Die Regelungsinhalte zu den Auslagerungen ergeben sich grundsätzlich aus den allgemeinen Anforderungen an eine ordnungsgemäße Geschäftsorganisation nach § 25a Abs.1 Kreditwesengesetz (KWG) sowie im Speziellen aus § 25b KWG. Der Inhalt des § 25b KWG wiederum wird als Verwaltungsvorschrift in den Mindestanforderungen an das Risikomanagement (MaRisk) unter AT 9 näher präzisiert. MaRisk AT 9 definiert eine Auslagerung und befasst sich mit deren Zulässigkeit. Es werden die Wesentlichkeit einer Auslagerung und die sie bestimmende Risikoanalyse aufgezeigt. Anforderungen an die Auslagerungsverträge sowie zur Steuerung und Beendigung der Auslagerungen schließen sich an.
Neben der zentralen Darstellung in MaRisk AT 9 wird jedoch ergänzend an diversen Stellen der MaRisk auf Anforderungen zu Auslagerungen eingegangen, wie beispielsweise unter AT 3 (Gesamtverantwortung der Geschäftsleitung), AT 4.2 (Strategien), AT 4.3.1 (Aufbau- und Ablauforganisation), AT 4.3.2 (Risikosteuerungs- und -controllingprozesse), AT 5 (Organisationsrichtlinien), AT 7.3 (Notfallkonzepte) sowie BT 2.1 (Aufgaben der Internen Revision).
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 19. Februar 2016 das Konsultationspapier zur 5. Novelle der MaRisk veröffentlicht. Der Entwurf dieser Novelle sieht unter anderem deutliche Anpassungen im Bereich der Auslagerungen in Form von zusätzlichen Anforderungen sowie in Form von Klarstellungen vor. Die wesentlichen vorgesehenen Veränderungen werden in einem gesonderten Abschnitt dieses Beitrags zusammengefasst. Bei Redaktionsschluss dieser FLF-Ausgabe war die Verabschiedung der Novelle noch nicht erfolgt. Die Angaben der AT-Textziffernverweise (Tz.) beziehen sich im Folgenden deshalb auf die derzeit noch gültige Fassung der Ma-Risk aus dem Dezember 2012.
Erfassung von Auslagerungen
Basis der prüferischen Tätigkeit ist es, die bestehenden vertraglichen Beziehungen zu erfassen beziehungsweise zu ermitteln, wie das Institut eine vollständige und richtige Erfassung ihrer vertraglichen Beziehungen gewährleistet. Die Informationen dafür lassen sich verschiedenen Quellen entnehmen. Möglich sind beispielsweise bestehende Vertragsdateien, Vertrags- und Auslagerungsübersichten oder zentrale Vertragsablagen. Bei bestehenden Auslagerungen geben dazu die Prüfungsergebnisse der Internen Revision wichtige Hinweise. Im Ergebnis dieser Bestandsaufnahme ergibt sich aus prüferischer Sicht die grundsätzliche Einschätzung, ob das Institut einen jederzeitigen vollständigen Überblick über seinen Bestand an Auslagerungsverträgen hat. Zudem wird bei der Erfassung der vertraglichen Beziehungen bereits erkennbar, ob das Institut möglicherweise nicht auslagerungsfähige Tätigkeiten, insbesondere Leitungsauf gaben, ausgelagert hat.
Nach vollständiger Erfassung der vertraglichen Beziehungen ist zu bestimmen, ob es sich dabei um Auslagerungen im Sinne der MaRisk handelt. Insbesondere ist eine Auslagerung von einem nicht als Auslagerung auszulegenden Fremdbezug von Leistungen zu unterscheiden. Die Definition einer Auslagerung ergibt sich aus MaRisk AT 9 Tz. 1.
