Mittwoch, 5. Oktober 2022

Ist die Auslagerung von Compliance-Funktionen noch zeitgemäß?

Insbesondere kleine Institute befinden sich mittlerweile in einem Spannungsfeld zwischen stetig steigenden Compliance- aber auch Auslagerungsvorgaben

Sandra Leicht, Vorstand FCH Gruppe AG 

 

Nach wie vor nutzen zahlreiche kleine und mittelgroße Institute die Möglichkeit, eine oder mehrere Compliance-Funktionen auszulagern. Die Gründe dafür sind vielfältig und reichen von absolut sinnvollen Erwägungen bis hin zu einer aus den Augen aus dem Sinn-Mentalität. Die stetig steigenden Vorgaben aus den MaRisk AT 9 stehen einigen der Auslagerungsvorzüge mittlerweile deutlich entgegen– eine kritische Betrachtung.

 

Auslagerung von Compliance-Funktionen 

Zunächst einmal noch sind alle der klassischen internen Compliance-Funktionen mit mehr oder weniger hohen Hürden auslagerbar. 

Bei den klassischen internen Funktionen sprechen wir von 

  • MaRisk-Compliance 
  • WpHG-Compliance 
  • Geldwäscheprävention/Zentrale Stelle 
  • Datenschutz 
  • Informationssicherheit 

Warum mit mehr oder weniger hohen Hürden? Weil sich bei den Vorgaben bereits Einschränkungen abzeichnen. Im Bereich der Informationssicherheit schnürt die BAIT einen deutlich engeren Rahmen, in dem wir uns mit Auslagerungsmöglichkeiten bewegen können (Funktion grundsätzlich vor Ort vorzuhalten). 

Im Bereich der Geldwäscheprävention/Zentralen Stelle wird bereits gemunkelt, durch eine neue europäische Behörde könnten die Anforderungen ebenfalls angehoben werden. In diesen Bereichen sowie auch im Bereich MaRisk-Compliance und WpHG-Compliance sprechen wir bereits von einer wesentlichen Auslagerung nach MaRisk AT 9 und zwar unabhängig davon, ob lediglich eine oder mehrere der Funktionen ausgelagert werden. 

Entspannter wird in den Instituten noch die Auslagerung des Datenschutzes gehandhabt, hier wird häufig eine wesentliche Auslagerung verneint, was die Kontrolltätigkeit der Auslagerung zumindest vereinfacht. 

Mit Blick auf diese Vorgaben und die mögliche perspektivische Entwicklung müssen sich Fachverantwortlicher und Vorstand fragen, ob eine Auslagerung Sinn macht und wenn in welchem Umfang.

 

Mögliche Vorteile der Auslagerung oder: sind die Beweggründe die richtigen? 

Dabei kann die Auslagerung einer oder mehrerer Compliance-Funktionen durchaus Sinn machen. 

Das gilt insbesondere für Institute, die am Markt zwecks regionaler Lage oder aufgrund der geringen Größe (nur anteilige Mitarbeiterkapazität für Compliance) keine Beauftragten mit entsprechender Sachkunde finden. Sinn macht eine Auslagerung auch dann, wenn die Anzahl der Mitarbeiter die notwendige Trennung der einzelnen Funktionen (DS und GW) nicht mehr gewährleisten kann. Eine Auslagerung in Teilen kann außerdem bei unvorhergesehenen Mitarbeiterengpässen sinnvoll sein. 

Vorsicht, die Auslagerung ist für kleine und mittelgroße Institute gedacht. Ab einer bestimmten Größe (?) muss das Haus sich die Frage gefallen lassen, warum man nicht in der Lage ist, die Funktionen intern abzudecken – und in diesem Fall zumindest häufig nicht ganz zu unrecht. 

Konkrete mögliche Vorteile einer Auslagerung: 

  • Externes Know-how 
  • „Vollzeitbeauftragter“, wenn auch nicht in einem Haus 
  • Blick auf unterschiedliche Häuser 
  • Sicherstellen der Sachkunde 

Beachtet werden sollte, dass die Auslagerung das Institut, insbesondere den Geschäftsführer/Vorstand nicht von der Gesamtverantwortung entbindet und kein Kostensparmodell darstellt. 

Eine Auslagerung sollte immer kostengünstiger als die interne Lösung sein, bindet aber zusätzliche interne Kapazitäten im Bereich einer Verbindungsperson sowie der Auslagerungskontrolle. 

