Nach der MaRisk-Novelle: Wie Regtech bei der Auslagerung hilft

Mitte August hat die Bafin die 6. Novelle ihrer Mindestanforderungen an das Risikomanagement der Banken (MaRisk) veröffentlicht – und so unter anderem die Leitlinien der Europäischen Bankenaufsicht Eba zu Auslagerungen umgesetzt. Damit werden die Anforderungen an den gesamten Auslagerungszyklus von der Risikoanalyse über die Ausgestaltung des Auslagerungsvertrags bis hin zur Steuerung und Überwachung der Risiken konkretisiert.

Für viele Banken entsteht dadurch Handlungsbedarf. Denn angesichts des schwierigen Marktumfelds, des hohen Kostendrucks und neuer Chancen durch die Digitalisierung setzen immer mehr Institute darauf, kostspielige, ineffiziente oder außerhalb der Kernkompetenzen liegende Aktivitäten auf spezialisierte Dienstleister zu übertragen. Bei diesen Aktivitäten handelt es sich in der Regel um Business Process Outsourcing (z.B. Wertpapierabwicklung, Zahlungsverkehr, Callcenter) oder um IT- bzw. ITK-Dienstleistungen (z.B. Infrastructure as a Service, Software as a Service, ITK und Bürokommunikation). Gelingt eine solche Auslagerung gut, können die Institute erhebliche Effektivitäts-, Qualitäts- und Effizienzvorteile realisieren – durch erhöhte Skalen sowie durch die Erfahrung und Kompetenz bei ihrem jeweiligen Auslagerungspartner.

Diese Partner übernehmen Verantwortung für die Qualität der ausgelagerten Leistung, und sie tragen einen beträchtlichen Teil der Risiken. Doch das auslagernde Institut gibt keineswegs alle Verantwortung ab: Es ist weiterhin dafür zuständig, dass alle relevanten gesetzlichen Bestimmungen eingehalten werden und trägt somit die Rechts- und Compliance-Risiken. Auch die Leistungserfüllungs- und alle damit zusammenhängenden Reputations- und Haftungsrisiken liegen faktisch weiter beim auslagernden Institut.

Es kommt also darauf an, eine geeignete Auslagerungsstrategie zu definieren und die richtigen Partner zu wählen. Bei der Umsetzung hilft dann ein effektiver Auslagerungsmanagement-Prozess (AMP), der vier Aspekte beachtet:

• die komplexe betriebliche Realität berücksichtigen,
• regulatorische Ansprüche und operative Herausforderungen meistern,
• Regtech geschickt einsetzen und
• die Entlastung messen (und freigewordene Kapazitäten neu nutzen).

Im Einzelnen:

1. Die komplexe betriebliche Realität berücksichtigen

Ein AMP umfasst alle Aktivitäten, Strukturen, Systeme und Inhalte zur Realisierung einer angemessenen, wirksamen Steuerung und Überwachung der Auslagerungen. Damit erfordert er schwierige Entscheidungen, die das Institut in der Regel für einen längeren Zeitraum in seiner Leistungserstellung festlegen. Konkret bedeutet das beispielsweise:

• Am Prozess beteiligt sind neben Verantwortlichen der auslagernden Fachbereiche (erste Verteidigungslinie) in der Regel Funktionstragende aus dem zentralen Auslagerungsmanagement, von BCM, Informationssicherheit, Datenschutz, Compliance, NFR-Risikocontrolling und IT-Governance (zweite Verteidigungslinie) sowie in kenntnisnehmender Rolle auch aus der Revision (dritte Verteidigungslinie).
• Bezüglich der Prozessvarianten muss das auslagernde Institut viele wichtige Designentscheidungen treffen, beispielsweise zur Unterstützung der Fachbereiche bei der Einwertung eines Sachverhalts. Typische Beispiele für prozessuale Integration sind die Verknüpfung mit BCM-Prozessen zur Identifikation der Handlungsoptionen je Exit-Szenario für eine Auslagerung oder die Anbindung von Informationssicherheits-Prozessen bei der Festlegung der Kritikalität einer Auslagerung
• Bewertungsergebnisse und formale Freigaben sind ebenso zu dokumentieren und regelmäßig zu aktualisieren wie die Erkenntnisse der laufenden Auslagerungsüberwachung. Als Hilfsmittel dienen oft Excel-basierte Vorlagen für Risikoanalysen, Auslagerungsregister oder die Dokumentation von Kontrollhandlungen

2. Regulatorische Ansprüche und operative Herausforderungen meistern

Finanzinstitute sollten ihre Auslagerungsaktivitäten gut strukturieren und steuern. Dazu gehört beispielsweise, Identifikationsprozesse gem. MaRisk AT9 Tz. 1, 4-5 und Risikobewertungsprozesse gem. MaRisk AT9 Tz. 2 durchzuführen. Sie müssen ein adäquates Vertragswerk erstellen und die ausgelagerten Aktivitäten mit einem entsprechenden Berichtswesen steuern und überwachen. Zusätzlich sind Steuerungsanforderungen für sonstige Fremdbezüge von IT-Dienstleistungen gemäß BAIT zu beachten. Versäumnisse bei der Umsetzung dieser gesetzlichen und aufsichtlichen Anforderungen können schwere Konsequenzen haben: von höheren Prüf- und Dokumentationsanforderungen bis hin zu empfindlichen Strafen – für das Institut und für jede verantwortliche Führungskraft.

