MaRisk – Novelle: Auslagerung von Tätigkeiten der Internen Revision – Quo vadis?

Wesentliche Veränderungen in AT 9 der MaRisk sowie deren Auswirkung auf die Auslagerung der Internen Revision

Mario Pries, Wirtschaftsprüfer, AWADO Deutsche Audit GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft

I. Einleitung / Ausgangslage

“Sehr geehrte Damen und Herren, ich freue mich, Ihnen nunmehr die finale Fassung der MaRisk vorlegen zu können.”[1] Die „Freude“ der BaFin war groß, als am 27. Oktober 2017 die Veröffentlichung der MaRisk-Novelle 2017 – vielerorts auch als MaRisk 6.0 bezeichnet – erfolgte. Seit dem Aufruf zur Konsultation („Konsultation 02/2016 – MaRisk-Novelle 2016“[2]) am 19. Februar 2016 waren bis dato rd. 20 Monate vergangen (inklusive erster Konsultationsfrist bis zum 7. April 2016 sowie deren Verlängerung bis zum 27. April 2016). Die zeitintensive Diskussion im Fachgremium MaRisk mit Praktikern, Prüfern und Verbandsvertretern hatte bei strittigen Punkten letztendlich – nach dem Dafürhalten der BaFin – zu konstruktiven und praxisorientierten Lösungen beigetragen. Insbesondere wurde gegenüber dem Konsultationsentwurf die aufsichtsrechtliche Zielrichtung stärker herausgestellt und teils „sogar“(!) die berechtigten Interessen kleinerer Institute. Die wesentlichen Änderungen gegenüber den alten MaRisk (2012) umfassen die folgenden Themenschwerpunkte: Risikodatenaggregation und Risikoberichterstattung, angemessene Risikokultur sowie Auslagerung.[3] Im Folgenden werden die wesentlichen Veränderungen im Modul AT 9 Auslagerungen der MaRisk hergeleitet bevor diese und die Auswirkungen auf die Auslagerung von Tätigkeiten der Internen Revision in den Fokus rücken.

II. Wesentliche Veränderungen im Modul AT 9 Auslagerungen (vorhanden ?) [4]

Warum wurde das Modul AT 9 der MaRisk überarbeitet? Anlass sind die Umsetzung weiterentwickelter europäischer und internationaler Vorgaben (EBA-Standards) sowie die Erfahrungen aus der Aufsichtspraxis, letztere veröffentlicht im Jahre 2013. Die Erfahrungswerte der Aufsicht stammen einerseits aus Sonderprüfungen gemäß § 44 KWG, andererseits aus Prüfungsberichten gemäß PrüfbV. Bei den herangezogenen Prüfungsberichten handelte es sich um Jahresabschlussprüfungen und Datenübersichten (Anlage 5 zu § 60 PrüfbV) großer Institute; kleine Institute, wie Sparkassen sowie Volks- und Raiffeisenbanken, wurden in dieser Analyse der Aufsicht explizit nicht berücksichtigt. Neben materiellen und formellen „handwerklichen“ Fehlern der beauftragten Wirtschaftsprüfungsgesellschaften zeigten sich im Wesentlichen folgende Beanstandungen:

  • nicht angemessene Berücksichtigung der Auslagerungen in der Geschäftsstrategie
  • zu enge Auslegung der Outsourcing-Definition
  • keine Beteiligung der Internen Revision an der Risikoanalyse
  • kein zentrales Auslagerungsmanagement
  • kein einheitlicher Turnus der Beurteilung der Auslagerungen
  • Mängel bei den Exit-Strategien, insbesondere bei den Notfallplänen

Die diesbezüglichen Änderungen im Rahmen der MaRisk-Novelle werden im Folgenden mit Blick auf die Auslagerung von Tätigkeiten der Internen Revision betrachtet.

