Topical Requirements formulieren als Bestandteil der Internationalen Grundlagen für die berufliche Praxis (IPPF – International Professional Practices Framework) klare Erwartungen an die Internen Revision, indem sie einen Mindestrahmen für die Prüfung bestimmter Risikothemen vorgeben. Die Einhaltung ist für Prüfungsleistungen verbindlich.

Quelle: IIA. Hier klicken, um zum Originalbild zu gelangen.

Das Topical Requirement zum Drittparteienrisiko ist seit dem 15. September 2025 offiziell gültig und bietet einen einheitlichen Ansatz zur Bewertung der Governance, des Risikomanagements und der Kontrollprozesse im Umgang mit externen Dienstleistern. Eine Anwendbarkeit ist gegeben, wenn ein Drittparteienrisiko im Prüfungsplan der internen Revision enthalten ist, bei einer Prüfung identifiziert wird oder bei einer Sonderprüfung, die nicht im ursprünglichen Prüfungsplan enthalten war.

Als Drittpartei wird eine externe Einzelperson, Gruppe oder Einrichtung definiert, mit der eine Organisation eine Geschäftsbeziehung aufbaut, um Produkte oder Dienstleistungen zu erhalten. Die Beziehung kann durch einen Vertrag, eine Vereinbarung oder auf andere Weise formalisiert werden, um der Organisation Produkte, Dienstleistungen, Arbeitskräfte, Fertigung oder IT-Lösungen, z. B. Datenspeicherung, -verarbeitung und -pflege, zur Verfügung zu stellen.

Kernpunkte des neuen Topical Requirements

Mit dem neuen Topical Requirement werden für den Berufsstand der Internen Revision klare Anforderungen für eine effektive und strukturierte Prüfung von Drittparteien definiert. Wichtige Bestandteile sind hierbei:

• Governance zum Einsatz von Drittparteien: Prüfung der Governance-Strukturen zur Auswahl, Überwachung und Kommunikation mit Drittparteien (Richtlinien, Aufgaben und Zuständigkeiten). Zentral ist die Frage der Steuerung der Drittanbieterbeziehung während des gesamten Lebenszyklus der Beauftragung. Eine regelmäßige Berichterstattung über Risiken und Schwachstellen ist essenziell, damit das Management fundierte Entscheidungen treffen kann.
• Effektives Risikomanagement: Prüfung standardisierter Prozesse zur fortlaufenden Identifizierung, Bewertung und Steuerung von Risiken im Zusammenhang mit Drittparteien über den gesamten Lebenszyklus. Die Risikobewertung umfasst dabei strategische, finanzielle, operationelle, ethische, rechtliche und andere relevante Risiken (u. a. IT, Cybersicherheit, Compliance, Nachhaltigkeit). Maßnahmen zur Risikoreaktion und Eskalationsprozesse sind zentrale Elemente.
• Kontrollen und Überwachung von Drittparteien: Existenz eines soliden Due-Diligence-Prozesses zur Auswahl von Drittparteien, eines effektiven Vertragsmanagements und fortlaufender Überwachungsprozesse zur Sicherstellung der Vertragserfüllung (kontinuierliche Leistungsbewertung). Die schließt einen formalisierten „Offboarding“-Plan mit ein.

Drittparteien als ein kritischer Prüfungsbereich

Die zunehmende Auslagerung von Geschäftsprozessen an externe Dienstleister macht es für die auslagernde Organisationen unerlässlich, die damit verbundenen Risiken wie Cybersicherheit, Compliance, Reputations- und Transparenzprobleme zu steuern. Fehlende Transparenz und Kontrolle über ausgelagerte Prozesse können Auswirkungen auf die auslagernde Organisation haben, wenn eine Drittpartei nicht die vertraglich vereinbarte Leistung erbringt, sich an unethischen Praktiken beteiligt oder eine Disruption ihres eigenen Geschäfts erfährt. Die Interne Revision spielt eine entscheidende Rolle dabei, sicherzustellen, dass auslagernde Organisationen angemessene Governance-, Risikomanagement- und Kontrollprozesse zur Überwachung ihrer Drittparteien etabliert haben.

