Auslagerungen und Fremdbezug nach MaRisk

Auslagerungen und Fremdbezug nach MaRisk. Im folgenden Beitrag erhalten Sie Antworten zu folgenden Fragen:

  • Welche ausgelagerter Aktivitäten und Prozesse sind nach § 25b KWG einzubeziehen?
  • Keine Auslagerungen im Sinne des § 25b KWG
  • Anforderungen der Prüfungsberichtsvorordnung an die Berichtserstattung über das Auslagerungsmanagement
  • Begriffsdefinition Auslagerung nach MaRisk
  • Sonstige institutstypische Dienstleistungen – Begriffsdefinition nach MaRisk
  • Beispiele zu: Keine Auslagerung – sonstige Fremdbezug von Leistungen
  • Beispiele zu: Auslagerung – Keine Einstufung als sonstiger Fremdbezug
  • Auslagerungsmanagement muss in der Strategie abgebildet werden
  • Auslagerungen und Konzentrationsrisiken

 

Auslagerungen und Fremdbezug nach MaRisk

 

Einbeziehung ausgelagerter Aktivitäten und Prozesse nach § 25b KWG – Auslagerungen und Fremdbezug nach MaRisk

Seit dem 30. Oktober 2007 (»erste MaRisk-Novelle«) konkretisieren die MaRisk auch die Anforderungen an eine ordnungsgemäße Geschäftsorganisation für die ausgelagerten Aktivitäten und Prozesse nach § 25a Abs. 2 KWG.

Zum 1. Januar 2014 wurde § 25a Abs. 2 KWG mit dem CRD IV-Umsetzungsgesetz in § 25b KWG-neu überführt, ohne dass damit eine inhaltliche Änderung verbunden ist. Danach muss das Institut »abhängig von Art, Umfang, Komplexität und Risikogehalt einer Auslagerung von Aktivitäten und Prozessen auf ein anderes Unternehmen, die für die Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen wesentlich sind, angemessene Vorkehrungen treffen, um übermäßige zusätzliche Risiken zu vermeiden«.

 

Im Einzelnen stellt der Gesetzgeber folgende Anforderungen an die Finanzinstitute:

  • Eine Auslagerung darf die ordnungsgemäße Durchführung der Bankgeschäfte, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen sowie die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Abs. 1 KWG nicht beeinträchtigen.
  • Die ausgelagerten Aktivitäten und Prozesse müssen in das Risikomanagement des auslagernden Institutes einbezogen werden.
  • Eine Auslagerung darf nicht zu einer Delegation (Übertragung) der Verantwortung der Geschäftsleiter des Institutes an das Auslagerungsunternehmen führen.
  • Das Institut bleibt auch bei einer Auslagerung für die Einhaltung der vom Institut zu beachtenden gesetzlichen Bestimmungen verantwortlich.
  • Durch eine Auslagerung darf die BaFin an der Wahrnehmung ihrer Aufgaben nicht gehindert werden. Ihre Auskunfts- und Prüfungsrechte sowie Kontrollmöglichkeiten müssen in Bezug auf die ausgelagerten Aktivitäten und Prozesse auch bei einer Auslagerung auf ein Unternehmen mit Sitz in einem Staat des Europäischen Wirtschaftsraumes oder einem Drittstaat durch geeignete Vorkehrungen gewährleistet werden. Entsprechendes gilt für die Wahrnehmung der Aufgaben der Prüfer des Institutes.
  • Eine Auslagerung bedarf einer schriftlichen Vereinbarung, welche die zur Einhaltung der vorstehenden Voraussetzungen erforderlichen Rechte des Institutes, einschließlich Weisungs- und Kündigungsrechten, sowie die korrespondierenden Pflichten des Auslagerungsunternehmens festlegt.

 

Anforderungen der Prüfungsberichtsvorordnung an die Berichtserstattung über das Auslagerungsmanagement

Gemäß §9 Abs. 3 PrüfbV hat der Abschlussprüfer über Auslagerungen von wesentlichen Aktivitäten und Prozessen unter Berücksichtigung der in § 25b des Kreditwesengesetzes genannten Anforderungen gesondert zu berichten.

Dabei ist eine Aussage darüber zu treffen, ob die Einstufung von Auslagerungen als wesentlich oder unwesentlich unter Gesichtspunkten des Risikos, der Art, des Umfangs und der Komplexität nachvollziehbar ist.

Ausgelagerte wesentliche Aktivitäten und Prozesse sind, auch in Verbindung mit den vorgenommenen Bezeichnungen in der Anlage 4, nachvollziehbar zu spezifizieren und abzugrenzen.

