April 4

0 Kommentare

Auslagerungsmanagement nach MaRisk AT 9, 10/2021 – mit eisq auf der sicheren Seite stehen

Featured Image with Sidebar

Von Bernhard Gandolf

April 4, 2023

Ausbildung Vendor Manager, Auslagerung, Auslagerungsbeauftragte, Auslagerungsmanagement, Banken, Dienstleistersteuerung, Finanzwirtschaft, MaRisk AT 9, Seminar, Vendor Management, Vendor Management 2.0, Versicherung
Share0
Tweet0
Share0

Auslagerungsmanagement MaRisk AT 9, 10/21 – wie unschwer zu erkennen, geht es heute um Recht und Gesetz.

Gesetzestexte und Novellen gehören nicht zu meiner Lieblingslektüre. Dazu zählt auch Abschnitt 9 Auslagerungsmanagement MaRisk. Die Handlung ist stets mau, der Spannungsbogen nicht vorhanden. Die Texte strotzen nicht selten vor komplizierten Schachtelsätzen und Nominalstil. Sprich Sachverhalte geben die Autoren mit vielen Nomen, oder auch Substantiva genannt, an. Der Grad der Verständlichkeit tendiert häufig gegen unterirdisch.

Im Spätsommer 2021 erschien die Novelle 10/21 zur MaRisk. Dazu später mehr.

Die fantastische Nachricht für dich als Vendor Manager:in, Auslagerungs-Beauftragte:r, Outsourcing-Koodinator:in im Finanzwesen bist du mit eisq und unserer Vendor Management 2.0 Methodik auf der sicheren Seite.  

All die von der BaFin geforderten Punkte findest du in unserer Ausbildung für Vendor Manager:innen.

3 überzeugende Ausbildungspakete für Vendor Manager
Mach’s wie Andrea – starte deine Ausbildung als Vendor Manager:in

Wer outsourct, zeichnet für seine Dienstleister und die Dienstleistung verantwortlich. Für Finanzdienstleister gelten die Mindestanforderungen an das Risikomanagement – kurz MaRisk der BaFin. Der Allgemeine Teil 9, kurz AT 9 richtet in seiner Fassung 10/2021 erhöhte Anforderungen an die Fremdvergebenden.

Kurzes Intro – Wer oder was ist MaRisk und was bedeutet das?

MaRisk steht für Mindestanforderungen an das Risikomanagement,  abgekürzt MaRisk.

Wikipedia, abgerufen am 04.04.2023, weiß dazu:

“…Verwaltungsanweisungen, die mit einem Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht(BaFin) für die Ausgestaltung des Risikomanagements in deutschen Kreditinstituten veröffentlicht wurden. Sie wurden von der BaFin erstmals mit Rundschreiben 18/2005 vom 20. Dezember 2005 veröffentlicht und zuletzt am 16. August 2021 durch das Rundschreiben 10/2021 (BA) geändert. BA steht hierbei für Bankenaufsicht.”

Rechtliche Wirkung der MaRisk

Der Witz dabei besteht darin, wie wir bei Wikipedia nachlesen können:

Es handelt sich bei ihnen (ihrer Rechtsnatur) um sogenannte normeninterpretierende Verwaltungsvorschriften, die eine Selbstbindung der deutschen Aufsicht gegenüber den Finanzinstituten bzw. Versicherungen darstellen. Die MaRisk sind somit de facto eine verbindliche Auslegung des § 25a Abs. 1 KWG. Sie sollen der Aufsichtsbehörde eine konsistente Anwendung gegenüber den Finanzinstituten bzw. Versicherungen ermöglichen und Rechts- und Planungssicherheit schaffen.

Die Einhaltung der MaRisk wird vom Abschlussprüfer im Rahmen der Jahresabschlussprüfung geprüft. Sie sind auch Gegenstand von Sonderprüfungen nach § 44 Abs. 1 KWG.

