Ausgewählte Beiträge

Frühwarnindikatoren im Auslagerungsprozess

Herausforderungen in der Dienstleistersteuerung rechtzeitig erkennen, bewerten und steuern

Jörg Schmitz, Sourcing Manager, Betriebsorganisation, KfW IPEX-Bank, Frankfurt/M.

Die Auslagerungsüberwachung nutzt das Berichtswesen u. a. zur Ableitung von Steuerimpulsen. Hierbei werden die verschiedenen Perspektiven für das Management zusammengeführt. Einerseits die Sicht „von außen“: Dienstleister berichten im vereinbarten Turnus an das auslagernde Institut über ihre Zielerreichung. Andererseits die Sicht „von innen“: Der Servicenehmer beurteilt die Qualität der Dienstleistung, hierbei kann sich beispielsweise an den Risikoarten der Risikoanalyse orientiert werden. Schließlich laufen in der Auslagerungsüberwachung die Revisionsberichte ein, deren Auswertung ebenfalls in die Managementberichte einfließt und möglicherweise auch bei der Formulierung von Handlungsempfehlungen eine Rolle spielt.

Alle Berichte – insbesondere die festgestellten Abweichungen vom erwarteten Soll – werden in den persönlichen Gesprächen zwischen Institut und Dienstleister sowohl fachlich als auch formal behandelt. Dabei liegt auch eine Stärke in der Steuerung der Servicebeziehung: Keine Seite ist daran interessiert, in einen Krisenmodus zu fahren. Daher können persönliche Gespräche mögliche Unklarheiten deutlich für alle Parteien machen und Lösungen zeitnah erarbeitet werden.

SEMINARTIPPS

Prüfung Datenqualität, 21.04.2020, Frankfurt/M.

PraxisFalle IT-Dienstleistungen: Sonstiger Fremdbezug vs. Auslagerung, 22.06.2020, Frankfurt/Offenbach.

Auslagerungen im Fokus von neuer MaRisk/BAIT & EBA-GL, 23.06.2020, Frankfurt/Offenbach.

9. Fachtagung Interne Revision, 28.–29.09.2020, Frankfurt/Offenbach.

Weiterhin hat das auslagernde Institut die Möglichkeit, über entsprechend definierte Indikatoren ein Frühwarnverfahren im Auslagerungsprozess zu etablieren, dass eine Gesprächsgrundlage für die o. g. Diskussionen aber ebenso eine möglichst frühe Identifikation möglicher Probleme bietet.

Informationen über risikomindernde Maßnahmen aus Risikoanalysen können die Grundlage für Key-Risk-Indikatoren (KRI) bilden, die im Zeitverlauf Trends aufzeigen. Diese können hinterfragt und bei Bedarf dem Management entsprechend aufbereitet berichtet werden.

Die von den Fachabteilungen ausgewerteten Berichte der Innenrevisionen bieten – insbesondere bei den weniger gewichtigen Feststellungen – eine mögliche weitere Quelle, um frühzeitig beim auslagernden Institut festzustellen, das perspektivisch ein größeres Problementstehen kann.

BERATUNGSTIPP

Implementierung eines effizienten & wirksamen Auslagerungsmanagements.

 

Für Dienstleistungen, die aus Sicht des Servicenehmers kritisch für sein Geschäftsmodell sind, bietet sich im Gespräch mit dem Dienstleister an, aufgrund von vermehrten Störungen die vereinbarte Reportingfrequenz zu erhöhen, bis die Gründe für die Störungen identifiziert und abgestellt sind. Auf diese Weise müssen zwar mehr Daten verarbeitet werden, können jedoch frühzeitig beiden Seiten die Indikation zum Handeln aufzeigen. Jedoch kann hierzu ein bereits geschlossener Vertrag gewisse Hürden für die Frequenzverkürzung darstellen.

Die gelebte Prüfungspraxis ist ein weiterer Aspekt der möglichst frühen Bewusstmachung von künftigen kritischen Themen: Werden bei Prüfungen von Aufsicht und Jahresabschlussprüfer spezielle Prozesse oder einzelne Themen mit zunehmender Häufigkeit untersucht, hat das auslagernde Unternehmen einen Anhaltspunkt gewonnen und kann diesen ggf. weiterverfolgen.

 

 

 

 

 

 

 

 

Schließlich bleibt der bereits oben erwähnte gegenseitige Austausch zwischen auslagerndem Institut und Dienstleister stets von allergrößter Wichtigkeit, um Themen, die sich am Horizont als „kritisch“ abzeichnen, möglichst frühzeitig gemeinsam zu diskutieren. Das betrifft sowohl die fachliche als auch die formale Auslagerungsüberwachung. Von beiden Seiten aus können hierbei unterschiedliche Aspekte eingebracht und bei kommenden Vertragsanpassungen berücksichtigt werden.

PRAXISTIPPS

  • Die Auswertung von Berichten und Informationen für das Managementreporting sollte in einem wiederkehrenden Prozess vorgenommen werden, um gleichbleibende Qualität und Transparenz bei der Berichterstellung sicherzustellen.
  • Die allgemeine Prüfpraxis ist ein guter Prüfstein für mögliche Kenntnisse über Herausforderungen im eigenen Auslagerungsportfolio, ebenso die Verfolgung relevanter Berichterstattungen über den Dienstleister in der Presse.
  • Ein gutes Verhältnis zwischen auslagerndem Institut und Dienstleister basiert auf dem steten persönlichen Austausch, so können auch schon kleinere Unwägbarkeiten frühzeitig abgefangen werden.

Beitragsnummer: 92527

Auslagerungsüberwachung durch die Three-Lines-of-Defense

Gisela Conrads, Leiterin Interne Revision, Münchener Hypothekenbank eG

Mit der steigenden Bedeutung der Auslagerungen in der Bankenwelt sind auch die gesetzlichen Regelungen zur Überwachung von Auslagerungsmaßnahmen bei Banken seit Jahren gestiegen. Die Verantwortung für die ausgelagerten Aktivitäten und Prozesse verbleibt bei der Geschäftsleitung des auslagernden Unternehmens. Somit sind Banken angehalten, auch für ausgelagerte Prozesse ein internes Kontrollsystem (IKS) zu etablieren, um ein frühzeitiges Erkennen und damit eine Steuerung von Risiken zu ermöglichen. Im Umkehrschluss bedeutet dies, dass auch Auslagerungs-Vorhaben und deren Überwachung Bestandteil des IKS sein müssen.

Besondere Regelungen zur Auslagerung finden sich neben den Vorgaben des § 25b KWG (Auslagerung von Aktivitäten und Prozessen) in den Mindestanforderungen an das Risikomanagement (Rundschreiben MaRisk 09/2017(BA)) sowie den ab 30.09.2019 in Kraft getretenen EBA-Guidelines on outsourcing arrangements (EBA/GL/2019/02). Diese definieren eine Vielzahl von Anforderungen an das Management von Auslagerungen und berücksichtigen darüber hinaus auch die Empfehlungen zur Auslagerung an Cloud-Anbieter der EBA aus 2017.

SEMINARTIPPS

Prüfung AT 9 – Auslagerungen, 31.03.2020, Köln.

PraxisFalle IT-Dienstleistungen: Sonstiger Fremdbezug vs. Auslagerung, 22.06.2020, Frankfurt/Offenbach.

Auslagerungen im Fokus von neuer MaRisk/BAIT & EBA-GL, 23.06.2020, Frankfurt/Offenbach.

Risikoanalysen bei Auslagerungen, 02.11.2020, Hamburg.

Ziel der Guidelines ist die Erhöhung der Transparenz hinsichtlich der ausgelagerten Prozesse und Aktivitäten sowie die Steigerung des Risikobewusstseins für Auslagerungsrisiken. In der Vergangenheit war die Beherrschbarkeit von Auslagerungsrisiken nach Ansicht der Aufsicht nicht immer gegeben und die regulatorischen Anforderungen wurden mehr „formell“ als „operativ“ in das Risikomanagement eingebunden.

INHOUSETIPP

Auslagerungsmanagement.

