Aufrufe
vor 5 Jahren

die bank 08 // 2015

die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

ó BETRIEBSWIRTSCHAFT

ó BETRIEBSWIRTSCHAFT verlagerungen verändert wird. Erst recht ist sie wesentliche Voraussetzung für eine sachgerechte Steuerung der Risiken. Die Aufsicht spricht in diesem Kontext in ihren Prüfungsberichten auch von dem Erfordernis einer zentralen Evidenz aller Auslagerungen bzw. Weiterverlagerungen. Aktuell scheint diese Anforderung in der Praxis eine der maßgebenden Hürden zu sein. Nur wenige, mitunter auch wohl eher kleinere Häuser mit einem überschaubaren Auslagerungsvolumen und bei Einschaltung von nicht global agierenden Dienstleistern werden für sich in Anspruch nehmen können, diese Anforderungen vollumfänglich zu erfüllen. Ebenen-Problematik und Risikoanalyse In der Praxis taucht immer wieder die Frage auf, bis zu welcher Ebene bzw. zu welchem Grad Dienstleister- und Subdienstleisterbeziehungen betrachtet werden müssen. Gerne möchte man sich darauf verfl Das Management von Aus- und Weiterverlagerungen erfordert mitunter größere Anstrengungen und bindet Ressourcen. Vollständigkeit Um eine zentrale Evidenz aller Auslagerungen bzw. Weiterverlagerungen zu erreichen, müssen Institute wirksame Mechanismen implementiert haben, die es ihnen ermöglichen, Auslagerungssachverhalte verlässlich und zutreffend zu identifizieren und diese zentral zu erfassen. Auch diese Anforderung wird in der Praxis häufig unterschätzt bzw. nicht entsprechend der aufsichtsrechtlichen Vorgaben umgesetzt. Da die Steuerungsgrundlage für Weiterverlagerungen nach den MaRisk aktuell an der zutreffenden Einstufung als MaRisk-relevante Auslagerung oder in Abgrenzung davon als sonstiger Fremdbezug anknüpft, führt eine falsche Weichenstellung an dieser Stelle dazu, dass Leistungsbezüge von Dienstleistern nicht dem Auslagerungsregime des § 25b KWG unterworfen werden. Dies setzt sich dann logischerweise auf Ebene der Subunternehmer in der Kette fort. Weit verbreitet ist in diesem Kontext auch die Auffassung, dass steuerungs- und überwachungsrelevante Weiterverlagerungen begrenzt sind auf wesentliche Auslagerungen, d. h. bei Auslagerungen, die auf Basis einer Risikoanalyse (AT 9 Tz 2 MaRisk) als wesentlich eingestuft sind. Folgt man dieser Sichtweise, dann sind alle als unwesentlich eingestuften Auslagerungen in Bezug auf Weiterverlagerungen nicht mehr relevant. Diese Sichtweise verkennt allerdings, dass bestehende, aber der institutseigenen Systematik folgenden Risikoanalyse nach (noch) nicht als wesentlich einzustufende Gesamtrisiken durch Weiterverlagerungen erhöht werden können. Die nächste Hürde ist auf Ebene des Auslagerungsunternehmens zu finden, wenn es darum geht, die Leistungsbezüge des Auslagerungsunternehmens von Dritten von einer MaRisk-relevanten zustimmungspflichtigen Weiterverlagerung abzugrenzen. Die strikte Zugrundelegung des Auslagerungsbegriffs nach AT 9 Tz. 1 MaRisk führt hier nicht zum Ziel, da häufig vom Auslagerungsunternehmen selbst keine bankgeschäftsbezogenen oder andere institutstypischen Dienstleistungen weiterverlagert werden. Hier existiert keine trennscharfe Abgrenzung, weder auf Ebene des auslagernden Instituts noch auf Ebene der Dienstleister. Der Grundsatz der Risikoorientierung der MaRisk lässt jedoch den Schluss zu und macht es unter dem Gesichtspunkt der betriebswirtschaftlichen Notwendigkeit sogar erforderlich, auf Ebene des Dienstleisters die Zahl der steuerungs- und überwachungsrelevanten Subdienstleister, unter Berücksichtigung des Risikogehalts der weiterverlagerten Dienstleistung für den primär auslagernden Geschäftsprozess des Instituts, auf ein vertretbares Maß zu reduzieren. Für die Identifikation kann beispielsweise als ein mögliches Selektionskriterium die Frage herangezogen werden, ob der Dienstleister die an einen Dienstleister weiter ausgelagerten Aktivitäten und Prozesse ohne Beeinträchtigung der geschuldeten Qualität und Leistung auch bei unerwartetem Wegfall des Leistungsbezugs weiter erfüllen kann. Bei der Auslagerung von Informationstechnologien können auch die Ergebnisse der Schutzbedarfsanalyse einen Hinweis auf das Vorliegen steuerungsrelevanter Weiterverlagerungen liefern. Pauschale Ein- oder Ausgrenzungen führen jedenfalls nicht zu einer sachgerechten Identifizierung von risikorelevanten Weiterverlagerungen. 48 diebank 8.2015