 

In der Anlage 4 sind folgende Informationen durch das Institut bereitzustellen:

Datenübersicht für Institute, die Bereiche auf ein anderes Unternehmen ausgelagert haben mit Angaben zu

  • Auslagerungsunternehmen, inklusive Adresse KN-Ident-Nr.,
  • Ausgelagerte Aktivitäten und Prozesse
  • Status (geplant zum/ durchgeführt am/ beendet am)
  • Datum der Auslagerung
  • Bemerkungen, insbesondere zu Weiterverlagerungen

 

Begriffsdefinition Auslagerung nach MaRisk – Auslagerungen und Fremdbezug nach MaRisk

Gemäß MaRisk AT9 gilt folgende Auslagerungsdefinition:

Eine Auslagerung liegt vor, wenn ein anderes Unternehmen mit der Wahrnehmung solcher Aktivitäten und Prozesse im Zusammenhang mit der

  • Durchführung von Bankgeschäften,
  • Finanzdienstleistungen oder
  • sonstigen institutstypischen Dienstleistungen

beauftragt wird, die ansonsten vom Institut selbst erbracht würden.

Zivilrechtliche Gestaltungen und Vereinbarungen können dabei das Vorliegen einer Auslagerung nicht ausschließen.

Eine Auslagerung im Sinne des § 25b Abs. 1 KWG in Verbindung mit AT 9 Tz. 1 MaRisk, für die die erhöhten Anforderungen des AT 9 Tz. 5 bis 9 erfüllt werden müssen, liegt demnach nur vor, wenn die ausgelagerten Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von

  • Bankgeschäften,
  • Finanzdienstleistungen oder
  • sonstigen institutstypischen Dienstleistungen

stehen und wesentlich im Sinne von § 25b Abs. 1 KWG sind.

 

Dabei ist es unerheblich,

  • welche Rechtsform das Auslagerungsunternehmen besitzt,
  • ob eine Auslagerung dauerhaft sein soll oder nicht,
  • ob ein Beteiligungsverhältnis zwischen Institut und Auslagerungsunternehmen besteht

oder

  • ob die auszulagernden Aktivitäten und Prozesse räumlich vom Institut getrennt werden oder nicht.

 

Sonstige institutstypische Dienstleistungen – Begriffsdefinition nach MaRisk

Durch die Bezugnahme auf sonstige institutstypische Dienstleistungen wird Art. 13 Abs. 5 Satz 1 der Finanzmarktrichtlinie insoweit Rechnung getragen, als dieser sich auf die Auslagerung betrieblicher Aufgaben bezieht, die für die kontinuierliche und ordnungsgemäße Erbringung und Ausübung von Dienstleistungen für Kunden und Anlagetätigkeiten wichtig sind.

Zu den sonstigen institutstypischen Dienstleistungen zählen z. B. auch die in Anhang I Abschnitt B der Finanzmarktrichtlinie genannten Nebendienstleistungen.

 

Keine Auslagerung – sonstige Fremdbezug von Leistungen

Nicht als Auslagerung im Sinne dieses Rundschreibens zu qualifizieren ist der sonstige Fremdbezug von Leistungen. Hierzu zählt zunächst der einmalige oder gelegentliche Fremdbezug von Gütern und Dienstleistungen.

Ebenso erfasst werden Leistungen, die typischerweise von einem beaufsichtigten Unternehmen bezogen und aufgrund tatsächlicher Gegebenheiten oder rechtlicher Vorgaben regelmäßig weder zum Zeitpunkt des Fremdbezugs noch in der Zukunft vom Institut selbst erbracht werden können (z. B. die Nutzung von Zentralbankfunktionen (innerhalb von Finanzverbünden), bzw. die Nutzung von Clearingstellen im Rahmen des Zahlungsverkehrs und der Wertpapierabwicklung, die Inanspruchnahme von Liquiditätslinien, die Einschaltung von Korrespondenzbanken oder die Verwahrung von Vermögensgegenständen von Kunden nach dem Depotgesetz).

Die Anwendung der einschlägigen Regelungen zu § 25b Abs. 2 KWG ist angesichts der besonderen, mit solchen Konstellationen einhergehenden Risiken regelmäßig nicht angemessen. Dessen ungeachtet hat das Institut auch beim sonstigen Fremdbezug von Leistungen die allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsorganisation gemäß 25a Abs. 1 KWG zu beachten.

