Aufrufe
vor 6 Jahren

RISIKO MANAGER 02.2018

RISIKO MANAGER ist das führende Medium für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen. Mit Themen aus den Bereichen Kreditrisiko, Marktrisiko, OpRisk, ERM und Regulierung vermittelt RISIKO MANAGER seinen Lesern hochkarätige Einschätzungen und umfassendes Wissen für fortschrittliches Risikomanagement.

40

40 RISIKO MANAGER 02|2018 OpRisk Zentrales Auslagerungsmanagement nach der MaRisk-Novelle Banken und Finanzdienstleister stehen bei ihren Auslagerungen vor einem radikalen organisatorischen Umbruch. Mit der angekündigten MaRisk-Novelle adressiert die Aufsichtsbehörde BaFin die zwingende Anforderung zur Einrichtung eines Zentralen Auslagerungsmanagements (kurz: ZAM), das vor allem koordinierende und überwachende Aufgaben einnehmen soll. Für die auslagernden Institute stellt sich hier vor allem die Frage, ob und inwieweit beispielsweise bereits bestehende und übergreifend agierende Organisationseinheiten zur Steuerung und Kontrolle von Auslagerungen und Dienstleistern die Anforderung erfüllen oder nicht. Auch wenn IT-Bereiche im Banken- und Finanzdienstleistungsumfeld erfahrungsgemäß die höchste Auslagerungsquote und damit über umfangreiche Erfahrungen und Kompetenzen verfügen, bleibt die organisatorische Zuordnung des neuen ZAM zunächst offen, soll es doch für alle Fachbereichsauslagerungen künftig verantwortlich sein. Das Bestreben der Banken nach Kostenoptimierung und Effizienzsteigerung wurde von der Bundesanstalt für Finanzdienstleistungsaufsicht (kurz: BaFin) zum Anlass genommen, ihre Mindestanforderungen an das Risikomanagement (kurz: MaRisk) zu reformieren. Diese liegen zurzeit im Konsultationsentwurf vom 18. Februar 2016 als 5. Novellierung vor. Mit ihrer Veröffentlichung ist noch in 2017 zu rechnen. Die BaFin zeigt einmal mehr, dass sie ihren Prinzipien treu bleibt und ihr primärer Fokus unverändert auf dem Risikomanagement liegt. Sie nimmt zahlreiche Anforderungen auf, die sie bereits seit geraumer Zeit empfiehlt und somit von der BaFin „gelebte Realität“ sind. Sie bezieht sich dabei auch auf das Baseler Papier BCBS 239, das die Risikoberichterstattung und die Risikoaggregation behandelt. Der vorliegende Beitrag beschäftigt sich überwiegend mit den Auswirkungen des neuen Erfordernisses, ein sogenanntes Zentrales Auslagerungsmanagement einrichten zu müssen. Bei der Etablierung eines Zentralen Auslagerungsmanagements handelt es sich um ein Novum aus der neuen MaRisk-Ziffer AT 9 Tz. 11. Das ZAM ist künftig mit Dokumentations-, Überwachungs- und Koordinationspflichten ausgestattet. Hierbei soll es sich um ein übergreifendes Organ handeln, das institutsweit sämtliche Auslagerungsprozesse kontrolliert und überwacht, wozu insbesondere die Überwachung der Einhaltung der institutsinternen und gesetzlichen Vorgaben für Auslagerungen gehören. Daneben soll die auslagerungsspezifische Dokumentation inkl. sämtlicher Weiterverlagerungen in einem institutsspezifischen Standard formuliert und dessen Einhaltung überwacht werden. Das ZAM soll jährlich einen Bericht mit Analysen zu Vertragstreue, Qualität und Steuerungsmöglichkeiten für die Aus- und Weiterverlagerung anfertigen. Hierdurch soll der Vorstand umfassend und wahrheitsgemäß über alle Aspekte der aktuellen Risikosituation informiert werden. Eine weitere zentrale Aufgabe des ZAM ist die von den zuständigen Fachbereichen durchgeführte Risikoanalyse zur Prüfung der Auslagerung auf seine Wesentlichkeit gemäß AT 9 Tz. 2 gruppenweit zu überprüfen und zu koordinieren. Für die Auslagerung der Kontrollfunktion soll nach AT 9 Tz. 5 ein Beauftragter benannt werden. Auslagerungen im Konzern stellen darüber hinaus eine neue Herausforderung für auslagernde Institute dar. Häufig sind Auslagerungen an die Konzernmutter oder -schwester im Rahmen der Dokumentation, der Vertragsgestaltung und der Überwachung nur rudimentär behandelt worden. Aufgrund der neuen Anforderungen ist es daher unerlässlich, einheitliche Prozesse zu etablieren und diese konzernweit zu implementieren. Weiterhin Erleichterungen bei gruppen- und verbundsinternen Auslagerungen Auch ein einheitliches und umfassendes Risikomanagement muss bei konzerninternen Auslagerungen umgesetzt werden. Dies muss auch deshalb im Interesse des auslagernden Instituts sein, da so Synergien bei der Erstellung und Aktualisierung

