Neue Reputationsrisiken aus MiFID II?

David Paal, Teamleiter Firmenkundengeschäft, WpHG-Compliance Privat- und Firmenkundengeschäft, Deutsche Bank AG

Die BaFin hat in ihren Journalen aus Mai und Juni 2018 diverse Themen aus der MiFID II aufgegriffen und ihre ersten Erkenntnisse, insbesondere aus der Marktuntersuchung zu Beginn des Jahres 2018, dargelegt. Dabei hat die Aufsicht u. a. Ausführungen zu den Themen Kostentransparenz und Aufzeichnung elektronischer Kommunikation getroffen.

Gerade diese beiden Themen stehen in einem engen Zusammenhang, was die prozessualen Abläufe im beratungsfreien Geschäft und in der Anlageberatung per Fernkommunikationsmittel vor Herausforderungen stellt und neue Risikopotentiale, im Speziellen im Hinblick auf die Reputation der Banken, mit sich bringt.

SEMINARTIPP

 

Überprüfung der Wertpapier-Sachkunde durch Vor-Ort-Prüfungen von Aufsicht, Compliance & Revision, 10.10.2018, Berlin.

 

Kunden haben weder im beratungsfreien Geschäft noch in der Anlageberatung per Fernkommunikationsmittel die Möglichkeit auf die Zur-Verfügung-Stellung von Kosteninformationen vor Geschäftsabschluss zu verzichten, auch dann nicht, wenn Kunden im Rahmen des aufgezeichneten Telefongespräches kundtun, dass sie eine Kosteninformation vor Geschäftsabschluss nicht wünschen.

Die prozessualen Abläufe im beratungsfreien Geschäft und in der Anlageberatung per Fernkommunikationsmittel müssen demnach sicherstellen, dass Kunden die Kosteninformationen auf einem dauerhaften Datenträger zur Verfügung gestellt bekommen und die Informationen müssen beim Kunden vor dem entsprechenden Geschäftsabschluss vorliegen. Übermittlungskanäle können demnach bspw. Papier (auch als Brief), E-Mail oder eine Online-Postbox sein.

Dies, wie auch die Telefonaufzeichnung an sich, sorgt auch gem. den Ausführungen der BaFin in ihren Journalen für Unverständnis auf Kundenseite, welche dieses Unverständnis gegenüber Ansprechpartnern in den Banken artikulieren. Folglich richtet sich diese Unzufriedenheit in erster Linie an die Prozesse innerhalb der Bank, wodurch im äußersten Fall die Reputation der Bank leiden kann.

Weiterhin weist die BaFin in ihrem Journal vom Juni 2018 auf die Rechte der Anleger in diesem Zusammenhang hin. Dabei hebt die Aufsicht das Recht der Anleger hervor, dass sie die Telefonaufzeichnungen der aufgezeichneten Gespräche anfordern dürfen.

Dies birgt einerseits das Risiko, dass Kunden verstärkt von diesem Recht Gebrauch machen und auf Grundlage dieser Aufzeichnungen Beschwerdefälle oder gar Rechtsstreitigkeiten gegen Banken führen. Andererseits besteht aber auch gleichzeitig das Risiko der Beschädigung der Reputation der Bank, falls die entsprechenden Telefonate nicht gänzlich den prozessualen oder gesetzlichen/aufsichtsrechtlichen Vorgaben entsprechen. Die Telefonaufzeichnungen steigern das Risiko, dass solche Verhaltensweisen offenkundiger werden.

Welche Möglichkeiten bestehen nun aus Compliance-Sicht, um im Sinne einer Risikosteuerung risikominimierend auf diese Umstände einzuwirken?

Klassischer Weise sollte Compliance bereits bei der Entwicklung der entsprechenden Prozesse und auch bei der Formulierung der einschlägigen Arbeitsanweisungen einbezogen werden sowie auf eine ordnungsgemäße Gestaltung hinwirken. Ergänzend zu diesem eher theoretischen Ansatz ist ein Verständnis der Anwendung dieser Prozesse in der Praxis sinnvoll. Daher ist es für Compliance elementar, sich im Rahmen der Vor-Ort-Kontrollen in den Vertriebsstellen ein Bild hierüber zu verschaffen. Daher sollte Compliance die Aufzeichnung elektronischer Kommunikation und die zugehörigen Vertriebsprozesse mit in die risikobasierte Prüfungsplanung aufnehmen und die Arbeitsmittel für die Durchführung von Vor-Ort-Kontrollen ergänzen.

BUCHTIPP

 

Daumann/Leicht (Hrsg.), Arbeitsbuch Regulatorische Compliance, 2. Aufl. 2018.

 

Zusammenfassend ist festzuhalten, dass sich die Risikopotentiale aus dem beratungsfreien Wertpapiergeschäft und der Anlageberatung im Vergleich zum Vorgehen vor MiFID II im Grundsatz nicht wesentlich verändert haben. Erfolgt keine ordnungsgemäße Anlageberatung oder Geschäftsabwicklung bestehen weiterhin die gleichen Reputationsrisiken. Allerdings ist zu berücksichtigen, dass die sich durch die Aufzeichnung der elektronischen Kommunikation, insbesondere die Telefonaufzeichnung, die Wahrscheinlichkeit der Realisierung von Reputationsrisiken erhöht hat, da sich der tatsächliche Verlauf einer Anlageberatung per Telefon oder eines telefonischen Wertpapierauftrags einfach nachvollziehen lässt.

Daher sollten die entsprechenden Prozesse sorgfältig aufgesetzt und regelmäßig kontrolliert werden.

PRAXISTIPPS

  • Einbeziehung von Compliance in die Entwicklung von Prozessen zur Anwendung der Aufzeichnung elektronischer Kommunikation
  • Regelmäßige Kontrolle der Prozesse
  • Überwachung der praktischen Anwendung im Rahmen von Vor-Ort-Kontrollen

Digitale Interne Revision – Neues mit Altem verbinden ?

Welchen Einfluss hat die Digitalisierung auf den Revisionsprozess, die Durchführung von Prüfungen und die Anforderungen an den Revisor von heute und morgen?

Ingo Kühling, Revisionsleiter, Landessparkasse zu Oldenburg

Die globale Datenmenge verdoppelt sich in immer kürzeren Zeiträumen, Big Data, Cloud-Computing und künstliche Intelligenz sind längst keine Begriffe mehr, die wir mit Science-Fiction verbinden. Sie sind heute in Form von Sprachcomputern bei uns eingezogen oder wir tragen Sie in Form eines Smart-Phones mit uns herum. Betrachtet man diese Entwicklung aus Sicht eines Revisors, so muss diese Entwicklung auch Einfluss auf unsere berufliche Tätigkeit haben. Aber was bedeutet das konkret?

Digitalisierung des Revisionsprozesses

Der klassische Revisionsprozess gliedert sich in Aufgaben, die dem Revisionsmanagement zuzuordnen sind und Aufgaben, die von den Revisoren selbst wahrgenommen werden. Auf beiden Funktionsebenen ist der Einfluss der Digitalisierung spürbar. Standardisierte Anwendungen zur Unterstützung der Revisionstätigkeit bilden schon heute die Basis für einen durchgängig digitalen Revisionsprozess, der sowohl die Anlage von Dokumenten als auch die Ablage oder sogar die digitale Freigabe von Berichten sicherstellt, so dass auf körperliche Belege vollständig verzichtet werden kann. Die Frage in Zukunft wird sein, ob auch neue digitale Formate wie Audio, Foto und Video oder auch biometrische Daten Einzug in den Prüferalltag halten. Wie schnell diese Entwicklung Einfluss auf die Interne Revision nehmen wird, ist unklar. Fest steht, dass es Einfluss haben wird und wir die Entscheidung treffen müssen, ob wir agieren oder reagieren wollen.

