Aufrufe
vor 5 Jahren

RISIKO MANAGER 08.2018

  • Text
  • Banken
  • Anforderungen
  • Auslagerungen
  • Risiko
  • Auslagerung
  • Token
  • Unternehmen
  • Vorgaben
  • Insbesondere
  • Ifrs
RISIKO MANAGER ist das führende Medium für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen. Mit Themen aus den Bereichen Kreditrisiko, Marktrisiko, OpRisk, ERM und Regulierung vermittelt RISIKO MANAGER seinen Lesern hochkarätige Einschätzungen und umfassendes Wissen für fortschrittliches Risikomanagement.

38

38 RISIKO MANAGER 08|2018 schnitt 9.1 des Leitlinienentwurfs wird im Textziffer 5 des Leitlinien-Entwurfs erläutert, dass die Begrifflichkeit „kritische oder wichtige Aufgaben“ aus dem MiFID II-Regelwerk entnommen ist: Die Legaldefinition in Art. 30 der delegierten Verordnung 2017/565/EU definiert diese: „Für die Zwecke von Artikel 16 Absatz 5 Unterabsatz 1 der Richtlinie 2014/65/EU wird eine betriebliche Aufgabe als kritisch oder wesentlich betrachtet, wenn deren unzureichende oder unterlassene Wahrnehmung die kontinuierliche Einhaltung der Zulassungsbedingungen und -pflichten oder der anderen Verpflichtungen der Wertpapierfirma gemäß der Richtlinie 2014/65/EU, ihre finanzielle Leistungsfähigkeit oder die Solidität oder Kontinuität ihrer Wertpapierdienstleistungen und Anlagetätigkeiten wesentlich beeinträchtigen würde.“ 14 Aus Gründen der regulatorischen Konsistenz übernimmt die EBA diese Definition auch für Kreditinstitute. 15 Problematisch erscheint dabei, dass diese möglicherweise weiter gefasst ist als die Definition wesentlicher Auslagerungen nach geltenden MaRisk: Insbesondere eine Auslagerung wesentlicher Teile der Risikosteuerung auf übergeordnete gruppeninterne Unternehmen, wie z. B. die Erstellung des Reportings, ist nach der Definition des EBA-Leitlinientwurfs eindeutig eine „kritische oder wichtige Aufgabe“, während sie nach der MaRisk-Definition grundsätzlich auch als nicht wesentlich eingestuft werden könnte: Hierbei könnte nach geltenden MaRisk beispielsweise argumentiert werden, dass die Intensität der gruppeninternen Verflechtung die Risiken einer solchen Auslagerung sehr gering macht. Entscheidend ist hierbei die Bewertung von Konzentrationsaspekten und der aufsichtliche Wunsch nach einer schnellen Loslösbarkeit des Tochterinstituts im Zuge der Sanierungs- und Abwicklungsplanung, insbesondere durch die potenzielle Einstufung als eigenständige „Resolution Entity“. Ob solche Erwägungen auch nach den EBA-Leitlinien berücksichtigt werden können, ist zweifelhaft. Abschnitt 2 des Leitlinienentwurfs geht auf die Anwendung in der Institutsgruppe bzw. Verbünden (mit institutsbezogener Sicherheitseinrichtung) ein. Demnach kann das geforderte Auslagerungsregister gruppenweit zentral erstellt werden. Dabei muss allerdings sichergestellt werden, dass alle Einzelinstitute kurzfristig ein eigenes separates Register erstellen können. Sehr wichtig ist die etwas versteckte Aussage in Tz. 21 des Leitlinienentwurfs, dass bei Vorliegen eines Waivers 16 die Anforderungen der Outsourcing-Guidelines lediglich auf Ebene des übergeordneten Instituts erfüllt werden müssen. Tz. 20 der Guidelines enthält zudem die Aussage, dass in Verbünden die Anforderungen der Outsourcing-Guidelines gemeinschaftlich erfüllt werden können. Dies kann eine Chance gegenüber den geltenden MaRisk-Vorgaben darstellen (obwohl in der Praxis auch heute bereits zum Teil eine intensive Zusammenarbeit bei Risikoanalysen und Prüfung von Auslagerungsunternehmen im Verbund durch die betroffenen Kreditinstitute erfolgt). 