Rahmenbedingungen
Die zunehmende Arbeitsteilung und Spezialisierung in der modernen Wirtschaft hat auch bei Finanzdienstleistern zu einem Aufbrechen der Wertschöpfungskette geführt – ob in Form „echter“ externer Leistungsbeziehungen oder durch gruppen- bzw. konzerninterne Arbeitsteilung. Angesichts der potenziell hohen Relevanz dieser Leistungsbeziehungen für die Stabilität der Finanzdienstleister hat die Aufsicht sehr frühzeitig die Erwartung formuliert, dass eine solche Reduzierung der eigenen Wertschöpfung nicht zu einer Verwässerung der Verantwortlichkeit für das eigene Geschäftsmodell führen darf. Der „Durchgriff“ auf die Dienstleister ist damit zumindest bei wesentlichen Auslagerungen eine Voraussetzung für die tatsächliche Beherschung der Prozesskette.
Anforderungen
Vereinfacht gesagt erwartet die Aufsicht, niedergelegt im KWG sowie in den MaRisk, dass das Finanzinstitut eine wirksame Steuerung der Dienstleister vornehmen kann und auch tatsächlich ausübt. In Auslegungsbestimmungen wird klargestellt, dass etwa ein reiner Bezug einer Standardsoftware anders zu behandeln ist als der Einsatz eines fremderstellten Rating-Systems, oder dass eine Auslagerung operativer Prozessstraßen anders zu bewerten ist als der Betrieb einer IT-Infrastruktur. An der sehr aktuellen Diskussion über den Einsatz von Cloud-Services für Daten und Anwendungen zeigt sich jedoch, dass die Abgrenzung nicht immer trennscharf ist.
Die Aufsicht legt fest, dass Auslagerungen als wesentlich oder unwesentlich zu klassifizieren sind, und wie eine zentrale Steuerung der Dienstleister zu implementieren ist. Hinter den Formulierungen wird der Leitgedanke der tatsächlichen operativen Beherrschung des Geschäftsmodells erkennbar, d.h. die Vermeidung der Abhängigkeit vom Dienstleister oder gar der Irreversibilität der Auslagerung. Genau an dieser Stelle besteht jedoch die Problematik, dass eine Auslagerung in der Regel gerade deshalb vorgenommen wird, weil das Finanzinstitut gerade keine Ressourcen und kein Know-How für spezialisierte Funktionen vorhalten möchte.
Dieser immanente Zielkonflikt zwischen Effizienz und Beherrschung des Geschäftsmodells stellt die Dienstleistersteuerung in der Praxis vor große Herausforderungen. Zwar mag es unter Einsatz zentraler Dienstleistersteuerungseinheiten gelingen, über Service Level Agreements und Reporting- bzw. Eskalationsregeln eine formal ordnungsgemäße Steuerung zu erreichen – aber das nötige fachliche und operative Know-How zur wirksamen tatsächlichen Steuerung des Dienstleisters ist in Zentraleinheiten meist nicht sinnvoll vorhaltbar, so dass eine Arbeitsteilung mit den fachlich verantwortlichen Einheiten erfolgen muss. Diese Arbeitsteilung bedarf höchster Aufmerksamkeit des Top-Managements, damit im Zusammenspiel zugleich eine wirksame fachliche, ökonomische und formal ordnungsgemäße Steuerung erfolgt, ohne Überwachungslücken oder Redundanzen entstehen zu lassen.
Prüfungsgegenstand
Unsere Prüfungen zum Outsourcing und zur Dienstleistersteuerung umfassen im Regelfall:
- Formale Ordnungsmäßigkeit der Aufbau- und Ablauforganisation in der Dienstleistersteuerung;
- Aufgabenzuweisung und Zusammenarbeit zwischen den fachlich zuständigen Einheiten und der zentralen Dienstleistersteuerung;
- Aktualität und Qualität der Risikoanalysen und der Exit-Strategien in Verbindung mit den Business Continuity-Konzepten;
- Risikoadäquanz und Steuerungseignung der Service Level Agreements und Reports;
- Tatsächliche Steuerungsintensität und fachliche Beherrschung der ausgelagerten Prozesse durch die mit der Steuerung beauftragten Einheiten;
- Gesamt-Risikoeinschätzung und -Wirkungsanalyse zur Auslagerungs- und Dienstleisterstruktur.