Laura Zappavigna, Prüferin im Referat Bankgeschäftliche Prüfungen 2, Deutsche Bundesbank, Hauptverwaltung in NRW, Düsseldorf
Durch die am 27.10.2017 in Kraft getretene fünfte Novellierung der MaRisk ergeben sich neben wesentlichen Neuerungen hinsichtlich der Risikodatenaggregation (BCBS 239) sowie der Etablierung einer Risikokultur insbesondere für das Management von Auslagerungsrisiken erhöhte Anforderungen. Neben der Integration einer Reihe international- und europarechtlicher Vorgaben – insbesondere der europäischen Bankenaufsichtsbehörde EBA sowie des Basler Ausschusses für Bankenaufsicht (BCBS) – flossen auch Erfahrungen von BaFin und Bundesbank aus der täglichen Aufsicht sowie aus Sonderprüfungen in die Überarbeitung ein. In der Aufsichtspraxis sind vielfach Mängel in der Anwendung des AT 9 sichtbar geworden, die z. T. auch auf herrschende Unklarheiten in der Praxis hinsichtlich einer MaRisk-konformen Anwendung zurückzuführen sind.
Vertragliche Vereinbarungen bei Auslagerungen
Wenngleich es grundsätzlich keine gesetzlichen Anforderungen an einen Auslagerungsvertrag und dadurch auch keine verbindlichen Regeln gibt, fordern die MaRisk in Tz. 7 des AT 9 vertragliche Mindestvereinbarungen für wesentlichen Auslagerungen. Neben einer möglichst klaren Abgrenzung zwischen den Rechten und Pflichten der Vertragspartner muss die Überwachung der Qualität der erbrachten Leistungen sowie der Risiken der Auslagerung jederzeit sichergestellt werden. Die Gestaltung von Service-Level-Agreements ist dabei essenziell und sollte hinsichtlich Detailtiefe und Präzision an der Kritikalität der Auslagerung ausgerichtet werden. Die Verträge sollten sowohl flexible Variablen zulassen als auch stabile Vorgaben aufweisen. Neben Übernahmeverträgen zu Beginn des Outsourcing-Vorhabens bedarf es auch vertraglicher Vereinbarungen über die (Rück-)Übertragung bestimmter Vermögensgegenstände (Hard- und Software), Weiterverlagerungen und sonstiger Sicherheitsanforderungen wie Zugangsbestimmungen und Zugriffsberechtigungen. Durch die Festlegung von Kündigungsrechten und eines akzeptablen Grades der Schlechtleistung werden Überschreitungen vertraglich dokumentiert und können somit gegenüber dem Dienstleister sanktionierbar gemacht werden.
SEMINARTIPPS
Neue Pflichten für die Dienstleistersteuerung, 14.11.2018, Frankfurt/M.
Auslagerungsverträge auf dem Prüfstand, 15.11.2018, Frankfurt/M.
Prüfung Auslagerungsprozesse, 22.11.2018, Köln.
Abgrenzung von Auslagerungen zu sonstigen Fremdbezügen
Um Unklarheiten hinsichtlich des Auslagerungstatbestandes zu beseitigen und das Management besonderer, mit Auslagerungen verbundener Risiken effektiver zu gestalten, wurde neben der Bewertung des Auslagerungstatbestands auch der sonstige Fremdbezug von Leistungen durch die Aufsicht deutlicher definiert. Für die Vertragsgestaltung bedeutet dies, dass der sonstige Fremdbezug von Leistungen insofern eine Erleichterung erfährt, als dass die einschlägigen Regelungen des § 25b KWG regelmäßig nicht angemessen sind und lediglich die allgemeinen Anforderungen des § 25a Abs. 1 KWG Beachtung finden müssen. Im Hinblick auf die grundlegende Bedeutung der IT für das Institut ergibt sich jedoch die Besonderheit, dass die bankaufsichtlichen Anforderungen an die IT (BAIT) die gleich hohen Anforderungen an die Steuerung des sogenannten Fremdbezugs von IT-Dienstleistungen wie an Auslagerungen stellen. Dies erfordert in jedem Fall die Durchführung einer Risikobewertung, deren Ergebnis maßgeblich für die Überwachung der vom Dienstleister geschuldeten Leistung ist. Auch aus der Risikobewertung abgeleitete Maßnahmen sind insofern angemessen in der Vertragsgestaltung zu berücksichtigen, als dass Anpassungsbedarfe mit den Dienstleistern zu verhandeln oder Verträge ggf. gänzlich neu aufzusetzen sind.
PRAXISTIPPS
- Überprüfung des bereits bestehenden Auslagerungsmanagements und Anpassung an die neuen Verhältnisse, insbesondere im vertraglichen Bereich.
- Durchführung eines Assessments aller (IT-)Dienstleister, um notwendige Anpassungsbedarfe zu verhandeln oder ggf. Verträge gänzlich neu aufzusetzen.
- Stärkung der institutseigenen Kenntnisse und Erfahrungen, um eine wirksame Überwachung der vom Auslagerungsunternehmen erbrachten Dienstleistungen zu gewährleisten.
- Analyse bestehender Auslagerungsverträge in Bezug auf Anpassungsbedarfe aufgrund der neuen Regelungen zu Weiterverlagerungen, Kündigungsrechten und Anforderungen an die Datensicherheit.
- Auswertung der Berichterstattung und ihre Überführung in das Risikomanagement als zentralen Baustein der Dienstleistersteuerung implementieren.
Beitragsnummer: 709