Sofern eine Auslagerung im Sinne der MaRisk vorliegt, muss der Prüfer sich ein Bild darüber verschaffen, ob das Institut eine aussagefähige und nachvollziehbare Risikoanalyse zur Bestimmung einer wesentlichen oder unwesentlichen Auslagerung vorgenommen hat und ob er diese Beurteilung gerechtfertigt findet. Die Risikoanalyse dient dann vor allem der Überprüfung, ob diese Auslagerung sinnvoll durchgeführt werden kann, der Anbieter die Leistung adäquat erbringen kann, die erforderlichen Kontrollen implementiert sind et cetera. Insoweit können sich dann wiederum Erkenntnisse für die Geschäfts- und Risikostrategie der Gesellschaft ergeben.
Die grundsätzlichen Anforderungen an eine angemessene Risikoanalyse sind in den MaRisk AT 9 Tz. 2 zwar dargelegt, eine konkrete aufsichtsrechtliche Vorgabe hinsichtlich der Form und Ausgestaltung einer derartigen Risikoanalyse besteht allerdings nicht. Es muss aber gefordert werden, dass abhängig von Art, Umfang, Komplexität und Risikogehalt der Auslagerung alle wesentlichen Aspekte im Zusammenhang mit der Auslagerung Berücksichtigung finden. Als derartige Kriterien gelten beispielsweise Abhängigkeiten, Knowhow-Verlust, Einflussnahmemöglichkeiten, Qualität der Leistungserbringung sowie Reaktionen bei mangelbehafteter Leistungserbringung, sonstige bisherige Erfahrungen und viele weitere. Außerdem sind Gewichtungen bei den einzelnen Risikoaspekten durchaus vorstellbar.
Nach Festlegung der wesentlichen Auslagerungen müssen zudem diejenigen Auslagerungsbeziehungen identifiziert werden, deren unbeabsichtigte oder unerwartete Beendigung eine erhebliche Beeinträchtigung der Geschäftstätigkeit nach sich ziehen könnte. Eine weitere Anforderung an die Risikoanalyse ist, dass die maßgeblichen Organisationseinheiten und im Rahmen ihrer Aufgaben die Interne Revision einbezogen worden sind. Ferner muss bei einer wesentlichen Änderung der Risikosituation eine neue Risikoanalyse erfolgen. Es sollten daher Kriterien definiert sein, die eine neue Risikoanalyse nach sich ziehen würde. Die 5. Ma-Risk-Novelle sieht an dieser Stelle eine Anpassung dahingehend vor, dass eine neue Risikoanalyse nicht erst bei wesentlichen Änderungen der Risikosituation, sondern regelmäßig sowie anlassbezogen zu erfolgen hat.
Der Prüfer wird sich davon überzeugen, ob diese Anforderungen in ihrer Gesamtheit erfüllt wurden und ob das Institut über Vorkehrungen verfügt, die auch zukünftig die Erfüllung der an die Auslagerung gestellten Anforderungen sicherstellen. Dabei geht es ausdrücklich nicht nur um die Erfüllung aufsichtsrechtlicher Anforderungen im Sinne der MaRisk. So könnten beispielsweise schlecht durchgeführte Auslagerungen im Bereich des Rechnungswesens die Grundsätze ordnungsgemäßer Buchführung in Frage stellen et cetera.
Die im Rahmen von Prüfungen häufig erkannten Mängel bei der Erfassung der Vertragsbeziehungen und der Durchführung einer Risikoanalyse lassen sich wie folgt zusammenfassen:
- Die Erfassung der Vertragsbeziehungen ist nicht vorhanden oder aufgrund unzureichender Aktivitäten und Prozessvorgaben des Instituts unvollständig. Eine Erfassung der fehlenden Verträge in einer Risikoanalyse ist somit nicht erfolgt.
- Die Risikoanalyse wurde nicht durchgeführt/aktualisiert oder zu spät vorgenommen, beispielsweise erst nach Abschluss des Auslagerungsvertrages.
