Montag, 3. Juni 2024

Das Auslagerungsmanagement als Prüfungsobjekt

Häufige Fallstricke bei der Umsetzung von AT 9 MaRisk

Fabian Zissel, Partner, FSA PartmbB Wirtschaftsprüfungsgesellschaft

 

Die Auslagerung von Dienstleistungen ist bei regulierten Instituten weit verbreitet und bietet zahlreiche Vorteile. Sie birgt jedoch auch gleichermaßen Risiken. Im Zuge von Revisionsprüfungen werden daher vermehrt Fragen zu den MaRisk-Anforderungen an Auslagerungen gestellt, um sicherzustellen, dass die Institute ihren Pflichten nachkommen und Risiken angemessen steuern.

AT 9 MaRisk legt dabei klare Anforderungen an die Auslagerung von Dienstleistungen fest, darunter die Einhaltung von Transparenz, Kontrollmöglichkeiten und Risikomanagementprozessen. Insbesondere die Identifikation und Bewertung von Risiken im Zusammenhang mit Auslagerungen sowie die Sicherstellung einer angemessenen Steuerung und Überwachung sind von großer Bedeutung.

Im Rahmen von Prüfungen des Auslagerungsmanagements werden dabei regelmäßig die folgenden Aspekte diskutiert:

 

Identifikation von Auslagerungen

Die Definition eines Auslagerungssachverhalts im Sinne der MaRisk lässt sich klar aus AT 9 ableiten. In der Regel sind die entsprechenden Anforderungen auch Gegenstand der schriftlich fixierten Ordnung von Instituten. Gleichzeitig verfügen regulierte Einheiten über standardisierte Templates, um das Vorliegen einer Auslagerung und deren Einstufung (nicht wesentliche bzw. wesentliche Auslagerung oder sonstiger Fremdbezug) zu bewerten und nachvollziehbar zu dokumentieren.

Gerade bei größeren Einheiten wird dem Auslagerungsprozess vorgelagert die Frage adressiert, ob sämtliche relevanten Verträge ein AT 9-Assessment durchlaufen haben. Diese Frage dient im Zuge von Prüfungen auch einer Würdigung der Vollständigkeit des Auslagerungsregisters. Institute sollten über ein Vertragsinventar verfügen, das neben den beauftragten Dienstleistern auch eine knappe Darstellung des Leistungsgegenstands umfasst. Bei dem Einsatz von Datenbank-Lösungen bietet es sich an, mithilfe eines Auslagerungs-„Flags“ zu kennzeichnen, ob es sich bei einem vorliegenden Vertrag um eine Auslagerung nach AT 9 MaRisk handelt. Im Rahmen einer Vertragsanbahnung kann auf diese Weise sichergestellt werden, dass jede Dienstleistung formell auf das Vorliegen eines Outsourcing-Tatbestands überprüft wird.

 

Wesentlichkeit von Auslagerungen

Ausgehend von einer Risikoanalyse ist eigenverantwortlich von einem Institut festzulegen, welche Auslagerungen von Aktivitäten und Prozessen unter Risikogesichtspunkt wesentlich sind. Dies ist auf der Grundlage interner Rahmenvorgaben sowohl regelmäßig als auch anlassbezogen durchzuführen. Bei der Ausgestaltung standardisierter Prozesse zur Überprüfung der Einstufung der Wesentlichkeit einer Auslagerung gilt es zu bedenken, dass bei ausgewählten Sachverhalten regelmäßig von wesentlichen Auslagerungen ausgegangen werden muss. Dazu zählen insbesondere:

  • Interne Revision
  • Risikocontrolling-Funktion
  • Compliance-Funktion
  • Funktion des Geldwäschebeauftragten

Die internen Vorlagen sollten insofern nicht einem starren Bewertungsscore folgen, sondern auch qualitativen Individualisierungsraum beinhalten. Eine anderweitige Einstufung ist auch mit Blick auf aufsichtliche Einwertungen und die bestehende Kommentarliteratur als schwierig zu sehen und wird im Rahmen von Prüfungen häufig moniert.

 

Pflichtinhalte der Auslagerungsvereinbarungen

Die MaRisk sehen konkrete Inhalte vor, die in Textform innerhalb der Auslagerungsvereinbarungen zu dokumentieren sind. Die Anforderungen aus AT 9 Tz. 7 MaRisk wurden dabei im Zuge der vergangenen Novellierungen der MaRisk stetig erweitert. Ein Blick auf das Datum der Auslagerungsvereinbarung kann dabei bereits Aufschluss über vollständige Umsetzung der geforderten Vertragsinhalte geben.

