BaFin MaRisk Novelle Konsultation 14/2020 (IT-) Auslagerungen

BaFin MaRisk Novelle Konsultation 14/2020

Zeitplan, wesentliche Änderungen und Konkretisierungen zum Themenbereich Auslagerungen und deren Auswirkungen auf (IT-) Auslagerungen

IT-Compliance FS

Sie entdecken in unserem Fachtext das Codewort? Unsere aufmerksamen Leser möchten wir gerne kennenlernen – schicken Sie uns das Codewort per Mail und wir führen mit Ihnen einen kostenlosen, einstündigen, interaktiven Workshop zum Themenbereich FS-Dienstleistermanagement durch! 

Zeitplan

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 26. Oktober 2020 ihre Konsultation zum Entwurf der „Mindestanforderungen an das Risikomanagement“ veröffentlicht. Die zu erwartende finale MaRisk Novelle 2021 setzt für (IT-) Auslagerungen die europäischen EBA Leitlinien zu Auslagerungen (Guidelines on outsourcing arrangements – Outsourcing Guidelines) sowie zum ICT Risk (Guidelines on ICT and Security Risk Management) in die nationale deutsche Aufsichtspraxis um. Die Überarbeitung ist in erster Linie auf Änderungen der internationalen Regelsetzung zurückzuführen.

Die Konsultationsfrist endete am 4. Dezember 2020. Die Aufsicht wird über etwaige Ergebnisse aus der Konsultationsphase im Rahmen einer weiteren Sitzung des Fachgremiums MaRisk informieren. Die Veröffentlichung der finalen Fassung erfolgt voraussichtlich im ersten Quartal 2021.

Wesentliche Änderungen und Konkretisierungen im Themenbereich (IT-) Auslagerungen und ihre zu erwartenden Auswirkungen

Bereits 2019 hat sich das MaRisk Gremium mit den zu erwartenden Neuerungen der Anforderungen an das Auslagerungsmanagement im Zuge der internationalen Regelsetzung befasst und die Ergebnisse in dem veröffentlichten Konsultationspapier sind überwiegend nicht überraschend. Vieles ist im Bereich (IT-) Auslagerungen unverändert geblieben. Manche Aspekte wiederum wurden weitergehend konkretisiert und die Erwartungshaltung der Aufsicht aus ihrer Prüfungspraxis wurde auch in den Erläuterungen zu einzelnen Themen präzisiert. Unverändert geblieben sind z.B. die Nicht-Auslagerbarkeit der Verantwortung und der Leitungsaufgaben der Geschäftsleitung, die Voraussetzungen für Weiterverlagerungen sowie das Vorhalten von Kenntnissen und Erfahrungen im Institut bei Auslagerungen in Kontroll- und Kernbankbereichen, die eine wirksame Überwachung der vom Auslagerungsunternehmen erbrachten Dienstleistungen gewährleisten.

Zu den wesentlichen und besonders praxisrelevanten Neuerungen zählt die nunmehr auch auf nationaler Ebene zulässige Möglichkeit, ein zentrales Auslagerungsmanagement auf Gruppen- bzw. Verbundebene einzurichten. Diese gibt den Instituten und gleichermaßen den Verbundunternehmen die Option einer Bündelung von Steuerungs- und Überwachungsaufgaben auf zentraler Ebene. Dies eröffnet Gruppen- und Verbundunternehmen die Chance, durch eine zentrale Bündelung möglicher Steuerungs- und Überwachungsaufgaben Synergien zu heben und ggf. gleichzeitig unter Risikogesichtspunkten auch eine einheitlichere und verbesserte Gruppen- und Verbundrisikosteuerung zu erzielen [Codewort: smart compliance]. Angesichts der in den letzten Jahren weitergehend gestiegenen Regulierung (national und international), der stetig steigenden (IT-) Auslagerungsvolumina, der erforderlichen Digitalisierungsoffensive im Finanzsektor (steigende Nutzung von Cloud Services im Finanzsektor) und nicht zuletzt auch im Hinblick auf die sich abzeichnenden Entwicklungen wird dies umso wichtiger. Hierzu zählen auch die aktuellen Überlegungen Technologieunternehmen unmittelbar der Aufsicht zu unterstellen, soweit diese Dienstleistungen an in der Finanzwirtschaft regulierte Unternehmen erbringen.

