Umsetzung der EBA-Guidelines zum Outsourcing als Anlass zur Überprüfung des Auslagerungsmanagements aus strategischer Sicht
Dr. Guido Drewes, GC&C Audit
Durchgängige Risikoorientierung und wirksamer Durchgriff auf Dienstleister im Fokus der neuen aufsichtlichen Rahmenbedingungen
Ende Februar wurden die Leitlinien der Europäischen Bankenaufsicht zum Outsourcing veröffentlicht. Die Inhalte sind lange bekannt; gleichwohl erfordern zahlreiche neue Detail-Anforderungen eine kritische Bestandsaufnahme durch die Institute. Aus strategischer Sicht sollte jedoch vor allem die generelle Erwartungshaltung der Aufsicht gesehen und reflektiert werden. So wird etwa klargestellt, dass
- aller Fremdbezug von Leistungen mit Risiken verbunden ist – daher sind vorherige Risikoanalyse und vollständige Transparenz auch für unwesentliche Auslagerungen erforderlich;
- auch bei Auslagerungen an gemeinsame, z. B. institutsgruppen- oder konzerninterne Dienstleister das Institut in der Verantwortung bleibt – daher ist auch in solchen Fällen eine zwar ggf. arbeitsteilige, aber dennoch wirksame Dienstleistersteuerung zu implementieren;
- Weiter-Verlagerungen durch die Dienstleister nicht zu einer Einschränkung der Governance führen dürfen – u. a. wird daher neben weitreichenden vertraglichen Regelungen etwa eine Due Diligence für Dienstleister erwartet.
Zunehmende Vernetzung und Plattformökonomie als Herausforderungen an das Auslagerungsmanagement
Zunehmende Spezialisierung, hohe Skaleneffekte bei technischer Ausstattung und standardisierten Prozessen sowie der Wunsch nach Komplexitätsreduzierung senken die Wertschöpfungstiefe der einzelnen Institute, schaffen aber im Gegenzug weitere Dienstleistungsbeziehungen.
BUCHTIPP
Riediger (Hrsg.), Auslagerungen & Dienstleister-Steuerung, 2018.
Dieser Trend setzt sich im Zuge der Plattformökonomie fort: Anbieter fokussieren sich auf einzelne Aspekte der Leistungserstellung oder Vermarktung; das Kundenerlebnis entsteht erst durch die nahtlose Verbindung der Leistungen mehrerer Unternehmen.
SEMINARTIPPS
Prüfung & Beurteilung des Geschäftsmodells durch Aufsicht und Revision, 15.05.2019, Hamburg.
Prüfung neue interne Governance-Vorgaben, 16.05.2019, Hamburg.
Risikoanalysen bei Auslagerungen, 20.05.2019, Frankfurt/M.
Kontrollen in der regulatorisch neugeordneten Dienstleistersteuerung, 21.05.2019, Frankfurt/M.
Die Steuerung dieser Leistungsverbünde geht weit über ein einfaches Auslagerungsmanagement hinaus und bietet Einfallstore für neue Anbieter, die sich auf Netzwerk-Management spezialisieren – die „virtuelle Bank“ der späten 90er Jahre erlebt ein Revival.
Dienstleisterbeziehungen: Oft wedelt der Schwanz mit dem Hund
Die aktuellen Anforderungen der MaRisk an die Dienstleistersteuerung (DLS) sind in den Instituten im Normalfall längst umgesetzt. Die Etablierung zentraler Einheiten zur DLS ist dabei ein zweischneidiges Schwert: Zwar ist die formale Qualität dadurch gut sicherzustellen, aber die operative Kommunikation zwischen dem Dienstleister und dem auslagernden Fachbereich leidet. Eine wirksame Zusammenarbeit in diesem „Dreieck“ stellt hohe Anforderungen: So muss die zentrale DLS mehr als nur ein Grundverständnis für die fachlichen Inhalte und die Arbeitsweise des Dienstleisters besitzen, um unter die Oberfläche der SLA-Reports blicken und Risiken wirksam managen zu können. Der Fachbereich darf sich nicht auf die Fachlichkeit beschränken, sondern muss die Schnittstelle zur zentralen DLS aktiv abbilden (Vorsicht – dezentrale Stabseinheiten!) und sich mit ungewohnten Instrumenten zur systematischen DLS beschäftigen – obwohl ja das Ziel der Auslagerung eigentlich die Fokussierung auf Kernkompetenzen war.
