BANKINGNEWS: Was macht die Gemengelage beim Outsourcing so kompliziert?
Sven Müller: Die Bankenaufsicht gibt mit der MaRisk-Novelle viel genauer vor, welche Auslagerungen noch erlaubt sind und welche nicht. Künftig hängt diese Entscheidung maßgeblich davon ab, ob Kontroll- oder Kernbankenbereiche berührt sind. Eine Vollauslagerung der Internen Revision ist künftig sogar vollständig ausgeschlossen.
Warum ist ausgerechnet die Interne Revision beim Outsourcing tabu?
Die Interne Revision spielt eine entscheidende Rolle im Risikomanagement. Als dritte Verteidigungslinie sind die Prüfer eng darin eingebunden, Risikopotenziale von Aktivitäten und Prozessen aufzuzeigen. Das gehört zu den bereits angesprochenen Kontroll- und Kernbankaufgaben, die nicht vollumfänglich ausgelagert werden dürfen. In jedem Fall muss das Institut weiterhin fundierte Kenntnisse und Erfahrungen vorhalten, um die Aufgaben validieren und zur Not selbst erledigen zu können.
Wie müssen die Institute aufsichtsrechtlich einwandfreie Verträge fassen?
Salopp gesagt interessiert sich die Aufsicht nicht für das, was in einem zivilrechtlich geschlossenen Auslagerungsvertrag steht. Es kommt darauf an, ob die vereinbarte Leistung dem Charakter einer Auslagerung entspricht oder nicht. Selbst gewählte Definitionen und Vertragsformulierungen haben aufsichtsrechtlich keinerlei Bedeutung.
Worauf kommt es bei einer Auslagerungsdefinition konkret an?
Eine Auslagerung liegt immer dann vor, wenn ein anderes Unternehmen Aktivitäten und Prozesse durchführt, die mit Bankgeschäften, Finanzdienstleistungen oder institutstypischen Dienstleistungen zu tun haben und die eine Bank ansonsten selbst ausführen würde. Das kann dazu führen, wegen der datenschutzrechtlichen Relevanz selbst bei einfachen Themen wie einer extern beauftragten Aktenvernichtung bereits mit einer Auslagerung konfrontiert zu sein.
Das leuchtet ein. In Ihrer Studie haben Sie allerdings explizit nach Auslagerungsverträgen, einem Auslagerungsmanagement und gar der Auslagerungsdefinition gefragt. Warum ist das so kompliziert?
Wie so häufig steckt der Teufel im Detail. Beispiel: Software. Wenn Sie eine Software einkaufen und ohne weiteres Customizing und laufender externer Unterstützung selbst betreiben, ist alles in Ordnung. Dies wird Fremdbezug genannt. Doch wenn Sie ein IT-System extern warten oder neue Funktionen programmieren lassen, wird aus dem Fremdbezug ganz schnell eine Unterstützungsleistung, die mit dem Systembetrieb zu tun hat. Und das ist eine Auslagerung im Sinne der MaRisk. Das kann sogar für von Drittanbietern bereitgestellte Daten gelten, die ein Institut etwa für eigene Auswertungen nutzt. Bei größeren Häusern erwartet die Aufsicht, dass eingelesene Daten von Wirtschaftsdiensten validiert werden. Ein Blackbox-Verfahren, bei dem solche Informationen einfach als gegeben hingenommen werden, tolerieren die Prüfer nicht.
Das klingt nach mehr als nur einer technischen Fingerübung.
Ganz recht. Alles was das Thema Auslagerungen betrifft, müssen die Häuser ins Risikomanagement aufnehmen und quartalsweise berichten. Entscheidend ist also, eingehende Daten möglichst ohne zu großen manuellen Aufwand zu verarbeiten. Mehr als die Hälfte der Häuser sorgt sich zuallererst um die IT-Lösungen von Dienstleistern. Dahinter stecken nicht nur mögliche Kompatibilitätsprobleme. In langlaufenden Verträgen ist häufig gar nicht vorgesehen, Risikodaten regelmäßig bereitzustellen. Das nachträglich zu verhandeln, dürfte nicht billig werden. Richtig anspruchsvoll wird das Ganze, wenn der Dienstleister selbst weiterverlagert hat.