- Es gibt keine oder nur eine unzureichende Dokumentation; die Nachvollziehbarkeit der gewonnenen Ergebnisse ist nicht oder nur eingeschränkt gegeben.
- Die Ergebnisse der Risikoanalyse weisen Fehler auf.
- Es gibt keine oder eine fehlerhafte Einschätzung der unerwarteten und unbeabsichtigten Beendigungen von Auslagerungen auf die Geschäftstätigkeit des Instituts.
- Die maßgeblichen Organisationseinheiten und/oder die Interne Revision wurden bei der Risikoanalyse nicht einbezogen.
- Wichtige Risikoaspekte fehlen oder wurden nur unzureichend berücksichtigt.
- Es liegen konzeptionelle Mängel in der Durchführung der Risikoanalyse vor.
Auslagerungsverträge
Die MaRisk stellen konkrete Anforderungen an die Ausgestaltung der Verträge bei wesentlichen Auslagerungen. Der Prüfer wird sich regelmäßig einen Überblick verschaffen, ob die vorgesehenen Mindestinhalte in den Verträgen vollständig und ausreichend klar geregelt wurden. Dabei muss gewährleistet sein, dass die vertraglichen Anforderungen im Falle von Weiterverlagerungen auch künftig erfüllt bleiben. Es empfiehlt sich, Juristen bei der Ausgestaltung der Auslagerungsverträge einzubeziehen.
Schwerwiegende Mängel ergeben sich grundsätzlich dann, wenn vertragliche Regelungen bei Auslagerungen gänzlich fehlen, veraltet oder ungültig sind. Ältere Vereinbarungen werden mitunter durch mehrere zwischenzeitliche Nachträge, Anpassungen und Zusatzvereinbarungen ergänzt und verändert, was eine Nachvollziehbarkeit erschwert und manchmal zu widersprüchlichen Ergebnissen führt.
Daneben können in den bestehenden und rechtsgültigen Auslagerungsverträgen von den MaRisk geforderte Vertragsbestandteile gänzlich fehlen, oder unzureichend formuliert sein, wie beispielsweise
- Leistungsspezifikation,
- Vereinbarung von Prüfungsrechten,
- Vereinbarung von Informations- und Berichtspflichten,
- Vereinbarung von Kündigungsrechten und -fristen,
- Regelungen bei Weiterverlagerungen,
- IT-Sicherheits- und Datenschutzanforderungen,
- Verpflichtung zur Information bei negativen Entwicklungen,
- Kriterien zur Leistungsbeurteilung.
Steuerung und Überwachung
Nach MaRisk AT 9 Tz. 7 muss das Institut die mit wesentlichen Auslagerungen verbundenen Risiken angemessen steuern und die ausgelagerten Tätigkeiten überwachen. Dies ergibt sich aus MaRisk AT 4.3.2 Tz. 2, wonach die ausgelagerten Tätigkeiten und Prozesse in die Risikosteuerungs- und -controllingprozesse des Instituts eingebunden sein müssen. Dazu gehören insbesondere die Kontrolle der Qualität der von dem Auslagerungsinstitut erbrachten Leistungen sowie die permanente Kontrolle der den Auslagerungen innewohnenden Risiken. Der Prüfer wird die hierzu getroffenen Maßnahmen aufnehmen und sich von deren Durchführung und Wirksamkeit überzeugen.
Das Institut muss zur Wahrnehmung der Kontrollaufgaben darüber hinaus Verantwortlichkeiten festgelegt haben, die unter anderem regelmäßig die Qualität der erbrachten Leistungen überprüfen und bewerten. Dies kann im Regelfall im Wege von Berichterstattungen, aber auch aus sonstigen Informationen erfolgen, wie beispielsweise Störungsmeldungen. Die Verantwortlichen haben die erbrachten Leistungen auszuwerten und gegebenenfalls Rückschlüsse auf das eigene Risikomanagement zu ziehen.