II.1 Auslagerungen in der Geschäftsstrategie

Ausführungen zu den Anforderungen an die Strategie der Institute finden sich in AT 4.2 MaRisk. Hier lassen sich keine materiellen Veränderungen gegenüber der vorherigen Fassung der MaRisk (2012) feststellen. „Im Falle umfangreicher Auslagerungen sind auch entsprechende Ausführungen hierzu erforderlich.“[5] „Umfangreich“ umfasst dabei nicht nur die Anzahl der Auslagerungen sondern auch die Komplexität (z. B. Auslagerung der Rechenzentrumsleistungen). Somit ist in der Geschäftsstrategie auch auf realisierte und geplante Auslagerungen einzugehen, welche beispielweise auf Ertrags- und Kostenoptimierungen oder Erschließung neuer Geschäftsfelder zurückzuführen sind. Hierunter fällt auch die Auslagerung der Internen Revision.

Grundsätzlich gilt es zu unterscheiden, ob es sich um die Auslagerung von Teilbereichen (wie z. B. das Prüffeld Meldewesen oder das Prüffeld Gesamtbanksteuerung) oder der gesamten Tätigkeit der Internen Revision handelt. Insbesondere kleinere Institute haben in der Vergangenheit die Möglichkeit genutzt und die gesamte Interne Revision ausgelagert. Neben geschäftspolitischen Gründen steht die Möglichkeit der Nutzung von Expertise von außen im Vordergrund.

Neu in die MaRisk aufgenommen wurde eine Textziffer, welche die Möglichkeit der Vollauslagerung der Internen Revision erstmalig an dieser exponierten Stelle thematisiert. NUR ALS ZITAT, HIER LÖSCHEN Eine vollständige Auslagerung der Internen Revision gemäß AT 9 Tz 5 der MaRisk ist nur (noch) bei kleinen Instituten möglich, soweit die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Abs. 1 KWG nicht beeinträchtigt wird. Jedoch nur, wenn nach Art, Umfang, Komplexität und Risikogehalt der betriebenen Geschäfte – unter Berücksichtigung der Institutsgröße – dies als „angemessen“ erscheint. Soweit in Ihrem Institut also das Standardgeschäft betrieben wird, z. B. das einer Kreditgenossenschaft oder einer Sparkasse, dann kann dies nach Art, Umfang, Komplexität und Risikogehalt i. d. R. als „angemessen“ bezeichnet werden. Es stellt sich daher die entscheidende Frage, was die Aufsicht unter „kleine Institute“ subsumiert. Der Rückgriff auf standardisierte Begrifflichkeiten (z. B. systemrelevant und nicht systemrelevant) und Grenzen (z. B. bedeutende Institute {§ 17 InstitutsVergV} ab 15 Milliarden EUR Bilanzsumme) sowie anderen Festlegungen in den MaRisk (BTO 1.1 MaRisk (Erläuterungen): „klein“, wenn Kreditvolumen <= 100 Mio. EUR, nur zwei Geschäftsleiter, Kreditgeschäft einfach strukturiert) ist nicht zielführend.[6] Es bedarf hier vielmehr einer weitergehenden Einzelbetrachtung, bei der z. B. neben der Bilanzsumme auch das Geschäftsvolumen, die Anzahl der Mitarbeiter (insgesamt, aber auch der Internen Revision) als auch die Anzahl der Geschäftsstellen Berücksichtigung finden können.[7] Aber auch ein „vernünftiges“ Verhältnis zwischen Nutzen und Kosten bleibt zu berücksichtigen.[8] Hinsichtlich der Anzahl der Mitarbeiter der Internen Revision lässt sich argumentieren, dass bei einem bis maximal zwei Mitarbeiterkapazitäten eine Auslagerung Personalausfallrisiken und Abhängigkeiten sowie Schwierigkeiten bei der Aufrechterhaltung notwendigen Spezialwissens reduziert. Dies sollte nachweislich dokumentiert und regelmäßig (z. B. jährlich) bzw. anlassbezogen (z. B. Fusion) überprüft werden. Es liegt somit in Ihrer Hand mit Hilfe einer vollständigen, nachvollziehbaren und schriftlichen Dokumentation die vollständige Auslagerung der Internen Revision zu begründen. Nach meinem Dafürhalten dürfte sich bei der Mehrzahl der bisher voll auslagernden Institute (u. a. genossenschaftliche Primärstufe) kein Änderungspotenzial aus AT 9 Tz 5 der MaRisk ergeben und damit die Fortführung der bisherigen Vollauslagerungen gesichert sein.