2. Anpassungsbedarf der Wesentlichkeitsanalyse gemäß AT 9 MaRisk? Der eigentlichen Wesentlichkeitsanalyse einer Auslagerung nach AT 9 Tz. 2 MaRisk muss bereits seit geraumer Zeit eine Prüfung der Auslagerungsfähigkeit vorausgehen. Die diesbezüglichen Anforderungen in AT 9 Tz. 4 MaRisk wurden mit der 5. Ma- Risk Novelle durch die neue eingefügte Tz. 5 ergänzt, mit der neu Grenzen zur Auslagerung von Aktivitäten und Prozessen in Kontrollbereichen und Kernbankbereichen von Kreditinstituten gesetzt wurden. Diese Analyse sollte nun verbunden werden mit der Erfüllung der Anforderung an die der Auslagerung vorgelagerte Analyse gemäß Abschnitt 9 des EBA-Leitlinienentwurfs. Darunter fällt nicht nur die Wesentlichkeitsanalyse, sondern auch eine Due Dilligence des Auslagerungsunternehmens und eine ganzheitliche Analyse der Risiken der Auslagerung unter Berücksichtigung einer eventuellen Einbindung in den eigenen Konsolidierungskreis, möglichen Interessenkonflikten bei gruppeninternen Auslagerungen sowie des Sitzlandes des Auslagerungsunternehmens. Im Folgenden wird lediglich auf die Wesentlichkeitsanalyse eingegangen. 17 In Ab- Gegensatz zur allgemeinen Definition der Kritikalität und Wichtigkeit einer Aktivität stark auf die mit einer Auslagerung verbundenen Risiken eingegangen: Zwingend ist eine Einstufung einer Aktivität als „critical or important“, sofern dabei auftretende Mängel die Anforderungen an die Zulässigkeit der Geschäftsausübung des auslagernden Kreditinstituts, Zahlungsinstituts oder E-Geldinstituts signifikant beeinflussen würden, dessen finanzielle Performance oder die Solidität und Kontinuität der erbrachten Bank- oder Zahlungsdienstleistungen (Tz.49). Hiermit würde also die in AT 9 Tz. 2 MaRisk geforderte Risikoanalyse zur Wesentlichkeitseinstufung einer Auslagerung durch den Abschnitt 9.1 der Outsourcing Guidelines spezifiziert. Dies erfolgt noch durch weitere darin genannte Kriterien: »» bei Kreditinstituten die Einstufung der Auslagerung als wesentliche Geschäftsaktivität, kritische Funktion (oder diese unterstützende Tätigkeit) gemäß den Vorgaben zur Sanierungs- und Abwicklungsplanung in BRRD, SAG und Ma- San (Tz. 50). »» der direkten Verbindung mit einer zulassungspflichtigen Bank- oder Zahlungsverkehrsdienstleistung und den Auswirkungen eines Ausfalls der Auslagerung auf das auslagernde Unternehmen u. a. bezüglich finanzieller Stabilität, Geschäftskontinuität, operationellen Risiken (inkl. IT-Risiken und Conduct Risk) sowie Sanierungs- und Abwicklungsplanung (Tz. 51) »» Risikosteuerungsverfahren, Konzentrationsrisiken, Auswirkungen auf Kunden, Größe, Komplexität, Skalierbarkeit der ausgelagerten Aktivitäten, Substituierbarkeit des Auslagerungsunternehmens und Reintegrationsmöglichkeit der ausgelagerten Aktivität sowie Datenschutz insbesondere auch bezüglich Einhaltung der Vorgaben der Datenschutzgrundverordnung (Tz. 51) Generell erscheint die Dokumentation der Prüfung aller in Tz. 50 und 51 des Leitlinien Entwurfs aufgelisteten Kriterien schwierig. Zudem müsste hier in der bankinternen Auslagerungspolicy eine Regelung aufge-