Mängel im Rahmen der Steuerung und Überwachung der Auslagerungen ergeben sich folgerichtig insbesondere
- bei einer gänzlich fehlenden oder unzureichenden Überwachung des Dienstleisters beziehungsweise der Qualität seiner erbrachten Leistungen,
- bei fehlenden Konsequenzen bei Vertragsverletzungen oder ungenügenden Leistungsqualitäten,
- aufgrund fehlender Regelungen von Verantwortlichkeiten,
- bei fehlenden oder unklaren Leistungsbeurteilungsmaßstäben,
- bei einer mangelhaften Informationspolitik/Berichterstattung des Auslagerungsunternehmens und damit einhergehend nur eine eingeschränkte Steuerung und Überwachung durch das auslagernde Institut,
- bei einer fehlenden oder unzureichenden Auswertung der Berichterstattung des Dienstleisters,
- bei einer unzureichenden Berücksichtigung beziehungsweise Beurteilung von Weiterverlagerungen.
Beendigung von Auslagerungen
Nach MaRisk AT 9 Tz. 5 muss ein auslagerndes Institut bei beabsichtigten und erwarteten sowie für unbeabsichtigte und unerwartete Beendigungen von Auslagerungsverhältnissen Vorkehrungen treffen, um die Kontinuität und Qualität der ausgelagerten Aktivitäten und Prozesse auch nach Beendigung zu gewährleisten.
Bei unbeabsichtigten und unerwarteten Beendigungen von Auslagerungsverhältnissen sind zudem Handlungsoptionen festzulegen und auf ihre Durchführbarkeit hin zu prüfen. Dies besagt allerdings nicht, dass die Aufsicht den Abschluss von Ersatzverträgen mit alternativen Dienstleistern erwartet. Handlungsoptionen sind nur für diejenigen wesentlichen Auslagerungsverhältnisse festzulegen, bei denen die Beendigung der Leistungsbeziehungen zu einer erheblichen Beeinträchtigung der Geschäftstätigkeiten führen würde. Das bedeutet für das Institut, dass derartige wesentliche Vertragsbeziehungen vorab identifiziert werden müssen.
Die 5. MaRisk-Novelle sieht für unbeabsichtigte und unerwartete Beendigungen von Auslagerungsverhältnissen mit erheblichen Beeinträchtigungen der Geschäftstätigkeit weitere Anforderungen in Form von Ausstiegsstrategien beziehungsweise die Berücksichtigung in Notfallplänen vor. Die Durchführung dieser Anforderung ist entsprechend zu dokumentieren. Der Prüfer wird anhand dieser Dokumentationen die beabsichtigten Vorkehrungen und Handlungsoptionen entsprechend würdigen.
Weiterverlagerungen
Auslagerungsunternehmen optimieren ihre Leistungen oder ihre Kostenstruktur mitunter durch die Weiterverlagerung einzelner Dienstleistungen auf andere Unternehmen. Dieser Leistungsbezug kann aus Sicht des auslagernden Instituts wiederum eine wesentliche oder nicht wesentliche Auslagerung darstellen. Es bilden sich möglicherweise Ketten, wobei das auslagernde Institut auch im Falle derartiger Weiterverlagerungen nach MaRisk AT 9 Tz. 9 für die Ordnungsmäßigkeit der ausgelagerten Aktivitäten und Prozesse verantwortlich bleibt. Darum ergeben sich für das Institut in solchen Fällen darüber hinausgehende Herausforderungen. So muss der weitergeleitete Dienstleistungsbezug dem auslagernden Institut grundsätzlich erst einmal bekannt sein. Es sollten also in den Auslagerungsverträgen entsprechende Vereinbarungen zu Weiterverlagerungen und den daraus entstehenden Informationspflichten aufgenommen werden.
