Dienstag, 31. Juli 2018

MaRisk aktuell – zentraler Auslagerungsbeauftragter

Henning Riediger, Prüfungsleiter im Referat Bankgeschäftliche Prüfung, Deutsche Bundesbank, Hannover^[1]

Neuregelung und (teilweise) gelebte Praxis

Es ist doch immer wieder interessant zu beobachten, was in einigen Instituten vor sich geht, wenn (vermeintlich) neue Regelungen in Kraft treten. Ein sehr schönes Beispiel bietet hier die Funktion des zentralen Auslagerungsbeauftragten gemäß AT 9 Tz. 12 der MaRisk. Die ausdrückliche Benennung ist in der Tat eine „Neu“-Regelung. Die dieser Funktion obliegenden Aufgaben und Funktionen sind es hingegen nicht.

Es mag ja auch im Jahr 2018 immer noch Institute geben, die der Meinung sind, dass wenn alles ausgelagert ist, man keine Risiken habe. Diese Institute stellen dann beim Lesen der neuen MaRisk fest: „Hey, eine neue Funktion! Wir können einen neuen Hut verteilen.” In der direkten Folge des Lesens wird dann eine Person auserwählt, welche den „Hut” bekommt. Aber wie im wahren Leben reicht ein Hut nicht aus – da muss es noch etwas mehr geben, z. B. einen angemessenen Auslagerungsprozess im Gesamthaus. Und richtig unangenehm wird es dann, wenn man nur mit Hut bekleidet in eine § 44er-Prüfung der Bankenaufsicht gehen muss.

Der zentrale Auslagerungsbeauftragte – kein Avanti Dilettanti!

Im Entwurf für die 5. MaRisk-Novelle war bereits ein Auslagerungsbeauftragter vorgesehen. In der endgültigen Novelle fällt diese Aufgabe dem zentralen Auslagerungsmanagement gemäß AT 9 Tz. 12 der MaRisk zu. Dieser wird erwartungsgemäß den Überwachungsfunktionen zugewiesen werden. Die Auslagerungssteuerung und -überwachung ist unzweifelhaft bereits auch heute dem Internen Kontrollsystem zuzuordnen. Eine erfolgreiche Integration von ausgelagerten Aktivtäten in die Steuerungs- und -überwachungskomponenten setzt jedoch voraus, dass das Interne Kontrollsystem im Institut unabhängig von der Existenz aus Auslagerungen sauber aufgesetzt ist.

Eine strukturelle Neuerung der aktuellen MaRisk-Novelle ergibt sich aus den Tzn. 10 und 12:

Tz. 10 – Zur Steuerung und Überwachung von Auslagerungen von besonderen Funktionen und Kernbereichen des Instituts sind klare Verantwortlichkeiten festzulegen und
Tz. 12 – Es ist ein zentrales Auslagerungsmanagement für sämtliche ausgelagerten Aktivitäten zu implementieren.

Eine der Tz. 10 vergleichbare Tätigkeit bzw. Aufgabe gab es in der vorherigen Novelle nur für den Fall der Auslagerung der internen Revision.

Zu den Tätigkeiten des zentralen Auslagerungsmanagements gehören ausweislich der Tz. 12 des AT 9 der MaRisk mindestens folgende Aufgaben:

die Implementierung und Weiterentwicklung eines angemessenen Auslagerungsmanagements einschließlich entsprechend angemessener Kontroll- und Überwachungsprozesse,
die Erstellung und Pflege einer vollständigen Dokumentation der Auslagerungen inklusive von Weiterverlagerungen,
die Unterstützung von Fachbereichen bezüglich der Beurteilung bzw. Einhaltung gesetzlicher und institutsinterner Vorgaben bei Auslagerungen und
die Koordination und Überprüfung der durch die zuständigen bzw. auslagernden Fachbereiche (z. B. Dateneigentümer) vorzunehmenden Risikoanalysen.

Gerade die beiden letztgenannten Punkte erfordern umfassende Kenntnisse von gesetzlichen Normen und internen Vorgaben. Somit bietet sich eine Kombination bzw. Zusammenarbeit mit der Compliance-Funktion an. Wichtig ist in diesem Zusammenhang die Kontrollfunktion an dieser Stelle! In der Praxis neigen auslagernde Fachbereiche zur Unterschätzung oder gar Negation von risikorelevanten Aspekten. Diese möglichen Prozessschwächen müssen durch das zentrale Auslagerungsmanagement aufgefangen werden. Das zentrale Auslagerungsmanagement ist somit je nach Art, Umfang und Komplexität eine bedeutende Komponente des Internen Kontrollsystems in einem Institut.