BETRIEBSWIRTSCHAFT ó fl Verdeckte Risiken aus Weiterverlagerungen werden weiter zunehmen und die Komplexität der Leistungsbeziehungen wird weiter steigen. ständigen, nach der zweiten oder dritten Ebene in der Auslagerungskette die Analyse zu beenden. Diese pauschale Vorgehensweise ist jedoch nicht vertretbar. Vielmehr muss auch hier unter Risikoaspekten beurteilt werden, welche Weiterverlagerungen auf welcher Ebene bzw. welchem Grad zu einer Änderung der Risikosituation führen können. Erst wenn die Untersuchung ergibt, dass ein Leistungsbezug in der Kette unter Risikogesichtspunkten irrelevant ist und zudem auch nicht die Sorge besteht, dass ein Risiko aus weitergehenden Leistungsbezügen in der Kette entstehen kann, ist es vertretbar, auf eine weitergehende Erhebung und Analyse zu verzichten. Zu berücksichtigen ist auch, dass die Erkenntnisse hinsichtlich der Risikosituation von Weiterverlagerungen in der Kette elementarer Bestandteil der Risikoanalyse der primären Auslagerung sein müssen. Sind Hinweise auf eine geänderte Risikosituation aufgrund von Weiterverlagerungen erkennbar, so muss die Risikoanalyse unmittelbar aktualisiert werden. Gegebenenfalls führt die veränderte Risikosituation zur Notwendigkeit, auch Subdienstleister direkt durch angemessene Maßnahmen steuern zu müssen oder dem Auslagerungsunternehmen den Einsatz zu untersagen. Jedes Institut ist frei in der Wahl der Methode, wenn diese geeignet ist sicherzustellen, dass ein vollständiger Überblick über die Risikosituation aus risikobehafteten Weiterverlagerungen erreicht wird. Die vertragliche Verpflichtung der Dienstleister zur Meldung von Weiterverlagerungssachverhalten bzw. vertraglich verankerten Zustimmungsvorbehalten ist dabei ein wesentlicher Baustein, um die aufsichtsrechtliche geforderte Evidenz zu erhalten. Im Hinblick auf die institutsindividuelle Sichtweise von relevanten und gleichzeitig risikobehafteten Weiterverlagerungen ist dies aber nicht alleine ausreichend. Das Institut muss vielmehr gemeinsam mit dem Dienstleister entsprechende Maßnahmen und Kriterien zur Identifikation und Einstufung von Weiterverlagerungen vereinbaren und mit geeigneten Prüfungshandlungen sicherstellen, dass diese eingehalten werden. Als Beispiele seien hier genannt die regelmäßige aktive und dokumentierte Abfrage von Weiterverlagerungssachverhalten beim Dienstleister oder die Einholung von Nullmeldungen bzw. Negativmeldungen sowie Vergleiche der Ergebnisse mit den eigenen Aufzeichnungen, Kontrollen im Rahmen der durchzuführenden Vor-Ort-Prüfungen bei Dienstleistern, Erhalt und Auswertung von relevanten Berichterstattungen wie z. B. Revisionsprüfungen auf Hinweise über das Vorliegen von bisher nicht bekannten Weiterverlagerungen. Dabei erhöht die Notwendigkeit einer