Das bedeutet verkürzt: 

  • Auslagerungsmanagement nach MaRisk ist ein Pflichtprogramm für Banken und Versicherungen.
  • Für die Umsetzung benötigen Banken/Versicherungen entsprechende Prozesse und qualifiziertes Personal.

Du als Auslagerungsmanager:in, Dienstleistersteuerer:in, und, und, und erhältst bei eisq dein Know-how.

Was konkret fordert die BaFin in Auslagerungsmanagement MaRisk AT 9?

Fangen wir mit BaFin an. Auf der Websitelesen wir am 04.04.2023:

Die Bundesanstalt für Finanzdienstleistungsaufsicht ist eine bundesunmittelbare, rechtsfähige Anstalt des öffentlichen Rechts. Die Bundesanstalt untersteht der Rechts- und Fachaufsicht des Bundesministeriums der Finanzen. Der Präsident vertritt die Bundesanstalt gerichtlich und außergerichtlich.

Auslagerungsmanagement MaRisk AT 9 10/2021 fordert konkret

  1. Eine Auslagerung liegt vor, wenn ein anderes Unternehmen mit der Wahrnehmung solcher Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt wird, die ansonsten vom Institut selbst erbracht würden. Zivilrechtliche Gestaltungen und Vereinbarungen können dabei das Vorliegen einer Auslagerung nicht von vornherein ausschließen.
  2. Das Institut muss anhand einer Risikoanalyse bewerten, welche Risiken mit einer Auslagerung verbunden sind. Ausgehend von dieser Risikoanalyse ist eigenverantwortlich festzulegen, welche Auslagerungen von Aktivitäten und Prozessen unter Vnweit einheitlichen Rahmenvorgaben sowohl regelmäßig als auch anlassbezogen durchzuführen. Die Ergebnisse der Risikoanalyse sind in der Auslagerungs- und Risikosteuerung zu beachten. Die maßgeblichen Organisationseinheiten sind bei der Erstellung der Risikoanalyse einzubeziehen. Im Rahmen ihrer Aufgaben ist auch die Interne Revision zu beteiligen.
  3. Bei unter Risikogesichtspunkten nicht wesentlichen Auslagerungen sind die allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Abs. 1 KWG zu beachten.
  4. Grundsätzlich sind Aktivitäten und Prozesse auslagerbar, solange dadurch die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Abs. 1 KWG nicht beeinträchtigt wird. Die Auslagerung darf nicht zu einer Delegation der Verantwortung der Geschäftsleitung an das Auslagerungsunternehmen führen. Die Leitungsaufgaben der Geschäftsleitung sind nicht auslagerbar. Besondere Maßstäbe für Auslagerungsmaßnahmen ergeben sich bei der vollständigen oder teilweisen Auslagerung der besonderen Funktionen Risikocontrolling-Funktion, Compliance-Funktion und Interne Revision. Besondere Maßstäbe können sich ferner aus spezialgesetzlichen Regelungen ergeben, wie z. B. bei Bausparkassen hinsichtlich der Kollektivsteuerung oder bei Pfandbriefbanken hinsichtlich der Deckungsregisterführung und der Deckungsrechnung. Auslagerungen dürfen nicht dazu führen, dass das Institut nur noch als leere Hülle (empty shell) existiert.

