Die Aufsicht fordert im Anschreiben zu den MaRisk, dass das Auslagerungsmanagement verbessert werden muss, um m\u00f6glichen Kontrollverlusten entgegenzuwirken. So wurden die Anforderungen an Auslagerungen im AT 9 zum Teil grundlegend \u00fcberarbeitet. Neben Anforderungen, welche bereits seit Jahren Standard sind, wurden auch g\u00e4nzlich neue Aspekte und Ausf\u00fchrungen zum institutsinternen Umgang mit Auslagerungen aufgenommen. An dieser Stelle gehen wir auf einige wesentliche Punkte ein.<\/p>\n
Unver\u00e4ndert gilt das Erfordernis, dass ein Institut eigenverantwortlich auf der Grundlage einer Risikoanalyse (Risikokonzentrationen, wesentliche Risiken aus Weiterverlagerungen, Eignung des Auslagerungsunternehmens) festlegen muss, welche Auslagerungen wesentlich sind. Neu ist die Anforderung, diese Risikoanalyse basierend auf instituts- beziehungsweise gruppenweit einheitlichen Rahmenvorgaben regelm\u00e4\u00dfig und anlassbezogen durchzuf\u00fchren.<\/p>\n
Zu unterscheiden ist hinsichtlich Fremdbezug und Auslagerung gem\u00e4\u00df MaRisk. In den MaRisk 2017 wird hervorgehoben, dass ein isolierter Bezug von Software (Achtung: gilt nicht f\u00fcr Kernbankensysteme) als sonstiger Fremdbezug eingestuft werden kann. Als Auslagerung einzustufen sind dagegen Unterst\u00fctzungsleistungen, die mit dem Bezug, der Anpassung und dem Betrieb der Software verbunden sind. Weitere Beispiele f\u00fcr MaRisk-Auslagerungen sind: Ratingverfahren und -systeme, Work-out-Bearbeitung notleidender Kredite, Risikocontrolling sowie Innenrevision. Grunds\u00e4tzlich m\u00fcssen sowohl beim sonstigen Fremdbezug von Leistungen als auch bei nicht wesentlichen Auslagerungen die allgemeinen Anforderungen an die Ordnungsm\u00e4\u00dfigkeit der Gesch\u00e4ftsf\u00fchrung gem. \u00a7 25a KWG gew\u00e4hrleistet sein. Das bedeutet, dass ein Fremdbezug sowie jede ausgelagerte Leistung auch institutsintern \u00fcberwacht werden (risikosensitive Einsch\u00e4tzung, Berichte, Vertr\u00e4ge f\u00fcr s\u00e4mtliche MaRisk-Auslagerungen).<\/p>\n
F\u00fcr Auslagerungen von Aktivit\u00e4ten und Prozessen in Kontroll- und Kernbankbereichen ergeben sich besondere Ma\u00dfst\u00e4be. W\u00e4hrend bei kleineren Instituten beispielsweise die Compliance-Funktion und auch die Interne Revision ausgelagert werden d\u00fcrfen, wird klargestellt, dass die Risikocontrolling-Funktion nicht vollst\u00e4ndig ausgelagert werden darf.<\/p>\n
Abbildung 1: \u00dcbersicht \u2013 Formen der Auslagerung<\/em><\/p>\n Es ist sicherzustellen, dass weiterhin fundierte Kenntnisse und Erfahrungen vorgehalten werden, die es erm\u00f6glichen, die Steuerung dieser ausgelagerten Bereiche effektiv wahrzunehmen und bei Bedarf auch eine R\u00fcckverlagerung ohne St\u00f6rungen des Betriebsablaufes gew\u00e4hrleisten.