Aufrufe
vor 5 Jahren

die bank 08 // 2015

die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

ó BETRIEBSWIRTSCHAFT

ó BETRIEBSWIRTSCHAFT Ausgehend von der Risikoaffinität und der Branchenreputation ist die Bewertung des Reputationsrisikos und der daraus folgende Maßnahmenkatalog zur Vorsorge und im Krisenfall bei jedem Unternehmen unterschiedlich. Für das Management haben falsche oder zu späte Reaktionen im Krisenfall unter Umständen auch haftungsrechtliche Konsequenzen. Sie können eine persönliche strafrechtliche Verantwortung nach sich ziehen. Gegen das Unternehmen können Schadensersatzansprüche aufgrund eines mangelhaften oder gänzlich fehlenden Reputationsrisikomanagements erhoben werden. Zwar existiert noch keine gefestigte Rechtsprechung zu den Anforderungen an ein haftungsausschließendes oder haftungsminimierendes Reputationsrisikomanagement, die Erfahrungen aus vergangenen Reputationskrisen lassen allerdings entsprechende Prozesse im Unternehmen dringend angezeigt erscheinen. Sie helfen bei der Strukturierung von Reputationsrisiken und deren Bewertung und ermöglichen die Definition von spezifischen Maßnahmen. So lassen sich schon heute erste Mindestanforderungen an ein richtiges Reputationsrisikomanagement bestimmen. Das richtige RepRisk-Management im Krisenfall Zeit ist heute einer der kritischen Faktoren beim Reputationsmanagement vor und während der Krise. Werden etwa Rechte nicht rechtzeitig mittels einstweiliger Verfügungen gesichert, obwohl dies möglich wäre, wird damit das Eindämmen einer Reputationskrise unnötig erschwert. Reagiert ein Unternehmen erst drei oder vier Wochen nach der erstmaligen Kenntnis über die entscheidenden Umstände, etwa einer Veröffentlichung in der Presse, ist vielleicht schon wertvolle Zeit verloren gegangen. Die Gerichte leiten aus dem Zögern in der Regel eine fehlende Dringlichkeit ab und erlassen die erwünschte Verfügung im Eilverfahren nicht. Es bleibt nur der langwierige Weg über eine reguläre Klage, die sich über mehrere Jahre hinwegziehen kann. Nicht jede Reputationskrise sollte jedoch mit rechtlichen Mitteln bekämpft werden. Auch das kann die Reputation schädigen. Wichtig ist es, die verschiedenen Handlungsoptionen zu kennen, um jeweils den besten Weg wählen zu können. Fortlaufend müssen im Fall einer Reputationskrise die Maßnahmen angepasst werden. Oft steht der Sachverhalt zu Beginn noch nicht fest und muss im Detail aufgearbeitet werden. Annahmen zu Beginn einer Reputationskrise können sich im Laufe der Zeit als ungenau oder falsch herausstellen. Diese Unsicherheit muss bei der Definition der entsprechenden Maßnahmen berücksichtigt und regelmäßig überprüft werden. Nur so können rechtliche Folgerisiken minimiert und ausgeschlossen werden. Eine darüber hinausgehende Krisenkommunikation ist heute selbstverständlich. Das richtige präventive Reputationsrisikomanagement Insbesondere externe Treiber, beispielsweise die Presse, Mitarbeiter oder Konkurrenten beschleunigen die Eskalation. Sie treffen die meisten Unternehmen vollkommen unvorbereitet. Jede einzelne Person kann mit einfachen Mitteln Informationen öffentlich machen. Das Internet bietet dafür viele Möglichkeiten. Es ist daher zwingend notwendig, so früh wie möglich Reputationsrisiken zu identifizieren, den Sachverhalt aufzuarbeiten und sich auf mögliche Berichterstattungen vorzubereiten. Bei der Definition dieser präventiven Maßnahmen hilft auch die bisherige Rechtsprechung. Es kann simuliert werden, wer was sagen wird, welche Formulierungen besonders reputationsschädlich sind und welche Aussagen davon angreifbar sind und welche nicht. Das Unternehmen kann sich den Spielraum bei der Formulierung der Berichterstattung vergegenwärtigen, eine Grenze definieren und durch gezielte juristisch abgesicherte Kommunikation die Öffentlichkeit mit den entscheidenden Informationen versorgen. fl Zeit ist heute einer der kritischen Faktoren beim Reputationsmanagement vor und während der Krise. Ist das Reputationsrisiko identifiziert und droht eine Reputationskrise durch eine sich verselbstständigende Berichterstattung, kann ein richtig formuliertes presserechtliches Informationsschreiben eine negative Welle abfangen. Dieses sollte zum richtigen Zeitpunkt veröffentlicht werden, um eine optimale Wirkung entfalten zu können. Reputationsrisikomanagement ist kein statischer Prozess. Fortlaufend müssen daher die Abteilungen des Unternehmens (Geschäftsführung, Legal, Compliance, Risikomanagement, Marketing usw.) für den Schutz der Unternehmensreputation sensibilisiert und die Maßnahmen aktuell gehalten werden. ó Autor: Dr. Steffen Bunnenberg ist Leiter des Arbeitskreises Reputationsrisikomanagement des Risk Management Association e.V. sowie Gründungs- und Namenspartner von Bunnenberg Bertram Rechtsanwälte, Berlin. 1 BaFin-Rundschreiben 3/2009, MaRisk VA., S. 9. Siehe hierzu auch Rainer Sprengel: Top-Risiko Reputation, in: die bank 5 (2015), S. 40-43. 2 Hierzu jetzt Stephan Wuttke/Markus Quick: Erfolgsfaktor Reputation, in: die bank 7 (2015), S. 50-53. 3 Vgl. RepRisk und OpRisk wachsen zusammen, in: Risiko Manager 9 (2015), S. 5. 4 European Banking Authority, Guidelines on common procedures and methodologies for the supervisory review and evaluation process (SREP) vom 19.12.2014, EBA/GL/2014/13, abrufbar unter: www.eba.europa.eu. 46 diebank 8.2015

