AUFSICHT

Auslagerungen - mangelhafte Umsetzung der aufsichtsrechtlichen Vorgaben

Feststellungen der Aufsicht

Dr. Bodo Chrubasik, Foto: Bank Management Consult

Die Auslagerungen in der Kreditwirtschaft nehmen stetig zu. In der Prüfungspraxis zeigten Auslagerungen hinsichtlich der Umsetzung der aufsichtsrechtlichen Anforderungen signifikante Mängel. In der Folge erließ die Bankenaufsicht mehr Sonderprüfungen nach § 44 Gesetz über das Kreditwesen. Der Beitrag gibt einen Überblick zu Feststellungen aus verschiedenen Auslagerungsprüfungen. Die Ergebnisse bieten Orientierungshilfe für Kreditinstitute bei der Validierung der eigenen Umsetzung der regulatorischen Anforderungen an Auslagerungen. (Red.)

Bei den Prüfungen zur Einhaltung der aufsichtsrechtlichen Anforderungen an Auslagerungen zeigt sich insgesamt über alle Institute ein breites Spektrum an Feststellungen. Übergreifend betreffen die Feststellungen schwerpunktmäßig Mängel bei ausgelagerten Prozessen (wie fehlen de Vertragsvereinbarungen) und im Auslagerungsmanagement (wie unzureichend dokumentierte Risikoanalysen).1)

Defizite in der Relevanz und Fähigkeit

Basis für ein aufsichtskonformes Auslagerungsmanagement ist ein im Institut jederzeit vorhandener Überblick über den kompletten Bestand an Auslagerungsverträgen. Dafür ist Voraussetzung, die vollständige und richtige Erfassung aller aktuellen vertraglichen Beziehungen und die Klärung, ob der Sachverhalt eine Auslagerung im aufsichtsrechtlichen Verständnis darstellt oder einen sonstigen Fremdbezug beschreibt (Auslagerungsrelevanz, siehe Abbildung 1, Seite 34).

In der Praxis stellt man immer wieder fest, dass Institute eine zu enge Auslegung der regulatorischen Definition von Auslagerungen verwenden und damit nicht alle Auslagerungen als solche identifiziert werden. Dies betrifft insbesondere den Fremdbezug von IT-Dienstleistungen.

Grundsätzlich verwundert es deshalb nicht, wenn die Inventur der Auslagerungsverhältnisse regelmäßig Lücken aufweist. Wenn nicht alle Auslagerungen als solche identifiziert werden, kann das betroffene Kreditinstitut nicht gewährleisten, dass alle Auslagerungen gemäß den Anforderungen von AT 9 Mindestanforderungen an das Risikomanagement (MaRisk) behandelt werden. In der Konsequenz erfolgt für die nicht identifizierten Auslagerungen dann zum Beispiel auch keine Risikoanalyse. Somit kann das Institut nicht vollumfänglich sicherstellen, dass alle mit ausgelagerten Aktivitäten und Prozessen verbundenen Risiken angemessen identifiziert, bewertet und gesteuert werden.

Mängel in der Auslagerungsstrategie

Viele Institute weisen Mängel auf in der Auslagerungsstrategie, die den grundsätzlichen Umgang mit Auslagerungen regelt, die Grundlage darstellt für die Abwägung, ob eine Leistung intern oder extern erbracht werden kann und die den Aufbau eines geschäfts- und risikostrategiekonformen Auslagerungsportfolios gewährleisten soll (siehe Abbildung 2, Seite 34).

Konkret ist immer wieder festzustellen, dass ein übergeordneter strategischer Rahmen sowie Grundsätze und Zielvorgaben für Auslagerungsvorhaben existieren, diese aber nicht oder nur teilweise operationalisiert formuliert sind. Eine Operationalisierung ist aber für eine laufende Überprüfbarkeit der Vorgaben mittels einer Abweichungsanalyse zwingend notwendig. Nur dann ist es für einen Dritten möglich nachzuvollziehen, welches Auslagerungsziel durch die Auslagerung tatsächlich verfolgt wird und ob der mit der Auslagerung verfolgte Zweck erreicht wird. Auch Negativ-Aussagen wie "weitergehende Outsourcing-Aktivitäten sind zurzeit nicht geplant" sind als Vorgaben in der Auslagerungsstrategie denkbar.

Die Auslagerungsstrategie ist grundsätzlich mit der übergeordneten Geschäfts- und Risikostrategie abzustimmen und soll zudem verzahnt sein mit weiteren relevanten Funktionsbereichsstrategien wie der IT-Strategie. Die Vorgaben der IT-Strategie sind maßgeblich für den sonstigen Fremdbezug von IT-Dienstleistungen.

Schwächen bei der Risikoanalyse

Die Auslagerungsstrategie kann als eigenständiges Dokument formuliert sein. Denkbar ist, den entsprechenden Inhalt in die Geschäfts- und Risikostrategie zu integrieren.