Im Fokus dieser Anforderung stehen wesentliche Auslagerungssachverhalte, bei denen die vertraglichen Vereinbarungen häufig auch die Grundlage für die laufende Überwachung sowie die Möglichkeit einer Eskalation bei Schlechtleistungen bilden. Die Auslagerungsvereinbarungen bilden somit die Voraussetzung für eine effektive Outsourcing-Überwachung und -Steuerung. Die Integration der verpflichtenden MaRisk-Anforderungen ist Aufgabe der initiierenden Fachbereiche und sollte in regelmäßigen Abständen – gerade bei vorliegenden Neufassungen der MaRisk – überprüft werden.  

 

Überwachung wesentlicher Auslagerungen

Anknüpfend an die Vertragsinhalte wesentlicher Auslagerungen fordern die MaRisk auch eine laufende Überwachung der Leistung des Auslagerungsunternehmens anhand vorzuhaltender Kriterien (Key Performance Indicators, Key Risk Indicators). Ein formaler Aspekt, der regelmäßig in Outsourcing-Prüfungen adressiert wird, ist das Auseinanderfallen von vertraglichen Leistungszielen (AT 9 Tz. 7 lit. e) MaRisk) und festgelegten Überwachungskriterien. Die Überwachung sollte dabei auf der Vertragsgestaltung aufbauen und konsistent aus den Anforderungen an die Dienstleistungsgüte abgeleitet werden.

Die reine Überwachung der formalen Dienstleistungserbringung, etwa im Rahmen zeitlicher Vorgaben, ist regelmäßig nicht ausreichend, um die aufsichtlichen Anforderungen zu erfüllen. Vielmehr ist die erwartete Qualität der Dienstleistung in den Fokus zu stellen und durch zielgerichtete Kriterien zu überwachen.

 

PRAXISTIPPS

  • Das Auslagerungsmanagement weist eine sehr hohe Dynamik im Bereich der aufsichtlichen Anforderungen auf – aufgrund der vielen betroffenen Organisationseinheiten in einem Institut empfiehlt sich ein breiter Know-how-Aufbau.
  • Im Rahmen interner und externer Prüfungen stehen grundlegende Outsourcing-Aspekte im Fokus (Wesentlichkeit, Vertragsinhalte, Überwachung). Viele Erwartungen lassen sich antizipieren und in der Umsetzung berücksichtigen.
  • Stellen Sie sicher, dass Sie über ein revisionssicher dokumentiertes Vertragsinventar verfügen, das sich zum Auslagerungsregister nach AT 9 MaRisk überleiten lässt.
  • Beachten Sie Schnittstellen zu weiteren aufsichtsrechtlichen Anforderungen – gerade im Falle von IT-Auslagerungen, bei denen weitere Spezialnormen nach BAIT/ZAIT greifen.
  • Die FCH-Fachtagung Auslagerungsmanagement bietet Ihnen weitere Informationsmöglichkeiten und einen Netzwerkaustausch an: https://www.fch-gruppe.de/Seminar/fch-fachtagung-auslagerungsmanagement

 


Beitragsnummer: 22625

Beitrag teilen:

Produkte zum Thema:

Produkticon
Readiness-Check Ihres Auslagerungsmanagements
Produkticon
Readiness-Check DORA
Produkticon
FCH-Fachtagung: Auslagerungsmanagement

1.500,00 € exkl. 19 %

14.10.2024 - 15.10.2024

Beiträge zum Thema:

Beitragsicon
MaRisk: Fragen zu gehebelten Transaktionen

Ein größeres Thema der 7. Novelle ( MaRisk 2023)ist die Einführung der Regulierung der gehebelten Transaktionen auch für kleinere Banken.

28.06.2024

Beitragsicon
Effiziente Begleitung von Fusionsprojekten durch die Interne Revision

Ein Fusionsprojekt ist als wesentliches Projekt angemessen revisions-seitig zu begleiten. Dies ist in BT 2.1, Tz. 2 MaRisk aufsichtsrechtlich gefordert, sollt

03.06.2024

Beitragsicon
Machen statt warten! – Sind Banken heute schon startklar für DORA?

Im Beitrag geht es um DORA-Anforderungen & reguläre IKT-Risikomanagementrahmenwerk (RMF), deren RTS größere Prozess-Auswirkungen in Instituten haben können.

13.05.2024

Beitragsicon
Cyber-Risk – Herausforderungen für Kreditinstitute

Das Thema „Cyber-Crime“ gehört zu den Aufsichtsprioritäten und erhält durch DORA einen neuen Regelungsrahmen. Für einen angemessenen Umgang ist ein grundlegen

14.05.2024

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.