Aktuelle Anforderungen aus der MaRisk-Novelle 2017
Holger Aurisch, MBA, Bereichsdirektor MarktService/Prokurist | Recht & Compliance, Volksbank Breisgau Nord eG
Änderungen aus den MaRisk 2017
Die Aufsicht hat mit Rundschreiben 09/2017 die Anforderungen an das Outsourcing gegenüber der Fassung von 2012 deutlich konkretisiert und erweitert. So wurde beispielsweise klargestellt, dass die besonderen Funktionen des AT 4.4 nur unter bestimmten Konstellationen vollständig ausgelagert werden dürfen. Neu eingeführt wurde die Anforderung an ein zentrales Auslagerungsmanagement, sofern Art, Umfang und Komplexität der ausgelagerten Aktivitäten dies erfordern. Diese neue Funktion hat mindestens einen jährlichen Bericht über die wesentlichen Auslagerungen zu erstellen, in dem steht, ob die Qualität der erbrachten Dienstleistungen vertragskonform war und ob die Steuerung der Aktivitäten und Prozesse trotz Auslagerung möglich ist. Die Anforderungen an die Weiterverlagerung von Tätigkeiten wurden konkretisiert und im Zusammenspiel mit den Anforderungen aus den BAIT wurde das Thema Software als Auslagerung oder Fremdbezug geschärft.
BUCHTIPP
Auslagerung nach MaRisk, 2018.
Dienstleistersteuerung: Aufsichtsrechtliches Übel oder betriebswirtschaftliche Pflicht?
Kennen Sie den Witz mit dem Vergleich der Fertigungstiefe von Automobilherstellern und derer von Banken? Demzufolge müssten die Autohersteller bei gleicher Fertigungstiefe wie Banken auch noch die Kühe züchten, aus denen das Leder für die Sitze gemacht wird. Diese Aussage ist nun auch schon einige Jahre alt und die Fertigungstiefe hat bei Banken in dieser Zeit sicher abgenommen, auch wenn die Eigenproduktion immer noch deutlich über der der Autohersteller liegt. Ob der Vergleich aber genau zutrifft oder nicht, der Grad der Professionalität bei der Dienstleistersteuerung ist gefühlt um ein Vielfaches höher als in der Bankbranche. Die modernen Produktionsprozesse mit just-in-time bzw. just-in-sequence Prozessen erfordern, dass der Hersteller in höchstem Maß sicherstellen muss, dass die vereinbarte Leistung in der vereinbarten Qualität zur richtigen Zeit am richtigen Ort vorhanden ist, sonst drohen Produktionsausfälle. Auch wenn die Bankprozesse diesen Reifegrad noch nicht erreicht haben, verwundert es doch nicht, dass die Aufsicht das Thema in der MaRisk-Novelle 2017 deutlich in den Vordergrund gestellt hat und den Aktivitäten der Dienstleistersteuerung deutlich mehr Beachtung in den Banken verschaffen will.
Soll dieser regulatorische Vorstoß nun also nur als Gängelei einer ohnehin schon stark und eng regulierten Branche verstanden werden, oder liegen in den neuen Anforderungen auch Chancen bzw. betriebswirtschaftliche Selbstverständlichkeiten? Um es vorweg zu nehmen: Die Steuerung von Dienstleistern ist eine Kernaufgabe im Qualitätsmanagement, denn ohne eine solche wird die Erreichung der erforderlichen Produkt- bzw. Dienstleistungsqualität nicht dauerhaft realisierbar sein, oder zu einem Zufallsergebnis verkommen.
Nähern wir uns der Fragestellung von der betriebswirtschaftlichen Seite wird ebenso klar, dass die Ansprüche an Effektivität und Effizienz von erworbenen Leistungen Dritter in einem angemessenen Verhältnis stehen müssen. Ansonsten handelt es sich um eine schlechte betriebswirtschaftliche Entscheidung. Es sollte also im ureigenen Interesse des Unternehmens liegen, dass sich die zuständigen Fachabteilungen mit ihren Dienstleistern intensiver befassen, als dies in der Vergangenheit der Fall war. Prüfungsseitige Grundlage ist neben dem generellen Auslagerungsprozess und dem Auslagerungsmanagement insbesondere der jeweilige Auslagerungsvertrag. Dieser kann in gewisser Weise auch das Machtgefüge zwischen Institut und Dienstleister widerspiegeln, nämlich anhand des Grades der bankseitig bestimmten und umgesetzten Individualisierungswünsche.
SEMINARTIPPS
Neue Pflichten für Dienstleister-Steuerung, 14.11.2018, Frankfurt/M.
Auslagerungsverträge auf dem Prüfstand, 15.11.2018, Frankfurt/M.
Prüfung Auslagerungsprozesse, 22.11.2018, Köln.
Auslagerungen im Fokus neuer MaRisk & BAIT, 10.–11.12.2018,
Frankfurt/M.
Der Auslagerungsvertrag
Kernelement der Dienstleistersteuerung ist der Auslagerungsvertrag. Im Gegensatz zu einem gewöhnlichen Vertrag zwischen zwei Unternehmen, z. B. über den Kauf von Produktionsmaterial in der Industrie, sind im bankgeschäftlichen Umfeld die in AT 9, Tz. 7 MaRisk geforderten Vereinbarungen aufzunehmen. Insbesondere ist auf den Einbezug folgender Inhalte zu achten:
- Klare Spezifizierung der durch das Auslagerungsunternehmen zu erbringenden Leistungen und Definition von Leistungskriterien, um eine laufende Beurteilung der erbrachten Leistungen zu ermöglichen
- Beachtung datenschutzrechtlicher Anforderungen (bei Altverträgen ggf. Update auf DSGVO) und Sicherheitsanforderungen
- Festlegung von Kündigungsrechten und -fristen
- Informationspflichten zu möglichen Beeinträchtigungen der ordnungsgemäßen Abwicklung der beauftragten Leistungen
- Festlegung von Prüf- und Kontrollrechten der Internen Revision des Auftraggebers sowie externer Prüfer und Behörden der ausgelagerten Aktivitäten und Prozesse
- Definition von Zustimmungsrechten für Weiterverlagerungen bzw. konkrete Voraussetzungen, welche das Auslagerungsunternehmen hierzu zu beachten hat.
Speziell dem erstgenannten Punkt kommt bei der Dienstleistersteuerung zentrale Bedeutung zu. Hier ist unbedingt darauf zu achten, dass sowohl im Vorfeld einer beabsichtigten Auslagerung als auch im laufenden Überwachungsprozess beurteilt wird, ob es sich um geeignete Kriterien handelt, um die Leistungsqualität dauerhaft sicherzustellen.
PRAXISTIPPS
- Definieren Sie klare Verantwortlichkeiten im Auslagerungsmanagement.
- Stellen Sie prozessual sicher, dass die Auslagerungsverträge regulatorischen und betriebswirtschaftlichen Anforderungen entsprechen.
- Entwickeln Sie klare Kriterien zur Leistungsüberwachung im Rahmen der Dienstleistersteuerung.
Beitragsnummer: 738