SEMINARTIPPS

Entschlackte Organisations-Richtlinien – hohe Potentiale zur Kostenreduzierung durch Prozessmanagement, 22.–23.10.2018, Frankfurt/M.

Digitalisierung der Revisionsprozesse, 05.12.2018, Köln.

Kostengünstige(re) Beauftragtenprozesse, 06.12.2018, Köln.

Das neue, digitale Prüfen

Der Revisor erlangt sein Prüfungsurteil auf Basis von Prüfungsnachweisen, die (nach IDW PS 310) neben einer Vollerhebung aller Prüfungsgegenstände auch die bewusste Auswahl und die Stichprobe zulässt, die statistisch oder auch nicht-statistisch ausgeprägt sein kann. Auch wenn die Vollerhebung die zuverlässigste Möglichkeit ist, zu einem qualitativ einwandfreien Prüfungsurteil zu kommen, so scheidet sie doch bei Massenprozessen aus. Das gilt insbesondere dann, wenn die Vollerhebung dazu führt, dass der Prüfer die betreffenden Prüfungsgegenstände einzeln erfassen muss. Die Folge ist, dass die Prüfung einer Teilmenge vorgenommen wird. Das so ermittelte Ergebnis wird dann auf die Grundgesamtheit angewandt, was zu falsch-positiven und falsch-negativen Prüfungsurteilen führen kann. Heute produzieren Prozesse Massendaten, die gar nicht mehr als Druckoutput auf einem Dokument Platz finden. Diese Daten werden in elektronischen Postfächern oder schlichtweg als Information zum Online-Zugriff im Web, in einer Mail oder einer App bereitgestellt. Das Dilemma ist, dass dem Revisor so der Prüfungsgegenstand abhanden kommt. Die Auswahl von Vorgängen ist weiter möglich, tritt nun aber nicht mehr in Gestalt eines Beleges oder Dokumentes sondern als komplexe Datenstruktur auf. Als Revioren stellen wir fest, dass wir bei einer expansiven Entwicklung der Komplexität ein neues Prüfungsverständnis entwickeln müssen, bei dem auch neue Prüfungsmethoden und -instrumente zum Einsatz kommen. Es muss uns gelingen, die Komplexität von Daten aus zu prüfenden Prozessen so zu reduzieren, dass sie für den Prüfer beherrschbar werden. Die hierzu eingesetzte Methode heißt Data Analytics oder auch Data Mining. Revisionsspezifische Tools zur Massendatenanalyse sind verfügbar und im Einsatz. Auf lange Sicht sind diese Tools das Standardwerkzeug eines jeden Revisors.

Veränderung der Anforderungen an den Revisor der Zukunft

In den letzten Jahren ist die Nutzung einfacher Anwendungen zur Aufbereitung oder auch Strukturierung von Daten (Tabellenkalkulation) bereits wesentlicher Bestandteil der Revisionsarbeit geworden. Auch die Nutzung von einfachen Datenbank-Anwendungen zur Verknüpfung von Daten ist bei vielen nicht mehr wegzudenken. Aber das scheint nicht mehr auszureichen. Schon heute finden wir in den Stellenausschreibungen zunehmend Begriffe wie Data Scientist oder Data Analyst in Kombination mit fachlichen Anforderungen. Die klassische Trennung zwischen Fachprüfer und IT-Prüfer, der für Datenanalyse-Anteile in Prüfungen oft beansprucht wurde, scheint aufzubrechen. Die Entwicklung neuer Skills nimmt Zeit in Anspruch und wird durch praktische Erfahrungen beschleunigt. Je früher wir damit anfangen, desto besser werden wir in dieser dynamischen Entwicklung bestehen können.

PRAXISTIPPS

  • Stellen Sie fest, welchen Digitalisierungs-Status Ihre Interne Revision hat.
  • Prüfen Sie die Anschaffung von Anwendungsunterstützung zur Analyse von Massendaten in der Internen Revision.
  • Definieren Sie zukunftsorientierte Anforderungsprofile in der Internen Revision und passen Sie Ihre Entwicklungskonzepte daraufhin an.

5. EU-Geldwäscherichtlinie

Änderungsrichtlinie zur aktuellen Rechtsprechung

Elmar Scholz, Chief Compliance Officer u. Abtl.-Direktor Marktservice, OE Compliance und Marktservice, Abteilungsleitung, Prävention gegen Geldwäsche/Terrorismusfinanzierung/sonstige strafbare Handlungen, Compliance (WpHG), Spezialthemen (z.B. FATCA, QI), Sparkasse am Niederrhein

Bekanntermaßen trat am 26.06.2017 das Umsetzungsgesetz zur 4. EU-Geldwäscherichtlinie in Kraft. Dies war eine Punktlandung für den deutschen Gesetzgeber, da an diesem Tag die zweijährige Umsetzungsfrist in nationales Recht endete. Auf Grund der vollen Ausschöpfung dieser Frist durch den Gesetzgeber, wurde in der Konsequenz den Verpflichteten nach dem Geldwäschegesetz eine solche nicht mehr eingeräumt. Dies war und ist insofern unglücklich, da die Umsetzung quasi „während des laufenden Betriebes“ erfolgen musste und teilweise, auf Grund noch nicht vorhandener (technischer) Möglichkeiten, zwischenzeitlich anderweitig darzustellen war. Die FIU, als neue Zentralstelle für Finanztransaktionsuntersuchungen, ist immer noch mit der Abarbeitung aller eingegangen Verdachtsmeldungen beschäftigt. Die Veröffentlichung der Auslegungs- und Anwendungshinweise der BaFin wird sich möglicherweise auch noch verschieben.

Am 14.05.2018 wurde nun die sog. 5. Geldwäscherichtlinie (Änderungsrichtlinie zur Ergänzung der 4. EU-Geldwäscherichtlinie) durch den EU-Rat gebilligt. Beispielhaft werden im Folgenden einige Punkte aufgegriffen, die dabei von Bedeutung sein werden.

SEMINARTIPPS

Risikoanalyse Geldwäsche nach neuem GWG (Anlagen 1, 2) & neuen ESA-Risikoindikatoren, 24.09.2018, Frankfurt/Offenbach.

Knackpunkte der Geldwäschebekämpfung, 27.11.2018, Frankfurt/M.

Compliance-Tagung 2018, 14.–15.11.2018, Berlin.

Kundenidentifizierungen nach neuem GwG & StUmgBG, 28.11.2018, Frankfurt/M.

