Optimierung von Prozessen in Verbindung mit dem IKS

Daniela Häming, M.Sc., Abteilungsleiterin Organisationsmanagement I Direktorin, Internationales Bankhaus Bodensee AG

Prozessmanagement ist in Banken mittlerweile nicht mehr wegzudenken, wobei es je nach Ausgestaltung, Reifegrad und Schwerpunkten in den einzelnen Instituten sehr unterschiedlich gelebt wird. Optimalerweise ist das Interne Kontrollsystem (IKS) in ein ganzheitliches Prozessmanagementsystem integriert: sowohl zur Erfüllung von aufsichtsrechtlichen Anforderungen als auch für einen möglichst hohen wirtschaftlichen Nutzen. Dieser nimmt mit ansteigendem Reifegrad der Prozessausrichtung stetig zu. Nachdem Prozesslandkarte und Rollen definiert sind, Prozesse modelliert und somit Kontrollen transparent sind, gilt es, im nächsten Schritt durch laufende Prozessoptimierung die positiven Effekte für Kunden, Mitarbeiter und Bank kontinuierlich zu erhöhen.

Wer führt die Prozessoptimierung durch?

Der Prozessverantwortliche steuert alle mit seinen Prozessen zusammenhängenden Themen. Neben der Sicherstellung von aktuellen und der Umsetzung von neuen aufsichtsrechtlichen Anforderungen hat er die klare Verantwortlichkeit dafür, die Prozesse auch unter qualitativen und wirtschaftlichen Gesichtspunkten laufend zu optimieren. Erfolgsentscheidend dabei ist, die Prozessbeteiligten aus den oftmals verschiedenen Fachbereichen sowie themenbezogen die entsprechenden Beauftragten eng einzubinden. In gemeinsamen Workshops werden die bereichsübergreifende Zusammenarbeit gestärkt, gegenseitiges Verständnis geschaffen und Ideen aus der Praxis aufgenommen. Nur durch die konsequente Betrachtung des Gesamtprozesses ist es möglich, Schnittstellen zu optimieren und eine vollständige Prozesssteuerung zu gewährleisten. Methodische Unterstützung für ein strukturiertes Vorgehen und den manchmal notwendigen „neutralen“ Blick auf die Problemstellung erhalten der Prozessverantwortliche und sein Team durch das zentrale Prozessmanagement.

SeminarTipps

Prozesse/Orga-Handbuch & IKS, 25.–26.03.2020, Köln.

IKS KOMPAKT: Aufbau & Management einer IKS-Organisation, 04.05.2020, Berlin.

Praktische Vorgehensweisen zur Implementierung eines IKS, 05.05.2020, Berlin.

Der (zukünftige) IKS-Beauftragte, 06.05.2020, Berlin.

Welche Prozesse werden zur Optimierung ausgewählt?

Da nicht alle Themen gleichzeitig bearbeitet werden können und es auch nicht sinnvoll ist, alle Prozesse mit dem gleichen Aufwand zu betrachten, ist anhand der Prozesslandkarte nach Priorität vorzugehen. Im Fokus stehen die als „wesentlich“ definierten Prozesse, da diese unter Ertrags-, Kosten- und Risikoaspekten eine besondere Bedeutung für die Geschäftstätigkeit der Bank haben. Außerdem empfiehlt es sich, kundenorientierte Prozesse besonders zu berücksichtigen. Hinweise zum Handlungsbedarf können neben unterjährigen Erkenntnissen aus der Praxis u. a. aus den IKS-Instrumenten oder dem Beschwerdemanagement kommen sowie über ein im Haus installiertes Vorschlagswesen eingebracht werden. Abhängig von den Ansatzpunkten wird die weitere Vorgehensweise festgelegt: Kleinere Themen können durch den Prozessverantwortlichen in der Linie umgesetzt werden, für wesentliche Prozessveränderungen ist die Vorgehensweise nach AT 8.2 MaRisk zu beachten. Um mit den notwendigen Ressourcen strukturiert die definierten Ziele zu erreichen, ist es für größere Themen sinnvoll, ein Projekt aufsetzen. Aber auch die Prozesse ohne konkreten Handlungsbedarf werden nicht vergessen: Da jeder Prozess in der Bank regelmäßig im Rahmen der Aktualisierung der schriftlich fixierten Ordnung durch den Prozessverantwortlichen betrachtet wird, werden auch kleinere Verbesserungsansätze in der Linie erkannt und zur Umsetzung gebracht.

InhouseTipp

IKS Kompakt: Aufbau & Prüfung von Schlüsselkontrollen.

 

 

Welche Rolle spielt das IKS bei der Prozessoptimierung?

Ein typischer IKS-Kreislauf sieht vor, dass der Prozessverantwortliche in Zusammenarbeit mit der IKS-Evidenzstelle und ggf. weiteren Beauftragten regelmäßig die Funktionsfähigkeit und Wirksamkeit der Kontrollen mittels Kontrolltests überprüft. Die Ergebnisse der Kontrolltests können zu verschiedenen Maßnahmen führen: Zum einen wird Bedarf zur Anpassung des Prozesses und/oder der Kontrolle aufgrund von Fehlern ersichtlich. Zum anderen können die IKS-Instrumente Weiterentwicklungspotenzial aufzeigen. Das prozessorientierte IKS leistet somit einen hohen Beitrag für das Optimierungsziel des Prozessverantwortlichen.

Grundlage für eine Optimierung ist der modellierte Ist-Prozess. Prozessdiagramme beinhalten u. a. Kontrollen mit Details zu ihrer Ausgestaltung und Ausführung. In der Analysephase werden verschiedene Ansatzpunkte betrachtet: Schnittstellen zwischen Organisationseinheiten, verwendete Sachmittel, Doppelarbeiten, Medienbrüche, … und die Kontrollen! Dabei stellt sich der Prozessverantwortliche u. a. folgende Fragen: Was ist der Kontrollinhalt und Zweck der Kontrolle? Welches Risiko wird damit minimiert oder vermieden? Ist die Kontrolle angemessen für den jeweiligen Prozess? Gibt es Kontrolllücken oder wird vielleicht sogar zu viel kontrolliert? Ist die Kontrolle automatisierbar? Ist eine Vollkontrolle nötig oder reichen Stichproben aus? Wie wirkt sich eine geplante Prozessveränderung auf die Risiken oder Kontrollen aus? Auf Basis dieser Analyseerkenntnisse werden Ideen entwickelt und implementiert, die darauf abzielen, das Kontrollgefüge als Teil des Prozesses zu optimieren und somit zur Qualitäts- und/oder Effizienzsteigerung beizutragen.

Die Bausteine des Prozessmanagements mit integriertem IKS bilden einen kontinuierlichen Verbesserungskreislauf. Aus der regelmäßigen Prozessüberprüfung in Verbindung mit den IKS-Instrumenten (wie z. B. Kontrolltests) ergeben sich Ansatzpunkte für Optimierungspotenzial, welches nach Umsetzung zu positiven Auswirkungen für Kunden, Mitarbeiter und die gesamte Bank führt.

