Die Verwendung eines Kontrollberichtes zur Überwachung von übertragenen Tätigkeiten kann neben anderen Kontrollmaßnahmen ein sehr effizientes Mittel zur Überwachung von übertragenen Tätigkeiten sein. Es ist jedoch nicht damit getan, den Kontrollbericht sorgfältig in einem Ordner abzuheften.
Die Verwendung eines Kontrollberichtes zur Überwachung von übertragenen Tätigkeiten kann neben anderen Kontrollmaßnahmen ein sehr effizientes Mittel zur Überwachung von übertragenen Tätigkeiten sein. Es ist jedoch nicht damit getan, den Kontrollbericht sorgfältig in einem Ordner abzuheften.Einbeziehung Dritter
Das Luxemburger Fondsgesetz sieht vor, dass eine Verwaltungsgesellschaft eine oder mehrere ihrer Aufgaben zum Zwecke einer effizienteren Geschäftsführung an Dritte übertragen kann. Doch die Verwaltungsgesellschaft muss über Mittel verfügen, die übertragenen Tätigkeiten wirksam zu überwachen. Die Haftung für die übertragenen Tätigkeiten verbleibt bei der Verwaltungsgesellschaft.
Der Lebenszyklus der Auslagerung von Tätigkeiten umfasst drei Phasen: Die Initiierung der Auslagerung von Tätigkeiten an einen Dritten, die Lebensphase sowie die Terminierung bzw. Beendigung der Auslagerung von Tätigkeiten an einen Dritten.
Was Regulatoren wollen
Das CSSF Rundschreiben 12/546 spezifiziert in Punkt 7.1.8 die Aufgaben der Verwaltungsgesellschaft zur Überwachung der übertragenen Aufgaben. Vor Vertragsabschluss zur Auslagerung einer Tätigkeit sollte ein dokumentierter Due Diligence Prozess stattfinden. Ferner ist eine permanente Überwachung der übertragenen Tätigkeiten auszuüben. Gemäß CSSF Rundschreiben 12/546 muss die Verwaltungsgesellschaft Kontrollmaßnahmen zur Überwachung der Verwaltungsstelle, der Tätigkeit des Anlageverwalters, die Einhaltung der Vertriebsgrundsätze sowie die Überwachung des Marktrisikos beinhalten. Im Falle eines vorhandenen Kontrollberichtes gemäß ISAE 3402 kann dieser im Rahmen der Kontrollmaßnahmen berücksichtigt werden.
Zur Bestimmung des Ausmaßes der Überwachung sollte die im Rahmen des Due Diligence Prozesses erstellte Risikoanalyse zugrunde gelegt werden. Einige typische Kontrollmaßnahmen zur Überwachung der übertragenen Tätigkeiten sind unter anderem die Durchsicht von wesentlichen Performance Indikatoren („KPI“), Service Review Meetings zur Sicherung und Verbesserung der Service Qualität, Vorort-Prüfungen, Überprüfung des internen Kontrollsystems („IKS“) durch Einsichtnahme in die Dokumentation des IKS sowie durch Befragung, Einsichtnahme und Beobachtung, tägliche Überwachung der ausgelagerten Tätigkeiten und die Durchsicht von internen und/oder externen Kontrollberichten (z.B. ISAE 3402).
Checkliste
Bei Berücksichtigung eines vorhandenen Kontrollberichtes zur Überwachung der übertragenen Tätigkeiten ist dieser, um effektiv verwendet zu werden, auf mehrere Kriterien hin – siehe beispielhaft die folgende nicht abschließende Aufzählung – zu analysieren:
- Sind die übertragenen Tätigkeiten durch den Kontrollbericht in ausreichendem Maße abgedeckt und genügen die Kontrollbeschreibungen den Anforderungen der auslagernden Verwaltungsgesellschaft? Sprich, ist die Verwaltungsgesellschaft der Auffassung, dass die beschriebenen Kontrollen ausreichen, um die mit der übertragenen Tätigkeit verbundenen Risiken verhindern oder zeitnah aufdecken zu können?