Die Forderung, Auslagerungen angemessen in der Geschäftsstrategie zu berücksichtigen, hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) schon 2013 im Rahmen eines Querschnittvergleichs von Auslagerungsaktivitäten bei Kreditinstituten formuliert.

Neben der Auslagerungsstrategie weist auch die Risikoanalyse der Auslagerungen regelmäßig Schwächen auf. Die grundsätzlichen Anforderungen an eine angemessene Risikoanalyse sind im AT 9 Tz. 2 dargelegt. Allerdings besteht über die Notwendigkeit hinaus, alle wesentlichen Risiken der Auslagerung zu erfassen und die Risikoanalyse regelmäßig sowie anlassbezogen durchzuführen, keine konkrete aufsichtsrechtliche Vorgabe hinsichtlich Form und Ausgestaltung der Risikoanalyse. Dies führt zu einem breiten Ermessensspielraum bei der institutsspezifischen Umsetzung mit der Gefahr einer nicht aufsichtskonformen Ausgestaltung dieses Spielraums (siehe Abbildungen 3 und 4, Seite 35).

Ein immer wieder anzutreffendes methodisches Defizit in der Risikoanalyse ist die Tatsache, dass der finale Risikowert der ausgelagerten Aktivitäten und Prozesse als arithmetisches Mittel aller Einzelbewertungen ermittelt wird. Damit werden aber hohe Risikowerte tendenziell durch niedrigere Werte - in anderen Bewertungskriterien beziehungsweise Themenbereichen - geglättet. Somit werden inhärente Risiken von Auslagerungen unterschätzt. Eine gründliche Risikoanalyse erscheint zunächst aufwendig, ermöglicht aber langfristig geringere Folgeaufwände.2)

Bestehende Mängel und entsprechende Feststellungen setzen sich in den Auslagerungsverträgen fort. Hier werden die Institute an den Vorgaben gemessen, wie AT 9 Tz. 7 sie beschreibt. Durch Nichterfüllung dieser Anforderungen treten in Instituten immer wieder schwerwiegende Feststellungen (F3 oder sogar F4) auf, da vertragliche Regelungen bei Auslagerungen gänzlich fehlen, veraltet oder unvollständig sind. Bei älteren vertraglichen Vereinbarungen führen Nachträge, Anpassungen und Zusatzvereinbarungen häufig zu einer erschwerten Nachvollziehbarkeit, teilweise sogar zu Widersprüchlichkeiten im Vertrag.

Probleme in Auslagerungsverträgen

Häufig kommt es bei Prüfungen auch zu Beanstandungen, weil nicht alle regulatorisch geforderten Mindestbestandteile im Auslagerungsvertrag aufgeführt und vorgabenkonform festgeschrieben sind.

Ebenfalls ist immer wieder festzustellen, dass die Formulierung von Verträgen zum Fremdbezug von IT-Dienstleistungen nicht angemessen ist, weil sich Institute die Aufnahme umfassender und von Dienstleistern ungeliebter Regelungen in entsprechende Verträge ersparen wollen.

Andererseits kann so aber nicht sichergestellt werden, dass abgeschlossene Verträge für den Fremdbezug von (IT-) Dienstleistungen risikoadäquat ausgestaltet sind. Eine Vereinbarkeit mit § 25a KWG ist daher nicht zwingend sichergestellt (siehe Abbildung 5, Seite 36). Erwähnenswert ist auch, dass immer wieder Verträge in Instituten nicht ordnungsgemäß archiviert und bei Bedarf dann nicht auffindbar sind.

Schwachstelle Steuerung und Überwachung

In Bezug auf Service Level Agreements (SLAs) wird vielfach beanstandet, dass die SFO (Auslagerungsrichtlinie) keine expliziten Mindestanforderungen an den Inhalt von SLAs enthält.

Im Bereich der Steuerung und Überwachung von Auslagerungen waren in den vergangenen Jahren die häufigsten Feststellungen zu verzeichnen.3) So hat im Zeitraum 2008 bis 2013 die Aufsicht im Rahmen von Auslagerungsprüfungen

- 45 Feststellungen bei der Risikoanalyse,

- 75 Feststellungen bei Auslagerungsverträgen und

- 115 Feststellungen bei der Steuerung und Überwachung von Auslagerungen

getroffen.4)

Die Häufigkeit der Feststellungen zum Themenkomplex "Steuerung und Überwachung der Auslagerungen" resultiert auch aus der in vielen Instituten zunehmenden Verunsicherung über die konkreten Maßnahmen zur Risikoüberwachung. Oft weiß man offenbar nicht, in welchem Fall diese erforderlich sind und wie die Dokumentation dieser Maßnahmen zu erfolgen hat (Abbildungen 6 und 7 auf Seite 37).