PRAXISTIPPS

  • Betrachten Sie Ihre Prozesse regelmäßig, um diese in kleinen Schritten kontinuierlich weiterzuentwickeln.
  • Verdeutlichen Sie den beteiligten Mitarbeitern den Nutzen der IKS- und Prozessoptimierungsaktivitäten, um sie zum aktiven Einbringen Ihrer Ideen anzuregen und Akzeptanz für die Ergebnisse zu schaffen.
  • Stimmen Sie alle geplanten IKS- und Optimierungsaktivitäten zeitlich und inhaltlich mit den Beteiligten ab. Dies reduziert möglicherweise parallele oder doppelte Tätigkeiten.
  • Haben Sie stets den Gesamtprozess im Blick, damit das beste Ergebnis erzielt werden kann und eine vollständige Prozesssteuerung gewährleistet ist.

Beitragsnummer: 88593

Prüfung von Auslagerungen im Kreditgeschäft

Praxisorientierte Prüfungsansätze für die Interne Revision

Thomas Maurer, Leiter Interne Revision, Münchner Bank eG

Ausgangslage

Der stetig zunehmende Kostendruck und die fortschreitende Digitalisierung zwingen die Banken dazu neue Wege zu gehen. Insbesondere der Weg in die digitale Welt erfordert ein Spezialwissen, das nicht in allen Instituten im erforderlichen Umfang vorhanden ist. Vor diesem Hintergrund wird bei vielen neuen und teilweise auch bei bekannten Themen immer auch die Möglichkeit einer Auslagerung der Aufgaben geprüft. Dies hat auch im Kreditgeschäft Einzug gehalten. Beispiele sind Ratingverfahren, Wertermittlungen im Immobiliengeschäft oder Teile der Marktfolgetätigkeiten. Die Aufsicht beobachtet diesen Trend argwöhnisch und wartet mit immer detaillierteren Regulierungsanforderungen auf. Aktuelles Beispiel ist die „Guideline on Outsourcing Arrangements“ der EBA, die zum 30.09.2019 in Kraft getreten ist und mit der nächsten MaRisk-Novelle in nationales Recht umgesetzt werden soll. Dieser Entwicklung muss auch die Interne Revision folgen und der Prüfung von ausgelagerten Unternehmensbereichen einen größeren Stellenwert einräumen und mehr Zeitressourcen hierfür zur Verfügung stellen.

SEMINARTIPPS

Prüfung AT 9 – Auslagerungen, 31.03.2020, Köln.

17. Kreditrevisions-Tage 2020 in München, 11.–12.05.2020, München.

PraxisFalle IT Dienstleistungen: Sonstiger Fremdbezug vs. Auslagerung, 22.06.2020, Frankfurt/Offenbach.

Auslagerungen im Fokus von neuer MaRisk & BAIT, 23.06.2020, Frankfurt/Offenbach.

Aufsichtsrechtliche Anforderungen

In AT 9 der MaRisk sind umfangreiche Anforderungen definiert. So ist vor jeder Auslagerung eine Risikoanalyse durchzuführen, in deren Erstellung auch die Interne Revision einzubinden ist. Für den Fall einer beabsichtigten wie auch einer unbeabsichtigten Beendigung der Auslagerung sind geeignete Vorkehrungen zu treffen, die sicherstellen, dass die Aktivitäten auch in diesen Fällen reibungslos weiter durchgeführt werden können. Auch an die Inhalte der Auslagerungsverträge werden dezidierte Anforderungen gestellt, u a. auch zu den Prüfungsrechten der Internen Revision. Weiterverlagerungen sollten nur mit Zustimmung des auslagernden Instituts möglich sein. Die Leistung des Auslagerungsunternehmens ist regelmäßig anhand vorgehaltener Kriterien zu überprüfen. Dabei ist der Grad der maximal akzeptierten Schlechtleistung festzulegen. Selbstverständlich sind auch die ausgelagerten Bereiche in die Steuerungs- und Überwachungsprozesse des Hauses einzubeziehen. Ein laufendes und anlassbezogenes Reporting-System ist mit den Dienstleistern ebenfalls zu vereinbaren.

Prüfungsansätze für die Interne Revision

Die Interne Revision muss die ausgelagerten Bereiche in ihr Prüfungsuniversum aufnehmen und risikoorientiert in angemessenem Turnus prüfen. Wenn das Auslagerungsunternehmen über eine eigene Interne Revision verfügt, die den Anforderungen der MaRisk unterliegt, dann kann sich die Revision des auslagernden Unternehmens grundsätzlich, aber nicht ausschließlich, auf deren Ergebnisse stützen. Voraussetzung ist, dass eine Informationspflicht über Feststellungen, die die Ordnungsmäßigkeit der ausgelagerten Prozesse beeinträchtigen könnten, vereinbart ist. Eine Vorlage des Jahresberichts der Internen Revision des Auslagerungsunternehmens sowie der Bestätigung des Wirtschaftsprüfers über die Funktionsfähigkeit der Internen Revision ist ebenfalls geboten. Unterliegt das Auslagerungsunternehmen nicht den MaRisk, so ist zusätzlich zu untersuchen, ob die Organisation und Tätigkeit der dortigen Interne Revision grundsätzlich den Vorgaben der MaRisk in analoger Weise entsprechen. Dies alleine genügt jedoch noch nicht in allen Fällen den aufsichtsrechtlichen Anforderungen. Die im Rahmen des Reportings vorgelegten Berichte des Auslagerungsunternehmens sind ebenfalls einer kritischen Würdigung zu unterziehen, was nachvollziehbar zu dokumentieren ist. Dabei ist es auch erforderlich, die Mängelklassifizierung aus den Berichten mit dem hausinternen Klassifizierungssystem abzugleichen und erforderlichenfalls anzupassen. In den Berichten aufgezeigte Mängel sind in den Follow-up-Prozess des Auslagerungsinstituts zu integrieren. Auch eine Aufnahme von eventuell als wesentlich oder schlechter eingestuften Mängeln in diesen Berichten in die Quartalsberichterstattung an Vorstand und Aufsichtsrat kann geboten sein. In jedem Fall sind diese über nicht behobene wesentliche Mängel auch in den Auslagerungsunternehmen zwingend zu informieren.

Vorsicht geboten ist auch bei sogenannten Auswertungsempfehlungen zu Dienstleisterberichten, die in der Sparkassen- und Genossenschaftsorganisation häufig von den Verbänden zur Verfügung gestellt werden. Diese sollten keinesfalls unreflektiert und unkommentiert übernommen werden. Eine kritische Auseinandersetzung ist erforderlich und ebenfalls nachvollziehbar zu dokumentieren.

BERATUNGSTIPP

Implementierung eines effizienten & wirksamen Auslagerungsmanagements.

 

Wenn Fragen offenbleiben oder weitere Informationen zur Beurteilung der dargestellten Prüfungsergebnisse benötigt werden, sollte unbedingt mit den Kollegen der Internen Revision des Auslagerungsunternehmens Kontakt aufgenommen und die notwendigen Informationen eingeholt werden. Sollte auch dies nicht zur gewünschten Informationstiefe führen, so bleibt nur, vor Ort beim Dienstleister eine eigene Ergänzungsprüfung durchzuführen. Auf Grund der besonderen Sensibilität einer solchen Prüfung, die oftmals auch eine politische Dimension annehmen kann, sollte dies in enger Abstimmung mit der eigenen Geschäftsleitung und der Revision des Auslagerungsunternehmens erfolgen. Eine gewisse Zurückhaltung im Auftreten und eine offene Kommunikation mit den Kollegen des anderen Hauses empfiehlt sich hier. Sollte ein Auslagerungsunternehmen über gar keine Interne Revision verfügen, so sind Vor-Ort-Prüfungen obligatorisch.