Das Ergebnis ist in der Praxis leider allzu oft mehr als unbefriedigend:
- Der zentralen DLS fehlt die anwendungsfachliche Kompetenz sowohl zur Beurteilung der Leistungserstellung als auch für das Problemmanagement. Die Fachbereiche überlassen das laufende Management gerne der zentralen DLS und werden erst bei offenkundigen Leistungsmängeln aktiv.
- Eine wirksame Beherrschung der Prozesse des Dienstleisters oder gar die Fähigkeit zur Zurückholung der Auslagerung fehlt – spätestens nachdem die Auslagerung einige Zeit Bestand hatte und das eigene Know-how verlorengegangen ist.
- Exit-Strategien stehen zwar auf dem Papier, aber in Wirklichkeit ist das Institut dem Dienstleister prozessual und ökonomisch „ausgeliefert“.
- Eine grundlegende strategische oder Risiko-Beurteilung findet nur im Rahmen von Veränderungsprojekten oder bei neuen Auslagerungen statt.
Gap-Analyse zur Umsetzung der EBA-Guidelines um die strategische Bewertung erweitern
Die Überprüfung auf Handlungsbedarfe zur Einhaltung der neuen Anforderungen bietet eine gute Gelegenheit, die Auslagerungsbeziehungen und die DLS in einem größeren strategischen Kontext zu betrachten. Fragestellungen sollten demnach auch sein:
- Ist die aktuelle Organisation des Auslagerungsmanagements in der Lage, über das laufende SLA-Management hinaus operative und strategische Risiken frühzeitig zu erkennen und wirksam zu mitigieren?
- Sind die Risikobeurteilungen zu aktuellen Auslagerungen auch dann noch aktuell, wenn man ein geändertes strategisches Marktumfeld zugrunde legt?
- Sind Exit-Strategien für alle Leistungen, die für das Geschäftsmodell wesentlich sind, vorhanden und vor allem belastbar?
- Werden auch konzern- bzw. gruppeninterne Auslagerungen wirksam gesteuert, und sind Vertragswerke, Verrechnungspreise etc. „at arm’s length“?
- Besteht die geforderte Durchgängigkeit bei der Governance, insbesondere beim Internen Kontrollsystem?
- Sind die früher getroffenen Auslagerungsentscheidungen vor dem Hintergrund der aktuellen Rahmenbedingungen noch richtig?
Die Gap-Analyse zur Umsetzung der EBA-Guidelines sollte daher nicht ausschließlich auf „technischer“ Ebene stattfinden. Vielmehr ist hier ebenso wie im laufenden Management von Dienstleistern eine Verbindung aus strategischer, operativer und „formaler“ Sicht gefordert. Die hohe „Top Management Attention“, die die Aufsicht bei Auslagerungen einfordert, sollte auch hier das Vorgehen prägen.
PRAXISTIPPS
- Machen Sie die Nagelprobe für das Business Continuity Management: Spielen Sie einen Ausfall Ihrer Dienstleister auch im ungünstigsten Szenario bis zum Ende durch, und beschränken Sie sich nicht auf Pro-Forma-Tests (merke: Ein Unglück kommt selten allein…)
- Gleichen Sie Ihre Exit-Strategien mit Ihrer Marktstrategie ab: Was bedeutet ein erzwungener plötzlicher Dienstleisterwechsel für Ihre Kunden, Ihre Organisation und damit Ihr Geschäftsmodell?
- Lassen Sie sich nicht durch schöngerechnete Business Cases zum Outsourcing verleiten: Die Aufrechterhaltung von Know-how und eine wirksame Steuerung der Dienstleister sind regelmäßig teurer als ursprünglich geplant.
- Geben Sie Kernkompetenzen nicht aus der Hand: All das, was Ihren Wettbewerbsvorteil ausmacht, können ja ohnehin nur Sie am besten – sonst wäre es schließlich kein Wettbewerbsvorteil…
Beitragsnummer: 1306