Finanzinstitute können regulatorische Vorgaben zur Senkung Ihrer Auslagerungskosten nutzen. Am Beispiel der MaRisk lässt sich zeigen, wie Banken diese eine Chance für Kosteneinsparungen und Effizienzsteigerung insbesondere im Bereich IT-Kosten bieten.

Wie Banken bei der Erfüllung der MaRisk Kosten sparen können

Wie Banken bei der Erfüllung der MaRisk durch Auslagerung Kosten sparen und Effizienz erhöhen können.

Partner des Bank Blogs

Die Mindestanforderungen an das Risikomanagement (MaRisk) dienen zusammen mit den Anforderungen an die IT von Banken (BAIT) als Operationalisierung des §25a KWG (Kreditwesengesetz) sowie §25b KWG. Die MaRisk und BAIT sind darüber hinaus die nationale Umsetzung der europäischen Leitlinien für das Management von ITK und Sicherheitsrisiken („EBA Guidelines on ICT and Security Risk Management“). Die MaRisk beinhaltet unter anderem die Auspräzisierung des §25a Abs. 3 KWG für das Risikomanagement auf Gruppenebene, und klärt generelle Fragen zu Auslagerungen („Outsourcing“), welche im Hinblick auf IT Fragestellungen in der BAIT weiter ausformuliert sind.

Der Exekutivdirektor der BaFin Raimund Röseler nannte in einer Keynote eine Verschiebung der zukünftigen Schwerpunkte der BaFin von der überwiegenden Betrachtung der Eigenkapitalquote hin zur Betrachtung der gesamten Geschäftsmodelle von Banken, was insbesondere die Prozesse sowie die IT, und hier insbesondere die Auslagerungen, betrifft.

Senkung der Risiken in Sonderprüfungen nach §44 KWG durch Einhaltung der MaRisk

Die Relevanz der MaRisk Novelle für Banken ergibt sich aus der Möglichkeit der BaFin Sonderprüfungen in Instituten durchzuführen. Konkret muss lt. §44 KWG kein besonderer Anlass vorliegen damit die BaFin eine Sonderprüfung durchführen kann. Betrachtet man die veröffentlichten Daten der BaFin für die Jahre 2014 bis 2018, so ist ein Anstieg der Sonderprüfungen mit Prüfungsinhalt §25a Abs. 1 KWG (MaRisk) von 64 Prozent der Prüfungen in 2014, auf 81 Prozent in 2016 bis auf 85 Prozent in 2018 anteilig an den gesamten Sonderprüfungen festzustellen.

Die Entwicklung der Anzahl der Sonderprüfungen nach §44 KWG (2014 bis 2018).

Geänderter Anwenderkreis der MaRisk

Die Basis für den Artikel ist die Fassung der MaRisk für die Konsultation 14/2020 vom 26.10.2020. Zu beachten ist, dass sich die MaRisk nicht mehr nur auf systemrelevante Institute im Sinne des §10KWG bezieht, sondern auf große und komplexe Institute mit Einzel- oder Gruppenbilanzsummen größer 30 Mrd. Euro. Der Anwenderkreis nach AT 2.1 der MaRisk welcher sich auf das Risikomanagement auf Gruppenebene bezieht, wurde durch eine explizite Quote für notleidende Kredite ergänzt (NLP-Quote), neu ist auch die Aufnahme von Geschäften mit Kryptohandel als Finanzinstrument (AT2.3). Im Folgenden gehen wir auf die Haupt-Handlungsbedarfe der Auslagerung ein, welche sich nach derzeitigem Stand aus Sicht der Autoren ergeben. Wir empfehlen in Ergänzung zu der Novelle der MaRisk die Novelle der BAIT zu betrachten, welche sich derzeit auch in Konsultation befindet.