 

 

Für die Geschäftsführung, die auslagernden Fachbereiche, das zentrale Auslagerungsmanagement und auch die Interne Revision bedeutet dies, sofern tatsächlich noch nicht geschehen, eine intensive Verzahnung der Überwachung von Tätigkeiten des Dienstleisters mit den eigenen Prozessen. Die regelmäßige Überwachung der ausgelagerten Prozesse und Tätigkeiten muss neben der Einhaltung von Service-Level-Agreements auch sicherstellen, dass (erhöhte) Anforderungen an interne Prozesse auch durch den Dienstleister gelebt werden. Dies betrifft z. B. auch die seit 25.05.2018 gültige Datenschutzgrundverordnung.

Konkret bedeutet dies, dass zum einen die Verträge mit den Dienstleistern so ausgestaltet sein müssen, dass neben den aufsichtlich erforderlichen Vertragsbestandteilen zu Prüfungsrechten u. a. auch klare Vorgaben für messbare Service-Level und die Berichterstattung an den Auftraggeber vereinbart werden müssen. Dabei ist zu beachten, dass die Berichte des Dienstleisters auf einer für den Auftraggeber nachvollziehbaren (Daten-)Basis erstellt werden und die Ergebnisse für die Überwachung durch das dezentrale Auslagerungsrisikomanagement geeignet sind (Stichwort Definition von Kennzahlen). Somit ist es notwendig, dass die Berichte sowohl regelmäßig als auch ad-hoc zeitnah vorliegen und Gegensteuerungsmaßnahmen bzw. Eskalationen eine Risikoreduzierung durch das Auslagerungsunternehmen ermöglichen müssen.

 

 

 

 

 

 

 

 

Zum anderen muss natürlich sichergestellt werden, dass auch Kompetenzen bzw. Berechtigungen an den Dienstleister lediglich in einem für den ausgelagerten Prozess bzw. die ausgelagerte Aktivität angemessenem Maß vergeben werden und diese auch in die regelmäßige Überwachung durch den auslagernden Fachbereich bzw. den Fachbereich IT integriert werden.

Die systematische Herangehensweise an mögliche Risiken kann auch bei der Auslagerungsüberwachung nur durch ein funktionierendes „Three-Lines-of-Defense-Modell“ dazu führen, dass die Risiken im Auslagerungsunternehmen frühzeitig erfasst, identifiziert, analysiert und bewertet werden.

Die Verteidigungslinien des Auslagerungsunternehmens haben in diesem Zusammenhang folgende Aufgaben:

1. Line = auslagernder Fachbereich/Fachbereich IT

  • Sicherstellung ordnungsgemäßer Auslagerung,
  • Aufrechterhaltung von entsprechendem Know-how für die ausgelagerten Prozesse und Tätigkeiten,
  • angemessene Vertragsgestaltung,
  • laufende Überwachung der ausgelagerten Prozesse und Tätigkeiten und
  • regelmäßige Berichterstattung der Überwachungsergebnisse
  • direkter Ansprechpartner des Dienstleisters.

2. Line = zentrales Auslagerungsmanagement (daneben Einbindung u. a. CISO/IT/Rechtsabteilung)

  • Sicherstellung, dass aufsichtsrechtliche Anforderungen in Bezug auf Auslagerungen und Fremdbezüge Bank-weit umgesetzt werden,
  • Etablierung einheitlicher Standards für Prozesse zum Umgang mit Auslagerungen, Vertragsgestaltungen für Auslagerungen, Risikoanalyse und Berichterstattung der Überwachungsergebnisse,
  • Sicherstellung, dass alle ausgelagerten Prozesse und Aktivitäten bekannt sind, und alle ausgelagerten Prozesse und Aktivitäten sowie Fremdbezüge in einem vollumfänglichen Auslagerungsregister erfasst werden,
  • regelmäßige zusammenfassende Berichterstattung an die Geschäftsführung über die Risiken aus Auslagerungen und Fremdbezügen,
  • u. a. Ansprechpartner für dezentrale Auslagerungsmanager (DAM), Geschäftsleitung, Jahresabschlussprüfer und Interne Revision.

3. Line = Interne Revision

  • Sicherstellung, dass die Anforderungen an eine funktionsfähige Revision auch für ausgelagerte Prozesse und Tätigkeiten eingehalten werden,
  • Überwachung der als wesentlich eingestuften Auslagerungen im Rahmen der risikoorientierten Prüfungsplanung,
  • Auswertung der Berichte des Dienstleisters, insbesondere Prüfungsberichte der „Dienstleisterrevision“ und Bewertung der Relevanz von Feststellungen,
  • Information der Geschäftsleitung des Auslagerungsunternehmens über Prüfungsergebnisse und Aufnahme unter Risikogesichtspunkten relevanter Feststellungen in das Follow-Up und
  • direkter Ansprechpartner für die Interne Revision des Dienstleiters.

Die Anforderungen und Aufgaben der beteiligten „Lines-of-Defense“ und insbesondere an die Interne Revision zeigen, dass aufgrund klarer Vorgaben und der kooperierenden Zusammenarbeit innerhalb des Auslagerungsunternehmens sowie zwischen den Auslagerungspartnern Reibungsverluste reduziert und ein effizienteres integriertes Risikomanagement ausgelagerter Prozesse und Tätigkeiten möglich ist.

Die Banken – und hier insbesondere die Internen Revisionen – sollten die Kritik an den bisherigen Überwachungsintensitäten und den daraus abgeleiteten Risikomanagementmaßnahmen ernst nehmen und sich verstärkt mit der Bedeutung der Verzahnung von ausgelagerten Aktivitäten in das Risikomanagement der auslagernden Bank beschäftigen. Nicht zuletzt kann die Interne Revision aufgrund ihres Gesamtüberblicks sowie der Betrachtung der Schnittstellen sowohl beim Dienstleister als auch im eigenen Unternehmen frühzeitig auf Diskrepanzen bezüglich der Prozessqualität hinweisen. Bei konsequenter (risikoorientierter) Einplanung der Prüfungsobjekte aus Auslagerungen und verbliebener Prozessteile kann eine nachhaltige Sicherung der Risikoüberwachung und Information der Geschäftsleitung festgestellt werden[1]. Dadurch werden neben den aufsichtsrechtlichen Anforderungen auch die Forderungen der Geschäftsleitung nach Kosteneinsparungen durch optimierte Überwachung von ausgelagerten (Teil-)Prozessen erfüllt und die Interne Revision entlastet.

PRAXISTIPPS

  • Grundlage für eine funktionierende Überwachung von ausgelagerten Prozessen und Tätigkeiten ist das für die Prozesse/Tätigkeiten vorhandene Know-how beim Auslagerungsunternehmen.
  • Klare Schnittstellen und Service Level Agreements sind als Grundlage verlässlicher (erwarteter) Qualität erforderlich.
  • Altverträge sind hinsichtlich der Erfüllung der neuen Anforderungen zu überprüfen und ggf. zu aktualisieren.
  • Bei der Auslagerung von Prozessen und Aktivitäten ist der Kosten-Nutzeneffekt zu beachten, da die Überwachung dieser Tätigkeiten durch das Auslagerungsunternehmen durch die diversen Schnittstellen ebenfalls hohe Kosten verursacht.
  • Hilfestellung bei der Implementierung wirksamer Überwachungsprozesse liefern auch die beim Finanz Colloquium Heidelberg erschienen Fachbücher, Fachartikel und Seminare zum Thema „Auslagerung“.
  1. Vgl. Hanten, Dr. M.; Görke, O.; Ketessidis, A., Outsourcing im Finanzsektor (2011), S. 54.

Beitragsnummer: 92522

Steigende Anforderungen im Auslagerungsmanagement

Erhöhte Pflichten und Kontrollen für die Institute aufgrund der verstärkten Durchführung von aufsichtsrechtlichen Sonderprüfungen.

Ina Märzluft, Senior Consultant/Prokuristin, FCH Consult GmbH

Seit dem Jahr 2012 – mit der bankenaufsichtlichen Definition nach AT 9 Tz. 1 MaRisk – nehmen die Entwicklungen im Auslagerungsmanagement jährlich stetig zu. Die letzte Veröffentlichung durch die Europäische Bankenaufsichtsbehörde (EBA) zu Informations- und Kommunikationstechnologie (IKT) und Sicherheitsrisikomanagement am 28.11.2019 verschärft die Anforderungen in einer weiteren Detailtiefe.