II.2 Änderungen beim Auslagerungsvertrag sowie Outsourcing-Definition

Die Anforderungen an den Auslagerungsvertrag, soweit es sich um eine wesentliche Auslagerung handelt, wurden punktuell und klarstellend in den MaRisk angepasst. Neben dem „nun“ uneingeschränkten Informations- und Prüfungsrecht sowie den Kontrollmöglichkeiten der „zuständigen Behörden“ sind auch Regelungen zu den „sonstigen Sicherheitsanforderungen“ aufzunehmen. In den Erläuterungen findet sich in diesen Zusammenhang jedoch eine bedeutendere Änderung. Bereits in der Phase der Vertragsanbahnung hat das Institut intern festzulegen, welchen Grad einer Schlechtleistung es akzeptieren möchte und welche Konsequenzen daraus vertraglich abzuleiten sind. Hierbei stellt sich die grundsätzliche Frage, wie diese „Schlechtleistung“ bei der vollständigen bzw. teilweisen Auslagerung der Internen Revision gemessen werden kann. Die Nichterfüllung der Prüfungsplanung zum Beispiel, sei es zeitlicher, personeller und/oder sachlicher Art, kann nicht ad-hoc auf eine Schlechtleistung zurückzuführen sein, sondern auch auf die Prüfungsfeststellungen (z. B. Ausweitung der Prüfungshandlungen) oder den „Willen“ zur Zusammenarbeit der beteiligten/geprüften Bereiche (z. B. „Blockade“). Ebenso kann es nicht sinnvoll sein die Prüfungsergebnisse der externen Revision heranzuziehen und diese denen der Internen Revision gegenüber zustellen und daraus, wenn die Ergebnisse negativ abweichen, eine Schlechtleistung zu attestieren. Hier bedarf es noch ein wenig Phantasie des auslagernden Unternehmens, wie die Schlechtleistung „gemessen“ werden kann. Die zur Verfügung Stellung von Berichten des Insourcers gestaltet sich für die Dienstleistung „Interne Revision“ schwierig. Tätigkeitsberichte, Risikoberichte, Outsourcingberichte, Changemanagementberichte usw. werden in der Regel nicht vorliegen, da es sich in einer Vielzahl der Fälle um eine Wirtschaftsprüfungsgesellschaft handeln wird, die diese Tätigkeit anbietet bzw. übernimmt. Für den Nachweis der Ordnungsmäßigkeit der Tätigkeit bleibt die Teilnahmebescheinigung am „Peer Review“, welcher die Aufrechterhaltung der Prüfungstätigkeit der Wirtschaftsprüfungsgesellschaft bestätigt. Des Weiteren bedarf es einer sinnvollen Gestaltung der vertraglichen Konsequenzen bei Eintritt der definierten Schlechtleistung. Im Hinblick auf die Schwierigkeit sollten Sie „weiche“ Kriterien „harten“ vorgezogen werden. Insbesondere sollten Kündigungsrechte formuliert werden und keine Kündigungsautomatismen. Um entsprechenden Fallstricken zu entgehen empfiehlt es sich juristischen Beistand bei der Vertragsgestaltung in Anspruch zu nehmen oder auf geprüfte, standardisierte Verträge von Verbänden (z. B. BVR, DGRV, Sparkassen- und Giroverband) zurückzugreifen.