In der Richtlinie wird nun u. a. auch das Thema „Virtuelle Währungen“ aufgegriffen. Auch wenn in der Definition hierzu eine Abgrenzung zu Spielwährungen vorgenommen wird, so ist dabei auch zu beachten, dass diese Spielwährungen dann nur in der Spieleumgebung genutzt werden können. Denken wir zurück an die Spielerplattform „Second Life“ (die es übrigens immer noch gibt) und die hier gehandelte Währung „Lindendollars“. Der Umtausch von realen in virtuelle Währungen und umgekehrt war damals bereits möglich und dürfte unter dem Blickwinkel „Geldwäsche“ durchaus von Interesse gewesen sein. Dass es hier keine expliziten aufsichtlichen Regelungen gab, konnte im Zweifel für diese Klientel nur von Vorteil sein. Diese Lücke will die EU nun schließen, indem sie Dienstleister, die entsprechende Tauschvorgänge ermöglichen, in den Kreis der Verpflichteten nach Geldwäscheregularien sowie deren Registrierung mit aufnimmt. Gleiches gilt für die Anbieter von elektronischen Geldbörsen. Ferner sollen die Schwellenwerte in Bezug auf E-Geld gesenkt werden – Speicherbetrag max. 150,00 €, Rücktausch in Bargeld max. 50,00 € (Art. 12 der Richtlinie). Mit den heute schon in § 25i KWG geregelten niedrigeren Grenzwerten (100,00 €/20,00 €) wird diese Anforderung in der BRD bereits erfüllt.

Die Thematik „Ermittlung des wirtschaftlich Berechtigten/wirtschaftlichen Eigentümers (wB/wE)“ von juristischen Personen und anderen Rechtsgestaltungen/-vereinbarungen wird noch einmal geschärft. Neben der Pflicht zur risikoangemessenen Verifizierung des sog. „Fiktiven wirtschaftlichen Eigentümers“, die von den Instituten sicherlich heute schon auf Grund der aktuellen Gesetzgebung mit der entsprechenden Vehemenz betrieben wird, erhält nun die Kommission eine Befugniserweiterung. Sie kann nun Länder als Hochrisikoländer ermitteln/klassifizieren, die strategische Mängel in der Verfügbarkeit korrekter und aktueller Informationen über die wirtschaftlichen Eigentümer von juristischen Personen und Rechtsgestaltungen/-vereinbarungen für die zuständigen Behörden (Transparenzregister) aufweisen. Inwieweit es hier dann zukünftig eine Ausweitung der Hochrisikoländer in der EU-VO 2016/1675 kommt, bleibt abzuwarten. Änderungen in der Verordnung können auch heute schon zeitnah über die Adresse https://eur-lex.europa.eu/oj/direct-access.html?locale=de abgefragt werden. Gleichwohl ist anzumerken, dass seitens der EU ein besonderes Augenmerk auf Trusts und ähnliche Rechtsgestaltungen zu liegen scheint.

BUCHTIPP

 

Daumann/Leicht (Hrsg.), Arbeitsbuch Regulatorische Compliance, 2. Aufl. 2018.

 

Generell werden aber die Anforderungen im Rahmen der dann anzuwendenden verstärkten Sorgfaltspflichten bei entsprechenden Kundenverbindungen steigen, z. B. Ermittlung der Vermögensherkunft des wb/wE (Art. 18a Abs. 1 der Richtlinie). Als erfreulich kann gewertet werden, dass die seitens der Kommission beabsichtigte Herabsenkung des Schwellenwertes für die Ermittlung des wB/wE auf 10 % nun nicht mehr als Anforderung aufgeführt wird.

Eine Vernetzung der Register zwischen den Mitgliedstaaten wäre nicht nur für Trusts und ähnliche Rechtsgestaltungen (Erwägungsgrund 26 der Richtlinie) unter der Überschrift „Missbrauch für Geldwäsche-(vor-)taten und Terrorismusfinanzierung“ positiv zu sehen. Zusätzlichen Aufwand dürfte die Pflicht für Verpflichtete auslösen, bei Geschäftsbeziehungen mit juristischen Personen und Rechtsvereinbarungen, sich die Registrierung im Transparenzregister nachweisen oder einen Auszug daraus vorlegen zu lassen (Art. 14 der Richtlinie). Ist dies mit einer Abfrage – nach vorheriger Online-Registrierung – beim Transregister verbunden, dürften zusätzlich Gebühren hierfür anfallen (Erwägungsgrund 36, Art. 30 Abs. 5a der Richtlinie). Erweitert wird die o. g. Verpflichtung noch um das Erfordernis, den zuständigen Behörden festgestellte Abweichungen zum wb/wE zu melden (Art. 30 Abs. 4 der Richtlinie). Man darf gespannt sein, wie die Ergebnisse der Gespräche der Verbände mit dem Gesetzgeber bzgl. der Übernahme hoheitlicher Aufgaben aussehen werden.

Als weiterer Punkt ist die Pflicht zur Errichtung von Informationssystemen in Bezug auf Konten und Schließfächer zu nennen. Dies bedeutet jedoch für die inländischen Institute keine Veränderung des Status quo, da dies den Vorgaben aus § 24c KWG entspricht und insoweit gelebte Praxis ist.

Art. 13 Abs. 1 Buchstabe a der Richtlinie (Identifizierung) wird u. a. erweitert auf elektronische Mittel zur Identitätsfeststellung und einschlägiger Vertrauensdienste gem. der EU-Verordnung 910/2014, sog. eiDAS-Verordnung. Mit dem Umsetzungsgesetz zur 4. EU-Geldwäscherichtlinie hatte der deutsche Gesetzgeber die ursprünglichen Anforderungen des GwG bei physischer Abwesenheit des zu Identifizierenden (=verstärkte Sorgfaltspflichten) aufgehoben und in den neuen § 12 GwG (Identitätsprüfung) verschoben. In Absatz 1 Nrn. 2–4 wird bereits Bezug auf die zuvor genannte EU-Verordnung genommen, so dass hier die neuen Anforderungen bereits geregelt sein dürften.

PRAXISTIPPS

  • Themenschwerpunkt „wirtschaftlich Berechtigter/wirtschaftlicher Eigentümer“. Ein korrekter Datenbestand hat gerade hier eine besondere Bedeutung. Mittel und Verfahren sollten daher darauf ausgelegt sein, dieses zu gewährleisten.
  • Inwieweit eine Altbestandsüberarbeitung vom Gesetzgeber vorgegeben wird, bleibt abzuwarten. Allerdings kann die Umsetzung des Steuer-Umgehungs-Bekämpfungsgesetz (bis 31.12.2019) dazu genutzt werden, vorhandene Daten ggfs. zu aktualisieren/zu ergänzen.
  • Bzgl. des Themas „Virtuelle Währungen“ kann auch ein Institut, welches keine Tauschvorgänge von realer in virtuelle Währung ermöglicht, versuchen, das Monitoring-Programm dazu zu nutzen, mögliche damit zusammenhängende Transaktionen zur Auffälligkeit zu bringen.

Prüfung und Beurteilung von Auslagerungsprozessen

Laura Zappavigna, Prüferin im Referat Bankgeschäftliche Prüfungen 2, Deutsche Bundesbank, Hauptverwaltung in NRW, Düsseldorf[1]

Mit der seit dem 27.10.2017 gültigen fünften Novellierung der MaRisk stellt die BaFin u. a. erhöhte Anforderungen an das Management von Auslagerungsrisiken. Insbesondere die Erfahrungen von BaFin und Bundesbank aus der täglichen Aufsicht sowie aus Sonderprüfungen flossen neben der Integration einer Reihe international- und europarechtlicher Vorgaben in die Überarbeitung des Rundschreibens ein. In der Aufsichtspraxis sind vielfach Mängel in der Anwendung des AT 9 sichtbar geworden, die z. T. auch auf herrschende Unklarheiten in der Praxis hinsichtlich einer MaRisk-konformen Anwendung zurückzuführen sind. Neben der Aufnahme einiger wesentlicher Neuerungen handelt es sich vielmehr um Präzisierungen und Klarstellungen, die einer verbesserten Transparenz der aufsichtlichen Erwartungshaltung dienen sollen. Während letztere Konkretisierungen grundsätzlich seit dem Tag der Veröffentlichung gelten, gewährt die Aufsicht den Instituten zur Umsetzung jener Vorschriften, die neue Anforderungen schaffen, eine Umsetzungsfrist bis zum 31.10.2018.

