Einsatz von Risikoanalysen in Kreditinstituten



Bewertung von Auslagerungssachverhalten und Definition von risikomindernden Maßnahmen.

Jörg Schmitz, Sourcing Manager, Betriebsorganisation, KfW-IPEX Bank

           

Kein Kreditinstitut wird eine Auslagerung ohne vorherige Risikobewertung vornehmen. Ebenfalls werden laufende Auslagerungen in festen Fristen einer Kontrolle unterzogen, ob alle Risiken noch korrekt eingewertet sind. Risikoanalysen bilden damit einen der relevanten Bausteine innerhalb des Aufgabenspektrums einer Auslagerungsüberwachung.

Diese Ausarbeitung untersucht die Ableitung einer konsistenten Risikoanalyse sowie ihre Bedeutung und Anwendung im Institut beispielhaft. Dabei werden insbesondere die beteiligten Rollen des Instituts, der Risikoanalyse-Prozess sowie die wertstiftende Verwendung der Analyse-Ergebnisse beleuchtet.

I. Beteiligte Rollen in der Risikoanalyse

1. Rollen und ihre Bedeutung

Der zeitliche und operative Aufwand für Risikoanalysen steigt mit der Komplexität und dem Umfang des betrachteten Auslagerungssachverhaltes. „Jede Rolle, die an der Risikoanalyse teilnimmt, sollte sich ihrer Verantwortung bewusst sein, denn jede Rolle trägt ein Stück zum Gesamtbild der Analyse bei, um am Ende zu einer ausgewogenen, nachvollziehbaren und vor allem gut dokumentierten Einwertung von Auslagerungssachverhalten zu gelangen.“[1]

Die weiteren Rollen neben der Fachabteilung und dem Auslagerungsmanagement werden auch als „Risikoexperten“ bezeichnet. Allein schon aufgrund des Dokumentations-Umfangs von Risikoanalysen sollte die Last nicht auf ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Ableitung einer konsistenten Risikoanalyse



Risikoanalysen als zentrale Basis der Bewertung von Auslagerungssachverhalten

Jörg Schmitz, Sourcing Manager, Betriebsorganisation, KfW-IPEX Bank

           

Kreditinstitute müssen kosteneffizient und prozessoptimiert wirtschaften, um am Markt bestehen zu können. Eine Stellschraube zur Hebung dieses Potentials ist die Auslagerung von Aktivitäten und Prozessen an externe Dienstleister bzw. im Fall von Tochterunternehmen an das Mutterinstitut. Wenn diese Dienstleister „mit der Wahrnehmung solcher Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt“[1] werden, steht zunächst die Frage nach dem Risiko einer solchen Auslagerung und dessen effektiver Steuerung im Raum.

Die Risikoanalyse gibt hierauf Antworten bei der Risikobewertung, unterstützt in der Definition von risikomindernden Maßnahmen, steuert vertragsverbessernde Fakten bei und hilft bei der Managemententscheidung „Make or Buy“.

Im Rahmen dieser Ausarbeitung sollen die Ableitung einer konsistenten Risikoanalyse sowie ihre Bedeutung und Anwendung im Institut beispielhaft untersucht, evaluiert und vorgestellt werden. Dabei werden insbesondere die angestrebten Ziele sowie der effiziente Aufbau einer Risikoanalyse beleuchtet.

I. Ziele einer Risikoanalyse

1. Hintergründe und Bedeutung der Risikoanalyse für das Institut

Wirtschaftliche, organisatorische oder strategische Gründe beeinflussen die Entscheidung eines Kreditinstituts, ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Auslagerungsmanagement – von der Pflicht zur Kür



Regulatorische Anforderungen erfüllen UND Mehrwert für die Bank generieren

Heiko Günther, Auslagerungsbeauftragter, Bank für Sozialwirtschaft

         

I. Einleitung/Übersicht

Aus zahlreichen Quellen werden Anforderungen an das Auslagerungsmanagement gestellt. Neben den MaRisk sind dies zum Beispiel das Business Continuity Management (BCM) oder das Informationssicherheitsmanagement (ISM). Es handelt sich um Vorgaben zur Dokumentation der Risiken, Anwendung der Risikosteuerung oder Vorgaben zur aufbau-/ablauforganisatorischen Gestaltung des Auslagerungsmanagements und konsequenter Nutzung der Risikoeinwertung im Gesamthaus. Es gilt, diese (und weitere) Anforderungen und Schnittstellen zu erfüllen und effizient zu gestalten. Trotz des nicht vermeidbaren Aufwandes sollte der Fokus v. a. auf die Vorteile für die Bank gelegt werden. Zu den zentralen Herausforderungen gehört es, die Risiken aus den Fremdleistungen Dritter in das Operational-Risk-Management (ORM) und in das Non-Financial Risk Management (NFR) der Bank sinnvoll zu integrieren.

II. Umsetzung Auslagerungsmanagement in der BFS

1. Zentraler Auslagerungsbeauftragter, dezentrale Auslagerungsverantwortliche

In der Bank für Sozialwirtschaft (BFS) ist die Funktion des Auslagerungsbeauftragten zentral in der Organisation angesiedelt. Die Auslagerungsverantwortlichen befinden sich dezentral im jeweiligen Fachbereich. Über fachliche Grundsätze und die dazu gehörenden Prozesse ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Flexible Möglichkeiten der Prozessgestaltung – ein Segen?