OpRisk 41 der Risikoanalyse genutzt werden können und so der Aufwand verringert wird. Bei gruppen- und verbundsinternen Auslagerungen kann auf die Erstellung von Ausstiegsstrategien ganz verzichtet werden. Das gruppenweite zentrale Auslagerungsmanagement stellt somit eine wichtige Komponente bei der Umsetzung der regulatorischen Anforderungen dar, um in den Genuss der Erleichterungen bei gruppeninternen Auslagerungen zu kommen. Proportionalitätsprinzip für maßgeschneiderte Lösungen nutzen Die BaFin stärkt in diesem Zusammenhang dem Proportionalitätsprinzip weiter den Rücken, vermöge dessen die einzurichtende Organisationsstruktur angemessen und abhängig vom Umfang der Auslagerung sein muss. So gelingt es der BaFin den unterschiedlich komplexen Institutsstrukturen Rechnung zu tragen und nicht mit „Kanonen auf Spatzen schießen zu müssen“. Kleinere Institute und Finanzdienstleister können von diesem Vorteil profitieren, da ihr Auslagerungsmanagement wesentlich schlanker und einfacher konzipiert werden kann. Ein Anknüpfungspunkt des Proportionalitätsprinzips sind beispielsweise die vorgenannten „institutsspezifischen Standards“. Gerade hier kann Rücksicht auf die Institutsgröße und -komplexität genommen werden, um das Auslagerungsmanagement an die Gegebenheiten anzupassen und ein „oversizing“ zu verhindern. Das Proportionalitätsprinzip fußt auf Ma- Risk AT 1 Tz. 3, wonach Institute mit großen, weitverzweigten und komplexen Geschäftsaktivitäten auch Inhalte einschlägiger Veröffentlichungen, wie dem Baseler Abkommen für Bankenaufsicht und Financial Stabilty Board einzubeziehen haben. Diese Institute müssen unter Umständen auch weitere Vorkehrungen treffen, die über die Anforderungen der MaRisk hinausgehen, um die Angemessenheit und Wirksamkeit des Risikomanagements sicherzustellen. Dies bedeutet im Umkehrschluss, dass kleine Institute (wie kleine Privatbanken, deren Fokus primär auf dem nationalen Geschäft liegt) keine so weitreichenden Anforderungen erfüllen müssen. Zur Evaluierung eines sinnvollen und angemessenen Auslagerungsmanagements ist es unabdingbar, jedes Institut mitsamt seinen Organisationsstrukturen genau zu prüfen und eine auf diesen Einzelfall maßgeschneiderte Lösung zu erarbeiten. Für den Bereich der Auslagerung von wesentlichen Tätigkeiten und Aktivitäten bedeutet dies, dass die Institute ihre bisherigen Rollen, Prozesse und Instrumente an die neuen Anforderungen anpassen müssen, um eine Konformität mit der MaRisk herzustellen. Zukünftig soll ein Institut die jederzeitige Rückführung der ausgelagerten Aktivitäten und Prozesse durch das Vorhalten von Mitarbeitern mit fundierten Kenntnissen und Erfahrungen in einer Retained Organisation ermöglichen können. Die Koordination dessen sehen wir zukünftig als eine weitere Aufgabe des zentralen Auslagerungsmanagements, wobei die Umsetzung dieser Anforderung gerade bei innovativen Systemen oder der Know-how-Erhaltung bei Programmiersprachen sehr schwierig sein dürfte. Klarstellung: Bankspezifische Softwaredienste können Auslagerung sein Eine weitere Neuerung bzw. Klarstellung bei der Auslagerung von Informationstechnologie betrifft die sogenannte fremdbezogene Software. Mit Veröffentlichung der Novellierung soll der Fremdbezug von Software neu evaluiert werden. Wenn die fremdbezogene Software zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risken eingesetzt wird oder aber für die Durchführung von bankengeschäftlichen Aufgaben von Bedeutung ist, soll dieser Fremdbezug zukünftig als Auslagerung bewertet werden. Die Bewertung, ob eine Auslagerung vorliegt, ist von erheblicher praktischer Bedeutung. Die Einordnung als Auslagerung führt dazu, dass im Rahmenvertrag die Herausgabe einschlägiger Informationen zu wesentlichen Annahmen und Parametern bzw. deren Änderungen sowie zu sonstigen Sicherheitsanforderungen – wie beispielsweise Zugangsbestimmungen zu Räumen und Zugriffsberechtigungen für Softwarelösungen – zu vereinbaren sind. Dies führt zur einer umfangreichen Überprüfung von Altverträgen mit einer entsprechenden Anpassung und der Konzeption von neuen Verträgen für zukünftige Softwareauslagerungen. Es erweitert das Spektrum des Auslagerungsmanagements erheblich und bedeutet somit deutlich mehr Aufwand für auslagernde Institute. Besonders kritisch dürften in diesem Zusammenhang Standard-Customizing und Cloud-Lösungen sein. Die Einbindung von sogenannten FinTech-Unternehmen wird durch diese neue Anforderung häufig eine Auslagerung sein. Bei wesentlichen Auslagerungen müssen uneingeschränktes Informations-, Prüfungs- und Kontrollrecht gewährt werden, was im technologischen Bereich wie beispielsweise Public-Cloud-Lösungen nicht immer bzw. nur schwer durchzusetzen sein dürfte. Die erwartete Novellierung der MaRisk führt nicht nur bei Banken zu Handlungsbedarf. Auch die Dienstleister müssen unter Umständen ihre Prozesse im Berichtswesen erweitern und ihre Rahmenverträge überarbeiten. Auch die Steuerung der Service-Level und die Ergänzung von Ausstiegsstrategien müssen dabei auf den Prüfstand gestellt werden. Die Novellierung der MaRisk bedeutet für auslagernde Institute im Ergebnis gestiegene Anforderungen an ihr Auslagerungsmanagement. Die konkreten Auswirkungen hängen allerdings sehr stark von der Größe des Instituts bzw. der Kritikalität der Auslagerungen ab. Da es für die Umsetzung der neuen Anforderungen keine Frist geben wird, ist auslagernden Instituten anzuraten, sich frühzeitig mit den neuen Anforderungen zu beschäftigen und den konkreten Handlungsbedarf zu evaluieren. Autoren Claudia Dölker und Stefan Wendt, microfin Unternehmensberatung.

RISIKO MANAGER

 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.