Fazit

Das Prüffeld der ausgelagerten Unternehmensbereiche gewinnt immer mehr an Bedeutung und steht zunehmend im Fokus der Bankenaufsicht. Die Internen Revisionen der Kreditinstitute sollten das Thema daher sehr ernst nehmen und die ausgelagerten Prüffelder im Prüfungsplan so behandeln, wie wenn die Aufgaben und Prozesse im eigenen Haus vorhanden wären. Eine kritische Auseinandersetzung mit den Berichten der Dienstleister und eine aktive Kommunikation mit den dortigen Revisionsabteilungen ist unabdingbar. Das alleinige Stützen auf die Berichte der Dienstleister ist aufsichtsrechtlich nicht ausreichend. Auch risikoorientiert durchgeführte Vor-Ort-Prüfungen sollten eingeplant werden. Letztlich werden die dafür erforderlichen Kapazitäten zunehmen. Dies sollte in der Mehrjahresplanung angemessen berücksichtigt werden.

PRAXISTIPPS

  • Sehen Sie ausreichende Kapazitäten zur Prüfung ausgelagerter Bereiche vor.
  • Prüfen Sie die Auslagerungsverträge auf die Anforderungen der MaRisk.
  • Achten Sie auf uneingeschränkte Prüfungsrechte Ihrer Internen Revision.
  • Dokumentieren Sie ausführlich Ihre Auswertung der Berichte der Dienstleister.
  • Halten Sie Kontakt zu den Revisionen der Dienstleister.
  • Planen Sie auch gezielte Vor-Ort- und Ergänzungsprüfungen ein.

 

Beitragsnummer: 87230

Praxisbericht: „Bewertung und Supervision der internen Kontrollen“

Thomas Kredel, Master Revisor, Interne Revision, TARGOBANK AG

Als Teil des Risikomanagements und der internen Kontrollverfahren prüft und bewertet die Interne Revision gem. § 25a KWG und MaRisk das interne Kontrollsystem (IKS) auf Wirksamkeit und Effizienz. Neben Compliance-, Informationssicherheits- und Datenschutz-Funktionen hat die TARGOBANK zentrale Kontrolleinheiten eingerichtet, die die Vertriebstransaktionen und operativen Prozesse steuern, kontrollieren und dolose Handlungen präventiv überwachen.

Die Interne Revision der TARGOBANK hat einen bankweiten Prozess etabliert, der im Rahmen eines gruppenweiten Risikomanagementsystems die inhärenten Risiken überwacht und die Qualität der Kontrollen in regelmäßigen Abständen beurteilt (sog. Supervision). Hintergründe hierfür sind erhöhte Haftungsrisiken für Vorstand und Aufsichtsrat, steigende gesetzliche und regulatorische Anforderungen an eine ganzheitliche Überwachung der Wirksamkeit und Effizienz des Kontrollkonzeptes sowie Umsetzung der Kontrollen. Diese Supervision hat das Ziel, „Dinge, die falsch laufen“ frühzeitig zu erkennen. Mittels Kontrollen sind Risiken zu minimieren, um die Geschäftsziele besser zu erreichen. Die bankweite Koordination und Überwachung dieses Prozesses liegt in der Verantwortung der Internen Revision. Der Prozess ist eine wichtige Basis für das bankweite Risikomanagementsystem und eine hilfreiche Unterstützung des IKS, die Risiken und Kontrollen erfolgreich zu überwachen.

Im Rahmen der regelmäßigen Überprüfung der Wirksamkeit und Angemessenheit des Kontrollkonzepts („Design Effectiveness“) und Umsetzung der Kontrollen („Operating Effectiveness“) wird das Risiko- und Kontrollumfeld der Bank in insgesamt 75 Fachbereichen kontinuierlich evaluiert und in einem gruppenweiten System transparent dargestellt. Dadurch wird der Internen Revision ein umfassender Überblick über die Risiken und Kontrollen im Unternehmen gewährt. Die fortlaufende Überprüfung der Geschäftsrisiken durch eine unabhängige Einheit, wie die Interne Revision, die den Zielerreichungsgrad beeinflussen können, schafft Mehrwerte für das Unternehmen. Es wird nicht nur das Risiko- und Kontrollbewusstsein der Fachabteilungen gestärkt, sondern auch Prozess- und Kontrollabläufe optimiert. Zusätzlich werden die operationellen Risiken gesteuert und überwacht, um die Bank vor Schäden bei Schwachstellen im IKS zu schützen. Letztendlich wird dem Unternehmen dadurch der Gedanke einer ganzheitlichen Risikoüberwachung näher gebracht. Im Rahmen von Regelprüfungen untersucht die Interne Revision der TARGOBANK risikoorientiert die Prozess- und Kontrollstruktur der Fachbereiche (insgesamt ca. 1.000 Kontrollprozesse, die systemseitig dargestellt werden), um diesen Prozess als qualitativ hochwertiges Risikomanagement-Tool und Frühwarnsystem kontinuierlich zu verbessern. In diesem Zusammenhang wird auch das Spannungsfeld „unabhängiges Testing“ (Supervision) der Kontrollen durch die Interne Revision behandelt und Optimierungsvorschläge unterbreitet.

SeminarTipps

 Prozesse/Orga-Handbuch & IKS, 25.–26.03.2020, Köln.

IKS KOMPAKT: Aufbau & Management einer IKS-Organisation, 04.05.2020, Berlin.

Der (zukünftige) IKS-Beauftragte, 06.05.2020, Berlin.

NEUE Compliance-Kontrollen im Wertpapier-IKS, 25.06.2020, Frankfurt/M.

(Neue) IKS-Kontrolltests im (LSI-)SREP, 25.06.2020, Frankfurt/M.

 

Das unabhängige Testing dient der Sicherung und Bewertung der Kontrollen bei der

TARGOBANK. Es basiert auf 4 Säulen und stellt einen wesentlichen Bestandteil des IKS dar:

  1. Was sind die Risiken der identifizierten Prozesse in den jeweiligen Fachbereichen in Abhängigkeit der Bereichs- und Unternehmensziele und welche Risikoindikatoren (Eintritt eines inhärenten Risikos) warnen davor?
  2. Wie werden diese Risiken unter Kontrolle gehalten?
  3. Welche Kontrollschritte belegen, dass die Kontrollen wirksam und effizient sind, und wie werden diese Kontrollen bewertet?
  4. Welche Maßnahmen sind bei Überschreitung des Eskalationsgrenzwertes angemessen, um Schwachstellen vollständig und zeitnah zu beheben?

Die Überwachungsergebnisse aus der Supervision können sowohl für die Maßnahmenverfolgung, als auch für die risikoorientierte Prüfungsplanung der Internen Revision relevant sein. Somit können Synergien genutzt werden. Die Vorteile dieses Prozesses gegenüber klassischen Prüfungen sind vielfältig: Die Fachbereiche werden stärker eingebunden, Risiken und Verbesserungspotenziale werden frühzeitig erkannt. Mit einem besseren Verständnis für ein wirksames Risiko- und Kontrollmanagement wird zugleich auch eine größere Akzeptanz bei den Mitarbeitern erreicht. Sie werden dadurch stärker in die Unternehmensprozesse integriert. Dieser Prozess hat zugleich einen positiven Einfluss auf die Umsetzung von korrigierenden Maßnahmen und sensibilisiert das Management für die Wahrnehmung ihrer Kontrollverantwortung.

