Dr. Markus Rose
Referent
Dr. Markus Rose ist Senior Consultant bei 1 PLUS i GmbH, einem spezialisierten Beratungsunternehmen....
Professional Education

MaRisk-Novelle 2017 Teil 3: Auslagerung, Risikokultur, Interne Revision

March 5, 2018
0
1
2215
< >

Die fünfte MaRisk-Novelle – MaRisk 2017 – ist veröffentlicht! Mit diesem Blog geben Ihnen die Autoren Henning Heuter und Dr. Markus Rose in drei Teilen einen Überblick über die umfangreichen Neuerungen, Ergänzungen und Klarstellungen der jüngsten Überarbeitung der MaRisk. Dabei fokussieren sie sich auf das Risikomanagement. In den beiden vorangegangenen Teilen dieses Blogs haben wir uns mit der Umsetzungsphase, dem Reporting und Datenaggregation, der Risikotragfähigkeit und den Risikoarten des BTR beschäftigt. Nun schauen wir uns die Auslagerung, die Risikokultur und die Konsequenzen für die Interne Revision genauer an.

Auslagerung

Die Aufsicht fordert im Anschreiben zu den MaRisk, dass das Auslagerungsmanagement verbessert werden muss, um möglichen Kontrollverlusten entgegenzuwirken. So wurden die Anforderungen an Auslagerungen im AT 9 zum Teil grundlegend überarbeitet. Neben Anforderungen, welche bereits seit Jahren Standard sind, wurden auch gänzlich neue Aspekte und Ausführungen zum institutsinternen Umgang mit Auslagerungen aufgenommen. An dieser Stelle gehen wir auf einige wesentliche Punkte ein.

Unverändert gilt das Erfordernis, dass ein Institut eigenverantwortlich auf der Grundlage einer Risikoanalyse (Risikokonzentrationen, wesentliche Risiken aus Weiterverlagerungen, Eignung des Auslagerungsunternehmens) festlegen muss, welche Auslagerungen wesentlich sind. Neu ist die Anforderung, diese Risikoanalyse basierend auf instituts- beziehungsweise gruppenweit einheitlichen Rahmenvorgaben regelmäßig und anlassbezogen durchzuführen.

Zu unterscheiden ist hinsichtlich Fremdbezug und Auslagerung gemäß MaRisk. In den MaRisk 2017 wird hervorgehoben, dass ein isolierter Bezug von Software (Achtung: gilt nicht für Kernbankensysteme) als sonstiger Fremdbezug eingestuft werden kann. Als Auslagerung einzustufen sind dagegen Unterstützungsleistungen, die mit dem Bezug, der Anpassung und dem Betrieb der Software verbunden sind. Weitere Beispiele für MaRisk-Auslagerungen sind: Ratingverfahren und -systeme, Work-out-Bearbeitung notleidender Kredite, Risikocontrolling sowie Innenrevision. Grundsätzlich müssen sowohl beim sonstigen Fremdbezug von Leistungen als auch bei nicht wesentlichen Auslagerungen die allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsführung gem. § 25a KWG gewährleistet sein. Das bedeutet, dass ein Fremdbezug sowie jede ausgelagerte Leistung auch institutsintern überwacht werden (risikosensitive Einschätzung, Berichte, Verträge für sämtliche MaRisk-Auslagerungen).

Für Auslagerungen von Aktivitäten und Prozessen in Kontroll- und Kernbankbereichen ergeben sich besondere Maßstäbe. Während bei kleineren Instituten beispielsweise die Compliance-Funktion und auch die Interne Revision ausgelagert werden dürfen, wird klargestellt, dass die Risikocontrolling-Funktion nicht vollständig ausgelagert werden darf.

2018 03_Blog_RRA_MaRisk3-Abbildung2

Abbildung 1: Übersicht – Formen der Auslagerung

Es ist sicherzustellen, dass weiterhin fundierte Kenntnisse und Erfahrungen vorgehalten werden, die es ermöglichen, die Steuerung dieser ausgelagerten Bereiche effektiv wahrzunehmen und bei Bedarf auch eine Rückverlagerung ohne Störungen des Betriebsablaufes gewährleisten.

Die MaRisk 2017 führen weitere wesentliche Anforderungen zu Auslagerungen auf, die hier zusammengefasst dargestellt werden:

  • Es sind, soweit sinnvoll und möglich, Ausstiegsprozesse festzulegen.
  • Mit Blick auf Weiterverlagerungen sind möglichst Zustimmungsvorbehalte des auslagernden Instituts oder konkrete Voraussetzungen, wann Weiterverlagerungen einzelner Arbeits- und Prozessschritte möglich sind, im Auslagerungsvertrag zu vereinbaren.
  • Für wesentliche Auslagerungen sind klare Verantwortlichkeiten sowie fachliche Kompetenz im Institut vorzuhalten.
  • Abhängig von Art, Umfang und Komplexität der Auslagerungsaktivitäten hat das Institut ein zentrales Auslagerungsmanagement (Kontroll- und Überwachungsprozesse, einheitliche Steuerung, Überblick über die Vertragskomponenten, Berichterstattung etc.) einzurichten (Proportionalität).
  • Es wurde explizit ergänzt, dass die Beurteilung der Dienstleistungsqualität des Auslagerungsunternehmens auf Basis der dem Institut vorliegenden Informationen bzw. der institutsinternen Bewertung zu erfolgen hat.