Doch auch mit entsprechenden vertraglichen Vereinbarungen stellen sich unter Umständen Probleme in der effizienten Nutzung der mit zunehmender Auslagerungsebene häufig abnehmenden Informationsmenge und -qualität ein, zumal das Institut mit dem Subdienstleister in keinem direkten Vertragsverhältnis steht. Daraus können erneut Risiken resultieren, die bei der Risikoanalyse entsprechende Berücksichtigung finden müssen.
Weitere Prüfungshandlungen
Nach MaRisk AT 4.2 Tz. 1 müssen bei umfangreichen Auslagerungen in den Strategien entsprechende Ausführungen zu diesen festgehalten werden. Zwar ist der Inhalt der Geschäftsstrategie grundsätzlich nicht Gegenstand einer Prüfung, die MaRisk-Konformität und damit die Vollständigkeit und Sinnhaftigkeit der Geschäftsstrategie sowie deren Konsistenz zur Risikostrategie fallen jedoch durchaus in die Prüfertätigkeit. Dies umso mehr, da die Einbindung der Auslagerungen auf die Beurteilung des internen Kontrollsystems ausstrahlt, und zwar sowohl in der Beurteilung der Aufbau- und Ablauforganisation (MaRisk AT 4.3.1 Tz. 2) als auch in der Beurteilung der Risikosteuerungs- und -controllingprozesse (MaRisk AT 4.3.2 Tz. 2).
Nach MaRisk BT 2.1 Tz. 1 sind die wesentlichen Auslagerungen in den Prüfungsplan der Internen Revision aufzunehmen. Die Beurteilung der ordnungsgemäßen und angemessenen Aufgabenerfüllung der Internen Revision liegt wiederum im Aufgabenbereich des Prüfers. Dies ist auch vor dem Hintergrund zu sehen, dass der Abschlussprüfer sich möglicherweise gezwungen sieht, Prüfungshandlungen auch in dem Auslagerungsunternehmen vorzunehmen, wenn das Institut und die Interne Revision dies nicht ausreichend getan haben.
Um ihren Aufgaben nachzukommen, muss die Interne Revision - genau wie der Prüfer - Kenntnis über die bestehenden Auslagerungstatbestände und deren Risiko- und Wesentlichkeitsbewertungen erlangen. Dafür wiederum bildet der jederzeitige MaRisk-konforme Einbezug der Internen Revision in die Risikoanalyse der jeweiligen Auslagerung eine wichtige Informationsbasis.
Die Interne Revision hat grundsätzlich die Prüfung der Auslagerungen in ihren Prüfungsplan aufzunehmen. Sie kann aber nach BT 2.1 Tz. 3 auf eigene Prüfungshandlungen verzichten und stattdessen die Prüfungsergebnisse der Internen Revision des Auslagerungsunternehmens verwenden. Dies setzt allerdings voraus, dass die durch das Auslagerungsunternehmen durchgeführten Revisionstätigkeiten den Ansprüchen genügen, die in den MaRisk AT 4.4 sowie BT 2 an die Interne Revision gestellt werden. Davon hat sich die Interne Revision des auslagernden Instituts laufend zu überzeugen. Dies gilt insbesondere vor dem Hintergrund, dass es sich bei den Auslagerungsunternehmen häufig um nicht aufsichtsrechtlich regulierte Dienstleister handeln dürfte. Daher muss der Prüfer ebenfalls die nachvollziehbare Dokumentation zur Verwendung von Prüfungsergebnissen fremder Revisionen würdigen.
Die Anforderungen an die Compliance-Funktion gehen nicht unmittelbar mit Auslagerungssachverhalten einher. Ausgangsbasis der Compliance-Funktion wird jedoch regelmäßig eine Bestandsaufnahme der wesentlichen Rechtsbeziehungen sein. Dies kann auch Auslagerungstatbestände betreffen. Werden somit von einem Institut Risiken aus der Nichteinhaltung rechtlicher Anforderungen ermittelt oder stellt die Compliance-Funktion im Rahmen ihrer Tätigkeit bei bestimmten Auslagerungen Compliance-Risiken fest, rückt die Auslagerungssteuerung auch in das Arbeitsfeld der Compliance-Funktion.