Die Definition in AT 9 Tz 1 der MaRisk, wann eine Auslagerung vorliegt, wurde um eine Selbstverständlichkeit ergänzt, welche in der Praxis Stilblüten getrieben haben muss. Ansonsten entbehrt dieser zusätzliche eingefügte Satz jeglicher Grundlage: „Zivilrechtliche Gestaltungen und Vereinbarungen können dabei das Vorliegen einer Auslagerung nicht von vornherein ausschließen.“[9] Eine vertragliche Beschränkung der Outsourcing-Definition wird nun explizit ausgeschlossen und die Eigenverantwortung des auslagernden Instituts hervorgehoben. Dies gilt auch für die Auslagerung von Tätigkeiten der Internen Revision. Wenn diese ganz oder teilweise ausgelagert wird, dann kann es sich i. d. R. nicht um einen Fremdbezug[10] oder eine Personalgestellung handeln. Auch nicht, wenn einer dieser beiden Formulierungen vertraglich festgehalten wird. Das bedeutet im Umkehrschluss auch, dass die Bank bei der Verlagerung von Tätigkeiten aus dem Unternehmen heraus in jedem Fall zu prüfen und für einen außenstehenden Dritten nachvollziehbar zu dokumentieren hat, ob eine Auslagerung (wesentlich/unwesentlich) oder ein Fremdbezug vorliegt. Die entsprechende Dokumentation erfolgt im Rahmen der durchzuführenden Risikoanalyse.

II.3 Ausgestaltung der Risikoanalyse

Zur Bestimmung der Wesentlichkeit der Auslagerung hat das Institut eine Risikoanalyse durchzuführen. Die Durchführung einer Risikoanalyse ist weiterhin durch AT 9 Tz 2 der MaRisk vorgegeben. Diese endet in der eigenverantwortlichen Festlegung der Bank, ob es sich um eine unwesentliche oder wesentliche Auslagerung handelt. Neben einer (prüferischen) Selbstverständlichkeit wurde auch die Tragweite der Auslagerung präzisiert. Einerseits sind die aufbau- und ablauforganisatorischen Grundlagen der Risikoanalyse instituts- bzw. gruppenweit in einer einheitlichen Rahmenvorgabe (hausinterne Leitlinie zur Auslagerung als Soll-Konzept) festzuhalten. Des Weiteren ist die Risikoanalyse regelmäßig (jährlich) und anlassbezogen vorzunehmen. In den Erläuterungen zu den MaRisk wurden die relevanten Aspekte der Risikoanalyse ausgeweitet und um Risikokonzentrationen sowie Risiken aus der Weiterverlagerung ergänzt. Diese sind in der durchzuführenden Risikoanalyse zu berücksichtigen, so dass eine entsprechende Dokumentation der Einbeziehung erforderlich ist. Entsprechende Vorgaben in dem genutzten Dokument zur Risikoanalyse sind diesbezüglich zu überarbeiten. Andererseits wird hervorgehoben, dass es sich bei der vollständigen oder teilweisen Auslagerung der Internen Revision um eine Auslagerung von erheblicher Tragweite handelt. Damit einhergehend ist eine intensive Prüfung im Rahmen der Risikoanalyse verbunden, ob und wie eine Einbeziehung der Auslagerung in das Risikomanagement sichergestellt werden kann. Die Bedeutung der Funktion Interne Revision wird in den neuen MaRisk (nochmals) hervorgehoben, so dass sich kaum noch eine Einstufung als „unwesentliche“ Auslagerung, geschweige denn als eine Personalgestellung, argumentativ nachvollziehbar darstellen lässt.

