Nachdem die letzte MaRisk-Novelle bereits mehr als drei Jahre zurückliegt, hat die BaFin einen Konsultations- entwurf zur MaRisk-Novelle 2016 vorgelegt. Das Schreiben der BaFin und die (markierte) Entwurfsfassung der MaRisk-Novelle sind unter http:// www.bafin.de/SharedDocs/Veroef- fentlichungen/DE/Konsultation/ 2016/kon_0216_marisk-novelle_ 2016.html  verfügbar.

Mit dem Konsultationsentwurf re- agiert die BaFin unter anderem auf die stärker in den Vordergrund ge- rückten Themenkomplexe Risikoda- tenaggregation / Risikoberichterstat- tung und Anforderungen an eine an- gemessene Risikokultur in Instituten. Neben diesen Themen haben sich gewichtige Änderungen vor allem in Bezug auf Auslagerungen ergeben.

Risikokultur und Risikoappetit

Die Geschäftsleitung hat dafür zu sorgen, dass im Institut eine ange- messene Risikokultur entwickelt und gefördert wird. Hierunter ist die Art und Weise des Umgangs der Mitar- beiter mit Risiken zu verstehen, wo- bei die Geschäftsleitung einen sog. „Risikoappetit“ festzulegen und zu kommunizieren hat, der jedoch nicht näher definiert wird. Dies dürfte gleichbedeutend mit einer Art Tole- ranzschwelle für Risiken sein.

Umsetzungsschritte:   Festlegung und Kommunikation des Risikoap- petits, vermutlich als Teil der Risiko- strategie des Instituts, und daraus abgeleitet einer Risikokultur

Risikodatenaggregation und Risikoberichterstattung

Durch die Neuregelungen in AT 4.3.4 zum Datenmanagement, zur Qualität und Aggregation von Risikodaten soll erreicht werden, dass bei großen und komplexen Instituten (sowohl auf Gruppenebene als auch auf Institut- sebene) die IT-Infrastruktur eine umfassende, genaue und zeitnahe Aggregation der Risikopositionen eines Instituts ermöglicht und diese Informationen zeitnah für das Be- richtswesen der Bank zur Verfügung gestellt werden können. Betroffen sind jedenfalls Institute mit einer Bilanzsumme von mehr als EUR 30 Mrd. Hier sind dann entsprechende verbindliche Grundsätze für Daten- management, Datenqualität und Aggregation in Form einer „Risiko- daten-Policy“ festzulegen. Inhaltlich ist hierbei zu gewährleisten, dass die entsprechenden Daten zweifels- frei identifiziert, zusammengeführt und ausgewertet werden können. Weitere Vorgabe ist, dass die Daten eine einheitliche Architektur in Be- zug auf die Kennzeichnung haben müssen.

Umsetzungsschritte: Überprü- fung, ob IT-Systeme die Vorgaben erfüllen können, Aufstellung ent- sprechender verbindlicher interner „Risikodaten-Policy“

Drittbezug von Kernbanksystem- Software und -Dienstleistungen = Auslagerung/weitere Vorgaben hinsichtlich der Auslagerung von Kernbankbereichen und wichti- gen Kontrollbereichen

Die BaFin stellt klar, dass der Drittbe- zug von Kernbanksystem-Software und entsprechenden fachlichen Un- terstützungsleistungen als Auslage- rung anzusehen ist, wenn Kernbank- systeme an die individuellen Bedürf- nisse des Instituts angepasst sind oder mit entsprechenden Dienst- leistungen durch Dritte verbunden sind.

Wichtig ist zudem die geplante Neu- regelung in AT 9 Tz. 5, wonach Aus- lagerungen von Kernbankbereichen und wichtigen Kontrollbereichen nur dann zulässig sein sollen, wenn im Institut selbst die erforderlichen Kenntnisse und Erfahrungen vor- handen sind, um eine effektive Steuerung und erforderlichenfalls Zurückverlagerung der ausgelager- ten Bereiche sicherzustellen. Eine Vollauslagerung der Risikocontrol- ling-Funktion soll in Zukunft über- haupt nicht mehr möglich sein. Eine Vollauslagerung der internen Revisi- on oder Compliance-Funktion soll wenn überhaupt nur noch bei kleinen Instituten möglich sein.

In AT 9 Tz. 9 gibt der Konsultations- entwurf zudem vor, dass bei der Voll- auslagerung von Kontrollbereichen (sofern nach dem eben Gesagten überhaupt zulässig) oder Kernbank- bereichen für jeden Auslagerungsbe- reich ein Auslagerungsbeauftragter zu benennen ist. Dies war bislang nur bei der Auslagerung der inter- nen Revision vorgesehen.

