Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk

Transkript

1 Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk Diese Checkliste erhebt keinen Anspruch auf Vollständigkeit. Trotz der sorgfältigen Erarbeitung der Checkliste, kann eine Garantie nicht übernommen werden. Insbesondere institutsindividuelle Ergänzungen und aktuelle Entwicklungen sind noch einzufügen. Die Checkliste sollte in Kombination mit dem ausführlicheren Artikel (ZIR 3/2008, S. 124 ff.) verwendet werden. Da die Checkliste sich kontinuierlich weiterentwickeln soll, sind wir für Rückmeldungen und Ergänzungen dankbar. Anmerkung: Die Fragestellung der Vollauslagerung der Internen Revision (AT 9 Tz. 8 MaRisk) wurde ausgeklammert. Grundlage MaRisk Mögliche Fragestellungen Aufbauprüfung AT 1 8: AT 4.1 Tz. 1 2 Beurteilung der Einhaltung der allgemeinen Anforderungen aus 25a Abs. 1 KWG Werden die Adressausfallrisiken und operationellen Risiken aus wesentlichen Auslagerungen sachgerecht im Rahmen der Prüfung der Risikotragfähigkeit erfasst? AT 4.1 Tz. 3 Falls wesentliche Risiken aus Auslagerungen nicht im Risikotragfähigkeitskonzept erfasst werden, - liegt eine nachvollziehbare Begründung vor? - erfolgte trotzdem die angemessene Berücksichtigung in den Risikosteuerungs- und Risikocontrollingprozessen? AT 4.1 Tz. 4 Ist die gewählte Methode zur Ermittlung der Risiken aus Auslagerungen und deren Annahmen nachvollziehbar begründet? Erfolgt zumindest die jährliche Überprüfung der Angemessenheit der Methoden? (Anm. nach MaRisk fachlich zuständigen Mitarbeiter; besser in Abweichung zu den MaRisk durch eine unabhängige Stelle). AT 4.2 Tz. 1 AT 4.2 Tz. 1 AT 4.2 Tz. 3 Wird eine Outscouring-Strategie als Teil der Geschäftsstrategie definiert? Sind die Risiken wesentlicher Auslagerungen von Aktivitäten und Prozessen angemessen in der Risikostrategie berücksichtigt? Ist mindestens jährlich eine Überprüfung der Risikostrategie hinsichtlich Auslagerungen durch die Geschäftsleitung vorgesehen? Ist die Erörterung dieser Überprüfung der Risikostrategie auch hinsichtlich Auslagerungen im Aufsichtsrat vorgesehen? AT 4.2 Tz. 4 Ist die angemessene Kommunikation der Geschäfts- und der Risikostrategie bezüglich Auslagerungen innerhalb des Instituts vorgesehen? 1

2 AT Tz. 1 AT 4.3. AT Tz. 1 Sind die Schnittstellen zu wesentlichen Auslagerungen in Aufbau- und Ablauforganisation klar definiert? (Prozesse, Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen, Kommunikationswege) Sind die Regelungen bezüglich Auslagerungen widerspruchsfrei in das interne Kontrollsystem des Instituts integriert? Wurden bezüglich Auslagerungen unvereinbare Tätigkeiten im Institut definiert? Ist hierbei sowohl in der Aufbau- und Ablauforganisation, die Trennung unvereinbarer Tätigkeiten sichergestellt? AT Tz. 1 AT Tz. 2 Wie sind die wesentlichen Risiken aus ausgelagerten Aktivitäten und Prozessen in den Risikosteuerungs- und controllingprozessen berücksichtigt? Wie ist die frühzeitige Risikoerfassung im Falle von wesentlichen Risiken bei Auslagerungen sichergestellt? Wie ist die sachgerechte Darstellung sichergestellt? Wie ist die Berücksichtigung von Wechselwirkungen zwischen den Risiken aus Auslagerungen und anderen Risiken sichergestellt? AT Tz. 3 AT Tz. 4 Wie ist sichergestellt, dass die wesentlichen Risiken aus Auslagerungen regelmäßig angemessenen Szenariobetrachtungen unterworfen werden? Ist sichergestellt, dass die Ergebnisse der Szenariobetrachtungen hinsichtlich wesentlicher Risiken aus Auslagerungen in angemessenen Abständen der Geschäftsleitung berichtet werden? Stellen die Anforderungen an die Berichterstattung eine nachvollziehbare und aussagefähige Darstellung sicher? Enthält die Darstellung auch eine Beurteilung der Risikosituation bezogen auf Auslagerungen? Werden ggf. Handlungsvorschläge gegeben? AT Tz. 5 Sind Regelungen für eine Ad-Hoc-Berichterstattung an die Geschäftsleitung bezüglich auslagerungsbezogener Risiken getroffen? AT Tz. 6 Ist die Angemessenheit der schriftlichen und mindestens vierteljährlichen Unterrichtung des Aufsichtsorgans geregelt? AT Tz. 7 Wie ist die zeitnahe Anpassung der Risikosteuerungs- und controllingprozesse an sich ändernde Bedingungen hinsichtlich Auslagerungen sichergestellt? AT 5 Tz. 1 und Tz. 2 Sind die Prozesse für wesentliche Auslagerungen in den Organisationsrichtlinien geregelt und kommuniziert? 2

