Jetzt Mitglied werden

„Banken wollen mehr Prozesse auslagern“

68 Prozent der deutschen Banken planen teilweise in großem Stil weitere Auslagerungen. Trotz strengerer Vorgaben rechnet kaum ein Manager damit, dass bereits ausgelagerte Aktivitäten wieder zurückgeholt werden. Outsourcing habe sich vielfach bewährt, erklärt Sven Müller. Banken müssten Auslagerungen künftig jedoch viel präziser steuern.

Von Redaktion - 28. April 2017

Bildnachweis: iStock.com/Mazirama

BANKINGNEWS: Was macht die Gemengelage beim Outsourcing so kompliziert?

Sven Müller: Die Bankenaufsicht gibt mit der MaRisk-Novelle viel genauer vor, welche Auslagerungen noch erlaubt sind und welche nicht. Künftig hängt diese Entscheidung maßgeblich davon ab, ob Kontroll- oder Kernbankenbereiche berührt sind. Eine Vollauslagerung der Internen Revision ist künftig sogar vollständig ausgeschlossen.

Warum ist ausgerechnet die Interne Revision beim Outsourcing tabu?

Die Interne Revision spielt eine entscheidende Rolle im Risikomanagement. Als dritte Verteidigungslinie sind die Prüfer eng darin eingebunden, Risikopotenziale von Aktivitäten und Prozessen aufzuzeigen. Das gehört zu den bereits angesprochenen Kontroll- und Kernbankaufgaben, die nicht vollumfänglich ausgelagert werden dürfen. In jedem Fall muss das Institut weiterhin fundierte Kenntnisse und Erfahrungen vorhalten, um die Aufgaben validieren und zur Not selbst erledigen zu können.

Wie müssen die Institute aufsichtsrechtlich einwandfreie Verträge fassen?

Salopp gesagt interessiert sich die Aufsicht nicht für das, was in einem zivilrechtlich geschlossenen Auslagerungsvertrag steht. Es kommt darauf an, ob die vereinbarte Leistung dem Charakter einer Auslagerung entspricht oder nicht. Selbst gewählte Definitionen und Vertragsformulierungen haben aufsichtsrechtlich keinerlei Bedeutung.

Worauf kommt es bei einer Auslagerungsdefinition konkret an?

Eine Auslagerung liegt immer dann vor, wenn ein anderes Unternehmen Aktivitäten und Prozesse durchführt, die mit Bankgeschäften, Finanzdienstleistungen oder institutstypischen Dienstleistungen zu tun haben und die eine Bank ansonsten selbst ausführen würde. Das kann dazu führen, wegen der datenschutzrechtlichen Relevanz selbst bei einfachen Themen wie einer extern beauftragten Aktenvernichtung bereits mit einer Auslagerung konfrontiert zu sein.

Das leuchtet ein. In Ihrer Studie haben Sie allerdings explizit nach Auslagerungsverträgen, einem Auslagerungsmanagement und gar der Auslagerungsdefinition gefragt. Warum ist das so kompliziert?

Sven Müller ist Leiter Beratung bei Procedera Consult. Seine Schwerpunkte liegen in den Bereichen bankfachlicher Regulatorik, Internes Kontrollsystem, Anweisungswesen sowie Prozess- und Projektmanagement.

Wie so häufig steckt der Teufel im Detail. Beispiel: Software. Wenn Sie eine Software einkaufen und ohne weiteres Customizing und laufender externer Unterstützung selbst betreiben, ist alles in Ordnung. Dies wird Fremdbezug genannt. Doch wenn Sie ein IT-System extern warten oder neue Funktionen programmieren lassen, wird aus dem Fremdbezug ganz schnell eine Unterstützungsleistung, die mit dem Systembetrieb zu tun hat. Und das ist eine Auslagerung im Sinne der MaRisk. Das kann sogar für von Drittanbietern bereitgestellte Daten gelten, die ein Institut etwa für eigene Auswertungen nutzt. Bei größeren Häusern erwartet die Aufsicht, dass eingelesene Daten von Wirtschaftsdiensten validiert werden. Ein Blackbox-Verfahren, bei dem solche Informationen einfach als gegeben hingenommen werden, tolerieren die Prüfer nicht.

