BaFin MaRisk (RS 10/2021) und BAIT Novelle 2021 (RS 10/2017 Fassung 16.08.2021): Themenbereich Dienstleistermanagement und deren Auswirkungen auf (IT-) Auslagerungen

Zeitplan, wesentliche Änderungen (Neuerungen) und Präzisierungen

IT-Compliance FS

Zeitplan

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 16. August 2021 das neue Rundschreiben „Mindestanforderungen an das Risikomanagement“ (MaRisk) veröffentlicht. Die 6. MaRisk Novelle 2021 setzt auch für (IT-) Auslagerungen die europäischen Leitlinien zu Auslagerungen (EBA Guidelines on outsourcing arrangements 2019) sowie zum Management von IKT- und Sicherheitsrisiken (Guidelines on ICT and Security Risk Management 2019) in die nationale deutsche Aufsichtspraxis um. Die Überarbeitung ist in erster Linie auf Änderungen dieser internationalen Regelsetzung zurückzuführen. Weil die Inhalte der Mindestanforderungen an die IT (BAIT) auf den Mindestanforderungen an das Risikomanagement aufbauen, wurde die BAIT-Novelle parallel zur 6. MaRisk Novelle entwickelt und gleichzeitig am 16. August veröffentlicht. In der Novelle der BAIT 2021 konkretisiert die Aufsicht ihre Erwartungen an die IT und die Informationssicherheit von Banken. Diese gelten auch in Bezug auf die Anforderungen an Auslagerungen und sonstigen Fremdbezug von IT-Dienstleistungen (Abschnitt 9). Die Änderungen in Bezug auf das Dienstleistermanagement sind hier weitgehend redaktionell.

Die Neuerungen, Klarstellungen (Präzisierungen) und Anpassungen betreffen den gesamten Auslagerungszyklus. Die Einstufung als Neuerung oder Präzisierung gewinnt Bedeutung dafür, ob ggf. eine Umsetzungsfrist besteht oder nicht. Die BaFin hat in einer mit dem Rundschreiben veröffentlichen und auf der Homepage der BaFin hinterlegten Anlage ihre Einordnung klar und nachvollziehbar niedergelegt. Dies ist sehr zu begrüßen, da bei vergangenen Novellen immer wieder Diskussionen aufkamen wie eine Änderung einzustufen war und welche Umsetzungsfrist gilt. Nach der MaRisk Novelle gilt für „neue Anforderungen“ in der Regel eine Umsetzungsfrist bis zum 1. Januar 2022. Ausnahmen davon werden entsprechend gekennzeichnet. Bestehende Anforderungen, die lediglich präzisiert bzw. klargestellt werden, sind unmittelbar ab Veröffentlichung der Novelle einzuhalten. Anpassungen, die aus der bestehenden Aufsichtspraxis im SSM für bedeutende Institute folgen, sind in der Liste ebenfalls kenntlich gemacht. Die deutsche Aufsicht kann hier keine Umsetzungsfristen festlegen. Als zuständige Aufsichtsbehörde hat die EZB zu entscheiden, ob erhöhte Anforderungen im Einzelfall unter Proportionalitätsgesichtspunkten und welche Übergangsfrist jeweils gelten.

Wesentliche Änderungen und Konkretisierungen im Themenbereich (IT-) Auslagerungen und ihre zu erwartenden Auswirkungen nach der MaRisk Novelle 2021

In mehreren Sitzungen hat sich das MaRisk Gremium 2021 mit den neuen und klarstellenden Anforderungen auch an das Dienstleistermanagement im Zuge der internationalen Regelsetzung auf Basis der zahlreichen Rückmeldungen zum Konsultationsentwurf befasst. Die Ergebnisse des neugefassten Rundschreiben RS 10/2021 überraschen von daher im Themenbereich Auslagerungen bzw. Dienstleistermanagement nicht mehr allzu sehr. Vieles ist im Bereich (IT-) Auslagerungen im Vergleich zur Konsultationsfassung unverändert geblieben. Es gibt jedoch auch einige Neuerungen im für (IT-) Auslagerungen bzw. sonstigen Fremdbezügen von (IT-)Dienstleistungen relevanten Abschnitt AT 9. Darüber hinaus wurden bestehende Anforderungen in Bezug auf die Erwartungshaltung der Aufsicht für ihre Prüfungspraxis präzisiert. Unverändert geblieben sind z.B. die Nicht-Auslagerbarkeit der Verantwortung und der Leitungsaufgaben der Geschäftsleitung, die Voraussetzungen für Weiterverlagerungen sowie das Vorhalten von Kenntnissen und Erfahrungen im Institut bei Auslagerungen in Kontroll- und Kernbankbereichen, die eine wirksame Überwachung der vom Auslagerungsunternehmen erbrachten Dienstleistungen gewährleisten. In Reaktion auf die intensiven Diskussionen für eine denkbare Zuordnung einzelner Kontrollbereiche und einzelner Beauftragter zur Compliance Funktion hat sich die Aufsicht dafür entschieden, keine aus ihrer Sicht nicht zulässige Kombinationen aufzuzählen. Hierzu zählte auch der Auslagerungsbeauftragte. Damit bleibt es bei dem allgemeinen Prinzip, dass nur (reine) Kontrolleinheiten bei der Compliance Funktion angesiedelt werden können.

