Die dynamischen Entwicklungstendenzen in der deutschen Investmentbranche sorgten für ein Überdenken des vorherrschenden Geschäftsmodells, alle Stufen der Wertschöpfungskette zur Verwaltung von Sondervermögen selbst zu erbringen (Full-Service KAG). Als Folge ist ein Trend zur Fokussierung auf die Kernkompetenzen unter Einbeziehung von externem Knowhow und dem Ausnutzen von Skaleneffekten zu erkennen,1) besonders durch die Auslagerung von Fondsmanagement- und Fondsadministrationsleistungen.
Aufsichtsrechtliche Rahmenbedingungen der Auslagerung
In vielen Fällen der Auslagerung besteht noch Ungewissheit bezüglich des Umfangs und der Intensität des Outsourcing-Controllings (OC), wie es aus § 16 InvG und den §§ 9 und 9a InvG ersichtlich ist. Die Verfasser leiten die Tätigkeit des OC von der Dienstleistungsqualität und den mit der Auslagerung verbundenen Risiken ab. Nicht nur in diesem Zusammenhang gewinnt professionelles Risikomanagement immer mehr an Bedeutung, was zunehmend in der Erwartungshaltung der Marktteilnehmer und Anleger zum Ausdruck kommt.
Bis zum Inkrafttreten des Investmentänderungsgesetzes vom 28. Dezember 2007 galt das Investmentgeschäft im Sinne des § 7 Abs. 2 InvG als Bankgeschäft (§ 1 Abs. 1 S. 2 Nr. 6 KWG) und damit KAGn als Kreditinstitute, die die einschlägigen Vorschriften - einschließlich der MaRisk (Rundschreiben 5/2007 der BaFin vom 30. Oktober 2007) als Auslegung von § 25a KWG - zu beachten hatten. Vergleichbare Regelungen zugeschnitten auf KAGn wurden nun unmittelbar in das InvG aufgenommen.2) Die §§ 9 und 9a InvG bilden den Rahmen bezüglich der allgemeinen Verhaltensregeln und der Organisationspflichten. Überdies werden für die Auslagerung von Geschäften der KAG in § 16 InvG ergänzende Anforderungen gestellt. Eine Auslegung dieser Rahmenbedingungen - analog zu den MaRisk - existiert derzeit allerdings noch nicht. Insofern können die MaRisk zur Auslegung der obigen Regelungen hilfreich sein.3)
Implikationen auf die Ausgestaltung des OC: Zentral für die Ausgestaltung des OC ist die Erfüllung der Anforderungen des § 6 Abs. 1a InvG, nachdem die KAG "Maßnahmen zu ergreifen hat, die sie in die Lage versetzen, die Tätigkeit des Auslagerungsunternehmens jederzeit wirksam zu überwachen".4) Impliziert wird damit einerseits, dass das Controlling integraler Bestandteil des Risikomanagementsystems und nicht auslagerbar ist und andererseits, dass die mit der Auslagerung verbundenen Risiken jederzeit beurteilt und gesteuert werden können. Folglich darf die Auslagerung von Aktivitäten und Prozessen nicht zu einem Verlust der Risikenkontrolle beim auslagernden Unternehmen führen. Dementsprechend ist ein angepasstes OC zu implementieren. Die Intensität des OC korreliert dabei sowohl mit Art, Leistungsumfang, Komplexität und Risikogehalt der ausgelagerten Aktivitäten sowie der qualitativen Leistungsfähigkeit des Dienstleisters5) (siehe Abbildung 1).
Leistungsumfang und Risiken
Dies umfasst auch die regelmäßige Beurteilung der Leistung des Auslagerungsunternehmens anhand vorzuhaltender Kriterien.6) Entscheidend für die Ausgestaltung des OC sind somit der Leistungsumfang der Auslagerung sowie die Kenntnis der mit der Auslagerung verbundenen Risiken. Diese sind zu gewichten und mit Wahrscheinlichkeiten zu unterlegen, um die entsprechende Intensität der Überwachung festzulegen. Daraus leiten sich dann die Informationserfordernisse und Berichtspflichten des auslagernden Unternehmens ab. Letztendlich hat hier der Grundsatz der Proportionalität analog den MaRisk Gültigkeit.7)
Gegenüberstellung von Risikofeldern und risikomindernder Maßnahmen bei Auslagerungen: Im Nachfolgenden werden die wesentlichen Risikofelder der beiden am Markt häufigsten zu beobachtenden Auslagerungen - Fondsmanagement und Fondsadministration - sowie risikomindernden Maßnahmen dargestellt, die generell dazu geeignet sein können, die mit der jeweiligen Auslagerung verbundenen Risiken zu mindern.
Fondsmanagement
Im Hinblick auf ausgelagerte Fondsmanagementleistungen lassen sich Geschäftsrisiken durch eine Einteilung in "Manage-ment-, Kontroll- und Prozessschwächen sowie Fraud-Risiken" charakterisieren. An ein wirksames OC sind hinsichtlich der Risikofaktoren "Geschäftsrisiko & Performance" vor allem hohe qualitative Anforderungen an die durchzuführenden Tätigkeiten zu stellen, während bei den "operationellen Risiken" im Wesentlichen quantitative Auswertungen und Analysen im Vordergrund stehen.
