In der Leasing- und Factoring-Branche sind weiterhin umfangreiche Auslagerungsverhältnisse festzustellen. Insbesondere in den Bereichen der Informationstechnologie (IT) sowie bei Kontrolleinheiten wie Interne Revision oder Geldwäscheprävention werden häufig externe Dienstleister mit der Abwicklung der entsprechenden Tätigkeiten betraut. Das Thema Auslagerungen ist vor diesem Hintergrund seit Jahren ein Schwerpunkt der aufsichtlichen Praxis, was sich in den vergangenen Jahren auch an erweiterten Prüfungsanforderungen an die Wirtschaftsprüfer in der Prüfungsberichtsverordnung (PrüfbV) niedergeschlagen hat. Als Hintergrund für die aktuelle Überarbeitung der MaRisk wurden an zahlreichen Stellen Unklarheiten beziehungsweise uneinheitliche Auslegungen des bisherigen AT 9 MaRisk "Outsourcing" festgestellt. Zudem bestanden nach Auffassung der BaFin in nicht wenigen Fällen Mängel in der Umsetzung dieser Rege lungen.1
Aus diesen Gründen wurde der AT 9 neben der Einführung einer Risikoberichterstattung gemäß den Vorgaben des BCBS 239 sowie der Etablierung einer Risikokultur als dritter zentraler Baustein der 5. MaRisk-Novelle einer umfassenden Überarbeitung unterzogen.2
Grenzen der Auslagerbarkeit
Ein wichtiger Schwerpunkt aus Sicht der Aufsicht im Rahmen der Ma-Risk-Novelle bestand darin, die Grenzen der Auslagerbarkeit von unternehmensinternen Bereichen deutlicher aufzuzeigen.3 Hierzu wurde die Tz. 4 des AT 9 geändert sowie eine neue Tz. 5 in den AT 9 MaRisk eingefügt. Demzufolge ergeben sich nunmehr besondere Maßstäbe bei einer teilweisen oder vollständigen Auslagerung der Kontrolleinheiten Risikocontrolling-Funktion, Compliance-Funktion und Interne Revision, die auch als besondere Funktionen bezeichnet werden.
Der Hintergrund besteht darin, dass die betroffenen Institute möglichen Kontrollverlusten entgegenwirken sollen. Es soll dem Verlust solcher Expertise vorgebeugt werden, die für eine effektive Wahrnehmung der Aufgaben der Kontrolleinheiten notwendig ist.4
Gemäß den Ausführungen im neuen Tz. 5 sind Auslagerungen von diesen Kontrolleinheiten sowie von Kernbankbereichen nur noch in einem Umfang möglich, der gewährleistet, dass hierdurch die Leasingoder Factoring-Gesellschaft weiterhin über Kenntnisse und Erfahrungen verfügt, die eine wirksame Überwachung der von Dienstleistern erbrachten Leistungen gewährleistet. Dabei ist sicherzustellen, dass im Falle einer Beendigung des Auslagerungsvertrags der ordnungsgemäße Betrieb in den hiervon betroffenen Bereichen fortgesetzt werden kann. Gemäß den neuen Vorschriften können oben genannte Kontrolleinheiten nur noch von Tochterinstituten innerhalb einer Institutsgruppe ausgelagert werden und auch nur dann, wenn das übergeordnete Institut die Dienstleistung bereitstellt und die Tochter sowohl hinsichtlich ihrer Größe, Komplexität und dem Risikogehalt der Geschäftsaktivitäten sowohl national als auch innerhalb der Gruppe als nicht wesentlich einzuordnen ist.
