Die neuen Regelungen zu Auslagerungen haben übergreifende Wirkung auf die Institute

Ziel der die Auslagerungen betreffenden Änderungen im Konsultationsentwurf der MaRisk Novelle 2016 ist die Beseitigung von Unklarheiten und Behebung von Schwachstellen aus der aufsichtsrechtlichen Prüfungspraxis.

AT 9 Auslagerungen

Die Aufsicht zunächst noch einmal klar, dass die Frage des Auslagerungstatbestandes unabhängig von der zivilrechtlichen Konstruktion der (Auslagerungs-)Verträge zu beurteilen ist. Ausgehend von der schon bisher sehr weitreichenden Definition des Aus­lage­rungs­begriffs in den MaRisk stellt sich vor allem die Frage, woraus der Bedarf für diese Klar­stellung resultiert. Die Ursache hierfür liegt aus Sicht der Bankenaufsicht in der aufsichts­recht­lichen Prüfungspraxis, d.h. in den im Rahmen von Sonderprüfungen (z.B. nach § 44 KWG) zu Tage getretenen „Schwachstellen“. So ist teilweise versucht worden, eine Anwendung der Anforderungen des AT 9 beispielsweise durch die bloße Bezeichnung als Werkvertrag zu vermeiden. Dass für die Einstufung eines Vertrags nicht seine Bezeichnung sondern sein Inhalt entscheidend ist, ist jedoch ebenfalls bereits Bestandteil der allgemeinen zivilrechtlichen Grundsätze.

Einen echten Paradigmenwechsel stellt es hingegen dar, dass die von einem Institut fremdbezogene Software, die  individuell an die Bedürfnisse eines oder mehrerer Institute angepasst oder mit entsprechenden Dienstleistungen durch Dritte verbunden ist, nicht mehr als sonstiger Fremdbezug, sondern als Auslagerung einzustufen sein soll. Weitere Voraussetzung hierfür ist, dass die Software zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken oder für die Durchführung von bankgeschäftlichen Aufgaben von wesentlicher Bedeutung (Kernbanksysteme) eingesetzt wird. Die dargestellte Regelung kann in der Praxis zu  Herausforderungen bei der Abgrenzung zwischen dem sonstigen Fremdbezug von Standardsoftware einerseits und der Verwirklichung von Auslagerungstatbeständen durch den Fremdbezug individualisierter Software führen. Diese Frage ist von erheblicher praktischer Bedeutung, da eine Einstufung als Auslagerung dazu führt, dass im Lizenz-/Auslagerungsvertrag die Herausgabe aussagekräftiger Informationen zu wesentlichen Annahmen und Parametern bzw. deren Änderungen sowie zu sonstigen Sicherheitsanforderungen – wie beispielsweise Zugangsbestimmungen zu Räumen und Zugriffsberechtigungen für Softwarelösungen – zu vereinbaren sind.

Gemäß dem Konsultationsentwurf der MaRisk Novelle 2016 verlangt die Aufsicht zusätzlich, dass sich die Institute im Rahmen der Risikoanalysen mit Risikokonzentrationen aus Auslagerungsrisiken sowie Risiken aus Weiterverlagerungen auseinandersetzen. Dabei ist zu berücksichtigen, dass Risikoanalysen auf Basis von instituts- bzw. gruppenweiten Regelungen regelmäßig und auch anlassbezogen zu erstellen sind.