Risikokultur

Im AT 3 wird in den MaRisk 2017 die Etablierung einer Risikokultur gefordert, die in der Gesamtverantwortung der Geschäftsleitung liegt. Die deutsche Aufsicht folgt damit einer Entwicklung, die sich auf europäischer Ebene beispielsweise in der CDR IV, den SREP-Guidelines des EBA oder in den „Principles for an Effective Risk Appetite Framework“ des Financial Stability Boards zeigt.

Mit der Etablierung einer Risikokultur sind Regeln und Vorgaben verbunden:

  • Der praktische Umgang mit Risiken steht im Fokus, es soll einen offenen und transparenten Dialog zu Risikofragen geben; beispielsweisen kann die Förderung der Risikokultur durch einen respektvollen Dialog in Markt und Marktfolge bei der Diskussion von Kreditentscheidungen verbessert werden.
  • Es soll eine Art Fair Play bei unterschiedlichen Risikomeinungen geben.
  • Die Geschäftsleitung und die weiteren Führungskräfte sollen den definierten Risikoappetit einhalten und vorleben.
  • Die Risikokultur muss entwickelt, gefördert und integriert werden. Es bedarf einer regelmäßigen Überprüfung und der Integration zum Beispiel in die Risikostrategie.
  • Es ist ein Verhaltenskodex mit den gemeinsamen Werten für die Mitarbeiter zu etablieren; entsprechende Regelungen sollten auch in der schriftlich fixierten Ordnung verankert werden (vgl. AT 5).

Interne Revision

Aus den MaRisk 2017 gehen neue und umfangreichere Anforderungen an die Ausgestaltung der Internen Revision hervor. Bisher geltende Grundsätze wie

  • Selbständige und unabhängige Wahrnehmung der Aufgaben,
  • Einhaltung angemessener Übergangsfristen (mindestens ein Jahr) bei Wechsel in die Interne Revision,
  • Prüfung sämtlicher Bankaktivitäten, auch wenn sie nicht wesentlich sind,

bleiben weiterhin bestehen. Die MaRisk 2017 vertiefen jedoch auch einige Themen, insbesondere die Prüfungsplanung und -durchführung sowie die Berichtspflicht betreffend. Aus BT 2.3 Tz. 2 geht nun deutlich hervor, dass „Risikobewertungsverfahren der Internen Revision eine Analyse des Risikopotenzials der Aktivitäten und Prozesse unter Berücksichtigung absehbarer Veränderungen zu beinhalten“ haben. „Dabei sind die verschiedenen Risikoquellen und die Manipulationsanfälligkeit der Prozesse durch Mitarbeiter angemessen zu berücksichtigen.“2018 03_Blog_RRA_MaRisk3-Abbildung2

Abbildung 2: Überblick Prüfungsplanung Interne Revision

Die gemäß BT 2.3 Tz. 3 geforderte Prüfung der Angemessenheit der Prüfungsplanung und -durchführung (vgl. Abbildung 2) bedeutet, dass Veränderungen bei Geschäftsfeldern und in der Risikostruktur bei der Revisionsplanung berücksichtigt werden müssen.

Das im Schaubild dargestellte Element „Bericht“ zeigt, dass das Aufsichtsorgan häufiger und umfassender informiert und ein größerer Schwerpunkt auf das Abarbeiten der Mängel gelegt werden soll. Insbesondere zeigt dies das Erfordernis einer bezogen auf die Inhalte der letzten Prüfungen zusammenfassenden Berichterstattung im Dreimonatsrhythmus1 sowie die darüber hinaus gehende Pflicht zur gesonderten jährlichen Berichterstattung über

  • alle schwerwiegenden Mängel,
  • alle noch nicht behobenen wesentlichen Mängel,
  • beschlossene Maßnahmen sowie der Status dieser Maßnahmen.

Ebenso ist eine unverzügliche Berichterstattung (also „ad hoc“) über besonders schwerwiegende Mängel gefordert. Empfänger sind für alle Berichte jeweils die Geschäftsleitung sowie das Aufsichtsorgan des Instituts. Die MaRisk 2017 verlangen hiermit eine deutlich ausgeweitete Berichtspflicht und geben zusätzlich inhaltliche Strukturvorgaben.

 1 Insbesondere über den Sachstand zu als wesentlich oder höher eingestuften Mängeln ist zu berichten.

Lesen Sie hierzu auch:

Teil 1: Inhalte, Umsetzung und Reporting

Teil 2: Risikotragfähigkeit und Risikoarten des BTR

Henning Heuter ist geschäftsführender Partner der 1 PLUS i GmbH, einem spezialisierten Beratungsunternehmen und berät Kreditinstitute im In- und Ausland. Er beschäftigt sich mit Fragen des Risikomanagements, dessen aufsichtsrechtlicher Behandlung und anderer Risikostrategien. Seit vielen Jahren ist er als Dozent für die FS tätig.

Comments
Kommentieren