Im Rahmen der Neufassung der MaRisk (Rundschreiben 10/2021) wurden auch die aufsichtsrechtlichen Anforderungen an Auslagerungen überarbeitet. Im folgenden Beitrag werden die wesentlichen Elemente welche aufsichtsrechtlich gefordert sind aufgeführt, und mittels praktischer Anwendungsbeispiele eine mögliche Umsetzung dargestellt.
Europaweit wurden die Vorgaben zum Umgang mit Auslagerungen bereits im Jahr 2019 neu geregelt (1). In unseren Nachbarländern wie z.B. Frankreich wurde bereits in 2019 durch die lokale Finanzdienstleistungsaufsicht ein entsprechender Rechtsrahmen (2) hergestellt. In Deutschland erfolgte die Umsetzung im Rahmen der Novellierung der Mindestanforderung an das Risikomanagement (MaRisk) erst im August 2021, was deutschen Banken und Finanzinstituten einen deutlich längeren Vorbereitungszeitraum als den europäischen Wettbewerbern ermöglichte. Trotz der längeren Umsetzungsfrist stellt die MaRisk die Institute vor Herausforderungen – Auslagerungsmanagement muss erstmalig über die verschiedenen GRC Disziplinen hinweg betrachtet werden. Regelungen zu Auslagerungen finden sich daher nicht nur in der „klassischen“ Vorgaben der AT 9 und im Bereich Prozessmanagement (AT 4.3.1), sondern auch in den Bereichen Risikocontrolling (AT 4.4.1), Organisationsrichtlinien (AT 5), Notfallmanagement (AT 7.3) sowie operationelle Risiken (BTR 4).
Die Intention der Verschärfung der Richtlinien lässt sich bereits in §25b KWG Abs. 1 erkennen. Hier fordert der Gesetzgeber explizit Auslagerungsregister inklusive einer Bewertung der Absicht der Auslagerungen. Die MaRisk geht auf diesen Punkt durch die Forderung einer Risikoanalyse pro Auslagerung (AT 9.2) noch weiter ins Detail. Zum Beispiel bei Auslagerungen die einen anderen Zweck als die ursprüngliche Absicht verfolgen und damit potentielle Risiken darstellen können, bis hin zur unerlaubten Delegation der Geschäftsführungstätigkeiten (AT 9.4). Die Intention des Gesetzgebers zielt somit auf maximale Resilienz der Institute durch größtmögliche Risikoreduktion mittels erhöhter Transparenzpflicht.
Aufgrund der Komplexität der Auslagerungsthematik empfiehlt sich ein prozessuales Vorgehen, welches langfristig in das jeweilige Institut implementiert werden sollte. Das prozessuale Vorgehen ist anhand der unterliegenden Richtlinien (u.a. MaRisk) aufgebaut. Anhand des Grobprozesses (siehe Grafik) wurden die wesentlichen Prozessschritte identifiziert und nachfolgend ausgeführt:
1. Erstellung von Richtlinien und prozessualen Vorgaben
2. Herstellung von Transparenz in den Prozessen inkl. Analyse des Vorliegens und der Absicht von Auslagerungen
3. Aufbau eines Auslagerungsregisters
4. Durchführung von Risikoanalysen
5. Maßnahmendefinition inkl. Notfallplanung
Im ersten Schritt sollten die grundsätzlichen Vorgaben und strategischen Ziele der Auslagerungen erfasst und in der schriftlich fixierten Ordnung (SFO) oder anderen Handlungsanweisungen oder Verfahrensanweisungen definiert werden. Empfohlen wird, den generellen Umgang mit Auslagerungen zu regeln sowie für wesentlichen Auslagerung darüber hinausgehende spezifische Vorgaben zu treffen. Die zu regelnden Punkte umfassen u.a. die Zulässigkeit von Auslagerungen insbesondere im Rahmen der Institutsstrategie, Vorgaben an Auslagerungsverträge sowie Vorgaben an die Steuerung und Kontrolle der ausgelagerten Tätigkeit und des Auslagerungsdienstleisters. Die Vorgaben sollten entsprechend der MaRisk Novelle nach dem Lebenszyklus der Auslagerung aufgebaut werden. Dies hat den Vorteil, dass die Auslagerungen unabhängig von der Auslagerungsart einheitlich durch das IKS überwacht werden können, und gleichzeitig feste Quality-Gates und Benchmarks entlang des Lebenszyklus durchgeführt werden können, die eine qualitativ und quantitativ vergleichbare Beurteilung ermöglichen. Neben den Vorgaben sollten gleichzeitig auch die Verantwortlichkeiten definiert werden, und die entsprechenden Rollen, wie z.B. des Auslagerungsverantwortlichen, zugewiesen werden.