Mängel in Bezug auf die Steuerung und Überwachung von Auslagerungen sind beispielhaft "keine nachvollziehbare Kontrollen, um die Berichterstattung des Dienstleisters zu überprüfen", das "Fehlen einer frühzeitigen Eskalation beziehungsweise Reaktion bei Abweichungen von vereinbarten Services (Schlechtleistung)" sowie der Sachverhalt, dass "Ergebnisse aus dem Kontrollprozess keinen Eingang finden in das Risikomanagement des auslagernden Instituts".

Schließlich wird häufig auch moniert, dass die formulierten - gegebenenfalls auch automatisch von einem Risikoanalyse-Tool vorgeschlagenen - risikomindernden Maßnahmen eher allgemein und nicht ausreichend sind, um sicherzustellen, dass die Risiken von ausgelagerten Aktivitäten und Prozessen angemessen gesteuert werden.

Self-Assessment für Auslagerungen

Auslagerungsrisiken sind zwingend in das Interne Kontrollsystem (IKS) einzubeziehen. Ohne Einbeziehung ist das gesamte Risikomanagementsystem unvollständig. Die Konsequenz sind Feststellungen, in Einzelfällen kann es sogar zu F4-Feststellungen kommen.5)

Die in den vergangenen Jahren durchgeführten Prüfungen zu Auslagerungen zeigen, dass in Instituten zum Teil signifikante Mängel bei einer aufsichtskonformen Berücksichtigung von Auslagerungsrisiken bestehen. Durch die damit einhergehende nicht umfassende und nicht angemessene Umsetzung der aufsichtsrechtlichen Anforderungen an Auslagerungen sind die zahlreichen und in ihrer Intensität zunehmenden Sonderprüfungen gemäß § 44 KWG, die von der BaFin angeordnet wurden nicht überraschend.

Die (Nicht-)Konformität der Auslagerungen mit den gesetzlichen und aufsichtsrechtlichen Vorgaben strahlt auf die Beurteilung des gesamten internen Kontrollsystems des Kreditinstituts aus. Jedes Institut sollte deshalb das "interne" Auslagerungsmanagement mit derselben Konsequenz verfolgen wie es im "externen" Verhältnis die Dienstleistungsbeziehung gestaltet. Ein proaktives, regelmäßig durchgeführtes Self-Assessment im Auslagerungsmanagement kann helfen, auf die nächste Prüfung gut vorbereitet zu sein. Durch einen Soll-Ist-Abgleich der relevanten Anforderungen an Auslagerungen mit der institutsspezifischen Umsetzung lassen sich potenzielle Feststellungen - auch in neuen Prüfungsfeldern - frühzeitig erkennen. Bei einer solchen Gap-Analyse kann die synoptische Darstellung ausgewählter Feststellungen im vorliegenden Artikel helfen. Es ist ratsam, die Mängelliste im Hinblick auf die eigene Betroffenheit durchzugehen, also aus den Fehlern anderer zu lernen und sich selbst nicht in Verlegenheit zu bringen.

Fußnoten

1) Siehe hierzu u. a. Ulrich, P.-O.: Anforderungen an Auslagerungen aus Sicht des Prüfers, FLF 1/2017; KPMG: An alles gedacht? - Herausforderungen bei der Erfüllung der aufsichtsrechtlichen Anforderungen von Auslagerungen 2016; Nemet, M.: MaRisk 2017 - Auslagerungen - Erfahrungen aus der Prüfungspraxis, Vortragsunterlagen sowie weitere Literaturquellen bei Chrubasik, B., Schütz, A.: Auslagerungen in der Kreditwirtschaft, 2018.

2) Chrubsik, B.: Auslagerungen im Fokus von Aufsicht und Abschlussprüfern, Vortragsunterlagen, Wuppertal 2018.

3) Beckmann, G., Daumann, M., Horn, S., Thieking, T.: Auslagerung nach MaRisk, Heidelberg 2018.

4) Mosdzin, D.: Prüfung der Dienstleistersteuerung - eine Herausforderung?, RP 02-03/2017.

5) Daumann, M.: MaRisk Auslagerung, in : Daumann, M., Leicht, S. (Hrsg.): Arbeitsbuch MaRisk 6.0, 2018.

DR. BODO CHRUBASIK ist Experte für das Thema Auslagerungsmanagement bei der Bank Management Consult GmbH & Co. KG, Göttingen.
E-Mail: b.chrubasik[at]bm-consult[dot]de
 
ACHIM SCHÜTZ ist geschäftsführender Partner der Bank Management Consult GmbH & Co. KG, Göttingen.
E-Mail: a.schuetz[at]bm-consult[dot]de
Dr. Bodo Chrubasik , Experte für das Thema Auslagerungsmanagement, Bank Management Consult GmbH & Co. KG
Achim Schütz , geschäftsführender Partner, Bank Management Consult GmbH & Co. KG

Weitere Artikelbilder

Noch keine Bewertungen vorhanden


X