 

Keine Auslagerungen im Sinne des § 25b KWG – Auslagerungen und Fremdbezug nach MaRisk

Keine Auslagerung im Sinne der den § 25b KWG konkretisierenden MaRisk sind allgemeine Service- und Unterstützungsdienstleistungen und die Nutzung von Infrastruktureinrichtungen, da sie regelmäßig nicht den Tatbestand des AT 9 Tz. 1 MaRisk erfüllen.

Basierend auf dem BaKred-Rundschreiben 11/2001 zählen zu den allgemeinen Service- und Unterstützungsdienstleistungen beispielsweise:

  • Postzustellung,
  • Strom, Wasser, Abwasser,
  • Reinigungsdienst,
  • Wachschutz,
  • Abfallentsorgung,
  • Unfallverhütung,
  • Baudienst,
  • Rechts- und Steuerberatung sowie sonstige Beratungsleistungen,
  • Informationsdienste wie Reuters etc.,
  • Bezug von Druckerzeugnissen (Formulare, Vordrucke etc.),
  • Mitarbeiterschulung,
  • Fakturierung,
  • Brandschutz,
  • Betriebsarzt und -psychologe,
  • Verwaltung von Institutsvermögen in Spezialfonds inkl. Master-Kapitalanlagegesellschaften.

Demzufolge unterliegen diese Tätigkeiten nicht den Anforderungen des § 25b KWG, unterfallen jedoch den Vorgaben an eine ordnungsgemäße Geschäftsorganisation nach § 25a Abs. 1 KWG und sind Bestandteil des allgemein geforderten Risikomanagementsystems.

 

Auslagerung – Keine Einstufung als sonstiger Fremdbezug

Nicht als sonstiger Fremdbezug, sondern als Auslagerung einzustufen sind jedoch

  • vom Institut bezogene Software und
  • diesbezügliche fachliche Unterstützungsleistungen,

die zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken eingesetzt werden oder für die Durchführung von bankgeschäftlichen Aufgaben von wesentlicher Bedeutung sind (Kernbanksysteme), sofern sie individuell an die Bedürfnisse eines Instituts oder mehrerer Institute angepasst oder mit entsprechenden Dienstleistungen durch Dritte verbunden sind.

Diese Anforderungen stellen einen echten Paradigmenwechsel. Vom Institut fremdbezogene Software, die  individuell an die Bedürfnisse eines oder mehrerer Institute angepasst oder mit entsprechenden Dienstleistungen durch Dritte verbunden ist, ist nicht mehr als sonstiger Fremdbezug, sondern als Auslagerung einzustufen.

Weitere Voraussetzung für diese Einstufung ist, dass die Software zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken oder für die Durchführung von bankgeschäftlichen Aufgaben von wesentlicher Bedeutung (Kernbanksysteme) eingesetzt wird.

Diese Regelung führt in der Praxis zu  Herausforderungen bei der Abgrenzung zwischen dem sonstigen Fremdbezug von Standardsoftware einerseits und der Verwirklichung von Auslagerungstatbeständen durch den Fremdbezug individualisierter Software.

Die konkrete Zuordnung ist von erheblicher praktischer Bedeutung. Eine Einstufung als Auslagerung führt dazu, dass im Lizenz-/Auslagerungsvertrag die Herausgabe aussagekräftiger Informationen zu wesentlichen Annahmen und Parametern bzw. deren Änderungen sowie zu sonstigen Sicherheitsanforderungen – wie beispielsweise Zugangsbestimmungen zu Räumen und Zugriffsberechtigungen für Softwarelösungen – zu vereinbaren sind. Solche zusätzlichen Rechte und Anforderungen werden sicherlich zu Kostensteigerungen beim Bezug von Software führen.

 

Auslagerungsmanagement muss in der Strategie abgebildet werden

 

AT 4.2 – Textziffer 1 – Erläuterungen

[…]

Besondere strategische Aspekte

Aufgrund der Bedeutung für das Funktionieren der Prozesse im Institut hat das Institut in Abhängigkeit von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten auch Aussagen zur zukünftig geplanten Ausgestaltung der IT-Systeme zu treffen.

Im Falle umfangreicher Auslagerungen sind auch Ausführungen zum Outsourcing erforderlich.

 

Auslagerungen und Prozessmanagement

AT 5 – Textziffer 3

Die Organisationsrichtlinien haben vor allem Folgendes zu beinhalten:

  • Regelungen für die Aufbau- und Ablauforganisation sowie zur Aufgabenzuweisung, Kompetenzordnung und zu den Verantwortlichkeiten,
  • Regelungen hinsichtlich der Ausgestaltung der Risikosteuerungs- und -controllingprozesse,
  • Regelungen zur Internen Revision,
  • Regelungen, die die Einhaltung rechtlicher Regelungen und Vorgaben (zum Beispiel Datenschutz, Compliance) gewährleisten,
  • Regelungen zu Verfahrensweisen bei wesentlichen Auslagerungen.