Bei den Risikofaktoren "Geschäftsrisiko & Performance" bedarf es einer dezidierten Definition und Durchführung von Kontrollaktivitäten. In Abbildung 2 sind möglichen Risikofaktoren in Bezug auf das Geschäfts- und Perfomancerisiko Controllaktivitäten zugeordnet. In Abhängigkeit vom Risikoprofil des zu verwaltenden Sondervermögens und der Qualität (auch Reportingqualität) des Dienstleisters kann die Auswahl und Intensität der aufgeführten Controllingaktivitäten vorgenommen werden. Sinn und Zweck der Controllingaktivitäten soll darin bestehen, ein besseres Verständnis dafür zu bekommen, wie das Portfolio gesteuert wird, welcher Zusammenhang zwischen der Performance und der Risikostruktur gegeben und wie anfällig das Portfolio auf unerwartete Marktbewertungen ist. Ein standardisiertes Reporting sowie entsprechende Eskalationsmechanismen führen zu einer effizienten Umsetzung des Controllingprozesses. Um die operationellen Risiken, die sich aus einem Auslagerungsverhältnis von Fondsmanagement und Advisory ergeben, angemessen überwachen und steuern zu können, sind weitere Aktivitäten notwendig. Eine mögliche Auswahl ist der Abbildung 3 zu entnehmen.
Im Informationsaustausch zwischen dem auslagernden Unternehmen und dem Auslagerungsunternehmen haben sich internationale Kontrollreports etabliert, welche die Angemessenheit der internen Kontrollsysteme des Dienstleisters beurteilen. Die effektivste Überwachung des Risikofaktors "angemessenes IKS beim Outsourcing-Partner beziehungsweise Berater" stellt der Kontrollreport i. S. v. IDW PS 951 dar. Auch die BaFin ist der Ansicht, dass Kontrollreports Bestandteil eines effektiven OC sein sollten.8) Alternativ und ergänzend können die Prüfung des IKS des Auslagerungsunternehmens durch die interne Revision, Konzernrevision beziehungsweise den Abschlussprüfer des Dienstleisters verwendet werden. In Bezug auf den Kontrollreport im Sinne von IDW PS 951 empfiehlt es sich, den aufzunehmenden Umfang mit dem Dienstleistungsunternehmen abzustimmen, da dieser flexibel definierbar ist.
Fondsadministration
In der Regel werden bei Auslagerung von Fondsadministrationsleistungen entsprechende "Kritische Performance Indicators" (KPI's) vereinbart. Anhand dieser sollen sowohl die vertraglichen Vereinbarungen als auch die mit den ausgelagerten Prozessen verbundenen Risiken überwacht werden. Im Nachfolgenden wird eine Auswahl risikomindernder Controllingaktivitäten zu den entsprechend identifizierten Risikofaktoren tabellarisch dargestellt (Abbildung 4): Zur Reduzierung der Risikofaktoren bieten sich - analog zu allen Auslagerungen - insbesondere die Analyse und Auswertung von Prüfungsergebnissen Dritter oder der Prüfungsberichte der Internen Revision (Konzernrevision) des Dienstleisters an.
Darüber hinaus ergeben sich weitere Prüfungshandlungen dort, wo gesetzlich keine Prüfungen durch Dritte erfolgen. Dies sind zum Beispiel die Halbjahresberichte und gegebenenfalls für Sondervermögen geforderte IFRS Reports. Die sachgerechte Erstellung ist zumindest einer kritischen Würdigung zu unterziehen. Weitere Prüfungshandlungen könnten bei besonderen Marktsituationen zum Beispiel im Zusammenhang mit der Bewertung von Wertpapieren notwendig werden. Zu berücksichtigen sind im Rahmen des OC auch der Einbezug von Depotbanken und Aufsichtsorganen. Im Hinblick auf ein sachgerechtes Kundenreporting ist die Überwachung der hierfür erstellten und versandten Berichte ebenfalls zentraler Bestandteil des OC.
Teil einer nicht delegierbaren Leitungsaufgabe
Mit dem Inkrafttreten des Investmentänderungsgesetzes hat der Gesetzgeber klargestellt, dass das OC integraler Bestandteil einer nicht delegierbaren Leitungsaufgabe ist. Somit sind die externen Dienstleiter und damit die ausgelagerten Tätigkeiten zwingend in ein Risikomanagementsystem mit einzubeziehen.
Entscheidend für die Ausgestaltung des OC ist die Qualität des Auslagerungsunternehmens, der jeweilige mit ihm vereinbarte Leistungsumfang der Auslagerung sowie generell die Kenntnis der mit der Auslagerung weiter verbundenen Risiken. Zur Bestimmung des Umfangs der Kontrollmaßnahmen bedarf es aber noch der Unterlegung des Risikos mit der Wahrscheinlichkeit des Eintritts sowie der Bestimmung eines möglichen Schadenspotenzials. Diesbezüglich bedarf es eines Überblicks beziehungsweise einer Einschätzung der Qualität des internen Kontrollsystems des Auslagerungsunternehmens. Je qualitativ hochwertiger das IKS des Auslagerungsnehmers und die Dienstleistungsqualität (einschließlich möglichst standardisierter Controllingreports) ist, desto geringer ist das Risiko des auslagernden Unternehmens und der damit verbundene Controllingaufwand.
