Den meisten Verantwortlichen für den Bereich Compliance ist die Vorgabe zur Erstellung einer Risikoanalyse sicherlich nicht unbekannt. Aber was steckt genau dahinter und weshalb handelt es sich bei der in den Mindestanforderungen für das Risikomanagement (MaRisk) niedergelegten Maßnahme um eine MUSS-Bedingung im Bereich der Auslagerungen? Oder gibt es vielleicht doch Einschränkungen?
Wann ist es Zeit sich mit einer Risikoanalyse zu beschäftigen?
Spätestens dann, wenn ein Kredit- oder Finanzdienstleistungsinstitut eine Auslagerung plant, wird sich das Compliance und/oder Risikocontrolling die Frage nach der Notwendigkeit einer Risikoanalyse stellen. Der Sachverhalt eines Outsourcings ist immer dann gegeben, wenn das Institut einen Dritten mit der Ausführung einer Aktivität oder eines Prozess aus dem (Kern-)Geschäft des Instituts beauftragt. Ausgenommen hiervon sind jedoch Dienstleistungen aus dem gelegentlichen und einmaligen Fremdbezug und Tätigkeiten die jetzt und in Zukunft nicht vom Institut selbst erbracht werden können (siehe hierzu MaRisk AT 9 Tz. 1) oder von vornherein ausgeschlossen sind (siehe hierzu MaRisk AT 9 Tz. 4). Konnte der Sachverhalt eines Outsourcings eindeutig identifiziert werden? Dann ist es an der Zeit sich mit der eingangs erwähnten Maßnahme zu beschäftigen.
Vorgaben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)
Die Aufsicht hat uns hierzu eine klare Anforderung gestellt. Den aktuellen MaRisk unter AT 9 Tz. 2 kann man entnehmen, dass sich Institute die Frage nach dem Risikogehalt einer Auslagerung eigenverantwortlich zu beantworten haben. Die hierzu erforderliche Analyse hat auf Basis einer Bewertung hinsichtlich etwaiger Risiken und deren Klassifizierung zu erfolgen, um zu klären, ob die auszulagernde Aktivität oder der auszulagernde Prozess unter Risikogesichtspunkten mit einem hohen Risiko für das Institut zu bewerten ist und weitere Maßnahmen zu ergreifen sind. Je komplexer die auszulagernde Tätigkeit, desto detaillierter sollte auch die Analyse der Risiken sein. Mit der Novelle der MaRisk wurden den Kredit- und Finanzdienstleistungsinstituten mit Zugehörigkeit zu einer Institutsgruppe zudem auferlegt, entsprechende Rahmenbedingungen der Gruppe zu beachten. Zudem erfolgte einer Klarstellung des zu beachtenden Turnus.
Welches Risiko steckt hinter einer Auslagerung?
Ein Outsourcing geht immer mit einem teilweisen oder vollständigen Kompetenz- und Wissensverlust einher. Egal aus welchen Gründen man sich für die Beauftragung eines Dritten entscheidet, muss sich ein Institut im Klaren darüber sein, dass entsprechendes Wissen verloren geht und ggf. nur mühsam wiederbeschafft werden kann.
Konsequenzen einer fehlenden oder fehlerhaften Risikoeinschätzung
Mit Hilfe der geforderten Analyse kann ein Institut feststellen, ob eine Auslagerung unter Risikogesichtspunkten wesentlich ist. Der Begriff der Wesentlichkeit steht hier im Zusammenhang mit einem hohen Risiko für das Institut und der Notwendigkeit einer Überwachung der Durchführung durch den Auslagerungspartner. Im Falle einer entsprechenden Klassifizierung sind eine Vielzahl zusätzlicher Vereinbarungen zu treffen (siehe hierzu u.a. MaRisk AT 9 Tz. 7). Sollte das Institut in Folge einer fehlenden oder fehlerhaften Risikoeinschätzung keine entsprechenden Kontroll- und Überwachungsmöglichkeiten vereinbart haben, wird sich der Vertragspartner vermutlich nur schwer auf eine Anpassung des Vertrages einlassen und dem Kredit- oder Finanzdienstleistungsinstitut fehlt der notwendige Handlungsspielraum. Weitere Folgen sind eine wesentliche Feststellung im Rahmen der jährlichen Jahresabschlussprüfung und die beschwerliche Suche nach einem neuen Partner (sofern keine vertragliche Anpassung möglich ist).
Bedeutung für die Zusammenarbeit mit dem Geschäftspartner
Der Geschäftspartner muss sich u.a. auf umfangreiche Informations- und Prüfrechte durch die Interne Revision (ggf.) des Instituts und deren externer Prüfer einlassen (siehe hierzu MaRisk AT 9 Tz.7). Es ist daher von besonderer Bedeutung, den Sachverhalt einer Wesentlichkeit bereits bei den Vertragsverhandlungen zu kommunizieren. So kann einer Störung der Verhandlungen bzw. des Vertragsverhältnisses vorgebeugt werden.
Zeitpunkt und Rahmen der erstmaligen Erstellung einer Risikoanalyse
Eine Risikoanalyse ist erstmalig vor Aufnahme der Geschäftsbeziehung mit einem Dritten und somit im Rahmen des Outsourcingprojektes durchzuführen. Nachdem es sich hierbei um eine umfassende Risikobewertung handelt, sind u.a. folgende Bereiche mit hinzuzuziehen: Interne Revision, Datenschutz, Risikocontrolling, Recht und der Projektleiter sowie zuständige Mitarbeiter der auslagernden Abteilung. In diesem Zusammenhang kann die Erstellung im Rahmen eines Gremiums mit stets gleichem Teilnehmerkreis empfohlen werden.
Ergebnis der Risikoanalyse
Sollte die Analyse ergeben, dass es sich beim geplanten Outsourcing um eine unter Risikogesichtspunkten wesentliche Auslagerung handelt, sind u.a. umfangreiche Kontroll- und Überprüfungsmöglichkeiten zu implementieren.
Im Gegenzug sind unwesentliche Auslagerungen für ein Institut mit einem geringeren Risiko versehen. Eine Beachtung der allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Abs. 1 KWG ist jedoch auch in diesen Fällen erforderlich (siehe hierzu MaRisk AT 9 Tz. 3).
Aktualisierung einer Risikoanalyse
Die erstellte Analyse ist jährlich sowie anlassbezogen (z.B. bei Änderungen innerhalb der Auslagerung) zu aktualisieren. Es sollte der gleiche Teilnehmerkreis wie bei der ursprünglichen Erstellung der Analyse gewählt werden, damit alle relevanten Aspekte Berücksichtigung finden. Zudem ist hervorzuheben, dass die auslagernde Abteilung zur Meldung an die verantwortliche Stelle bei etwaigen Änderungen verpflichtet ist.
Fazit
Keine Auslagerung ohne Risikoanalyse.
Auf Basis eines entsprechenden Formblatts zur Risikoanalyse kann ein Institut den Anforderungen der MaRisk AT 9 vollumfänglich gerecht werden.