Relevant für die Leasing- und die Factoring-Branche ist dabei insbesondere der Satz 5 im Tz. 5 des AT 9 MaRisk. Hier ist sich die Aufsicht bewusst, dass vor allem kleinere Institute nicht auf Auslagerungen verzichten möchten, um in solchen spezifische Fachexpertise nutzen zu können.5 Demnach ist eine vollständige Auslagerung der Compliance-Funktion oder der Internen Revision bei kleinen Instituten möglich, sofern deren Einrichtung vor dem Hintergrund der Institutsgröße sowie der Art, des Umfangs, der Komplexität und des Risikogehalts der betriebenen Geschäftsaktivitäten nicht angemessen wäre. Zu beachten ist dabei, dass die Risikocontrolling-Funktion von dieser Erleichterung nicht umfasst ist. Der Begriff "kleine Institute" wird nicht abschließend definiert. Jedoch ist davon auszugehen, dass die Erleichterung bis hinein zu den mittelständischen Leasing- und Factoring-Gesellschaften genutzt werden kann, sofern nicht besondere Spezifika, wie etwa komplexe Vertragsmodelle oder außergewöhnliche Geschäftskonstruktionen, vorliegen.
Zentrales Auslagerungsmanagement
Ein weiteres häufig sowohl von Prüfern als auch durch die Aufsicht genanntes Petitum bestand in einem fehlenden zentralen Auslagerungsmanagement. Häufig sind in der Praxis verschiedene Auslagerungsbeauftragte für unterschiedliche Bereiche vorzufinden, die auch insbesondere im Rahmen des Auslagerungscontrollings unterschiedliche Maßstäbe bei der Beurteilung des Dienstleisters anlegen. Hier sieht es die Aufsicht nunmehr als erforderlich an, dass zumindest bei größeren Instituten beziehungsweise Instituten mit umfangreichen Auslagerungslösungen ein zentrales Auslagerungsmanagement etabliert wird. Dadurch soll ein Gesamtüberblick über ausgelagerte Bereiche geschaffen werden und so ein weitgehend einheitlicher Umgang mit Auslagerungsrisiken sowie deren Überwachung ermöglicht werden.6
Um diese Vorgaben umzusetzen wurden die Tz. 12 und 13 neu in den AT 9 MaRisk eingefügt. Demnach haben Institute abhängig von Art, dem Umfang und der Komplexität der Auslagerungsaktivitäten ein zentrales Auslagerungsmanagement einzurichten. Zu dessen Aufgaben zählen insbesondere:
- Implementierung und Weiterentwicklung eines angemessenen Auslagerungsmanagements und entsprechender Kontroll- und Überwachungsprozesse,
- Erstellung und Pflege einer vollständigen Dokumentation der Auslagerungen,
- Unterstützung der Fachbereiche bezüglich der institutsinternen und gesetzlichen Anforderungen bei Auslagerungen sowie
- Koordination und Überprüfung der durch die zuständigen Bereiche durchgeführten Risikoanalyse.
Darüber hinaus hat das zentrale Auslagerungsmanagement mindestens jährlich einen Auslagerungsbericht anzufertigen, der der Geschäftsleitung vorgelegt werden muss. Diese Berichte müssen insbesondere dazu Informationen enthalten, ob die erbrachten Leistungen des Auslagerungsunternehmens den getroffenen Vereinbarungen entsprechen, ob die ausgelagerten Bereiche adäquat gesteuert und überwacht werden können und ob weitere risikoreduzierende Maßnahmen unternommen werden müssen.
Als konkreter Handlungsbedarf ist hervorzuheben, dass zu diesem Zweck eine entsprechende Festlegung von Qualitätskriterien sowie eine Prüfung der Korrektheit und Verfügbarkeit der notwendigen Daten erforderlich sein wird.
Abgrenzung zu sonstigem Fremdbezug
Eine in der Praxis häufig diskutierte Frage war die Abgrenzung zwischen Auslagerungen und dem sonstigen Fremdbezug von Leistungen, insbesondere im Bereich der Software. Als Grundsatz gilt nun, dass der reine Erwerb von Software für sich betrachtet noch keine Auslagerung ist. Für die genaue Abgrenzung wurden in den Erläuterungen zu Tz. 1 des AT 9 MaRisk einige konkrete Beispiele für mögliche Unterstützungsleistungen des Auslagerungsunternehmens aufgenommen, die ebenfalls als sonstiger Fremdbezug zu qualifizieren sind. Dazu gehören etwa die Anpassung der Software an die spezifischen Erfordernisse des Instituts oder Wartungsleistungen gemäß der entsprechenden Anforderungs- oder Fehlerbeschreibung des Herstellers.