II.4 Auslagerungsmanagement / Beurteilung der Auslagerungen

Die Einrichtung eines Auslagerungsmanagements ist im den neu geschaffenen AT 9 Tz 12 der MaRisk festgehalten. Die Aufgaben umfassen die Einrichtung eines entsprechenden Internen Kontrollsystems, eine vollständige Dokumentation der Auslagerungen, die Unterstützung der Fachbereiche und Unterstützungsleistungen bei den Risikoanalysen. Stellt sich die Frage, in welcher organisatorischen Einheit die Abbildung erfolgen soll. Eine Berücksichtigung bei der Internen Revision kommt nicht in Betracht, da diese die „3rd-Line-of Defence“[11] für sich beansprucht und somit diese operative Tätigkeit nicht wahrnehmen kann. Je nach Umfang der Auslagerungen bietet sich die Einrichtung einer gesonderten Stabsstelle oder die Integration im Bereich Organisation an. Des Weiteren ist mind. jährlich ein Bericht über die wesentlichen Auslagerungen zu verfassen, welche die erbrachten Dienstleistungen der Auslagerungsunternehmen und deren Steuerung bewertet. Der Bericht umfasst die wesentlichen Auslagerungen und ist an die Geschäftsführung zu richten. Somit erhält die Geschäftsführung einen auf das wesentliche konzentrierten Gesamtüberblick über die Auslagerungen. In größeren Instituten der Gruppe der Volks- und Raiffeisenbanken war dieses Vorgehen bereits bisher gelebte Praxis, so dass sich die notwendigen Anpassungen auch hier in Grenzen halten. NUR ALS ZITAT, HIER LÖSCHEN Die Implementierung des zentralen Auslagerungsmanagements ersetzt jedoch nicht die Inthronisierung eines Revisionsbeauftragten, welcher die ordnungsgemäße Durchführung der Tätigkeit gewährleistet. Hier ergeben sich keine Veränderungen aus der Novelle der MaRisk, da der Revisionsbeauftragte über das notwendige Know-how zur wirksamen Kontrolle, auch schon vor der Novellierung, verfügen sollte. Das Vorhalten einer „Schattenorganisation“ wird seitens der Aufsicht hingegen nicht gefordert. [12] Dies würde auch die betriebswirtschaftlichen Vorteile einer Auslagerung unnötig konterkarieren.

II.5 Beendigung der Auslagerung

Unverändert sind für die beabsichtigte oder erwartete Beendigung einer Auslagerung Vorkehrungen zu treffen, um den Betrieb („Kontinuität“ und Qualität“) nach Beendigung zu gewährleisten. Neu ist die Erfordernis, dass die Maßnahmen zur Fortführung in der Ausstiegsstrategie je Auslagerungssachverhalt zu dokumentieren ist. Eine Ausnahme bilden verbundinterne Auslagerungen. Für diese kann nach dem Dafürhalten der Aufsicht auf die Erstellung solcher Prozesse verzichtet werden. Für die Auslagerung von Tätigkeiten der Internen Revision sollte letzteres jedoch insgesamt von weit untergeordneter Bedeutung bzw. nahezu ausgeschlossen sein (z. B. in der Gruppe der Volks- und Raiffeisenbanken). Ist in anderen Fällen die Festlegung einer Ausstiegsstrategie nicht möglich, ist eine angemessene Berücksichtigung in der Notfallplanung vorzunehmen; die globalere Betrachtung von Handlungspositionen (ohne strategische Umsetzplanung) ist ebenfalls zu berücksichtigen. Die Handlungsoptionen sind regelmäßig und anlassbezogen auf Funktionalität und Risikoangemessenheit zu überprüfen. Eine Ausstiegsstrategie im Bereich Auslagerung von Tätigkeiten der Internen Revision ist hingegen schnell parat. Weit verbreitet ist die Übernahme dieser Tätigkeiten durch Wirtschaftsprüfungsgesellschaften oder andere Dienstleister. Somit hat das beauftragende Institut die Qual der Wahl, welches Unternehmen es beauftragen will.

III. Fazit

Quo vadis? Und wieder einmal hat die Aufsicht Prüfungsfeststellungen bei großen Instituten dazu genutzt, die Anforderungen an alle Institute zu „verschärfen“. Da es sich dabei um eine Vielzahl von Klarstellungen handelt, sollte die Auswirkung auf die Praxis weitgehend händelbar sein. Hierbei bleibt jedoch die Umsetzungsfrist bis zum 31. Oktober 2018 zu berücksichtigen, soweit die Anforderungen über Klarstellungen aus der Prüferpraxis hinausgehen.