 

Mögliche Nachteile der Auslagerung 

Eine Auslagerung hat aber – zunächst unabhängig von den intern durchzuführenden Kontrollen – auch mögliche Nachteile. 

Konkrete mögliche Nachteile einer Auslagerung: 

  • Häufig wechselnde Beauftragte, wenig Kontinuität 
  • Abhängigkeit von den Personalentscheidungen des Anbieters 
  • Kein umfassender Überblick, fehlendes Know-how im Institut 
  • Weniger institutsinternes Wissen als bei einem internen Mitarbeiter 
  • Zusatzkosten durch eine Verbindungsperson 

Beachtet werden sollte, dass die Zufriedenheit häufig mit der einen tatsächlich agierenden Person steht und fällt. 

Ein noch recht neuer möglicher Nachteil ist der deutlich gestiegene Kontrollaufwand der Auslagerung. Insbesondere im Bereich der wesentlichen Auslagerung sollten akribisch die zugrunde liegenden Verträge sowie ggf. notwendige aufsichtsrechtlich veranlasste Vertragsanapassungen kontrolliert werden. Außerdem das Sichten, Erfassen und Bewerten der „üblichen“ Unterlagen wie Revisionsbericht, Risikoberichte, Notfallhandbuch, Datenschutzvorgaben, PS 951… Dieser Kontrollaufwand wirkt sich durch die steigenden Mitarbeiterkapazitäten direkt negativ auf die Gesamtkosten aus. 

Durch die Anforderungen erhöhen sich die Kosten sogar häufig direkt doppelt, da der Anbieter Zusatzkosten für Prüfbescheinigungen perspektivisch auf die Kunden umlegt. 

Mit Blick auf die teilweise nicht trivialen möglichen Fallstricke und Kosten sollte eine Auslagerung möglicherweise noch kritischer als üblich bewertet werden. 

 

Suchen passgenauer Lösungen 

Das waren jetzt einige durchaus kritisch zu sehende Punkte, aber nicht immer ist die reine Inhouse-Lösung die bessere Variante. Wichtig ist, den Einzelfall zu betrachten. Aus welchen konkreten Gründen soll ausgelagert werden? Welche Bereiche sind betroffen? Und wie immer sind die Alternativen zu bewerten. Mittlerweile hat sich am Markt beispielsweise die sogenannte „Gremiumslösung“ etabliert, bei der von einer Auslagerung abgesehen wird, die institutsinternen Beauftragten aber die Möglichkeit haben, sich dauerhaft von einem externen Beauftragten unterstützen zu lassen und somit einige der Auslagerungsvorteile zu nutzen, ohne die Nachteile in Kauf nehmen zu müssen. Denn wie immer reagiert der Markt auf neue aufsichtliche Herausforderungen mit Lösungen. 

Für Fragen oder bei Abstimmungsbedarf zum Thema Compliance: Sandra.Leicht@FCH-Gruppe.de 


PRAXISTIPPS

  • Bewerten Sie Auslagerungen immer kritisch. 
  • Betrachten Sie objektiv, aus welchen Gründen ausgelagert werden soll. 
  • Prüfen Sie alternative Möglichkeiten am Markt. 
  • Stellen Sie sicher, dass für Sie passgenaue Compliance-Modell umzusetzen, beispielsweise durch die neue Gremiumslösung.

 


Beitragsnummer: 21799

Beitrag teilen:

Beiträge zum Thema:

Beitragsicon
Das Auslagerungsmanagement als Prüfungsobjekt

Die Auslagerung von Dienstleistungen ist bei regulierten Instituten weit verbreitet und bietet zahlreiche Vorteile. Sie birgt jedoch auch Risiken

03.06.2024

Beitragsicon
Cybersicherheit im Fokus: DORA und BCM als Säulen der Resilienz

In einer Welt, die zunehmend von digitalen Technologien geprägt ist, rücken Cybersicherheit und Resilienz immer stärker in den Mittelpunkt der strategischen U

02.05.2024

Beitragsicon
Datenschutzprüfungen effizient vorbereiten

Bestellungspflicht von Datenschutzbeauftragten, Künstliche Intelligenz und zunehmende Prüfungen der Umsetzung datenschutzrechtlicher Anforderungen.

08.04.2024

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.