AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1
Outsourcing nach AT 9 der MaRisk Auslagerungsprozess Eine Auslagerung liegt vor, wenn ein anderes Unternehmen mit der Wahrnehmung solcher Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt wird, die ansonsten vom Institut selbst erbracht würden. Gemäß AT 9 der MaRisk muss das Institut auf der Grundlage einer Risikoanalyse eigenverantwortlich festlegen, welche Auslagerungen von Aktivitäten und Prozessen unter Risikogesichtspunkten wesentlich sind (wesentliche Auslagerungen). Die maßgeblichen Organisationseinheiten sind bei der Erstellung der Risikoanalyse einzubeziehen. Dies gilt ggfls. insbesondere für die Risikocontrolling- und Compliancefunktion. Im Rahmen ihrer Aufgaben ist auch die Interne Revision zu beteiligen. Soweit sich wesentliche Änderungen der Risikosituation ergeben, ist die Risikoanalyse anzupassen. Bei unter Risikogesichtspunkten nicht wesentlichen Auslagerungen sind die allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsorganisation gemäß 25a Abs. 1 KWG zu beachten. Zukünftig ist davon auszugehen, dass diese Anforderungen im 25 b KWG wiederzufinden sind. Grundsätzlich sind alle Aktivitäten und Prozesse auslagerbar, solange dadurch die Ordnungsmäßigkeit der Geschäftsorganisation gemäß 25a Abs. 1 KWG nicht beeinträchtigt wird. Die Auslagerung darf die vorhandenen gesetzlichen Obliegenheiten nicht verändern oder einschränken (z.b. im WP-Bereich die Pflichten nach dem 6.Abschnitt des WpHG). Die Auslagerung darf weiterhin nicht zu einer Delegation der Verantwortung der Geschäftsleitung an das Auslagerungsunternehmen führen. Die Leitungsaufgaben der Geschäftsleitung sind nicht auslagerbar. Das Institut hat bei wesentlichen Auslagerungen im Fall der beabsichtigten Beendigung der Auslagerungsvereinbarung Vorkehrungen zu treffen, um die Kontinuität und Qualität der ausgelagerten Aktivitäten und Prozesse auch nach Beendigung zu gewährleisten. Ist dies beabsichtigt wird die Bank rechtzeitig ein entsprechendes Konzept hierzu erarbeiten. Diese Regelung kam mit den MaRisk 2012 hinzu! Die Anforderungen an die Auslagerung von Aktivitäten und Prozessen sind auch bei der Weiterverlagerung ausgelagerter Aktivitäten und Prozesse zu beachten. Ausgehend von der Auslagerungsabsicht erfolgt eine Risikoanalyse um die Auswirkungen der Auslagerung auf das Risikomanagement zu bestimmen. Hier sollte ein standardisiertes Muster eingesetzt werden. Bei der Risikoanalyse sind alle für das Institut relevanten Aspekte im Zusammenhang mit der Auslagerung zu berücksichtigen (z. B. Risiken der Auslagerung, Eignung des Auslagerungsunternehmens), wobei die Intensität der MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 2
Analyse von Art, Umfang, Komplexität und Risikogehalt der ausgelagerten Aktivitäten und Prozesse abhängt. Daher ist bei Auslagerungen von erheblicher Tragweite entsprechend intensiv zu prüfen, ob und wie eine Einbeziehung der ausgelagerten Aktivitäten und Prozesse in das Risikomanagement sichergestellt werden kann. Auch die Schnittstelle zu AT 7.3 ist dabei zu beachten. Eine Risikoanalyse ist zunächst für jede neue Auslagerung vor Vertragsabschluss durchzuführen. Die notwendigen Dokumentationen hierzu sind entsprechend anzufertigen und aufzubewahren. Wesentliche Auslagerungen sind im Strategieprozess zu berücksichtigen. Insoweit ist das Risikocontrolling als maßgebliche Organisationseinheit hier einzubeziehen (z.b. die Compliance-Funktion. Es kann bei der Auslagerung auch der AT 8.2 der MaRisk greifen. Sofern wesentliche Auslagerungen vorgenommen werden, müssen zu folgenden Themenbereichen in den entsprechenden Anweisungen prozessual Regelungen getroffen werden. Abgrenzung der Zuständigkeitsbereiche des In- bzw. Outsourcers (Schnittstellendefinition) Kommunikation / Berichtswesen zwischen den Beteiligten Kontrollerfordernisse im Institut (=Outsourcer) Regelungen zu Mängelbeseitigungen (=Maßnahmen im Institut wie: Nachverfolgung, Berichtswesen, Eskalationsverfahren, etc.) Regelungen zur Notfallplanung bei nachhaltiger Störung der Leistungserbringung durch den Insourcer Regelungen zur Prüfung durch die Interne Revision des Instituts Aufeinander abgestimmte Notfallkonzepte Bei wesentlichen Auslagerungen ist im Auslagerungsvertrag darauf zu achten, dass die Rechte und Pflichten nach AT 9 der MaRisk eingeräumt bzw. beachtet werden. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 3