    Verantwortung lässt sich nicht auslagern

  5. Eine Auslagerung von Aktivitäten und Prozessen in Kontrollbereichen und Kernbankbereichen kann unter Beachtung der in Tz. 4 genannten Anforderungen in einem Umfang vorgenommen werden, der gewährleistet, dass hierdurch das Institut weiterhin über Kenntnisse und Erfahrungen verfügt, die eine wirksame Überwachung der vom Auslagerungsunternehmen erbrachten Dienstleistungen gewährleistet. Es ist sicherzustellen, dass bei Bedarf – im Falle der Beendigung des Auslagerungsverhältnisses oder der Änderung der Gruppenstruktur – der ordnungsmäßige Betrieb in diesen Bereichen fortgesetzt werden kann. Eine vollständige Auslagerung der besonderen Funktionen Risikocontrolling-Funktion, Compliance-Funktion oder Interne Revision ist lediglich für Tochterinstitute innerhalb einer Institutsgruppe zulässig, sofern das auslagernde Institut sowohl hinsichtlich seiner Größe, Komplexität und dem Risikogehalt der Geschäftsaktivitäten für den nationalen Finanzsektor als auch hinsichtlich seiner Bedeutung innerhalb der Gruppe als nicht wesentlich einzustufen ist. Gleiches gilt für Gruppen, wenn das Mutterunternehmen kein Institut und im Inland ansässig ist. Eine vollständige Auslagerung der Compliance-Funktion oder der Internen Revision ist ferner nur bei kleinen Instituten möglich, sofern deren Einrichtung vor dem Hintergrund der Institutsgröße sowie der Art, des Umfangs, der Komplexität und des Risikogehalts der betriebenen Geschäftsaktivitäten nicht angemessen erscheint.

    Viel komplizierter lässt es sich nicht sagen. Wer fremdvergibt, bleibt verantwortlich. 

  6. Das Institut hat bei wesentlichen Auslagerungen im Fall der beabsichtigten oder erwarteten Beendigung der Auslagerungsvereinbarung Vorkehrungen zu treffen, um die Kontinuität und Qualität der ausgelagerten Aktivitäten und Prozesse auch nach Beendigung zu gewährleisten. Für Fälle unbeabsichtigter oder unerwarteter Beendigung dieser Auslagerungen, die mit einer erheblichen Beeinträchtigung der Geschäftstätigkeit verbunden sein können, hat das Institut etwaige Handlungsoptionen auf ihre Durchführbarkeit zu prüfen und zu verabschieden. Dies beinhaltet auch, soweit sinnvoll und möglich, die Festlegung entsprechender Ausstiegsprozesse. Die Handlungsoptionen sind regelmäßig und anlassbezogen zu überprüfen.

    Die Spezifikation – eines unserer Lieblingsthemen

  7. Bei wesentlichen Auslagerungen ist im in Textform dokumentierten Auslagerungsvertrag insbesondere Folgendes zu vereinbaren:
    1. Spezifizierung und ggf. Abgrenzung der vom Auslagerungsunternehmen zu erbringenden Leistung,
    2. Datum des Beginns und ggf. des Endes der Auslagerungsvereinbarung,
    3. Sofern von deutschem Recht abweichend, das geltende Recht für die Auslagerungsvereinbarung,
    4. Standorte (d.h. Regionen oder Länder), in denen die Durchführung der Dienstleistung erfolgt und / oder maßgebliche Daten gespeichert und verarbeitet werden, sowie die Regelung, dass das Institut benachrichtigt wird, wenn das Auslagerungsunternehmen den Standort wechselt,
    5. vereinbarte Dienstleistungsgüte mit eindeutig festgelegten Leistungszielen,
    6. soweit zutreffend, dass das Auslagerungsunternehmen für bestimmte Risiken einen Versicherungsnachweis vorzulegen hat.
    7. Anforderungen für die Umsetzung und Überprüfung von Notfallkonzepten,
    8. Festlegung angemessener Informations- und Prüfungsrechte der Internen Revision sowie externer Prüfer,
  8. Sicherstellung der uneingeschränkten Informations- und Prüfungsrechte sowie der Kontrollmöglichkeiten der gemäß § 25b Absatz 3 KWG zuständigen Behörden bezüglich der ausgelagerten Aktivitäten und Prozesse,Schau in unsere Ausbildung – du findest die Inhalte fast im gleichen Wortlaut!