Sparkassen können einheitliche Prozesse nutzen und damit den Herausforderungen im Bankenumfeld auf der Kostenseite begegnen

Peter Homann, Bereichsleiter Organisation und Betrieb, Sparkasse Dortmund

Für Sparkassen gibt es viele Wege, einen Kundenwunsch zu erfüllen. Die Bandbreite an Möglichkeiten der Gestaltung und Administration von Prozessen ist groß, allerdings oft auf Kosten der Effizienz: Prozesse werden komplex und deren Bearbeitung damit teuer. Die 385 Sparkassen (Stand 31.12.2018) haben überspitzt formuliert ebenso viele Möglichkeiten, den grundsätzlich gleichen Kunden- und Institutswunsch prozessual unterschiedlich abzubilden.

Konnten sich die Sparkassen dies vor vielen Jahren noch leisten, ist es vor dem Hintergrund der bekannten Herausforderungen (Änderung Kundenverhalten, Niedrigzinsphase, steigende Anforderungen der Regulatorik, disruptive Technologieentwicklungen) ein Luxus, der nicht mehr gelebt werden kann – und auch nicht weiter gelebt wird.

Die Initiative „PPS“

Aus verschiedenen regionalen Projekten und Initiativen hat sich über mehrere Jahre die bundesweite Initiative „ProzessPlus für Sparkassen (PPS)“ entwickelt.

Das grundsätzliche Ziel dieser Initiative ist die Gestaltung von effizienten und gleichzeitig praxisorientierten Geschäftsprozessen, die zudem eine Unterstützung bei der Umsetzung der Strategien und IT-Entwicklungen aus der Sparkassenfinanzgruppe sowie der Regulation gewährleisten. Zum Beispiel fördert dies eine Umsetzung der Modellorganisationen des DSGV und eine möglichst optimale Nutzung des Kernbanksystems der Sparkassen, OSPlus.

Gesteuert wird die dezentrale Erstellung und Pflege der PPS-Prozesse durch das ProzessPlusCenter (PPC) beim DSGV. Daneben gewährleistet das PPC die Einhaltung von Standards und Konventionen und verantwortet die bundesweite Kommunikation der Ergebnisse. Ebenso ist das PPC für die PPS-Prozesslandkarte verantwortlich, die alle relevanten Prozesse beinhaltet und damit das wesentliche Ordnungsinstrument für die Prozesse darstellt.

Die Prozesslandkarte umfasst auf der untersten Ebene 1.250 Einzelprozesse, von denen rd. 850 veröffentlicht wurden (Stand 31.12.2018). Neben der laufenden Pflege sollen in 2019 rd. 50 neue Prozesse veröffentlicht werden. Zusätzlich zu den Kundenprozessen werden auch Steuerungs- und Unterstützungsprozesse standardisiert, wobei der Fokus zunächst auf den Kundenprozessen lag – zum einen möchten Sparkassen als Dienstleister hier natürlich optimal aufgestellt sein, zum anderen sind hier aufgrund der Anzahl an Vorgängen pro Tag die größten Effizienzpotenziale zu vermuten.

SEMINARTIPPS

Schlanke § 18 KWG-Prozesse, 24.09.2019, Frankfurt/M.

Prozessorientierte Prüfungslandkarten & Berichte für die Revision, 24.09.2019, Köln.

Prozess- & Datenorientierte Schutzbedarfsanalyse, 04.11.2019, Wiesbaden.

Prüfung Auslagerungsprozesse nach AT 9 und EBA-Vorgaben, 04.11.2019, Köln.

Prozess- & Aufgabenbezogenes Berechtigungsmanagement, 05.11.2019, Wiesbaden.

An den Prozessen arbeiten sowohl Sparkassen als auch Verbände und Verbundunternehmen in einzelnen Produktionsteams. Die Ergebnisse der Produktionsteams werden über das PPC überwiegend in zwei jährlichen Releases zur Verfügung gestellt. Die Finanz Informatik, als zentraler IT-Dienstleister der Sparkassen für das Kernbanksystem, orientiert sich bei der Weiterentwicklung der Systeme an den PPS-Prozessen. Damit ist die Nutzung dieser Prozesse für die Sparkassen deutlich leichter umsetzbar, zusätzlich gewährleistet durch den Praxisbezug über die maßgeblich in den Produktionsteams vertretenen Sparkassen.

Ein Segen?

Einfache Antwort: Nein. Individualisierte Prozesse mögen in Einzelfällen im Kundenverkehr Vorteile bieten, insgesamt aber ist wegen der damit verbundenen Komplexität und höheren Kosten davon nur abzuraten. Dies gilt auch für Unterstützungsprozesse und im Grundsatz ebenfalls für Steuerungsprozesse.

PPS bietet deutliche Vorteile für das Prozessmanagement in den Sparkassen. Sicher ist der Aufwand in der Einführungsphase recht hoch – auch wenn wir behaupten, bereits im Standard zu arbeiten, hat doch jeder seinen eigenen Standard interpretiert. Im Anschluss überwiegen aber die Synergien durch die zentral entwickelten Prozesse mit entsprechender Berücksichtigung in den IT-Systemen und den geringeren Aufwänden für die Releasebearbeitung inkl. der Administration.

Für einen erfolgreichen Einsatz ist es erforderlich, dass Mitarbeiterinnen und Mitarbeiter von den Vorteilen eines „Standards“ überzeugt werden, da dieser Begriff eher negativ besetzt ist. Über einen Hinweis auf das erfolgreich in den Sparkassen eingeführte intuitiv nutzbare Frontend für das Kundengeschäft, OSPlus_neo, sollte das leicht möglich sein und die Mitarbeiterinnen und Mitarbeiter zu Fordernden des Standards werden.