PRÜFUNGSTIPPS

  • Beachten Sie, dass eine Umsetzungsfrist bis zum 31. Oktober 2018 nur für solche Anforderungen gilt, die im MaRisk-Kontext neu sind (z. B. Auslagerungsmanagement) und es sich somit nicht lediglich um eine Klarstellung handelt (z. B. Ausgestaltung der Risikoanalyse)
  • Die Vollauslagerung der Funktion Interne Revision ist weiterhin möglich, jedoch nur bei “kleinen Instituten” (ein möglicher Maßstab: 1 bis 2 Mitarbeiterkapazitäten); ein „prüfungsaffiner“ Revisionsbeauftragter ist weiterhin erforderlich
  • Teilauslagerungen sind – unabhängig von der Größe des Instituts – weiterhin unproblematisch und von der Aufsicht auch gewünscht! (Fachexpertise)
  • Auslagerungsvertrag: Machen Sie sich frühzeitig Gedanken über die Definition „Schlechtleistung“ im Zusammenhang mit der Auslagerung der Internen Revision (Vollauslagerung / teilweise Auslagerung); ebenso über die daraus resultierenden Konsequenzen (keine „Kündigungsautomatismen“)
  • Überprüfen Sie die organisatorischen Regelungen bezgl. der anlassbezogenen und regelmäßigen Erstellung der Risikoanalyse, u. a. im Bezug zur Internen Revision
  • Neben der Überprüfung der ablauforganisatorischen Vorgaben, z. B. bei der Risikoanalyse, bedarf es auch der Festlegung des Verantwortlichen für das Auslagerungsmanagement (Aufbauorganisation), z. B. in einer neu geschaffenen Stabsstelle
  1. „MaRisk-Novelle 2017 – Veröffentlichung der Endfassung“, E-Mail: An die Verbände der Kreditwirtschaft; 27. Oktober 2017; GZ: BA 54-FR 2210-2017/0002, 2017/0212185 (MaRisk-Novelle 2017)
  2. „Konsultation 02/2016 – MaRisk-Novelle 2016“; 19. Februar 2016, geändert am 11. März 2016; GZ: BA 54-FR 2210-2016/0008
  3. Im Folgenden wird auf die Themen Risikodatenaggregation und Risikoberichterstattung sowie angemessene Risikokultur nicht weiter eingegangen.
  4. Vgl. Konschalla, Thomas: „Outsourcing: BaFin vergleicht Auslagerungen bei Instituten“ BaFin-Journal vom 1. August 2013, S. 22 – 25
  5. Erläuterungen zu AT 4.2 Absatz 1 MaRisk
  6. Im Rahmen des zur Konsultation gestellten Entwurfes fand sich in den Erläuterungen zu AT 4.3.4 Tz 1 MaRisk eine Grenze von 30 Mrd. EUR Bilanzsumme als Indikator für große Institute. In der endgültigen Fassung hingegen finden sich keine entsprechenden Vorgaben mehr.
  7. Beispielsweise werden „kleine Institute“ auch wie folgt definiert: Bilanzsumme < 500 Mio. EUR, Mitarbeiterzahl < 100, Anzahl der Vorstandsmitglieder < 3. Vgl. Haug, Matthias: „MaRisk 6.0 – Wichtigsten Änderungen im Outsourcing auf einen Blick“, Banken-Times Spezial Vorstand, Ausgabe November 2017, S. 56 ff.
  8. Vgl. Hannemann, Ralf / Schneider, Andreas / Weigl, Thomas: „Mindestanforderungen an das Risikomanagement (MaRisk)“, 4. Überarbeitete und erweiterte Auflage 2013, S. 421
  9. AT 9 Tz 1 Satz 2 MaRisk
  10. Ausnahme: Es wird eine Spezialprüfung beauftragt, die sachlich und zeitlich exakt abgegrenzt werden kann. Dann handelt es sich um einen einmaligen Fremdbezug von Leistungen und daher um keine Auslagerung. Im Falle einer Wiederholung liegt hingegen eine Auslagerung vor.
  11. „The Three Lines of Defense in Effective Risk Management and Control”, IIA (The Institute of Internal Auditors), January 2013
  12. Vgl. Haug, Matthias: „MaRisk 6.0 – Wichtigsten Änderungen im Outsourcing auf einen Blick“, Banken-Times Spezial Vorstand, Ausgabe November 2017, S. 56 ff.

Beitragsnummer: 39086


0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.