Mit der Veröffentlichung der neuen bankaufsichtlichen Anforderungen an die IT (BAIT) am 03.11.2017 ergänzt die BaFin ihre Anforderungen an die IT der Institute nach § 25a Abs. 1 und § 25b KWG um ein weiteres Rundschreiben zur Konkretisierung der MaRisk. Vor dem Hintergrund der verschärften Anforderungen an das Auslagerungsmanagement beschäftigt sich auch das Kapitel 8 der BAIT mit Auslagerungen und dem sonstigen Fremdbezug von IT-Dienstleistungen. Die BAIT sind im Gegensatz zu den MaRisk ab Veröffentlichung für alle Banken in Deutschland ohne Übergangsfrist verbindlich zu beachten.

Überwachungsprozesse

Das risikoorientierte Management der ausgelagerten Bereiche zielt darauf ab, eine ausgewogene Sichtweise von Risiken und Wertschöpfung über die gesamte Laufzeit des Outsourcing-Verhältnisses hinweg zu etablieren und durch Kontroll- und Koordinationsmaßnahmen eine regelmäßige Beurteilung der Leistungen des Dienstleisters vorzunehmen. Dabei sind das rechtzeitige Erkennen von Auffälligkeiten in der Leistungserbringung sowie der zeitgerechte Informationsaustausch innerhalb des Unternehmens von besonderer Bedeutung, um ggf. geeignete Maßnahmen ableiten und umsetzen zu können.

 SEMINARTIPPS

Neue Pflichten für Dienstleister-Steuerung, 14.11.2018, Frankfurt/M.

Auslagerungsverträge auf dem Prüfstand, 15.11.2018, Frankfurt/M.

Prüfung Auslagerungsprozesse, 22.11.2018, Köln.

 

Risikoanalyseprozess

Eine angemessene Überwachung des Dienstleisters erfolgt durch die systematische Funktionstrennung des internen Kontrollsystems und der internen Revision. Steht ein Institut vor einer Outsourcing-Entscheidung, hat zunächst eine Risikobetrachtung zu erfolgen, bestehend aus der Analyse der veränderten Risikosituation der Bank nach einer möglichen Auslagerung von Prozessen und Funktionen. Diese Risikoanalyse ist sowohl regelmäßig als auch anlassbezogen durchzuführen und hat ebenfalls Risikokonzentrationen sowie Risiken aus Weiterverlagerungen zu berücksichtigen. Der MaRisk-konforme Einbezug der internen Revision in die Risikoanalyse der jeweiligen Auslagerung bildet eine wichtige Informationsbasis, um Kenntnis über die bestehenden Auslagerungstatbestände und deren Risiko- und Wesentlichkeitsbewertungen zu erlangen. Neben einer Vertragskontrolle auf die erforderlichen Mindestinhalte und die rechtliche Wirksamkeit des Vertragswerkes sind auch die Vollständigkeit sowie eine einheitliche Vorgehensweise bei der Risikobetrachtung zu hinterfragen.

Risikobewertungen für jeden sonstigen Fremdbezug von (IT-)Dienstleistungen

Um das Management besonderer, mit Auslagerungen verbundener Risiken effektiver zu gestalten, wird neben Regelungen über den Softwarebezug auch die Bewertung des Auslagerungstatbestands durch die Aufsicht deutlicher definiert. Insbesondere im Hinblick auf Risiken, die auf externe Dienstleister zurückzuführen sind, stellen die BAIT die gleichen hohen Anforderungen an die Steuerung des sogenannten Fremdbezugs von IT-Dienstleistungen wie an Auslagerungen. Dies erfordert in jedem Fall die Durchführung einer Risikobewertung, deren Ergebnis maßgeblich für die Überwachung der vom Dienstleister geschuldeten Leistung ist. Auch aus der Risikobewertung abgeleitete Maßnahmen sind insofern angemessen in der Vertragsgestaltung zu berücksichtigen, als dass Anpassungsbedarfe mit den Dienstleistern zu verhandeln oder Verträge ggf. gänzlich neu aufzusetzen sind.

PRAXISTIPPS

  • Überprüfung des bereits bestehenden Auslagerungsmanagements und Einrichtung einer zentralen Dienstleistersteuerung, um die Prozesse so zu gestalten, dass sie Transparenz und Steuerung gewährleisten.
  • Stärkung der institutseigenen Kenntnisse und Erfahrungen, um eine wirksame Überwachung der vom Auslagerungsunternehmen erbrachten Dienstleistungen zu gewährleisten.
  • Überprüfung der Risikoanalysen (insbesondere im Hinblick auf Risikokonzentrationen und Risiken aus Weiterverlagerungen) sowie Herstellung von instituts- bzw. konzerneinheitlichen Regelungen zur Erstellung und Überprüfung der Risikoanalysen.
  • Auswertung der Berichterstattung und ihre Überführung in das Risikomanagement als zentralen Baustein der Dienstleistersteuerung implementieren.

 

  1. Die in diesem Aufsatz vertretenen Auffassungen geben die persönliche Meinung der Autorin wieder und sind nicht notwendigerweise Positionen der Deutschen Bundesbank oder einer anderen Bankenaufsichtsbehörde.

 

Prüfung Depot A-Geschäft

Thomas Maurer, Leiter Revision, Münchner Bank eG

Das aktuelle wirtschaftliche Umfeld im Bankgeschäft ist durch eine anhaltend sinkende Zinsspanne geprägt. Die längerfristigen Vorschaurechnungen weisen tendenziell in den Jahren um 2020/2021 einen weiteren deutlichen Rückgang des Zinsergebnisses aus, da dann auch die letzten, noch einigermaßen gute Zinserträge abwerfenden Aktivpositionen auslaufen und voraussichtlich nicht vollständig und wenn, dann nur zu deutlich geringeren Margen, prolongiert werden können. Daher sind die Kreditinstitute gezwungen, neben dem Kundenkreditgeschäft auch das Eigengeschäft zur Anlage der Kundeneinlagen zu forcieren. Damit rücken die Prüfung der Handelstätigkeit insgesamt und des Depot-A-Geschäfts im Besonderen verstärkt in den Fokus der Internen Revision.

Hinsichtlich der organisatorischen Rahmenbedingungen sollte ein Prüfungsschwerpunkt auf der Konsistenz der Anlageentscheidungen mit der Geschäftsstrategie des Hauses, der Risikotragfähigkeit, dem daraus abgeleiteten Limitsystem und dem verabschiedeten Produkte-/Märkte-Katalog liegen. Für Institute, die zur Erstellung eines CSR-Berichtes verpflichtet sind, kommt ein neuer Prüfungsaspekt hinzu. In den CSR-Berichten wird i. d. R. auch der Nachhaltigkeitsaspekt von Eigenanlagen dargestellt. Auch hier ist ein Vergleich der Anlageentscheidungen mit den dort dargestellten Rahmenbedingungen geboten. Wird im CSR-Bericht beispielsweise die Finanzierung von Atomstrom ausgeschlossen, dann sollten natürlich auch keine Unternehmen in diesem Segment mit dem Kauf von Anleihen finanziert werden.

 

 SEMINARTIPPS

Einsatz von Spezialfonds – Fluch & Segen, 20.11.2018, Köln.