Laufende Überwachung der Auslagerung im Risikomanagement Risikomanagement Gemäß der MaRisk hat das Institut die mit wesentlichen Auslagerungen verbundenen Risiken angemessen zu steuern und die Ausführung der ausgelagerten Aktivitäten und Prozesse ordnungsgemäß zu überwachen. Dies umfasst auch die regelmäßige Beurteilung der Leistung des Auslagerungsunternehmens anhand vorzuhaltender Kriterien. Für die Steuerung und Überwachung hat das Institut klare Verantwortlichkeiten festzulegen. Verantwortlich sind z.b. die Auslagerungsbeauftragten. Risikoanalyse Ist eine Auslagerung im Rahmen der Risikoanalyse als wesentlich eingeordnet worden, so ist eine erneute Risikoanalyse für diese Auslagerung in der Zukunft grundsätzlich nicht notwendig. Bei entsprechenden Mängeln im Rahmen der geprüften Berichte kann es aber sein, dass die Risikoanalyse erneuert werden muss, um neuen weiteren Risiken Rechnung tragen zu können bzw. um neue Maßnahmen einzuleiten. Die Einhaltung der Obliegenheiten (Vertrag und MaRisk Anforderungen) ist aber regelmäßig zu prüfen. Die Bank hat zu berücksichtigen, dass bei einer Änderung der Risikosituation für als wesentlich eingestufte Auslagerungen auch eine erneute Risikoanalyse durchgeführt werden muss, wenn sich Anhaltspunkte ergeben, dass die wesentliche Auslagerung zukünftig als unwesentlich im Sinne der MaRisk behandelt werden kann. Ist eine Auslagerung im Rahmen der Risikoanalyse als unwesentlich eingestuft worden, so ist dann eine erneute Risikoanalyse erforderlich, wenn neue Sachverhalte bekannt werden, die zu einer Neueinschätzung der Risikosituation führen können. Eine regelmäßige und anlassbezogene Überprüfung ist somit auch hier vorzunehmen. Der regelmäßige Turnus ist zu definieren (z.b. jährlich). Im Rahmen z.b. veränderter Vertragsgestaltungen oder festgestellter Mängel ist z.b. eine anlassbezogene Überprüfung vorzunehmen. Prozessbetrachtung Im Rahmen der Auslagerung wurden einzelne oder komplette Geschäftsprozesse oder Aktivitäten an Dritte abgegeben. Die weiteren Prozesse in der Bank dürfen durch die Auslagerung nicht beeinträchtig werden. Sollten Störungen oder Risiken unterjährig erkannt werden, sind diese im Risikomanagement (z.b. Risikocontrolling, Compliancefunktion, betroffener Bereichsleiter, Vorstand, Interne Revision) zu kommunizieren. Insbesondere auf die Einhaltung der SLA durch den Outsourcer ist zu achten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 4
Neben den vorgenannten Punkten sind insbesondere die im Vertrag genannten Obliegenheiten wichtige Kriterien zur laufenden Beurteilung der Auslagerung. Der Auslagerungsvertrag ist dem Auslagerungsbeauftragten zur Verfügung zu stellen. Prozesse der Interne Revision Entsprechend BT 2 der MaRisk kann die Interne Revision bei wesentlichen Auslagerungen nur auf eigene Prüfungshandlungen verzichte, wenn die Revision des auslagernden Institutes den Anforderungen nach AT 4.4 und BT 2 genügt. Das auslagernde Institut kann sich bei der Erfüllung dieser Obliegenheit auch Dritter bedienen. Von der Beachtung dieser Anforderung hat sich die Interne Revision regelmäßig, d.h. jährlich zu überzeugen. Bei beabsichtigten Auslagerungen wird die Interne Revision entsprechend der MaRisk beteiligt. Die Revisionsleitung hat den Bereich angemessen in ihrem Prüfungsplan zu berücksichtigen. Beendigung einer Auslagerung Im Falle der beabsichtigten oder zu erwartenden Beendigung einer wesentlichen Auslagerung sind Vorkehrungen zu treffen, um die Kontinuität und Qualität der bisherigen ausgelagerten Prozesse auch nach Beendigung zu gewährleisten. Der Auslagerungsbeauftragte des Bereiches und die Führungskraft der betroffenen Bereiche werden hier entsprechende Maßnahmen vorschlagen und entsprechende Dokumentationen anfertigen und der Geschäftsleitung vorzulegen. Im Rahmen einer nicht wesentlichen Auslagerung ist durch Maßnahmen die Kontinuität der betroffenen Prozesse zu gewährleisten. Im Falle einer unbeabsichtigten oder unerwarteten Beendigung einer Auslagerung ist durch den Auslagerungsbeauftragten zu prüfen, ob mit einer erheblichen Beeinträchtigung der Geschäftstätigkeit im betroffenen Bereich zu rechnen ist. Ist dies der Fall sind entsprechende Handlungsoptionen zu erarbeiten und der Geschäftsleitung zur Entscheidung vorzulegen. Eine erste Einschätzung erfolgt hier im Zusammenhang mit der Risikoanalyse. Hinweis Die Unterlage stellt eine allgemeine Information dar und erhebt keinen Anspruch auf Vollständigkeit. Sie gibt Praxishinweise zur Umsetzung der Auslagerungsanforderungen nach MaRisk und KWG. Auf den Text der MaRisk wird verwiesen. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 5