AT 9 – Auslagerung

Die Novelle der MaRisk wurde im Bereich der Auslagerungen erheblich in der Definition des Fremdbezuges verändert, so dass zukünftig auch Informationen z.B. in Form von Rechtsgutachten oder generellen Ratingdaten unter Auslagerung fallen können. Zusammen mit der Neudefinition der Risikoanalyse für Auslagerungen, welche u.a. zukünftig die Vertragswerke, sowie die Risiken aus politischen Entscheidungen und die bereits getroffenen Maßnahmen beinhalten muss, ergibt sich hier ein erheblicher dokumentarischer und operativer Mehraufwand für Institute.

Der Brexit birgt hier eine besondere Sprengkraft: Institute welche wesentliche unter Aufsicht stehende Banktätigkeiten in einen nicht-europäischen Wirtschaftsraum verlagert haben, müssen sicherstellen dass das Auslagerungsunternehmen in dem fremden Rechtsraum unter Aufsicht steht und dies schriftlich mit dem Unternehmen vereinbaren. Generell wurden die Erfordernisse an die Auslagerungsvereinbarungen angepasst, welche jetzt zwingend schriftlich erfolgen müssen, mit Mindestanforderungen an das Vertragswerk. Die Übersicht der Auslagerungen obliegt zukünftig dem zentralen Auslagerungsbeauftragten, welcher in kleinen Instituten auch Mitglied der Geschäftsführung sein kann, unter der Voraussetzung der Trennung des Managements und der Kontrolle von Risiken im Bereich der Auslagerungen. Der zu benennende Revisionsbeauftragte für Auslagerungen muss zukünftig zwingend der Geschäftsleitung unmittelbar unterstellt sein.

Eine weitere gravierende Änderung der Auslagerung findet sich im Bereich der Gruppen und Finanzverbünde, welche zukünftig ein einheitliches und gemeinsames Risikomanagement betreiben können. Hier ist insbesondere die Möglichkeit der Vorauswertung der Risikoberichterstattung durch den Verbund sowie der Entfall von Ausstiegsprozessen innerhalb von verbundinternen Auslagerungen was erheblich den Arbeitsaufwand erleichtert.

Hinzu gekommen sind erweiterte Informationspflichten, z.B. die Bereitstellung der für das einzelne Institut relevanten Informationen aus dem zentralen Auslagerungsregister des Verbundes sowie die analoge Bereitstellung der gemeinsamen Notfallpläne auf Verbundebene für das einzelne angeschlossene Institut. Dies bietet insbesondere für kleine und mittlere Institute welche einen wesentlichen Teil Ihrer Aufgaben in übergeordnete Verbünde abgegeben haben deutliche Komplexitätsreduzierungen und Kosteneinsparungen.

Top 5 Handlungsbedarfe im Bereich der AT 9

Aus unserer Sicht ergeben sich auf Basis der vorläufigen Version der MaRisk folgende Top-Handlungsbedarfe im Bereich AT9 Auslagerungen:

  1. Operative Einsetzung des Auslagerungsbeauftragten und organisatorische Überprüfung des Revisionsbeauftragten,
  2. Anpassung der Methodik für Risikobewertungen bei Auslagerungen,
  3. Überprüfung und Risikobewertung aller Auslagerungen,
  4. Aufbau eines Auslagerungsregisters sowie
  5. Definition der Aufgabenteilung in Finanzverbünden.

Um eine regulatorische Konformität und die geforderte Trennung der Aufgaben zu gewährleisten, wird aus unserer Sicht eine gesamtheitliche softwarebasierte End-to-End Dokumentation benötigt.

End-to-End Betrachtung als Chance für Kosteneinsparungen:

Während der aktuellen Konsultationsphase können sich die einzelnen Vorgaben innerhalb der Auslagerung noch verändern, wir gehen jedoch von keiner wesentlichen Veränderung aus. Somit empfehlen wir bereits jetzt mit der intelligenten Vernetzung der Systeme im Bereich Governance, Risk & Compliance (GRC), in Vorbereitung auf die MaRisk sowie zur Erzielung von Kosteneinspareffekten.