    1. soweit erforderlich Weisungsrechte,
    2. Regelungen, die sicherstellen, dass datenschutzrechtliche Bestimmungen und sonstige Sicherheitsanforderungen beachtet werden,
    3. Kündigungsrechte und angemessene Kündigungsfristen,
    4. Regelungen über die Möglichkeit und über die Modalitäten einer Weiterverlagerung, die sicherstellen, dass das Institut die bankaufsichtsrechtlichen Anforderungen weiterhin einhält,
    5. Verpflichtung des Auslagerungsunternehmens, das Institut über Entwicklungen zu informieren, die die ordnungsgemäße Erledigung der ausgelagerten Aktivitäten und Prozesse beeinträchtigen können.
  9. Mit Blick auf Weiterverlagerungen sind möglichst Zustimmungsvorbehalte des auslagernden Instituts oder konkrete Voraussetzungen, wann Weiterverlagerungen einzelner Arbeits- und Prozessschritte möglich sind, im Auslagerungsvertrag zu vereinbaren. Zumindest ist vertraglich sicherzustellen, dass die Vereinbarungen des Auslagerungsunternehmens mit Subunternehmen im Einklang mit den vertraglichen Vereinbarungen des originären Auslagerungsvertrags stehen. Ferner haben die vertraglichen Anforderungen bei Weiterverlagerungen auch eine Informationspflicht des Auslagerungsunternehmens an das auslagernde Institut zu umfassen. Es muss sichergestellt sein, dass das Auslagerungsunternehmen im Falle einer Weiterverlagerung auf ein Subunternehmen weiterhin gegenüber dem auslagernden Institut berichtspflichtig bleibt.

    Definition/Spezifikation, Notfallkonzepte und Kontrollrechte/-pflichten

  10. Das Institut hat die mit Auslagerungen verbundenen Risiken angemessen zu steuern und die Ausführung der ausgelagerten Aktivitäten und Prozesse ordnungsgemäß zu überwachen. Dies umfasst bei wesentlichen Auslagerungen auch die laufende Überwachung der Leistung des Auslagerungsunternehmens anhand vorzuhaltender Kriterien (z. B. Key Performance Indicators, Key Risk Indicators) und vertraglich vereinbarter Informationen des Auslagerungsunternehmens; die Qualität der erbrachten Leistungen ist regelmäßig zu beurteilen.
  11. Für die Dokumentation, Steuerung und Überwachung wesentlicher Auslagerungen hat das Institut klare Verantwortlichkeiten festzulegen. Soweit besondere Funktionen nach Maßgabe von Tz. 5 vollständig ausgelagert werden, hat die Geschäftsleitung jeweils einen Beauftragten zu benennen, der eine ordnungsgemäße Durchführung der jeweiligen Aufgaben gewährleisten muss. Die Anforderungen des AT 4.4.3 und BT 2 sind entsprechend zu beachten.

    Deine Rolle als Vendor Manager:in, Auslagerungs-Beauftragte:r gem. Auslagerungsmanagement MaRisk AT 9

  12. Die Anforderungen an die Auslagerung von Aktivitäten und Prozessen sind auch bei der Weiterverlagerung ausgelagerter Aktivitäten und Prozesse zu beachten.
  13. Jedes Institut, das Auslagerungen vornimmt, hat einen zentralen Auslagerungsbeauftragten im Institut selbst einzurichten. Zusätzlich hat das Institut abhängig von der Art, dem Umfang und der Komplexität der Auslagerungsaktivitäten ein zentrales Auslagerungsmanagement zur Unterstützung des zentralen Auslagerungsbeauftragten einzurichten.Zu den Aufgaben zählen insbesondere:
    1. Implementierung und Weiterentwicklung eines angemessenen Auslagerungsmanagements und entsprechender Kontroll- und Überwachungsprozesse,
    2. Erstellung und Pflege einer vollständigen Dokumentation der Auslagerungen (einschließlich Weiterverlagerungen),
    3. Unterstützung der Fachbereiche bezüglich der institutsinternen und gesetzlichen Anforderungen bei Auslagerungen,
    4. Koordination und Überprüfung der durch die zuständigen Bereiche durchgeführten Risikoanalyse gemäß Tz. 2.
  14. Der Auslagerungsbeauftragte bzw. das zentrale Auslagerungsmanagement haben mindestens jährlich einen Bericht über die wesentlichen Auslagerungen zu erstellen und der Geschäftsleitung zur Verfügung zu stellen. Zudem ist anlassbezogen zu berichten. Der Bericht hat unter Berücksichtigung der dem Institut vorliegenden Informationen bzw. der institutsinternen Bewertung der Dienstleistungsqualität der Auslagerungsunternehmen eine Aussage darüber zu treffen, ob die erbrachten Dienstleistungen der Auslagerungsunternehmen den vertraglichen Vereinbarungen entsprechen, die ausgelagerten Aktivitäten und Prozesse angemessen gesteuert und überwacht werden können und ob weitere risikomindernde Maßnahmen ergriffen werden sollen.