 

AT 4.3.1 – Textziffer 2

Prozesse sowie die damit verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen sowie Kommunikationswege sind klar zu definieren und aufeinander abzustimmen. Dies beinhaltet auch die regelmäßige und anlassbezogene Überprüfung von IT-Berechtigungen, Zeichnungsberechtigungen

und sonstigen eingeräumten Kompetenzen. Das gilt auch bezüglich der Schnittstellen zu wesentlichen Auslagerungen.

 

Auslagerungen und Konzentrationsrisiken – Abgrenzung von Auslagerungen und Fremdbezug nach MaRisk

Gemäß dem Konsultationsentwurf der MaRisk Novelle 2016 verlangt die Aufsicht zusätzlich, dass sich die Institute im Rahmen der Risikoanalysen mit Risikokonzentrationen aus Auslagerungsrisiken sowie Risiken aus Weiterverlagerungen auseinandersetzen. Dabei ist zu berücksichtigen, dass Risikoanalysen auf Basis von instituts- bzw. gruppenweiten Regelungen regelmäßig und auch anlassbezogen zu erstellen sind.

 

Unternehmensführung – Auslagerungen und Fremdbezug nach MaRisk

Seminar Unternehmensführung:  Geschäftsführung kompakt

Seminar Unternehmensführung:  Controlling – Update für Unternehmer

Seminar Unternehmensführung:  Risikomanagement kompakt

Seminar Unternehmensführung:  Die Unternehmer-BWA

Seminar Unternehmensführung:  Fit für den Führungsalltag – Kennzahlen & Führung

Seminar Unternehmensführung:  Arbeitsrecht für Führungskräfte

Seminar Unternehmensführung:  Strategie & Management

Seminar Unternehmensführung:  Geschäftsführung kompakt

Seminar Unternehmensführung:  Zertifizierter GmbH-Geschäftsführer (S&P)

Seminar Unternehmensführung:  Risikomanagement

Seminar Leadership: Leadership Training für Manager

Compliance & Geldwäschebeauftragter – Abgrenzung von Auslagerungen und Fremdbezug nach MaRisk

Seminar Geldwäschebeauftragter:  Geldwäsche und Fraud – Basisseminar

Seminar Geldwäschebeauftragter:  Geldwäsche und Fraud – Aufbauseminar

Seminar Geldwäschebeauftragter:  Geldwäsche & Fraud – Update

Seminar Geldwäschebeauftragter:  Geldwäsche & Fraud – Forum

Seminar Geldwäschebeauftragter:  Gefährdungsanalyse – Prüfung 2014

Seminar Geldwäschebeauftragter:  Aufbauseminar – Geldwäsche und Wirtschaftskriminalität

Seminar Compliance:  MaRisk-Compliance – WpHG-Compliance – Vertriebsbeauftragter

Seminar Compliance:  Compliance

Seminar Compliance:  Compliance für Vertriebsbeauftragte 

Seminar MaRisk Compliance:  Neue Compliance-Funktion gemäß MaRisk

Seminar MaRisk Compliance:  Compliance im Fokus der Bankenaufsicht

Depot A Management und Asset Management – Auslagerungen und Fremdbezug nach MaRisk

Seminar Depot A:  Depot  A im Fokus der Bankenaufsicht

Seminar Depot A:  Depot A Management: Kompaktwissen für die Niedrigzinsphase

Seminar Depot A:  Depot A Management

Risikomanagement für Unternehmen – Auslagerungen und Fremdbezug nach MaRisk

Seminar Risikomanagement:  Risikomanagement kompakt

Seminar MaRisk:  Neue MaRisk – CRD IV – CRR – §25KWG neu

MaRisk – CRD IV – CRR – Neue MaRisk Compliance Funktion – Auslagerungen und Fremdbezug nach MaRisk

Seminar Neue MaRisk Compliance Funktion:  Neue MaRisk – CRD IV – CRR – §25KWG neu

Seminar Neue MaRisk Compliance Funktion: MaRisk-konformes Verrechnungssystem für Liquiditätskosten

Seminar Neue MaRisk Compliance Funktion: Neue MaRisk

Seminar Neue MaRisk Compliance Funktion:  Neue Compliance-Funktion gemäß MaRisk

Newsletter