BETRIEBSWIRTSCHAFT ó The hidden risks WEITERVERLAGERUNG Kreditinstitute spüren in Bezug auf Auslagerungen einen erheblichen Druck, der ihnen vonseiten der Bankenaufsicht auferlegt wird. Banken sehen sich im Zusammenhang mit aufsichtlichen Sonderprüfungen zunehmend dem Vorwurf ausgesetzt, dass sie die mit Auslagerungen und Weiterverlagerungen entstehenden Risiken nicht richtig überblicken und diese nur in einem unzureichenden Maße steuern. Marc Billeb | Jan Christian Ploog | Christine Wicker Keywords: MaRisk, OpRisk, Outsourcing, Risikomanagement Herausforderungen beim aufsichtskonformen Umgang mit Weiterverlagerungen bestehen insbesondere bei der sachgerechten Identifikation von Weiterverlagerungen, dem Aufbau einer zentralen Evidenzstelle, der Problematik der Betrachtungstiefe in der Auslagerungskette sowie der risikoorientierten Steuerung. Dienstleister verlagern Teile ihrer Wertschöpfung oftmals auf Subunternehmer (Chain Outsourcing). Dies ist auch bei Dienstleistern der Finanzwirtschaft gängige Praxis und notwendige Konsequenz einer arbeitsteiligen Ökonomie. Insbesondere in den Bereichen IT, Zahlungsverkehr sowie allgemeine Service- und Unterstützungsfunktionen sind mehr oder weniger umfangreiche Auslagerungen in der Kette branchenüblich. Großbanken sind dazu übergegangen, ihre IT weiter zu zentralisieren und im Rahmen von Auslagerungsketten umfangreich auf externe Anbieter auszulagern. Dieser Trend hat sich mit zunehmendem Margendruck seit der Finanzkrise 2008 weiter fortgesetzt. Externe und interne Anbieter agieren dabei nicht nur auf regionaler, nationaler oder europäischer Ebene. Entsprechend weltumspannend und vielschichtig ist das Netz an Subdienstleistern und die daraus resultierenden Risiken für die auslagernden Institute. Bedeutende Schadensfälle in den letzten Jahren sprechen dafür, dass Risiken aus Weiterverlagerungen bislang nur stiefmütterlich behandelt werden, sie jedoch als versteckte Risiken (hidden risks) ernst zu nehmen sind. Dies bestärkt auch die Sichtweise der nationalen und internationalen Bankenaufsicht, dass Weiterverlagerungen durch den einhergehenden Kontrollverlust zu erhöhten direkten Risiken für die auslagernden Prozesse in der Organisation, zu indirekten Risiken wie z. B. Compliance-Risiken, geopolitischen Risiken, (IT-)Sicherheitsrisiken und mitunter auch zu versteckten Konzentrationsrisiken führen können. Bei mehrstufigen Weiterverlagerungen auf Subunternehmer kann ohne entsprechende Maßnahmen die Steuerungs- und Überwachungsfunktion des auslagernden Instituts ausgehöhlt werden. Neben den operativen Risiken ist das Institut nicht mehr in der Lage, seinen nationalen und gegebenenfalls internationalen bankaufsichtsrechtlichen Pflichten nachzukommen. Dies gilt es im Eigeninteresse eines jeden Instituts zu verhindern, auch aus Gründen der Kosteneffizienz. Anforderungen aus den MaRisk Für die nationale und die europäische Aufsicht sind Auslagerungen und Weiterverlagerungen zulässig, soweit sie nicht Aufgaben der Unternehmensleitung betreffen und die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Abs. 1 KWG nicht beeinträchtigt wird. Die Verantwortung verbleibt bei der Geschäftsführung des auslagernden Instituts und kann nicht auf Dienstleister übertragen werden. Ebenso – oder gerade deswegen – verbleibt die Notwendigkeit für auslagernde Institute, Risiken aus Auslagerungen kontinuierlich zu überwachen und mit geeigneten Maßnahmen zu steuern. Folgt man in der Praxis der Wertschöpfungskette, so stellt man fest, dass oftmals ein Teil der Leistung von Subdienstleistern des eigentlich kontrahierten Auslagerungspartners erbracht wird. Um eine adäquate Risikoüberwachung und -steuerung dieser Auslagerungsketten sicherzustellen, adressiert die deutsche Bankenaufsicht an Weiterverlagerungen die gleichen Anforderungen wie an Erstauslagerungen (AT 9 Tz. 9 MaRisk). Viele Institute stehen nun vor der Herausforderung, diese abstrakten Anforderungen in konkrete Maßnahmen umzusetzen. Schnell stellen sie fest, dass es dabei zu vielfältigen Fragestellungen und mitunter zu Fallstricken kommt. Herausforderungen Nach dem Wortlaut der Tz. 9 in AT 9 der MaRisk sind die Anforderungen an die Auslagerung von Aktivitäten und Prozessen auch bei der Weiterverlagerung ausgelagerter Aktivitäten und Prozesse zu beachten. Grundlage für eine angemessene Überwachung und Steuerung muss demzufolge zunächst eine vollständige und laufend aktuelle Übersicht über die bestehenden Weiterverlagerungssachverhalte sein. Ohne eine solche Übersicht lässt sich nicht beurteilen, ob die Risikosituation der primären Auslagerung bzw. der ausgelagerten Geschäftsprozesse durch Weiter- 8.2015 diebank 47

die bank