ERM 39 nommen werden, wie die Vielzahl der Kriterien bei der Einstufung gewichtet werden. Inwiefern hier eine klare, eindeutige Heuristik entwickelt werden kann, erscheint zweifelhaft. Empfehlenswert könnte dabei eine Entscheidungsvorlage mit Beschreibung der Ergebnisse der diversen Prüfkriterien und einer Entscheidungsempfehlung sein. Die Letztentscheidung könnte dann auf dieser Basis einem Expertengremium, z. B. einem eigenen Auslagerungskomitee, analog zu anderen Risikokomitees, vorgelegt werden. Ein solches Komitee könnte dann auch grundsätzlich über die Auslagerung und die dabei zu treffenden vertraglichen Regelungen sowie zu ergreifenden Risikominderungsmaßnahmen entscheiden. Es empfiehlt sich, bereits mit der Umsetzung der MaRisk bis 31. Oktober 2018 eine Fortentwicklung und mögliche Neueinstufung der bisherigen Wesentlichkeitseinstufungen nach Inkrafttreten der neuen EBA- Guidelines einzuplanen. Anhand der Vielzahl der Detailvorgaben und insbesondere aufgrund der klaren Entscheidungsvorgaben in Tz. 50 der Leitlinien müssen möglicherweise einzelne Auslagerungen zukünftig neu als wesentlich eingestuft werden. Inwiefern die in Tz. 16 und 17 des Leitlinien- entwurfs sehr allgemein angeführte Proportionalität in irgendeiner Form zu Erleichterungen beim Prüf- und Überwachungsaufwand von Auslagerungen führen kann, ist dabei noch völlig offen. IV. Zusammenfassung und Fazit Der vorliegende Beitrag versuchte, die Herausforderungen aus den kommenden EBA-Outsourcing-Leitlinien zu beleuchten. Wesentliches Fazit ist, dass die bis 31. Oktober 2018 abzuschließende Umsetzung der neuen MaRisk Anforderungen zum Outsourcing flexibel für Anpassungen durch die kommenden EBA-Leitlinien sein sollte. Dies betrifft insbesondere die Wesentlichkeitseinstufung und Voranalyse von Auslagerungsvorhaben sowie die Outsourcing-Policy und die Intensität der darin festzulegenden Risikoanalyse- und Risikosteuerungsprozesse. Hier müssen zukünftig weitere Differenzierungen nach Art der Auslagerungen, auch hinsichtlich EU-internen und EU-externen Auslagerungen, durchgeführt werden. Abb. 03 fasst die wesentlichen neuen Anforderungen zusammen. Autoren Dr. Patrik Buchmüller, freiberuflicher Unternehmensberater und Hochschuldozent mit langjähriger Erfahrung als Risikomanager bei privaten und öffentlichen Banken in Deutschland sowie als BaFin-Mitarbeiter mit Zuständigkeit für das operationelle Risiko. Oliver Rambock, Leiter der MARISK ACA- DEMY mit über 15-jähriger Erfahrung als Experte für Risikomanagement und Regulatorik in der Finanzbranche. 