Auslagerungssteuerung und die Rolle der Internen Revision

Die aktuelle vierte Novelle der Mindestanforderungen an das Risikomanagement (MaRisk) wurde am 14. Dezember 2012 veröffentlicht. Sie trat am 1. Januar 2013 mit einer Übergangsfrist für neue Anforderungen bis zum 31. Dezember 2013 in Kraft.

Hinsichtlich des Themas Outsourcing wurde im AT 9 Tz. 5 explizit die Anforderung aufgenommen, dass für Fälle einer unbeabsichtigten oder unerwarteten Beendigung einer wesentlichen Auslagerung, die mit einer erheblichen Beeinträchtigung der Geschäftstätigkeit verbunden sein können, etwaige Handlungsoptionen auf ihre Durchführbarkeit zu prüfen sind. Inbesondere die Themen "Auslagerung" und "Auslagerungssteuerung" stehen im Fokus der Betrachtung, wie die Erfahrungen in der Praxis und die Prüfungsschwerpunkte der Aufsicht, welche im Rahmen von § 44 KWG-Prüfungen gesetzt werden, derzeit zeigen.

Dabei stellt sich unter anderem die Frage, welche Rolle die Interne Revision bei Auslagerungen und deren Steuerung spielt, wie Auslagerungen als Prüfungsobjekt Gegenstand der Betrachtung sein können und in welcher Form eine Auslagerung der Internen Revision und anderweitig erbrachter Revisionstätigkeiten möglich ist.

Aufsichtsrechtliche Anforderungen

Die aufsichtsrechtlichen Anforderungen an die Interne Revision im Zusammenhang mit Auslagerungen ergeben sich aus § 25 a Abs. 1 Nr. 3 KWG sowie den MaRisk, insbesondere AT 9 sowie AT 4.4.3 und BT 2.

Die Rolle der Internen Revision geht dabei über die Prüfung der Auslagerungssteuerung hinaus. So muss die Interne Revision beispielsweise bei der Erstellung der regelmäßigen und anlassbezogenen Risikoanalysen eingebunden werden, die ausgelagerten Aktivitäten und Prozesse sind ebenso wie die Auslagerungssteuerung und das Risikomanagement zu prüfen. Weiterhin ist die Funktionsfähigkeit der Revision des einlagernden Unternehmens zu überwachen oder durch eigene (Sonder-)Prüfungen sicherzustellen.

Herausforderungen für die Interne Revision ergeben sich in der Praxis dabei insbesondere in der Wahrung der eigenen Unabhängigkeit sowie in der Sicherstellung der eigenen Funktionsfähigkeit. Die Erfahrung zeigt: Die Interne Revision hat bei Erledigung ihrer Aufgaben verschiedene Informationen und Informationsquellen zu verknüpfen und die Vollständigkeit der Prüfungsplanung sowie die angemessene Ausgestaltung von Prüfungsprogrammen sicher zustellen. An der Schnittstelle zur Auslagerung ist eine lückenlose und überschneidungsarme Abgrenzung der Prüfungsgegenstände zu treffen.

Auslagerungssteuerung als Prüfungsobjekt

Die MaRisk verdeutlichen es: Die Verantwortung der Internen Revision hat sich auf alle - selbst die ausgelagerten Aktivitäten und Prozesse - zu beziehen (AT 4.4.3 Tz. 3), und alle Aktivitäten sollten innerhalb von mindestens drei Jahren Gegenstand der Prüfungsplanung sein, auch wenn diese auslagert sind (BT 2.3). BT 2.1 erlaubt es dabei explizit, dass im Falle wesentlicher Auslagerungen auf ein anderes Unternehmen die Interne Revision auf eigene Prüfungshandlungen verzichten kann, sofern die anderweitig durchgeführte Revisionstätigkeit den Anforderungen des AT 4.4 und BT 2 genügt.