Abbildung: Überblick der rechtlichen Anforderungen an das Auslagerungsmanagement

Generell liegt eine Auslagerung vor, wenn ein anderes Unternehmen mit der Wahrnehmung solcher Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt wird, die ansonsten vom Institut selbst erbracht würden. Mit der EBA-Leitlinie Guidelines on Outsourcing (EBA/GL/2019/02) wurde der Anwendungsbereich auf Kreditinstitute, Wertpapierfirmen, Zahlungsinstitute und E-Geld-Institute erweitert.

Cover130BERATUNGSTIPPS

Quick-Check Neue Auslagerungs-Anforderungen.

Fit für die BAIT und die Sonderprüfung IT.

 

 

Die aktuellen Prüfungserfahrungen zeigen, dass manche Institute diese Definitionen in der Form auslegen, dass in Tätigkeiten von Dritten keine bzw. keine wesentlichen Auslagerungen gesehen werden, welches zu vermehrten Feststellungen durch die Bundesaufsicht beim Institut führt.

Die entscheidende Fragestellung lautet dabei:

  • Wie hat sich das Institut mit den Risiken, die ihm aufgrund einer Leistungserbringung durch Dritte entstehen, auseinandergesetzt bzw. diese eingeschätzt und dadurch entsprechend durch risikominimierende Maßnahmen behandelt?

Aktuell steht das Management von Risiken, die dem Institut aufgrund von Tätigkeiten durch Service-Provider entstehen, im Fokus der aufsichtsrechtlichen Bestimmungen. Daher ist die regulatorische Unterscheidung zwischen „wesentlichen“, „nicht-wesentlichen“ Auslagerungen und Fremdbezug oder zwischen einer „Risikoanalyse“ und einer „Risikobewertung“ ohne große Relevanz. Durch Weiterverlagerungen verschwinden keine Risiken. Allerdings ändert sich in der Regel die Risikosituation. Dieser Tatsache muss vom auslagernden Institut angemessen Rechnung getragen werden. Daher gelten die Regelungen von AT 9 MaRisk auch für Weiterverlagerungen von Tätigkeiten durch den Dienstleister. Die Verantwortung für ausgelagerte Prozesse verbleibt immer beim auslagernden Institut.

Die Verantwortung für das Risikomanagement von Auslagerungen liegt stets bei der Geschäftsleitung. Sie kann niemals delegiert und somit auch nicht ausgelagert werden. Die operative Durchführung ist im Rahmen schriftlich fixierter Regelungen delegierbar.

 SEMINARTIPPS

Neue MaRisk 2020, 17.03.2020, Frankfurt/M.

Prüfung AT 9 – Auslagerungen, 31.03.2020, Köln.

PraxisFalle IT-Dienstleistungen: Sonstiger Fremdbezug vs. Auslagerung, 22.06.2020, Frankfurt/Offenbach.

Auslagerungen im Fokus von neuer MaRisk & BAIT, 23.06.2020, Frankfurt/Offenbach.

Risikoanalysen bei Auslagerungen, 02.11.2020, Hamburg.

Prüfung (NEUE) BAIT im Fokus der Bankenaufsicht, 25.–26.11.2020, Düsseldorf.

Eine Auswertung der von Bundesbankprüfern durchgeführten Prüfungen hat ergeben, dass im Zusammenhang mit Auslagerungen besonders häufig Feststellungen zu nachfolgenden Sachverhalten getroffen werden:

  • Vollständige Übersicht der vorgenommenen Auslagerungen (wesentliche Auslagerung bis sonstiger Fremdbezug) inklusive der Definition von Wesentlichkeit
  • Gestaltung und Durchführung von Risikoanalysen sowie der Begründung der Einstufung als wesentlich/nicht wesentlich und eine einheitliche Risikobewertung
  • Inhalte der vertraglichen Regelungen (Vereinbarung und Kontrolle von Service-Level-Agreements)
  • Dienstleistersteuerung und -überwachung sowie Due-Diligence-Prüfung
  • Revision ausgelagerter Tätigkeiten sowie
  • Dokumentation der Ausstiegsstrategien

Die sogenannte „Altfallregelung“ gilt seit der MaRisk-Novelle 2017 nicht mehr. Bei als wesentlich eingestuften Auslagerungen ist die Risikoanalyse ebenfalls jährlich durchzuführen, während bei „nicht wesentlichen“ Auslagerungen ein Drei-Jahres-Turnus ausreichend ist.

Die MaRisk fordern auch die Vorbereitung des Instituts auf eine erwartete (beabsichtigte) oder vorzeitige (unerwartete) Beendigung der Auslagerung. Bei einer Beendigung der Leistungserbringung durch den Dienstleister sollen die betroffenen Bankgeschäfte weiterhin betrieben werden können. Sowohl die Ausstiegsprozesse als auch die Handlungsoptionen können im Rahmen der Risikoanalyse festgelegt bzw. bestimmt werden.

Die Bankaufsichtlichen Anforderungen an die IT (BAIT) sind zusätzlich ein zentraler Baustein der IT-Aufsicht in Deutschland geworden, welche sich ebenfalls an die Geschäftsleitung der Unternehmen richtet.

FILMTIPP

Verschärfung der Regelungen im Auslagerungsmanagement 2020.

 

 

 

Ziel der BAIT ist es, einen verständlichen und flexiblen Rahmen für das Management der IT-Ressourcen, des Informationsmanagementrisikos und der Informationssicherheit zu schaffen. Sie sollen auch dazu beitragen, das unternehmensweite IT-Risikobewusstsein in den Instituten und gegenüber den Auslagerungsunternehmen zu erhöhen. Auch die Erwartungen der Bankenaufsicht an die Institute in Bezug auf die Steuerung und Überwachung des IT-Betriebs, einschließlich des hierfür notwendigen Berechtigungsmanagements, der Anforderungen an das IT-Projektmanagement und der Anwendungsentwicklung, sind nunmehr transparent.

Die BAIT adressieren insgesamt die Themenbereiche, die die Aufsicht aufgrund der Ergebnisse der IT-Prüfungspraxis in den letzten Jahren als besonders wichtig einstuft. Die BAIT konkretisieren, was die Aufsicht unter einer angemessenen technisch-organisatorischen Ausstattung der IT-Systeme, unter besonderer Berücksichtigung der Anforderungen an die Informationssicherheit sowie eines angemessenen Notfallkonzepts, versteht. Nicht zuletzt aufgrund der Bedeutung des Notfallmanagements für die Bewertung der Risikotragfähigkeit konkretisieren daraufhin die MaRisk die Anforderungen und nehmen im Zusammenhang mit Auslagerungen erneut darauf Bezug.

Die teilweise sehr detaillierten Formulierungen der EBA-Leitlinien für Auslagerungsvereinbarungen (EBA/GL/2019/02) stellen insgesamt sehr komplexe Anforderungen an den gesamten Auslagerungsprozess und die Überwachung dar. Um Sie bei Ihren Prozessanpassungen zu unterstützen, finden Sie unter dem Link https://www.fc-heidelberg.de/final-report-eba-guideline-outsourcing-arrangements/?utm_source=newsletter&utm_medium=email&utm_campaign=BTS-Vorstand eine Übersetzung der relevanten Textziffern der Guideline (Tz. 7, 12–17, 26–108) sowie eine erste Einschätzung für jede dieser Textziffern.

Die Einrichtung der Funktion und Rolle eines zentralen Auslagerungsmanagers inklusive der Abbildung eines vollständigen Auslagerungsregister ist unabdingbar geworden.

Mit der Veröffentlichung der Richtlinien zur Informations- und Kommunikationstechnologie (IKT) und Sicherheitsrisikomanagement definiert die EBA ihre Erwartungen weiter an die Strategie, Governance, Informationssicherheit, Betriebs- und Business-Continuity-Management und intensiviert den Umgang von Risiken, z. B. durch die Berücksichtigung von Auslagerungs- und Projektrisiken im operationellen Risikomanagement, sowie die Kontrollen der Maßnahmen zur Risikominimierung.

Es wird der vollständige Überblick der IKT-Assets (einschließlich IKT-Systeme, Netzwerkgeräte, Datenbanken, usw.) in den einzelnen Instituten und den ausgelagerten Bereichen inklusive der positiven und negativen Auswirkungen bei Neuerungen, Änderungen oder Löschungen mit der Einhaltung der definierten Kommunikationswege verlangt.

