Ole Koudmani, Individualkundenberater, Förde Sparkasse; Thorsten Rabeler, Interne Revision, Sparkasse Südholstein; Lars Heinrich Willer, Leiter Passivmanagement, Sparkasse zu Lübeck; Prof. Dr. Wolfgang Portisch, Leiter Bereich Bank- und Finanzmanagement, Hochschule Emden/Leer.
I. Neuerungen und voraussichtliche Auswirkungen auf eine MaRisk Novelle
Am 25.02.2019 wurden die neuen EBA Guidelines veröffentlicht.[1] Die erlassenden Regelungen gelten seit dem 30.09.2019 für direkt von der EBA überwachte Kreditinstitute und gehen deutlich über die aktuellen nationalen deutschen Anforderungen (MaRisk AT 9 und BAIT) hinaus. Die nachfolgende Tabelle 1 zeigt die wesentliche Entwicklung der Veröffentlichungen der relevanten Regulierungsvorhaben.
[...]
Beitragsnummer: 8920Quelle | Zeitpunkt Veröffentlichung |
KWG | Ursprüngliche Fassung vom 05.12.1934 |
MaRisk (1.0) | 20.12.2005 |
GL On Outsourcing CEBS | 14.12.2006 |
1. MaRisk Novelle (2.0) | 30.10.2007 |
2. MaRisk Novelle (3.0) | 14.08.2009 |
3. MaRisk Novelle (4.0) | 15.12.2010 |
4. MaRisk Novelle (5.0) | 14.12.2012 |
5. MaRisk Novelle (6.0) | 27.10.2017 |
BAIT | 03.11.2017 |
EBA REC | 20.12.2017 |
EBA GL | 25.02.2019 |
6. MaRisk Novelle (7.0) | Umsetzung EBA GL voraussichtlich 2020 |
Tabelle 1: Zeitliche Einordnung regulatorischer Anforderungen
Im Rahmen des Single Rulebook erfolgt eine Harmonisierung der aufsichtsrechtlichen Standards für alle Kreditinstitute der Europäischen Union durch die EBA. In Deutschland werden derzeit 21 Institute direkt von der von der EZB überwacht. Die BaFin folgt dem Grundgedanken der europäischen Bankenunion und übernimmt auch Leitlinien in Ihre Verwaltungspraxis. Somit sind auch alle deutschen Less Significant Institutions (LSI) angehalten die europäischen Standards, die tendenziell für systemrelevante Institute entworfen wurden, umzusetzen.
Die EBA Leitlinien müssen grundsätzlich nur durch die von der EZB direkt überwachten und systemrelevanten Institute zum 30.09.2020 umgesetzt werden. Eine Konkretisierung auf nationaler Ebene für LSIs muss durch die BaFin erfolgen und wird voraussichtlich mit der Erweiterung der MaRisk AT 9 im vierten Quartal 2020 veröffentlicht. Dadurch haben LSIs, die nicht unter die direkte Beaufsichtigung der Europäischen Zentralbank fallen, die Möglichkeit sich rechtzeitig mit den Anforderungen der EBA Guidelines zu beschäftigen und den Handlungsbedarf im Rahmen einer Gap-Analyse zu identifizieren sowie Maßnahmen zu ergreifen.
Die kurze Umsetzungsfrist, die gestiegene Komplexität im Umgang mit Dienstleistern in Verbindung mit den zu ergreifenden Maßnahmen sowie die komplexe Rechtsgrundlage in Bezug auf die Gültigkeit von europäischen Leitlinien stellen speziell kleinere und mittlere Institute in Deutschland vor große Herausforderungen.
Es wird untersucht, welche zentralen Neuerungen die EBA Guidelines on Outsourcing aufweisen und welche Auswirkungen sie auf die künftige MaRisk Novelle haben. Hieraus werden Handlungsempfehlungen für LSIs ersichtlich, wie Abb. 1 verdeutlicht.
Abbildung 1: Herangehensweise der Untersuchung
II. MaRisk zur Umsetzung nationaler Anforderungen an Auslagerungen
Die zentrale gesetzliche Grundlage der MaRisk ist § 25a Abs. 1 KWG. Diese fordert von in Deutschland tätigen Kredit- und Finanzdienstleistungsinstituten eine ordnungsgemäße Geschäftsorganisation, die sich an den entsprechenden Strategien, wie Geschäftsstrategie und Risikostrategie, ausrichtet. Zudem regelt § 25b KWG als Teil der ordnungsgemäßen Geschäftsorganisation die spezifischen Anforderungen, die ein Institut im Falle der Auslagerung von wesentlichen Aktivitäten und Prozessen erfüllen muss.