Die Prüfungsthemen der Internen Revision können sich dabei an dem Auslagerungsprozess orientieren und sich über alle Phasen des Auslagerungsprozesses, bestehend aus Auslagerungsentscheidung, Due Diligence, vorvertragliche Phase, Vertragsphase und Beendigung der Auslagerung, erstrecken, wie anhand der Abbildung unten zu sehen ist.

Die Prüfungsthemen einer ausgelagerten Aktivität können sich dabei auf die folgenden Aspekte beziehen:

- Fachliche Prüfung der ausgelagerten Aktivität.

- Überprüfung der Risikoanalyse auf ordnungsgemäße Anwendung, Aktualität, Dokumentation und Nachvollziehbarkeit.

- Überprüfung der Wahrnehmung der Überwachungs- und Steuerungsfunktion, in der Regel in der sogenannten "Retained Organisation".

- Überprüfung des Reportings hinsichtlich dessen Eignung und Angemessenheit sowie der Konsistenz zum vereinbarten Service Level Agreement.

- Überprüfung der Ausgestaltung der Schnittstellen zur ausgelagerten Leistung in die Prozesse des Instituts.

- Überprüfung der Notfallkonzepte und des Business Continuity Managements.

Die Minimalanforderung der Ma-Risk stellt eine Prüfung aller Aktivitäten und Prozesse (BT 2.1 Tz. 1) sowie eine Begleitung von wesentlichen Projekten (BT 2.1 Tz. 2) dar.

Die Auslagerungen sind in der Prüfungsplanung zu berücksichtigen, was eine Kenntnis über die bestehenden Auslagerungen und sonstigen Leistungsbeziehungen einschließlich ihrer Wesentlichkeits- und Risikobewertung voraussetzt. Anschließend erfolgt eine Abgrenzung des Revisionsgegenstandes, um einerseits Prüfungslücken zu vermeiden sowie andererseits Mehrfachprüfungen und Prüfungsüberschneidungen zu minimieren. Ein mögliches Vorgehen zur Abgrenzung des Revisionsgegenstandes stellt beispielsweise die Erhebung der fachlichen, IT-seitigen oder organisatorischen Schnittstellen dar oder eine initiale Abgrenzung des Revisionsgegenstandes, ausgehend von dem Auslagerungsgegenstand und eine Spezifizierung der Revisionszuständigkeit an den identifizierten Schnittstellen. Anschließend erfolgt eine Grundsatzentscheidung zwischen der Durchführung eigener Prüfungshandlungen oder der Verwendung von Prüfungsergebnissen aus anderweitig durchgeführter Revisionstätigkeit.

Die Erkenntnisse aus der Praxis zeigen dabei, dass insbesondere die Komplexität im Falle von Auslagerungsketten eine zusätzliche Herausforderung bedeutet. Denn neben der (Erst-)Auslagerung sind die Weiterverlagerungen durch das Institut und die Interne Revision ebenfalls zu berücksichtigen. Hierbei ist der jeweilige Weiterverlagerungssachverhalt auch nach seiner MaRisk- Relevanz und Wesentlichkeit zu beurteilen. Bei der Auslagerung der Internen Revision handelt es sich um den ein zigen Auslagerungssachverhalt, der in den MaRisk mit ergänzenden expliziten Anforderungen versehen ist.

Auslagerung der Internen Revision

Grundsätzlich gilt die Vollauslagerung der Internen Revision als zulässig, gemäß AT 9 Tz. 2 Erläuterungen ist jedoch bei Auslagerungen von erheblicher Tragweite - wie es die der Internen Revision darstellen kann - intensiv zu prüfen, ob und wie eine Einbeziehung der ausgelagerten Aktivitäten und Prozesse in das Risikomanagement sichergestellt werden kann.