Ziel muss es sein, die IKT- und Sicherheitsrisiken der Institute und der Auslagerungsunternehmen so gering wie möglich zu halten und regelmäßig zu kontrollieren, um keine negativen Auswirkungen auf das Risikoprofil oder Risikozuschläge bei der Kernkapitalquote zu erzielen.

Wir haben für Sie die Richtlinie zum IKT- und Sicherheitsmanagement übersetzt und eine erste Bewertung der einzelnen Kapitel vorgenommen. Dieses können Sie bei uns in Form einer Excel-Tabelle per Mail an info@fch-gruppe.de erwerben.

Sie haben Fragen? Sprechen Sie mich gerne an:

Ina Märzluft

Senior Consultant/Prokuristin

FCH Consult GmbH

www.fchconsult.de

Mobil: +49 176 84 975 974

E-Mail: Ina.Maerzluft@FCH-Gruppe.de

Beitragsnummer: 92288

Prüfung AT 9

Auslagerungen und Dienstleistersteuerung als neuer Schwerpunkt

Jürgen Krug, CISA, Stv. Abteilungsleiter Zentralrevision/IT-Revisor, Frankfurter Sparkasse

Verschärfte Anforderungen

Im Laufe der letzten Jahre hat die Bedeutung der Auslagerungs- bzw. Dienstleistersteuerung enorm zugenommen. Treiber waren neben den Sparzwängen aufgrund der nach wie vor niedrigen Zinsen v. a. die verschärften Anforderungen an die Dienstleistersteuerung als Folge des neuen AT 9 der MaRisk in Verbindung mit den Bankaufsichtlichen Anforderungen an die IT (BAIT) und den EBA-Guidelines on outsourcing arrangements. Mittlerweile sind seit Veröffentlichung der MaRisk und der BAIT gut zwei Jahre vergangen. Die Tragweite und der damit verbundene Handlungsbedarf werden aber erst jetzt so richtig klar. Das bestätigt sich durch die regelmäßigen Feststellungen bei IT-Prüfungen durch die Aufsicht. Insofern ist noch eine Menge zu tun, um die für das Unternehmen richtige Detailtiefe zu finden. Hilfreich dabei ist das Verständnis der Sichtweisen und Interpretationen der Aufsichtsprüfer.

SEMINARTIPPS

Neue MaRisk 2020, 17.03.2020, Frankfurt/M.

Risikoberichtswesen & Reporting in Praxis & Prüfung, 18.03.2020, Frankfurt/M.

Prüfung AT9 – Auslagerungen, 31.03.2020, Köln.

Kritische Analyse & Plausibilisierung von Dienstleister-Prüfberichten, 01.04.2020, Köln.

Prozessorientierte Prüfungslandkarten & Revisionsberichte, 04.05.2020, Frankfurt/M.

Implementierung und Weiterentwicklung

Werfen wir einen Blick auf die verschärften Auslagerungsregelungen. Zunächst ist ein zentrales Auslagerungsmanagement zu implementieren bzw. weiterzuentwickeln. Eine der Herausforderung dabei sind die für das jeweilige Institut zielführende Abgrenzung der Aufgaben und Verantwortlichkeiten sowie die Festlegung der Methodik zur Risikobewertung gem. BAIT und Risikoanalyse nach AT 9 der MaRisk, sodass die Einbindung in das OpRisk-Management sichergestellt wird. Dass bei der Risikoanalyse alle relevanten Aspekte im Zusammenhang mit der Auslagerung bis hin zur Exitstrategie zu berücksichtigen sind (z. B. die wesentlichen Risiken einschließlich möglicher Risikokonzentrationen und Weiterverlagerungen), macht die Thematik nicht leichter.

 

 

 

 

 

 

 

 

Herausforderungen für das Unternehmen

Die Herausforderungen sind vielschichtig. Angefangen mit der Festlegung von Kriterien zur Steuerung und Überwachung der Dienstleistungen (KPI) gilt es, die Hürden im Risikoanalyseprozess und in der Dienstleistersteuerung (zentral sowie dezentral) zu überwinden. Bei der Festlegung der Dokumentationserfordernisse sämtlicher (IT-)Auslagerungen ist ebenfalls das passende Augenmaß anzulegen. Die Erwartungshaltung zum Umgang mit sonstigen Fremdbezügen von IT-Dienstleistungen und IT-Auslagerungen hat zu vielen Diskussionen nicht nur mit externen Aufsehern und der Internen Revision geführt – das letzte Wort ist wohl auch hier noch nicht gesprochen. Weitere Hürden bei der Einbindung von Cloud-Services müssen genommen werden. Weitere Herausforderungen sind u. a. der Umgang mit Risikoanalysen, die Auswertung der Dienstleister-Prüfberichte und der damit verbundene evtl. Verzicht auf eigene Prüfungshandlungen sowie die notwendige Erweiterung der Prüflandkarte – von der Thematik der Weiterverlagerung ganz zu schweigen.

Neben den Herausforderungen für das Unternehmen steigen auch die Anforderungen für die Innenrevision. Eines sei dabei vorausgeschickt: Die Revision sollte nicht als Gegner, sondern zunehmend auch als Berater verstanden werden.

Fazit

Der Aufbau des zentralen Auslagerungsmanagements stellt nicht nur aufgrund knapper Ressourcen immer noch in vielen Unternehmen eine Herausforderung dar. Die Anforderungen werden weiter wachsen. Eine Pauschallösung kann es aufgrund der unterschiedlichen Aufgabenstellungen und Prozesse in den Unternehmen nicht geben.

Ziel muss es sein, die Anforderungen der Aufsicht zugeschnitten auf das Unternehmen in funktionsfähige Prozesse zu übersetzen und wirksame Kontrollen unter Berücksichtigung der Sicherheit, Ordnungsmäßigkeit und den vorhandenen Ressourcen zu implementieren.

PRAXISTIPPS

  • Durchführung einer Risikoanalyse vor Vertragsabschluss.
  • Festlegung der Mindestvertragsinhalte zur Unterstützung des Prozessverantwortlichen.
  • Frühzeitige Kommunikation der Anforderungen an den Dienstleister (Service Levels).

 

Beitragsnummer: 91062

Erfolgsfaktoren für einen mehrwertstiftenden Neu-Produkt-Prozess

Ilja Farberg, Mitarbeiter Modellrisikomanagement und -validierung, Unabhängige Validierungsfunktion zu Risikodatenaggregation und -reporting, DekaBank Deutsche Girozentrale

Einleitung

Geht man als Auftraggeber in der Annahme, dass nach seiner bisweilen kryptischen Wunschäußerung der Auftragnehmer unmittelbar mit der Umsetzung des Auftrags beginnt, davon aus, dass der Auftragnehmer in kürzester Zeit die vollkommene Erfüllung des geäußerten Wunsches bei dem Auftraggeber vorbeibringt, wird man in der Praxis eines Besseren belehrt. Denn die Bankpraxis zeigt: So wie in dem geschilderten Fall mit einer Wunschäußerung funktioniert es im Neu-Produkt-Prozess (NPP, gem. MaRisk AT 8.1 geregelter Prozess, der neben der Einführung neuer Finanzinstrumente auch Geschäftsaktivitäten auf neuen Märkten begleiten soll) leider nicht. Ein gut etablierter NPP ist vielmehr infolge der Installation eines funktionierenden Zusammenarbeitsmodells innerhalb der Bankorganisation sowie einer angemessenen Ressourcen-/Budgetzuteilung möglich. Folgende Voraussetzungen machen die beiden genannten Aspekte aus und sind entsprechend zu erfüllen, damit die Organisation von dem NPP profitiert.

SEMINARTIPP

Neu-Produkte-Prozess (NPP), 30.03.2020, Köln.

Klare und verbindliche Governance

Zuerst ist die Governance zu nennen, denn es gibt genug Beispiele in der Bankpraxis dafür, dass anstatt funktionierender Governance-Konzepte Lippenbekenntnisse der verantwortlichen Organisationseinheiten vorzufinden sind, die einen jeden fachbereichsübergreifenden Prozess durch ineffiziente Mitarbeit daran wesentlich verlangsamen. Gerade der zeitliche Fortschritt eines NPP wäre jedoch entscheidend, denn das Time-to-Market-Merkmal, worunter die Zeitspanne zwischen der Anfrage nach einem neuen Produkt und der Aufnahme der Handelstätigkeit verstanden wird, von den NPP-Auftraggebern als zentrale Erfolgsgröße des Prozesses gesehen und oft zurecht gegenüber den umsetzenden Organisationseinheiten als zu schlecht bemängelt wird. Es gibt allerdings mehrere Optimierungsmöglichkeiten.