Nicht darunter subsumierbare Auslagerungen können dennoch den allgemeinen Vorgaben des § 25a KWG unterfallen. Die MaRisk stellen insofern eine Normeninterpretation mit konkretisierendem Charakter dar, die zudem für die Institute bindend sind. Die Regelungen der MaRisk entfalteten mit ihrer Veröffentlichung am 27.10.2017 teilweise Neuregelungscharakter, im Besonderen für das Management von Auslagerungen[2].
Die EBA Leitlinien zum Auslagerungsmanagement sind für direkt überwachte Institute bereits zum 30.09.2019 umzusetzen. LSIs dürfen sich hingegen auf die Umsetzung in den MaRisk berufen. Umfangreiche Unterschiede zwischen den EBA Leitlinien zum Auslagerungs-management und den bestehenden nationalen Regelungen der MaRisk zeigen, dass ein entsprechender Umsetzungsaufwand mit der von der BaFin avisierten Einführung in 2020 einhergehen wird. Zusätzliche Mindestanforderungen sind nach der Gegenüberstellung für folgende Punkte zu erwarten:
- Aufbau und Umfang der Risikoanalyse
- Mindestvereinbarungen in Auslagerungsverträgen
- Umfang des Informationsregisters (Dokumentation)
- Rahmen der Governance
- Aufsichtsdialog
Eine Risikoanalyse ist die Grundlage für eine Auslagerungsentscheidung, für die laufende Steuerung und Überwachung. Zudem ist diese regelmäßig und anlassbezogen zu wiederholen. In der Struktur sollte die Risikoanalyse immer einem gleichbleibenden Ansatz folgen, um Ergebnisverzerrungen für wiederholte Risikoanalysen bei einzelnen Auslagerungen oder auch übergreifend für das gesamte Auslagerungsportfolio zu vermeiden. Nachfolgend wird der Gang der Risikoanalyse nach den MaRisk in Abb. 2 skizziert. Auf dieser Basis werden im Folgenden die Bedingungen der EBA Guidelines on Outsourcing den MaRisk-Anforderungen zur Auslagerung gegenübergestellt, wie Tabelle 2 zeigt.
Abbildung 2: Ablauf einer Risikoanalyse bei Auslagerungen nach MaRisk
III. Wesentliche Erweiterungen der EBA Guidelines zu den MaRisk
MaRisk, Stand 27.10.2017 | EBA Guidelines on Outsourcing |
Fristen |
Neuerungen waren umzusetzen bis zum 31.10.2018 | Gelten für „EBA watched Institutions“ ab dem 30.09.2019 unmittelbar mit teilweise verlängerter Umsetzungsfrist bis zum 31.12.2021. |
Auslagerungsmanagement |
Zentrales Auslagerungsmanagement unter Proportionalitätsgesichtspunkten gefordert. | Zentrales Auslagerungsmanagement mit zusätzlichen Aufgaben. |
Auslagerungsregister |
Erstellung und Pflege einer vollständigen Dokumentation der Auslagerungen einschließlich Weiterverlagerungen. | Register aller wesentlichen und unwesentlichen Auslagerungen, Anforderungen grundsätzlich mit verlängerter Umsetzungsfrist bis 31.12.2021. |
Mindestinhalte für alle Auslagerungen grundsätzlich gleich bemessen. | Mindestinhalte für wesentliche Auslagerungen sind umfangreicher im Verhältnis zu unwesentlichen Auslagerungen. |
Turnusgemäße, mindestens jährliche Überprüfung der Auslagerungen. | Auslagerungsregister müssen aktuell gehalten werden. |
Mindestens jährlicher Bericht an die Geschäftsleitung. | Jährliche Meldepflicht mittels Template nach Anzeigenverordnung (AnzV). |
Informationspflichten gegenüber der Aufsicht |
Keine generelle Meldepflicht wesentlicher und unwesentlicher Auslagerungen. | Geplante wesentliche und wesentlich gewordene Auslagerungen sind zu melden. |
Im Rahmen bestehender Berichtspflichten (z. B. der Internen Revision nach BT 2.4 MaRisk) wird die Aufsicht informiert. | Wesentliche Änderungen und schwere Vorfälle bei bestehenden Auslagerungen mit wesentlichem Einfluss auf die Geschäftstätigkeit sind zu melden. |
Zugangs-, Informations- und Prüfungsrechte |