Gemäß den weiteren neuen Ausführungen in Tz. 1 sind jedoch Unterstützungsleistungen für Software, die zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken verwendet wird oder die für die Durchführung von geschäftlichen Aufgaben von wesentlicher Bedeutung ist, als Auslagerungen einzuordnen, was ebenso für einen Betrieb dieser Software durch einen Dienstleister angenommen wird.
Insgesamt ist zu beachten, dass die Einstufung der Auslagerung vom Vertragsinhalt abhängt und nicht von einer gegebenenfalls abweichenden rechtlichen Vertragsgestaltung, zum Beispiel in Form von Werkverträgen. Als eine Herausforderung für Leasing-und Factoring-Gesellschaften ist zu erwähnen, dass eine Validierung bestehender Auslagerungs- und Abgrenzungsdefinitionen erfolgen muss, was auch eine Anpassung der Prozesse in der schriftlich fixierten Ordnung zur Folge haben kann. Insbesondere die auf die Kerngeschäfts- und Risikomanagementsysteme bezogene IT muss dazu einer ausführlichen Analyse unterzogen werden.
Weiterverlagerungen
Ein letzter Schwerpunkt bei der Überarbeitung der Regelungen zu Auslagerungsverhältnissen liegt in den Vorgaben zu Weiterverlagerungen, da auch hierbei in einigen Fällen Feststellungen durch Prüfer oder durch die Aufsicht gegeben waren. In Extremfällen hatten die auslagernden Institute noch nicht einmal Kenntnis von bereits laufenden Weiterverlagerungen, was insbesondere Sachverhalte im Bereich der IT betraf. Hinsichtlich Weiterverlagerungen ist die Aufsicht der Ansicht, dass hierdurch lediglich die schon bisher geltende Verwaltungsauffassung näher konkretisiert und dargestellt wird. Es soll gewährleistet werden, dass bei Weiterverlagerungen dieselben Anforderungen zur Geltung kommen wie bei der ursprünglichen Auslagerung.7
Hierzu wurde die neugefasste Tz. 8 in den AT 9 MaRisk eingefügt. Demnach sind hinsichtlich möglicher Weiterverlagerungen Zustimmungsvorbehalte des Instituts oder zumindest konkrete Voraussetzungen hierfür mit dem Auslagerungsunternehmen z56 u vereinbaren. Dadurch ist sicherzustellen, dass die Vereinbarungen zwischen Subunternehmer und Dienstleister im Einklang mit dem originären Auslagerungsvertrag stehen. Darüber hinaus muss das auslagernde Institut gewährleisten, dass eine Informationspflicht des Auslagerungsunternehmens im Falle von geplanten Weiterverlagerungen besteht. Außerdem muss sichergestellt werden, dass das Auslagerungsunternehmen im Falle einer Weiterverlagerung von Tätigkeiten gegenüber dem auslagernden Institut berichtspflichtig bleibt.
Die Herausforderung besteht insbesondere darin, die bestehenden Auslagerungsverhältnisse vor diesem Hintergrund nochmals zu analysieren und das Auslagerungsunternehmen zur Verfügungstellung der notwendigen Informationen zu bewegen.
Sonstige Anforderungen
Als sonstige wesentliche neue Anforderung ist zu nennen, dass bereits bei der Vertragsanbahnung durch das Institut intern festgelegt werden muss, welchen Grad einer Schlechtleistung des Auslagerungsunternehmens es akzeptieren möchte. Dies hat auch Auswirkungen auf das laufende Auslagerungscontrolling. Es müssen - sofern noch nicht vorhanden - messbare Kriterien für eine konkrete Beurteilung des Auslagerungsunternehmens implementiert werden. In der Praxis hat sich hier insbesondere eine entsprechende Steuerung anhand von Key-Performance-Indikatoren mit entsprechenden Bonus- oder Malusregelungen verbunden mit Sonderkündigungsrechten als geeignetes Instrument etabliert.
