Die Bundesbank ebnet den Weg in die Cloud
Angesichts zunehmender Auslagerungen von Banken an große US-Cloud-Anbieter zeigt sich die Deutsche Bundesbank offen für Sammelprüfungen. Auf diese Weise könnten Institute gemeinsam ihre Revisionspflichten beim Outsourcing-Anbieter erledigen. Der Trend zur Auslagerung könnte damit an Fahrt gewinnen.Von Bernd Neubacher, FrankfurtInmitten der Coronakrise kommt die Deutsche Bundesbank der Kreditwirtschaft beim kniffligen Thema der Auslagerung von Bankdienstleistungen an Cloud-Anbieter wie Amazon, Google, IBM und Microsoft entgegen: Angesichts eines branchenweiten Kostendrucks und eines Digitalisierungstrends, den die Corona-Pandemie jeweils deutlich befeuern dürfte, erwärmen sich die Bankenaufseher der Zentralbank für Sammelprüfungen, sogenannte Pooled Audits, mit denen Banken bei Outsourcing-Dienstleistern ihren Revisionspflichten nachkommen können.”Pooled Audits sind nicht neu und bereits in den MaRisk angelegt”, erklärt Bundesbank-Vorstandsmitglied Joachim Wuermeling auf Anfrage der Börsen-Zeitung mit Blick auf die Mindestanforderungen an das Risikomanagement (MaRisk): “Sie führten dort aber bisher ein Schattendasein. Mit dem Trend zu Auslagerungen in die Cloud gewinnen sie an Bedeutung, da sie hier ein effektives Instrument für eine wirksame Revisionstätigkeit sind.”Das Instrument der Sammelprüfung hat das Zeug, dem Trend zur Auslagerung von Dienstleistungen durch Banken einen Schub zu verleihen. Denn wenn ein Institut seine aufsichtlichen Revisionspflichten bei einem Outsourcing-Dienstleister im Namen gleich einer ganzen Gruppe von Banken oder von einem anderen Institut miterledigen lassen kann, liegt die Hürde für Auslagerungen niedriger, als wenn etwa eine kleine Privatbank auf eigene Faust bei einem Tech-Konzern zur Revision anrücken muss.Quer durch die Branche hat das Interesse an Auslagerungen deutlich zugenommen. Unter anderem die beiden Großbanken Deutsche Bank und Commerzbank haben sich umfangreiche Auslagerungen auf die Fahnen geschrieben und betreiben bereits verschiedene Cloud-Projekte. Selbst sie bringen allerdings nicht genügend Gewicht auf die Waage, um den Technologiekonzernen auf Augenhöhe gegenübertreten zu können. Erst im Herbst hatte die Commerzbank von sich reden gemacht mit einem Appell an Europas Großbanken, sich zusammenzuschließen, um mit einer Stimme zu sprechen, wenn es etwa um die Ausgestaltung von Auslagerungen geht. Neuer Zungenschlag”Wir verfolgen derzeit mit großem Interesse Überlegungen, wie das Modell sinnvoll skaliert werden kann”, erklärt Wuermeling. “Die Aufsicht begrüßt es, wenn sich Institute aktiv mit der Verbesserung des IT-Bankbetriebs befassen. Dazu gehört in der digitalen Transformation auch die Nutzung von Cloud-Dienstleistungen.” Das ist ein Zungenschlag, den Banken und Prüfer nicht immer bei der Aufsicht vernommen haben, womit man im Markt denn auch erklärt, dass Sammelprüfungen wie von Wuermeling konstatiert bislang ein Schattendasein fristen.Die MaRisk und die entsprechenden Leitlinien der European Banking Authority (EBA) zu Cloud Computing, Auslagerungen und Drittparteien-Management seien eher restriktiv ausgelegt worden, heißt es. Allerdings sei zuletzt Bewegung in die Angelegenheit gekommen, und Wuermeling wolle “stärker Akzente