1 Als Rechtsgrundlagen des bisher lediglich in englischer Sprache vorliegenden Leitlinienentwurfs werden daher sowohl Art. 74 (3) der CRD (Richtlinie 2013/36/EU auch bekannt als Capital Requirements Directive oder Bankenrichtlinie) als auch PSD 2 (RL 2015/2366/EU, Payment Service Directive 2, Zahlungsdienstrichtlinie 2) und MiFID (Richtlinie 2014/65, Markets in Financial Instruments, Finanzmarktrichtlinie) genannt. Die Bankenrichtlinie wurde 2006 im Zuge der Basel II Umsetzung neugefasst und ist seitdem mehrfach novelliert worden. Mit der Überarbeitung in 2013 wurden die Eigenmittelanforderungen nach Säule I und die Offenlegungsanforderungen nach Säule III in die CRR ausgelagert, sodass in der CRD nun im Wesentlichen die Zulassungsanforderungen für Institute und laufende Risikosteuerungsanforderungen in „Säule II“ und aufsichtlichen Eingriffsbefugnisse im SREP enthalten sind. Art. 74 (3) CRD gibt der EBA die Befugnis, Detailvorgaben zur Unternehmensführung und Risikosteuerung von Banken zu erlassen. 2 Ebenso wie die Verschärfungen im Rahmen der 5. MaRisk-Novelle vom 27. Oktober 2017 betont der EBA-Leitlinienentwurf die Nichtauslagerbarkeit der Geschäftsleiterverantwortlichkeiten und damit auch zentraler Risikocontrolling-Aufgaben. Hier warnt die EBA vor so genannten „empty shells“ und fordert, dass die Verantwortung der Geschäftsleitung gewährleistet sein muss, indem hinreichende Ressourcen zur Ausübung dieser Verantwortung bankintern vorgehalten werden, vgl. EBA/ CP/2018/11, S. 8, Tz. 6. Dies ist insbesondere vor dem Hintergrund des Brexit relevant, in dessen Kontext die Bankenaufseher der EZB und EU 27 öffentlich mehrfach erklärt haben, dass sie keine „empty shells“ als EU-Niederlassungen mit dem Ziel der Gewinnung des Marktzutritts ohne entsprechenden „Unterbau“ in der EU zulassen werden. Entsprechende Vorgaben enthält Abschnitt 3 Governance Requirements (Tz. 27-32 des GL-Entwurfs). 3 Vgl. EBA/CP/2018/11, S. 7. Damit würde die EBA-Empfehlung 2017/REC/03, die seit 28. März 2018 auch in deutscher Sprache vorliegt, mit Inkrafttreten der neuen EBA-Outsourcing-Guidelines ihre Gültigkeit verlieren. 4 Hier werden die Stichworte „Digitalisierung“ und „Fintech“ von der EBA im beschreibenden Abschnitt zum Hintergrund der Regulierung im Guidelines-Entwurf angeführt, vgl. EBA/ CP/2018/11, S. 7. 5 Sog. „Single Service Provider“, vgl. EBA/CP/2018/11, S. 6. 6 Mit ihrem Supervisory Newsletter vom Februar 2018 hat die EZB Bankenaufsicht einen Leitfaden zum Outsourcing angekündigt. Dieser soll im Entwurf in 2018 veröffentlicht werden und auf den Erkenntnissen des 2017 durchgeführten thematic review zu Auslagerungen basieren. 7 Diese wurden von der EBA explizit im Abschnitt zur Begründung der Anpassungen genannt, vgl. EBA/CP/2018/11, S. 9. 8 Sofern die Auslagerung von einem Tochterunternehmen durchgeführt wird, ist die Einbindung der zuständigen Einheit für das Beteiligungs(risiko)management sinnvoll, da hier größere Synergien zwischen Risikoanalysen der Auslagerung und der Beteiligungsrisikoanalyse gemäß Säule I und Säule II von Basel II erzielt werden können. Gleiches gilt in abgeschwächter Weise, sofern mit dem Auslagerungsunternehmen eine Kreditbeziehung besteht, für die Bonitätsanalyseprozesse und das Kreditrisikoportfolio & -konzentrationsrisikomanagement. Weitere Synergieeffekte mit dem zentralen Auslagerungsmanagement können möglicherweise bei der Modellierung von End-to-End- Prozessen und Schlüsselkontrollen im Zuge der Verbesserung des internen Kontrollsystems genutzt werden. 