Freitag, 15. Juni 2018

Interne Prüfung von Auslagerungsprozessen

Thomas Maurer, Leiter Revision, Münchner Bank eG

Die Neufassung der MaRisk im Oktober 2017 hat im Bereich der Auslagerungen im AT 9 eine deutliche Erweiterung und Verschärfung erfahren. Vor diesem Hintergrund sind alle Institute gehalten, ihre bisherige Praxis beim Umgang mit Auslagerungen auf den Prüfstand zu stellen und den neuen MaRisk-Anforderungen anzupassen. Die Frist für die Umsetzung von Neuerungen läuft zum 31.10.2018 ab. Somit ist auch die Interne Revision gefordert, eine entsprechende Umsetzungsprüfung möglichst noch vor Ablauf der Umsetzungsfrist durchzuführen, damit eventuelle Mängel noch rechtzeitig behoben werden können.

Grundsätzlich liegt nach MaRisk eine Auslagerung vor, wenn ein anderes Unternehmen mit der Wahrnehmung von Aktivitäten und Prozessen in Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen und sonstigen institutstypischen Leistungen beauftragt wird, die ansonsten vom Institut selbst erbracht würden. Davon abzugrenzen ist der sonstige Fremdbezug von Leistungen. Dieser kommt dann in Betracht, wenn es sich nicht um eine der vorgenannten Aktivitäten handelt oder der Bezug nur isoliert oder einmalig erfolgt. Aus Prüfungssicht ist es wichtig, dass im Institut klare Definitionen festgelegt sind, was eine Auslagerung ist und was als sonstiger Fremdbezug eingestuft werden kann. Die entsprechende Einordung ist nachvollziehbar zu begründen. Durch die Neufassung der MaRisk rückt auch der Einsatz von Software ins Zentrum der Diskussionen. Grundsätzlich gelten der isolierte Bezug von Software sowie die damit zusammenhängenden Unterstützungsleistungen als sonstiger Fremdbezug von Leistungen. Unterstützungsleistungen sind beispielsweise die Anpassung der Software, das Test- und Freigabeverfahren, die Implementierung beim Ersteinsatz oder die Wartung. Sofern die Software aber zur Identifizierung, Steuerung und Beurteilung von Risiken eingesetzt wird oder für die Durchführung der bankgeschäftlichen Aufgaben von wesentlicher Bedeutung ist, dann sind diese Unterstützungsleistungen als Auslagerung einzustufen. Der reine Bezug ohne diese Unterstützungsleistungen hingegen ist auch bei Software aus dem Risikomanagement „nur“ als Fremdbezug zu klassifizieren. Allein diese Darstellung zeigt, dass das Diskussionspotenzial an dieser Stelle enorm ist. Somit sollten die Banken zeitnah beginnen, für das Haus eine klare Abgrenzung der Begrifflichkeiten festzulegen und insbesondere die komplette Software-Landkarte auf mögliche Auslagerungstatbestände hin überprüfen. Es ist zu erwarten, dass die eine oder andere Software, die in der Unternehmenssteuerung eingesetzt wird, künftig als Auslagerung zu sehen und entsprechend zu behandeln ist. Der nächste wichtige Schritt im Rahmen einer Prüfung der Auslagerungsprozesse ist die Abgrenzung zwischen wesentlichen und unwesentlichen Auslagerungen. Die besonderen Anforderungen der MaRisk im AT 9 Tz. 6 ff. gelten nur für wesentliche Auslagerungen. Dies bedeutet, dass für alle Auslagerungen eine Risikoanalyse durchzuführen ist, auf der diese Einschätzung basiert. Auf Grund der vielfältigen Neuerungen empfiehlt es sich, alle Auslagerungen diesbezüglich nochmals zu prüfen und die Risikoanalyse zu aktualisieren. Bei wesentlichen Auslagerungen muss die Risikoanalyse jährlich durchgeführt werden, bei unwesentlichen ist ein Dreijahresturnus ausreichend.

SEMINARTIPPS

Neue Pflichten für Dienstleister-Steuerung, 14.11.2018, Frankfurt/M.

Auslagerungsverträge auf dem Prüfstand, 15.11.2018, Frankfurt/M.

Prüfung Auslagerungsprozesse, 22.11.2018, Köln.

Grundsätzlich sind alle Aktivitäten und Prozesse auslagerbar. Nicht möglich ist dies für die Aufgaben der Geschäftsleitung und nur eingeschränkt für die speziellen Funktionen Compliance, Risikocontrolling und Interne Revision. Für wesentliche Auslagerungen sind grundsätzlich Ausstiegsprozesse mit Handlungsoptionen vorzuhalten, damit im Falle der Beendigung der Auslagerung die ausgelagerten Bereiche auch ohne Probleme vom Institut wieder selbst übernommen werden können. Auch hier ist auf eine ausreichende Dokumentation und regelmäßige Aktualisierung zu achten. Darüber hinaus sind auch eventuelle Weiterverlagerungen in die Überwachung durch das auslagernde Institut einzubeziehen. Hierzu sind entsprechende Regelungen oder Zustimmungsvorbehalte im Auslagerungsvertrag erforderlich. Um dies sicherzustellen, sollten alle Verträge zu wesentlichen Auslagerungen daraufhin überprüft werden. Fehlen derartige Vereinbarungen, so ist eine Vertragsänderung geboten.

Eine weitere wichtige Anforderung ist die Festlegung der Verantwortung für die Steuerung und Überwachung von wesentlichen Auslagerungen. Die Risiken aus ausgelagerten Bereichen sind zudem in die Risikosteuerungs- und -controllingprozesse einzubeziehen.