Rechte nur bei wesentlichen Auslagerungen gefordert. | Rechte sind von allen Auslagerungen zu gewähren. |
Bei nicht wesentlichen Auslagerungen genügt gegebenenfalls eine Risikoanalyse. | Bei unwesentlichen Auslagerungen besteht der risikobasierte Ansatz, Verzicht möglich. |
Anderweitige Durchführung der Revisions-tätigkeit ist gestattet. | Durchführung der Revisionstätigkeit durch Auslagerungsunternehmen wird von der EBA kritisch gesehen. |
Verwendung von Zertifikaten wird geprüft. | Verwendung von Zertifikaten und Prüfungs-berichten Dritter möglich, jedoch sind weitere Mindestanforderungen zu beachten. |
Wesentlichkeit |
Eigenverantwortliche Bestimmung durch das Institut. | Umfangreiche Vorgaben (Katalog) der Aufsicht. |
Bestimmung der Wesentlichkeit durch eine Risikoanalyse. | Verweis auf die Risikoanalyse. |
Berücksichtigung externer Informationen. | Due-Diligence-Prüfung. |
Dienstleistungen Dritter (DLD) |
Beschränkungen der Auslagerbarkeit bei besonderen Funktionen (Risikocontrolling-Funktion nicht auslagerungsfähig, Compliance und Revision nur bei kleinen Instituten), Aspekte der Unterstützungsleistungen und Betrieb von Risikosoftware durch Dritte gilt als Auslagerung. | Umfangreiche Liste der nicht für DLD geeigneten Dienstleistungen. |
Governance |
Auslagerungsverbote und Beschränkungen in Verbindung mit AT 3 MaRisk (Gesamtverantwortung Geschäftsleitung) und AT 4.2 MaRisk (Auslagerungsstrategie). | Verbot von „empty shells“ wird untermauert durch die Steuerungs-, Risiko-, Prozess- und Dokumentationsanforderungen der vorliegenden GL. |
Auslagerungspolicy |
Regelungen zu Verfahrensweisen bei wesentlichen Auslagerungen fixieren. | Regelungen gelten auch für nicht wesentliche Auslagerungen, Vorgabe von Mindestinhalten, inhaltliche Überprüfung bestehender wesentlicher Auslagerungsverträge mit verlängerter Umsetzungsfrist bis 31.12.2021. |
Tabelle 2: Darstellung der Erweiterungen der EBA Guidelines zu den MaRisk
IV. Untersuchung der Auswirkung durch die EBA Guidelines
Die neuen Anforderungen der EBA Guidelines on Outsourcing waren die Grundlage einer Expertenbefragung in LSI-Banken, um den Handlungsbedarf, der sich aus der Umsetzung dieses Regulierungsvorhabens ergibt, zu ermitteln. Befragt wurden Spezialisten aus internen Revisionsabteilungen der Banken. Wesentliches Ziel der Untersuchung war die Entwicklung einer Checkliste, die eine für 2020 erwartete aufsichtliche Umsetzung der EBA-Richtlinien für Auslagerungen auf nationaler Ebene berücksichtigt.
V. Erkenntnisse der empirischen Untersuchung zu Auslagerungen
Die befragten Kreditinstitute wurden nach dem Konzentrationsprinzip anhand von Bilanzsumme und Mitarbeiterkapazität ausgewählt. Die acht befragten Kreditinstitute weisen eine durchschnittliche Bilanzsumme von rund 4.156 Mio. € auf und beschäftigen durchschnittlich 656 Mitarbeiter. Es wurden jeweils die Outsourcing-Experten zu Auslagerungen in den einzelnen Banken befragt.
Alle befragten Institute gaben an, Aktivitäten und Prozesse bundesweit auszuschreiben und gegebenenfalls auszulagern. Durchschnittlich sind bei den befragten Kreditinstituten 9 wesentliche und 21 nicht wesentliche Aktivitäten und Prozesse ausgelagert. Anhand dieser Daten konnte ein Zusammenhang zwischen Bilanzsumme und denen als wesentlich eingestuften und ausgelagerten Aktivitäten und Prozessen hergestellt werden. Es ist hierbei deutlich geworden, dass die Anzahl der als wesentlich eingestuften und ausgelagerten Aktivitäten und Prozesse mit einer steigenden Größe des Instituts abnimmt, wie die folgende Abb. 3 zeigt.