MaRisk-Novelle
Die BaFin hat am 19. Februar 2016 das Konsultationspapier zur 5. Novelle der MaRisk veröffentlicht. Auslagerungen stellen bei der Überarbeitung ein zentrales Thema dar, was wesentliche Veränderungen nach sich zieht:
Als klarstellende Abgrenzung vom sonstigen Fremdbezug wurde die Definition einer Auslagerung ausgedehnt. So gelten künftig die Verwendung einer Drittsoftware sowie diesbezügliche fachliche Unterstützungsleistungen als ein Auslagerungstatbestand, wenn es sich um eine Risikomanagementsoftware oder um ein Kernbanksystem handelt und die Software institutsindividuell angepasst wurde oder die Nutzung mit entsprechenden Dienstleistungen durch Dritte ver bunden ist. Ferner wurden besondere inhaltliche Anforderungen an die diesbezüglichen Auslagerungsverträge vorgegeben. Die Institute müssen daher die gemäß dieser Vorgaben bestehenden zusätzlichen wesentlichen Auslagerungen bestimmen, die vorhandenen Auslagerungsverträge inhaltlich überprüfen und gegebenenfalls neu verhandeln. Dies dürfte einige Institute vor die Herausforderung stellen, die Voraussetzungen zur Verwendung der Drittsoftware nachträglich zu schaffen.
Im Fokus der Novelle stehen ebenso Art und Umfang von Auslagerungen in den Kernbereichen der Institute wie das Risikocontrolling, Compliance und die Interne Revision. So wird ausdrücklich darauf hingewiesen, dass eine Vollauslagerung der Risikocontrollingfunktion nicht gestattet ist. Die Vollauslagerung der Bereiche Compliance und Interne Revision bleibt für kleine Institute im Sinne des Proportionalitätsprinzips auch künftig möglich. Da dies jedoch bereits heute so gelebt wird, sollte in dieser Darstellung eher eine Klarstellung als eine neue Anforderung zu sehen sein. Es wird zudem darauf hingewiesen, dass in diesen wichtigen Risikokontrollbereichen nur Auslagerungen möglich sind, wenn das auslagernde Institut weiterhin über fundierte Kenntnisse und Erfahrungen verfügt, um die ausgelagerten Bereiche selbst zu steuern und zu überwachen, um bei Bedarf jederzeit in der Lage zu sein, eine Rückverlagerung ohne eine Störung der Betriebsabläufe vorzunehmen.
Das auslagernde Institut muss zudem, soweit sinnvoll und möglich, in Ergänzung der Anforderungen an eine unerwartete oder unbeabsichtigte Beendigung von Auslagerungen, die mit einer erheblichen Beeinträchtigung der Geschäftstätigkeit verbunden sein können, eine Ausstiegsstrategie festlegen oder zumindest eine angemessene Berücksichtigung in der Notfallplanung vornehmen. Die so vorgegebenen Handlungsoptionen müssen regelmäßig und anlassbezogen überprüft werden.
Daneben wird die Implementierung eines zentralen Auslagerungsmanagements gefordert. Dieses soll den Gesamtüberblick über die bestehenden Auslagerungen gewährleisten sowie die Kontroll- und Überwachungsaufgaben übernehmen. Eine weitere Aufgabe des zentralen Auslagerungsmanagements wird in der regelmäßigen wie auch anlassbezogenen Risikoanalyse unter Berücksichtigung gegebenenfalls bestehender Weiterverlagerungen gesehen. Insgesamt soll durch das zentrale Auslagerungsmanagement eine einheitliche Steuerung, Behandlung und Beurteilung der Auslagerungsverhältnisse sichergestellt werden. Obwohl der Proportionalitätsgedanke an dieser Stelle in die Formulierung der MaRisk nicht eingeflossen ist, geht das Konsultationspapier der BaFin vom 19. Februar 2016 davon aus, dass dieses zentrale Auslagerungsmanagement insbesondere bei Instituten mit einem umfangreichen Auslagerungsbestand erforderlich ist.