Ein funktionierender Kommunikationskreis im NPP etwa lässt sich skizzieren, indem man die Kommunikation zwischen NPP-auftraggebenden und NPP-umsetzenden Organisationseinheiten sternförmig über die NPP-Koordinatoren (sog. Multiplikatoren) fließen lässt. Diese sternförmige Kommunikation ist im NPP entscheidend, damit fachliche, technische und prozessablaufseitige Abhängigkeiten zwischen den einzelnen betroffenen Umsetzungssträngen der Organisation adäquate Berücksichtigung finden. Dies führt zur Senkung der Anzahl der Iterationen bei der Ermittlung und Umsetzung der gewünschten Abbildung des einzuführenden Produkts und folglich rückt die Einleitung einer produktiven Testphase näher. Das Time-to-Market sinkt. Der Mehrwert des Prozesses und seine Akzeptanz in der Organisation steigen.

Wirksame Gremienstruktur

Die im vorstehenden Abschnitt beschriebene Kommunikation benötigt einen institutionalisierten Rahmen. Etablierte Abstimmungstermine auf unterschiedlichen hierarchischen Ebenen können dazu beitragen, effizientes Monitoring laufender Produkteinführungen vorzunehmen. Zentrale Voraussetzungen dafür sind eine sinnvolle zeitliche Abfolge der Termine, deren gute Vorbereitung und professionelle Moderation im Rahmen derer erzielte Abstimmungsergebnisse verbindlich festgehalten werden.

BUCHTIPPS

Meier (Hrsg.), Praxisleitfaden Prozessmanagement, 2017.

Handbuch Neu-Produkt-Prozess, 2018.

Incentivierung und Ressourcen-/Budget-Frage

Aufgrund der hohen fachlichen und persönlichen Anforderungen, die der NPP an Prozessbeteiligte stellt, gibt es einen potenziellen Konflikt, denn es sind Mitarbeiter mit hoher Seniorität einzubeziehen. Diese sind tendenziell stark durch Linien-/Projekttätigkeiten ausgelastet, und so entsteht der Eindruck, NPP-Aufgaben würden „on top“ auf ihren Arbeitstisch flattern. Dieser Eindruck kann unter der Voraussetzung sorgfältiger Ressourcenplanung in der betroffenen Organisationseinheit durch Incentivierung revidiert werden.

Genauso wie die Incentivierung hinreichende Ressourcen voraussetzt, funktioniert die Umsetzung eines NPP-Vorhabens nicht ohne ausreichendes Budget. Eine angemessene Zuteilung der Ressourcen/des Budgets setzt des Weiteren eine realistische Zeitplanung voraus, denn ansonsten sind Umsetzungsaktivitäten im NPP vor dem Hintergrund anderer bankweiter Aktivitäten unter Umständen selbst mit Unterstützung externer Arbeitskräfte nicht durchführbar.

Funktionsfähige Koordinationsfunktion

Der NPP-Kommunikationskreis stellt auf eine zentrale Rolle der NPP-Koordinatoren ab, die als Multiplikatoren der erforderlichen Information im Prozess fungieren und dadurch für einen effizienten Prozessablauf Sorge tragen. Je größer die Schnittmenge des Know-how eines NPP-Koordinators mit den zahlreichen fachlichen und technischen Themen ist, umso höher sind der Grad seiner Antizipation von Informationsbedarfen und potenziellen Umsetzungsfallstricken bei Produkteinführungen und der Grad seiner Akzeptanz bei den Prozessbeteiligten. Letzteres ist essenziell, denn während sich zu den fachlichen und technischen Fragen rund um eine Produkteinführung Experten aus den Fachbereichen zu Rate ziehen lassen, bleibt die Kommunikation im Prozess eine ureigene Aufgabe des NPP-Koordinators.

BERATUNGSTIPP

Geschäftsprozesse mit steuerungsrelevanten Kennzahlen.

Zeit-/kosteneffizienter Prozessablauf

Es lässt sich zeigen, dass durch professionelles Informationsmanagement in den Phasen des NPP Prozessiterationen vermieden werden können. So gibt es einige, für das Time-to-Market neuralgische Stellen im NPP:

  • Phase Anfrage/Planung: Erstellung des Business Case (Analyse der Wirtschaftlichkeit des Handelsvorhabens) mit transparenten und belastbaren Angaben erhöht die Chancen auf die zeitgerechte Realisierbarkeit des Vorhabens am Markt.
  • Phase Umsetzung: Professionelles Management der synthetischen Testgeschäfte stellt ein wesentliches Kriterium für den kosten- und zeiteffizienten Verlauf und erfolgreichen Abschluss der Umsetzungsphase dar.
  • MaRisk-Testphase: Da ab deren Beginn eine Handelsfreigabe für Geschäfte mit hausexternen Kontrahenten vorliegt, ist die Einleitung der MaRisk-Testphase ein wesentlicher Meilenstein im NPP zur Erfüllung der Erwartungshaltung des Auftraggebers.

NPP, Quo vadis?

Auch der im Vergleich zu anderen regulatorisch bedingten Prozessen in Kreditinstituten relativ junge NPP hat in der vergangenen Dekade eine Evolution vorzuweisen. Entsprechend sind einige Dutzend Produktfreigaben in jedem Institut bereits erteilt worden. Die in den letzten Jahren am Markt beobachtbaren Trends weg von Produkten, die für das Kreditgeschäft einer Bank charakteristisch sind, hin zu den Finanzinstrumenten, welche komplexere kundenspezifische Transaktionen bestücken können, machen es deutlich, dass ein Management der erteilten Freigaben im NPP den Prozess viel zeit-/und kosteneffizienter gestalten lässt. Wesentliche Komponenten davon wären

  • regelmäßige Überprüfung der Gültigkeit erteilter Handelsfreigaben (explizit vom Regulator gefordert) sowie
  • eine Institutionalisierung der Reaktivierung von Handelsfreigaben, die in der Vergangenheit entzogen wurden, inklusive insbesondere transparenter Kriterien für die erneute Freigabe.

Darüber hinaus lässt die oben beschriebene Entwicklung der Handelsstrategie weg von standardisierten Lösungen und hin zu „Tailor made“-Transaktionen eine sinnvolle Auswahl möglicher Arten von NPP-Vorgängen an Bedeutung gewinnen. Dadurch kann man bereits in der ersten Phase eines Vorgangs bestimmen, welche Prozessschritte begründet wegfallen könnten, um Einmalfreigaben zeiteffizient erreichen zu können.

PRAXISTIPPS

  • Etablierung von Schnittstellen zu anderen Change-the-Bank-Prozessen trägt dazu bei, fachliche und technische Abhängigkeiten frühzeitig zu erkennen und dadurch deren rechtzeitige, adäquate Berücksichtigung bei der Modifikation der Bankprozesse im Rahmen dieser Change-the-Bank-Prozesse zu ermöglichen. Entsprechend wird diese Verzahnung zunehmend mehr vom Regulator erwartet.
  • Darüber hinaus gibt es zahlreiche weitere Erfolgsfaktoren, die den NPP schlanker und die Akzeptanz des Prozesses höher werden lassen. Neben den üblichen Faktoren, die einen Prozess schneller, schlanker, kostengünstiger und effizienter werden lassen sind es beispielhaft
    • eine technische Plattform zur userfreundlichen Abbildung von NPP-Freigaben;
    • Institutionalisierung von Austausch innerhalb der Organisation im Sinne der „Lessons learned“;
    • Regelmäßiger Austausch mit anderen Instituten zur Optimierung des eigenen NPP.
  • Subsumierend lässt sich für einen gut etablierten NPP eine erstrebenswerte Kombination aus zwei Faktoren herausbilden:
    • Gelungene Überzeugung wichtiger, infolge dieser Überzeugung als Prozess-Sponsoren agierender Stakeholder in der Organisation vom Mehrwert des NPP und
    • ein gutes Prüfungsergebnis des NPP durch (externe) Kontrollorgane.