    Wie du Dienstleistungsqualität wissenschaftlich fundiert misst erfährst du ebenfalls in unserer Ausbildung für Vendor Manager.

  15. Grundsätzlich hat das Institut ein aktuelles Auslagerungsregister mit Informationen über alle Auslagerungsvereinbarungen vorzuhalten. Die inhaltlichen Mindestanforderungen an das Auslagerungsregister finden sich für alle Auslagerungen in Tz. 54 und für wesentliche Auslagerungen in Tz. 55 der EBA Leitlinien zu Auslagerungen (EBA/GL/2019/02). Das Auslagerungsregister umfasst alle Auslagerungsvereinbarungen, einschließlich der Auslagerungsvereinbarungen mit Auslagerungsunternehmen innerhalb einer Institutsgruppe oder eines Finanzverbundes. Ferner ist bei der Weiterverlagerung von wesentlichen Auslagerungen von dem auslagernden Institut festzulegen, ob der weiter zu verlagernde Teil wesentlich und dieser wesentliche Teil im Auslagerungsregister zu erfassen ist.
  16. Im Hinblick auf Gruppen gemäß AT 4.5 oder Finanzverbünde ergeben sich die folgenden Erleichterungen:
    1. Bei gruppen- und verbundinternen Auslagerungen können im Rahmen der Risikoanalyse gem. Tz. 2 wirksame Vorkehrungen auf Gruppen- bzw. Verbundebene, insbesondere ein einheitliches und umfassendes Risikomanagement sowie Durchgriffsrechte, bei der Erstellung und Anpassung der Risikoanalyse risikomindernd berücksichtigt werden.
    2.  
    3. Für Auslagerungen mehrerer Institute einer Gruppe bzw. eines Verbundes an ein bzw. mehrere gemeinsame Auslagerungsunternehmen, besteht die Möglichkeit, ein zentrales Auslagerungsmanagement auf Gruppen- bzw. Verbundebene einzurichten, sofern das zentrale Auslagerungsmanagement den Anforderungen des Moduls AT 9 bzw. sofern nicht einschlägig den Anforderungen der EBA/GL/2019/02 genügt.
    4. Bei der Risikoberichterstattung von Auslagerungsunternehmen, die innerhalb einer Gruppe / eines Verbundes genutzt werden, besteht die Möglichkeit einer zentralen Vorauswertung, welche den auslagernden Instituten die weitere Verwendung erleichtert.
    5. Bei gruppen- und verbundinternen Auslagerungen kann auf die Erstellung von Ausstiegsprozessen und Handlungsoptionen verzichtet werden.
    6. Wird gruppen- oder verbundintern ein zentrales Auslagerungsregister eingerichtet und geführt, so muss sichergestellt sein, dass das einzelne Institut und die zuständige Behörde das individuelle Auslagerungsregister bei Bedarf ohne größere Verzögerung erhalten.

      Vendor Management mit eisq einrichten

      Auch für Auslagerungen innerhalb einer Institutsgruppe oder eines Finanzverbundes an ein zentrales Auslagerungsunternehmen innerhalb der Gruppe bzw. des Verbundes sind die Bedingungen, einschließlich der finanziellen Bedingungen, festzulegen.

