Freitag, 5. April 2019

Dienstleistersteuerung zwischen formaler Ordnungsmäßigkeit und strategischer Wirksamkeit

Umsetzung der EBA-Guidelines zum Outsourcing als Anlass zur Überprüfung des Auslagerungsmanagements aus strategischer Sicht

Dr. Guido Drewes, GC&C Audit

Durchgängige Risikoorientierung und wirksamer Durchgriff auf Dienstleister im Fokus der neuen aufsichtlichen Rahmenbedingungen

Ende Februar wurden die Leitlinien der Europäischen Bankenaufsicht zum Outsourcing veröffentlicht. Die Inhalte sind lange bekannt; gleichwohl erfordern zahlreiche neue Detail-Anforderungen eine kritische Bestandsaufnahme durch die Institute. Aus strategischer Sicht sollte jedoch vor allem die generelle Erwartungshaltung der Aufsicht gesehen und reflektiert werden. So wird etwa klargestellt, dass

aller Fremdbezug von Leistungen mit Risiken verbunden ist – daher sind vorherige Risikoanalyse und vollständige Transparenz auch für unwesentliche Auslagerungen erforderlich;
auch bei Auslagerungen an gemeinsame, z. B. institutsgruppen- oder konzerninterne Dienstleister das Institut in der Verantwortung bleibt – daher ist auch in solchen Fällen eine zwar ggf. arbeitsteilige, aber dennoch wirksame Dienstleistersteuerung zu implementieren;
Weiter-Verlagerungen durch die Dienstleister nicht zu einer Einschränkung der Governance führen dürfen – u. a. wird daher neben weitreichenden vertraglichen Regelungen etwa eine Due Diligence für Dienstleister erwartet.

Zunehmende Vernetzung und Plattformökonomie als Herausforderungen an das Auslagerungsmanagement

Zunehmende Spezialisierung, hohe Skaleneffekte bei technischer Ausstattung und standardisierten Prozessen sowie der Wunsch nach Komplexitätsreduzierung senken die Wertschöpfungstiefe der einzelnen Institute, schaffen aber im Gegenzug weitere Dienstleistungsbeziehungen.

BUCHTIPP

Riediger (Hrsg.), Auslagerungen & Dienstleister-Steuerung, 2018.

Dieser Trend setzt sich im Zuge der Plattformökonomie fort: Anbieter fokussieren sich auf einzelne Aspekte der Leistungserstellung oder Vermarktung; das Kundenerlebnis entsteht erst durch die nahtlose Verbindung der Leistungen mehrerer Unternehmen.

SEMINARTIPPS

Prüfung & Beurteilung des Geschäftsmodells durch Aufsicht und Revision, 15.05.2019, Hamburg.

Prüfung neue interne Governance-Vorgaben, 16.05.2019, Hamburg.

Risikoanalysen bei Auslagerungen, 20.05.2019, Frankfurt/M.

Kontrollen in der regulatorisch neugeordneten Dienstleistersteuerung, 21.05.2019, Frankfurt/M.

Die Steuerung dieser Leistungsverbünde geht weit über ein einfaches Auslagerungsmanagement hinaus und bietet Einfallstore für neue Anbieter, die sich auf Netzwerk-Management spezialisieren – die „virtuelle Bank“ der späten 90er Jahre erlebt ein Revival.

Dienstleisterbeziehungen: Oft wedelt der Schwanz mit dem Hund

Die aktuellen Anforderungen der MaRisk an die Dienstleistersteuerung (DLS) sind in den Instituten im Normalfall längst umgesetzt. Die Etablierung zentraler Einheiten zur DLS ist dabei ein zweischneidiges Schwert: Zwar ist die formale Qualität dadurch gut sicherzustellen, aber die operative Kommunikation zwischen dem Dienstleister und dem auslagernden Fachbereich leidet. Eine wirksame Zusammenarbeit in diesem „Dreieck“ stellt hohe Anforderungen: So muss die zentrale DLS mehr als nur ein Grundverständnis für die fachlichen Inhalte und die Arbeitsweise des Dienstleisters besitzen, um unter die Oberfläche der SLA-Reports blicken und Risiken wirksam managen zu können. Der Fachbereich darf sich nicht auf die Fachlichkeit beschränken, sondern muss die Schnittstelle zur zentralen DLS aktiv abbilden (Vorsicht – dezentrale Stabseinheiten!) und sich mit ungewohnten Instrumenten zur systematischen DLS beschäftigen – obwohl ja das Ziel der Auslagerung eigentlich die Fokussierung auf Kernkompetenzen war.

Das Ergebnis ist in der Praxis leider allzu oft mehr als unbefriedigend:

Der zentralen DLS fehlt die anwendungsfachliche Kompetenz sowohl zur Beurteilung der Leistungserstellung als auch für das Problemmanagement. Die Fachbereiche überlassen das laufende Management gerne der zentralen DLS und werden erst bei offenkundigen Leistungsmängeln aktiv.
Eine wirksame Beherrschung der Prozesse des Dienstleisters oder gar die Fähigkeit zur Zurückholung der Auslagerung fehlt – spätestens nachdem die Auslagerung einige Zeit Bestand hatte und das eigene Know-how verlorengegangen ist.
Exit-Strategien stehen zwar auf dem Papier, aber in Wirklichkeit ist das Institut dem Dienstleister prozessual und ökonomisch „ausgeliefert“.
Eine grundlegende strategische oder Risiko-Beurteilung findet nur im Rahmen von Veränderungsprojekten oder bei neuen Auslagerungen statt.

