MaRisk-Novelle beschlossen MaRisk-Novelle beschlossen

Das Warten hat ein Ende: Die am 27. Oktober 2017 veröffentlichte Endfassung der fünften MaRisk-Novelle bringt mehr Klarheit für Akteure im Finanzsektor, die sich mit Auslagerungen und dem erforderlichen Risikomanagement beschäftigen.

Die Novelle beendet eine Situation, die in der Vergangenheit häufig zu Diskussionen zwischen Finanzinstituten und externen Prüfern führte: Während Prüfer nach der weitest denkbaren Regelauslegung arbeiteten, tendierten Finanzinstitute eher zum Gegenteil. Mit der jetzt veröffentlichten Novelle soll nun dieser Interpretationsspielraum verringert werden.

Wir sprachen mit Bernd Schumacher, Partner Financial Services bei KPMG Deutschland, über die wesentlichen Neuerungen, die die MaRisk-Novelle für Auslagerungen (MaRisk AT9) bedeutet.

Die wesentlichste Neuerung ist der Umgang mit Software. Wenn diese zum Umgang mit Risiken eingesetzt wird oder für die Durchführung von bankgeschäftlichen Aufgaben von wesentlicher Bedeutung ist, dann sind künftig eine Vielzahl von Unterstützungsleistungen zu dieser Software als Auslagerungen zu betrachten, beispielsweise Anpassungsleistungen, Testen und Freigabe. Dies wird in der Praxis erhebliche Auswirkungen haben.

Die Steuerung der Risiken ist tatsächlich einer der wichtigsten Punkte, wenn Finanzinstitute Auslagerungen planen oder bereits umgesetzt haben. Die Aufsicht fordert eine einheitliche Risikoanalyse basierend auf instituts- bzw. gruppeneinheitlichen Vorgaben, die insbesondere Risikokonzentrationen und Weiterverlagerungsrisiken berücksichtigt. Eine solche Analyse ist nicht statisch, sondern kann sich durchaus im Laufe der Zeit ändern.

Der Gesetzgeber nimmt darauf jetzt Bezug und verlangt ausdrücklich eine regelmäßige und anlassbezogene Überprüfung der Risikoanalyse. Das gilt zum Beispiel zum einen für eine geplante Auslagerung, wenn der Auslagerungssachverhalt und der jeweilige Dienstleister einer Prüfung unterzogen werden. Es gilt aber auch bei bereits bestehenden Auslagerungen, wenn sich hier beispielsweise durch Vertragserweiterungen neue Risiken ergeben könnten.

Nein. Bei Auslagerungen in Kontroll- und Kernbereichen gilt in Zukunft die Prämisse, dass fundierte Kenntnisse weiterhin im Finanzinstitut bestehen müssen. Auch die vollständige Auslagerung von Risikocontrolling, Compliance und Interner Revision ist nur noch mit Einschränkungen möglich – beispielweise bei kleinen Instituten. Der Grund dafür leuchtet ein: Auch wenn ein Vertragsverhältnis zu einem externen Dienstleister überraschend endet, muss sichergestellt sein, dass der ordnungsgemäße Betrieb im Finanzinstitut aufrechterhalten wird. Das geht aus Sicht des Gesetzgebers am besten, wenn die dafür nötigen Kenntnisse im Finanzinstitut selbst vorhanden sind.

Gegen ungeplante Überraschungen kann man sich bekanntermaßen kaum schützen, da ist der Finanzsektor wie das Leben. Das bedeutet aber nicht, dass man für den Fall der Fälle nicht dennoch vorbereitet sein kann. Die Bankenaufsicht nimmt hier die Institute ausdrücklich in die Pflicht, die konkreten Schritte für mögliche Handlungsoptionen schon vorher zu entwickeln – und übrigens auch regelmäßig auf ihre Durchführbarkeit zu überprüfen. Die Institute werden somit dazu angehalten, die Kontinuität und Qualität der Prozesse nicht nur bei beabsichtigter und erwarteter, sondern auch bei unbeabsichtigter und unerwarteter Beendigung beizubehalten.

Hier sehen wir eine wesentliche Neuerung der MaRisk-Novelle: Sie schreibt jetzt konkret vor, ein zentrales Auslagerungsmanagement einzurichten. Dieses ist in erster Linie dafür zuständig, eine einheitliche und konsistente Steuerung bzw. Überwachung aller Aus- und Weiterverlagerungen zu gewährleisten, indem entsprechende Kontroll- und Überwachungsprozesse implementiert und dokumentiert werden. Es hat aber auch dafür zu sorgen, dass die von den einzelnen Bereichen durchgeführten Risikoanalysen korrekt durchgeführt werden.

Auf diese Weise soll ein Gesamtüberblick über alle Auslagerungen und ein angemessenes Bild der aktuellen Risikolage des Auslagerungsportfolios hergestellt werden. Zu den wesentlichen Aufgaben des zentralen Auslagerungsmanagements wird zukünftig also auch die regelmäßige Berichterstattung dieser Risikosituation an die Geschäftsführung gehören.

Es wäre sehr überraschend, wenn die jetzigen Neuerungen in den kommenden Aufsichtsprüfungen nicht in den besonderen Fokus der Behörden rücken würden. Die spannende Frage in den Finanzinstituten ist sicherlich, ob und in welchem Umfang die jetzt festgelegten Anforderungen schon in der Vergangenheit befolgt wurden. Und für die Institute, die hier Nachholbedarf haben, ist nun endgültig die Zeit gekommen, diese Lücke zu schließen.

Sie wollen mehr erfahren zu Auslagerungen im Finanzsektor? Dann lesen Sie zu Sourcing-Strategien im Finanzsektor unser aktuelles Whitepaper Wo geht’s denn hier zur Auslagerung?