Prüfung Depot A-Geschäft, 21.11.2018, Köln.

 

Ein weiterer Aspekt ist die Frage, ob die Treasurer des Hauses eine eigene Positionsverantwortung haben. In diesem Fall müsste die Verantwortung für die Positionen mindestens einmal im Jahr für mindestens 10 Handelstage an eine andere Stelle übergeben werden (MaRisk BTO 2.2.1, Tz. 10). Diese Anforderung führt insbesondere in kleinen und mittelgroßen Häusern regelmäßig zu Diskussionen, zumal die Anforderung auf Grund des erforderlichen Spezialwissens meist nicht ohne weiteres sachgerecht umgesetzt werden kann. Wichtig ist, dass eine Positionsverantwortung nur dann zu bejahen ist, wenn der Treasurer auch tatsächlich ein eigenes Handelsbuch verantwortet, in dem er eigenständig Handelsentscheidungen treffen kann. Dies dürfte in den wenigsten kleinen und mittleren Banken tatsächlich der Fall sein. In jedem Fall muss diese Frage diskutiert und die Einschätzung des Hauses hierzu dokumentiert werden.

Vor dem Hintergrund des dynamischen Umfeldes werden in vielen Instituten auch neue Produkte in das Portfolio aufgenommen. Daher sollte ein weiterer Prüfungsschwerpunkt auf die ordnungsgemäße und MaRisk-konforme Durchführung der entsprechenden Neuproduktprozesse gelegt werden. Insbesondere hinsichtlich der Einbindung aller relevanten Fachbereiche einschließlich der Internen Revision und der Durchführung einer ausreichenden Testphase besteht erfahrungsgemäß Feststellungspotenzial. Die neu gefassten MaRisk fordern in AT 8.1, Tz. 8 in diesem Zusammenhang auch ein Backtesting der Neuproduktprozesse. Dabei ist zu untersuchen, ob der Neuproduktprozess tatsächlich zu einer sachgerechten Handhabung des neuen Produktes geführt hat. Hierfür ist ein interner Prozess mit klaren Verantwortlichkeiten und einer entsprechenden Dokumentation erforderlich, der noch nicht in allen Häusern voll implementiert sein dürfte.

Die meisten Institute betreiben neben dem klassischen Depot A auch noch einen oder mehrere Spezialfonds. Ist dies der Fall, so ist auch dieses Investment im Rahmen einer Prüfung des Eigenhandels einzubeziehen. Zunächst ist zu hinterfragen, wie die Vereinbarungen mit der Fondsgesellschaft ausgestaltet sind. Es gibt an dieser Stelle eine Vielzahl von Möglichkeiten. Wichtig ist in jedem Fall, ob es sich um einen aktiv gemanagten Fonds handelt. In diesem Fall hätte der Fondsmanager im Rahmen der vorgegebenen Anlagerichtlinien einen Gestaltungsspielraum. Revisionsseitig ist zu prüfen, ob die Anlagerichtlinien mit der Geschäftsstrategie, dem Produkte-/ Märkte-Katalog und der Risikotragfähigkeit des Hauses im Einklang stehen. Vielfach ist die Ausgestaltung etwas restriktiver, so dass die Fondsgesellschaft weitgehend beratende Funktion hat, und die grundlegenden Anlageentscheidungen von einem Gremium des Instituts oder direkt von der Geschäftsleitung getroffen werden. Der Fondsmanager kann dann nur noch im Rahmen dieser grundlegenden Vorgaben beispielsweise einen konkreten Emittenten auswählen und das Papier in den Fonds kaufen. In einer derartigen Gestaltung ist es von Vorteil, wenn die Interne Revision erreichen kann, dass sie als Gast an den Sitzungen des Anlageausschusses teilnimmt. Dann werden nicht nur die Anlageentscheidungen transparenter, auch die Diskussion, die final zu der Entscheidung geführt hat, kann für das Verständnis der Gesamtstrategie eine wertvolle Hilfe sein. Wichtig ist ebenfalls, dass vorhandene Emittenten- und Strukturlimite auch bei Anlagen im Spezialfonds Beachtung finden. Hinsichtlich der Risikomessung gibt es ebenfalls verschiedene Ansätze. Oft liefern die Fondsgesellschaften eine Gesamtrisikokennziffer für den Spezialfonds. Diese kann von der Bank je nach Struktur und Risikogehalt für die Risikomessung herangezogen werden. Allerdings muss das Institut die Herleitung dieser Risikokennzahl kennen und kritisch hinterfragen, ob diese mit den anderen im Haus verwendeten Risikomessmethoden kompatibel ist. So sind beispielsweise das zugrunde gelegte Konfidenzniveau und die Haltedauer zu untersuchen. Bei einem umfangreichen Spezialfonds empfiehlt sich tendenziell eher die Durchschaumethode. Dabei werden alle im Fond befindlichen Assets entsprechend den im Institut verwendeten Methoden analysiert und die Risiken berechnet. Allerdings kann auch diese Methode an ihre Grenzen stoßen, wenn sich im Spezialfonds Fondsanteile von Publikumsfonds oder anderen Spezialfonds befinden. Dann muss wiederum auf jedes einzelne Papier durchgeschaut werden, was vom Umfang her irgendwann unwirtschaftlich werden kann. Entscheidend aus Revisionssicht ist, dass auch beim Spezialfonds die Methoden zur Risikomessung und -steuerung konsistent zu den sonst verwendeten Verfahren sind und der Spezialfonds im Berichtswesen angemessen integriert ist.

PRAXISTIPPS

  • Prüfen Sie die Konsistenz der Anlageentscheidungen mit der Strategie, dem Limitsystem und dem Produkte-/Märkte-Katalog.
  • Beziehen Sie auch die Angaben aus dem CSR-Bericht zur Nachhaltigkeit von Anlageentscheidungen in die Prüfung ein.
  • Klären Sie, ob in Ihrem Haus die Händler tatsächlich eine Positionsverantwortung haben.
  • Stellen Sie sicher, dass die Revision im Neuproduktprozess bereits in die Erstellung des Konzeptes eingebunden wird.
  • Prüfen Sie, ob ein Prozess zum Backtesting der Neuproduktprozesse implementiert ist.
  • Beziehen Sie auch einen vorhandenen Spezialfonds in die Prüfung ein.
  • Achten Sie in diesem Fall auf die Konsistenz der Risikomessmethoden.

 

Risikomonitoring auf Basis von Meldewesen-Daten aus Instituten

Michael Endmann, Direktor Gesamtbanksteuerung, Stadtsparkasse München

Am 8. Februar 2018 veröffentlichte die EBA die überarbeitete Version ihres „Methodological Guide on Risk Indicators and detailed Risk Analysis Tools”. Der primäre Zweck dieses Handbuchs besteht in der Darstellung der Zusammensetzung, Berechnungsvorschriften sowie des Sinn und Zwecks der darin enthaltenen Kennzahlen bzw. Analyse-Tools. Dies soll u. a. auch dafür sorgen, dass die Kennzahlen bzw. Tools korrekt interpretiert und verwendet werden.

 

 SEMINARTIPPS

Neue SREP- und Meldewesen-basierte Aufsichtsgespräche 2019, 07.11.2018, Hamburg.

Vergleichende Bankenaufsicht: Identifizierung von „Ausreißer-Instituten“, 08.11.2018, Hamburg.