3 AT 5 Tz. 4 Ermöglicht die Ausgestaltung der Organisationsrichtlinien der Internen Revision bezüglich Auslagerungen den unmittelbaren Eintritt in die Sachprüfung? AT 6 Tz. 1 Wie ist sichergestellt, dass Geschäfts-, Kontroll- und Überwachungsunterlagen bezüglich Auslagerungen systematisch und für einen sachkundigen Dritten nachvollziehbar abgefasst sind? Erfolgt deren Aufbewahrung mindestens zwei Jahre, ggf. aufgrund gesetzlicher Vorschriften länger? AT 6, Tz. 2 AT 7.1 Tz. 1 und Tz. 2 AT 7.1 Tz. 4 AT 7.2 Tz. 1 Sind die zur Einhaltung der MaRisk wesentlichen Handlungen und Feststellungen bezüglich Auslagerungen nachvollziehbar dokumentiert? Beinhaltet dies auch die Inanspruchnahme von Öffnungsklauseln mit ggf. entsprechender Begründung? Stellt die quantitative und qualitative personelle Ausstattung auch im Vertretungsfall die Erfordernisse an die Durchführung, die Risikosteuerung und das Risikocontrolling von Auslagerungen sicher? Ergeben sich aus den Vergütungs- und Anreizsystemen Anhaltspunkte die den auslagerungsspezifischen Zielen in der Geschäfts- und Risikostrategie widersprechen? Stellen der Umfang und die Qualität der technisch organisatorischen Ausstattung die Erfordernisse an die Durchführung, die Risikosteuerung und das Risikocontrolling von Auslagerungen sicher? AT 7.2 Tz. 2 Tz. 4 Unterliegen die IT-Systeme und IT-Prozesse auch beim Dienstleister einer Ausgestaltung im Rahmen der Anforderungen der MaRisk nach AT 7.2? AT 7.3 Tz. 1 AT 4.4 AT 4.4 Tz. 3 AT 4.4 Tz. 4 AT 4.4 Tz. 5 Ist das Notfallkonzept des Instituts bei zeitkritischen Aktivitäten mit dem Notfallkonzept des Auslagerungsunternehmens abgestimmt? Allgemeinen Regelungen bezüglich der Internen Revision Wie werden die wesentlichen Auslagerungen in den Prüfungen der Internen Revision berücksichtigt? Wurde der Internen Revision auch hinsichtlich Auslagerungen ein vollständiges und uneingeschränktes Informationsrecht eingeräumt? Wie ist sichergestellt, dass der Internen Revision wesentliche auslagerungsspezifische Weisungen und Beschlüsse der Geschäftsleitung bekannt gegeben werden? Wie erfolgt die rechtzeitige Information über auslagerungsspezifische Änderungen des Risikomanagements an die Interne Revision? AT 4.4, Tz. 6 Wie nimmt die Konzernrevision ihre Prüfungsverpflichtungen wahr? 3

4 AT 9 Outsourcing AT 9 Tz. 1 Definition der Auslagerung Wurde im Kreditinstitut bzw. der Institutsgruppe eine einheitliche Auslagerungsdefinition eingeführt? Ist die Auslagerungsdefinition mit den Regelungen der MaRisk konform? Wie ist der Einbezug von sonstigem Fremdbezug in die allgemeinen Anforderungen der ordnungsmäßigen Geschäftsorganisation nach 25a Abs. 1 KWG sichergestellt? AT 9 Tz. 2 Risikoanalyse Wurden Regelungen für die Durchführung einer Risikoanalyse vor Auslagerung getroffen? Werden alle relevanten Aspekte der Auslagerungen bei der Risikobeurteilung berücksichtigt? - Auslagerungskosten - Eignung des Auslagerungsunternehmens - Inhärente Risiken des Auslagerungsunternehmens - Know-How-Verlust - Länderrisiken - Rechtliche Risiken - Sonstige Risiken - Verschlechterung der Leistungsqualität Wird die Intensität der Risikoanalyse abhängig von Art, Umfang, Komplexität und Risikogehalt der ausgelagerten Aktivitäten und Prozesse abgestuft? (Proportionalitätsgrundsatz) Wie wurde Wesentlichkeit einer Auslagerung operationalisiert? Wie sind Auslagerungen von erheblicher Tragweite definiert? Wie wird im Falle erheblicher Tragweite bereits im Rahmen der Risikoanalyse die Einbeziehung in das Risikomanagement sichergestellt? Wurde auf Basis der Risikoanalyse dezidiert beurteilt, ob und wie eine Einbeziehung der ausgelagerten Aktivitäten und Prozesse in das Risikomanagement sichergestellt werden kann. Sind alle maßgeblichen Organisationseinheiten sowie die Interne Revision (prozessunabhängig) in die Erstellung der Risikoanalyse einbezogen? Wie erfolgt die Definition der maßgeblichen Organisationseinheiten? 4

