Mittwoch, 21. Dezember 2016

Auslagerungs-Risikoanalyse

Aufgrund der erhöhten Anforderungen im Bereich Auslagerungen im Konsultationsentwurf der MaRisk (Stand: 02/2016) sowie erheblichen Feststellungen in Sonderprüfungen der Aufsicht zu diesem Themenkomplex, sind viele Institute verunsichert. Neben aufbauorganisatorischen Fragen, herrscht Unsicherheit hinsichtlich der benötigten Unterlagen und der zu ergreifenden Maßnahmen. Die verbreitete Praxis, nur diejenigen Unterlagen kursorisch auszuwerten, die ohnehin vom Dienstleister zur Verfügung gestellt werden, wird zu Recht kritisch betrachtet. Es ist jedoch auch der umgekehrte Fall durchaus vorhanden, bei dem die Institute vorsorglich so viele Unterlagen wie möglich anfordern und auswerten. Nicht nur erlaubt, sondern gerade gewünscht, ist demgegenüber ein risikoorientiertes Vorgehen, wobei es im Ermessen der Institute liegt, Vorgaben zur Dienstleistersteuerung zu machen. In diesem Zusammenhang kommen der Auslagerungs-Risikoanalyse verschiedene Funktionen zu:


Risikoanalyse als Entscheidungsgrundlage

Zunächst dient eine erstmalige Risikoanalyse als Grundlage zur Entscheidung über die jeweilige Auslagerung. Als wesentliche Inhalte bieten sich an:

Beweggründe zur Auslagerung
Unterscheidung „Auslagerung vs. sonstiger Fremdbezug“ nach MaRisk AT 9 Tz. 1
Zulässigkeit der Auslagerung nach § 25b Abs. 2 KWG und MaRisk AT 9 Tz. 4
zahlreiche Dokumentationserfordernisse nach MaRisk AT 9 (z.B. als Checkliste)
Kern der Risikoanalyse: Risiken der Auslagerung

Die enge Verzahnung im Sinne einer einheitlichen Risikokultur aller wesentlichen Risikoarten des Institutes ist hierbei erforderlich, wobei insbesondere die Steuerungslogik der operationellen Risiken in der Auslagerungs-Risikoanalyse aufgegriffen werden sollte.


Ableitung der Wesentlichkeit aus der Risikoanalyse

Die Definition für eine wesentliche Auslagerung nach MaRisk AT 9 Tz. 2 muss jedes Institut individuell festlegen. Die festgelegten Kriterien sollen eine eindeutige Ableitung der Wesentlichkeit ermöglichen. Insbesondere soll es nicht möglich sein, ein sehr hohes Risiko durch mehrere sehr geringe Risiken aufgrund einer Durchschnittswertbetrachtung zu nivellieren.

Risikoanalyse als Grundlage der Kontrollhandlungen

Da bei einer risikoorientierten Vorgehensweise nur für die identifizierten Bruttorisiken Kontroll-handlungen erforderlich sind, sollte eine Unterscheidung nach Brutto- und Nettorisiko erfolgen. Als Kontrollhandlungen können sein:

Auswertung der entsprechenden Berichte des Dienstleisters
Ersatzunterlagen, sofern keine Berichte vorliegen
regelmäßige Gesprächstermine
Kontrollen der Compliance-Einheit bzw. der entsprechenden Beauftragten
Prüfungen der Internen Revision vor Ort

Durch die entsprechenden Kontrollen kann das Risiko in der Nettobetrachtung ggf. reduziert werden.


Im Ergebnis werden die Weichen für eine aufsichtsrechtlich ausreichende und betriebswirtschaftlich sinnvolle Dienstleistersteuerung oft bereits bei der Gestaltung der Risikoanalyse gestellt.

Sarah Horn, Rechtsanwältin, Prokuristin, Audit GmbH Karlsruhe Stuttgart Wirtschaftsprüfungsgesellschaft

Kontaktdaten:
sarah.horn@audit-wpg.com
Fon: 0711 222 13-14 16
Modulares, wirtschaftliches Unterstützungs-Angebot für Banken. Wir lösen Ihre Herausforderungen. Prüfen, beraten und unterstützen. Ihr Anliegen ist bei Audit-WPG Chefsache.

Ähnliche Beiträge