Abbildung 3: Zusammenhang Bilanzsumme und Anzahl ausgelagerter Prozesse
Die befragten Kreditinstitute gaben zudem anhand einer Rangordnung, welche Herausforderungen am stärksten im Unternehmen gewichtet werden. Die Institute gaben an, dass der Bereich der Risikoanalyse die mit Abstand größte Herausforderung darstellt. Umfassenden Handlungsbedarf stellen für die Kreditinstitute die Dokumentationsanforderungen dar, wie Abbildung 4 verdeutlicht.
Abbildung 4: Umsetzungsaufwand der Anpassung an die EBA Guidelines on Outsourcing
Durch die direkte Ansprache der Experten der jeweiligen internen Revisionsabteilungen der Institute konnte eine sehr hohe Qualität der Antworten gewährleistet werden. Somit wurde das Ziel der Untersuchung umgesetzt und es konnte eine Checkliste zur Identifizierung des Handlungsbedarfs zur Umsetzung der EBA Guidelines on Outsourcing erstellt werden.
VI. Checkliste zur Identifizierung des Handlungsbedarfs
Aufgrund der EBA Guidelines on Outsourcing Arrangements und den bekannten Informationen von Seiten der nationalen Aufsicht werden Annahmen getroffen, welche Bestandteile die avisierte 6. MaRisk Novelle für das Auslagerungsmanagement in LSI umsetzen wird. Im Vorfeld der Corona Pandemie wurde noch eine MaRisk Novelle bis Ende 2020 in Aussicht gestellt[3]. Klarstellungen, die keine neuen Regelungsinhalte haben, werden vermutlich unmittelbar gelten. Neben anderen neuen Regelungsinhalten wird es wahrscheinlich auch eine verlängerte Umsetzungsfrist für die Themenfelder
- Anforderungen an das zentrale Auslagerungsregister und
- die Überprüfung bestehender wesentlicher Auslagerungsverträge
bis zum 31.12.2021 geben[4].
Die folgende Tabelle 3 stellt für LSI seine abgeleitete Checkliste dar, aus der potenzielle Aufgaben im Rahmen einer bevorstehenden MaRisk-Umsetzung im Bereich des Auslagerungsmanagements abgeleitet werden können. Des Weiteren fließen Erkenntnisse der Expertenbefragung in diese Checkliste mit ein. Für die Planung und abschließende Umsetzung der angenommenen neuen Anforderungen werden durch die befragten Kreditinstitute durchschnittlich 274 Tage veranschlagt.
Checkliste | Ja | Nein |
Bewertung von Auslagerungsvereinbarungen |
Kommt es durch eine oder mehrere Auslagerungen (Weiterverlagerungen) unter Beteiligung eines bestimmten Dienstleisters bei der Adresse zu einer Risikokonzentration? | Tz. 66 | |
Rahmen für die Governance |
Werden jegliche Fremdbezüge in einer ganzheitlichen Risikosteuerung berücksichtigt? |
| Tz. 33 |
Besteht eine den Mindestanforderungen entsprechende und mit dem Geschäftsmodell konsistente Auslagerungsstrategie (unter anderem Vermeidung von Briefkastenfirmen oder leeren Hüllen „empty shells“)? |
| Tz. 39 |
Berücksichtigt die schriftliche Ordnung für Auslagerungsprozesse - die Zuständigkeiten?
- die zentralen Phasen im Lebenszyklus von Auslagerungsvereinbarungen?
- Definitionen der Auslagerungsgrundsätze?
- die Prozesse bezüglich Auslagerungen?
|
| Tz. 41-44 |
Werden die Anforderungen zur Vermeidung von Interessenkonflikten berücksichtigt? |
| Tz. 45-47 |
Wird ein zentrales Auslagerungsregister entsprechend differenziert nach Einstufung der Dienstleistungen und den damit verbundenen Mindestinformationen auf dem aktuellen Stand jederzeit vollständig geführt? |
| Tz. 52 ff. |
Berücksichtigt das zentrale Auslagerungsregister auch angemessene Zeiträume für Auskünfte bei beendeten Auslagerungen? | | Tz. 52 |
Sind die Voraussetzungen für einen „Aufsichtsdialog“ gegeben? (Meldewesen etc.) | | Tz. 58-59 |
Auslagerungsprozess |
Bei internationalen Auslagerungen/ Weiterverlagerungen (außerhalb der EU): Werden die Mindestanforderungen der Aufsicht an internationale Dienstleister berücksichtigt zu den Themen - ethische und soziale Werte (Menschenrechte)?
- Zulassungsstandards?