Beispiel von vernetzten Governance-, Risk- & Compliance-Systemen

Die Umsetzung der intelligenten Vernetzung und somit einer End-to-End Betrachtung sollte folgende wesentliche Schritte beinhalten:

  1. Aufnahme von Verträgen in Prozess Management und Asset-Management Systeme: Die Verknüpfung von Prozessen sowie Assets zu den Verträgen über Dienstleistungen in den Prozessen erleichtert nicht nur das interne Risikomanagement wesentlich, sondern bietet auch Potential für Kosteneinsparungen: Pro betroffenem Asset können so die relevanten Dienstleister und deren Konditionen identifiziert werden. Die zusätzliche Verwaltung von Softwarelizenzen innerhalb des Asset Management Systems senkt die finanziellen Risiken von Doppel- oder Überlizensierung. Bei Prozessschritten, welche durch mehrere Standorte oder Bereiche ausgeführt werden, können durch die Transparenz der beteiligten und jeweils standortindividuellen Dienstleister nicht nur Interessenskonflikte bei den Dienstleistern zum Nachteil des Institutes identifiziert werden, sondern für den Einkauf zusätzliche Transparenz geschaffen werden.
  2. Aufbau von digitalisierten Fragenkatalogen zur Identifikation von Handlungsbedarfen in den einzelnen Prozessen und bei den Verträgen mit einzelnen Dienstleistern: Analyse durch Fragekatalogen des Ist-Zustandes zur Erkennung von Abweichungen (Gap‘s) in den Prozessen. Diese werden dann als Basis für die Maßnahmen zur Herstellung des Soll-Zustandes (MaRisk 2021 Compliance) verwendet.
  3. Prüfung der bestehenden Softwarelandschaft im Bereich des Risikomanagements und der internen Kontrollsysteme auf die Möglichkeit die relevanten Anpassungen nach der 6. Novelle der MaRisk umzusetzen.
  4. Start der Anlage eines Auslagerungsregisters, da dieses unabhängig von der MaRisk die Transparenz bei den Dienstleistern erhöht sowie Potentiale für Konsolidierungen unter Kosten- und Effizienzgesichtspunkten aufzeigen kann.
  5. Bereitstellung ausreichender finanzieller Mittel in der Budgetierung für 2021 zur Umsetzung der MaRisk.

Fazit: Novellierung der MaRisk bietet Chancen

Die Novellierung der MaRisk im Bereich der Auslagerungen ist aus unserer Sicht nicht als regulatorischer Mehraufwand zu betrachten, sondern als Chance für die Instituten durch die geforderte erhöhte Transparenz im Bereich der Auslagerungen Kosteneinsparungen zu erzielen. So bieten z.B. die geforderten Maßnahmen im Bereich der Risikoanalyse sowie der vertraglichen Transparenz der Auslagerungsverträge im Hinblick auf Qualitäts- und Quantitätsanforderungen Instituten die Möglichkeiten zum Aufbau von standardisierten Leistungskatalogen. Durch diese Leistungskataloge, welche heute bereits in anderen Branchen wie in der Automobilindustrie Standard sind, können z.B. in der herstellerunabhängigen Anwendungsentwicklung deutliche Kostenvorteile erzielt werden.

Die Umsetzung der neuen Novelle der MaRisk bietet neben der regulatorischen Konformität die Chance von erheblichen Kosteneinsparungen im Bereich Auslagerung. Dies bedingt jedoch, neben der Umsetzung der Regulation, eine Dokumentation der Systeme, Partner, Abläufe und wesentlichen Kennzahlen, sowie die intelligente Vernetzung dieser Informationen.


Dr. Roland Pulfer

Dr. Roland Pulfer ist Koautor des Beitrags und Gründer und CEO der Schweizer Softwareschmiede Business-DNA mit Fokus auf Risiken beherrschen und Unternehmen steuern. Er ist Mitglied des Technical Supervisory Board der Old Dominion University, Norfolk, VA, USA. Mitglied Editorial Board des International Journal of Critical Infrastructures und Autor verschiedener Bücher.

Bank Blog Partner Business-DNA Solutions aus der Schweiz bietet Risiko-, Prozess-, Kontrollen- (IKS), Regularien-, Kontinuitäts- (BCM)- und Sicherheits-Management.


Mehr über das Partnerkonzept des Bank Blogs erfahren Sie hier.