Das klingt nach mehr als nur einer technischen Fingerübung.

Ganz recht. Alles was das Thema Auslagerungen betrifft, müssen die Häuser ins Risikomanagement aufnehmen und quartalsweise berichten. Entscheidend ist also, eingehende Daten möglichst ohne zu großen manuellen Aufwand zu verarbeiten. Mehr als die Hälfte der Häuser sorgt sich zuallererst um die IT-Lösungen von Dienstleistern. Dahinter stecken nicht nur mögliche Kompatibilitätsprobleme. In langlaufenden Verträgen ist häufig gar nicht vorgesehen, Risikodaten regelmäßig bereitzustellen. Das nachträglich zu verhandeln, dürfte nicht billig werden. Richtig anspruchsvoll wird das Ganze, wenn der Dienstleister selbst weiterverlagert hat.

Verlängert sich dadurch nicht einfach die Informationskette? Für die Bank ist es doch vermutlich egal, ob der Dienstleister selber auch auslagert, solange die Daten fließen.

Wenn wir die technischen Vorgänge allein betrachten, mag das wohl noch ohne große Blessuren klappen. Aus Risikogesichtspunkten ist allerdings interessant, an wen ein Dienstleister seinerseits auslagert. Denn wenn dieser eine Dienstleister ausgerechnet an ein Unternehmen weiterverlagert, das ebenfalls mit dem auslagernden Institut zusammenarbeitet, entsteht unter Umständen eine ungewünschte Risikokonzentration. Sie müssen also beim ursprünglich gewählten Dienstleister eine zusätzliche Berichtspflicht einführen, die in der Praxis zumindest bei bestehenden Verträgen nur schwer durchzusetzen sein wird.

Wie kommen Sie darauf, dass die Banken an dieser Stelle Probleme kriegen?

Typischerweise lagern Banken nicht nur an andere Banken aus, sondern auch an branchenfremde Anbieter, die IT-Systeme, Anwendungen oder Dienstleistungen bereitstellen. Erfahrungsgemäß halten sich diese Unternehmen zwar an bestehende Verträge. Doch zusätzlich abverlangte Leistungen sind kostenseitig nur selten schon berücksichtigt. Unter Umständen müssen die Dienstleister also selbst interne Abläufe ändern und IT-Systeme anpassen. Das kostet extra.

Haben die Banken dieses versteckte Kostenrisiko bereits erkannt?

Was in den meisten Häusern fehlt, ist eine zentrale Anlaufstelle, die diese Risiken systematisch erkennt und steuert. Vielfach haben die Fachbereiche eigenverantwortlich gehandelt, wenn es um Auslagerungen ging. Im ersten Schritt müssen die Häuser also Klarheit über die konkrete Situation erlangen. Insgesamt schätze ich, dass jede dritte Auslagerung daraufhin überprüft werden muss, ob sie sich noch lohnt.

Brauchen die Banken mehr als nur eine Taskforce für diese Aufgabe?

Davon gehe ich aus. Nicht umsonst verlangt die Aufsicht explizit in der MaRisk-Novelle ein Auslagerungsmanagement. Die vielfältigen Anforderungen an Auslagerungen müssen sinnvoll und vor allem in bankeinheitlicher Qualität erledigt werden. Dazu gehören einheitliche Vorgaben zur Risikoanalyse, falls Auslagerungen vorgenommen werden sollen, und natürlich die vollständige Dokumentation. Denn die BaFin verlangt regelmäßig Auslagerungsberichte, die Aussagen zur Dienstleisterqualität, Vertragstreue, Steuerung und Überwachung sowie Maßnahmen zur Risikominimierung enthalten sollen. Schon organisatorisch können Sie damit unmöglich die Fachbereiche alleine lassen.

Was raten Sie Instituten, die jetzt mit der MaRisk-Umsetzung anfangen wollen?

Stellen Sie das Anweisungswesen prozessorientiert um, damit die nötigen Kontrollen systematisch und nachvollziehbar in die Arbeitsabläufe eingebunden werden können. Schaffen Sie ein zentrales Auslagerungsmanagement, um eine aufsichtskonforme und gleichzeitig effiziente Steuerung ausgelagerter Aktivitäten zu gewährleisten. Überprüfen Sie alle bestehenden Auslagerungen darauf, ob sie den geltenden Anforderungen entsprechen und auch zukünftig noch die wirtschaftlichen Erwartungen erfüllen. Und entwickeln Sie frühzeitig Umsetzungspläne, falls sich Handlungsbedarfe ergeben.