- Prüfungsstandards?
|
| Tz. 73 |
Wurde der Risikoanalyseprozess beispielsweise bezüglich veränderter Mindestanforderungen an die (inkl. Weiterverlagerung von wesentlichen Funktionen), - Geeignetheitsprüfung (due diligence),
- Identifizierung aller relevanten Risiken,
- Prüfung von Interessenkonflikten,
- Analyse besonderer Risiken bei Nicht-EU-Standorten und
- Auslagerungsvereinbarungen (Kontrollen, Einflussmöglichkeiten) angepasst?
| | Tz. 31, 67-68 Tz. 69-73 Tz. 69 Tz. 45-47 Tz. 73 Tz. 74-75 |
Berücksichtigen die Zugangs-, Informations- und Prüfungsrechte - Vollumfänglichkeit bei wesentlichen Auslagerungen?
- ausreichende Informations- und Ermittlungsbefugnisse der Behörden?
- die Situation, dass Auslagerungen nachträglich als wesentlich eingestuft werden?
- auch ggf. betroffene sonst. Fremdbezüge (z.B. Datenvernichter)?
| | Tz. 85-97 |
Sind die Kündigungsrechte weitreichend und ausreichend flexibel in Bezug auf eine Umverlagerung oder Wiedereingliederung vereinbart? | | Tz. 98-99 |
Liegen ausreichend dokumentierte Ausstiegsstrategien für betreffende Auslagerungen vor? |
| Tz. 106-108 |
Tabelle 3: Checkliste zur Identifizierung des Handlungsbedarfs
VII. Zusammenfassung und Handlungsempfehlung
Nach Betrachtung der bestehenden Auslagerungen und Ableitung der notwendigen Handlungsempfehlungen auf Basis der Checkliste für die Auslagerungsbestände der Kreditinstitute wird klar, dass die Umsetzung der EBA Guidelines on Outsourcing vermutlich mit erheblichem Aufwand verbunden sein wird.
In diesem Kontext sollte die Wirtschaftlichkeit von Auslagerungen neu bewertet werden. Der Trend der vergangenen Jahre mit Auslagerungen Synergieeffekte und Kostenvorteile durch Spezialisierung und Zentralisierung zu schaffen, kann sich aufgrund der weiterreichenden neuen Anforderungen ändern und dem damit verbundenen Regulierungsaufwand. Unklar wird sein, inwieweit besonders kleine Kreditinstitute in der Lage sein werden, die Anforderungen an Auslagerungen einzuhalten und zu überwachen. Erschwerend kommt der nötige Wissensaufbau zur Überwachung der ausgelagerten Tätigkeiten hinzu.
PRAXISTIPPS
- LSIs sollten sich zwingend zeitnah mit den sehr wahrscheinlich eintretenden Änderungen durch eine MaRisk-Novelle beschäftigen (Gap-Analyse).
- Auslagerungen sollten mit Blick auf die neuen Anforderungen und den damit verbundenen betriebswirtschaftlichen Auswirkungen strategisch neu beurteilt werden.
- Die Institute sollten spätestens jetzt einen vollständigen Überblick über alle bestehenden Dienstleistungsverträge schaffen.
- Die Qualität der Dienstleistersteuerung nicht wesentlicher Auslagerungen sollte anhand bestehender und abzusehender Neuerungen kritisch hinterfragt und optimiert werden.
- Dienstleister, die nicht dem KWG unterliegen (z. B. Geld- und Werttransportunternehmen), sollten dahingehend untersucht werden, ob diese die für LSI geltenden Mindeststandards (z. B. BAIT) tendenziell erfüllen können.
[1] EBA, Guidelines on Outsourcing (EBA/GL/2019/02) vom 25.02.2019, deutsche Fassung: (EBA/GL/2019/02) Leitlinien zu Auslagerungen vom 25.02.2019.
[2] BaFin, Rundschreiben 09/2017 (BA), Mindestanforderungen an das Risikomanagement, MaRisk vom 27.10.2017.
[3] Vgl. BaFin, Ausblick auf die MaRisk-Novelle 2020, Gesprächskreis kleiner Institute, S. 6 vom 05.09.2019.
[4] Vgl. Aktuelles aus der BaFin: Auslagerungsregelungen bei Mehrmandantendienstleistern, EBA Guidelines On Outsourcing Arrangements – wesentliche Neuerungen, S. 4 vom 03.06.2019.
Weiterlesen?
Dies ist ein kostenloser Beitrag aus unserem Beitragsarchiv.
Um diese Beiträge lesen zu können, müssen Sie sich bei MeinFCH anmelden oder registrieren und danach auf Beitragsarchiv klicken.
Anmeldung/Registrierung
Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "Beitragsarchiv" Ihre
Beiträge anschauen.