schriftlichen Erklärung des Dienstleisters erfahrungsgemäß die Verlässlichkeit der Angaben des Dienstleisters. Hat sich das auslagernde Institut einen vollständigen Überblick über die risikorelevanten Weiterverlagerungen verschafft, muss es Maßnahmen ergreifen, damit etwaige zusätzliche Risiken aus diesen Weiterverlagerungen angemessen überwacht und gesteuert werden. Die zu wählenden Maßnahmen sind grundsätzlich einzelfallabhängig von der Art sowie dem spezifischen Risikogehalt des einzelnen Leistungsbezugs. Vertragliche Mindestanforderungen ergeben sich hier aus Tz. 9 des AT 9 MaRisk aus der Verpflichtung, die Einhaltung der regulatorischen Anforderungen auch bei Einschaltung von Subdienstleistern sicherzustellen. Neben den allgemeinen Vorgaben wie Weisungsrechte usw. sollte das Institut noch spezifische Anforderungen definieren und sich deren Einhaltung vertraglich zusichern lassen. Diese können allgemeine Themen wie Informationssicherheit und Notfallschutzmaßnahmen umfassen, aber auch sehr spezifische, auf die jeweilige Auslagerung bzw. die Risikosituation maßgeschneiderte Kontrollmaßnahmen umfassen. Umfang und Inhalt dieser Maßnahmen sollten unmittelbar aus der Risikoanalyse hergeleitet werden. Sofern bei Vertragsschluss mit dem primären Dienstleister die Einrichtung angemessener Überwachungs- und Steuerungsmaßnahmen versäumt wurde, wird dieser in wenigen Fällen ohne zusätzliche Kosten erhöhte Anforderungen an die Überwachung und Steuerung akzeptieren. Denkbar wäre hier die Erteilung der Zustimmung zur Weiterverlagerung unter entsprechenden Auflagen. Bei komplexeren oder risikobehafteten Auslagerungen sollte das Institut die Einhaltung dieser Maßnahmen regelmäßig selbst überprüfen. Hierfür können Vor-Ort-Prüfungen der auslagernden Fachbereiche dienen, die Einholung und Auswertung von branchenüblichen Zertifizierungen (wie beispielsweise nach ISAE 3402 oder dem IDW PS 951) sowie die Einbindung der ausgelagerten Aktivität oder des Prozesses in die Prüfungstätigkeit der Internen Revision. Fazit Verdeckte Risiken aus Weiterverlagerungen sind real. Sie werden weiter zunehmen und die Komplexität der Leistungsbeziehungen wird weiter steigen. Umso wichtiger wird eine angemessene Überwachung und Steuerung der Dienstleister auf allen Ebenen. Mit den richtigen Instrumenten das richtige Maß zwischen Aufwand und Nutzen zu finden, ist sowohl für große als auch kleine Institute und Dienstleister eine lösbare Aufgabe. Im Fokus aller Betrachtungen sollte jedoch eine risikoorientierte Vorgehensweise stehen. ó Autoren: Marc Billeb ist Wirtschaftsprüfer, Steuerberater und Partner, Jan Christian Ploog ist Wirtschaftsprüfer bei PwC in Frankfurt am Main. Christine Wicker ist Rechtsanwältin bei PwC in Stuttgart. 8.2015 diebank 49

die bank