Jan Meyer im Hagen, Geschäftsführer, Finanz Colloquium Heidelberg GmbH
BT 2.1 der MaRisk regelt die Aufgaben der Internen Revision in einem Kreditinstitut. Die MaRisk-Novelle 2021 hatte die Umsetzung der EBA-Guideline on Outsourcing zum Schwerpunkt und daher ergaben sich auch in dem MaRisk-Abschnitt einige Klarstellungen. Der folgende Beitrag beleuchtet die immer wieder auftretende Frage nach dem erforderlichen Umfang der Prüfungshandlungen bei Auslagerungen.
Prüfungsumfang: Alle Aktivitäten und Prozesse
Lt. MaRisk hat die Interne Revision alle Aktivitäten und Prozesse des Instituts, auch wenn diese ausgelagert sind, in angemessenen Abständen, grundsätzlich innerhalb von drei Jahren, zu prüfen. Die Einstufung der Wesentlichkeit einer Auslagerung ändert nichts an dieser Verpflichtung. Insofern ist es nur folgerichtig, dass im Rahmen der MaRisk-Novelle in BT 2.1 Tz. 3 MaRisk das Wort „wesentlich“ gestrichen wurde. In diesem Abschnitt der MaRisk wird die Möglichkeit des Verzichts auf eigene Prüfungshandlungen eröffnet. Diese Möglichkeit besteht für alle Auslagerungen und ist an die wirksame Durchführung von Prüfungshandlungen durch andere Stellen, wie z. B. die Interne Revision des Dienstleisters, geknüpft. Das bedeutet, dass eine anderweitige Revisionsfunktion, die den Ansprüchen der MaRisk genügt, den Auslagerungssachverhalt prüfen muss, sofern die Interne Revision des auslagernden Instituts nicht selbst prüft. In diesem Fall hat sich die Interne Revision des auslagernden Instituts aber jährlich und anlassbezogen von dieser Angemessenheit und Wirksamkeit der anderweitigen Revisionsfunktion zu überzeugen. Das kann durch die Vorlage von WP-Testaten, Berichten über Quality-Assessments nach DIIR-Standard bzw. IDW PS 983 sowie durch eigene Prüfungshandlungen hinsichtlich der Angemessenheit und Funktionsfähigkeit der Revisionsfunktion erfolgen.
In der Praxis wurde immer wieder die Auffassung vertreten, dass sich die regelmäßige Prüfung nur auf wesentliche Auslagerungen zu erstrecken hätte. Daher wurde dann aufgrund der Streichung des Wortes „wesentlich“ hinterfragt, ob der Umfang der Prüfungen jetzt nicht deutlich steigen würde. Dabei stellt sich nicht die Frage des ob, sondern des was bzw. wie. Ein wichtiger Grundsatz der Internen Revision ist dabei die Risikoorientierung. Das bedeutet bei unwesentlichen Auslagerungen konkret, dass eine Prüfung natürlich nicht zwingend jährlich durchzuführen ist. Unwesentliche Auslagerungen werden in der Praxis häufig im Rahmen der mehrjährigen Prüfung des entsprechenden Prozesses mit einbezogen.
Neue Erleichterung bei eigenen Prüfungshandlungen: Rückgriff auf Nachweise/Zertifikate auf Basis gängiger Standards
Dieselbe MaRisk-Textziffer hält noch eine weitere Neuerung bereit: Die Möglichkeit des Rückgriffs auf Nachweise/Zertifikate auf Basis gängiger Standards. Das sind insbesondere Zertifikate nach ISO 27000x zur Informationssicherheit oder ein Prüfungsbericht über die Prüfung des dienstleistungsbezogenen Internen Kontrollsystems nach IDW PS 951 Typ 2 oder ISAE 3402 Typ 2.
An dieser Stelle sei aber klargestellt, dass sich dieser Passus der MaRisk nicht auf die oben dargestellte Überprüfung der Funktion der anderweitig durchgeführten Internen Revision bezieht, sondern auf den Fall, in dem die Prüfungshandlungen bei Auslagerungen selbst durchgeführt werden.
Damit eigene Prüfungshandlungen durch externe Nachweise/Zertifikate ersetzt bzw. reduziert werden können, müssen die folgenden Punkte berücksichtigt werden:
- Deckt das Zertifikat auch die lt. Auslagerungsvertrag ausgelagerte Leistung ausreichend ab?
- Decken die geprüften Kontrollziele die relevanten aufsichtsrechtlichen Verpflichtungen und die wesentlichen Risiken ab?
- Ermöglicht der Nachweis/das Zertifikat eine Beurteilung der Leistungserbringung?
- Erfolgt eine Beurteilung der übergreifenden Sicherungsmaßnahmen Informationssicherheit, Datenschutz und Notfallmanagement?
Darüber hinaus können die Aussagen der externen Nachweise mit anderen Quellen, z. B. Kenntnissen über Schadenfälle und Leistungsstörungen, abgeglichen und auf diese Art und Weise validiert werden.
In der Praxis zeigt sich, dass die wenigsten Zertifikate die vorgenannten Punkte vollständig und nachvollziehbar erfüllen. Daher hat deren Einsatz zum Ersatz eigener Prüfungshandlungen enge Grenzen. Klarstellend hat die BaFin daher definiert, dass sich die Interne Revision bei wesentlichen Auslagerungen nicht allein darauf stützen darf.
Am 25.01.2022 wurde diese Thematik ausführlich im Rahmen unseres Online-Seminars PraxisDigital „Auslagerungsprüfung aktuell: Beurteilung der Dienstleister-Revision“ thematisiert und mit vielen Praxishinweisen unterlegt.
Als Nutzer unserer Regulatorik-Streaming-Plattform FCH BankFlix haben Sie – auch unabhängig von festen Seminarterminen – die Gelegenheit, die Aufzeichnung dieses Seminars 24/7 ganz bequem anzusehen.
PRAXISTIPPS
- Achten Sie bei jeder Prozessprüfung darauf, ob der Prozess Auslagerungssachverhalte enthält.
- Wenn Sie eigene Prüfungshandlungen durch externe Zertifikate ersetzen möchten, benötigen Sie in jedem Fall detaillierte Informationen, um den Umfang und die Tiefe der von externer Seite durchgeführten Prüfungshandlungen beurteilen zu können.
- Dokumentieren Sie Ihre Beurteilung sowie die Festlegung ergänzender Prüfungshandlungen nachvollziehbar.
- Bei wesentlichen Auslagerungen sind stets (ergänzend) eigene Prüfungshandlungen erforderlich.
Beitragsnummer: 20578