen, Testen und Freigabe. Dies wird in der Praxis erhebliche Auswirkungen haben.

Was haben auslagernde Finanzinstitute künftig bei ihrer Risikoanalyse zu beachten?

Die Steuerung der Risiken ist tatsächlich einer der wichtigsten Punkte, wenn Finanzinstitute Auslagerungen planen oder bereits umgesetzt haben. Die Aufsicht fordert eine einheitliche Risikoanalyse basierend auf instituts- bzw. gruppeneinheitlichen Vorgaben, die insbesondere Risikokonzentrationen und Weiterverlagerungsrisiken berücksichtigt. Eine solche Analyse ist nicht statisch, sondern kann sich durchaus im Laufe der Zeit ändern. Der Gesetzgeber nimmt darauf jetzt Bezug und verlangt ausdrücklich eine regelmäßige und anlassbezogene Überprüfung der Risikoanalyse. Das gilt zum Beispiel zum einen für eine geplante Auslagerung, wenn der Auslagerungssachverhalt und der jeweilige Dienstleister einer Prüfung unterzogen werden. Es gilt aber auch bei bereits bestehenden Auslagerungen, wenn sich hier beispielsweise durch Vertragserweiterungen neue Risiken ergeben könnten.

Können Finanzinstitute grundsätzlich alles auslagern?

Nein, bei Auslagerungen in Kontroll- und Kernbereichen gilt künftig die Prämisse, dass fundierte Kenntnisse weiterhin im Finanzinstitut bestehen müssen. Auch die vollständige Auslagerung von Risikocontrolling, Compliance und Interner Revision ist nur noch mit Einschränkungen möglich – beispielweise bei kleinen Instituten ist dies weiterhin möglich. Der Grund dafür leuchtet ein: Wenn ein Vertragsverhältnis zu einem externen Dienstleister überraschend endet, muss dennoch sichergestellt sein, dass der ordnungsgemäße Betrieb im Finanzinstitut aufrechterhalten werden kann. Das geht aus Sicht des Gesetzgebers am besten, wenn die dafür nötigen Kenntnisse im Finanzinstitut selbst vorhanden sind.

Was für Optionen hat ein Finanzinstitut denn, wenn eine Auslagerung überraschend und ungeplant endet?

Gegen ungeplante Überraschungen kann man sich bekanntermaßen kaum schützen, da ist der Finanzsektor wie das Leben. Das bedeutet aber nicht, dass man für den Fall der Fälle nicht dennoch vorbereitet sein kann. Die Bankenaufsicht nimmt hier die Institute ausdrücklich in die Pflicht, die konkreten Schritte für mögliche Handlungsoptionen schon vorher zu entwickeln – und übrigens auch regelmäßig auf ihre Durchführbarkeit zu überprüfen. Die Institute werden somit dazu angehalten, die Kontinuität und Qualität der Prozesse nicht nur bei beabsichtigter und erwarteter, sondern auch bei unbeabsichtigter und unerwarteter Beendigung beizubehalten.

Wer steuert diese Auslagerungen in den einzelnen Instituten eigentlich künftig?

Hier sehen wir eine wesentliche Neuerung der MaRisk-Novelle: Es gibt jetzt die konkrete Anforderung, ein zentrales Auslagerungsmanagement einzurichten. In erster Linie ist dieses Management dafür zuständig eine einheitliche und konsistente Steuerung bzw. Überwachung aller Aus- und Weiterverlagerungen durch die Implementierung und Dokumentation entsprechender Kontroll- und Überwachungsprozesse zu gewährleisten. Es hat aber auch dafür zu sorgen, dass die von den einzelnen Bereichen durchgeführten Risikoanalysen korrekt durchgeführt werden. Auf diese Weise soll ein Gesamtüberblick über alle Auslagerungen und ein angemessenes Bild der aktuellen Risikolage des Auslagerungsportfolios hergestellt werden. Zu den wesentlichen Aufgaben des zentralen Auslagerungsmanagement wird zukünftig also auch die regelmäßige Berichterstattung dieser Risikosituation an die Geschäftsführung gehören.

Wie fällt Ihr Fazit aus, was kommt auf die Institute zu?

Nun, es wäre sehr überraschend, wenn die jetzigen Neuerungen in den kommenden Aufsichtsprüfungen nicht in den besonderen Fokus der Behörden rücken würden. Die spannende Frage in den Finanzinstituten ist sicherlich, ob und in welchem Umfang die jetzt festgelegten Anforderungen schon in der Vergangenheit befolgt wurden. Und für die Institute, die hier Nachholbedarf haben, ist nun endgültig die Zeit gekommen, diese Lücke zu schließen.

Sie wollen mehr erfahren zu Auslagerungen im Finanzsektor? Dann lesen Sie zu Sourcing-Strategien im Finanzsektor unser aktuelles Whitepaper Wo geht’s denn hier zur Auslagerung?

27. Oktober 2017

Kommentare

Ist Ihr Finanzinstitut auf die neuen Anforderungen der BaFin vorbereitet?

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist. Schließen