MaRisk aktuell – zentraler Auslagerungsbeauftragter

image_print

Henning Riediger, Prüfungsleiter im Referat Bankgeschäftliche Prüfung, Deutsche Bundesbank, Hannover[1]

Neuregelung und (teilweise) gelebte Praxis

Es ist doch immer wieder interessant zu beobachten, was in einigen Instituten vor sich geht, wenn (vermeintlich) neue Regelungen in Kraft treten. Ein sehr schönes Beispiel bietet hier die Funktion des zentralen Auslagerungsbeauftragten gemäß AT 9 Tz. 12 der MaRisk. Die ausdrückliche Benennung ist in der Tat eine „Neu“-Regelung. Die dieser Funktion obliegenden Aufgaben und Funktionen sind es hingegen nicht.

Es mag ja auch im Jahr 2018 immer noch Institute geben, die der Meinung sind, dass wenn alles ausgelagert ist, man keine Risiken habe. Diese Institute stellen dann beim Lesen der neuen MaRisk fest: „Hey, eine neue Funktion! Wir können einen neuen Hut verteilen.” In der direkten Folge des Lesens wird dann eine Person auserwählt, welche den „Hut” bekommt. Aber wie im wahren Leben reicht ein Hut nicht aus – da muss es noch etwas mehr geben, z. B. einen angemessenen Auslagerungsprozess im Gesamthaus. Und richtig unangenehm wird es dann, wenn man nur mit Hut bekleidet in eine § 44er-Prüfung der Bankenaufsicht gehen muss.

Der zentrale Auslagerungsbeauftragte – kein Avanti Dilettanti!

Im Entwurf für die 5. MaRisk-Novelle war bereits ein Auslagerungsbeauftragter vorgesehen. In der endgültigen Novelle fällt diese Aufgabe dem zentralen Auslagerungsmanagement gemäß AT 9 Tz. 12 der MaRisk zu. Dieser wird erwartungsgemäß den Überwachungsfunktionen zugewiesen werden. Die Auslagerungssteuerung und -überwachung ist unzweifelhaft bereits auch heute dem Internen Kontrollsystem zuzuordnen. Eine erfolgreiche Integration von ausgelagerten Aktivtäten in die Steuerungs- und -überwachungskomponenten setzt jedoch voraus, dass das Interne Kontrollsystem im Institut unabhängig von der Existenz aus Auslagerungen sauber aufgesetzt ist.

Eine strukturelle Neuerung der aktuellen MaRisk-Novelle ergibt sich aus den Tzn. 10 und 12:

  • Tz. 10 – Zur Steuerung und Überwachung von Auslagerungen von besonderen Funktionen und Kernbereichen des Instituts sind klare Verantwortlichkeiten festzulegen und
  • Tz. 12 – Es ist ein zentrales Auslagerungsmanagement für sämtliche ausgelagerten Aktivitäten zu implementieren.

Eine der Tz. 10 vergleichbare Tätigkeit bzw. Aufgabe gab es in der vorherigen Novelle nur für den Fall der Auslagerung der internen Revision.

Zu den Tätigkeiten des zentralen Auslagerungsmanagements gehören ausweislich der Tz. 12 des AT 9 der MaRisk mindestens folgende Aufgaben:

  • die Implementierung und Weiterentwicklung eines angemessenen Auslagerungsmanagements einschließlich entsprechend angemessener Kontroll- und Überwachungsprozesse,
  • die Erstellung und Pflege einer vollständigen Dokumentation der Auslagerungen inklusive von Weiterverlagerungen,
  • die Unterstützung von Fachbereichen bezüglich der Beurteilung bzw. Einhaltung gesetzlicher und institutsinterner Vorgaben bei Auslagerungen und
  • die Koordination und Überprüfung der durch die zuständigen bzw. auslagernden Fachbereiche (z. B. Dateneigentümer) vorzunehmenden Risikoanalysen.

Gerade die beiden letztgenannten Punkte erfordern umfassende Kenntnisse von gesetzlichen Normen und internen Vorgaben. Somit bietet sich eine Kombination bzw. Zusammenarbeit mit der Compliance-Funktion an. Wichtig ist in diesem Zusammenhang die Kontrollfunktion an dieser Stelle! In der Praxis neigen auslagernde Fachbereiche zur Unterschätzung oder gar Negation von risikorelevanten Aspekten. Diese möglichen Prozessschwächen müssen durch das zentrale Auslagerungsmanagement aufgefangen werden. Das zentrale Auslagerungsmanagement ist somit je nach Art, Umfang und Komplexität eine bedeutende Komponente des Internen Kontrollsystems in einem Institut.

Die Funktion ist keine ausschließliche Dokumenten-Sammelstelle, sondern integraler Bestandteil des Auslagerungsprozesses. Selbstverständlich bietet es sich für den zentralen Auslagerungsbeauftragten an, durch die inhaltliche Einbindung einen strukturierten und reproduzierbaren Prozess (Stichwort: Erfolg muss wiederholbar sein!) im Institut mitzugestalten. Für die Risikoanalyse ist es von enormer Wichtigkeit, dass alle Prozessbeteiligten einbezogen sind, um die bestehenden Risikopotenziale zu erkennen und einschätzen zu können. Nur durch das gemeinsame Agieren von auslagernder Fachabteilung (IT-Abteilung, Organisationsabteilung usw.) und überwachendenden Einheiten (IT-Sicherheitsbeauftragte, Compliance, Risiko-Controlling) kann die Vollständigkeit sichergestellt werden. Eine lediglich „im stillen Kämmerlein“ von einer Abteilung getroffene Festlegung (z. B. allein durch eine auslagernde Fachabteilung) greift in der Praxis zu kurz. Es ist auch gerade die Aufgabe des zentralen Auslagerungsbeauftragten, den auslagernden Fachabteilungen auf die Finger zu schauen bzw. diese zu einem risikoorientiert angemessenen Verhalten zu bewegen. Mit einem reinen Abheften von Risikoanalysen ist es nicht getan! Ziel sollte es sein, als Kompetenzzentrum für Auslagerungen anerkannt zu werden. Werfen Sie also beständig ihren Hut in den Ring!

PRAXISTIPPS

  • Stellen Sie sicher, dass alle relevanten Fachabteilungen eingebunden sind.
  • Wählen Sie objektiv überprüfbare Kriterien für die Risikoanalyse von Auslagerungen.
  • Implementieren sie eine sinnvolle Bewertungssystematik.
  • Achten Sie darauf, dass die Verfahren von allen Abteilungen eingehalten werden.
  • Bitte erfragen Sie Risikoeinschätzungen kritisch (Stichwort: gesunder Menschenverstand).
  1. Disclaimer: Der Beitrag gibt die persönliche Sicht des Autors wieder und diese muss nicht zwingend mit der Deutschen Bundesbank übereinstimmen.

0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.