Weiterhin fokussieren sich die Ma-Risk auf die Rolle des Revisionsbeauftragten, der bei einer Vollauslagerung zu benennen ist und eine ordnungsgemäße Interne Revision gewährleisten muss (AT 9 Tz. 8). Seine Aufgaben umfassen dabei - in der Praxis oftmals gemeinsam mit dem Dritten, auf den die Interne Revisionsfunktion ausgelagert wurde - die Erstellung der Prüfungsplanung, die Erstellung des Gesamtberichtes sowie die Prüfung, ob die festgestellten Mängel abgestellt wurden. Über ausreichende Kenntnisse und die erforderliche Unabhängigkeit (siehe insbesondere AT 9 Tz. 8 Erläuterungen) muss auch der Revisionsbeauftragte verfügen.

Revisionsergebnisse Dritter

Sollte es im Rahmen einer Auslagerung nicht zur Durchführung eigener Prüfungshandlungen durch die Interne Revision kommen, so lässt BT 2.1 Tz. 3 den Verzicht auf eigene Prüfungshandlungen bei wesentlichen Auslagerungen zu, wodurch die Revisionstätigkeit anderweitig zum Beispiel durch einen Dritten oder durch die Interne Revision des insourcenden Unternehmens erfolgen kann. Die Voraussetzung dafür bildet der Umstand, dass diese den Anforderungen des AT 4.4 und BT 2 genügt. Das heißt, die Funktionsfähigkeit der "anderen" Internen Revision muss gegeben sein und durch die eigene Interne Revision regelmäßig (in der Regel mindestens jährlich) überprüft werden. Die relevanten Ergebnisse des Insourcers müssen zu diesem Zweck an die Interne Revision des Outsourcers gehen. Doch das Vorliegen der Revisionsergebnisse der "anderen" Revision allein reicht nicht aus. Vielmehr erfordert es eine aktive Auseinandersetzung mit den Ergebnissen aus anderweitig erbrachten Revisionsleistungen. Eine Prüfung der Funktionsfähigkeit ist auch dann notwendig, wenn die Auslagerung innerhalb einer Gruppe erfolgt.

Für die Prüfung der Funktionsfähigkeit stehen verschiedene Informationsquellen zur Verfügung. Die Prüfungserfahrungen in der Praxis zeigen: Die Verfügbarkeit dieser Informationsquellen hängt stark ab von der jeweiligen Auslagerungsbeziehung. Mögliche Informationsquellen können beispielsweise sein:

- Prüfungsergebnisse der Internen Revision;

- Follow-Up-Ergebnisse der Internen Revision;

- Risikoorientierte Prüfungsplanung

- Auszüge aus dem Prüfungsbericht des Jahresabschlussprüfers;

- Bestätigung der Funktionsfähigkeit durch eine Wirtschaftsprüfungsgesellschaft;

- Bericht über ein externes Quality Assessment der Internen Revision;

- Berichte über die Prüfung nach IDW PS 951.

Herausforderung

Eine Beurteilung der Funktionsfähigkeit der Internen Revision sollte auf Basis der Summe verschiedenster Informationen resultieren. Über die Beurteilung ist eine nachvollziehbare Dokumentation zu erstellen sowie eine entsprechende Beschreibung im Jahresbericht vorzunehmen.

Zusammenfassend lässt sich festhalten: Die steigende Komplexität im Themenfeld Auslagerungen und deren Steuerung nehmen starken Einfluss auf die Tätigkeiten der Internen Revision. Komplexe Auslagerungssachverhalte und Auslagerungsketten sind zu beachten und die Auslagerungen in der Prüfungsplanung- und Durchführung entsprechend zu berücksichtigen. Dabei zeigt sich schon in der Praxis, dass oftmals allein die Evidenz über bestehende Leistungsbeziehungen und eine nachvollziehbare, aktuelle und konsistente Klassifizierung dieser die Grundvoraussetzung für einen effektiven Umgang mit Auslagerungen in den Fachbereichen und durch die Interne Revision darstellt. Da Auslagerungen und deren Steuerung verstärkt im Fokus aufsichtlicher Prüfungen stehen, ist eine entsprechende Aufgabenwahrnehmung der Internen Revision zur Auslagerungssteuerung verstärkt vorzunehmen.