 

 

Beitragsnummer: 90934

Unternehmenskultur setzen und implementieren

Tone from the Top

Bernd Rummel, Senior Policy Expert bei der Europäischen Bankenaufsichtsbehörde (EBA), alle Inhalte sind die persönliche Meinung des Verfassers und sind nicht der Europäischen Bankenaufsichtsbehörde zuzurechnen.

Unternehmens- und Risikokultur sind Begriffe, die im Laufe der Zeit immer mehr Bedeutung innerhalb der Unternehmenssteuerung erhalten haben. Aber was genau ist eigentlich Unternehmens- und Risikokultur? Was sind die bankaufsichtlichen Anforderungen, warum ist dies auch betriebswirtschaftlich von hoher Bedeutung und wie wird diese Kultur in einem Kreditinstitut, aber auch in anderen Unternehmen, implementiert?

SEMINARTIPP

Umsetzung und (Über-)Prüfung einer angemessenen Risikokultur, 16.03.2020, Frankfurt/M.

 

Unternehmenskultur

Unternehmenskultur sind die Werte eines Unternehmens, die das Verhalten der Mitarbeiter und Mitarbeiterinnen prägen. Die Risikokultur ist ein Teil der Unternehmenskultur und betrifft nicht nur die Bildung eines angemessenen Risikobewusstseins, sondern bestimmt auch wie mit Risiken umgegangen wird, wenn sie eintreten.

INHOUSETIPP

Risikokultur und Entscheidungsprozesse.

 

 

Interne Governance

Die EBA-Leitlinie zur internen Governance definiert Risikokultur als die Normen, Einstellungen und Verhaltensweisen eines Instituts im Zusammenhang mit Risikobewusstsein, Risikobereitschaft und Risikomanagement sowie die Kontrollen, die für Entscheidungen über Risiken maßgeblich sind. Die Risikokultur beeinflusst die Entscheidungen der Geschäftsleitung und der Mitarbeiterinnen und Mitarbeiter im Tagesgeschäft und hat Auswirkungen auf die Risiken, die sie eingehen. Die Risikokultur hat im bankenaufsichtlichen Denken einen hohen Stellenwert, denn sie hat einen wesentlichen langfristigen Einfluss auf das Risikoprofil eines Kreditinstitutes.

BUCHTIPP

Janßen/Schiwietz (Hrsg.), Risikokultur in Kreditinstituten, 2018.

 

 

Verantwortung des Vorstands

Der Vorstand ist verantwortlich eine Unternehmenskultur zu setzen, die ein verantwortungsbewusstes und ethisches Verhalten fördert. Üblicherweise werden diese Werte in einem „Code of Conduct“, einem Verhaltenskodex, niedergelegt. Es ist aber bei Weitem nicht genug einen solchen Verhaltenskodex zu erstellen und an das Personal weiterzuleiten, er muss auch gelebt werden. Die Implementierung und Weiterentwicklung der Verhaltensregeln ist eine laufende Aufgabe. Ein Verhaltenscodex umfasst nicht nur Vorgaben die sicherstellen, dass alle anwendbaren Gesetzes- und Rechtsvorschriften eingehalten und nachverfolgt werden, sondern auch dass sich das Personal den Werten des Kreditunternehmens entsprechend untereinander und gegenüber den Kunden des Instituts und der Öffentlichkeit verhält.

BERATUNGSTIPP

Starter-Kit Risikokultur.

 

 

Tone from the Top

In diesem Zusammenhang ist die Leitungskultur in einem Institut wesentlich. Der „Tone from the Top“, also das kommunizierte und gelebte Verhalten der obersten Führungsebene muss durch alle Managementebenen „Tone from the Middle“ hinunter zu allen Mitarbeitern und Mitarbeiterinnen getragen werden. Dies erfolgt nicht nur durch geeignete Schulungsmaßnahmen, es ist insbesondere wichtig, dass sich das Management konsistent zu den gesetzten Werten verhält. Wie wird z. B. mit Fehlern des Personals umgegangen oder mit Verlusten, die eintreten. Dies prägt, ob sich die Mitarbeiter konservativ oder innovativ verhalten und ob sie das erwartete Engagement, einschließlich der erforderlichen Risikobereitschaft, zeigen.

 

 

 

 

 

PRAXISTIPPS

  • Die Unternehmenskultur ist auch für die angebotenen Produkte und Dienstleistungen von Belang. Dies ist heutzutage z. B. hinsichtlich der Themen Nachhaltigkeit und Diversität ein wichtiger Aspekt.
  • Kunden wollen entsprechend ihrer Anforderungen und Bedürfnisse bedient werden und Produkte nutzen, die ihren eigenen Werten entsprechen. Ist dies nicht der Fall, werden sie sich nicht länger an das Institut gebunden fühlen und letztendlich abwandern.

Beitragsnummer: 89887

Integrität und Interessenskonflikt – ein Spannungsfeld?

Dr. Gunter Dunkel, ehem. Vorstandsvorsitzender der Norddeutsche Landesbank Girozentrale (Nord/LB), ehem. Präsident des Bundesverband Öffentlicher Banken Deutschlands (VOEB)



 

Beitragsnummer: 41486

 

Beitragsnummer: 41486

Das war unsere Kredit-Jahrestagung 2019: Update im Kreditgeschäft und Hauptstadtflair

Das FCH-Kredit-Gipfeltreffen für Entscheidungsträger in Markt und Marktfolge sowie Revision.

Jürgen Blatz, Bereichsleiter Kreditgeschäft, FCH Gruppe AG & Heidi Bois, Redaktionsmitglied DigiPraktiker und Leiterin Vertrieb FCH Gruppe AG

Am 21.–22.11.2019 fand unsere FCH-Premiumveranstaltung für das Kreditgeschäft bereits zum vierten Mal in Berlin statt. Vertreter der Bankenaufsicht sowie erfahrene Bankpraktiker referierten zu aktuellen Themen und Trends rund um das Kreditgeschäft. Neben Geschäftsleitern waren auch Mitarbeiter aus den Bereichen Markt/Marktfolge, Grundsatzbereiche Kredit, Kreditrevision, Kreditsteuerung und Kredit-Compliance als Teilnehmer vertreten. Ein attraktives Abendprogramm rundete die Tagung perfekt ab.

Top-aktuelle Themen, Diskussionsfelder und Trends rund um das Kreditgeschäft

Dominik Leichinger, Prüfungsleiter Referat Bankgeschäftliche Prüfungen 2, Deutsche Bundesbank, eröffnete die Tagung mit seinem Vortrag zu aktuellen Kreditthemen: Prüfung der Kreditvergabestandards vor dem Hintergrund einer teils zu „laxen Kreditvergabe“ mit Fokus auf Immobilienfinanzierungen, aktuelle Werthaltigkeits/-PAAR-Prüfungen und „brandaktuell“ zu den neuen EBA-Guidelines zur Kreditvergabe/-überwachung.

Frank Günther, Senior Consultant und Kreditspezialist, FCH Consult GmbH, schloss an mit seinem Vortrag über die aufsichtsrechtliche Verpflichtung zu neuen Prozessen bei Problemkrediten (Neue EBA-Guideline zu „Non-Performern“).

Florian Hemm, Leiter Marktfolge Kredit, Fürstlich Castell´sche Bank, Credit-Casse AG, startete mit einem Zitat von Thorsten Dirks, CEO Eurowings: „Wenn Sie einen scheiß Prozess digitalisieren, dann haben Sie einen scheiß digitalen Prozess!“ und referierte lebhaft zum Thema Kreditprozesse SMART: Anspruch vs. Wirklichkeit. Er zeigte unseren Teilnehmern Impulse und Lösungsmöglichkeiten auf, über die es sich auf jeden Fall lohnt, „zu Hause“ noch einmal nachzudenken. Ziel seines Referats: die Teilnehmer vor Digitalisierungsaktionismus ohne Mehrwert zu bewahren und ein Verständnis dafür zu schaffen, dass Digitalisierung ein Prozess und kein Ergebnis ist. Er schloss mit einem Zitat von Hannibal „Entweder wir finden einen Weg, oder wir machen einen!“

Oliver Pickert, Analyst Marktfolge Aktiv, Volksbank RheinAhrEifel eG, beendeten den ersten Vortragstag mit einem aktuellen Sachstandsbericht zum „Digitalen Finanzbericht“. Als Anregungen für den Alltag gab er u. a. auf den Weg, Vertrauen in die Qualität der Daten zu haben.