Beispielhafte Abbildung in TopEase®: Beschreibung der Prozesse und Anhang der relevanten Musterverträge an die jeweiligen Prozesse im TopEase Process Manager.
Die Grundlage für die Analyse über das Vorliegen von Auslagerungen ist ein transparentes und nachvollziehbares Prozessmodell. Die Prozessgruppen sollten klar strukturiert sein, z.B. übergreifend in Management-, Kern- und Unterstützungsprozesse. Unter diesen Prozessgruppen finden sich die fachlichen Hauptprozesse, deren Unterprozesse und Aktivitäten. Sollte das Prozessmodell neu eruiert werden, empfiehlt sich die Orientierung an einem Musterprozessmodell für Banken, welches z.B. in TopEase® angeboten wird. So können durch Benchmark zu den Musterprozessen bereits während der Aufnahme der institutsspezifischen Prozesse Effizienzen identifiziert und das Prozessmodell mit einheitlicher Struktur und einheitlicher Prozesstiefe beschrieben werden. Mittels übergreifender Wertschöpfungsketten lassen sich im weiteren die unterschiedlichen Produkte und Services der Institute im Prozessmodell darstellen. Bei der Erstellung insbesondere der Wertschöpfungsketten sind die Flüsse von Informationsobjekten und deren fachlicher Arbeitsergebnisse (z.B. Kreditanfrage) zu beachten und im Modell auszuweisen. Ein weiterer Abnehmer dieser Informationen ist neben dem Auslagerungsmanagement das Notfallmanagement, in welchem die Kritikalität und die Abhängigkeit der Informationen und Ergebnisse betrachtet wird.
Bei der Prozessaufnahmen kann im Top-Down Ansatz ein Merkmal vergeben werden, welches eine Indikation über eine mögliche Auslagerung abgibt. Wir empfehlen jedoch eine detaillierte Bottom-Up Bewertung einer möglichen Auslagerung pro Prozess mittels mehrerer Kriterien.
Beispielhafte Abbildung in TopEase®: Abbildung des Prozessmodells im TopEase Process Manager.
Pro Prozess oder Prozessaktivität werden die Dienstleister (Auslagerungen) hinterlegt.
Darüber hinaus findet sich in der MaRisk (AT 9) eine Ausschlussliste von Tätigkeiten, welche keine Auslagerungen im Sinne des §25b KWG darstellen, sondern als Fremdbezug von Leistungen zu klassifizieren sind wie z.B. der Erwerb von Rechtsgutachten oder die Nutzung von globalen Nachrichteninfrastrukturen. Weiter sollten Sonderfälle insbesondere im Bereich der Informationssysteme und GRC Systeme betrachtet werden, da hier bereits Unterstützungsleistungen bei der Anpassung von Risikomanagementsoftware nicht als Fremdbezug sondern als Auslagerung einzustufen sind (AT 9).