Fazit:

Der oben beschriebene Prozess ist als Steuerungsinstrument der TARGOBANK nur mit Unterstützung des Vorstands erfolgreich. Die Bemühungen in den Fachbereichen, der Nutzen und die Wichtigkeit eines wirksamen IKS müssen vom Vorstand anerkannt und in den Vordergrund gestellt werden („Management Awareness“). Durch permanente Prozess- und Kontrollverbesserungen und eine kontinuierliche Risikobewertung wird die Qualität des IKS verbessert und operationelle Verluste verhindert.

PRAXISTIPP

  • Die Interne Revision sollte auch außerhalb der rein prüfenden Tätigkeit als dauerhafter Ansprechpartner für die Fachbereiche fungieren, um von den Fachbereichen als unterstützende und beratende Stelle wahrgenommen zu werden.

Beitragsnummer: 87046

Einsatz von Risikoanalysen in Kreditinstituten



Bewertung von Auslagerungssachverhalten und Definition von risikomindernden Maßnahmen.

Jörg Schmitz, Sourcing Manager, Betriebsorganisation, KfW-IPEX Bank

           

Kein Kreditinstitut wird eine Auslagerung ohne vorherige Risikobewertung vornehmen. Ebenfalls werden laufende Auslagerungen in festen Fristen einer Kontrolle unterzogen, ob alle Risiken noch korrekt eingewertet sind. Risikoanalysen bilden damit einen der relevanten Bausteine innerhalb des Aufgabenspektrums einer Auslagerungsüberwachung.

Diese Ausarbeitung untersucht die Ableitung einer konsistenten Risikoanalyse sowie ihre Bedeutung und Anwendung im Institut beispielhaft. Dabei werden insbesondere die beteiligten Rollen des Instituts, der Risikoanalyse-Prozess sowie die wertstiftende Verwendung der Analyse-Ergebnisse beleuchtet.

I. Beteiligte Rollen in der Risikoanalyse

1. Rollen und ihre Bedeutung

Der zeitliche und operative Aufwand für Risikoanalysen steigt mit der Komplexität und dem Umfang des betrachteten Auslagerungssachverhaltes. „Jede Rolle, die an der Risikoanalyse teilnimmt, sollte sich ihrer Verantwortung bewusst sein, denn jede Rolle trägt ein Stück zum Gesamtbild der Analyse bei, um am Ende zu einer ausgewogenen, nachvollziehbaren und vor allem gut dokumentierten Einwertung von Auslagerungssachverhalten zu gelangen.“[1]

Die weiteren Rollen neben der Fachabteilung und dem Auslagerungsmanagement werden auch als „Risikoexperten“ bezeichnet. Allein schon aufgrund des Dokumentations-Umfangs von Risikoanalysen sollte die Last nicht auf ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Ableitung einer konsistenten Risikoanalyse



Risikoanalysen als zentrale Basis der Bewertung von Auslagerungssachverhalten

Jörg Schmitz, Sourcing Manager, Betriebsorganisation, KfW-IPEX Bank

           

Kreditinstitute müssen kosteneffizient und prozessoptimiert wirtschaften, um am Markt bestehen zu können. Eine Stellschraube zur Hebung dieses Potentials ist die Auslagerung von Aktivitäten und Prozessen an externe Dienstleister bzw. im Fall von Tochterunternehmen an das Mutterinstitut. Wenn diese Dienstleister „mit der Wahrnehmung solcher Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt“[1] werden, steht zunächst die Frage nach dem Risiko einer solchen Auslagerung und dessen effektiver Steuerung im Raum.

Die Risikoanalyse gibt hierauf Antworten bei der Risikobewertung, unterstützt in der Definition von risikomindernden Maßnahmen, steuert vertragsverbessernde Fakten bei und hilft bei der Managemententscheidung „Make or Buy“.

Im Rahmen dieser Ausarbeitung sollen die Ableitung einer konsistenten Risikoanalyse sowie ihre Bedeutung und Anwendung im Institut beispielhaft untersucht, evaluiert und vorgestellt werden. Dabei werden insbesondere die angestrebten Ziele sowie der effiziente Aufbau einer Risikoanalyse beleuchtet.

I. Ziele einer Risikoanalyse

1. Hintergründe und Bedeutung der Risikoanalyse für das Institut

Wirtschaftliche, organisatorische oder strategische Gründe beeinflussen die Entscheidung eines Kreditinstituts, ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Auslagerungsmanagement – von der Pflicht zur Kür



Regulatorische Anforderungen erfüllen UND Mehrwert für die Bank generieren

Heiko Günther, Auslagerungsbeauftragter, Bank für Sozialwirtschaft

         

I. Einleitung/Übersicht

Aus zahlreichen Quellen werden Anforderungen an das Auslagerungsmanagement gestellt. Neben den MaRisk sind dies zum Beispiel das Business Continuity Management (BCM) oder das Informationssicherheitsmanagement (ISM). Es handelt sich um Vorgaben zur Dokumentation der Risiken, Anwendung der Risikosteuerung oder Vorgaben zur aufbau-/ablauforganisatorischen Gestaltung des Auslagerungsmanagements und konsequenter Nutzung der Risikoeinwertung im Gesamthaus. Es gilt, diese (und weitere) Anforderungen und Schnittstellen zu erfüllen und effizient zu gestalten. Trotz des nicht vermeidbaren Aufwandes sollte der Fokus v. a. auf die Vorteile für die Bank gelegt werden. Zu den zentralen Herausforderungen gehört es, die Risiken aus den Fremdleistungen Dritter in das Operational-Risk-Management (ORM) und in das Non-Financial Risk Management (NFR) der Bank sinnvoll zu integrieren.

II. Umsetzung Auslagerungsmanagement in der BFS

1. Zentraler Auslagerungsbeauftragter, dezentrale Auslagerungsverantwortliche

In der Bank für Sozialwirtschaft (BFS) ist die Funktion des Auslagerungsbeauftragten zentral in der Organisation angesiedelt. Die Auslagerungsverantwortlichen befinden sich dezentral im jeweiligen Fachbereich. Über fachliche Grundsätze und die dazu gehörenden Prozesse ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Flexible Möglichkeiten der Prozessgestaltung – ein Segen?

Sparkassen können einheitliche Prozesse nutzen und damit den Herausforderungen im Bankenumfeld auf der Kostenseite begegnen

Peter Homann, Bereichsleiter Organisation und Betrieb, Sparkasse Dortmund

Für Sparkassen gibt es viele Wege, einen Kundenwunsch zu erfüllen. Die Bandbreite an Möglichkeiten der Gestaltung und Administration von Prozessen ist groß, allerdings oft auf Kosten der Effizienz: Prozesse werden komplex und deren Bearbeitung damit teuer. Die 385 Sparkassen (Stand 31.12.2018) haben überspitzt formuliert ebenso viele Möglichkeiten, den grundsätzlich gleichen Kunden- und Institutswunsch prozessual unterschiedlich abzubilden.

Konnten sich die Sparkassen dies vor vielen Jahren noch leisten, ist es vor dem Hintergrund der bekannten Herausforderungen (Änderung Kundenverhalten, Niedrigzinsphase, steigende Anforderungen der Regulatorik, disruptive Technologieentwicklungen) ein Luxus, der nicht mehr gelebt werden kann – und auch nicht weiter gelebt wird.