<\/p>\n Die MaRisk 2017 f\u00fchren weitere wesentliche Anforderungen zu Auslagerungen auf, die hier zusammengefasst dargestellt werden:<\/p>\n Im AT 3 wird in den MaRisk 2017 die Etablierung einer Risikokultur gefordert, die in der Gesamtverantwortung der Gesch\u00e4ftsleitung liegt. Die deutsche Aufsicht folgt damit einer Entwicklung, die sich auf europ\u00e4ischer Ebene beispielsweise in der CDR IV, den SREP-Guidelines des EBA oder in den \u201ePrinciples for an Effective Risk Appetite Framework\u201c des Financial Stability Boards zeigt.<\/p>\n Mit der Etablierung einer Risikokultur sind Regeln und Vorgaben verbunden:<\/p>\n Aus den MaRisk 2017 gehen neue und umfangreichere Anforderungen an die Ausgestaltung der Internen Revision hervor. Bisher geltende Grunds\u00e4tze wie<\/p>\n bleiben weiterhin bestehen. Die MaRisk 2017 vertiefen jedoch auch einige Themen, insbesondere die Pr\u00fcfungsplanung und -durchf\u00fchrung sowie die Berichtspflicht betreffend. Aus BT 2.3 Tz. 2 geht nun deutlich hervor, dass \u201eRisikobewertungsverfahren der Internen Revision eine Analyse des Risikopotenzials der Aktivit\u00e4ten und Prozesse unter Ber\u00fccksichtigung absehbarer Ver\u00e4nderungen zu beinhalten\u201c haben. \u201eDabei sind die verschiedenen Risikoquellen und die Manipulationsanf\u00e4lligkeit der Prozesse durch Mitarbeiter angemessen zu ber\u00fccksichtigen.\u201c Abbildung 2: \u00dcberblick Pr\u00fcfungsplanung Interne Revision<\/em><\/p>\n Die gem\u00e4\u00df BT 2.3 Tz. 3 geforderte Pr\u00fcfung der Angemessenheit der Pr\u00fcfungsplanung und -durchf\u00fchrung (vgl. Abbildung 2) bedeutet, dass Ver\u00e4nderungen bei Gesch\u00e4ftsfeldern und in der Risikostruktur bei der Revisionsplanung ber\u00fccksichtigt werden m\u00fcssen.<\/p>\n Das im Schaubild dargestellte Element \u201eBericht\u201c zeigt, dass das Aufsichtsorgan h\u00e4ufiger und umfassender informiert und ein gr\u00f6\u00dferer Schwerpunkt auf das Abarbeiten der M\u00e4ngel gelegt werden soll. Insbesondere zeigt dies das Erfordernis einer bezogen auf die Inhalte der letzten Pr\u00fcfungen zusammenfassenden Berichterstattung im Dreimonatsrhythmus1<\/sup> sowie die dar\u00fcber hinaus gehende Pflicht zur gesonderten j\u00e4hrlichen Berichterstattung \u00fcber<\/p>\n Ebenso ist eine unverz\u00fcgliche Berichterstattung (also \u201ead hoc\u201c) \u00fcber besonders schwerwiegende M\u00e4ngel gefordert. Empf\u00e4nger sind f\u00fcr alle Berichte jeweils die Gesch\u00e4ftsleitung sowie das Aufsichtsorgan des Instituts. Die MaRisk 2017 verlangen hiermit eine deutlich ausgeweitete Berichtspflicht und geben zus\u00e4tzlich inhaltliche Strukturvorgaben.<\/p>\n \u00a0<\/strong>1<\/sup> Insbesondere \u00fcber den Sachstand zu als wesentlich oder h\u00f6her eingestuften M\u00e4ngeln ist zu berichten.<\/em><\/p>\n![\"2018](\"https:\/\/blog.frankfurt-school.de\/wp-content\/uploads\/2023\/09\/2018-03_Blog_RRA_MaRisk3-Abbildung2-1.jpg\")
<\/em><\/p>\n\n
Risikokultur<\/strong><\/h2>\n
\n
Interne Revision<\/strong><\/h2>\n
\n
\nr Bankaktivit\u00e4ten, auch wenn sie nicht wesentlich sind,<\/li>\n<\/ul>\n<\/p>\n\n
Lesen Sie hierzu auch:<\/strong><\/h2>\n
![\"\"](\"https:\/\/blog.frankfurt-school.de\/wp-content\/uploads\/2018\/01\/2018-01_Blog-MaRisk_heuter_henning.jpg\")
<\/p>\n