Sie gehen davon aus, dass die Häuser dafür ausreichend Zeit haben?

Die Aufsicht will weniger Risiken im Bankgeschäft. Wer aufzeigen kann, dass geplante Maßnahmen auf dieses Ziel einzahlen, dürfte unter den Prüfern eher Verbündete als Widersacher finden. Zu viel Geduld dürfen die Banken aber nicht erwarten. Schon merken die Prüfer an, falls sich ein Institut den neuen Regularien nach auf dünnes Eis begibt.

Lesen Sie auch

Das Ziel

Autoren: Eliyahu M. Goldratt (Verfasser), Dwight Jon Zimmerman[…]

Daniel Fernandez

Vabanque-Spiel

Die Deutsche Bank holt die Beratungstruppe Cerberus Operations[…]

Thorsten Hahn

Rezension: Digital Work Design

Der Begriff der „Digitalisierung“ ist heutzutage nicht mehr[…]

Dalia El Gowhary

Agiles Projektmanagement in Banken – eine Utopie?

In der Bankenwelt greift seit einigen Jahren mehr[…]

Christoph Lütchens

German Dream in der Deutschen Bank

Ein Ende zieht auch immer einen neuen Anfang[…]

Christian Grosshardt

Von Säulen, Telefonzellen und Dinosauriern

Bis zum Jahr 2030 soll es in Deutschland[…]

Christian Grosshardt

Mit „Systemischem Projektmanagement“ sicher durch den Sturm navigieren

„Was hat der Mars mit dem Berliner Flughafen[…]

Kurt-Walter Langer

Inhouse Consulting – der kleine Unterschied

Viele Banken beschäftigen externe Unternehmensberater. In der Commerzbank[…]

Andrea Dreyer

Bänkchen, wechsel dich

Von Banken werden agile Methoden und Transformation gefordert,[…]

Thorsten Hahn

Fehler sind erlaubt – ein Scheitern nicht

Nachbericht zum Fachkongress "Zukunft der Bankorganisation" am 20.[…]

Philipp Scherber

Wie die KfW Bankengruppe die interne Kommunikation auf Dialog ausrichtet

Seit drei Jahren setzt die KfW Bankengruppe auf[…]

Christian Chua

BANK VISIT 2017 – US-Orden für Verdienste im Finanzumfeld

„For the fifth time“ – am 10. August[…]

Markus Müller

Digitale Kollaboration im Social Intranet

Die Sparda-Bank West macht sich fit für die[…]

Heike Szary-Bogdon

Die Prozesslandkarte der BayernLB

Die in der Bankbranche weit verbreitete aufbauorganisatorische Sicht[…]

Sven Trautner

Kommentieren, empfehlen, bloggen – Social Business macht’s möglich

Qualitativ hochwertiger Austausch und schlanke Prozesse sind kein[…]

Alex Bering

Geht es auch ein bisschen schlanker?

Nicht erst seit Big Analytics wissen wir, dass[…]

Barbara Laimer

Die MaRisk sind nicht alles

Vorschriften einzuhalten, ist keine Strategie!

Claudia Meier

Disruption trifft Tradition. Nicht.

Vom 5. Bis 6. April war Berlin Magnet[…]

Thorsten Hahn
Bank für Gemeinwohl

Geld mit Sinn: Die Bank für Gemeinwohl

Einen Wandel der Finanzlandschaft hin zum ethischen Banking[…]

Frederik Schorr

Banking unter sich wandelnden Wettbewerbsbedingungen

Egal, ob Privat-, Genossenschaftsbank oder Sparkasse – sowohl[…]

Jochen Ramakers

Revolution oder Evolution?

Bitcoin und Kryptowährungen sind eine Revolution des Geldwesens.[…]

Christoph Mann

Kreativität sticht Komplexität

Auf dem Weg zu Corporate Creativity.