Die Initiative „PPS“

Aus verschiedenen regionalen Projekten und Initiativen hat sich über mehrere Jahre die bundesweite Initiative „ProzessPlus für Sparkassen (PPS)“ entwickelt.

Das grundsätzliche Ziel dieser Initiative ist die Gestaltung von effizienten und gleichzeitig praxisorientierten Geschäftsprozessen, die zudem eine Unterstützung bei der Umsetzung der Strategien und IT-Entwicklungen aus der Sparkassenfinanzgruppe sowie der Regulation gewährleisten. Zum Beispiel fördert dies eine Umsetzung der Modellorganisationen des DSGV und eine möglichst optimale Nutzung des Kernbanksystems der Sparkassen, OSPlus.

Gesteuert wird die dezentrale Erstellung und Pflege der PPS-Prozesse durch das ProzessPlusCenter (PPC) beim DSGV. Daneben gewährleistet das PPC die Einhaltung von Standards und Konventionen und verantwortet die bundesweite Kommunikation der Ergebnisse. Ebenso ist das PPC für die PPS-Prozesslandkarte verantwortlich, die alle relevanten Prozesse beinhaltet und damit das wesentliche Ordnungsinstrument für die Prozesse darstellt.

Die Prozesslandkarte umfasst auf der untersten Ebene 1.250 Einzelprozesse, von denen rd. 850 veröffentlicht wurden (Stand 31.12.2018). Neben der laufenden Pflege sollen in 2019 rd. 50 neue Prozesse veröffentlicht werden. Zusätzlich zu den Kundenprozessen werden auch Steuerungs- und Unterstützungsprozesse standardisiert, wobei der Fokus zunächst auf den Kundenprozessen lag – zum einen möchten Sparkassen als Dienstleister hier natürlich optimal aufgestellt sein, zum anderen sind hier aufgrund der Anzahl an Vorgängen pro Tag die größten Effizienzpotenziale zu vermuten.

SEMINARTIPPS

Schlanke § 18 KWG-Prozesse, 24.09.2019, Frankfurt/M.

Prozessorientierte Prüfungslandkarten & Berichte für die Revision, 24.09.2019, Köln.

Prozess- & Datenorientierte Schutzbedarfsanalyse, 04.11.2019, Wiesbaden.

Prüfung Auslagerungsprozesse nach AT 9 und EBA-Vorgaben, 04.11.2019, Köln.

Prozess- & Aufgabenbezogenes Berechtigungsmanagement, 05.11.2019, Wiesbaden.

An den Prozessen arbeiten sowohl Sparkassen als auch Verbände und Verbundunternehmen in einzelnen Produktionsteams. Die Ergebnisse der Produktionsteams werden über das PPC überwiegend in zwei jährlichen Releases zur Verfügung gestellt. Die Finanz Informatik, als zentraler IT-Dienstleister der Sparkassen für das Kernbanksystem, orientiert sich bei der Weiterentwicklung der Systeme an den PPS-Prozessen. Damit ist die Nutzung dieser Prozesse für die Sparkassen deutlich leichter umsetzbar, zusätzlich gewährleistet durch den Praxisbezug über die maßgeblich in den Produktionsteams vertretenen Sparkassen.

Ein Segen?

Einfache Antwort: Nein. Individualisierte Prozesse mögen in Einzelfällen im Kundenverkehr Vorteile bieten, insgesamt aber ist wegen der damit verbundenen Komplexität und höheren Kosten davon nur abzuraten. Dies gilt auch für Unterstützungsprozesse und im Grundsatz ebenfalls für Steuerungsprozesse.

PPS bietet deutliche Vorteile für das Prozessmanagement in den Sparkassen. Sicher ist der Aufwand in der Einführungsphase recht hoch – auch wenn wir behaupten, bereits im Standard zu arbeiten, hat doch jeder seinen eigenen Standard interpretiert. Im Anschluss überwiegen aber die Synergien durch die zentral entwickelten Prozesse mit entsprechender Berücksichtigung in den IT-Systemen und den geringeren Aufwänden für die Releasebearbeitung inkl. der Administration.

Für einen erfolgreichen Einsatz ist es erforderlich, dass Mitarbeiterinnen und Mitarbeiter von den Vorteilen eines „Standards“ überzeugt werden, da dieser Begriff eher negativ besetzt ist. Über einen Hinweis auf das erfolgreich in den Sparkassen eingeführte intuitiv nutzbare Frontend für das Kundengeschäft, OSPlus_neo, sollte das leicht möglich sein und die Mitarbeiterinnen und Mitarbeiter zu Fordernden des Standards werden.

PRAXISTIPPS

  • Verankern Sie das Bekenntnis zum Standard in der Geschäftsstrategie und/oder der IT-Strategie und verbinden dies mit quantitativen Zielen, um den erforderlichen Umsetzungswillen zu entfalten.
  • Lassen Sie sich von dem Umfang der PPS-Prozesslandkarte nicht entmutigen, führen Sie diese in Ihrem Haus ein.
  • Quick-Win: Nach dem Einsatz von OSPlus_neo nutzen Sie in vielen Fällen bereits den PPS-Standard, hier ist ein Abgleich inhaltlich und zeitlich weniger aufwändig.
  • Soll es insgesamt schnell gehen, ist die Umsetzung als Projekt mit entsprechender Steuerung unabdingbar und setzt natürlich die entsprechenden Ressourcen voraus.

 

Beitragsnummer: 75911

Ausreißererkennung im Data Mining



Ausreißer in Datensätzen mit Hilfe von Techniken und Algorithmen aus dem Data Mining einfach identifizieren.

Holger Fullriede, Spezialist, Revision Models, NORD/LB Norddeutsche Landesbank.

I. Einleitung

Im Zuge der fortschreitenden Digitalisierung fallen immer größeren Datenmengen an. Traditionelle, stichprobenbasierte Prüfungstechniken stoßen dabei an ihre Grenzen. Zudem sind Methoden des maschinellen Lernens als Teil des Hypes um die Künstliche Intelligenz in aller Munde. Die Möglichkeit, einfach Erkenntnisse aus der Analyse großer Datenmengen zu gewinnen, scheint in greifbare Nähe gerückt. Es stellt sich die Frage, wie in der Internen Revision ein einfacher, kostengünstiger Einstieg in diese Techniken gelingen kann und was dabei zu beachten ist.

Für den Einstieg in die Datenanalyse eignen sich z. B. Methoden des Data Mining. Unter Data Mining versteht man die Entdeckung unbekannter Muster in bekannten Daten. Dabei sollen die Muster interessant sein, was an den Kriterien Neuheit, Allgemeingültigkeit, Nichttrivialität, Nützlichkeit sowie Verständlichkeit gemessen wird. Üblicherweise ist das Data Mining in einen vollständigen Prozess mit vorheriger Datenselektion, Datenvorverarbeitung und Datentransformation, sowie anschließender Interpretation der Ergebnisse eingebettet, welcher auch als Wissensgewinnung in Datenbanken („Knowledge Discovery in Databases“) bezeichnet wird[1].