Zumindest große und komplexe Institute müssen nach AT 9 Tz. 12 der MaRisk ein zentrales Auslagerungsmanagement implementieren, das mindestens einmal jährlich einen Bericht über die Auslagerungen an die Geschäftsleitung zu erstellen hat. Sollte ein solches mit Verweis auf die nicht einschlägige Größe oder Komplexität nicht eingerichtet sein, muss auch dies möglichst ausführlich begründet sein. Die Begründung ist revisionsseitig zu würdigen.

Hinsichtlich der Revisionstätigkeit bei ausgelagerten Prozessen kann die Interne Revision auch weiterhin auf eigene Prüfungshandlungen verzichten, wenn das Auslagerungsunternehmen eine eigene Interne Revision hat. Dabei muss sichergestellt sein, dass sich die Interne Revision des auslagernden Instituts regelmäßig von der Funktionsfähigkeit der Revision des Auslagerungsunternehmens überzeugt und dass Mängel, die den ausgelagerten Bereich betreffen, umgehend an die Revision des auslagernden Instituts gemeldet werden. Diese muss die Mängel dann in ihre Mängelverfolgung einbeziehen. Zudem muss das Recht vorhanden sein, jederzeit eigene Ergänzungsprüfungen durchführen zu dürfen. Auch im Hinblick auf diese Anforderungen sollten alle bestehenden Auslagerungsverträge nochmals geprüft und gegebenenfalls geändert werden.

PRAXISTIPPS

Planen Sie eine Umsetzungsprüfung zu den ausgelagerten Bereichen möglichst noch vor dem 31.10.2018 ein.
Prüfen Sie insbesondere die Einstufung von Software aus dem Risikocontrolling auf eventuelle Auslagerungstatbestände.
Stellen Sie sicher, dass alle Auslagerungen im Hinblick auf die Neufassung der MaRisk hinsichtlich Risikoanalyse und Vertragsgestaltung nochmals auf den Prüfstand kommen.
Prüfen Sie insbesondere, ob hinsichtlich der Revisionstätigkeit die Regelungen in den Verträgen noch den Anforderungen entsprechen.
Werten Sie die Prüfungsberichte der Auslagerungsunternehmen kritisch aus und übernehmen Sie eventuelle Mängel in Ihre eigene Mängelverfolgung.

Beitragsnummer: 753

Ein eigenes MeinFCH-Konto ist zwingend Voraussetzung, wenn Sie über unseren Online-Shop eine Bestellung auslösen möchten. Das Konto benötigen Sie, wenn Sie selbst ein Online-Seminar live verfolgen oder Ihre Seminardokumentation bzw. Ihre personalisierte Teilnahmebestätigung herunterladen möchten. Bitte geben Sie Ihre MeinFCH-Login-Daten niemals an dritte Personen weiter. Wir empfehlen Ihnen die Nutzung dieser Browser: Google Chrome, Mozilla Firefox oder Microsoft Edge. Bitte erlauben Sie außerdem Pop-Ups auf unserer Seite.

Anmelden

Bitte melden Sie sich an, um folgende Seite nutzen zu können.

E-Mail-Adresse

Passwort

Angemeldet bleiben

🔒 Sichere SSL-Verschlüsselung

Passwort vergessen?

Neu bei MeinFCH?
Jetzt registrieren!

E-Mail-Adresse

Passwort eingeben

Passwort bestätigen

Passwortlänge: 0 Zeichen

Gültigkeit: -

Sicherheit: -

Ihr sicheres Passwort muss folgende Merkmale besitzen:

Groß- und Kleinschreibung

Zahlen

Sonderzeichen (!$%&#)

mindestens 8 Zeichen

Ja, ich möchte ein Kundenkonto eröffnen und akzeptiere die Datenschutzerklärung.

🔒Sichere SSL-Verschlüsselung

Loggen Sie sich ein, um unsere Favoritenfunktion zu nutzen:

Beitrag teilen:

Beiträge zum Thema:

Anzeigepflicht von Auslagerungen – alter Wein in neuen Schläuchen?

Ist die Anzeigepflicht wesentlicher Auslagerungen (§ 24 Abs. 1 Nr. 19 KWG) ein Déjà-vu oder Teil des holistischen Ansatzes der Bankenaufsicht?

04.07.2022

Gesamtbanksteuerung: Mit modernem Datenmanagement schneller zum Ziel

Gesamtbanksteuerung: Mit einer modernen IT-Architektur Bereiche wie Risikomanagement, Finanzplanung und Controlling übergreifend verzahnen

23.06.2023

Prüfung des Managements von Immobilienrisiken

Nach Zinswende 2022 und neuen Regulierungen müssen Banken Immobilienrisiken neu bewerten und managen für Zukunftssicherheit.

02.04.2024

Herausgeberinterview mit Henning Riediger

Interview mit Buchherausgeber Henning Riediger zur Neuerscheinung MaRisk-Berichtswesen

05.04.2024

OLG Celle zur Frage der Nichtabnahmeentschädigung der Bank

Das OLG Celle entschied, dass die Nennung von bestehenden Grundschulde der praktischen Durchführung der Besicherung diene und keine Abänderungserklärung sei.

21.03.2024

Mehrwertbilanz der Internen Revision – Pflicht oder Kür?

Die Prüfungshandlungen der Revision erstrecken sich auch auf die Wirtschaftlichkeit der Geschäftsprozesse. Mit der Mehrwertwertbilanz wird das transparent.

05.01.2023