Auch für den Fall der beabsichtigten oder erwarteten Beendigung von Auslagerungsverhältnissen wurden nunmehr detailliertere Vorgaben getroffen. Es sind nun nicht mehr nur mögliche Handlungsoptionen zu dokumentieren, sondern - soweit möglich und sinnvoll - entsprechende umfassende Ausstiegsprozesse zu bestimmen. Solche Prozesse sind mit dem Ziel festzulegen, die erforderliche Kontinuität und Qualität der ausgelagerten Bereiche aufrechtzuerhalten beziehungsweise wiederherstellen zu können.
Zuletzt sind noch erweiterte Sicherheitsanforderungen zu erwähnen. Insofern wurde nun durch die Aufsicht vorgegeben, dass zu den sonstigen Sicherheitsanforderungen auch Zugangsbestimmungen zu Räumen und Gebäuden sowie Zugriffsberechtigungen auf Softwarelösungen zum Schutz wesentlicher Daten und Informationen zählen.
Umsetzung der neuen Vorschriften
Hinsichtlich des Umsetzungszeitpunkts der einzelnen Regelungen ist wie eingangs erwähnt zu unterscheiden, ob es sich um Klarstellungen beziehungsweise die schriftliche Niederlegung bereits geltender Verwaltungspraxis handelt oder ob Regelungen komplett neu getroffen wurden. Im ersteren Fall sind die entsprechenden Vorschriften mit Inkrafttreten der neuen MaRisk zum 27. Oktober 2017 umzusetzen beziehungsweise hätten schon vorher umgesetzt sein müssen. Für Sachverhalte, die neu im Rahmen der 5. MaRisk-Novelle geregelt wurden, gilt demgegenüber eine verlängerte Umsetzungsfrist bis zum 31. Oktober 2018.
Aus dem Bereich der Auslagerungen sind die neu gefassten Grenzen für die Auslagerbarkeit der Kontrolleinheiten, die Einrichtung eines zentralen Auslagerungsmanagements, die Festlegung eines Grads der Akzeptanz von Schlechtleistungen des Auslagerungsunternehmens sowie die Etablierung von Ausstiegsprozessen neue Anforderungen. Bei diesen ist anzunehmen, dass die verlängerte Umsetzungsfrist in Anspruch genommen werden kann. Demgegenüber sind insbesondere die detaillierteren Erfordernisse für Weiterverlagerungen nur eine schriftliche Niederlegung der geltenden Verwaltungspraxis, so dass dies bereits mit Inkrafttreten der neuen MaRisk zum 27. Oktober 2017 umzusetzen war. Dies ist auch für die Abgrenzung von Auslagerungen zu sonstigem Fremdbezug von Leistungen anzunehmen, da die Aufsicht insofern von einer Klarstellung spricht.8
Als eine wesentliche Herausforderung für Leasing- und Factoring-Gesellschaften ist abschließend zu nennen, dass insgesamt ein verstärkter Auf- und Ausbau von Kompetenz und Ressourcen hinsichtlich der ausgelagerten Funktionen notwendig sein wird. Dies bedeutet zum einen verstärkten quantitativen als auch qualitativen Bedarf an Ressourcen. Zum anderen wird sich dies auch auf den laufenden Betrieb in dem Maße auswirken, dass beispielsweise der entsprechende Schulungs- und Fortbildungsbedarf erhöht werden muss.
1) Vgl. BaFin, unter www.bafin.de, Abruf: 11. Januar 2018.
2) Vgl. BaFin, unter www.bafin.de, Abruf: 11. Januar 2018.
3) Vgl. BaFin, unter www.bafin.de, Abruf: 11. Januar 2018.
4) Vgl. BaFin, unter www.bafin.de, Abruf: 11. Januar 2018.
5) Vgl. BaFin, unter www.bafin.de, Abruf: 11. Januar 2018.
6) Vgl. BaFin, unter www.bafin.de, Abruf: 11. Januar 2018.
7) Vgl. BaFin, unter www.bafin.de, Abruf: 11. Januar 2018.
8) Vgl. BaFin, unter www.bafin.de, Abruf: 11. Januar 2018.
