Eugenie Schmidt, Wirtschaftsprüferin, Baker Tilly Financial Services
Mit der fünften MaRisk-Novelle vom 27.10.2017 wurden die bisherigen Regelungen zur vollständigen und teilweisen Auslagerung der Internen Revision auf alle besonderen Funktionen gemäß AT 4.4 ausgeweitet.
Die besonderen Funktionen im Sinne der MaRisk (AT 4.4) umfassen die Risikocontrolling-Funktion und die Compliance-Funktion sowie die Interne Revision. Diese Funktionen sollten aus Sicht der BaFin möglichst in den Instituten verbleiben. Eine vollständige Auslagerung der Risikocontrolling-Funktion sollte dabei grundsätzlich ausgeschlossen werden und ist nur unter bestimmten Voraussetzungen möglich.
Die teilweise Auslagerung, d. h. die Auslagerung einzelner Tätigkeiten und Prozesse der Kontrollfunktionen und Internen Revision sind dagegen für alle Institute weiterhin möglich.
SEMINARTIPPS
Umsetzungsprüfung neuer AT 9, 18.03.2019, Frankfurt/M.Kritische Analyse/Plausibilisierung von Dienstleister-Prüfberichten, 19.03.2019, Frankfurt/M.
PraxisFalle IT-Dienstleistungen: Sonstiger Fremdbezug vs. Auslagerung, 03.04.2019, Köln.
Risikoanalysen bei Auslagerungen, 20.05.2019, Frankfurt/M.
Voraussetzungen der Auslagerung von besonderen Funktionen
Gemäß AT 9 Tz. 2 ist nun eine vollständige Auslagerung der besonderen Funktionen Risikocontrolling-Funktion, Compliance-Funktion oder Interne Revision lediglich für Tochterinstitute innerhalb einer Institutsgruppe nur zulässig, sofern das übergeordnete Institut Auslagerungsunternehmen ist und das Tochterinstitut sowohl hinsichtlich seiner Größe, Komplexität und dem Risikogehalt der Geschäftsaktivitäten für den nationalen Finanzsektor als auch hinsichtlich seiner Bedeutung innerhalb der Gruppe als nicht wesentlich einzustufen ist.
Offizielle Grenzen zur Wesentlichkeit wurden seitens der Aufsicht nicht festgelegt. In der Praxis wird davon ausgegangen, dass Institute bei einem Umsatz von unter EUR 500 Mio. und bei maximal 50 Mitarbeitern als nicht wesentlich gelten.
Eine vollständige Auslagerung der Compliance-Funktion oder der Internen Revision ist ferner nur bei kleinen Instituten möglich, sofern deren Einrichtung vor dem Hintergrund der Institutsgröße sowie der Art, des Umfangs, der Komplexität und des Risikogehalts der betriebenen Geschäftsaktivitäten nicht angemessen erscheint.
Auswirkungen einer Auslagerung
Sind die Voraussetzungen für eine vollständige oder teilweise Auslagerung erfüllt, sind alle für das Institut relevanten Aspekte im Zusammenhang mit der Auslagerung zu berücksichtigen.
In der Risikoanalyse gemäß AT 9 Tz. 2 ist zu beurteilen, ob eine Einbeziehung der ausgelagerten Aktivitäten und Prozesse in das Risikomanagement sichergestellt werden kann. Darauf aufbauend ist die konkrete Vorgehensweise der Einbeziehung festzulegen. Die Auslagerung besonderer Funktionen ist grundsätzlich als wesentlich einzustufen. Die Risikoanalyse ist auch für gruppeninterne Auslagerungen anlassbezogen und regelmäßig durchzuführen. In der Praxis gilt ein mindestens jährlicher Überprüfungsturnus als angemessen.
Im Falle einer Vollauslagerung besonderer Funktionen ist seitens der Geschäftsleitung ein sach- und fachkundiger Beauftragter zu benennen. Dieser hat die Durchführung der Aufgaben zu überwachen und die Ordnungsmäßigkeit zu gewährleisten. Die Leistung des Dienstleisters ist dazu regelmäßig zu beurteilen. Hierzu bietet sich an, aussagekräftige und überwachbare Kennzahlen (Key Performance Indicators, KPIs) festzulegen. Bereits bei Vertragsanbahnung sind Eskalationsprozesse darüber zu bestimmen, welchen Grad einer Schlechtleistung das auslagernde Institut akzeptieren möchte.
Grundsätzlich sind bei wesentlichen Auslagerungen im Falle der beabsichtigten oder erwarteten Beendigung der Auslagerungsvereinbarung Vorkehrungen zu treffen, um die Kontinuität und Qualität der ausgelagerten Aktivitäten und Prozesse zu gewährleisten (AT 9 Tz. 6). Dies beinhaltet unter Berücksichtigung des Proportionalitätsgrundsatzes die Festlegung von Handlungsoptionen, Ausstiegsprozessen oder einer Berücksichtigung im Notfallplan. Für den Fall einer Beendigung sind die ausgelagerten Aktivitäten bzw. Prozesse aufrechtzuerhalten oder das Institut soll in der Lage sein, diese „in angemessener Zeit“ wieder herstellen zu können. Für gruppeninterne Auslagerungen werden Erleichterungen eingeräumt.
Für die Auslagerung der Internen Revision definieren die MaRisk (Erläuterungen zu AT 9 Tz. 10) die Aufgaben des Beauftragten.
PRAXISTIPPS
- Auch bei der Auslagerung der besonderen Funktionen gilt der Proportionalitäts-grundsatz.
- Dabei ist es essenziell die Art, den Umfang, Komplexität und Risikogehalt der betriebenen Geschäftsaktivitäten sowie die Bedeutung der auszulagernden Funktionen zu beurteilen und umfassend zu dokumentieren.
- Hierfür ist die Dokumentation im Rahmen der Risikoanalyse, als integralen Bestandteil des Auslagerungsprozesses, geeignet.
- Ausgehend von der Risikoanalyse ist die Überwachung des Auslagerungsunternehmens zu konzipieren.
Beitragsnummer: 1010