Verlängert sich dadurch nicht einfach die Informationskette? Für die Bank ist es doch vermutlich egal, ob der Dienstleister selber auch auslagert, solange die Daten fließen.
Wenn wir die technischen Vorgänge allein betrachten, mag das wohl noch ohne große Blessuren klappen. Aus Risikogesichtspunkten ist allerdings interessant, an wen ein Dienstleister seinerseits auslagert. Denn wenn dieser eine Dienstleister ausgerechnet an ein Unternehmen weiterverlagert, das ebenfalls mit dem auslagernden Institut zusammenarbeitet, entsteht unter Umständen eine ungewünschte Risikokonzentration. Sie müssen also beim ursprünglich gewählten Dienstleister eine zusätzliche Berichtspflicht einführen, die in der Praxis zumindest bei bestehenden Verträgen nur schwer durchzusetzen sein wird.
Wie kommen Sie darauf, dass die Banken an dieser Stelle Probleme kriegen?
Typischerweise lagern Banken nicht nur an andere Banken aus, sondern auch an branchenfremde Anbieter, die IT-Systeme, Anwendungen oder Dienstleistungen bereitstellen. Erfahrungsgemäß halten sich diese Unternehmen zwar an bestehende Verträge. Doch zusätzlich abverlangte Leistungen sind kostenseitig nur selten schon berücksichtigt. Unter Umständen müssen die Dienstleister also selbst interne Abläufe ändern und IT-Systeme anpassen. Das kostet extra.
Haben die Banken dieses versteckte Kostenrisiko bereits erkannt?
Was in den meisten Häusern fehlt, ist eine zentrale Anlaufstelle, die diese Risiken systematisch erkennt und steuert. Vielfach haben die Fachbereiche eigenverantwortlich gehandelt, wenn es um Auslagerungen ging. Im ersten Schritt müssen die Häuser also Klarheit über die konkrete Situation erlangen. Insgesamt schätze ich, dass jede dritte Auslagerung daraufhin überprüft werden muss, ob sie sich noch lohnt.
Brauchen die Banken mehr als nur eine Taskforce für diese Aufgabe?
Davon gehe ich aus. Nicht umsonst verlangt die Aufsicht explizit in der MaRisk-Novelle ein Auslagerungsmanagement. Die vielfältigen Anforderungen an Auslagerungen müssen sinnvoll und vor allem in bankeinheitlicher Qualität erledigt werden. Dazu gehören einheitliche Vorgaben zur Risikoanalyse, falls Auslagerungen vorgenommen werden sollen, und natürlich die vollständige Dokumentation. Denn die BaFin verlangt regelmäßig Auslagerungsberichte, die Aussagen zur Dienstleisterqualität, Vertragstreue, Steuerung und Überwachung sowie Maßnahmen zur Risikominimierung enthalten sollen. Schon organisatorisch können Sie damit unmöglich die Fachbereiche alleine lassen.
Was raten Sie Instituten, die jetzt mit der MaRisk-Umsetzung anfangen wollen?
Stellen Sie das Anweisungswesen prozessorientiert um, damit die nötigen Kontrollen systematisch und nachvollziehbar in die Arbeitsabläufe eingebunden werden können. Schaffen Sie ein zentrales Auslagerungsmanagement, um eine aufsichtskonforme und gleichzeitig effiziente Steuerung ausgelagerter Aktivitäten zu gewährleisten. Überprüfen Sie alle bestehenden Auslagerungen darauf, ob sie den geltenden Anforderungen entsprechen und auch zukünftig noch die wirtschaftlichen Erwartungen erfüllen. Und entwickeln Sie frühzeitig Umsetzungspläne, falls sich Handlungsbedarfe ergeben.
Sie gehen davon aus, dass die Häuser dafür ausreichend Zeit haben?
Die Aufsicht will weniger Risiken im Bankgeschäft. Wer aufzeigen kann, dass geplante Maßnahmen auf dieses Ziel einzahlen, dürfte unter den Prüfern eher Verbündete als Widersacher finden. Zu viel Geduld dürfen die Banken aber nicht erwarten. Schon merken die Prüfer an, falls sich ein Institut den neuen Regularien nach auf dünnes Eis begibt.