die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen.
Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.
REGULIERUNG 1 | Risk
REGULIERUNG 1 | Risk Self Assessment (RSA) für wesentliches Outsourcing Geschäftstätigkeit bei Ausfall erheblich beeinträchtigt? Handlungsoptionen Falls keine Handlungsoptionen Auslagerung Ergebnisse Outsourcing Review 2015: Höchster Risk Score Ja Vorübergehend (in Schließung, Rückverlagerung oder in Ablösung) Nein vorhanden, Durchführbarkeit geprüft Besondere Exit-Regelungen im Vertrag Provider mit starker Marktposition Provider regulatorisch beaufsichtigt Kommentar Auslagerung 1 9 X X Eigenerstellung der Leistung möglich Auslagerung 2 16 X X Mandatierung Dritter für benötigte Services Auslagerung 3 20 X X Handlungsoptionen offen/ in Prüfung ... Providers erfolgt hingegen über ein zentrales Auslagerungsmanagement, das einen einheitlichen Prozess sicherstellt und Transparenz über alle wesentlichen Auslagerungen schafft. Folgende vier Funktionen stellen dabei die Steuerungsgrößen dar: 1. Gesamtsteuerung der Servicebeziehung mit dem Provider. Strategische Planung in Kooperation mit dem Provider und mit dem Ziel einer Weiterentwicklung der Beziehung; Bündelung der Anforderungen der Geschäftsbereiche der PAG. 2. Vertrags- und Finanzmanagement. Pflege des jeweiligen Servicevertrags, Ansprechpartner für den Provider zu allen vertraglichen Belangen, Verhandlungen zu neuen Services oder Preisanpassungen von bestehenden Services sowie Rechnungswesen und Berichterstattung. 3. Service-Management. Schnittstelle zum Provider zu fachlichen Fragen im Rahmen der täglichen Leistungserbringung, z. B. die Prüfung, ob die für die jeweiligen Leistungen vereinbarten Services vom Provider erbracht wurden, dazu die Kontrolle und Überwachung der Qualität der gelieferten Leistungen, ggf. Eskalation bzw. Einleitung geeigneter Maßnahmen. 4. Risikomanagement. Jährlicher Review der bestehenden Auslagerungen bezüglich ihrer Erfüllung der OpRisk-Anforderungen („Nachschauprüfung“). Ziel ist die Benennung der wesentlichen Auslagerungen gem. MaRisk sowie ein Risk Self Assessment (RSA) für alle als wesentlich eingestuften Outsourcings. ÿ 1 Verantwortlich für die Funktionen eins bis drei ist der Bereich IT / Dienstleistungssteuerung, Funktion vier übernimmt der Bereich Operationelles Risiko & Compliance. Zur laufenden Steuerung gehören auch regelmäßige Prüfungen, inwieweit bestehende Verträge an veränderte Rahmenbedingungen anzupassen sind und inwieweit die Auslage- rungen noch strategiekonform sind. Der Bereich IT / Dienstleistersteuerung erstellt quartalsweise einen Auslagerungsreport, der den Status der wesentlichen Auslagerungen kategorisiert beschreibt. ÿ 2 Die IT-Auslagerung berücksichtigt heute bereits die konkretisierten Anforderungen aus den sich derzeit in der Konsultationsphase befindlichen Bankaufsichtlichen Anforderungen an die IT (BAIT). Diese beziehen sich auf die geplanten Regelungen der MaRisk- Novelle und legen den Fokus auf die Integration von Vereinbarungen zum Informationsrisikomanagement, zur Informationssicherheit und zum Notfallmanagement. Diese sollten den Zielvorgaben des Instituts entsprechen. Für nicht wesentliche Auslagerungen erfolgen die o. g. Funktionen in der Regel durch den auslagernden Bereich. Bei der konkreten Ausgestaltung sollte das Proportionalitätsprinzip beachtet werden, d. h. die Intensität der Steuerungs- und Überwa- 60 09 // 2017