 

Verwendung der Kennzahlen durch die (europäische) Aufsicht

Seit Februar 2011 (siehe hierzu bitte auch die Einleitung im oben genannten Handbuch) sammelt die EBA auf vierteljährlicher Basis statistische Informationen zu 55 Banken in Europa, um 53 sog. Key Risk Indicators zu errechnen. Key Risk Indicators sind Kennzahlen, die in obigem Handbuch definiert wurden und mittels derer Frühwarnsignale zu Risikoentwicklungen und Anfälligkeiten im europäischen Bankensektor erkannt bzw. identifiziert werden können.

Die EBA verwendet 21 dieser Key Risk Indicators in ihrem Risk Dashboard, welches ebenfalls auf vierteljährlicher Basis erstellt wird, und in dem die Risiko- und Ertragssituation für die direkt von der EZB überwachten Institute widergespiegelt wird. Für neun dieser Key Risk Indicators (KRI) wurden darüber hinaus Ampelschaltungen definiert, ab welchem Wert eines KRI die Kennzahl eine grüne, eine gelbe bzw. eine rote Ausprägung aufweist. Unter anderem wurden folgende KRI mit Ampelschaltungen durch die EBA definiert:

Die Quelle zur Befüllung dieser KRI ist das vereinheitlichte COREP– und FINREP-Meldewesen. Spätestens seit Mitte letzten Jahres erstellen alle Institute auch eine FINREP-Meldung, wenn auch mit abgestuftem Meldeumfang. Die für die Ermittlung der o. g. KRI nötigen Informationen bzw. Meldewesendaten sind in den Bögen enthalten, die alle Institute abgeben müssen. Insofern können alle Institute überprüfen, ob sie gemäß der Ampel-Definition in diesen KRI eine grüne, eine gelbe oder gar eine rote Ampelschaltung aufweisen.

Verwendung im SREP – kennzahlenbasierte Aufsicht

Im regelmäßig einmal jährlich erscheinenden SSM SREP Methodology Booklet legt die EZB dar, wie in ihrem Verantwortungsbereich der SREP umgesetzt wird. Hierin wird erkennbar, dass Kennzahlen, wie die hier vorgestellten KRI, von der Aufsicht als Ausgangsbeurteilungen für ihr aufsichtliches Handeln herangezogen werden (sog. Anchoring Scores). Weiterhin wird deutlich, dass intensive Benchmark-Vergleiche der Institute auf Basis von Kennzahlen durchgeführt werden. Institute, die gegenüber ihren Peer-Groups auffällig sind, dürfen wohl erwarten, dass diese Auffälligkeiten ihnen gegenüber durch die Aufsicht thematisiert werden.

Bei der Überwachung der sog. LSI werden derzeit noch Ansätze der National Competent Authorities (NCA), der nationalen Aufsichtsbehörden, verwendet. Dies wird sich laut Newsletter der EZB vom August 2017 in Bälde ändern. Hiernach entwickelte die EZB zusammen mit den NCA ein einheitliches Rahmenwerk zur Überwachung der LSI, angelehnt an das System und die Methode zur Überwachung der SI. Bis spätestens 2020 – beginnend in 2018 – soll dieses Rahmenwerk, genannt Risk Assessment System (RAS), durch alle NCA auf deren LSI ausgerollt worden sein.

PRAXISTIPPS

  • Die Umsetzung der FINREP-Meldepflicht für LSI zum Stichtag Juni 2017 erhöht die Transparenz der Aufsicht über den Zustand der kleineren Institute. Analyse und Kenntnis über eigene eingereichte Daten/Werte erhält größere Bedeutung.
  • (Wieder-)Verwendung der Meldewesenergebnisse in der internen Steuerung – aufsichtliche Kennzahlen und Verfahren als Nucleus der internen Steuerung, bspw. Aufnahme von KRI aus dem EBA Risk Dashboard in das interne Berichtswesen.
  • Know your peers: Institute sollten bemüht sein, Kenntnis über die Werte vergleichbarer Institute zu erhalten.

 

 

IT-IKS: Knackpunkte und prüfungsseitige Schwachstellen

Michael Helfer, Geschäftsführer, FCH Consult GmbH

Ein nachvollziehbar dokumentiertes und gesteuertes IT-Risikomanagement stellt als zentraler Fokus der deutschen/europäischen Bankenaufsicht sowie der Abschluss-/Sonderprüfer die Institute vor umfangreiche Umsetzungsherausforderungen. Ein pragmatisches Management der IT-Anforderungen (insbesondere MaRisk & BAIT) sowie die daraus resultierende praktische Umsetzung sind einer der Knackpunkte in aktuellen Projekten (Umsetzung MaRisk & BAIT, aber auch Fachprojekte). Zudem sind weitere Anforderungen wie z. B. IT-Sicherheitsgesetz (ITSiG), BSI-Standards, MaSi, PSD 2 etc. zu berücksichtigen.

Nachfolgend ein kurzer Überblick zu ausgewählten, IT-spezifischen Aspekten (welche oftmals auch noch Schwachstellen darstellen):

  • Sicherstellen einer stringenten Konsistenz zwischen Geschäfts- und IT-(Risiko)Strategie durch konkrete Formulierung und Quantifizierung der Ziele („roter Faden”),
  • Verknüpfung der Schutzbedarfsanalyse mit dem Management operationeller Risiken („IT-OpRisk als Teilmenge der Gesamt-OpRisk”),
  • Festlegen klarer Verantwortlichkeiten: WER ist für WAS im IT-IKS verantwortlich (Prozessverantwortlicher, Orga/IT, Informationssicherheitsbeauftragter) – Erfordernis eines präzisen Rollenmodells,
  • Weitgehender Einbezug der IDV – Neues erforderliches Zentralregister sowie zusätzliche Dokumentationserfordernisse durch IDV-Richtlinie „Software-Entwicklungsprozess“.

Darüber hinaus sollte aber auch eine inhaltliche Auseinandersetzung und Verknüpfung mit den neuen MaRisk-Schwerpunktthemen (Datenmanagement/Risikoberichtswesen, Risikokultur und Verhaltenskodex sowie IT-Auslagerungen) erfolgen.

Zum Schluss noch ein Hinweis auf die aktuellen IT-Sonderprüfungen der Aufsicht. Die Praxis zeigt, dass im Rahmen von 44er-Prüfungen eine Erweiterung der bisher prozessorientierten Prüfungsansätze auch auf die Rezertifizierung der Berechtigungen bei ausgelagerten Prozessen und auch der institutsindividuelle Umgang mit Releasewechseln und Updates (insbesondere der Kernbankanwendungen und steuerungsrelevanter Software) vorgenommen wurde. Insbesondere diese beiden Teilbereiche waren in vielen Häusern in der Vergangenheit nicht im Fokus der Betrachtung, gehören jedoch zum Gesamt-IKS.

PRAXISTIPPS

  • Befassen Sie sich ausführlich mit den IT-Neuerungen aus MaRisk und BAIT.
  • Dokumentieren Sie IT-Teilprozesse & Kontrollerfordernisse auf der Basis einer Risiko-Kontroll-Matrix. Berücksichtigen Sie dabei auch die ausgelagerten Prozesse.
  • Verknüpfen Sie Ihre Schutzbedarfsanalyse mit dem Management operationeller Risiken.
  • Klären Sie die Rollen im IT-Risikomanagement (inkl. IKS).