Die ausgelagerte Aktivität bzw. der ausgelagerte Prozess kann bereits eine Indikation auf die Wesentlichkeit der Auslagerund darstellen. Die finale Entscheidung über die Wesentlichkeit der Auslagerung wird jedoch unter Risikogesichtspunkten (Schritt 4) getroffen. Die Kriterien und Bewertungsmaßstäbe sind institutsindividuell festzulegen.
Für alle als ausgelagert identifizierten Prozesse muss eine Auslagerungsvereinbarung über die ausgelagerte Tätigkeit vorliegen, die Informationen sind durch den Auslagerungs-beauftragten regelmäßig zu aktualisieren und zu pflegen.
Für alle als ausgelagert identifizierten Prozesse muss eine Auslagerungsvereinbarung über die ausgelagerte Tätigkeit vorliegen, die Informationen sind durch den Auslagerungs-beauftragten regelmäßig zu aktualisieren und zu pflegen.
Die Herausforderung besteht in der Clusterung und der Vollständigkeit der durch die Bankenaufsicht geforderten Informationen. So kann z.B. ein Dienstleister für mehrere Prozesse verantwortlich sein, mit unterschiedlichen Auslagerungsvereinbarungen pro Prozess, welche alle separat zu pflegen sind. Im Nachweis muss es möglich sein, alle Vereinbarungen pro Dienstleister zu ermitteln, was als Grundlage in die Risikoabschätzung gegenüber dem Auslagerungsunternehmen einfließt, jedoch auch alle Auslagerungsvereinbarungen mit unterschiedlichen Dienstleistern pro Prozess – was ein komplexes m:n Modell erzeugt. In der MaRisk finden sich Mindestanforderungen an die Inhalte für die Auslagerungsvereinbarung bei wesentlichen Auslagerungen, wie z.B.:
Es empfiehlt sich die Auslagerungsvereinbarungen unabhängig von der Wesentlichkeit der Auslagerung zu standardisieren. Bei der Erstellung der Auslagerungsvereinbarungen sollten weitere deutsche Rechtsgrundlagen wie z.B. zur Arbeitnehmerüberlassung beachtet werden.
Vernetzte GRC Systeme wie TopEase® bieten die Möglichkeit direkt am jeweiligen Prozess den Auslagerungsdienstleister zu erfassen, abgeschlossene Auslagerungsverträge z.B. als PDF zu hinterlegen und alle im Prozess relevanten Verantwortlichen zu benennen. So kann eine umfassende Dokumentation der Auslagerung direkt am jeweiligen Prozessschritt erfolgen und über Reports automatisiert ein Auslagerungsregister in Echtzeit erstellt werden.
Beispielhafte Abbildung in TopEase®: Im TopEase Process Manager können individuelle Reports konfiguriert werden (eigene Felder etc.), wie z.B. eine Auflistung aller Auslagerungen nach AT9 der MaRisk.
Im Bereich Auslagerungen gibt es div. vorgefertigte PDF Reports.
Im Bereich von Gruppen oder Finanzverbünden bietet die MaRisk insbesondere bei gruppeninternen Auslagerungen Vereinfachungen und den Entfall von Tätigkeiten an, z.B. im Bereich der Risikoanalyse oder im Bereich von Ausstiegsprozessen.
Die Durchführung von Risikoanalysen in Bezug auf Auslagerungen dient der Feststellung der Wesentlichkeit der Auslagerung und der Identifikation der mit der Auslagerung und dem Auslagerungsdienstleister verbundenen Risiken für das Institut. Die MaRisk fordert die Einbeziehung aller wesentlicher Geschäftsbereiche in die Durchführung der Risikoanalyse. Die Beurteilungsparameter werden institutsindividuell festgelegt, bei wesentlichen Auslagerungen ist auch die Leistung selbst sowie die Qualität der Leistung regelmäßig zu beurteilen.