PRAXISTIPPS

  • Verankern Sie das Bekenntnis zum Standard in der Geschäftsstrategie und/oder der IT-Strategie und verbinden dies mit quantitativen Zielen, um den erforderlichen Umsetzungswillen zu entfalten.
  • Lassen Sie sich von dem Umfang der PPS-Prozesslandkarte nicht entmutigen, führen Sie diese in Ihrem Haus ein.
  • Quick-Win: Nach dem Einsatz von OSPlus_neo nutzen Sie in vielen Fällen bereits den PPS-Standard, hier ist ein Abgleich inhaltlich und zeitlich weniger aufwändig.
  • Soll es insgesamt schnell gehen, ist die Umsetzung als Projekt mit entsprechender Steuerung unabdingbar und setzt natürlich die entsprechenden Ressourcen voraus.

 

Beitragsnummer: 75911

Ausreißererkennung im Data Mining



Ausreißer in Datensätzen mit Hilfe von Techniken und Algorithmen aus dem Data Mining einfach identifizieren.

Holger Fullriede, Spezialist, Revision Models, NORD/LB Norddeutsche Landesbank.

I. Einleitung

Im Zuge der fortschreitenden Digitalisierung fallen immer größeren Datenmengen an. Traditionelle, stichprobenbasierte Prüfungstechniken stoßen dabei an ihre Grenzen. Zudem sind Methoden des maschinellen Lernens als Teil des Hypes um die Künstliche Intelligenz in aller Munde. Die Möglichkeit, einfach Erkenntnisse aus der Analyse großer Datenmengen zu gewinnen, scheint in greifbare Nähe gerückt. Es stellt sich die Frage, wie in der Internen Revision ein einfacher, kostengünstiger Einstieg in diese Techniken gelingen kann und was dabei zu beachten ist.

Für den Einstieg in die Datenanalyse eignen sich z. B. Methoden des Data Mining. Unter Data Mining versteht man die Entdeckung unbekannter Muster in bekannten Daten. Dabei sollen die Muster interessant sein, was an den Kriterien Neuheit, Allgemeingültigkeit, Nichttrivialität, Nützlichkeit sowie Verständlichkeit gemessen wird. Üblicherweise ist das Data Mining in einen vollständigen Prozess mit vorheriger Datenselektion, Datenvorverarbeitung und Datentransformation, sowie anschließender Interpretation der Ergebnisse eingebettet, welcher auch als Wissensgewinnung in Datenbanken („Knowledge Discovery in Databases“) bezeichnet wird[1].

Ein Teilgebiet des Data Mining beschäftigt sich mit der Erkennung von Ausreißern ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

VR Bank Südpfalz setzt auf digital-persönliches Banking



Neue Wege der Kundenkommunikation mit VR-SISy und VR-Viki

Ralf Horder, Mitarbeiter Unternehmenskommunikation, VR Bank Südpfalz eG

Kunden wollen mehr Nähe durch Innovation – online und offline. Sicher erleben auch Sie, wie die Digitalisierung unsere Lebensbereiche verändert. Sie beeinflusst wie kaum eine andere Entwicklung das Kundenverhalten und die etablierten Geschäftsmodelle in der Bankenwelt. Die VR Bank Südpfalz gestaltet diese Veränderung mit klarer Orientierung an den Bedürfnissen ihrer Mitglieder und Kunden und stellt den Kundennutzen in den Mittelpunkt ihrer Überlegungen.

I. VR-SISy – die digitale Filiale

Statt Geschäftsstellen zu schließen oder Öffnungszeiten zu reduzieren, bekennt sich die VR Bank Südpfalz mit dem neuen VR-Service-Interaktiv-System, kurz VR-SISy, klar zur sichtbaren Präsenz in der Fläche. Sie möchte den Service vor Ort bewusst ausweiten und dennoch effizient arbeiten. Dies wird mit VR-SISy und somit dem Ausbau des Vertriebskanals „Digital persönliches Banking“ bewusst umgesetzt.

Vom Grundsatz her ist VR-SISy eine digitale Filiale, die der Kunde betritt und mit einer Mitarbeiterin im VR-KundenServiceCenter der Bank spricht, ohne dass die Mitarbeiterin körperlich da ist. Zentral im Raum steht eine runde oder eckige Kabine, ein geschützter Servicebereich ohne Tür, der einfach betreten werden kann. Innen fällt der Blick auf einen Bildschirm, ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Auslagerungsmanagement und Risikoanalyse nach AT 9 MaRisk

Aus den Augen, aus dem Sinn?

Katja Hampe, Fachreferentin der Geschäftsführung, Wirtschaftsprüferin, AWADO Deutsche Audit GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft

I. Die Auslagerung – tragende Rolle auf vielen Bühnen

Das Thema Auslagerung spielt schon seit längerer Zeit eine tragende Rolle auf diversen Bühnen. Die erste dieser Bühnen ist die der internationalen Papiere, die zu diesem Thema veröffentlicht wurden. Zu nennen sind hier insbesondere Veröffentlichungen des Joint Forums (Zusammenschluss des Baseler Ausschusses für Bankenaufsicht, der IOSCO[1] und der IAIS[2]), der CEBS[3] und der EBA[4] sowie verschiedene Vorgaben der deutschen Aufsicht im Rahmen der MaRisk und des § 25b KWG[5].

Die zweite Bühne ist die der betriebswirtschaftlich sinnvollen Arbeitsteilung (Schlagwort: “Konzentration auf Kernkompetenzen”) und die dritte Bühne ist die der sehr dynamischen Entwicklung der Kreditwirtschaft in diesem Bereich.

Doch eins nach dem anderen…

II. Die Auslagerung – unser Protagonist

Zunächst eine Vorstellung unseres Protagonisten: die Auslagerung, auch bekannt als Outsourcing.