- Im Falle, dass der Dienstleister sich für die Erbringung der übertragenen Tätigkeit zusätzlicher Dienstleister (“Subservice Organization”) bedient, ist zu klären, ob die Kontrollen des zusätzlichen Dienstleisters durch den Berichtsumfang des Kontrollberichtes des Dienstleisters abgedeckt sind (“Inclusive method”) oder nicht (“Carve-out method”);
- Werden die beschriebenen Kontrollen für die jeweiligen Fonds der Verwaltungsgesellschaft durchgeführt und waren diese in der Grundgesamtheit für die Stichproben des externen Prüfers enthalten? Diese Information sollte in der Regel aus der Beschreibung des Berichtsumfanges im beschreibenden Teil des Kontrollberichtes hervorgehen;
- Hat es Prüfungsfeststellungen bei einzelnen Kontrollen gegeben oder wurde das Prüfungsurteil für einzelne Kontrollziele eingeschränkt? Ist dies der Fall, muss die Verwaltungsgesellschaft die festgestellten Kontrollschwächen auf Art und Umfang analysieren. Gibt es zusätzliche Kontrollen im internen Kontrollsystem des Dienstleisters, um identifizierte Kontrollschwächen zu kompensieren? In der Regel werden im Kontrollbericht identifizierte Kontrollschwächen von der Geschäftsführung des Dienstleisters kommentiert. Ist dies zutreffend, ist in einem nächsten Schritt zu prüfen, ob die Kommentierung der Prüfungsfeststellung durch die Geschäftsführung vom Prüfungsurteil des externen Prüfers abgedeckt ist. Dies ist nicht immer der Fall. Gegebenenfalls ist hier auch eine Vorort-Prüfung sinnvoll;
- Welchen Zeitraum deckt der vorliegende Kontrollbericht ab? Im Falle von einem abweichenden Berichtszeitraum zum überwachten Zeitraum sollte eine schriftliche Bestätigung durch die Geschäftsführung des Dienstleisters eingeholt werden, um eventuelle Änderungen des Kontrollumfeldes identifizieren zu können. Der Berichtszeitraum des Kontrollberichtes sollte nicht mehr als 12 Monate zurückliegen;
- Oftmals verweist der Kontrollbericht eines Dienstleisters auf Kontrollen bei der auslagernden Verwaltungsgesellschaft (“Complementary User Entity Controls”) die vorausgesetzt werden, damit die im Bericht beschriebenen Kontrollziele erreicht werden können. Hier ist zu prüfen, dass diese Kontrollen bei der auslagernden Verwaltungsgesellschaft implementiert sind.
Die Auswertung des Kontrollberichtes, sowie die daraus resultierenden Schlussfolgerungen, insbesondere von identifizierten Prüfungsfeststellungen sollten entsprechend begründet und schriftlich dokumentiert werden.
„Wir haben doch den ISAE“ – und alles ist gut?
Die Verwendung eines Kontrollberichtes kann ein effizientes Werkzeug zur Überwachung von übertragenen Tätigkeiten sein, sofern der Kontrollbericht wie oben beschrieben effektiv verwendet wird. Hierzu ist eine ausführliche Analyse des Kontrollberichtes erforderlich. Diese hilft Kontrollschwächen und damit verbundene Risiken zu identifizieren. Jedoch: Die Verwendung eines Kontrollberichtes sollte nicht die einzige Maßnahme zur Überwachung der übertragenen Tätigkeiten sein, sondern vielmehr eine von mehreren Kontrollmaßnahmen darstellen. Schließlich geht es nicht darum, die Aufsicht und den Abschlussprüfer zufriedenzustellen, sondern auch mögliche Haftungsrisiken aus der Tätigkeit als Geschäftsführer zu minimieren.