Die einfache Bewertung unterschiedlicher Risikodimensionen pro Auslagerung gelingt mittels GRC Software wie dem TopEase® Risk Manager – dies gewährleistet nicht nur die Nachvollziehbarkeit sondern ermöglicht auch die Analyse von Trends in der Veränderung der Performance Indikatoren – betroffene Institute können so Risiken in Ihren Auslagerungen über Early Warning Indikatoren früher erkennen. Ein weiterer Vorteil ist die Datendurchgängigkeit. Pro Prozess lassen sich die mit den einzelnen Prozessschritten verbundenen Risiken grafisch anzeigen und mittels Dashboards und Reports kompakt für das Institutsmanagement und den Auslagerungsbeauftragten in Echtzeit darstellen. Die geforderte Aktualisierung des Auslagerungsregisters nach Durchführung der Risikoanalysen erfolgt automatisch.
Beispielhafte Abbildung in TopEase®: Im TopEase Risk Manager können die Drittparteienrisiken / Lieferantenrisiken der Auslagerung pro Lieferant bewertet werden. Die Bewertung kann durch das Auslagerungsinstitut oder mittels Fragebögen und Self-Assessments durch den Lieferanten erfolgen.
Beispielhafte Abbildung in TopEase®: Im TopEase Risk Assessment Manager können Lieferanten mittels Fragebögen bewertet werden. Self-Assessments (wie hier im Beispiel) sind auch möglich, bei denen der Lieferant die passenden Nachweise dem Institut zur Verfügung stellen kann.
Im letzten Schritt sind die Auslagerungen entsprechend Ihrer Zeitkritikalität zu bewerten und Notfallpläne und Geschäftsfortführungspläne (GFP) für zeitkritische Auslagerungen zu erstellen. Die Notfallkonzepte sind regelmäßig und anlassbezogen zu überprüfen, es sind die Vorgaben zum Notfallmanagement in der MaRisk anzuwenden.
Identifizierte Risiken aus der Risikoanalyse, aber auch identifizierte Handlungsfelder aus der Notfallplanung sind mit Maßnahmen zu hinterlegen und die Umsetzung der Maßnahmen zu überwachen.
Beispielhafte Abbildung in TopEase®: Im TopEase BIA Manager wird die Abhängigkeit von den Lieferanten pro Aktivität / Prozessschritt bewertet.
Die Nutzung einer GRC Software wie TopEase® bietet den Instituten im Vergleich zum manuellen Prozess mehrere Optimierungspotentiale. Im Rahmen des Kontinuitätsmanagements (BCM, Business Continuity Management) können z.B. Auslagerungen identifiziert, die Kritikalität bewertet und Risiken identifiziert werden. Die Ergebnisse der Analyse fließen sofort in die Notfallplanung ein. Im Rahmen der Business Impact Analyse (BIA) kann dezidiert pro Aktivität die Abhängigkeit der Arbeitsergebnisse von der Auslagerung bewertet und die Existenz von BCM und Auslagerungsvereinbarungen abgeprüft werden. Bestehende Vereinbarungen können als Evidenz im System hinterlegt werden was die Möglichkeit gibt, sämtliche Informationen an einer Stelle konsolidiert und systemgestützt bereitzustellen.
(1) Final report on EBA Guidelines on outsourcing arrangements (published on 25.02.2019),https://www.eba.europa.eu/sites/default/documents/files/documents/10180/2551996/38c80601-f5d7-4855-8ba3-702423665479/EBA%20revised%20Guidelines%20on%20outsourcing%20arrangements.pdf?retry=1
(2) Guideline compliance table: https://www.eba.europa.eu/sites/default/documents/files/document_library//875334/EBA%20GL%202019%2002%20-%20CT%20GLs%20on%20outsourcing%20arrangements.pdf?retry=1
Das Vorgehen zeigt modellhaft den Ablauf der wesentlichen Tätigkeiten im Auslagerungsprozess auf, welcher institutsindividuell angepasst werden sollte. Es besteht kein Anspruch auf Vollständigkeit.