 

Interne Prüfung von Auslagerungsprozessen

Thomas Maurer, Leiter Revision, Münchner Bank eG

Die Neufassung der MaRisk im Oktober 2017 hat im Bereich der Auslagerungen im AT 9 eine deutliche Erweiterung und Verschärfung erfahren. Vor diesem Hintergrund sind alle Institute gehalten, ihre bisherige Praxis beim Umgang mit Auslagerungen auf den Prüfstand zu stellen und den neuen MaRisk-Anforderungen anzupassen. Die Frist für die Umsetzung von Neuerungen läuft zum 31.10.2018 ab. Somit ist auch die Interne Revision gefordert, eine entsprechende Umsetzungsprüfung möglichst noch vor Ablauf der Umsetzungsfrist durchzuführen, damit eventuelle Mängel noch rechtzeitig behoben werden können.

Grundsätzlich liegt nach MaRisk eine Auslagerung vor, wenn ein anderes Unternehmen mit der Wahrnehmung von Aktivitäten und Prozessen in Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen und sonstigen institutstypischen Leistungen beauftragt wird, die ansonsten vom Institut selbst erbracht würden. Davon abzugrenzen ist der sonstige Fremdbezug von Leistungen. Dieser kommt dann in Betracht, wenn es sich nicht um eine der vorgenannten Aktivitäten handelt oder der Bezug nur isoliert oder einmalig erfolgt. Aus Prüfungssicht ist es wichtig, dass im Institut klare Definitionen festgelegt sind, was eine Auslagerung ist und was als sonstiger Fremdbezug eingestuft werden kann. Die entsprechende Einordung ist nachvollziehbar zu begründen. Durch die Neufassung der MaRisk rückt auch der Einsatz von Software ins Zentrum der Diskussionen. Grundsätzlich gelten der isolierte Bezug von Software sowie die damit zusammenhängenden Unterstützungsleistungen als sonstiger Fremdbezug von Leistungen. Unterstützungsleistungen sind beispielsweise die Anpassung der Software, das Test- und Freigabeverfahren, die Implementierung beim Ersteinsatz oder die Wartung. Sofern die Software aber zur Identifizierung, Steuerung und Beurteilung von Risiken eingesetzt wird oder für die Durchführung der bankgeschäftlichen Aufgaben von wesentlicher Bedeutung ist, dann sind diese Unterstützungsleistungen als Auslagerung einzustufen. Der reine Bezug ohne diese Unterstützungsleistungen hingegen ist auch bei Software aus dem Risikomanagement „nur“ als Fremdbezug zu klassifizieren. Allein diese Darstellung zeigt, dass das Diskussionspotenzial an dieser Stelle enorm ist. Somit sollten die Banken zeitnah beginnen, für das Haus eine klare Abgrenzung der Begrifflichkeiten festzulegen und insbesondere die komplette Software-Landkarte auf mögliche Auslagerungstatbestände hin überprüfen. Es ist zu erwarten, dass die eine oder andere Software, die in der Unternehmenssteuerung eingesetzt wird, künftig als Auslagerung zu sehen und entsprechend zu behandeln ist. Der nächste wichtige Schritt im Rahmen einer Prüfung der Auslagerungsprozesse ist die Abgrenzung zwischen wesentlichen und unwesentlichen Auslagerungen. Die besonderen Anforderungen der MaRisk im AT 9 Tz. 6 ff. gelten nur für wesentliche Auslagerungen. Dies bedeutet, dass für alle Auslagerungen eine Risikoanalyse durchzuführen ist, auf der diese Einschätzung basiert. Auf Grund der vielfältigen Neuerungen empfiehlt es sich, alle Auslagerungen diesbezüglich nochmals zu prüfen und die Risikoanalyse zu aktualisieren. Bei wesentlichen Auslagerungen muss die Risikoanalyse jährlich durchgeführt werden, bei unwesentlichen ist ein Dreijahresturnus ausreichend.

SEMINARTIPPS

 

 Neue Pflichten für Dienstleister-Steuerung, 14.11.2018, Frankfurt/M.

Auslagerungsverträge auf dem Prüfstand, 15.11.2018, Frankfurt/M.

Prüfung Auslagerungsprozesse, 22.11.2018, Köln.

Grundsätzlich sind alle Aktivitäten und Prozesse auslagerbar. Nicht möglich ist dies für die Aufgaben der Geschäftsleitung und nur eingeschränkt für die speziellen Funktionen Compliance, Risikocontrolling und Interne Revision. Für wesentliche Auslagerungen sind grundsätzlich Ausstiegsprozesse mit Handlungsoptionen vorzuhalten, damit im Falle der Beendigung der Auslagerung die ausgelagerten Bereiche auch ohne Probleme vom Institut wieder selbst übernommen werden können. Auch hier ist auf eine ausreichende Dokumentation und regelmäßige Aktualisierung zu achten. Darüber hinaus sind auch eventuelle Weiterverlagerungen in die Überwachung durch das auslagernde Institut einzubeziehen. Hierzu sind entsprechende Regelungen oder Zustimmungsvorbehalte im Auslagerungsvertrag erforderlich. Um dies sicherzustellen, sollten alle Verträge zu wesentlichen Auslagerungen daraufhin überprüft werden. Fehlen derartige Vereinbarungen, so ist eine Vertragsänderung geboten.

Eine weitere wichtige Anforderung ist die Festlegung der Verantwortung für die Steuerung und Überwachung von wesentlichen Auslagerungen. Die Risiken aus ausgelagerten Bereichen sind zudem in die Risikosteuerungs- und -controllingprozesse einzubeziehen.

Zumindest große und komplexe Institute müssen nach AT 9 Tz. 12 der MaRisk ein zentrales Auslagerungsmanagement implementieren, das mindestens einmal jährlich einen Bericht über die Auslagerungen an die Geschäftsleitung zu erstellen hat. Sollte ein solches mit Verweis auf die nicht einschlägige Größe oder Komplexität nicht eingerichtet sein, muss auch dies möglichst ausführlich begründet sein. Die Begründung ist revisionsseitig zu würdigen.

Hinsichtlich der Revisionstätigkeit bei ausgelagerten Prozessen kann die Interne Revision auch weiterhin auf eigene Prüfungshandlungen verzichten, wenn das Auslagerungsunternehmen eine eigene Interne Revision hat. Dabei muss sichergestellt sein, dass sich die Interne Revision des auslagernden Instituts regelmäßig von der Funktionsfähigkeit der Revision des Auslagerungsunternehmens überzeugt und dass Mängel, die den ausgelagerten Bereich betreffen, umgehend an die Revision des auslagernden Instituts gemeldet werden. Diese muss die Mängel dann in ihre Mängelverfolgung einbeziehen. Zudem muss das Recht vorhanden sein, jederzeit eigene Ergänzungsprüfungen durchführen zu dürfen. Auch im Hinblick auf diese Anforderungen sollten alle bestehenden Auslagerungsverträge nochmals geprüft und gegebenenfalls geändert werden.

PRAXISTIPPS

  • Planen Sie eine Umsetzungsprüfung zu den ausgelagerten Bereichen möglichst noch vor dem 31.10.2018 ein.
  • Prüfen Sie insbesondere die Einstufung von Software aus dem Risikocontrolling auf eventuelle Auslagerungstatbestände.
  • Stellen Sie sicher, dass alle Auslagerungen im Hinblick auf die Neufassung der MaRisk hinsichtlich Risikoanalyse und Vertragsgestaltung nochmals auf den Prüfstand kommen.
  • Prüfen Sie insbesondere, ob hinsichtlich der Revisionstätigkeit die Regelungen in den Verträgen noch den Anforderungen entsprechen.
  • Werten Sie die Prüfungsberichte der Auslagerungsunternehmen kritisch aus und übernehmen Sie eventuelle Mängel in Ihre eigene Mängelverfolgung.