REGULIERUNG 2 | Statusreport der wesentlichen Auslagerungen Auslagerung Status Trend Abweichungen/ Erklärungen Kontrolle Auslagerung 1 Mehrere Instabilitäten im Berichtszeitraum Auslagerung 2 Auslagerung 3 Keine nennenswerten Beeinträchtigungen in der Leistungserbringung Keine nennenswerten Beeinträchtigungen in der Leistungserbringung, Vertragsverlängerung läuft Rückmeldungen des Providers zum Abgleich ... chungsmaßnahmen ist an die Komplexität der Auslagerung anzupassen. Jegliche Änderung der Auslagerungen hinsichtlich Art, Umfang, Kosten, etc. ist vom auslagernden Bereich zeitnah dem Bereich IT / Dienstleistersteuerung zu melden. Grenzen von Auslagerungen Bei der Entscheidung für Auslagerungen spielen grundsätzlich Sinnhaftigkeit und Wirtschaftlichkeit eine wichtige Rolle. Eine zeitund kostenintensive Auswahl des Providers, mögliche Zusatzkosten in der weiteren Zusammenarbeit durch fehlendes Spezialwissen oder möglicherweise veränderte Rahmenbedingungen sowie der für eine erfolgreiche Auslagerung sinnvolle und laut MaRisk notwendige Steuerungsaufwand sollten bei der Entscheidung berücksichtigt werden. Neben diesen Aspekten sind auch weichere Faktoren wie Mitarbeitermotivation und neue Anforderungen an Management und Organisationsstrukturen eines Instituts zu berücksichtigen. Die PAG hat aufgrund ihrer Vergangenheit auch heute noch Aufgaben, die ein spezielles internes Know-how, historisches Wissen und erfahrene Mitarbeiter erfordern, insbesondere in den Bereichen Recht, Steuern und Finanzen. Eine Auslagerung dieser Bereiche ist daher nicht opportun. Nicht ausgelagert wurden zudem Aufgaben der Kernbank-/ Kontrollbereiche Risikomanagement, Compliance und Revision. Für die effektive Steuerung der Auslagerung dieser Aufgaben müssen gemäß MaRisk-Novelle auch weiterhin fundierte Kenntnisse und Erfahrungen vorgehalten werden. Die vorhandenen Prozesse und langjährigen Mitarbeiter stellen diese Anforderungen sicher. Unter wirtschaftlichen Aspekten erscheint daher eine Auslagerung für diese Aufgaben generell fraglich. Unterstützungsleistungen für das Management von Marktpreisrisiken werden dagegen bereits heute vom Service-Provider übernommen. Mitarbeiterinteressen berücksichtigen Der Rückbau der PAG aufgrund der Entscheidung der Europäischen Kommission vom 20. Dezember 2011 ist mit einem konsequenten Personalabbau verbunden. Vor diesem Hintergrund wurden Unternehmensbereiche ausgelagert bzw. veräußert oder, wie oben beschrieben, Aufgaben ausgelagert. Der Betriebsrat des Instituts wurde frühzeitig in die Unternehmensentscheidungen eingebunden, um die Mitarbeiterinteressen zu berücksichtigen. Der Rückbauprozess ist noch nicht beendet. Die Organisationsstrukturen sind auch zukünftig den jeweiligen Rahmenbedingungen anzupassen, nur so ist ein regelkonformer und gleichzeitig erfolgreicher Auslagerungsprozess gewährleistet. FAZIT Auslagerungen sollten ökonomisch sinnvoll und wirtschaftlich vertretbar sein. Zugleich müssen Organisation und Management von Auslagerungen jederzeit sich verändernde regulatorische Voraussetzungen erfüllen. Dabei müssen Auslagerungen eng durch das auslagernde Institut gesteuert werden. In einigen Bereichen ist es sogar zwingend erforderlich, weiterhin ein hohes Maß an Expertise im eigenen Institut vorzuhalten. Je nach Unternehmensgröße und -zweck können sich Grenzen bei der Umsetzung ergeben, da mit zunehmenden Anforderungen die Wirtschaftlichkeit einer Auslagerung möglicherweise nicht mehr gegeben ist. Die MaRisk-Novelle sowie die BAIT lassen darauf schließen, dass Regulatoren zukünftig tendenziell strengere Maßstäbe an das Management von Auslagerungen anlegen werden. Es bleibt abzuwarten, inwieweit insbesondere kleine oder sich im Umbruch befindende Unternehmen, für die Auslagerungen grundsätzlich eine gute Möglichkeit zur Verschlankung darstellen, diesen Anforderungen entsprechen können. Autoren: Dr. Peter Stemper (Vorsitzender des Vorstands Portigon AG). Sabine Hauschildt (Operationelles Risiko & Compliance Portigon AG; Mitglied des Vorstands Deutsche Gesellschaft für Operational Risk Management e. V.). 09 // 2017 61
