MaRisk-Novelle: ESG betrifft auch das IT Outsourcing

Die BaFin hat jüngst die siebte Novelle der Mindestanforderungen an das Risikomanagement der Banken (MaRisk) veröffentlicht. Eine der wichtigsten Änderungen: Auch Aspekte der Nachhaltigkeit sollen verbindlich in die Risikobetrachtung und -steuerung einbezogen werden. Beim Blick ins Detail der Neufassung wird ersichtlich: Davon sind nicht nur die Kredit- und Portfoliorisiken betroffen, sondern auch IT und Auslagerungen. Wir skizzieren, wie die IT und insbesondere das Zusammenspiel von IT-Providern und Bankpartnern betroffen sein wird.

Im Kernbereich der Banktätigkeit geht es um Risiken wie Kreditausfall oder Anlagestrategien, dargestellt in eigenen Investments oder von den Instituten herausgegebenen Anlageobjekten wie Fonds. Die MaRisk-Novelle stellt klar, dass hierbei auch ESG-Risiken betrachtet werden sollen. Das bedeutet, dass umweltbezogene (E für „Environmental“), gesellschaftsbezogene (S für „Social“) und in der Unternehmensführung begründete (G für „Governance“) Risiken ergänzend zu den finanziellen und rein marktbezogenen Aspekten hinzugezogen werden sollen.

Die MaRisk betonen, dass „wissenschaftlich fundierte Szenarien“ dazu dienen sollen, die Risiken zu ermitteln. Das bedeutet, dass die Institute die Relevanz der eigenen Darstellungen zu den ESG-Risiken nicht aus sich selbst heraus begründen können, sondern dazu auf Daten und Erkenntnisse von Dritten zurückgreifen müssen. Dabei gilt – wie jüngst auch BaFin-Exekutivdirektor Raimund Röseler betonte – das „Proportionalitätsprinzip“: Die Komplexität der ausgewählten Szenarien sowie die Auswahl der betrachteten Risikopositionen soll von der Institutsgröße abhängen sowie davon, wie sehr das eigene Geschäft von Nachhaltigkeitsbelangen betroffen ist.

In diesem Zusammenhang taucht die Frage auf, ob auch die Organisation und Steuerung der Unternehmens-IT sowie der ausgelagerten IT-Services von der Novelle betroffen sein kann. 
 

• Hierzu liefert der Allgemeine Teil (AT) 5 der novellierten MaRisk einen wichtigen Anhaltspunkt: Demnach sollen betroffene Unternehmen die ESG-Risikobetrachtung auch in die Organisationsrichtlinien übernommen werden – also in jene schriftlich fixierten Regeln, die erkannte Risikofelder spezifizieren, Aufgaben und Rollen benennen sowie Maßnahmen zur Risikominimierung und dem Controlling. Hierin heißt es nun ergänzend zu bisher: „Die Organisationsrichtlinien haben auch Regelungen zur Berücksichtigung der Auswirkungen von ESG-Risiken zu beinhalten“. Vereinfacht gesagt: Die Banken sollen in allen relevanten Risikofeldern auch ESG-Kriterien berücksichtigen – und dazu zählen auch die IT sowie die ausgelagerte IT.
• Aus den eng mit den MaRisk in Verbindung stehenden BaFin-Regularien BAIT und VAIT wiederum geht hervor, dass die Ausfallsicherheit und Resilienz der IT durch geeignete Maßnahmen auf den verschiedenen Ebenen des IT-Managements gewährleistet sein muss. Speziell geht es dabei immer um den Schutz sensibler IT-Systeme und um den zuverlässigen Erhalt der darin verarbeiteten und gespeicherten Daten. Aus ergänzender ESG-Sicht lautet daher die Frage: Welchen zusätzlichen Gefahren ist die IT womöglich durch Umwelt-, Sozial- und Governance-Aspekte ausgesetzt – und wie können wir diese Faktoren steuern und verbessern?
• Aus den Allgemeinen Teilen 5 und 9 der novellierten MaRisk geht wiederum hervor, dass sich die neue, ergänzende Art der ESG-Risikobetrachtung auch auf ausgelagerte Dienste und die weiterführende Dienstleistungskette beziehen soll. Das bedeutet, dass die Banken und ihre IT-Service-Provider zum Thema ESG in Austausch treten sollten, um die wechselseitigen Anforderungen zu verstehen – und ihre Zielsetzungen und Strategien zur nachhaltigen Entwicklung miteinander abzustimmen.