Interne Prüfung von Auslagerungsprozessen

Thomas Maurer, Leiter Revision, Münchner Bank eG

Die Neufassung der MaRisk im Oktober 2017 hat im Bereich der Auslagerungen im AT 9 eine deutliche Erweiterung und Verschärfung erfahren. Vor diesem Hintergrund sind alle Institute gehalten, ihre bisherige Praxis beim Umgang mit Auslagerungen auf den Prüfstand zu stellen und den neuen MaRisk-Anforderungen anzupassen. Die Frist für die Umsetzung von Neuerungen läuft zum 31.10.2018 ab. Somit ist auch die Interne Revision gefordert, eine entsprechende Umsetzungsprüfung möglichst noch vor Ablauf der Umsetzungsfrist durchzuführen, damit eventuelle Mängel noch rechtzeitig behoben werden können.

Grundsätzlich liegt nach MaRisk eine Auslagerung vor, wenn ein anderes Unternehmen mit der Wahrnehmung von Aktivitäten und Prozessen in Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen und sonstigen institutstypischen Leistungen beauftragt wird, die ansonsten vom Institut selbst erbracht würden. Davon abzugrenzen ist der sonstige Fremdbezug von Leistungen. Dieser kommt dann in Betracht, wenn es sich nicht um eine der vorgenannten Aktivitäten handelt oder der Bezug nur isoliert oder einmalig erfolgt. Aus Prüfungssicht ist es wichtig, dass im Institut klare Definitionen festgelegt sind, was eine Auslagerung ist und was als sonstiger Fremdbezug eingestuft werden kann. Die entsprechende Einordung ist nachvollziehbar zu begründen. Durch die Neufassung der MaRisk rückt auch der Einsatz von Software ins Zentrum der Diskussionen. Grundsätzlich gelten der isolierte Bezug von Software sowie die damit zusammenhängenden Unterstützungsleistungen als sonstiger Fremdbezug von Leistungen. Unterstützungsleistungen sind beispielsweise die Anpassung der Software, das Test- und Freigabeverfahren, die Implementierung beim Ersteinsatz oder die Wartung. Sofern die Software aber zur Identifizierung, Steuerung und Beurteilung von Risiken eingesetzt wird oder für die Durchführung der bankgeschäftlichen Aufgaben von wesentlicher Bedeutung ist, dann sind diese Unterstützungsleistungen als Auslagerung einzustufen. Der reine Bezug ohne diese Unterstützungsleistungen hingegen ist auch bei Software aus dem Risikomanagement „nur“ als Fremdbezug zu klassifizieren. Allein diese Darstellung zeigt, dass das Diskussionspotenzial an dieser Stelle enorm ist. Somit sollten die Banken zeitnah beginnen, für das Haus eine klare Abgrenzung der Begrifflichkeiten festzulegen und insbesondere die komplette Software-Landkarte auf mögliche Auslagerungstatbestände hin überprüfen. Es ist zu erwarten, dass die eine oder andere Software, die in der Unternehmenssteuerung eingesetzt wird, künftig als Auslagerung zu sehen und entsprechend zu behandeln ist. Der nächste wichtige Schritt im Rahmen einer Prüfung der Auslagerungsprozesse ist die Abgrenzung zwischen wesentlichen und unwesentlichen Auslagerungen. Die besonderen Anforderungen der MaRisk im AT 9 Tz. 6 ff. gelten nur für wesentliche Auslagerungen. Dies bedeutet, dass für alle Auslagerungen eine Risikoanalyse durchzuführen ist, auf der diese Einschätzung basiert. Auf Grund der vielfältigen Neuerungen empfiehlt es sich, alle Auslagerungen diesbezüglich nochmals zu prüfen und die Risikoanalyse zu aktualisieren. Bei wesentlichen Auslagerungen muss die Risikoanalyse jährlich durchgeführt werden, bei unwesentlichen ist ein Dreijahresturnus ausreichend.

SEMINARTIPPS

 

 Neue Pflichten für Dienstleister-Steuerung, 14.11.2018, Frankfurt/M.

