Die Auslagerung von Finanzdienstleistungen und Finanzprozessen bietet nicht nur wirtschaftliche Chancen, sondern ist auch mit Herausforderungen verbunden. So droht dem auslagernden Institut, dass bei jeder Ausgliederung auch einen Teil der institutseigenen Kompetenz abhandenkommt. Gerade diese wird aber benötigt, um die vom Dienstleister – dem Auslagerungsunternehmen – erbrachten Leistungen zu überwachen. Dies ist nämlich die Aufgabe des auslagernden Unternehmens. Wie BaFin-Präsident Felix Hufeld wiederholt deutlich gemacht hat, bleibt die Letztverantwortung stets bei der Geschäftsleitung des auslagernden Unternehmens.

Nun sind die meisten Auslagerungsunternehmen Mehrmandantendienstleister, die für viele Institute standardisierte Dienstleistungen erbringen wie etwa die Wertpapier- und die Zahlungsverkehrsabwicklung. Sollten mehrere Institute gleichzeitig ihre vertraglichen Prüfungsrechte bei ihrem Dienstleister ausüben wollen, könnte dies die Kapazitäten eines Mehrmandantendienstleisters derart beanspruchen, dass die vertraglich zugesagte Dienstleistung darunter leidet.

Um solche Situationen zu vermeiden, gewährt die BaFin in ihren Mindestanforderungen an das Risikomanagement von Banken (MaRisk, AT 9) bereits seit 2007 bestimmte Erleichterungen für die Geschäftsbeziehung zwischen Mehrmandantendienstleister und auslagerndem Institut.

Vorkehrungen für den Ausfall des Dienstleisters treffen

Nach den MaRisk (AT 9 Tz. 6) hat das auslagernde Institut „bei wesentlichen Auslagerungen im Fall der beabsichtigten oder erwarteten Beendigung der Auslagerungsvereinbarung Vorkehrungen zu treffen, um die Kontinuität und Qualität der ausgelagerten Aktivitäten und Prozesse auch nach Beendigung zu gewährleisten“. Was aber ist, wenn das unbeabsichtigt oder unerwartet passiert? Hier ist das auslagernde Institut aufgefordert, etwaige Handlungsoptionen auf ihre Durchführbarkeit zu prüfen und zu verabschieden. Soweit es sinnvoll und möglich ist, sollen als Konkretisierung auch Ausstiegsprozesse festgelegt werden. Für zeitkritische Prozesse müssen entsprechende Maßnahmen bereits im Notfallkonzept (AT 7.3 der MaRisk) dargestellt sein. Die Handlungsoptionen sollen eine Analyse beinhalten, die Vorkehrungen für den Fall benennt, dass die Auslagerung ungeplant endet. Die BaFin erwartet jedoch ausdrücklich nicht, dass ein Institut, welches seine IT vollständig an einen Dienstleister ausgelagert hat, bei dessen Ausfall unverzüglich sämtliche IT-Funktionalitäten wieder übernehmen kann.

Ausstiegsprozess muss Kontinuität wahren

Ausstiegsprozesse sind mit dem Ziel festzulegen, die notwendige Kontinuität und Qualität der ausgelagerten Aktivitäten und Prozesse aufrechtzuerhalten beziehungsweise in einer angemessenen Zeit wiederherstellen zu können. Bei gruppen- und verbundinternen Auslagerungen – wenn beispielsweise eine Tochtergesellschaft Dienstleistungen erbringt – können auslagernde Institute allerdings darauf verzichten, Ausstiegsprozesse zu erstellen (AT 9 Tz.6, Erläuterungen der MaRisk). Gleiches gilt, falls ein Institut kurzfristig keine praktikable Handlungsoption entwickeln kann, wenn eine unerwartete oder unbeabsichtigte Beendigung des Auslagerungsverhältnisses durch den Dienstleister eintritt. Diese Schlussfolgerung sollte jedoch auch auf Basis einer dokumentierten Analyse gezogen werden. Eine kurzfristig fehlende Alternative kann beispielsweise bei der Auslagerung von Tätigkeiten und Prozessen auf einen Mehrmandantendienstleister angenommen werden, der eine gewisse Alleinstellung innehat. Existieren keine Handlungsoptionen, muss diese Problematik im Notfallkonzept zwingend berücksichtigt werden (AT 9 Tz.6, Erläuterungen der MaRisk).

Erkenntnisse aus den Notfallkonzepten der Dienstleister können einbezogen werden

Bei kleinen Instituten, die auf einen Mehrmandantendienstleister auslagern, kann die Expertise für ein stimmiges Notfallkonzept fehlen. Dies gilt insbesondere auch für die Anforderung nach AT 7.3 Tz. 1 der MaRisk, wonach das auslagernde Institut und das Auslagerungsunternehmen bei der Auslagerung zeitkritischer Prozesse und Aktivitäten aufeinander abgestimmte Notfallkonzepte zu erarbeiten haben. Auch hier wird deutlich, dass das Notfallkonzept des Mehrmandantendienstleisters nicht das Notfallkonzept des auslagernden Instituts ersetzen kann.

Allerdings kann das auslagernde Institut wichtige Erkenntnisse aus dem Notfallkonzept des Mehrmandantendienstleisters ziehen und auch Bausteine aus diesem Konzept übernehmen. Wesentlich bleibt hierbei, dass es eine Schnittstelle zwischen auslagerndem Institut und dem Mehrmandantendienstleister gibt. Die BaFin erwartet zudem, dass das auslagernde Institut sich bereits in der Risikoanalyse Gedanken über die Qualität des Notfallmanagements des Auslagerungsunternehmens gemacht hat.