Wer das vermeiden will, muss in der Regel fünf operative Herausforderungen meistern:

• (Historische) Regelungslücken im Vertragsbestand
• Inkonsistente Methoden zu Berichtspflichten und Überwachungsmechanismen
• Unzureichende technische Unterstützung der Workflows
• Unvollständiger oder nicht aktueller Datenhaushalt
• Begrenzte Personalressourcen.

Wie die Betroffenen selbst diese Herausforderungen sehen, zeigt eine Umfrage unter 14 Teams, die bei verschiedenen Finanzinstituten an der Optimierung des AMP arbeiten. Demnach liegt das höchste Verbesserungspotenzial (Wert > 8) in der Kategorie „unzureichende technische Unterstützung“ sowie in der Kategorie „unvollständiger oder nicht aktueller Datenhaushalt“, siehe folgende Tabelle:

AMP-Aufgaben nach Verbesserungs-Potenzial für den AMP

3. Regtech geschickt einsetzen

Für viele Finanzinstitute ist Regtech – die Verschmelzung von „regulatory“ und „technology“ – noch eine Neuheit. Denn hierbei werden neue Technologien wie webbasierte Workflow-Tools, Big Data und KI eingesetzt, um die Steuerung der regulatorischen und aufsichtlichen Anforderungen zu unterstützen. Im Auslagerungsmanagement bedeutet das nicht weniger als die Digitalisierung des gesamten Prozesses – mit erheblichen Vorteilen:

• Höhere Effektivität. Standardisierung, Digitalisierung und  Automatisierung verbessern nicht nur den Prozess, sondern auch die Erfüllung regulatorischen/aufsichtlichen Anforderungen. Automatisierte Plausibilisierung, Konsistenz- und Vollständigkeitskontrollen reduzieren zugleich die operativen Fehler.
• Höhere Effizienz. (Teil-)Automatisierungen verkürzen die Durchlaufzeiten und entlasten  die erste bis dritte Verteidigungslinie von administrativen Tätigkeiten.
• Verbesserte Transparenz. Relevante Informationen können durch Near-Time-Verdichtung auf Knopfdruck ausgewertet werden: in einem Dashboard (Abbildung 2), als Bericht, als regulatorisch/aufsichtlich geforderte Dokumentation (z.B. Auslagerungsregister) oder als individuelle Detailanalyse.
• Prüfungsfeste Inhalte und Workflows. Überall und jederzeit liegen aktuelle Daten vor, da Änderungen unmittelbar nach der Freigabe ausgerollt werden.
• Verbesserte Prozessintegration. Alle Beteiligten sind stringent und mit minimalem administrativen Aufwand verbunden: Einkauf, Beschaffung, regulatorische Prüfung, Vertragsverhandlung, Dienstleistersteuerung und Vertragsmanagement.

4. Die Entlastung messen (und freigewordene Kapazitäten neu nutzen)

Beobachtungen zeigen: Wer einen konsequenten AMP etabliert und dabei Regtech einsetzt, verringert den Ressourcenbedarf oft um mehr als die Hälfte. Die dadurch gewonnenen Kapazitäten können die Institute gut gebrauchen – um die qualitative Wertung und Steuerung von ausgelagerten Aktivitäten zu vertiefen und zu optimieren. Wie groß die Vorteile eines digitalisierten AMP sind, zeigen Beobachtungen bei 20 Banken aus Deutschland und anderen europäischen Ländern. Die Reduzierung des Ressourcenbedarfs für administrative Tätigkeiten nach Digitalisierung des AMP (Anteil der zuvor allozierten VAK in%) belief sich auf:

• Formularverwaltung und Strukturierung: -67%
• Vollständigkeitskontrolle und Plausibilisierung: -57%
• Überwachung und Kontrolle: -46%
• Berichtswesen und Dokumentation: -71%

Zugleich führt die Digitalisierung zu kürzeren Durchlaufzeiten im AMP. Dies zeigt sich besonders eindrucksvoll bei der Erstellung und Freigabe von Risikoanalysen. Bei hochprioritären und Standardsachverhalten beispielsweise reduziert sich die Durchlaufzeit für die Erstellung und Freigabe einer Risikoanalyse von mehreren Wochen auf zwei bis acht Arbeitstage.

Insgesamt zeigt die Digitalisierung des AMP also anschaulich, wie Regtech zur Verbesserung der gesamten regulatorischen Governance beiträgt. Sie bietet sich damit auch für andere regulatorisch relevante Prozesse an.

Studie zum Download:

• Der heutige Partner-Blog basiert auf der Studie „Mit RegTech zum erfolgreichen Auslagerugsmanagement“, die Sie hier herunterladen können (PDF). 
• *Prof. Dr. Uwe Stegemann (Uwe_Stegemann@mckinsey.com) ist Senior Partner im Kölner Büro von McKinsey und berät vor allem Banken, Versicherungen und Asset Manager; Dr. Ulrich Bongartz (ulrich.bongartz@artemeon.de) ist Geschäftsführer der Artemeon Management Partner GmbH und berät Finanzinstitute, Versicherungen und KVGen.
• McKinsey gehört zu den „Premium-Partnern“ von Finanz-Szene.de. Mehr zu unserem Partner-Modell erfahren Sie hier.