Auslagerbarkeit von Kontroll- und Kernbankbereichen

Eine deutliche Verschärfung  ist hinsichtlich der Auslagerbarkeit der sog. Kontroll­bereiche und Kernbankbereiche, die als Steuerungs- und Kontrollbereiche für die Geschäftsleitung von besonderer Bedeutung sind, vorgesehen. So werden zukünftig Auslagerungen aus diesen Bereichen nur möglich sein, wenn das Institut weiterhin über betreffende fundierte Kennt­nisse und Erfahrungen verfügt, um die ausgelagerten Bereiche auch steuern und überwachen zu können. Ziel soll es in diesem Zusammenhang insbesondere sein, im Falle der Beendigung des Auslagerungsverhältnisses bzw. der Rückverlagerung oder der Änderung der Gruppenstruktur die ordnungsmäßige Fortsetzung des Betriebs sicherzustellen. Darüber hinaus ist im Falle von Vollauslagerungen ein für die Steuerung und Überwachung der Auslagerung zuständiger besonderer Beauftragter zu bestimmen.

Eine vollständige Auslagerung der Risikocontrolling-Funktion wird gänzlich ausge­schlossen. Eine vollständige Auslagerung der Compliance-Funktion und der Internen Revision wird nur für kleine Instituten zugelassen. Mittelbar kann man diese Kriterien aus der zusätzlichen Anforderung ableiten, wonach eine Vollauslagerung dann möglich ist, wenn eine Einrichtung dieser Funktionen vor dem Hintergrund der Institutsgröße sowie der Art, des Umfangs, der Komplexität und des Risikogehalts der betriebenen Geschäftsaktivitäten nicht angemessen erscheint.

Zentrales Auslagerungsmanagement

Für Institute insb. mit umfangreichen Auslagerungslösungen ist die Verpflichtung zur Einrichtung eines zentralen Auslagerungsmanagements aufgenommen worden. Aus Sicht der Aufsicht soll der Bereich den einheitlichen Umgang mit Risiken aus Auslagerungen und deren Überwachung sicherstellen. Im Wesentlichen soll das zentrale Auslagerungs­mana­ge­ment mit den folgenden Aufgaben betraut werden:

  • Implementierung und Weiterentwicklung von Kontroll- und Überwachungsprozesse.
  • Erstellung und Pflege der vollständigen Dokumentation der Auslagerungen (einschließlich Weiterverlagerungen).
  • Überwachung der institutsinternen und gesetzlichen Anforderungen.
  • Koordination und Überprüfung der durchgeführten
  • Sicherstellung, dass Risiko- bzw. Wesentlichkeitsanalysen instituts- oder gruppenweit einheitlich sowohl regelmäßig als auch anlassbezogen durchgeführt werden.
  • Erstellung eines mindestens jährlichen Berichtes mit Analysen zur Vertragstreue, Qualität und Steuerungsmöglichkeiten.

 

Exit-Strategien und Handlungsoptionen

Im vorliegenden Konsultationspapier wird die Notwendigkeit von Ausstiegsstrategien nochmals betont.

Diese sind „soweit sinnvoll und möglich“ festzulegen und dienen dem Ziel, die notwendige Kontinuität und Qualität der ausgelagerten Aktivitäten und Prozesse aufrechtzuerhalten bzw. in angemessener Zeit wieder herzustellen, sofern die Auslagerung unbeabsichtigt oder unerwartet beendet wird. Exit-Strategien und die daraus abgeleiteten Handlungsoptionen sind regelmäßig bzw. anlassbezogen zu überprüfen. Eine Erleichterung stellt es insoweit dar, dass bei gruppen- und verbundinternen Auslagerungen auf die Erstellung solcher Strategien verzichtet werden kann.

Sofern die Erstellung einer Ausstiegsstrategie – beispielsweise vor dem Hintergrund, dass nur ein Anbieter diese Auslagerungsleistung anbietet – nicht möglich ist, fordert die Aufsicht als Ersatz für die Exit-Strategie zumindest eine angemessene Berücksichtigung in der Notfallplanung. In einem derartigen Fall wird das Institut das damit verbundene Konzentrationsrisiko auch bereits bei der Durchführung der vor der Auslagerung durchzuführenden Risikoanalyse zu berücksichtigen haben.