Fantastische Nachricht – mit eisq und Vendor Management 2.0 stehst du auf der sicheren Seite! Auslagerungsmanagement MaRisk AT 9 – gleich angehen:

  • Gemeinsame Notfallkonzepte mit Dienstleistern,
  • Zentrale Auslagerungs-Beauftragte/Vendor Manager,
  • Definition von Schlechtleistung,
  • Informations- und Prüfungsrechte,

Diese von der BaFin geforderten Punkten findet du seit jeher bei uns.

Starte gleich deine Ausbildung als Vendor Manager:in – dank fettem Osterpräsent sparst du!

500 € Scheine in der Brusttasche
500 Euro Ostergeschenk kassieren

 🐰 Ostergeschenk Ausbildung Vendor Manager Ostern? Welches Geschenk zu Ostern? 🐰Was bringt dieses voll fette Präsent?Teilnehmer:innen der Ausbildung Vendor Manager sparen 1 Arbeitstag pro Woche im Vergleich zu davor
bessere Resultate im Outsourcing
Freude, Fortschritt und krasse Impulse

Weil wir dich lieben!Weil dein Nutzen unsere Mission ist! Darum verraten wir dir, wie du dank Vendor Management 2.0 bessere Resultate im Outsourcing erzielst. Darum teilen wir mit dir das wertvollste, was wir besitzen. Unser Know-how.

Und weil Ostern ist, schenken wir dir 500,00 €.

Beeile dich! Am 22. April ist es zu spät.

eisq führte über 200 Outsourcing-Projekte durch, schulte über 250 Personen im Vendor Management. All diese Erfahrungen fließen in die Ausbildung ein. Digitalen Folder schmökern

Worauf beruht Vendor Management 2.0?

1 Nobelpreisträger und 2 Wirtschaftswissenschaftler

Nobelpreisträger Prof. Philip Warren Anderson veröffentlicht 1972 ‘More is different’. Darin zeigt er, wie mehr oder weniger lediglich eine Hilfsdimension von Qualität darstellen. Wer ganzheitlich alle Aspekte eines Dienstes, englisch ,service’, im Blick behält, erhält bessere Resultate. Trotzdem steuern heute noch zu viele Unternehmen primär nach Mengen. Angelehnt an das Management-Konzept Balanced Scorecard der Wirtschafts-Wissenschaftler Robert S. Kaplan und David P. Norten schafft eisq-Gründer Bernhard Gandolf die Quality Scorecard.

Dein Steuerungswerkzeug im Outsourcing!

Dank der Quality Scorecard erzielen Unternehmen ganzheitlich bessere Resultate.

Vendor Management 2.0 auf unserer Site Vendor-Management.eu.

Für dich – unser unbezahlbarer Erfahrungsschatz: das bekommst du bei deiner Ausbildung Vendor Manager Ostern

Was kosten das Know-how und die Erfahrung, die in über 200 Outsourcing-Projekten entstehen?

Welchen Wert stellen 25 Jahre internationale Praxis als Managementberater dar?

Wie viel Zeit und damit Geld schätzt du, benötigt man für über100 Fachartikel, Kongressbeiträge und Key Notes?

Unbezahlbar!

Das alles bekommst du. Weil wir dich lieben! Dein Nutzen ist unsere Mission.

Da wir nicht alles aufschreiben können, findest du hier 2 einfache Wege, um an unseren unbezahlbaren Erfahrungsschatz zu bekommen.

Praktisch! 

Microsoft Teams 

Klicken, Termin im Kalender fixieren und von moderner Video-Telefonie profitieren.

Oder direkt +49 541 580543-0

Ein Klick und dein Smartphone verbindet dich mit deinem Schatz.

Einfach klicken
Share0
Tweet0
Share0
Previous
Next
{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}

Gleich Termin holen

Jetzt Klicken
>