Ein Teilgebiet des Data Mining beschäftigt sich mit der Erkennung von Ausreißern ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

VR Bank Südpfalz setzt auf digital-persönliches Banking



Neue Wege der Kundenkommunikation mit VR-SISy und VR-Viki

Ralf Horder, Mitarbeiter Unternehmenskommunikation, VR Bank Südpfalz eG

Kunden wollen mehr Nähe durch Innovation – online und offline. Sicher erleben auch Sie, wie die Digitalisierung unsere Lebensbereiche verändert. Sie beeinflusst wie kaum eine andere Entwicklung das Kundenverhalten und die etablierten Geschäftsmodelle in der Bankenwelt. Die VR Bank Südpfalz gestaltet diese Veränderung mit klarer Orientierung an den Bedürfnissen ihrer Mitglieder und Kunden und stellt den Kundennutzen in den Mittelpunkt ihrer Überlegungen.

I. VR-SISy – die digitale Filiale

Statt Geschäftsstellen zu schließen oder Öffnungszeiten zu reduzieren, bekennt sich die VR Bank Südpfalz mit dem neuen VR-Service-Interaktiv-System, kurz VR-SISy, klar zur sichtbaren Präsenz in der Fläche. Sie möchte den Service vor Ort bewusst ausweiten und dennoch effizient arbeiten. Dies wird mit VR-SISy und somit dem Ausbau des Vertriebskanals „Digital persönliches Banking“ bewusst umgesetzt.

Vom Grundsatz her ist VR-SISy eine digitale Filiale, die der Kunde betritt und mit einer Mitarbeiterin im VR-KundenServiceCenter der Bank spricht, ohne dass die Mitarbeiterin körperlich da ist. Zentral im Raum steht eine runde oder eckige Kabine, ein geschützter Servicebereich ohne Tür, der einfach betreten werden kann. Innen fällt der Blick auf einen Bildschirm, ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Auslagerungsmanagement und Risikoanalyse nach AT 9 MaRisk

Aus den Augen, aus dem Sinn?

Katja Hampe, Fachreferentin der Geschäftsführung, Wirtschaftsprüferin, AWADO Deutsche Audit GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft

I. Die Auslagerung – tragende Rolle auf vielen Bühnen

Das Thema Auslagerung spielt schon seit längerer Zeit eine tragende Rolle auf diversen Bühnen. Die erste dieser Bühnen ist die der internationalen Papiere, die zu diesem Thema veröffentlicht wurden. Zu nennen sind hier insbesondere Veröffentlichungen des Joint Forums (Zusammenschluss des Baseler Ausschusses für Bankenaufsicht, der IOSCO[1] und der IAIS[2]), der CEBS[3] und der EBA[4] sowie verschiedene Vorgaben der deutschen Aufsicht im Rahmen der MaRisk und des § 25b KWG[5].

Die zweite Bühne ist die der betriebswirtschaftlich sinnvollen Arbeitsteilung (Schlagwort: “Konzentration auf Kernkompetenzen”) und die dritte Bühne ist die der sehr dynamischen Entwicklung der Kreditwirtschaft in diesem Bereich.

Doch eins nach dem anderen…

II. Die Auslagerung – unser Protagonist

Zunächst eine Vorstellung unseres Protagonisten: die Auslagerung, auch bekannt als Outsourcing.

Outsourcing ist ein Kunstwort, das sich aus den drei englischen Wörtern „Outside“, „Ressource“ und „Using“ zusammensetzt. Wörtlich übersetzt bedeutet es in erster Linie „Nutzung externer Ressourcen“. Und das ist auch genau das, was das deutsche Wort „Auslagerung“ insbesondere im Sprachgebrauch der BaFin meint: Eine Auslagerung liegt dann vor, wenn ein Institut einen Dienstleister mit der Wahrnehmung von Prozessen im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt, die ansonsten vom Institut selbst erbracht würden.

 

III. Die Auslagerung – Vielseitigkeit ist ihre Stärke, aber wo Licht ist, da ist auch
Schatten

Schon diese Definition macht deutlich, dass sehr unterschiedliche Auslagerungskonzepte nicht nur denkbar sind, sondern auch genutzt werden. Am einen Ende der Skala werden lediglich einzelne Unterstützungsaufgaben oder Nebentätigkeiten auf Dritte verlagert. Dies ist ganz im Sinne der oben schon erwähnten Konzentration auf Kernkompetenzen. Warum sollte sich eine Bank selbst um Dinge wie Transport zwischen Filialen, Archivierung oder die Mitarbeiterkantine kümmern? Das können andere Anbieter im Zweifel besser und günstiger. Hier überwiegen Vorteile wie Gewinnung von Kosten- und Prozesseffizienzen, Nutzung von Skaleneffekten und Qualitätsverbesserung ganz eindeutig. Zwar dürfen auch solche Aktivitäten und Prozesse nicht ganz aus den Augen verloren werden, stehen aber nicht im Fokus der Aufsichtsbehörden.

Am anderen Ende der Skala findet sich allerdings die Auslagerung ganzer Prozessketten, kompletter bankbezogener Funktionen sowie zentraler Bereiche[6]. Hierfür interessiert sich die Bankenaufsicht naturgemäß sehr wohl. Als Risiko droht nämlich neben Zersplitterung von Prozessen, Verringerung des internen Know-hows oder Unsicherheiten bei der Kostenentwicklung, die Abhängigkeit von einem Drittunternehmen und damit Verlust von Zugriffsmöglichkeiten sowohl für die gesetzlichen Vertreter der auslagernden Bank als auch für die Aufsicht. Deshalb die Botschaft des AT 9 MaRisk: Die Gesamtverantwortung für alle ausgelagerten Prozesse und Aktivitäten verbleibt weiterhin (und nicht delegierbar) bei den gesetzlichen Vertretern des auslagernden Unternehmens. Dies umfasst insbesondere ein angemessenes und wirksames Risikomanagement, welches neben der Implementierung eines eigenen Internen Kontrollsystem (IKS) bezüglich der ausgelagerten Tätigkeit (korrespondierende Kontrollen) auch die Beurteilung des IKS des Dienstleisters beinhaltet.

IV. Das zentrale Auslagerungsmanagement – hier laufen die Fäden zusammen

Bezüglich dieser Implementierung eines eigenen Internen Kontrollsystems bezüglich der ausgelagerten Tätigkeit geht die Aufsicht – zumindest bei größeren Instituten bzw. bei Instituten mit umfangreichen Auslagerungslösungen – davon aus, dass ein zentrales Auslagerungsmanagement eingerichtet ist, so dass eine Stelle in der Bank einen Gesamtüberblick über alle ausgelagerten Aktivitäten und Prozesse hat und so ein möglichst einheitlicher Umgang mit den besonderen Risiken aus Auslagerungen und deren Überwachung sichergestellt wird. AT 9 Tz. 12 nennt als Aufgaben des zentralen Auslagerungsmanagements:

  • Implementierung und Weiterentwicklung eines angemessenen Auslagerungsmanagements und entsprechender Kontroll- und Überwachungsprozesse
  • Erstellung und Pflege einer vollständigen Dokumentation der Auslagerungen (einschließlich Weiterverlagerungen)
  • Unterstützung der Fachbereiche bezüglich der institutsinternen und gesetzlichen Anforderungen bei Auslagerungen
  • Koordination und Überprüfung der durch die zuständigen Bereiche durchgeführten Risikoanalysen

Zudem hat das zentrale Auslagerungsmanagement mindestens einmal im Jahr einen Bericht über die wesentlichen Auslagerungen zu erstellen. Dabei hat der Bericht u. a. darüber eine Aussage zu treffen, „…, ob die erbrachten Dienstleistungen der Auslagerungsunternehmen den vertraglichen Vereinbarungen entsprechen, die ausgelagerten Aktivitäten und Prozesse angemessen gesteuert und überwacht werden und ob weitere risikomindernde Maßnahmen ergriffen werden sollen“ (AT 9 Tz. 13 MaRisk).