Outsourcing ist ein Kunstwort, das sich aus den drei englischen Wörtern „Outside“, „Ressource“ und „Using“ zusammensetzt. Wörtlich übersetzt bedeutet es in erster Linie „Nutzung externer Ressourcen“. Und das ist auch genau das, was das deutsche Wort „Auslagerung“ insbesondere im Sprachgebrauch der BaFin meint: Eine Auslagerung liegt dann vor, wenn ein Institut einen Dienstleister mit der Wahrnehmung von Prozessen im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt, die ansonsten vom Institut selbst erbracht würden.

 

III. Die Auslagerung – Vielseitigkeit ist ihre Stärke, aber wo Licht ist, da ist auch
Schatten

Schon diese Definition macht deutlich, dass sehr unterschiedliche Auslagerungskonzepte nicht nur denkbar sind, sondern auch genutzt werden. Am einen Ende der Skala werden lediglich einzelne Unterstützungsaufgaben oder Nebentätigkeiten auf Dritte verlagert. Dies ist ganz im Sinne der oben schon erwähnten Konzentration auf Kernkompetenzen. Warum sollte sich eine Bank selbst um Dinge wie Transport zwischen Filialen, Archivierung oder die Mitarbeiterkantine kümmern? Das können andere Anbieter im Zweifel besser und günstiger. Hier überwiegen Vorteile wie Gewinnung von Kosten- und Prozesseffizienzen, Nutzung von Skaleneffekten und Qualitätsverbesserung ganz eindeutig. Zwar dürfen auch solche Aktivitäten und Prozesse nicht ganz aus den Augen verloren werden, stehen aber nicht im Fokus der Aufsichtsbehörden.

Am anderen Ende der Skala findet sich allerdings die Auslagerung ganzer Prozessketten, kompletter bankbezogener Funktionen sowie zentraler Bereiche[6]. Hierfür interessiert sich die Bankenaufsicht naturgemäß sehr wohl. Als Risiko droht nämlich neben Zersplitterung von Prozessen, Verringerung des internen Know-hows oder Unsicherheiten bei der Kostenentwicklung, die Abhängigkeit von einem Drittunternehmen und damit Verlust von Zugriffsmöglichkeiten sowohl für die gesetzlichen Vertreter der auslagernden Bank als auch für die Aufsicht. Deshalb die Botschaft des AT 9 MaRisk: Die Gesamtverantwortung für alle ausgelagerten Prozesse und Aktivitäten verbleibt weiterhin (und nicht delegierbar) bei den gesetzlichen Vertretern des auslagernden Unternehmens. Dies umfasst insbesondere ein angemessenes und wirksames Risikomanagement, welches neben der Implementierung eines eigenen Internen Kontrollsystem (IKS) bezüglich der ausgelagerten Tätigkeit (korrespondierende Kontrollen) auch die Beurteilung des IKS des Dienstleisters beinhaltet.

IV. Das zentrale Auslagerungsmanagement – hier laufen die Fäden zusammen

Bezüglich dieser Implementierung eines eigenen Internen Kontrollsystems bezüglich der ausgelagerten Tätigkeit geht die Aufsicht – zumindest bei größeren Instituten bzw. bei Instituten mit umfangreichen Auslagerungslösungen – davon aus, dass ein zentrales Auslagerungsmanagement eingerichtet ist, so dass eine Stelle in der Bank einen Gesamtüberblick über alle ausgelagerten Aktivitäten und Prozesse hat und so ein möglichst einheitlicher Umgang mit den besonderen Risiken aus Auslagerungen und deren Überwachung sichergestellt wird. AT 9 Tz. 12 nennt als Aufgaben des zentralen Auslagerungsmanagements:

  • Implementierung und Weiterentwicklung eines angemessenen Auslagerungsmanagements und entsprechender Kontroll- und Überwachungsprozesse
  • Erstellung und Pflege einer vollständigen Dokumentation der Auslagerungen (einschließlich Weiterverlagerungen)
  • Unterstützung der Fachbereiche bezüglich der institutsinternen und gesetzlichen Anforderungen bei Auslagerungen
  • Koordination und Überprüfung der durch die zuständigen Bereiche durchgeführten Risikoanalysen

Zudem hat das zentrale Auslagerungsmanagement mindestens einmal im Jahr einen Bericht über die wesentlichen Auslagerungen zu erstellen. Dabei hat der Bericht u. a. darüber eine Aussage zu treffen, „…, ob die erbrachten Dienstleistungen der Auslagerungsunternehmen den vertraglichen Vereinbarungen entsprechen, die ausgelagerten Aktivitäten und Prozesse angemessen gesteuert und überwacht werden und ob weitere risikomindernde Maßnahmen ergriffen werden sollen“ (AT 9 Tz. 13 MaRisk).

Ein so verstandenes Einbeziehen der Auslagerungen in das unternehmensweite Risikomanagement geht über die historische Form des operativen Risikomanagements, dessen Fokus primär auf die Risikovermeidung und -minderung ausgelegt war, hinaus. Hauptziel ist das effiziente und effektive Management der ausgelagerten Bereiche, welches alle wesentlichen Einzelrisiken und deren Abhängigkeiten umfasst. Das risikoorientierte Management der ausgelagerten Bereiche hat das Ziel, eine ausgewogene Sichtweise von Risiken und Wertschöpfung über die gesamte Laufzeit des Auslagerungsverhältnisses hinweg zu etablieren. Ein moderner chancen- und risikoorientierter Auslagerungsmanagementansatz integriert die Organisation, die Aufgaben und die Instrumente in ein ganzheitliches Rahmenwerk.

Und Randnotiz oder Zwischenbemerkung: In der Praxis ergibt sich in vielen Banken ein kompliziertes Geflecht aus Auslagerungen, die eine zentrale Instanz notwendig machen, um den Überblick über die Steuerung von Auslagerungen zu behalten. Denn häufig haben es die Institute nicht mit einfachen 1:1-Beziehungen zu nur einem Dienstleister zu tun, sondern mit 1:n-Beziehungen, weil beauftragte Dienstleister ihrerseits Auslagerungen (Weiterverlagerungen) vornehmen.