Spezifische Anforderungen an Kreditinstitute gemäß AT 9 der MaRisk

Die Topical Requirements sind weltweit anzuwenden und bilden einen prüferischen Mindestrahmen für die Abdeckung bestimmter Risikobereiche durch die Interne Revision, unabhängig von der Größe, der Branche oder dem Reifegrad einer Organisation.
Die Organisation kann jedoch auch regulatorischen Anforderungen, externen Standards oder Rahmenwerken unterliegen, die sich mit dem Anwendungsbereich eines Topical Requirements überschneiden oder darüber hinausgehen. Dies betrifft z. B. deutsche Kreditinstitute mit den Mindestanforderungen an das Risikomanagement (MaRisk), herausgegeben von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).

So enthalten die MaRisk im Abschnitt AT 9 spezielle Anforderungen an die Zusammenarbeit mit externen Dienstleistern. Diese umfassen u. a.:

• Risikoanalyse: Umfassende Analyse der potenziellen Risiken, die aus der Zusammenarbeit mit Drittparteien entstehen können.
• Vertragsgestaltung: Klar definierte Verträge, welche die Verantwortlichkeiten und Haftungs- und Überprüfungsregelungen festlegen.
• Überwachung und Kontrolle: Regelmäßige Leistungsbeurteilung und Überprüfung der Dienstleistungserbringung externer Partner.

Das Topical Requirement zum Drittparteienrisiko und AT 9 der MaRisk weisen zunächst viele Gemeinsamkeiten auf. So betonen beide Dokumente die Notwendigkeit einer umfassenden Risikoanalyse und fordern klare Vertragsgestaltungen und regelmäßige Überwachungsmechanismen. Das Topical Requirement bietet jedoch detailliertere praktische Anwendungsbeispiele und Handlungsempfehlungen, während AT 9 der MaRisk spezifische Anforderungen an die Vertragsinhalte sowie einschränkende Bedingungen zur Auslagerbarkeit der Risikocontrolling- und der Compliance-Funktion sowie der Internen Revision formuliert.

Mögliche Handlungsfelder

Die auslagernde Organisation behält die Verantwortung für die Risiken, die mit einer Zusammenarbeit mit Drittparteien verbunden sind. Hierfür gibt es mehrere Ansätze, um die Qualität der Governance-, Risikomanagement- und Kontrollprozesse zum Drittparteienrisiko zu verbessern, beispielweise:

• Schulung und Sensibilisierung: Regelmäßige Schulungen für alle relevanten Abteilungen, um das Bewusstsein für Drittparteienrisiken zu erhöhen.
• Vertragsmanagement: Einführung eines strukturierten Vertragsmanagements, das alle Verträge mit externen Dienstleistern erfasst und regelmäßig überprüft.
• Risikomanagement-Tools: Implementierung von spezialisierten Risikomanagement-Tools zur kontinuierlichen Überwachung und Analyse der Risiken.
• Audits und Reviews: Regelmäßige interne Überprüfungen der Zusammenarbeit mit Drittparteien, um sicherzustellen, dass die vertraglich vereinbarten Dienstleistungen ordnungsgemäß erbracht und die regulatorischen Anforderungen erfüllt werden.

Fazit

Das Topical Requirement zum Drittparteienrisiko bietet einen wertvollen Rahmen zur Identifikation, Bewertung und Steuerung von Risiken, die aus der Zusammenarbeit mit externen Dienstleistern entstehen. Durch die Berücksichtigung der spezifischen Anforderungen gemäß AT 9 der MaRisk können Kreditinstitute ihre Governance-, Risikomanagement- und Kontrollprozesse verbessern und zeitgleich die regulatorischen Anforderungen erfüllen.

Für weitere Informationen oder zur Unterstützung bei der Umsetzung des Topical Requirements zum Drittparteienrisiko stehen Ihnen die Spezialisten von ETL consit gerne zur Verfügung.

ETL consit ist ein Unternehmen der Gruppe ETL Prüfung & Beratung. Alle Leistungen im Überblick – in unserem Branchencenter Financial Services.