Prüfung von Vereinbarungen bei Auslagerungen

Aktuelle Anforderungen aus der MaRisk-Novelle 2017

Holger Aurisch, MBA, Bereichsdirektor MarktService/Prokurist | Recht & Compliance, Volksbank Breisgau Nord eG

Änderungen aus den MaRisk 2017

Die Aufsicht hat mit Rundschreiben 09/2017 die Anforderungen an das Outsourcing gegenüber der Fassung von 2012 deutlich konkretisiert und erweitert. So wurde beispielsweise klargestellt, dass die besonderen Funktionen des AT 4.4 nur unter bestimmten Konstellationen vollständig ausgelagert werden dürfen. Neu eingeführt wurde die Anforderung an ein zentrales Auslagerungsmanagement, sofern Art, Umfang und Komplexität der ausgelagerten Aktivitäten dies erfordern. Diese neue Funktion hat mindestens einen jährlichen Bericht über die wesentlichen Auslagerungen zu erstellen, in dem steht, ob die Qualität der erbrachten Dienstleistungen vertragskonform war und ob die Steuerung der Aktivitäten und Prozesse trotz Auslagerung möglich ist. Die Anforderungen an die Weiterverlagerung von Tätigkeiten wurden konkretisiert und im Zusammenspiel mit den Anforderungen aus den BAIT wurde das Thema Software als Auslagerung oder Fremdbezug geschärft.

BUCHTIPP

 

 Auslagerung nach MaRisk, 2018.

 

Dienstleistersteuerung: Aufsichtsrechtliches Übel oder betriebswirtschaftliche Pflicht?

Kennen Sie den Witz mit dem Vergleich der Fertigungstiefe von Automobilherstellern und derer von Banken? Demzufolge müssten die Autohersteller bei gleicher Fertigungstiefe wie Banken auch noch die Kühe züchten, aus denen das Leder für die Sitze gemacht wird. Diese Aussage ist nun auch schon einige Jahre alt und die Fertigungstiefe hat bei Banken in dieser Zeit sicher abgenommen, auch wenn die Eigenproduktion immer noch deutlich über der der Autohersteller liegt. Ob der Vergleich aber genau zutrifft oder nicht, der Grad der Professionalität bei der Dienstleistersteuerung ist gefühlt um ein Vielfaches höher als in der Bankbranche. Die modernen Produktionsprozesse mit just-in-time bzw. just-in-sequence Prozessen erfordern, dass der Hersteller in höchstem Maß sicherstellen muss, dass die vereinbarte Leistung in der vereinbarten Qualität zur richtigen Zeit am richtigen Ort vorhanden ist, sonst drohen Produktionsausfälle. Auch wenn die Bankprozesse diesen Reifegrad noch nicht erreicht haben, verwundert es doch nicht, dass die Aufsicht das Thema in der MaRisk-Novelle 2017 deutlich in den Vordergrund gestellt hat und den Aktivitäten der Dienstleistersteuerung deutlich mehr Beachtung in den Banken verschaffen will.

Soll dieser regulatorische Vorstoß nun also nur als Gängelei einer ohnehin schon stark und eng regulierten Branche verstanden werden, oder liegen in den neuen Anforderungen auch Chancen bzw. betriebswirtschaftliche Selbstverständlichkeiten? Um es vorweg zu nehmen: Die Steuerung von Dienstleistern ist eine Kernaufgabe im Qualitätsmanagement, denn ohne eine solche wird die Erreichung der erforderlichen Produkt- bzw. Dienstleistungsqualität nicht dauerhaft realisierbar sein, oder zu einem Zufallsergebnis verkommen.

Nähern wir uns der Fragestellung von der betriebswirtschaftlichen Seite wird ebenso klar, dass die Ansprüche an Effektivität und Effizienz von erworbenen Leistungen Dritter in einem angemessenen Verhältnis stehen müssen. Ansonsten handelt es sich um eine schlechte betriebswirtschaftliche Entscheidung. Es sollte also im ureigenen Interesse des Unternehmens liegen, dass sich die zuständigen Fachabteilungen mit ihren Dienstleistern intensiver befassen, als dies in der Vergangenheit der Fall war. Prüfungsseitige Grundlage ist neben dem generellen Auslagerungsprozess und dem Auslagerungsmanagement insbesondere der jeweilige Auslagerungsvertrag. Dieser kann in gewisser Weise auch das Machtgefüge zwischen Institut und Dienstleister widerspiegeln, nämlich anhand des Grades der bankseitig bestimmten und umgesetzten Individualisierungswünsche.

SEMINARTIPPS


Neue Pflichten für Dienstleister-Steuerung, 14.11.2018, Frankfurt/M.

Auslagerungsverträge auf dem Prüfstand, 15.11.2018, Frankfurt/M.

Prüfung Auslagerungsprozesse, 22.11.2018, Köln.

Auslagerungen im Fokus neuer MaRisk & BAIT, 10.–11.12.2018,
Frankfurt/M.

Der Auslagerungsvertrag

Kernelement der Dienstleistersteuerung ist der Auslagerungsvertrag. Im Gegensatz zu einem gewöhnlichen Vertrag zwischen zwei Unternehmen, z. B. über den Kauf von Produktionsmaterial in der Industrie, sind im bankgeschäftlichen Umfeld die in AT 9, Tz. 7 MaRisk geforderten Vereinbarungen aufzunehmen. Insbesondere ist auf den Einbezug folgender Inhalte zu achten:

  • Klare Spezifizierung der durch das Auslagerungsunternehmen zu erbringenden Leistungen und Definition von Leistungskriterien, um eine laufende Beurteilung der erbrachten Leistungen zu ermöglichen
  • Beachtung datenschutzrechtlicher Anforderungen (bei Altverträgen ggf. Update auf DSGVO) und Sicherheitsanforderungen
  • Festlegung von Kündigungsrechten und -fristen
  • Informationspflichten zu möglichen Beeinträchtigungen der ordnungsgemäßen Abwicklung der beauftragten Leistungen
  • Festlegung von Prüf- und Kontrollrechten der Internen Revision des Auftraggebers sowie externer Prüfer und Behörden der ausgelagerten Aktivitäten und Prozesse
  • Definition von Zustimmungsrechten für Weiterverlagerungen bzw. konkrete Voraussetzungen, welche das Auslagerungsunternehmen hierzu zu beachten hat.

Speziell dem erstgenannten Punkt kommt bei der Dienstleistersteuerung zentrale Bedeutung zu. Hier ist unbedingt darauf zu achten, dass sowohl im Vorfeld einer beabsichtigten Auslagerung als auch im laufenden Überwachungsprozess beurteilt wird, ob es sich um geeignete Kriterien handelt, um die Leistungsqualität dauerhaft sicherzustellen.

PRAXISTIPPS

  • Definieren Sie klare Verantwortlichkeiten im Auslagerungsmanagement.
  • Stellen Sie prozessual sicher, dass die Auslagerungsverträge regulatorischen und betriebswirtschaftlichen Anforderungen entsprechen.
  • Entwickeln Sie klare Kriterien zur Leistungsüberwachung im Rahmen der Dienstleistersteuerung.

Prüfung von Auslagerungen durch die Interne Revision

Jan H. Meyer im Hagen, CIA Director Interne Revision der Sparkasse Paderborn-Detmold