Lukas Walla, Berater, FCH Consult GmbH
An die Steuerung von Auslagerungen sowie sonstigen Fremdbezügen wurden mit der MaRisk-Novelle 2017 weitergehende Anforderungen formuliert. Diese waren nun bis spätestens 31.10.2018 umzusetzen, ohne dass offiziell kommuniziert wurde, bei welchen Anforderungen es sich um tatsächliche Neuerungen handelt. Als solche ist sicherlich das zentrale Auslagerungsmanagement zu bewerten, welches Prozesse implementieren und überwachen soll, um eine angemessene und wirksame Dienstleistersteuerung zu garantieren.
Dabei waren insbesondere in der Vergangenheit Weiterverlagerungen für viele Institute eine Blackbox und wurden nur unzureichend gesteuert. Dies wurde ebenfalls in diversen Sonderprüfungen der BaFin festgestellt, was nun aktuell zu einer verstärkten Prüfung der Dienstleistersteuerung und neuen Vorgaben z. B. durch EBA führt. Die Interne Revision sollte dieses Problemfeld in den anstehenden Prüfungen der Dienstleistersteuerung intensiv beleuchten.
Vertragliche Gestaltungsmöglichkeiten
Bei einer Weiterverlagerung handelt es sich um eine Weitergabe von ausgelagerten Prozessen durch den Dienstleister an einen Sub-Dienstleister. Gem. AT 9 Tz. 8 MaRisk sind hier konkrete Voraussetzungen zu formulieren, wann eine Weiterverlagerung von (Teil-)Prozessen gestattet wird. Im Idealfall wird ein Zustimmungsvorbehalt vereinbart, der jedoch in der Praxis nicht immer durchzusetzen ist. Alternativ können vertraglich bereits Prämissen vereinbart werden, unter welchen eine Weiterverlagerung aus Risikogesichtspunkten gestattet wird. Insbesondere die Weiterverlagerung ohne Zustimmungsvorbehalt in ein Nicht-EU Land sollte vermieden werden. Weiterhin kann beispielsweise die Weitervergabe bestimmter Prozessschritte ausgeschlossen oder explizit gestattet werden. Grundsätzlich ist zu vereinbaren, dass die Pflichten des Auslagerungsunternehmens auf den Sub-Dienstleister übergehen. Das Institut ist hier nicht mehr Vertragspartner und verliert somit auch ggf. die direkten Durchgriffsrechte. Eine Informationspflicht vor Weiterverlagerung ist in jedem Fall verpflichtend und unbedingt notwendig, um die Risikosituation neu einschätzen zu können. Für eine funktionierende Informationsweitergabe durch den Dienstleister sollte die Begrifflichkeit „Auslagerung“ möglichst vermieden werden und auf Vertragspartner abgestellt werden. Somit kann die Vollständigkeit und die letztendliche Beurteilung, ob eine risikobehaftete Weiterverlagerung stattgefunden hat, beim Institut bleiben.
Konsequente Steuerung von Weiterverlagerungen
Nach Bekanntwerden der Weiterverlagerung ist durch das Institut eine neue Risikoanalyse für den Sub-Dienstleister zu erstellen. Denkbar ist ebenfalls eine Aktualisierung der ursprünglichen Risikoanalyse, was jedoch dazu führt, dass die erste und somit auch umfassende Risikoanalyse anzupassen ist. Ebenso wird bei einer Weiterverlagerungskette die Übersichtlichkeit verloren gehen. Die Erstellung einer eigenständigen Risikoanalyse nach der institutsweiten einheitlichen Methodik erlaubt eine nachvollziehbare Einstufung der Wesentlichkeit für die weitergegebenen Prozessschritte.
SEMINARTIPPS
Umsetzungsprüfung neuer AT 9, 18.03.2019, Frankfurt/M.
Kritische Analyse/Plausibilisierung von Dienstleister-Prüfberichten, 19.03.2019, Frankfurt/M.
PraxisFalle IT-Dienstleistungen: Sonstiger Fremdbezug vs. Auslagerung, 03.04.2019, Köln.
Risikoanalysen bei Auslagerungen, 20.05.2019, Frankfurt/M.
Kontrollen in der regulatorisch neugeordneten Dienstleistersteuerung, 21.05.2019, Frankfurt/M.
Je nach festgestelltem Risiko sind die weiterverlagerten Prozesse zu steuern und zu kontrollieren. Dabei verbleibt die Berichtspflicht für die Sub-Dienstleister beim Auslagerungsunternehmen. Beim Reporting durch das Auslagerungsunternehmen ist darauf zu achten, dass das auslagernde Institut jederzeit in der Lage ist, selbst die Risikosituation einzuschätzen. Der Umfang ergibt sich hierbei aus der in der Risikoanalyse festgestellten Risiken und dem Schadenspotenzial.
Die Weiterverlagerungsketten sind letztlich übersichtlich im Auslagerungsregister zu dokumentieren und potenzielle Risikokonzentrationen sind zu bewerten.
Ausblick
Die EBA Guidelines on Outsourcing Arrangements werden weitere (neue) Anforderungen und Konkretisierungen mit sich bringen. Mit der Veröffentlichung der finalen Guidelines ist voraussichtlich Anfang 2019 zu rechnen. Die Neuerungen sollten möglichst schnell analysiert werden, um z. B. bei den aktuellen Vertragsanpassungen bereits die weitergehenden Anforderungen zu berücksichtigen zu können.
PRAXISTIPPS
- Verschaffen Sie sich einen Überblick über sämtliche Weiterverlagerungen. Verfolgen Sie die Weiterverlagerungskette risikoorientiert weiter, mindestens jedoch bis zu 3. Ebene.
- Erstellen Sie für die Weiterverlagerung eigene Risikoanalysen und implementieren Sie angemessene Kontrollprozesse.
- Kontrollieren Sie die Auslagerungsverträge auf entsprechende passende Klauseln.
- Beschränken Sie sich im Vertragswerk nicht auf die Begrifflichkeit „Auslagerung“.
- Die Interne Revision sollte die Steuerung von Weiterverlagerungen mit besonderem Fokus prüfen.
- Erstellen Sie ein umfangreiches Auslagerungsregister, welches bereits die Anforderungen der EBA Guideline berücksichtigt.
Beitragsnummer: 1014