Zu den Neuerungen im Themenbereich Auslagerungen zählen (vgl. Einstufungsliste BaFin):

• Regelungen zu Verfahrensweisen bei allen Auslagerungen (AT 5 Tz. 3f)
• Erweiterte Aufzählung der relevanten Aspekte bei der Risikoanalyse (AT 9 Tz. 2)
• Die erforderliche Befugnis der Leistungserbringung des Auslagerungsunternehmens (AT 9 Tz. 4)
• Die erweiterte Möglichkeit der vollständigen Auslagerung der besonderen Funktionen unter bestimmten Bedingungen (AT 9 Tz. 5)
• Erweiterte Vertragsinhalte (AT 9 Tz. 7)
• Leistungsüberwachung bei wesentlichen Auslagerungen mittels z.B. geeigneter Parameter (AT 9 Tz. 9)
• Einrichtung eines zentralen Auslagerungsbeauftragten im Institut (AT 9 Tz. 12)
• Berichtspflicht auch für kleine Institute ohne zentrales Auslagerungsmanagement (AT 9 Tz. 13)
• Einrichtung und Vorhalten eines Auslagerungsregisters (AT 9 Tz 14)
• Erleichterungen für Gruppen und Finanzverbünde (AT 9 Tz 15)

Zu den Präzisierungen (ohne redaktionelle Änderungen) im Themenbereich Auslagerungen zählen:

• Bezugnahme zu Auslagerungen bei den einzuhaltenden Vorgaben auf Gruppenebene (AT 4.5.1)
• Keine Existenz der Institute als „empty shells“ (AT 9 Tz. 4)
• Textform für die Abfassung des Auslagerungsvertrages sowie die Klarstellung von „Zutritt, Zugang oder Zugriff“ (AT 9 Tz. 7)
• Angemessene Steuerung der mit allen Auslagerungen verbundenen Risiken (AT 9 Tz. 9)
• Festlegung klarer Verantwortlichkeiten für die Steuerung und Überwachung bei wesentlichen Auslagerungen (AT 9 Tz. 10)
• Berücksichtigung von Weiterverlagerungen in der Risikoanalyse (AT 9 Tz. 11)

Folgender Flyer (“MaRisk Novelle August 2021 IT-Auslagerungen“) enthält eine Zusammenfassung der wesentlichen Neuerungen und Präzisierungen inkl. PwC-Handlungsempfehlungen:

Erfahrungsberichte aus PwC Umsetzungs- und Unterstützungsprojekten (MaRisk Novellen/EBA GL Outsourcing 2019)

PwC berät und unterstützt seit vielen Jahren bundesweit Institute und Dienstleister sowie auch sektorübergreifend Versicherungen, Kapitalverwaltungsgesellschaften und Wertpapierhandelsunternehmen entlang des gesamten Sourcing-Lifecycles. Seit 2019 haben uns viele Institute und Verbundunternehmen mit der Durchführung einer erforderlichen GAP-Analyse in Bezug auf aktuelle bzw. anstehende nationale und internationale Änderungen im Sourcing-Management beauftragt. Dies umfasste insbesondere auch die Vorgaben der EBA GL Outsourcing 2019 sowie der erwarteten MaRisk-Novelle 2021 mittels eines strukturierten und von PwC entwickelten Assessments. Auf diesen Ergebnissen basierend und in enger Abstimmung mit unseren Kunden haben wir identifizierte Änderungsbedarfe in den jeweiligen Themengebieten priorisiert und bei Beauftragung auch die Abarbeitung begleitet. Dabei konnten zahlreiche „Quick-Wins“ zügig umgesetzt werden. Die bisherigen Assessment-Ergebnisse zeigen jedoch auch, dass abhängig vom jeweiligen Umsetzungsstand in den Instituten Anpassungen an den bisherigen Vorgaben und Verfahren erforderlich werden, die Abhängigkeiten zu den jeweiligen Themenfeldern (z.B. Governance, Prozesse, Verträge) haben. Diese sind frühzeitig und gut geplant anzugehen. Unsere Praxiserfahrungen für eine Zentralisierung der Auslagerungssteuerung zeigen, dass diese Umstrukturierungsmaßnahmen neben den zu beachtenden regulatorischen Anforderungen auch erhebliche Auswirkungen auf bestehende Prozesse und Abläufe haben und eine unternehmens- bzw. verbundübergreifende Akzeptanz erfordern. Auch hier zeigt sich, dass die jeweiligen Themen strukturiert und in der richtigen zeitlichen Abfolge anzugehen sind.

Wie kann PwC Sie unterstützen?

Ein modernes und zukunftsorientiertes Dienstleistermanagement sollte in der Lage sein, alle Leistungsbezüge unabhängig von der Einstufung als Auslagerung, IT-Dienstleistung, sonstigen Non-IT-Fremdbezug oder Cloud Service entlang des Sourcing Lifecycles angemessen zu berücksichtigen. Unser Team (Flyer “IT-Sourcing Governance August 21”) unterstützt Sie gerne dabei, Ihren Reifegrad in Bezug auf ein aufsichtskonformes Auslagerungsmanagement zu erheben, etwaige Schwachstellen zu schließen, die aufsichtsrechtlich erforderliche angemessene Verbindung zu Ihrem Internen Kontrollsystem zu schaffen und dabei wertvolle Hinweise zu Effizienz und Automatisierungsgrad Ihrer Prozesse und Methoden zu geben. Die Entscheidung für ein gruppen- bzw. verbundübergreifendes Dienstleistermanagement ist eine herausfordernde Aufgabe. Sie erfordert wichtige vorgelagerte strategische Überlegungen und unternehmensübergreifende Abstimmprozesse inkl. der Selektion und Bestimmung bündelbarer Aufgaben. Es ist sicherzustellen, dass die erforderlichen Anforderungen entlang des gesamten Sourcing-Lifecycles bei allen teilnehmenden Instituten bzw. Dienstleistern sichergestellt sind. Unsere Experten und Ansprechpartner stehen Ihnen zu allen Themen rund um das Auslagerungsmanagement bundesweit zur Verfügung.

Zu weiteren PwC Blogs