Ebenfalls in den Kontext der Beendigung von Auslagerungen ist die Festlegung eines akzeptablen Grades der Schlechtleistung zu sehen. Bereits im Rahmen der Vertragsanbahnung sind für die dauerhafte Unterschreitung dieser definierten Grenze Kündigungsrechte zu vereinbaren. Offen gelassen wurde, ob das Institut bei Unterschreitung dieser Grenze aufsichtsrechtlich auch zur Ausübung des Kündigungsrechts verpflichtet sein soll.

Weiterverlagerung

Von der Aufsicht in der Vergangenheit immer wieder thematisiert wurde auch das Thema Weiterverlagerung. Nach der Konsultationsfassung sollen im Auslagerungsvertrag für den Fall der Weiterverlagerung entweder Zustimmungsvorbehalte zugunsten des auslagernden Instituts oder konkrete Voraussetzungen für die Weiterverlagerung einzelner Arbeits- und Prozessschritte vereinbart werden. Darüber hinaus ist vertraglich sicher zu stellen, dass sowohl das Auslagerungsunternehmen als auch das Weiterverlagerungsunternehmen ggü. dem auslagernden Institut informations- bzw. berichtspflichtig sind. Die Institute werden daher die bestehenden Auslagerungsverträge auf einen entsprechenden Anpassungsbedarf hin zu überprüfen haben.

Praktische Herausforderungen für die Institute

Zusammengefasst ist festzuhalten, dass sich aus dem Konsultationspapier der MaRisk-Novelle 2016 für das Management von Auslagerungen die Notwendigkeit einer umfassenden Analyse, nicht nur der bereits als Auslagerung eingestuften Sachverhalte, sondern auch solcher Sachverhalte ergeben, die bisher nicht als Auslagerung eingestuft wurden. Daraus ergeben sich insbesondere folgende Handlungsfelder:

  • Sicherstellung der vollständigen Erfassung von Auslagerungstatbeständen – insbesondere auch hinsichtlich des Fremdbezugs von Software
  • Überprüfung der Zulässigkeit von Auslagerungen mit Bezug zu Kontroll- und Kernbankbereichen
  • Überprüfung der Risikoanalysen – insbesondere im Hinblick auf die ausreichende Berücksichtigung von Risikokonzentrationen und der Risiken aus Weiterverlagerungen – sowie Herstellung von instituts- bzw. konzerneinheitlichen Regelungen zur Herleitung bzw. Überprüfung der Risikoanalysen
  • Sicherstellung des Nachweises ausreichend fundierter Kenntnisse und Erfahrungen im eigenen Institut für die effektive Wahrnehmung der Steuerung und Kontrolle der ausgelagerten Funktionen
  • Bestellung von „Beauftragten“ für Fälle zulässiger Vollauslagerungen in Kontroll- und Kernbankbereichen
  • Schärfung der Exit-Strategien unter Durchführung von Beschlussfassungen hinsichtlich der identifizierten Handlungsoptionen
  • Analyse bestehender Auslagerungsverträge in Bezug auf Anpassungsbedarfe aufgrund der neuen Regelungen zu Weiterverlagerungen, Kündigungsrechten und Anforderungen an die Datensicherheit
  • Schaffung eines zentralen Auslagerungsmanagements und Erarbeitung eines Konzeptes für die jährliche Berichterstattung des zentralen Auslagerungsmanagements an die Geschäftsleitung

 

Auslagerungen

 

RA StB Dr. Wolfgang Frank

Telefon    +49 711 25034 5106

Mobil       +49 170 794 2938

wolfgang.frank@de.pwc.com

WP Dieter Lienland

Telefon    +49 211 981 4929

Mobil       +49 171 553 2631

dieter.lienland@de.pwc.com

Dr. Daniel Mantzel

Telefon    +49 40 6378 1646

Mobil       +49 151 1501 6010

daniel.mantzel@de.pwc.com

Stefanie Gadow

Telefon    +49 211 981 2908

Mobil       +49 170 223 8474

stefanie.gadow@de.pwc.com

 

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

/* */