Gap-Analyse zur Umsetzung der EBA-Guidelines um die strategische Bewertung erweitern

Die Überprüfung auf Handlungsbedarfe zur Einhaltung der neuen Anforderungen bietet eine gute Gelegenheit, die Auslagerungsbeziehungen und die DLS in einem größeren strategischen Kontext zu betrachten. Fragestellungen sollten demnach auch sein:

Ist die aktuelle Organisation des Auslagerungsmanagements in der Lage, über das laufende SLA-Management hinaus operative und strategische Risiken frühzeitig zu erkennen und wirksam zu mitigieren?
Sind die Risikobeurteilungen zu aktuellen Auslagerungen auch dann noch aktuell, wenn man ein geändertes strategisches Marktumfeld zugrunde legt?
Sind Exit-Strategien für alle Leistungen, die für das Geschäftsmodell wesentlich sind, vorhanden und vor allem belastbar?
Werden auch konzern- bzw. gruppeninterne Auslagerungen wirksam gesteuert, und sind Vertragswerke, Verrechnungspreise etc. „at arm’s length“?
Besteht die geforderte Durchgängigkeit bei der Governance, insbesondere beim Internen Kontrollsystem?
Sind die früher getroffenen Auslagerungsentscheidungen vor dem Hintergrund der aktuellen Rahmenbedingungen noch richtig?

Die Gap-Analyse zur Umsetzung der EBA-Guidelines sollte daher nicht ausschließlich auf „technischer“ Ebene stattfinden. Vielmehr ist hier ebenso wie im laufenden Management von Dienstleistern eine Verbindung aus strategischer, operativer und „formaler“ Sicht gefordert. Die hohe „Top Management Attention“, die die Aufsicht bei Auslagerungen einfordert, sollte auch hier das Vorgehen prägen.

PRAXISTIPPS

Machen Sie die Nagelprobe für das Business Continuity Management: Spielen Sie einen Ausfall Ihrer Dienstleister auch im ungünstigsten Szenario bis zum Ende durch, und beschränken Sie sich nicht auf Pro-Forma-Tests (merke: Ein Unglück kommt selten allein…)
Gleichen Sie Ihre Exit-Strategien mit Ihrer Marktstrategie ab: Was bedeutet ein erzwungener plötzlicher Dienstleisterwechsel für Ihre Kunden, Ihre Organisation und damit Ihr Geschäftsmodell?
Lassen Sie sich nicht durch schöngerechnete Business Cases zum Outsourcing verleiten: Die Aufrechterhaltung von Know-how und eine wirksame Steuerung der Dienstleister sind regelmäßig teurer als ursprünglich geplant.
Geben Sie Kernkompetenzen nicht aus der Hand: All das, was Ihren Wettbewerbsvorteil ausmacht, können ja ohnehin nur Sie am besten – sonst wäre es schließlich kein Wettbewerbsvorteil…

Beitragsnummer: 1306

Ein eigenes MeinFCH-Konto ist zwingend Voraussetzung, wenn Sie über unseren Online-Shop eine Bestellung auslösen möchten. Das Konto benötigen Sie, wenn Sie selbst ein Online-Seminar live verfolgen oder Ihre Seminardokumentation bzw. Ihre personalisierte Teilnahmebestätigung herunterladen möchten. Bitte geben Sie Ihre MeinFCH-Login-Daten niemals an dritte Personen weiter. Wir empfehlen Ihnen die Nutzung dieser Browser: Google Chrome, Mozilla Firefox oder Microsoft Edge. Bitte erlauben Sie außerdem Pop-Ups auf unserer Seite.

Anmelden

Bitte melden Sie sich an, um folgende Seite nutzen zu können.

E-Mail-Adresse

Passwort

Angemeldet bleiben

🔒 Sichere SSL-Verschlüsselung

Passwort vergessen?

Neu bei MeinFCH?
Jetzt registrieren!

E-Mail-Adresse

Passwort eingeben

Passwort bestätigen

Passwortlänge: 0 Zeichen

Gültigkeit: -

Sicherheit: -

Ihr sicheres Passwort muss folgende Merkmale besitzen:

Groß- und Kleinschreibung

Zahlen

Sonderzeichen (!$%&#)

mindestens 8 Zeichen

Ja, ich möchte ein Kundenkonto eröffnen und akzeptiere die Datenschutzerklärung.

🔒Sichere SSL-Verschlüsselung

Loggen Sie sich ein, um unsere Favoritenfunktion zu nutzen:

Beitrag teilen:

Beiträge zum Thema:

DORA: Fokus auf die IKT-Dienstleister

Im ersten Schritt sollten alle Banken frühzeitig prüfen welche Auslagerungen, Fremdbezüge tatschlich IKT-relevant sind

10.03.2024

Anzeigepflicht von Auslagerungen – alter Wein in neuen Schläuchen?

Ist die Anzeigepflicht wesentlicher Auslagerungen (§ 24 Abs. 1 Nr. 19 KWG) ein Déjà-vu oder Teil des holistischen Ansatzes der Bankenaufsicht?

04.07.2022

OLG Celle zur Frage der Nichtabnahmeentschädigung der Bank

Das OLG Celle entschied, dass die Nennung von bestehenden Grundschulde der praktischen Durchführung der Besicherung diene und keine Abänderungserklärung sei.

21.03.2024

Die Bank als Hauptangriffsziel von Cyberkriminellen

Die Angriffsvektoren, die Cyberkriminelle vor allem im Hinblick auf Banken nutzen, sind vielfältig - Ein Überblick

20.03.2024

Berücksichtigung von Modellrisiken in der Risikotragfähigkeitsanalyse

Prüfungsansätze der Bankenaufsicht zur Beurteilung der Notwendigkeit der Berücksichtigung von Modellrisiken innerhalb der Risikotragfähigkeitsanalyse

16.01.2024