Daneben werden zukünftig die Berichte für wesentliche Risiken und Funktionsbereiche vierteljährlich gefordert. Gerade bei kleinen Instituten dürften die damit verbundenen Mehraufwendungen wohl einige Dienstleistungsbeziehungen in Frage stellen, wie beispielsweise die häufig anzutreffende Auslagerung der Internen Revision. Dabei darf angezweifelt werden, ob eine zwingend vorgegebene vierteljährjährliche Revisionsprüfung- und -berichterstattung bei kleinen Instituten nennenswerte Mehrerkenntnisse hervorbringen. Daneben ist es nach dem Konsultationspapier der BaFin ausdrücklich wünschenswert, wenn kleine Institute weiterhin die Möglichkeit haben, durch Auslagerungen eine Expertise von außen zu gewinnen. Es wäre deswegen empfehlenswert gewesen, den Proportionalitätsgedanken für die Berichterstattung ausdrücklich zu integrieren.
Schlussfolgerungen
Auslagerungen stehen in einem deutlichen Fokus der Aufsicht, was die Erweiterungen und Konkretisierungen im Rahmen des Entwurfes der 5. Novelle der MaRisk nochmals verdeutlichen. Die Erfüllung dieser neuen Anforderungen an die Auslagerungen dürfte mit weiteren Anstrengungen und Aufwendungen für die Institute verbunden sein, wie beispielsweise die Einrichtung eines zentralen Auslagerungsmanagements sowie die Überprüfung und Nachbesserung der bestehenden Auslagerungsverträge, insbesondere bei Softwaredrittbezugsverträgen.
Der Prüfer ist gehalten, die Umsetzung der an die Auslagerungen gestellten Anforderungen zu prüfen, zu beurteilen und hierüber im Rahmen der Jahresabschlussprüfung Bericht zu erstatten. Basis für eine MaRisk-konforme Prüfungstätigkeit bilden die Verfahren der Institute, welche die vollständige Erfassung vertraglicher Beziehungen gewährleisten sowie deren Kategorisierung und Risikobewertung. Diesen Aktivitäten und Prozessen wird der Prüfer deshalb eine besondere Aufmerksamkeit im Rahmen seiner Tätigkeiten widmen.
Besonderer Bedarf ergibt sich hinsichtlich der Erfüllung aufsichtsrechtlicher Anforderungen bei bestehenden Weiterverlagerungen (gegebenenfalls sogar Weiterverlagerungsketten), insbesondere bei Aus- und Weiterverlagerungen an aufsichtsrechtlich nicht regulierte Dienstleister. Daneben wird sich der Prüfer intensiv mit den eigenen Kontrollaktivitäten des Instituts befassen. Eine besondere Bedeutung kommt den Prüfungstätigkeiten der Internen Revision zu. Diese geben dem Prüfer zudem wertvolle Hinweise zur Planung seiner eigenen Prüfungsaufgaben. Die Beurteilung der Revisionstätigkeit des Instituts steht dabei ebenfalls in seinem Aufgabenbereich.
Der Entwurf zur 5. MaRisk-Novelle bringt weitere Anstrengungen im Bereich der Auslagerungen mit sich. Die betroffenen Institute sollten daher die für sie notwendigen Aufgaben rechtzeitig diagnostizieren und sich diesen neuen Herausforderungen zeitnah stellen. Dabei ist es sicher empfehlenswert, die geplanten Vorkehrungen zur Erfüllung der identifizierten zusätzlichen Anforderungen im Vorfeld auch mit dem Prüfer zu besprechen.