V. Die Risikoanalyse – aus den Augen, aber weiterhin fest im Blick

Sofern eine Auslagerung vorliegt (wir erinnern uns: wenn ein Institut einen Dienstleister mit der Wahrnehmung von Prozessen im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt, die ansonsten vom Institut selbst erbracht würden), muss jedes Institut auf der Grundlage einer Risikoanalyse eigenverantwortlich festlegen, welche Auslagerungen von Aktivitäten und Prozessen unter Risikogesichtspunkten wesentlich sind. Wenn wir uns an die oben beschriebenen äußeren Enden einer Skala erinnern, so fällt die Beurteilung der Wesentlichkeit für diese Extreme sicherlich noch relativ leicht. Spannend sind hier eher die Auslagerungen, die sich tendenziell in der Mitte der Skala befinden und sich möglicherweise im Laufe der Zeit durch Vertragsänderungen oder besondere Feststellungen in die eine oder andere Richtung verschieben.

Eine Risikoanalyse ist zunächst für jede neue Auslagerung auf der Grundlage einheitlicher Rahmenvorgaben vor Vertragsabschluss durchzuführen.

Eine erneute Risikoanalyse ist bei Änderungen der Auslagerungsdienstleistung sowie dann erforderlich, wenn dem auslagernden Institut Umstände bekannt werden, die darauf schließen lassen, dass sich die bei der Risikoanalyse verwendeten Risikofaktoren verändert haben (anlassbezogene Risikoanalyse). Praktische Beispiele hierzu sind gesellschaftsrechtliche Veränderungen beim Dienstleister, Veränderungen beim Dienstleistungsumfang, Bekanntwerden wesentlicher Feststellungen im Rahmen von Prüfungen beim Dienstleister etc.

Zudem ist die Risikoanalyse in regelmäßigen Zeitabständen zu erneuern, auch wenn kein Anlass besteht (regelmäßige Risikoanalyse). Auf der Sitzung des Fachgremiums MaRisk am 15.03.2018 hat die Aufsicht einen Zeitraum von einem Jahr bei wesentlichen und von drei Jahren bei unwesentlichen Auslagerungen für angemessen erachtet.

Jedes Institut hat auf Basis von vorliegenden Informationen bzw. der institutsinternen Bewertung der Dienstleisterqualität der Auslagerungsunternehmen eine Aussage darüber zu treffen, ob die erbrachten Dienstleistungen der Auslagerungsunternehmen den vertraglichen Vereinbarungen entsprechen, die ausgelagerten Aktivitäten und Prozesse angemessen gesteuert und überwacht werden können, um die mit der Auslagerung verbundenen Risiken angemessen zu steuern, bzw. ob weitere risikomindernde Maßnahmen ergriffen werden sollen. Hierzu werden dem auslagernden Unternehmen vom Dienstleistungserbringer Informationen und Berichte im Zusammenhang mit der Dienstleistungserbringung zur Verfügung gestellt. Diese Informationen und Berichte sind auszuwerten.

Hier eine mögliche Arbeitshilfe für die Erstellung einer Risikoanalyse:

VI. Der große Rahmen – warum ist der Aufsicht der richtige Umgang mit Auslage-
rungen so wichtig?

Da sich Auslagerungen in vielen Fällen auch auf aufsichtliche Vorgaben beziehen (z. B. die Einhaltung von Vorgaben zur Geschäftsorganisation, bestimmte Entscheidungsprozesse und Berichtswege), spielen Auslagerungen von Banken an Drittanbieter, die i. d. R. keine Banken sind, für die Aufsicht eine bedeutende Rolle. Denn das beaufsichtigte Institut bleibt als Träger der Bankerlaubnis für die sachgerechte Umsetzung der aufsichtlichen Vorgaben letztendlich verantwortlich, auch wenn es Funktionen, Aufgaben und Prozesse auslagert.

Die Regelungen zur Auslagerung sind letztlich Teil der allgemeinen Grundsätze ordnungs-mäßiger Geschäftsführung. Die Spezialregelungen des § 25b KWG ergänzen (hinsichtlich ihrer Stellung im KWG nicht ganz überraschend) die Anforderungen an eine ordnungsgemäße Ge-schäftsorganisation aus § 25a KWG, insbesondere die Anforderungen an ein angemessenes und wirksamen Risikomanagement (§ 25a Abs. 1 Satz 3 KWG). Die Aufsicht sieht ihre Aufgabe darin, der möglichen Gefahr zu begegnen, dass das leistungsbeziehende Institut mit einer Auslagerung die Kontrolle über die ordnungsgemäße Durchführung der Geschäfte und Dienstleistungen und damit über die eigenen Aktivitäten und Prozesse verliert. Kurz: „Aus den Augen, aus dem Sinn” (in der Bedeutung nach wiktionary.org „sofortiges Vergessen einer Angelegenheit, Sache, Person oder dergleichen, sobald sie „außer Sichtweite ist“) soll verhindert werden. Das übrigens auch aus Sicht eines weiteren Akteurs, den wir bisher noch nicht betrachtet haben: des Jahresabschlussprüfers.