SEMINARTIPP

Kredit-Jahrestagung 2020, 18.–19.11.2020, Berlin.

Sascha Paschke, Bankgeschäftliche Prüfung, Deutsche Bundesbank, eröffnete den zweiten Tag mit seinem Vortrag zum Thema EEG-Finanzierungen in Praxis und aufsichtsrechtlicher Prüfung und zeigte auf, welche branchenspezifischen Risikotreiber zu berücksichtigen sind.

Benjamin Heinemann, Leiter Abwicklung, Rechtsabteilung/Abwicklung, Sparkasse Mittelmosel – Eifel Mosel Hunsrück, berichtete im Anschluss über aktuelle Gefahren im Bauträgergeschäft und mögliche Lösungsansätze. Unter anderem gab er einen aktuellen Überblick über die wirtschaftlichen Rahmenbedingungen. Eine positive: Historisch niedrige Zinsen erleichtern privaten und gewerblichen Wohnungsbau. Eine negative: Handwerkerknappheit und Auftragsschwemme erhöhen die Baukosten.

BUCHTIPP

Becker (Hrsg.), Bearbeitungs- und Prüfungsleitfaden: Risikofrüherkennung im Kreditgeschäft, 3. Aufl. 2019.

Den Abschluss machten Raik Sommerburg, Leiter Marktfolge Kredit, Volksbank Halle (Saale) eG, und Andreas Moritz, Partner Dialog Unternehmensberatung GmbH, mit dem aufschlussreichen Praxisbericht über „Prozessoptimierung im Kreditgeschäft – hohe Kreditqualität schafft schnelle Entscheidungen“.

Tach och: Netzwerken mit Lachmuskeltraining

Zur Auflockerung und zum Netzwerken über den eigenen Verbund hinaus fand am ersten Abend eine Comedy-Bustour durch Berlin statt. Es ist keine klassische Stadtrundfahrt, sondern Deutschlands erfolgreichste rollende Comedy-Show durch Berlin.

Die rollende Comedy-Tour war ein wirklich außergewöhnliches Stadterlebnis, bei dem kein Auge trocken blieb. In dem außergewöhnlichen, von Schauspieler und Comedian Cem Ali Gültekin (bekannt aus Tatort, Nord bei Nordwest, Jerks uvm.) entwickelten Programm, genossen unsere Teilnehmer eine Show mit Aussicht auf Pointen. Sie bekamen die Lachmuskeln unmittelbar zu spüren, nachdem sich der Vorhang öffnete. Am Ende hatten unsere Teilnehmer nicht nur die Hauptstadt, sondern auch ihr Zwerchfell näher kennengelernt. Während der Tour in dem rollenden Theater entdeckten wir nicht nur das Brandenburger Tor, den Reichstag, den Potsdamer Platz oder das Kanzleramt, sondern erfuhren auch alles über die Eigenart der Berliner. Wirklich empfehlenswert für jeden, der die Stadt einmal auf eine andere Art und Weise kennenlernen möchte.

Sie wollen nächstes Jahr auch dabei sein? Dann melden Sie sich gleich an: https://www.fc-heidelberg.de/produkt/kredit-jahrestagung-2020/

Die diesjährige Kredit-Jahrestagung wurde präsentiert mit freundlicher Unterstützung von: Comline AG, vdpConsulting AG und Partner Dialog Unternehmensberatung GmbH.

Sie wollen als Sponsor bzw. Aussteller dabei sein? Bitte trauen Sie sich, uns anzusprechen: heidi.bois@fc-heidelberg.de

Ein paar Eindrücke finden Sie hier in der Fotogalerie.

PRAXISTIPPS

  • Nutzen Sie die Tagung, um anschließend wertvolle Impulse in die Bank zu geben.
  • Behalten Sie Dank der hochkarätigen Vorträge der Bundesbank im Zusammenspiel mit Bankpraktikern den Überblick über wesentliche praxisrelevante Neuerungen.

 

Beitragsnummer: 88905

Prüfungsstandards: Die EBA beruhigt

Willy Patrice Tchabet Tchato, Consultant, FCH Consult GmbH

Die European Banking Authority (EBA), die offiziell seit März 2019 in Paris ansässig ist, hat im Rahmen ihres Arbeitsprogramms 2020 nicht nur ihre strategischen Prioritäten festgelegt, sondern auch ihre Verantwortlichkeiten im Rahmen ihrer Aktivitäten und gleichzeitig ihre Verpflichtung bekräftigt, solide und qualitativ hochwertige Buchführung und Buchführungsinformationen für den Bank- und Finanzsektor sowie transparente und vergleichbare Abschlüsse zur Stärkung der Marktdisziplin zu fördern. Die EBA befürwortet auch solide Prüfungspraktiken, die zur Qualität der Unternehmensberichterstattung und zur Erstellung von Berichten beitragen, die für den Abschlussprüfer nützlich und verständlich sind. Die Entwicklung der internationalen Rechnungslegungs- und Prüfungsstandards wird daher genau verfolgt. Wenn sich internationale Standardsetzer für Rechnungslegung und Abschlussprüfung mit einem Problem befassen, das Finanzinstitute oder Bankenaufsichtsbehörden betrifft, trägt die EBA zum Prozess bei. Der Beitrag der EBA erfolgt durch ihre Stellungnahme, hauptsächlich in Form von Briefen sowie Standardprojekten oder durch den direkten Austausch. Kommentare werden auf der EBA-Website veröffentlicht, um eine ausreichende Transparenz des Prozesses zu gewährleisten. Die EBA versichert jedoch, dass sie nicht für die Entwicklung, Interpretation oder Implementierung von Rechnungslegungs- oder Prüfungsstandards verantwortlich ist, sondern Überwachungsrichtlinien entwickeln kann, um die Kohärenz und die Konvergenz der Praktiken zu verbessern.

 

 

 

 

 

 

 

SEMINARTIPPS

Auslagerungen im Fokus der MaRisk und BAIT, 05.12.2019, Köln.

Risikoanalysen bei Auslagerungen, 02.11.2020, Hamburg.

Zwingender Einbezug der SREP-Anforderungen in die Revisionsarbeit, 03.11.2020, Hamburg.

 

BERATUNGSANGEBOT

Auslagerung MaRisk-Compliance.

 

PRAXISTIPPS

  • Angesichts vorstehender Feststellungen ist es daher unerlässlich, dass Banken und Finanzinstitute nach dem Vier-Augen-Prinzip von externen Experten begleitet werden.
  • Die Kenntnisnahme der laufenden Diskussionen zwischen der EBA und internationalen Standardsetzern ist ein guter Weg, um die Interpretation von Standards, die noch in Projekt sind, zu antizipieren.
  • Unsere Fachzeitschrift RevisionsPraktiker beschäftigt sich auch regelmäßig mit der Entwicklung der neuen Standards sowie den damit verbundenen Interpretationen.

 

 

Beitragsnummer: 88847

Die EBA Outsourcing Guidelines – neue Herausforderungen für Banken

Jan Heisig, Provider Management, Controlling & Planung, Erste Abwicklungsanstalt AöR[1]

1. Einleitende Worte

Nicht zuletzt durch die gestiegenen regulatorischen Anforderungen im Nachgang der letzten Finanzkrise im Jahr 2008, den rückläufigen Gewinnmargen im traditionellen Kredit- und Einlagengeschäft aufgrund der anhaltenden Niedrigzinsphase und der fortschreitenden Digitalisierung im Finanzsektor, sehen sich Banken mit stetig steigendem Kosten- und Innovationsdruck konfrontiert. Die vollständige oder teilweise Auslagerung von Prozessen oder Aktivitäten an einen Dienstleister ist bei Banken ein wesentlicher Bestandteil strategischer Entscheidungen, um Optimierungspotenziale innerhalb der Institute zu heben oder um sich auf eigene Kernkompetenzen konzentrieren zu können. Im Grundgedanken sollen diese Auslagerungen Komplexitäten reduzieren und eine möglichst effiziente Erbringung der Dienstleistungen ermöglichen, gehen aber selbst mit stetig steigenden regulatorischen Anforderungen an ein adäquates Risiko- und Providermanagement einher. So gelten die neuen Leitlinien der Europäischen Bankaufsichtsbehörde (EBA) zum Thema Outsourcing, die zum 30.09.2019 in Kraft getreten sind, fortan für neue Outsourcing-Aktivitäten und sind für bestehende Outsourcing-Engagements innerhalb einer Übergangsfrist bis zum 31.12.2021 anzuwenden.