setzen”, auch was einen besseren Zugang zu Cloud-Anbietern angehe. Angaben oder Schätzungen dazu, wie stark Pooled Audits bereits heute zum Einsatz kommen, sind allerdings nicht zur Hand.Die Bundesbank positioniert sich damit vor dem Hintergrund der anstehenden Überarbeitung der MaRisk, mit der die Aufsicht Outsourcing-Vorgaben der EBA auch zu Sammelprüfungen umsetzen wird. Angesichts von Corona gehen die Arbeiten “mit einer gewissen Verzögerung weiter”, teilt die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) auf ihrer Website mit. Für das Jahr 2020 würden die neuen Vorgaben noch nicht prüfungsrelevant sein. Für einige Institutsgruppen seien dabei “insbesondere aus der Umsetzung der EBA-Leitlinien zur Auslagerung gewisse Erleichterungen zu erwarten”. Wann die Behörde einen Entwurf vorlegen wird, ist noch offen. Solange will sich die Deutsche Kreditwirtschaft (DK), der Zusammenschluss der kreditwirtschaftlichen Spitzenverbände, nicht zum Thema äußern. Effizienter Ressourcen-EinsatzPooled Audits seien selbstverständlich “nicht der einzige von uns akzeptierte Revisionsansatz”, erklärt Wuermeling – jedes Institut könne auch alle anderen verfügbaren Optionen prüfen: “Aber als Aufseher sehen wir einfach einen Vorteil darin, wenn zehn oder mehr Institute mit ähnlichen Interessen gemeinsam eine Prüfung durchführen.” Der wesentliche Vorteil aus bankaufsichtlicher Sicht sei, dass eine Pooled-Audit-Prüfung eine vergleichbare Qualität liefere wie eine umfassende eigene Prüfung durch die Bank, aber Ressourcen effizienter eingesetzt würden: “Durch die gemeinsame Prüfung und den Austausch der Revisoren untereinander kann sogar ein insgesamt höheres Qualitätsniveau erreicht werden”, stellt er fest.Die Bundesbank wäre nicht die Bundesbank, würde sie nicht zugleich die Bedingungen für Sammelprüfungen herausstellen: “Jedes Institut ist grundsätzlich selbst verantwortlich für die Prüfungen”, erklärt Wuermeling. Im Zuge einer Pooled-Audit-Prüfung werde nicht nur der Cloud-Anbieter für sich betrachtet, sondern auch die wichtigen Schnittstellen zu den Instituten, erläutert er: “Das unterscheidet Pooled Audits von isolierten Prüfungen der Cloud durch externe Anbieter, Zertifizierer oder durch die Revisoren der Cloud-Anbieter selbst.” Interessenkonflikte absehbarZudem sieht die Bundesbank derzeit “noch wenig Bereitschaft der Cloud-Anbieter, ihre eigenen internen Revisionsergebnisse mit den Kunden zu teilen”, wie Wuermeling feststellt. Würden die Dienstleister die Prüfer selbst bestimmen, wären überdies Interessenkonflikte programmiert: “Dies ist umso mehr der Fall, weil unserer Beobachtung nach viele Firmen, die als Prüfer in Frage kommen, zusätzlich auch Beratungsmandate bei den Cloud-Anbietern wahrnehmen”, erklärt er.Zugleich räumt er ein, dass an einem besseren Zugang zu den Cloud-Anbietern nicht nur Deutschlands Banken noch arbeiten müssen. Die Bankenaufsicht habe auch jetzt schon, vertraglich gesichert über die Auslagerungsverträge der Institute, Zugang zu US-Cloud-Anbietern, antwortet er auf die Frage, wie die Bundesbank generell den Zugang zu den großen Tech-Unternehmen sicherstellen wolle, und fügt hinzu: “Alle Beteiligten arbeiten derzeit an einem akzeptablen Modus, wie dieses Aufsichtsrecht effektiv ausgeübt werden kann.”