KÖLN, 12.6.2012. Banken nutzen intensiv die Möglichkeiten, Teile der Wertschöpfungskette auf externe Provider zu verlagern (Outsourcing). Dies wirkt sich auch auf das Risikomanagement aus, da eine Risikosteuerung für das gesamte Bankgeschäft die Risiken einschließen muss, die sich aus externen Dienstleistungen ergeben können. Doch wie kann eine internationale Bank mit ihren Instrumenten und Prozessen zum Operationellen Risikomanagement (ORM) gemäß „Fortgeschrittenem Messansatz“ (AMA) eine wirksame Steuerung solcher Risiken gewährleisten?

Zu den Leistungen, die Banken in den letzten Jahren zunehmend verlagert haben, zählt zunächst die Informationstechnologie (IT). Dabei sind in der Praxis die unterschiedlichsten Varianten zu finden. Neben der nahezu vollständigen Fremdvergabe von IT-Aufgaben (beispielsweise bei Sparkassen), existiert die Verlagerung nur von Infrastrukturdienstleistungen wie Desktop-, Netzwerk und Serverbetrieb, von Wartungs- und Entwicklungsleistungen für die gesamte Anwendungslandschaft oder der Fremdbezug für ausgewählte IT-Anwendungen. Entsprechend variieren die Risiken mit der Breite der Unterstützung bzw. der Abhängigkeit des Bankgeschäfts eines Instituts von den im Fremdbezug genutzten Anwendungen. Auch Wertpapierabwicklung und -depotführung sowie Services im Zahlungsverkehr werden häufig verlagert, um die sich aus großen Abwicklungsvolumina ergebenden Kostenvorteile zu nutzen. Neben diesen „großen“ Themen ergibt sich für eine Bank mit breitem Produktspektrum und internationaler Präsenz bei vielen Aufgaben die Option zum Fremdbezug, die beispielsweise bei internen Services wie Gehalts- oder Reisekostenabrechnung oder bei banktechnischen Abwicklungsdienstleistungen außerhalb des Heimatmarktes vorteilhaft sein kann. Auslagerungen stellen besondere Anforderungen an das Risikomanagement. Betrachtet man die operationellen Risiken, also „die Gefahr von Verlusten, die infolge der Unangemessenheit oder des Versagens von internen Verfahren und Systemen, Menschen oder infolge externer Ereignisse eintreten“ [vgl. SolvV 2006, Teil 3, § 269], kann sich eine Auslagerung unterschiedlich auswirken.

Risikosenkende Wirkungen sind zunächst von der höheren Spezialisierung eines Providers zu erwarten, die ihm – entsprechendes Geschäftsvolumen vorausgesetzt – beispielsweise Investitionen in Systeme, Backup-Vorkehrungen, Qualitätssicherungsmaßnahmen und Qualifizierung seiner Mitarbeiter erlaubt, ohne Stückkostenvorteile gegenüber seinen Kunden zu verlieren. Zudem kommen Lernkurveneffekte, beispielsweise aus IT-Migrationen, auch den Kunden zu Gute. Risikoerhöhend dagegen kann sich die fehlende direkte Eingriffsmöglichkeit in die Prozesse des Providers auswirken. Im Falle von grob mangelhafter Leistungs¬erbringung oder der Priorisierung von Ressourcen zu Lasten einzelner Kunden können diese ihre Interessen in letzter Konsequenz nur mit rechtlichen Mitteln durchsetzen. Auch die Steuerungsprozesse zwischen Auftraggeber und Provider sind ein Risikofaktor, insbesondere dann, wenn ersterem der Aufbau von Kompetenz und Prozessen an der Schnittstelle im Zuge einer neuen Auslagerung nicht gelingt.

Operationelle Schäden können daher beispielsweise in Folge rechtlicher Auseinander¬setzungen zwischen Bank und Provider entstehen. Auch Verletzungen des Datenschutzes, die im Zusammenhang mit Auslagerungen aufgetreten sind, haben hier schon für viel Medienaufmerksamkeit (und damit einhergehende Reputationswirkungen) gesorgt. Klassische Ereignisse sind Ausfälle von ausgelagerten IT-Systemen, Infrastruktur und Netzen, wobei sich in den meisten Fällen kaum klären lässt, ob sie bei Eigenbetrieb hätten vermieden werden können. Ein komplexes Thema ist die Abstimmung der Notfallpläne von Institut und Provider und deren regelmäßige Tests, damit auch in extremen Sondersituationen die missionskritischen Bankfunktionen sichergestellt bleiben. Aufwändige Abstimmungen mit meist mehreren Servicepartnern, Betriebszeiten im internationalen Bankgeschäft und betriebsnotwendige Wartungsfenster machen es bereits schwer, überhaupt Termine für solche Tests zu finden.

Operational Risk Management in den verschiedenen Auslagerungsphasen
Die nationalen (vgl. § 25a KWG) und internationalen aufsichtsrechtlichen Anforderungen stellen den Grundsatz der Eigenverantwortung in den Vordergrund. Sie gewähren zwar großen Freiraum für Verlagerungen von einzelnen Aufgaben bis hin zu gesamten Geschäfts¬prozessen, stellen aber auch klar, dass die übergreifende Verant¬wortung für die Wertschöpfungskette einer Bankdienstleistung stets im Institut bleibt. Die MaRisk fordern insbesondere eine Risikoanalyse für unter Risikogesichtspunkten „wesentliche“ Auslagerungen, eine vollständige Integration von deren Risikomanagement in die Risikosteuerung der Bank und führen eine Reihe von Punkten auf, die bei der Vertragsgestaltung zu berücksichtigen sind. Da die Wesentlichkeitsbeurteilung auf die Risikowirkung abstellt, muss sie letztlich die möglichen Auswirkungen auf die Gewinn- und Verlustrechnung aus operationellen Risikoereignissen ins Kalkül ziehen. Indikationen hierzu geben ...

[ … ]

[Den vollständigen Beitrag lesen Sie in der Fachzeitschrift RISIKO MANAGER 13/2012. Die Ausgabe ist ab 21. Juni 2012 lieferbar und kann auch einzeln bezogen werden.]

Autor:
Dr. Werner Dinkelbach, Teamleiter Operational Risk Management Instruments & Reputational Risk Management, WestLB AG (ab 1.7.2012 Portigon AG).