Die überarbeiteten Regelwerke zu MaRisk und BAIT stellen das Auslagerungsmanagement von Kreditinstituten vor neue Herausforderungen. Besonders im Fokus: Risikoanalyse, Vertragsmanagement und Notfallvorsorge.
Mit der finalen Veröffentlichung der sechsten MaRisk-Novelle und der überarbeiteten Bankaufsichtlichen Anforderungen an die IT (BAIT) im August 2021 hat die BaFin zentrale regulatorische Leitplanken neu gesetzt. Die Änderungen markieren nicht nur eine Anpassung an die EBA-Leitlinien, sondern bringen substanzielle Erweiterungen im Bereich des Auslagerungsmanagements mit sich. Kreditinstitute und andere beaufsichtigte Unternehmen sind gefordert, ihre internen Prozesse, Rollen und Vertragsstrukturen zeitnah zu überprüfen und weiterzuentwickeln. Der Beitrag bietet eine praxisnahe Orientierung zu den wichtigsten Neuerungen und deren Auswirkungen auf die Steuerung von Dienstleistern.
Die neue Fassung von AT 9 MaRisk verpflichtet Institute zu einer differenzierteren Risikoanalyse. Neu eingeführt wurde die Pflicht zur Identifikation potenzieller Risikokonzentrationen – etwa bei mehrfacher Beauftragung desselben Dienstleisters – sowie die Berücksichtigung politischer Risiken. Die Erhebung dieser Parameter verlangt ein institutseinheitliches Vorgehen, das sowohl operative als auch strategische Aspekte berücksichtigt.
Ein zentrales Element der MaRisk 6.0 ist die Einführung eines Auslagerungsregisters nach EBA-Vorgabe. Darüber hinaus müssen wesentliche Auslagerungsverträge um spezifische Inhalte erweitert werden – darunter Prüf- und Zugriffsrechte, Exit-Strategien und Regelungen zur Notfallkommunikation. Auch die Nachverhandlung bestehender Verträge wurde mit Frist bis zum 31. Dezember 2022 verbindlich vorgegeben.
Ein Auslagerungsbeauftragter ist verbindlich zu benennen, sofern dies noch nicht geschehen ist. Diese Funktion muss mit einem unmittelbaren Berichtsweg zur Geschäftsleitung ausgestattet sein. Damit wird die Bedeutung der Auslagerungssteuerung als zentrales Governance-Thema deutlich unterstrichen.
Auch die aktualisierten BAIT legen neue Schwerpunkte, insbesondere im Bereich des Informationssicherheits- und Notfallmanagements. Für Auslagerungen gelten zwar keine umfangreichen Änderungen, doch werden die Anforderungen im Kontext des gesamten IT-Risikomanagements neu bewertet. Die betriebliche Steuerung von IT-Dienstleistern muss entsprechend angepasst werden.
Für viele Institute steht nun eine umfassende Gap-Analyse auf der Agenda. Diese sollte die vorhandenen Prozesse und Dokumentationen kritisch mit den neuen Anforderungen abgleichen. Insbesondere die Umsetzung der Präzisierungen in MaRisk und BAIT sollte priorisiert erfolgen, um bei anstehenden Prüfungen keine Beanstandungen zu riskieren. Das Zusammenspiel von rechtlicher Absicherung, operativer Steuerung und technischer Sicherheit verlangt künftig eine noch engere Verzahnung interner Verantwortlichkeiten.
Im Seminar „Umsetzung neuer MaRisk- & BAIT-Vorgaben im Auslagerungsmanagement“ am [Datum eintragen] erhalten Sie praxisorientierte Handlungsempfehlungen zur erfolgreichen Umsetzung der neuen Anforderungen. Weitere Veranstaltungen rund um Dienstleistersteuerung, IT-Compliance und Notfallmanagement finden Sie im aktuellen Programm der Akademie Heidelberg.