Claudia Meier
Deutsche Bank Strategie

Über die Rückkehr zur Strategie

Im Jahr 1870 wurde die Deutsche Bank in[…]

Thorsten Hahn

Prozesskultur für Banken: Organisationen sich selbst verändern lassen

Studien belegen: Prozessmanagement erzeugt Widerstände, viele Mitarbeiter bekommen[…]

Florian Hutter

„Weichen neu gestellt“ – GLS Bank zieht positive Bilanz

Wesentliche Entwicklungsschritte verzeichnete die GLS Bank für das[…]

Christian Grosshardt

Die Großprojekte kommen

Banken dürfen sich nicht verstolpern.

Claudia Meier

Erfolgreiche Digitalisierung erfordert neue Prozessmanagement-Ansätze

Meist wird das Thema Geschäftsprozessmanagement vor allem mit[…]

Thomas Allweyer

Mit Multi-Projektmanagement Risiken minimieren

In vielen Branchen ist es State-of-the-art, in anderen[…]

Norman Frischmuth

Studie: Banken wünschen sich mehr Veränderungskompetenz

Vom Schlagwort zum Programm: 62 Prozent der Fach-[…]

Ralf Heydebreck

Brexit: Großbanken wollen Mitarbeiter aus London abziehen

Die Brexit-Pläne der britischen Regierung könnten Großbanken mit[…]

Daniel Fernandez

„Investmentprozess à la nextgen“

Rund 3.100 Privatstiftungen in Österreich verfügen über ein[…]

Manfred Wieland

Digitale Verantwortung

Das digitale Universum wird die Verantwortung nicht übernehmen.[…]

Thorsten Hahn

Großprojekte: „Ohne sauberes Prozessmodell sind Sie aufgeschmissen“

Deutsche Geldhäuser blicken pessimistisch in die Zukunft: Neun[…]

Christian Grosshardt

„Bankgeschäfte machen sicher weniger Spaß als Pokémon Go“

Das Fintech N26 hat jetzt eine Banklizenz. O2[…]

Christian Grosshardt

Holacracy

Ein revolutionäres Management-System für eine volatile Welt

Anna Stötzer

Auf das Kerngeschäft besinnen

Bankorganisatoren schaffen dafür die nötige Prozesslandschaft.

Claudia Meier

Management by trial and error

Jeder fünfte Arbeitsplatz soll bei der Commerzbank wegfallen.[…]

Thorsten Hahn

Hersteller treiben Integration der Banken-Software voran

Zwei Trends bestimmen das aktuelle Marktumfeld für BPM-Software:[…]

Nick Führer

Drum prüfe, wer sich ewig bindet…

Vor Jahrhunderten konnten sich die Mächtigen noch Pyramiden[…]

Thorsten Hahn

„Wir müssen weg vom Wildwuchs der Systeme“

In den kommenden drei Jahren steigt die Bedeutung[…]

Philipp Scherber

BPM-Software richtig einsetzen

Bankorganisatoren, die Prozesse leben, brauchen nur ein gutes[…]

Claudia Meier

High Noon in Düsseldorf

Die Gewinne in die Rücklagen fließen lassen oder[…]

Thorsten Hahn

Jammern auf hohem Niveau

Oder sind die aktuellen Bank-Quartalszahlen ein alarmierendes Signal?

Thorsten Hahn

Eingriff ins IT-Räderwerk

Die MaRisk erfordert ein zentrales Auslagerungsmanagement.

Claudia Meier

IT-Outsourcing: „MaRisk stellt bewährte Rahmenverträge auf die Probe“

Kaum eine Bank stemmt IT- und Anwendungssysteme heute[…]

Philipp Scherber

Mnemotechnik für die Bankorganisation

Prozesse zu visualisieren ist wie Lernen – kinderleicht[…]

Claudia Meier

Prozessorientierte Bankorganisation: „Das schulden wir den Mitarbeitern“

Immer mehr Banken stellen das Anweisungswesen prozessorientiert um.[…]

Philipp Scherber

Information Design: Mehr Transparenz durch Prozessvisualisierung

Viele Unternehmen investieren zunehmend Zeit und Mühe darin,[…]

Gabriele Hauptmann

Martin Zielke

Die Commerzbank ist in den letzten Monaten immer[…]

Philipp Scherber