Im Vorfeld lange diskutiert, schafft die MaRisk Novelle 2021 voraussichtlich nunmehr auch (wieder) die Möglichkeit einer vollständigen Auslagerung der besonderen Funktionen (Risikocontrolling-Funktion, Compliance-Funktion und Interne Revision) inkl. der Verlagerung auf Schwestergesellschaften innerhalb einer Institutsgruppe, wenn die jeweiligen Voraussetzungen vorliegen. Es wird zusätzliche Informationspflichten gegenüber der Aufsicht geben, u.a. die Information über geplante wesentliche Auslagerungen bzw. wesentlich gewordene bestehende Auslagerungen sowie über wesentliche Änderungen/Vorfälle mit Auswirkungen auf die Geschäftstätigkeit eines Instituts. Korrespondierend zu den internationalen Regelungen – spätestens bis zum 31.12.2021 – müssen Institute zudem ein aktuelles Auslagerungsregister mit Informationen über alle Auslagerungsvereinbarungen inkl. Weiterverlagerungen vorhalten. Damit war zu rechnen.

Folgender Flyer enthält eine Zusammenfassung der wesentlichen Änderungen und Konkretisierungen.

Erfahrungsberichte aus PwC Umsetzungs- und Unterstützungsprojekten (MaRisk Novellen/EBA GL Outsourcing 2019)

PwC berät und unterstützt seit vielen Jahren bundesweit Institute und Dienstleister sowie auch sektorübergreifend Versicherungen, Kapitalverwaltungsgesellschaften und Wertpapierhandelsunternehmen entlang des gesamten Sourcing-Lifecycles. 2019/2020 haben uns viele Institute und Verbundunternehmen mit der Durchführung einer erforderlichen GAP-Analyse in Bezug auf aktuelle bzw. anstehende nationale und internationale Änderungen im Sourcing-Management beauftragt. Dies umfasste insbesondere auch die Vorgaben der EBA GL Outsourcing 2019 sowie der geplanten MaRisk-Novelle mittels eines strukturierten und von PwC entwickelten Assessments. Auf diesen Ergebnissen basierend und in enger Abstimmung mit unseren Kunden haben wir identifizierte Änderungsbedarfe in den jeweiligen Themengebieten priorisiert und bei Beauftragung auch die Abarbeitung begleitet. Dabei konnten zahlreiche „Quick-Wins“ zügig umgesetzt werden. Die bisherigen Assessment-Ergebnisse zeigen jedoch auch, dass abhängig vom jeweiligen Umsetzungsstand in den Instituten Anpassungen an den bisherigen Vorgaben und Verfahren erforderlich werden, die Abhängigkeiten zu den jeweiligen Themenfeldern (z.B. Prozesse, Verträge) haben. Diese sind frühzeitig und gut geplant anzugehen. Überlegungen für eine Zentralisierung der Auslagerungssteuerung erfordern neben den zu beachtenden regulatorischen Anforderungen und nicht unerheblichen Auswirkungen auf bestehende Prozesse und Abläufe unternehmens- bzw. verbundübergreifende Akzeptanz. Auch hier zeigt unsere Praxiserfahrung, dass die jeweiligen Themen strukturiert und in der richtigen zeitlichen Abfolge anzugehen sind. 

Wie kann PwC Sie unterstützen? 

Ein modernes und zukunftsorientiertes Dienstleistermanagement sollte in der Lage sein, alle Leistungsbezüge unabhängig von der Einstufung als Auslagerung, IT-Dienstleistung, sonstigen Non-IT-Fremdbezug oder Cloud Service entlang des Sourcing Lifecycles angemessen zu berücksichtigen. Unser Team unterstützt Sie gerne dabei, Ihren Reifegrad in Bezug auf ein aufsichtskonformes Auslagerungsmanagement zu erheben, etwaige Schwachstellen zu schließen, die aufsichtsrechtlich erforderliche angemessene Verbindung zu Ihrem Internen Kontrollsystem zu schaffen und dabei wertvolle Hinweise zu Effizienz und Automatisierungsgrad Ihrer Prozesse und Methoden zu geben. Die Entscheidung für ein gruppen- bzw. verbundübergreifendes Dienstleistermanagement ist eine herausfordernde Aufgabe. Sie erfordert wichtige vorgelagerte strategische Überlegungen und unternehmensübergreifende Abstimmprozesse inkl. der Selektion und Bestimmung bündelbarer Aufgaben. Es ist sicherzustellen, dass die erforderlichen Anforderungen entlang des gesamten Sourcing-Lifecycles bei allen teilnehmenden Instituten bzw. Dienstleistern sichergestellt sind. Unsere Experten und Ansprechpartner stehen Ihnen zu allen Themen rund um das Auslagerungsmanagement bundesweit zur Verfügung.

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.