 

 

VII. …und darüber hinaus – auch der Jahresabschlussprüfer interessiert sich für
Auslagerungen

Dazu lasen wir mal die Einleitung eines aktuellen Werkes, das sich an Abschlussprüfer richtet[7], auszugsweise zu Wort kommen: „Der Abschlussprüfer wird sich im Hinblick auf seine Prüfungsplanung damit auseinandersetzen müssen, in welchem Umfang und in welchem Ausmaß Auslagerungen stattfinden und welche Fehlerrisiken für die Rechnungslegung darin enthalten sind. Um diesen Fehlerrisiken adäquat zu begegnen, gilt es, bedeutsame Kontrollen auf Seiten des Dienstleisters zu identifizieren und anhand geeigneter Prüfungshandlungen zu beurteilen. Aber oftmals scheitern eigene Prüfungshandlungen an der räumlichen Trennung oder der Größe und Komplexität des Dienstleisters. Natürlich könnte der Abschlussprüfer mangels Prüfbarkeit und Nachweisführung eines angemessenen und wirksamen IKS den Anteil seiner aussagebezogenen Prüfungshandlungen erhöhen. Vor dem Hintergrund automatisierter und aufeinander abgestimmter Prozessabläufe ist dies jedoch eine mühsame und beinahe unmögliche Methode, um die erforderliche Prüfungssicherheit zu erlangen. Möglicherweise gibt es aber auch Nachweise über das IKS beim Dienstleistungsunternehmen, die er verwerten oder gar verwenden kann.“

Da sind wir wieder bei den oben schon erwähnten „Informationen und Berichten im Zusammenhang mit der Dienstleistungserbringung”, die das auslagernde Institut dem Abschlussprüfer (bitte ausgewertet!) zur Verfügung stellt. Genannt seien hier explizit Prüfungsberichte bzw.
-bescheinigungen nach IDW PS 951[8] „Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen”[9]. Und lassen Sie sich von jemandem, der selbst Abschlussprüfer ist, sagen, dass das was hier so scheinbar harmlos daher kommt („… könnte der Abschlussprüfer mangels Prüfbarkeit und Nachweisführung eines angemessenen und wirksamen IKS den Anteil seiner aussagebezogenen Prüfungshandlungen erhöhen.“), erstens (viel) Zeit kostet und Zeit ist Geld (Stichwort „Prüfungskosten“) und zweitens im schlimmsten Fall auch ernste Konsequenzen hat: Wenn der Abschlussprüfer nicht in der Lage ist, ausreichende und angemessene Prüfungsnachweise bezüglich des Dienstleistungsunternehmens zu erlangen, die für die Prüfung des Abschlusses des auslagernden Unternehmens relevant sind, ist das Prüfungsurteil im Bestätigungsvermerk einzuschränken oder gar zu versagen.

Und da sind wir dann ganz schnell wieder bei den „Anforderungen an eine ordnungsgemäße Geschäftsorganisation aus § 25a KWG“ und der nicht delegierbaren Gesamtverantwortung der gesetzlichen Vertreter des auslagernden Unternehmens für alle ausgelagerten Prozesse und Aktivitäten.

VIII. Fazit – „des Pudels Kern“

Kerngedanke des Auslagerungsmanagements ist, dass auch im Falle einer Auslagerung die Funktionsfähigkeit der auslagernden Bank jederzeit gewährleistet sein muss, die Verantwortung des Vorstandes unangetastet bleibt, Kontroll- und Überwachungspflichten unverändert beachtet werden und – last but not least – die Aufsicht weiterhin Zugriff auf die ausgelagerten Teile behält. Also alles andere als „aus den Augen, aus dem Sinn”.

PRAXISTIPPS

  • Denken Sie immer daran, dass Sie als Bank für die ausgelagerte Dienstleistung weiterhin die Gesamtverantwortung tragen, nicht das Dienstleistungsunternehmen; lassen Sie sich bezüglich Informationen und Berichten im Zusammenhang mit der Dienstleistungserbringung nicht mit pauschalen Aussagen (z. B. „weitere Unterlagen wollte noch nie jemand haben“ oder „bei uns hat noch kein Auslagernder selbst vor Ort geprüft“ oder „wir benötigen keine neue Zertifizierung, bei unseren Kontrollen hat sich eh nichts geändert“) „abspeisen“.
  • Die Auswertung der Berichterstattung der Dienstleistungsunternehmen ist zentraler Baustein der Dienstleistersteuerung – aus Sicht der Bankenaufsicht z. B. im Rahmen von § 44- KWG-Sonderprüfungen „ist nur ein ausgewerteter Bericht ein gültiger Bericht“.
  • Gestaltet Sie Ihre (ausgelagerten) Prozesse durch eine zentrale Dienstleistersteuerung effizient.
  • Achten Sie darauf, dass in (neuen oder geänderten) Auslagerungsverträgen die Durchführung von Prüfungshandlungen vor Ort durch Sie als auslagerndes Unternehmen ermöglicht wird; verlassen Sie sich nicht auf das Wohlwollen des Dienstleistungsunternehmens.
  • Stellen Sie sicher, dass Sie Ihrer Pflicht zur Dokumentation von ausgelagerten Prozessen nachkommen können. Fordern Sie also von den Dienstleistern ein, die auf ihn ausgelagerten (Teil-)Prozesse nachvollziehbar zu dokumentieren und an Sie als auslagerndes Unternehmen herauszugeben.
  1. IOSCO: International Organisation of Securities Commissions (internationale Organisation der Wertpapieraufsichtsbehörden).
  2. IAIS: International Association of Insurance Supervisors (internationale Vereinigung der Versicherungsaufsichtsbehörden).
  3. CEBS Committee of European Banking Supervisors (Ausschuss der Europäischen Bankaufsichtsbehörden); bis 2010 Vorgängerinstitution der EBA.
  4. EBA: European Banking Authority (Europäische Bankenaufsichtsbehörde).
  5. Joint Forum: Outsourcing in Financial Services, Februar 2005; CEBS Guidelines on Outsourcing, Dezember 2006, EBA: Guidelines on Internal Governance, September 2017.
  6. Eine vollständige Auslagerung der besonderen Funktionen Risikocontrolling-Funktion, Compliance-Funktion oder Interne Revision ist nur in sehr engen Grenzen möglich (vergl. AT 9 Tz. 5 MaRisk).
  7. Tritschler/Lamm „Jahresabschlussprüfung bei Outsourcing und Cloud-Computing“, IDW Verlag GmbH, 1. Aufl. 2018, S. 10,11
  8. Institut der Wirtschaftsprüfer in Deutschland e.V., Prüfungsstandard IDW PS 951 n.F.
  9. In Abhängigkeit von der Auftragserteilung wird die Berichterstattung nach IDW PS 951 gem. Typ 1 oder Typ 2 durchgeführt. Im Rahmen der Berichterstattung Typ 1 stehen folgende Prüfungsurteile im Fokus:
    – Beschreibung des dienstleistungsbezogenen internen Kontrollsystems