Umsetzungsschritte: Überprüfung, ob bestehende Verträge hierzu das notwendige Wording für Auslage- rungsverträge haben; ggf. Anpas- sung Risikoanalyse

Regelmäßige und anlass- bezogene  Risikoanalyse

Nach dem Konsultationsentwurf genügt es ausdrücklich nicht, die Auslagerungsrisikoanalyse lediglich in Fällen von Änderungen anzupassen. Vielmehr stellt die BaFin klar, dass die Risikoanalyse nicht nur anlassbezo- gen, sondern auch anlassunabhängig regelmäßig geprüft und ggf. ange- passt wird (siehe dazu AT 9 Tz. 2).

Umsetzungsschritte:   Anpassung interner Vorgaben der SFO zur regelmäßigen Überprüfung der Risikoanalyse

Einrichtung eines zentralen Auslagerungsmanagements

Im Zusammenhang mit den eben genannten Änderungen ist auch die geplante Forderung eines zentralen Auslagerungsmanagements zu sehen. Das zentrale Management soll vor allem die Einhaltung interner und gesetzlicher Anforderungen an Aus- lagerungen sicherstellen (zu den einzelnen Aufgaben siehe AT 9 Tz. 11) und die Durchführung der Auslage- rungsrisikoanalyse durch die zustän- digen Bereiche koordinieren und überprüfen. Anknüpfend an diese Pflichten sieht BT 3.5 eine regel- mäßige Berichtspflicht des zentralen Auslagerungsmanagements gegen- über der Geschäftsleitung vor. Dem- nach ist zumindest im Jahresturnus über die wesentlichen Auslagerungen und die diesbezüglichen Feststellun- gen zu berichten.

Umsetzungsschritte: Einrichtung entsprechender Funktion Auslage- rungsmanagement; Sicherstellung Zentralisierung der Informationen / Verträge

Konkretisierung im Hinblick auf Beendigungen von Auslagerungen

Im Hinblick auf beabsichtigte oder zu erwartende Beendigungen von Auslagerungen gibt der Konsultati- onsentwurf in AT 9 Tz. 6 für den Regelfall explizit vor, dass konkrete regelmäßig und anlassbezogen zu überprüfende Ausstiegsstrategien festzulegen sind.

Umsetzungsschritte: Überprüfung und ggf. Anpassung der entspre- chenden Verträge; ggf. Erstellung Mustervorgaben

Konkretisierung Anforderungen an Auslagerungsverträge; insbe- sondere: Weiterverlagerungen

Entscheidende Änderungen und Konkretisierungen sind auch in Be- zug auf die Liste von (Mindest-)An- forderungen an Auslagerungsver- träge nach AT 9 Tz. 7 zu erwarten. Dies umfasst die Klarstellung, dass Auslagerungsverträge „uneinge- schränkte“ Informations- und Prü- fungsrechte der BaFin vorzusehen haben. Zudem soll über Regelungen in Auslagerungsverträgen nicht nur die Beachtung datenschutzrechtli- cher Bestimmungen sichergestellt werden, sondern auch „sonstiger Sicherheitsanforderungen“ (vor allem Zugangsbestimmungen zu Räumen und Gebäuden sowie Softwarezu- gangsberechtigungen zum Schutz wesentlicher Daten und Informatio- nen). Ferner müssen Auslagerungs- verträge in Fällen des Bezugs von Software zur Identifizierung, Beur- teilung, Steuerung, Überwachung und Kommunikation von Risiken eine Pflicht zur Herausgabe aussagekräf- tiger Informationen zu wesentlichen Annahmen und Parametern und zu Änderungen dieser Annahmen und Parameter  vorsehen.

In Bezug auf Weiterverlagerungen werden entweder Zustimmungsvor- behalte oder konkrete Vorausset- zungen in Auslagerungsverträgen, wann Weiterverlagerungen einzel- ner Arbeits- und Prozessschritte möglich sind, gefordert. Zudem ist eine Informationspflicht des weiter- verlagernden Unternehmens gegen- über dem auslagernden Institut festzulegen, was auch für die Berichtspflicht gegenüber dem auslagernden Institut gilt.

Im Hinblick auf in Auslagerungsver- trägen zu vereinbarende Kündi- gungsrechte will die BaFin zudem erreichen, dass Institute festlegen, welcher Grad einer Schlechtleistung durch das Auslagerungsunternehmen noch bzw. nicht mehr akzeptabel ist; für den Fall der dauerhaften Unterschreitung der festgelegten Grenzen sind (Sonder-)Kündigungs- rechte zu vereinbaren.

Umsetzungsschritte: Überprüfung und ggf. Anpassung der entspre- chenden Verträge; ggf. Erstellung Mustervorgaben.