Ein so verstandenes Einbeziehen der Auslagerungen in das unternehmensweite Risikomanagement geht über die historische Form des operativen Risikomanagements, dessen Fokus primär auf die Risikovermeidung und -minderung ausgelegt war, hinaus. Hauptziel ist das effiziente und effektive Management der ausgelagerten Bereiche, welches alle wesentlichen Einzelrisiken und deren Abhängigkeiten umfasst. Das risikoorientierte Management der ausgelagerten Bereiche hat das Ziel, eine ausgewogene Sichtweise von Risiken und Wertschöpfung über die gesamte Laufzeit des Auslagerungsverhältnisses hinweg zu etablieren. Ein moderner chancen- und risikoorientierter Auslagerungsmanagementansatz integriert die Organisation, die Aufgaben und die Instrumente in ein ganzheitliches Rahmenwerk.

Und Randnotiz oder Zwischenbemerkung: In der Praxis ergibt sich in vielen Banken ein kompliziertes Geflecht aus Auslagerungen, die eine zentrale Instanz notwendig machen, um den Überblick über die Steuerung von Auslagerungen zu behalten. Denn häufig haben es die Institute nicht mit einfachen 1:1-Beziehungen zu nur einem Dienstleister zu tun, sondern mit 1:n-Beziehungen, weil beauftragte Dienstleister ihrerseits Auslagerungen (Weiterverlagerungen) vornehmen.

V. Die Risikoanalyse – aus den Augen, aber weiterhin fest im Blick

Sofern eine Auslagerung vorliegt (wir erinnern uns: wenn ein Institut einen Dienstleister mit der Wahrnehmung von Prozessen im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt, die ansonsten vom Institut selbst erbracht würden), muss jedes Institut auf der Grundlage einer Risikoanalyse eigenverantwortlich festlegen, welche Auslagerungen von Aktivitäten und Prozessen unter Risikogesichtspunkten wesentlich sind. Wenn wir uns an die oben beschriebenen äußeren Enden einer Skala erinnern, so fällt die Beurteilung der Wesentlichkeit für diese Extreme sicherlich noch relativ leicht. Spannend sind hier eher die Auslagerungen, die sich tendenziell in der Mitte der Skala befinden und sich möglicherweise im Laufe der Zeit durch Vertragsänderungen oder besondere Feststellungen in die eine oder andere Richtung verschieben.

Eine Risikoanalyse ist zunächst für jede neue Auslagerung auf der Grundlage einheitlicher Rahmenvorgaben vor Vertragsabschluss durchzuführen.

Eine erneute Risikoanalyse ist bei Änderungen der Auslagerungsdienstleistung sowie dann erforderlich, wenn dem auslagernden Institut Umstände bekannt werden, die darauf schließen lassen, dass sich die bei der Risikoanalyse verwendeten Risikofaktoren verändert haben (anlassbezogene Risikoanalyse). Praktische Beispiele hierzu sind gesellschaftsrechtliche Veränderungen beim Dienstleister, Veränderungen beim Dienstleistungsumfang, Bekanntwerden wesentlicher Feststellungen im Rahmen von Prüfungen beim Dienstleister etc.

Zudem ist die Risikoanalyse in regelmäßigen Zeitabständen zu erneuern, auch wenn kein Anlass besteht (regelmäßige Risikoanalyse). Auf der Sitzung des Fachgremiums MaRisk am 15.03.2018 hat die Aufsicht einen Zeitraum von einem Jahr bei wesentlichen und von drei Jahren bei unwesentlichen Auslagerungen für angemessen erachtet.

Jedes Institut hat auf Basis von vorliegenden Informationen bzw. der institutsinternen Bewertung der Dienstleisterqualität der Auslagerungsunternehmen eine Aussage darüber zu treffen, ob die erbrachten Dienstleistungen der Auslagerungsunternehmen den vertraglichen Vereinbarungen entsprechen, die ausgelagerten Aktivitäten und Prozesse angemessen gesteuert und überwacht werden können, um die mit der Auslagerung verbundenen Risiken angemessen zu steuern, bzw. ob weitere risikomindernde Maßnahmen ergriffen werden sollen. Hierzu werden dem auslagernden Unternehmen vom Dienstleistungserbringer Informationen und Berichte im Zusammenhang mit der Dienstleistungserbringung zur Verfügung gestellt. Diese Informationen und Berichte sind auszuwerten.

Hier eine mögliche Arbeitshilfe für die Erstellung einer Risikoanalyse:

VI. Der große Rahmen – warum ist der Aufsicht der richtige Umgang mit Auslage-
rungen so wichtig?

Da sich Auslagerungen in vielen Fällen auch auf aufsichtliche Vorgaben beziehen (z. B. die Einhaltung von Vorgaben zur Geschäftsorganisation, bestimmte Entscheidungsprozesse und Berichtswege), spielen Auslagerungen von Banken an Drittanbieter, die i. d. R. keine Banken sind, für die Aufsicht eine bedeutende Rolle. Denn das beaufsichtigte Institut bleibt als Träger der Bankerlaubnis für die sachgerechte Umsetzung der aufsichtlichen Vorgaben letztendlich verantwortlich, auch wenn es Funktionen, Aufgaben und Prozesse auslagert.

Die Regelungen zur Auslagerung sind letztlich Teil der allgemeinen Grundsätze ordnungs-mäßiger Geschäftsführung. Die Spezialregelungen des § 25b KWG ergänzen (hinsichtlich ihrer Stellung im KWG nicht ganz überraschend) die Anforderungen an eine ordnungsgemäße Ge-schäftsorganisation aus § 25a KWG, insbesondere die Anforderungen an ein angemessenes und wirksamen Risikomanagement (§ 25a Abs. 1 Satz 3 KWG). Die Aufsicht sieht ihre Aufgabe darin, der möglichen Gefahr zu begegnen, dass das leistungsbeziehende Institut mit einer Auslagerung die Kontrolle über die ordnungsgemäße Durchführung der Geschäfte und Dienstleistungen und damit über die eigenen Aktivitäten und Prozesse verliert. Kurz: „Aus den Augen, aus dem Sinn” (in der Bedeutung nach wiktionary.org „sofortiges Vergessen einer Angelegenheit, Sache, Person oder dergleichen, sobald sie „außer Sichtweite ist“) soll verhindert werden. Das übrigens auch aus Sicht eines weiteren Akteurs, den wir bisher noch nicht betrachtet haben: des Jahresabschlussprüfers.