9 Dies fordern auch explizit die EBA-SREP-Guidelines: Die Prüfung der Auslagerungspolicy und -strategie ist Teil des SREP, vgl. Abschnitt 5.2, Tz. 91i der Guidelines vom 19.07.2018 (consolidated version). Ebenso fordern die EBA-SREP-Leitlinien im OpRisk-Teil in Unterabschnitt 6.4.2 eine Prüfung der institutsinternen Praktiken zur Sicherstellung der Qualität der ausgelagerten Aktivitäten und der Sensibilität des Instituts gegenüber den mit den Auslagerungen verbundenen operationellen Risiken. Unter den aufsichtlichen Maßnahmen im SREP fordern die SREP-Guidelines auch die Möglichkeit der Aufsicht zur Reduzierung des Umfangs der Auslagerungen (vgl. Tz. 529 entsprechend Art. 104 der CRD). 10 Interessant sind die IKT-Risiko-Leitlinien auch deshalb, weil sie Bespiele für mögliche Ausprägungen des IKT-Auslagerungsrisikos geben, darunter auch eine mögliche Erleichterung von Hackerangriffen, vgl. hierzu den Anhang zur IKT-Risikotaxonomie der EBA/GL/2017/05. 11 Dies wird wohl auch von der EBA grundsätzlich als möglich erachtet, die in Tz. 25 ihres Guidelines-Entwurfs explizit auf diesen Fall und die Baseler Step-in Risk Guidelines verweist. 12 Abschnitt 8 BAIT definiert dabei IT-Dienstleistungen, worunter insbesondere die Bereitstellung von IT-Systemen, Projekte/Gewerke oder Personalgestellung (d. h. auch IT-Beratungsdienstleistungen) fallen. Ebenfalls in Abschnitt 8 BAIT ist eine Grobdefinition von Cloud-Dienstleistungen enthalten. 13 Auch die EBA-Guidelines gehen natürlich auf die Risiken der Auslagerungen ein. Die EBA bekräftigt, dass Auslagerungen an „dritte Parteien“ gegenüber Auslagerungen an regulierte Finanzinstitutionen als risikoreicher angesehen werden, vgl. EBA/CP/2018/11, Tz. 22. Dennoch ergeben sich durch die neue Berechnungslogik der OpRisk-Kapitalanforderung in Säule I auf Basis des Baseler Kompromisses vom Dezember 2017 („Basel IV“) Anreize zur Auslagerung an den nicht regulierten Sektor (da aufgrund der Modalitäten des auf Ertrags- und Aufwandsgrößen der GuV basierenden Berechnungssystematik Auslagerungen innerhalb des regulierten Sektors tendenziell zur Erhöhung der OpRisk-Kapitalanforderungen in beiden regulierten Unternehmen führen würden) . 14 Artikel 31 der DelVO 2017/565 enthält sogar Vorgaben zur Auslagerung kritischer oder wesentlicher Aufgaben, die allerdings nur für Wertpapierfirmen und nicht für Kreditinstitute gelten. 15 Die technische Umsetzung dieser Definitionsübernahme lässt hingegen zu wünschen übrig. Im Definitionsteil des Guidelines-Entwurf ist im Gegensatz zu den weit aussagekräftigeren Vorbemerkungen nur die folgende, eigentlich nichtssagende Definition enthalten: „Critical or important function means any outsourcing of a function which is considered as critical or important including any operational tasks performed by the internal control functions“. Demgemäß wäre, in der Terminologie der MaRisk, allerdings jegliche Auslagerung der Aufgaben einer „besonderen Funktion“ gemäß AT 4.4 MaRisk automatisch eine wesentliche Auslagerung. 16 Nach Art. 7 und 10 der CRR und / oder Art. 21 der CRD. 17 Eine vollständigere Analyse der Draft EBA Outsourcing Guidelines finden Sie unter: www.marisk.academy.

RISIKO MANAGER

 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.