    • Eignung der zugrunde gelegten Kriterien und der daraus abgeleiteten Kontrollziele
    • Ausgestaltung der Kontrollen zur Erreichung der in der Beschreibung genannten Kontrollziele

    Im Rahmen der Berichterstattung Typ 2 wird das Prüfungsurteil um die Wirksamkeit der Kontrollen ergänzt. Eine weitgehendere Reduzierung der Einschätzung der Fehleranfälligkeit durch den Auslagernden bzw. den Abschlussprüfer ist dabei nur möglich, wenn eine Berichterstattung vom Typ 2 vorliegt, da hier neben der Aufbau- auch Funktionsprüfungen durchgeführt wurden. Bei Vorliegen einer Berichterstattung vom Typ 1 bedarf es noch weiterer Prüfungshandlungen durch den Verwerter. Dies ist mit zusätzlichem Zeitaufwand respektive höheren Kosten verbunden.

 

Beitragsnummer: 71003

 

Praxisbericht IKS in Fusionszeiten

Daniel Rausch, Spezialist Internes Kontrollsystem und Aufbauorganisation, Konzernorganisation und -personal, Norddeutsche Landesbank

Seit einigen Jahren lässt sich in der Bankenbranche eine fortschreitende Konsolidierung beobachten. Egal ob Sparkassen, Genossenschaftsbanken, Landesbanken oder Privatbanken – regelmäßig finden Fusionen von Kreditinstituten statt. Medienwirksam konnten wir aktuell Spekulationen über eine eventuelle „Mega-Fusion“ von Deutscher Bank und Commerzbank verfolgen.

Solche Phasen und Ereignisse bringen eine Vielzahl von Herausforderungen mit sich. Mit Fortschreiten einer Fusion zählen zweifelsohne das Management der neuen „gemeinsamen“ Ablauforganisation, das Zielbild der zukünftigen schriftlich fixierten Ordnung und insbesondere das Interne Kontrollsystem nach und während des Zusammenschlusses eine bedeutende Rolle.

Die Beantwortung der folgenden Fragestellungen führten nach unseren Erfahrungen aus der erfolgreichen Fusion zwischen NORD/LB und BLB zu einer erfolgreichen Verschmelzung der Ablauforganisation:

  • AKV-Prinzip allgemein: Welche Rollen/Akteure bestreiten das Zusammenlegen von Prozessen? Welches eindeutige Set an Aufgaben, Kompetenzen und Verantwortungen haben diese inne?
  • Prozessgovernance: Welche Prozesse sind in der verschmolzenen Bank führend, bzw. wer ist zukünftig für welchen Prozess verantwortlich?
  • Prozesswanderungsbilanz: Inwiefern sind Prozesslandkarten und/oder Prozesse „deckungsgleich“? Wer entscheidet über nicht eindeutige Konstellationen? Welche Varianten der Wanderungen stehen zur Wahl und welche Fristigkeiten werden verfolgt? Inwieweit verändert sich die Risikosituation in den Prozessen?
  • Kontrollwanderungsbilanz: Wie wird sichergestellt, dass notwendige Kontrollen identifiziert und vollständig im Zielbild enthalten sein werden?

 

 

PRAXISTIPPS

  • Die Verschmelzung der Ablauforganisationen in Fusionsszenarien sollte – spätestens ab einer gewissen Quantität – durch einer Mischung aus zentraler (Projekt-)Koordination und dezentralen Akteuren erfolgen.
  • Die Orga hat sich als zentrale fachliche Koordination und als vermittelnde Rolle im Eskalationsprozess bewährt.
  • Neben der rein fachlichen Seite ist eine strukturierte und fortlaufende Begleitung und Kommunikation im Sinne des Change-Prozesses unabdingbar; objektive und subjektive Belastungen sollten gleichermaßen berücksichtigt werden.
  • Eine Verzahnung mit bestehenden Mechanismen, wie der Koordination wesentlicher Vorgänge AT 8.2 oder auch dem Application-Management, ist wertstiftend.

Seminartipps:

Schlüsselkontrollen Spezial: Kreditprozesse, 09.10.2019, Berlin.

IKS-Prüfungen durch die Bundesbank, 06.11.2019, Hamburg.
IKS Kompakt: Aufbau & Prüfung von Schlüsselkontrollen, 20.11.2019, Berlin.

Prozessorientierte Schlüsselkontrollen im Fokus der Aufsicht, 03.12.2019, Frankfurt/M.

Beitragsnummer: 70577

Anforderungen an ein angemessenes Berechtigungsmanagement

Die BAIT zeigen den Handlungsbedarf im Zusammenhang mit der Einhaltung und Umsetzung aufsichtsrechtlicher Vorgaben beim Berechtigungsmanagement auf.