Auslagerungsverträge auf dem Prüfstand, 15.11.2018, Frankfurt/M.

Prüfung Auslagerungsprozesse, 22.11.2018, Köln.

Grundsätzlich sind alle Aktivitäten und Prozesse auslagerbar. Nicht möglich ist dies für die Aufgaben der Geschäftsleitung und nur eingeschränkt für die speziellen Funktionen Compliance, Risikocontrolling und Interne Revision. Für wesentliche Auslagerungen sind grundsätzlich Ausstiegsprozesse mit Handlungsoptionen vorzuhalten, damit im Falle der Beendigung der Auslagerung die ausgelagerten Bereiche auch ohne Probleme vom Institut wieder selbst übernommen werden können. Auch hier ist auf eine ausreichende Dokumentation und regelmäßige Aktualisierung zu achten. Darüber hinaus sind auch eventuelle Weiterverlagerungen in die Überwachung durch das auslagernde Institut einzubeziehen. Hierzu sind entsprechende Regelungen oder Zustimmungsvorbehalte im Auslagerungsvertrag erforderlich. Um dies sicherzustellen, sollten alle Verträge zu wesentlichen Auslagerungen daraufhin überprüft werden. Fehlen derartige Vereinbarungen, so ist eine Vertragsänderung geboten.

Eine weitere wichtige Anforderung ist die Festlegung der Verantwortung für die Steuerung und Überwachung von wesentlichen Auslagerungen. Die Risiken aus ausgelagerten Bereichen sind zudem in die Risikosteuerungs- und -controllingprozesse einzubeziehen.

Zumindest große und komplexe Institute müssen nach AT 9 Tz. 12 der MaRisk ein zentrales Auslagerungsmanagement implementieren, das mindestens einmal jährlich einen Bericht über die Auslagerungen an die Geschäftsleitung zu erstellen hat. Sollte ein solches mit Verweis auf die nicht einschlägige Größe oder Komplexität nicht eingerichtet sein, muss auch dies möglichst ausführlich begründet sein. Die Begründung ist revisionsseitig zu würdigen.

Hinsichtlich der Revisionstätigkeit bei ausgelagerten Prozessen kann die Interne Revision auch weiterhin auf eigene Prüfungshandlungen verzichten, wenn das Auslagerungsunternehmen eine eigene Interne Revision hat. Dabei muss sichergestellt sein, dass sich die Interne Revision des auslagernden Instituts regelmäßig von der Funktionsfähigkeit der Revision des Auslagerungsunternehmens überzeugt und dass Mängel, die den ausgelagerten Bereich betreffen, umgehend an die Revision des auslagernden Instituts gemeldet werden. Diese muss die Mängel dann in ihre Mängelverfolgung einbeziehen. Zudem muss das Recht vorhanden sein, jederzeit eigene Ergänzungsprüfungen durchführen zu dürfen. Auch im Hinblick auf diese Anforderungen sollten alle bestehenden Auslagerungsverträge nochmals geprüft und gegebenenfalls geändert werden.

PRAXISTIPPS

  • Planen Sie eine Umsetzungsprüfung zu den ausgelagerten Bereichen möglichst noch vor dem 31.10.2018 ein.
  • Prüfen Sie insbesondere die Einstufung von Software aus dem Risikocontrolling auf eventuelle Auslagerungstatbestände.
  • Stellen Sie sicher, dass alle Auslagerungen im Hinblick auf die Neufassung der MaRisk hinsichtlich Risikoanalyse und Vertragsgestaltung nochmals auf den Prüfstand kommen.
  • Prüfen Sie insbesondere, ob hinsichtlich der Revisionstätigkeit die Regelungen in den Verträgen noch den Anforderungen entsprechen.
  • Werten Sie die Prüfungsberichte der Auslagerungsunternehmen kritisch aus und übernehmen Sie eventuelle Mängel in Ihre eigene Mängelverfolgung.

image_printZur Druckversion!
0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.