Fabian Zissel, Partner, FSA PartmbB Wirtschaftsprüfungsgesellschaft
Die Auslagerung von Dienstleistungen ist bei regulierten Instituten weit verbreitet und bietet zahlreiche Vorteile. Sie birgt jedoch auch gleichermaßen Risiken. Im Zuge von Revisionsprüfungen werden daher vermehrt Fragen zu den MaRisk-Anforderungen an Auslagerungen gestellt, um sicherzustellen, dass die Institute ihren Pflichten nachkommen und Risiken angemessen steuern.
AT 9 MaRisk legt dabei klare Anforderungen an die Auslagerung von Dienstleistungen fest, darunter die Einhaltung von Transparenz, Kontrollmöglichkeiten und Risikomanagementprozessen. Insbesondere die Identifikation und Bewertung von Risiken im Zusammenhang mit Auslagerungen sowie die Sicherstellung einer angemessenen Steuerung und Überwachung sind von großer Bedeutung.
Im Rahmen von Prüfungen des Auslagerungsmanagements werden dabei regelmäßig die folgenden Aspekte diskutiert:
Identifikation von Auslagerungen
Die Definition eines Auslagerungssachverhalts im Sinne der MaRisk lässt sich klar aus AT 9 ableiten. In der Regel sind die entsprechenden Anforderungen auch Gegenstand der schriftlich fixierten Ordnung von Instituten. Gleichzeitig verfügen regulierte Einheiten über standardisierte Templates, um das Vorliegen einer Auslagerung und deren Einstufung (nicht wesentliche bzw. wesentliche Auslagerung oder sonstiger Fremdbezug) zu bewerten und nachvollziehbar zu dokumentieren.
Gerade bei größeren Einheiten wird dem Auslagerungsprozess vorgelagert die Frage adressiert, ob sämtliche relevanten Verträge ein AT 9-Assessment durchlaufen haben. Diese Frage dient im Zuge von Prüfungen auch einer Würdigung der Vollständigkeit des Auslagerungsregisters. Institute sollten über ein Vertragsinventar verfügen, das neben den beauftragten Dienstleistern auch eine knappe Darstellung des Leistungsgegenstands umfasst. Bei dem Einsatz von Datenbank-Lösungen bietet es sich an, mithilfe eines Auslagerungs-„Flags“ zu kennzeichnen, ob es sich bei einem vorliegenden Vertrag um eine Auslagerung nach AT 9 MaRisk handelt. Im Rahmen einer Vertragsanbahnung kann auf diese Weise sichergestellt werden, dass jede Dienstleistung formell auf das Vorliegen eines Outsourcing-Tatbestands überprüft wird.
Wesentlichkeit von Auslagerungen
Ausgehend von einer Risikoanalyse ist eigenverantwortlich von einem Institut festzulegen, welche Auslagerungen von Aktivitäten und Prozessen unter Risikogesichtspunkt wesentlich sind. Dies ist auf der Grundlage interner Rahmenvorgaben sowohl regelmäßig als auch anlassbezogen durchzuführen. Bei der Ausgestaltung standardisierter Prozesse zur Überprüfung der Einstufung der Wesentlichkeit einer Auslagerung gilt es zu bedenken, dass bei ausgewählten Sachverhalten regelmäßig von wesentlichen Auslagerungen ausgegangen werden muss. Dazu zählen insbesondere:
- Interne Revision
- Risikocontrolling-Funktion
- Compliance-Funktion
- Funktion des Geldwäschebeauftragten
Die internen Vorlagen sollten insofern nicht einem starren Bewertungsscore folgen, sondern auch qualitativen Individualisierungsraum beinhalten. Eine anderweitige Einstufung ist auch mit Blick auf aufsichtliche Einwertungen und die bestehende Kommentarliteratur als schwierig zu sehen und wird im Rahmen von Prüfungen häufig moniert.
Pflichtinhalte der Auslagerungsvereinbarungen
Die MaRisk sehen konkrete Inhalte vor, die in Textform innerhalb der Auslagerungsvereinbarungen zu dokumentieren sind. Die Anforderungen aus AT 9 Tz. 7 MaRisk wurden dabei im Zuge der vergangenen Novellierungen der MaRisk stetig erweitert. Ein Blick auf das Datum der Auslagerungsvereinbarung kann dabei bereits Aufschluss über vollständige Umsetzung der geforderten Vertragsinhalte geben.
Im Fokus dieser Anforderung stehen wesentliche Auslagerungssachverhalte, bei denen die vertraglichen Vereinbarungen häufig auch die Grundlage für die laufende Überwachung sowie die Möglichkeit einer Eskalation bei Schlechtleistungen bilden. Die Auslagerungsvereinbarungen bilden somit die Voraussetzung für eine effektive Outsourcing-Überwachung und -Steuerung. Die Integration der verpflichtenden MaRisk-Anforderungen ist Aufgabe der initiierenden Fachbereiche und sollte in regelmäßigen Abständen – gerade bei vorliegenden Neufassungen der MaRisk – überprüft werden.
Überwachung wesentlicher Auslagerungen
Anknüpfend an die Vertragsinhalte wesentlicher Auslagerungen fordern die MaRisk auch eine laufende Überwachung der Leistung des Auslagerungsunternehmens anhand vorzuhaltender Kriterien (Key Performance Indicators, Key Risk Indicators). Ein formaler Aspekt, der regelmäßig in Outsourcing-Prüfungen adressiert wird, ist das Auseinanderfallen von vertraglichen Leistungszielen (AT 9 Tz. 7 lit. e) MaRisk) und festgelegten Überwachungskriterien. Die Überwachung sollte dabei auf der Vertragsgestaltung aufbauen und konsistent aus den Anforderungen an die Dienstleistungsgüte abgeleitet werden.
Die reine Überwachung der formalen Dienstleistungserbringung, etwa im Rahmen zeitlicher Vorgaben, ist regelmäßig nicht ausreichend, um die aufsichtlichen Anforderungen zu erfüllen. Vielmehr ist die erwartete Qualität der Dienstleistung in den Fokus zu stellen und durch zielgerichtete Kriterien zu überwachen.
PRAXISTIPPS
- Das Auslagerungsmanagement weist eine sehr hohe Dynamik im Bereich der aufsichtlichen Anforderungen auf – aufgrund der vielen betroffenen Organisationseinheiten in einem Institut empfiehlt sich ein breiter Know-how-Aufbau.
- Im Rahmen interner und externer Prüfungen stehen grundlegende Outsourcing-Aspekte im Fokus (Wesentlichkeit, Vertragsinhalte, Überwachung). Viele Erwartungen lassen sich antizipieren und in der Umsetzung berücksichtigen.
- Stellen Sie sicher, dass Sie über ein revisionssicher dokumentiertes Vertragsinventar verfügen, das sich zum Auslagerungsregister nach AT 9 MaRisk überleiten lässt.
- Beachten Sie Schnittstellen zu weiteren aufsichtsrechtlichen Anforderungen – gerade im Falle von IT-Auslagerungen, bei denen weitere Spezialnormen nach BAIT/ZAIT greifen.
- Die FCH-Fachtagung Auslagerungsmanagement bietet Ihnen weitere Informationsmöglichkeiten und einen Netzwerkaustausch an: https://www.fch-gruppe.de/Seminar/fch-fachtagung-auslagerungsmanagement
Beitragsnummer: 22625