REGULIERUNG 1 |
REGULIERUNG 1 | Übersicht: Beauftragtenwesen nach MaRisk Compliance-Funktion Leiter Risiko-Controlling Interne Revision Größe / Komplexität / Risikogehalt Systemrelevante (SRI) und bedeutende Institute (SI) » Ist der Geschäftsleitung unmittelbar unterstellt » Ist selbst kein Geschäftsleiter Bündelung von Funktionen grds. möglich » Muss selbst Geschäftsleiter sein („CRO”) » Kann zusammen Bereich Marktfolge leiten » Geldwäschebeauftragter » WpHG-Beauftragter » Datenschutzbeauftragter » Informationssicherheitsbeauftragter » Business Continuity Manager » Zentraler Auslagerungsbeauftragter
REGULIERUNG 2 | Auslagerungszyklus nach MaRisk im Überblick 5 Ausstieg Überwachung 2 0 1 Voranalyse Register Due-Diligence-Prüfung Risikobewertung Identifikation möglicher Interessenkonflikte Vertragsverhandlung und -abschluss Erfassung im Auslagerungsregister Erhebung Mindestinformationen Analyse 3 2 Überwachung Kontinuierliche Überwachung KPI/KRI Einhaltung Vereinbarungen/Anforderungen Nutzung Zugangs-, Informations- und Prüfungsrechte 1 Register 3 Analyse Regelmäßige Risikobewertung Weiterverlagerungen, Konzentrationsrisiken Auswertung qualitativer Informationen 0 Voranalyse 4 Steuerung 4 Steuerung Kommunikation mit Dienstleister Ergreifen von Abhilfemaßnahmen Aktualisierung vertraglicher Bedingungen 5 Ausstieg Dokumentierte Ausstiegspläne Rückverlagerung oder Übertragung an Dritte Gewährleistung störungsfreie Leistungserbringung Quelle: Berg Lund & Company. Auslagerungen, sonstiger Fremdbezug und Weiterverlagerungen Zwar wurden die Anforderungen an das Auslagerungsmanagement in AT 9 der MaRisk recht umfangreich angepasst. Die grundlegende Definition von Auslagerungen stellt aber unverändert darauf ab, ob in Anspruch genommene Leistungen ansonsten vom Institut selbst erbracht würden. Ist dies nicht der Fall, handelt es sich regelmäßig um sonstigen Fremdbezug von Leistungen. Zur Illustration des Unterschieds dienen mehrere Fallbeispiele in AT 9 Tz. 1 (Erläuterungen), die nun zusätzlich Ratingagenturen, globale Zahlungsverkehrsdienstleister sowie Rechtsgutachter umfassen. Zwar bedeuten aufsichtsrechtliche Definitionen anhand von exemplarischen Beispielen oft Auslegungsunsicherheiten. Im vorliegenden Fall begrüßen viele Institute jedoch die resultierende Flexibilität der Regelung. Neu ist die Anforderung, dass jedes Institut ein Auslagerungsregister einzurichten hat (AT 9 Tz. 14), das alle Auslagerungen sowie wesentliche Weiterverlagerungen erfasst. Diese Anforderung wurde mit der Verabschiedung des Finanzmarktintegritätsstärkungsgesetzes, das der Bundestag am 20. Mai 2021 verabschiedet hat, zusätzlich auch direkt in § 25b KWG verankert. Zu inhaltlichen Mindestanforderungen des Auslagerungsregisters verweist die MaRisk direkt auf die EBA-Leitlinie zu Auslagerungen 2. Die Wesentlichkeit eines Auslagerungssachverhalts unter Risikogesichtspunkten wird ebenfalls durch zusätzliche Fallbeispiele geschärft (AT 9 Tz. 2, Erläuterungen). Diese Beispiele betreffen politische Risiken, mögliche Interessenkonflikte und Schutzbedarfe sowie Risikokonzentrationen, wenn mehrere Auslagerungssachverhalte mit demselben Auslagerungsunternehmen bestehen. Risikoanalysen sind dabei durch Szenarioanalysen (ebenfalls AT 9 Tz. 2, Erläuterungen) zu ergänzen, soweit dies sinnvoll und verhältnismäßig ist. Insgesamt erhöhen die Fallbeispiele und die Szenarioanalysen Aufwand und Komplexität für nötige Risikoanalysen. Die neue Anforderung, dass Weiterverlagerungen gemäß AT 9 Tz. 11 (Erläuterungen) ebenfalls nach Risikogesichtspunkten auf ihre Wesentlichkeit untersucht werden müssen, trägt hierzu ebenfalls bei. Eine Bewertung politischer Risiken ist für Institute inhaltlich herausfordernd und, besonders wenn sie das eigene Land betreffen, heikel. Vertragsgestaltung und laufende Überwachung Die neue MaRisk sieht vor, dass Institute Auslagerungsunternehmen verpflichten sollten (AT 9 Tz. 7), bei Vertragsende eine Übertragung der Leistungen zurück an den Auftraggeber oder an benannte Dritte unterstützen zu müssen. Informations- und Prüfungsrechte sollten möglichst auch für nicht-wesentliche Auslagerungen vereinbart werden. Die Formulierungen im Konjunktiv („sollten“) ist dabei von großer Bedeutung, weil ansonsten die Gefahr bestünde, dass Institute ihre Auslagerungsverträge großflächig im Rahmen der Übergangsfrist bis Ende 2021 nachverhandeln müssten. Stattdessen gehen Institute derzeit davon aus, dass es ausreicht, die zusätzlichen 09 // 2021 43