Stephan Wirth, Datenschutzbeauftragter und Informationssicherheitsbeauftragter, NRW.BANK

Berechtigungsmanagement als Teil der Unternehmens-Compliance

Die Implementierung risikoorientierter Prozesse und Verfahren im Rahmen der Steuerung von Berechtigungen ist ein kritischer Erfolgsfaktor zur Erreichung einer angemessenen Compliance im Unternehmen. Ein ganzheitliches und rollenbasiertes Berechtigungsmanagement ist erforderlich zur Sicherstellung eines adäquaten Schutzniveaus und damit zur Gewährleistung der Einhaltung der aufsichtsrechtlichen Anforderungen. Genau hier sieht die Aufsicht einen zum Teil erheblichen, Handlungsbedarf und hat die Vorgaben der MaRisk durch die Regelungen der BAIT konkretisiert.

Grundlagen zur Gewährung von Berechtigungen

Berechtigungskonzepte müssen konsistent zum Schutzbedarf der betroffenen Informationen aufgesetzt werden. Dabei sind die Berechtigungen aus fachlicher Sicht streng nach dem Need-To-Know-Prinzip zu vergeben. Die Anforderungen an eine angemessene Funktionstrennung sind zwingend zu beachten. Hierzu ist eine Zuordnung einzelner Berechtigungen zu betrieblichen Funktionen hilfreich. Eine technische Umsetzung der Funktionstrennung ist dabei anzustreben.

Umfang des Berechtigungsmanagements

Im Rahmen des Berechtigungsmanagements sind sämtliche Arten von Berechtigungen zu berücksichtigen. Hierzu zählen sowohl personalisierte als auch nicht-personalisierte und technische Nutzer. Aufgrund ihres erweiterten Berechtigungsumfangs und des damit einhergehenden höheren Risikopotentials sind privilegierte Berechtigungen besonders restriktiv zu vergeben und deren Nutzung zu kontrollieren.

Das Berechtigungsmanagement deckt den gesamten Lebenszyklus von Berechtigungen ab. Es müssen Genehmigungs- und Kontrollprozesse für die Einrichtung, Änderung, Deaktivierung und Löschung von Berechtigungen aufgesetzt werden. Ein zentrales Berechtigungsmanagement ermöglicht formalisierte und institutsübergreifende Prozesse und eine vollständige Benutzer- und Berechtigungshistorie.

Regelmäßige Rezertifizierungen

Eingeräumte Berechtigungen für Anwender sind regelmäßig dahingehend zu überprüfen, ob sie weiterhin für die Erfüllung der betrieblichen Aufgaben erforderlich sind. Im Rahmen regelmäßiger und risikoorientierter Rezertifizierungen sind auch die zugrunde liegenden Konzepte angemessen auf Anpassungsbedarf hin zu untersuchen. Die Überwachung der Rezertifizierungsprozesse und -ergebnisse erfolgt durch unabhängige Funktionen im Unternehmen (z. B. den Informationssicherheitsbeauftragten).

PRAXISTIPPS

  • Ein umfassendes und risikoorientiertes Berechtigungsmanagement ist erforderlich, um einen angemessenen Schutz Ihrer Unternehmenswerte sicherzustellen.
  • Beachten Sie das Need-To-Know-Prinzip und stellen Sie eine ausreichende Funktionstrennung sicher.
  • Für privilegierte Rechte bestehen besondere Anforderungen an Prüfung, Überwachung und (zeitliche) Limitierung.
  • Der Rezertifizierungsprozess ist risikoorientiert aufzusetzen und beinhaltet sämtliche Bestandteile des Berechtigungsmanagements.

SEMINARTIPPS

IT-Compliance, 04.06.2019, Frankfurt/M.

6. Fachtagung IT-Revision, 05.-06.06.2019, Frankfurt/M.

FCH Fit & Proper VORSTAND: Risikomanagement, 06.05.2019, Berlin.

IT-Risikomanagement aktuell, 08.05.2019, Frankfurt/Offenbach.

Prozess- & Aufgabenbezogenes Berechtigungsmanagement, 05.11.2019, Wiesbaden.

Beitragsnummer: 62190

Digitalisierung: Soll das Bargeld abgeschafft werden?



Eine Analyse vor dem Hintergrund einer aktuellen Debatte zur Rolle von Bargeld in einem sich stets technologisch weiterentwickelnden Zahlungsverkehr.

         

Jacqueline Bitzhöfer, Berufsbegleitende Masterstudentin, Kreditstab, Gruppe Risikosteuerung, DZ BANK AG Deutsche Zentral-Genossenschaftsbank, Frankfurt/M.

und

       

Dr. phil. Patrick Hedfeld, Dozent an der FOM Hochschule für Oekonomie und Management, Frankfurt/M.

I. Bargeld als Zahlungsmittel

Der Euro-Bargeldumlauf wuchs von 2003 bis 2016 schneller als das nominale Bruttoinlandsprodukt (BIP)[1]. Im europäischen Durchschnitt werden weiterhin 79 % aller Zahlungen an der Ladenkasse mit Banknoten und Münzen und lediglich 19 % mit Karte bezahlt[2]. Allgemein betrachtet ist in Europa ein Gefälle von den stark bargeldaffinen südlichen Ländern hin zu den skandinavischen Ländern erkennbar[3].

Seit mehreren Jahren wird die Abschaffung des Bargeldes als Zahlungsart diskutiert. Konkrete Pläne für diesen Schritt gibt es nicht. Jedoch können Parallelen zu dieser Thematik aufgrund von Bekenntnissen zur Einstellung des 500-€ Scheins und zur Einführung von Höchstgrenzen von Bargeldzahlungen gezogen werden[4]. Die Befürworter einer bargeldlosen Gesellschaft versprechen sich von dieser Maßnahme positive Effekte. Unter anderem rückt ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.