 

 

VII. …und darüber hinaus – auch der Jahresabschlussprüfer interessiert sich für
Auslagerungen

Dazu lasen wir mal die Einleitung eines aktuellen Werkes, das sich an Abschlussprüfer richtet[7], auszugsweise zu Wort kommen: „Der Abschlussprüfer wird sich im Hinblick auf seine Prüfungsplanung damit auseinandersetzen müssen, in welchem Umfang und in welchem Ausmaß Auslagerungen stattfinden und welche Fehlerrisiken für die Rechnungslegung darin enthalten sind. Um diesen Fehlerrisiken adäquat zu begegnen, gilt es, bedeutsame Kontrollen auf Seiten des Dienstleisters zu identifizieren und anhand geeigneter Prüfungshandlungen zu beurteilen. Aber oftmals scheitern eigene Prüfungshandlungen an der räumlichen Trennung oder der Größe und Komplexität des Dienstleisters. Natürlich könnte der Abschlussprüfer mangels Prüfbarkeit und Nachweisführung eines angemessenen und wirksamen IKS den Anteil seiner aussagebezogenen Prüfungshandlungen erhöhen. Vor dem Hintergrund automatisierter und aufeinander abgestimmter Prozessabläufe ist dies jedoch eine mühsame und beinahe unmögliche Methode, um die erforderliche Prüfungssicherheit zu erlangen. Möglicherweise gibt es aber auch Nachweise über das IKS beim Dienstleistungsunternehmen, die er verwerten oder gar verwenden kann.“

Da sind wir wieder bei den oben schon erwähnten „Informationen und Berichten im Zusammenhang mit der Dienstleistungserbringung”, die das auslagernde Institut dem Abschlussprüfer (bitte ausgewertet!) zur Verfügung stellt. Genannt seien hier explizit Prüfungsberichte bzw.
-bescheinigungen nach IDW PS 951[8] „Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen”[9]. Und lassen Sie sich von jemandem, der selbst Abschlussprüfer ist, sagen, dass das was hier so scheinbar harmlos daher kommt („… könnte der Abschlussprüfer mangels Prüfbarkeit und Nachweisführung eines angemessenen und wirksamen IKS den Anteil seiner aussagebezogenen Prüfungshandlungen erhöhen.“), erstens (viel) Zeit kostet und Zeit ist Geld (Stichwort „Prüfungskosten“) und zweitens im schlimmsten Fall auch ernste Konsequenzen hat: Wenn der Abschlussprüfer nicht in der Lage ist, ausreichende und angemessene Prüfungsnachweise bezüglich des Dienstleistungsunternehmens zu erlangen, die für die Prüfung des Abschlusses des auslagernden Unternehmens relevant sind, ist das Prüfungsurteil im Bestätigungsvermerk einzuschränken oder gar zu versagen.

Und da sind wir dann ganz schnell wieder bei den „Anforderungen an eine ordnungsgemäße Geschäftsorganisation aus § 25a KWG“ und der nicht delegierbaren Gesamtverantwortung der gesetzlichen Vertreter des auslagernden Unternehmens für alle ausgelagerten Prozesse und Aktivitäten.

VIII. Fazit – „des Pudels Kern“

Kerngedanke des Auslagerungsmanagements ist, dass auch im Falle einer Auslagerung die Funktionsfähigkeit der auslagernden Bank jederzeit gewährleistet sein muss, die Verantwortung des Vorstandes unangetastet bleibt, Kontroll- und Überwachungspflichten unverändert beachtet werden und – last but not least – die Aufsicht weiterhin Zugriff auf die ausgelagerten Teile behält. Also alles andere als „aus den Augen, aus dem Sinn”.

PRAXISTIPPS

  • Denken Sie immer daran, dass Sie als Bank für die ausgelagerte Dienstleistung weiterhin die Gesamtverantwortung tragen, nicht das Dienstleistungsunternehmen; lassen Sie sich bezüglich Informationen und Berichten im Zusammenhang mit der Dienstleistungserbringung nicht mit pauschalen Aussagen (z. B. „weitere Unterlagen wollte noch nie jemand haben“ oder „bei uns hat noch kein Auslagernder selbst vor Ort geprüft“ oder „wir benötigen keine neue Zertifizierung, bei unseren Kontrollen hat sich eh nichts geändert“) „abspeisen“.
  • Die Auswertung der Berichterstattung der Dienstleistungsunternehmen ist zentraler Baustein der Dienstleistersteuerung – aus Sicht der Bankenaufsicht z. B. im Rahmen von § 44- KWG-Sonderprüfungen „ist nur ein ausgewerteter Bericht ein gültiger Bericht“.
  • Gestaltet Sie Ihre (ausgelagerten) Prozesse durch eine zentrale Dienstleistersteuerung effizient.
  • Achten Sie darauf, dass in (neuen oder geänderten) Auslagerungsverträgen die Durchführung von Prüfungshandlungen vor Ort durch Sie als auslagerndes Unternehmen ermöglicht wird; verlassen Sie sich nicht auf das Wohlwollen des Dienstleistungsunternehmens.
  • Stellen Sie sicher, dass Sie Ihrer Pflicht zur Dokumentation von ausgelagerten Prozessen nachkommen können. Fordern Sie also von den Dienstleistern ein, die auf ihn ausgelagerten (Teil-)Prozesse nachvollziehbar zu dokumentieren und an Sie als auslagerndes Unternehmen herauszugeben.
  1. IOSCO: International Organisation of Securities Commissions (internationale Organisation der Wertpapieraufsichtsbehörden).
  2. IAIS: International Association of Insurance Supervisors (internationale Vereinigung der Versicherungsaufsichtsbehörden).
  3. CEBS Committee of European Banking Supervisors (Ausschuss der Europäischen Bankaufsichtsbehörden); bis 2010 Vorgängerinstitution der EBA.
  4. EBA: European Banking Authority (Europäische Bankenaufsichtsbehörde).
  5. Joint Forum: Outsourcing in Financial Services, Februar 2005; CEBS Guidelines on Outsourcing, Dezember 2006, EBA: Guidelines on Internal Governance, September 2017.
  6. Eine vollständige Auslagerung der besonderen Funktionen Risikocontrolling-Funktion, Compliance-Funktion oder Interne Revision ist nur in sehr engen Grenzen möglich (vergl. AT 9 Tz. 5 MaRisk).
  7. Tritschler/Lamm „Jahresabschlussprüfung bei Outsourcing und Cloud-Computing“, IDW Verlag GmbH, 1. Aufl. 2018, S. 10,11
  8. Institut der Wirtschaftsprüfer in Deutschland e.V., Prüfungsstandard IDW PS 951 n.F.
  9. In Abhängigkeit von der Auftragserteilung wird die Berichterstattung nach IDW PS 951 gem. Typ 1 oder Typ 2 durchgeführt. Im Rahmen der Berichterstattung Typ 1 stehen folgende Prüfungsurteile im Fokus:
    – Beschreibung des dienstleistungsbezogenen internen Kontrollsystems

    • Eignung der zugrunde gelegten Kriterien und der daraus abgeleiteten Kontrollziele
    • Ausgestaltung der Kontrollen zur Erreichung der in der Beschreibung genannten Kontrollziele

    Im Rahmen der Berichterstattung Typ 2 wird das Prüfungsurteil um die Wirksamkeit der Kontrollen ergänzt. Eine weitgehendere Reduzierung der Einschätzung der Fehleranfälligkeit durch den Auslagernden bzw. den Abschlussprüfer ist dabei nur möglich, wenn eine Berichterstattung vom Typ 2 vorliegt, da hier neben der Aufbau- auch Funktionsprüfungen durchgeführt wurden. Bei Vorliegen einer Berichterstattung vom Typ 1 bedarf es noch weiterer Prüfungshandlungen durch den Verwerter. Dies ist mit zusätzlichem Zeitaufwand respektive höheren Kosten verbunden.

 

Beitragsnummer: 71003

 

Beitragsnummer: 71003