Bestimmte Inhalte im Auslagerungsvertrag fixieren

Soweit erforderlich sind bei wesentlichen Auslagerungen die Weisungsrechte des auslagernden Instituts vertraglich festzulegen (AT 9 Tz. 7 lit. d der MaRisk). Die MaRisk (AT 9 Tz. 7, Erläuterungen) setzen keine explizite Vereinbarung von Weisungsrechten zugunsten des Instituts voraus, wenn die vom Auslagerungsunternehmen respektive Mehrmandantendienstleister zu erbringende Leistung hinreichend klar im Auslagerungsvertrag spezifiziert ist. Je häufiger Mehrmandantendienstleister auf Grundlage eines klaren Auslagerungsvertrags handeln können, desto seltener erschweren ihnen besondere Weisungen einzelner Institute die Arbeit.

Die MaRisk (AT 9 Tz. 7 lit. g) regeln, dass bei wesentlichen Auslagerungen im Auslagerungsvertrag Regelungen über die Möglichkeit und über die Modalitäten einer Weiterverlagerung von Dienstleistungen an einen Dritten zu vereinbaren sind. Der Auslagerungsvertrag muss bei Weiterverlagerungen sicherstellen, dass das Institut die bankaufsichtsrechtlichen Anforderungen weiterhin einhält. Somit können das auslagernde Institut und der Mehrmandantendienstleister bereits im Auslagerungsvertrag vereinbaren, dass bestimmte Aktivitäten und Prozesse ohne explizite Zustimmung auf einen Dritten ausgelagert werden können, soweit laufend sichergestellt wird, dass die bankaufsichtlichen Anforderungen erfüllt werden.

Bei Weiterverlagerungen sind jedoch möglichst Zustimmungsvorbehalte des auslagernden Instituts oder konkrete Voraussetzungen für Weiterverlagerungen im Auslagerungsvertrag zu vereinbaren (AT 9 Tz. 8 der MaRisk). Da es bei Mehrmandantendienstleistern mit erhöhtem Aufwand verbunden sein dürfte, die Zustimmung sämtlicher betreuter Institute einzuholen, sollten die konkreten Voraussetzungen für Weiterverlagerungen entsprechend bereits in den Auslagerungsverträgen geregelt werden.

Eine dieser Voraussetzungen lautet: Der Mehrmandantendienstleister garantiert, dass seine (künftigen) Vereinbarungen mit Subunternehmen im Einklang mit den vertraglichen Vereinbarungen des originären Auslagerungsvertrags stehen. Zudem muss im Auslagerungsvertrag bei Weiterverlagerungen eine Informationspflicht des Auslagerungsunternehmens gegenüber dem auslagernden Institut enthalten sein. In der Konsequenz bedeutet dies eine Erleichterung für den Mehrmandantendienstleister, da er nicht bei jeder beabsichtigten Weiterverlagerung auf Dritte mit sämtlichen Instituten Kontakt aufnehmen und deren Zustimmung einholen muss.

Sammelprüfungen erleichtern Arbeit von Mehrmandantendienstleistern

Die MaRisk (AT 9 Tz. 7 lit. b) sehen vor, dass der Auslagerungsvertrag der Internen Revision des auslagernden Instituts sowie externen Prüfern bei wesentlichen Auslagerungen angemessene Informations- und Prüfungsrechte einräumt. Unter bestimmten Voraussetzungen kann die Interne Revision des auslagernden Instituts aber auf eigene Prüfungshandlungen verzichten (AT 9 Tz. 7, Erläuterungen bzw. BT 2.1 Tz. 3 der MaRisk). Anstelle der Internen Revision des Instituts kommen folgende Alternativen in Betracht:

• die Interne Revision des Auslagerungsunternehmens,
• die Interne Revision eines oder mehrerer der auslagernden Institute im Auftrag der auslagernden Institute,
• ein vom Auslagerungsunternehmen beauftragter Dritter oder
• ein von den auslagernden Instituten beauftragter Dritter.

Bei allen vier Alternativen muss sich die Interne Revision des auslagernden Instituts regelmäßig davon überzeugen, dass das mit der Revisionstätigkeit beauftragte Unternehmen oder Institut beziehungsweise der beauftragte Dritte die einschlägigen Anforderungen (AT 4.4 und BT 2 der MaRisk) einhält. Dazu können zum Beispiel die Ergebnisse des Jahresabschlussprüfers des mit der Revisionstätigkeit beauftragten jeweiligen Dritten als Informationsquelle herangezogen werden. Gemäß BT 2.1 Tz. 3 der MaRisk sind der Internen Revision des auslagernden Instituts die relevanten Prüfungsergebnisse mitzuteilen.
Sollten die Internen Revisionen der auslagernden Institute auf eigene Prüfungshandlungen verzichten, entlasten sie damit ihren Mehrmandantendienstleister deutlich. So besteht zum Beispiel die Möglichkeit, dass sich mehrere Institute mit den gleichen oder ähnlichen ausgelagerten Prozessen zusammenschließen, um eine gemeinsame Prüfung (Pooled-Audit) durchzuführen. Dem Mehrmandantendienstleister erspart dies eine Vielzahl von Einzelprüfungen. Des Weiteren existiert die Möglichkeit, dass sich mehrere Institute abstimmen und einen externen Dritten mit einer Prüfung beauftragen. Diese Möglichkeit ist als Auslagerung zu behandeln.
Bei vielen Instituten, die eine standardisierte Dienstleistung erhalten, kann es sich anbieten, einheitliche Prüfungen nach einem mit allen Instituten abgestimmten Prüfungsplan durchzuführen. Dies entlastet gleichfalls den Mehrmandantendienstleister und erlaubt diesem, sich auf die Erbringung seiner Dienstleistungen zu konzentrieren.