Die Funktion ist keine ausschließliche Dokumenten-Sammelstelle, sondern integraler Bestandteil des Auslagerungsprozesses. Selbstverständlich bietet es sich für den zentralen Auslagerungsbeauftragten an, durch die inhaltliche Einbindung einen strukturierten und reproduzierbaren Prozess (Stichwort: Erfolg muss wiederholbar sein!) im Institut mitzugestalten. Für die Risikoanalyse ist es von enormer Wichtigkeit, dass alle Prozessbeteiligten einbezogen sind, um die bestehenden Risikopotenziale zu erkennen und einschätzen zu können. Nur durch das gemeinsame Agieren von auslagernder Fachabteilung (IT-Abteilung, Organisationsabteilung usw.) und überwachendenden Einheiten (IT-Sicherheitsbeauftragte, Compliance, Risiko-Controlling) kann die Vollständigkeit sichergestellt werden. Eine lediglich „im stillen Kämmerlein“ von einer Abteilung getroffene Festlegung (z. B. allein durch eine auslagernde Fachabteilung) greift in der Praxis zu kurz. Es ist auch gerade die Aufgabe des zentralen Auslagerungsbeauftragten, den auslagernden Fachabteilungen auf die Finger zu schauen bzw. diese zu einem risikoorientiert angemessenen Verhalten zu bewegen. Mit einem reinen Abheften von Risikoanalysen ist es nicht getan! Ziel sollte es sein, als Kompetenzzentrum für Auslagerungen anerkannt zu werden. Werfen Sie also beständig ihren Hut in den Ring!

PRAXISTIPPS

Stellen Sie sicher, dass alle relevanten Fachabteilungen eingebunden sind.
Wählen Sie objektiv überprüfbare Kriterien für die Risikoanalyse von Auslagerungen.
Implementieren sie eine sinnvolle Bewertungssystematik.
Achten Sie darauf, dass die Verfahren von allen Abteilungen eingehalten werden.
Bitte erfragen Sie Risikoeinschätzungen kritisch (Stichwort: gesunder Menschenverstand).

Disclaimer: Der Beitrag gibt die persönliche Sicht des Autors wieder und diese muss nicht zwingend mit der Deutschen Bundesbank übereinstimmen. ↑

Beitragsnummer: 826

Ein eigenes MeinFCH-Konto ist zwingend Voraussetzung, wenn Sie über unseren Online-Shop eine Bestellung auslösen möchten. Das Konto benötigen Sie, wenn Sie selbst ein Online-Seminar live verfolgen oder Ihre Seminardokumentation bzw. Ihre personalisierte Teilnahmebestätigung herunterladen möchten. Bitte geben Sie Ihre MeinFCH-Login-Daten niemals an dritte Personen weiter. Wir empfehlen Ihnen die Nutzung dieser Browser: Google Chrome, Mozilla Firefox oder Microsoft Edge. Bitte erlauben Sie außerdem Pop-Ups auf unserer Seite.

Anmelden

Bitte melden Sie sich an, um folgende Seite nutzen zu können.

E-Mail-Adresse

Passwort

Angemeldet bleiben

🔒 Sichere SSL-Verschlüsselung

Passwort vergessen?

Neu bei MeinFCH?
Jetzt registrieren!

E-Mail-Adresse

Passwort eingeben

Passwort bestätigen

Passwortlänge: 0 Zeichen

Gültigkeit: -

Sicherheit: -

Ihr sicheres Passwort muss folgende Merkmale besitzen:

Groß- und Kleinschreibung

Zahlen

Sonderzeichen (!$%&#)

mindestens 8 Zeichen

Ja, ich möchte ein Kundenkonto eröffnen und akzeptiere die Datenschutzerklärung.

🔒Sichere SSL-Verschlüsselung

Loggen Sie sich ein, um unsere Favoritenfunktion zu nutzen:

Beitrag teilen:

Beiträge zum Thema:

Herausgeberinterview mit Henning Riediger

Interview mit Buchherausgeber Henning Riediger zur Neuerscheinung MaRisk-Berichtswesen

05.04.2024

Anzeigepflicht von Auslagerungen – alter Wein in neuen Schläuchen?

Ist die Anzeigepflicht wesentlicher Auslagerungen (§ 24 Abs. 1 Nr. 19 KWG) ein Déjà-vu oder Teil des holistischen Ansatzes der Bankenaufsicht?

04.07.2022

OLG Celle zur Frage der Nichtabnahmeentschädigung der Bank

Das OLG Celle entschied, dass die Nennung von bestehenden Grundschulde der praktischen Durchführung der Besicherung diene und keine Abänderungserklärung sei.

21.03.2024

Sonstige Rechte als Sicherheiten – Neuer Wind in der Kreditsicherung?!

Grundschulden und Zessionen sind Usus bei der Hereinnahme von Kreditsicherheiten. Ein Urteil des BGH könnte diesen „üblichen Sicherheitenkreis“ erweitern

13.03.2024

Auslagerungsrisiken aktiv managen

Als Kontrollbereich der 2. Linie im Drei-Linien-Modell ist eine aktive Wahrnehmung der Aufgaben im Auslagerungsmanagement erforderlich

24.06.2022