5 Werden gruppeninterne Auslagerungen angemessen in der Risikoanalyse berücksichtigt? Wie werden wesentliche Änderungen der Risikosituation definiert? Wurde der Bestandsschutz für Altfälle (Auslagerung vor dem ) lt. BaFin-Anschreiben sachgerecht umgesetzt? Ist die Interne Revision in den Prozess der Risikoanalyse unter Wahrung der Unabhängigkeit sachgerecht eingebunden? AT 9 Tz. 3 Anforderungen an nicht wesentliche Auslagerungen Welche Anforderungen sind für unter Risikogesichtspunkten nicht wesentliche Auslagerungen definiert worden? Werden die Anforderungen der Vorgaben an die Ordnungsmäßigkeit der Geschäftsorganisation nach 25a Abs. 1 KWG gerecht? AT 9 Tz. 4 Abgrenzung auslagerbare und nicht auslagerbare Aktivitäten und Prozesse Wie ist sichergestellt, dass die Auslagerung nicht zu einer Delegation der Verantwortung der Geschäftsleitung an das Auslagerungsunternehmen führt? Wie ist sichergestellt, dass es nicht zur Auslagerung von Leitungsaufgaben der Geschäftsleitung kommt? Wie ist sichergestellt, dass es nicht zur Auslagerung von gesetzlich der Geschäftsleitung zugeordneten Aufgaben kommt? AT 9 Tz. 5 Qualitätssicherung bei Beendigung der Auslagerung Wie soll im Falle der beabsichtigten Beendigung eines Auslagerungsverhältnisses die Kontinuität und Qualität der Aktivitäten und Prozesse nach der Beendigung der Auslagerung gewährleistet werden? AT 9 Tz. 6 Anforderungen an Auslagerungsverträge Ist sichergestellt, dass die Auslagerungsverträge bei wesentlichen Auslagerungen, die aufsichtsrechtlich geforderten Vereinbarungen enthalten? Wie wird im Rahmen der Vereinbarungen eine ausreichende Haftung des Dienstleisters sichergestellt? 5

6 In den Fällen, in denen keine Bestätigung der Funktionsfähigkeit durch den Abschlussprüfer des Auslagerungsunternehmens erhältlich ist: Kann eine Erweiterung des Prüfungsauftrags des Abschlussprüfers vertraglich vereinbart werden? AT 9 Tz. 7 Steuerung und Überwachung der Risiken im Falle der Auslagerung Ist eine Stelle vorgesehen, die bei wesentlichen Auslagerungen - die Risiken steuert - die vereinbarungsgemäße Ausführung der Aktivitäten und Prozesse überwacht und - die Leistung des Auslagerungsunternehmens regelmäßig standardisiert beurteilt? Sind die vorzuhaltenden Kriterien zur Beurteilung der Leistung des Auslagerungsunternehmens sinnvoll gewählt worden? Sind für die Steuerung und Überwachung von Instituten klare Verantwortlichkeiten festgelegt worden? AT 9 Tz. 9 Umgang mit Weiterverlagerungen (Kettenverlagerungen) Wurde der Sachverhalt Weiterverlagerung ausreichend definiert? Wie wurde sichergestellt, dass die Anforderungen an wesentliche Auslagerungen auch bei Weiterverlagerungen berücksichtigt werden (insbesondere Risikoanalyse)? Wurde zumindest das Auslagerungsunternehmen (1. Stufe) zur Informationszulieferung an das auslagernde Unternehmen verpflichtet? BT 2.1 Tz. 3 Prüfungshandlungen der Internen Revision Wird bei Verzicht auf eigene Prüfungshandlungen der Internen Revision des Instituts - überwacht, dass die anderweitig durchgeführte Revisionstätigkeit den Anforderungen in AT 4.4 und BT 2 genügt? - über relevante Prüfungsergebnisse an die Interne Revision des auslagernden Instituts berichtet? Liegen Kontrollreports vor, die internationalen Anforderungen entsprechen (z.b. SAS 70). Ist sichergestellt, dass der Ersteller des Reports ebenfalls die MaRisk als Prüfungsgrundlage für die Beurteilung der Internen Revisionsfunktion angewandt hat? 6

7 Im Falle der Erfüllung von AT 4.4 und BT 2 durch die Interne Revision des Auslagerungsunternehmens: War eine Abstimmung der Prüfungsplanung zwischen den Internen Revisionen im Vorfeld möglich? Erlauben die Berichterstattungen der Internen Revision eine Einschätzung der Dienstleistungsqualität? Entsprechen die geprüften Felder der eigenen Einschätzung des auslagernden Unternehmens zur risikoorientierten Prüfungsplanung? Im Falle der Nichterfüllung von AT 4.4 und BT 2 durch die Interne Revision des Auslagerungsunternehmens: Kann die Prüfungstätigkeit durch ein externes Unternehmen durchgeführt werden? 7