SEMINARTIPPS

Prüfung AT 9 – Auslagerungen, 31.03.2020, Köln.

Auslagerungen im Fokus von neuer MaRisk & BAIT, 23.06.2020, Frankfurt/Offenbach.

2. Analyse der „EBA Guidelines on Outsourcing Arrangements“

Der Inhalt der EBA-Richtlinien lässt sich in fünf Kapitel zusammenfassen:

Laut dem ersten Kapitel, welches mit Anwendung und Verhältnismäßigkeit zusammengefasst werden kann, müssen neben Finanzinstituten nach der Eigenkapitalrichtlinie (CRD) – gemäß Kategorisierung der Richtlinie über Märkte für Finanzinstrumente II (MiFID II) – nunmehr sowohl Zahlungsinstitute – die der überarbeiteten Zahlungsdienstleisterrichtlinie (PSD2) unterliegen – als auch E-Geld-Institute – die der E-Geld-Direktive unterliegen – die neuen EBA-Richtlinien berücksichtigen.

Im Rahmen des zweiten Kapitels Governance werden Institute angehalten ihre zuständige Aufsichtsbehörde – in der Regel die Europäische Zentralbank (EZB) – bereits vor einer Auslagerung von „kritischen“ oder „wichtigen“ Funktionen zu informieren. Als Beispiel für grundlegende Unterschiede zwischen bestehenden nationalen Regelungen und den EBA-Richtlinien ist hier auf die unterschiedliche Definition der Bedeutung von Auslagerungen („wesentlich“ gem. MaRisk und BAIT gegenüber „kritisch“ oder „wichtig“ gem. EBA-Richtlinie) hinzuweisen. Darüber hinaus müssen Institute ein einheitliches und vollständiges Register aller Outsourcing-Beziehungen führen, unterschieden nach kritischen/unkritischen oder wichtigen/unwichtigen Outsourcing-Engagements. Zusätzlich sind die Institute verpflichtet, dieses Register der jeweiligen Aufsichtsbehörde mindestens alle drei Jahre zur Verfügung zu stellen.

BUCHTIPPS

Beckmann, Daumann, Horn, Thieking, Auslagerung nach MaRisk, 2018.

Ritz/Schmitz/Walla (Hrsg.), Risikoanalyse für Auslagerungen in der Kreditwirtschaft, 2018.

Vor dem Abschluss eines Outsourcing-Vertrages und demnach noch vor der zugehörigen Risikoanalyse, müssen Institute gemäß dem dritten Kapitel, welches als Bewertungskapitel zusammengefasst werden kann, eine umfassende Pre-Outsourcing-Analyse durchführen. Die hier zu erhebenden Parameter erfordern eine detaillierte und dezidierte Auseinandersetzung mit dem potenziellen Outsourcing-Partner bereits im Vorfeld der Vertragsbindung.

Diese Vertragsbindung – beschrieben im vierten Kapitel Outsourcing-Vertrag – wird durch die EBA-Richtlinien ebenfalls deutlich mit ausführlichen und umfassenden Anforderungen an den Inhalt von Verträgen im Outsourcing-Umfeld spezifiziert.

Im fünften und letzten Kapitel wird der Outsourcing-Prozess behandelt. Dieser muss vom Management des Instituts durch eine schriftlich fixierte Outsourcing-Richtlinie verabschiedet werden, die Mindestanforderungen für kritische oder wichtige Funktionen beispielsweise in einem internen Handbuch festlegt werden und deren Einhaltung sowohl durchgesetzt als auch fortlaufend überprüft werden. Außerdem ist im Falle der Durchführung einer Outsourcing-Aktivität in den Institutionen vorgeschrieben, dass zu jeder Zeit eine angemessene Retained Organisation (RTO) vorhanden sein muss, die sowohl eine adäquate Überwachung der Leistung garantieren als auch ein potenzielles Re-Insourcing ermöglichen kann. Die Institute sind ferner angewiesen eine klar definierte Exit-Strategie für alle kritischen und wichtigen Auslagerungen festzulegen, die zudem ausreichend getestet und dokumentiert sein muss.

3. Kritische Würdigung

Die EBA-Richtlinien enthalten im Vergleich zu den bisher geltenden europäischen Vorschriften „Committee of European Banking Supervisors (CEBS) Guidelines on Outsourcing“ von 2006 zahlreiche Ergänzungen zur Regulierung von Outsourcing-Aktivitäten. Sie gehen zudem deutlich über die aktuellen nationalen deutschen Anforderungen „Mindestanforderungen an das Risikomanagement (MaRisk) AT 9“ und „Bankaufsichtliche Anforderungen an die IT (BAIT)“ hinaus und stellen Institute vor neue Herausforderungen. Der Verweis auf einen Proportionalitätsgrundsatz – eine Anwendung der Regelungen nach Art, Umfang und Intensität – soll kleinen Instituten oder solchen mit lediglich geringem Dienstleistungsangebot grundsätzlich Erleichterungen verschafften, kann jedoch aufgrund von möglichen Fehlinterpretationen im Hinblick auf die anzuwendende Regulatorik sowohl beim Institut selbst als auch bei den jeweiligen Prüfern zu Konfusionen führen. Ferner sehen die EBA-Richtlinien zudem umfangreiche Regeln für das Outsourcing innerhalb eines Konzerns und die Vermeidung von Interessenkonflikten vor. So wird beispielsweise gefordert, dass Muttergesellschaften für das Outsourcing von Tochtergesellschaften, aber auch für eine zentrale Konzernverantwortung verantwortlich sind.

BERATUNGSANGEBOT

Implementierung eines effizienten & wirksamen Auslagerungsmanagements.

 

4. Ausblick auf die Zukunft und Umfrage zu Outsourcing-Aktivitäten

Abschließend bleibt abzuwarten, wie sich die Anwendung der regulatorischen Anforderungen aus den EBA Guidelines auf die Outsourcing-Aktivitäten deutscher Banken auswirkt. Hierzu führt der Autor ein Forschungsprojekt im Zuge seiner Abschlussarbeit zum Studiengang Master of Business Administration (MBA) bei Herrn Prof. Dr. Reuse durch.

Über eine rege Teilnahme würde sich der Autor sehr freuen. Eine (natürlich anonyme) Teilnahme an der zugehörigen Befragung ist über den folgenden Link (oder QR-Code) möglich:

Wissenschaftliches Forschungsprojekt zum Einfluss der EBA Guidelines auf die Outsourcing-Aktivitäten deutscher Banken: https://www.survio.com/survey/d/R9M3O5F2A9O3G7D0I

cid:image003.jpg@01D59A44.A72DD4F0

PRAXISTIPPS

  • Wie bei allen regulatorischen Anforderungen gilt: Prüfen Sie frühzeitig, ob und ab wann Ihr Institut den neuen Anforderungen unterliegt.
  • Da die BaFin – bis auf wenige Ausnahmen – die Leitlinien der EBA grundsätzlich in ihre Verwaltungspraxis übernimmt, sollten sich auch Institute, die aktuell noch nicht den EBA-Leitlinien unterliegen, auf entsprechende Anpassungen in der nationalen Regulatorik (i. W. MaRisk & BAIT) vorbereiten.
  • Alle Institute sollten sich demnach bereits heute mit den neuen Anforderungen an ihr Risiko- und Outsourcing-Management auseinandersetzen.
  • Identifizieren Sie dieses anhand einer Gap-Analyse und terminieren Sie die jeweiligen Umsetzungsschritte.
  • Überprüfen Sie Ihre Prozesse, organisatorischen Regelungen und Handbücher entsprechend.

 

  1. Dieser Beitrag stellt die persönliche Meinung des Verfassers dar, die nicht notwendigerweise mit der der Ersten Abwicklungsanstalt übereinstimmen muss.

 

 

Beitragsnummer: 88785