Vendormanagement

Das Auslagerungsmanagement im Fokus der regulatorischen Anforderungen

Ausgelöst durch die Finanzkrisen der vergangenen Jahre hat der Gesetzgeber neue Regeln erlassen, die für mehr Transparenz, Schutz und Stabilität auf den Kapitalmärkten und für besseren Verbraucherschutz sorgen sollen. Diese neuen Anforderungen verbergen sich hinter Begriffen wie Basel III, MiFID II, SEPA, 4. AMLD, EMIR, MAD, FATCA, Finanztransaktionssteuer oder Solvency II. In diesem Zusammenhang wurden auch zum 01.01.2014 die Regularien in Bezug auf Auslagerungen im neuen § 25b KWG geschärft. Die Bankenaufsicht wird diesem Themenblock im Rahmen zukünftiger Prüfungen deshalb verstärkt Aufmerksamkeit zeigen.

 „BaFin Journal“, Ausgabe August 2013:

„… Ein zentrales Auslagerungsmanagement, das eine einheitliche Koordination und eine einheitliche Überwachung der Auslagerungen gewährleisten könnte, existiert bei vielen Instituten nicht, wird von der BaFin jedoch ausdrücklich begrüßt. Gibt es kein zentrales Auslagerungsmanagement, könnte dies nämlich dazu führen, dass Auslagerungen innerhalb eines Unternehmens uneinheitlich gesteuert, behandelt und beurteilt werden…

Fazit

Die vergleichende Analyse zum Thema Outsourcing hat gezeigt, dass in verschiedenen Bereichen Optimierungsbedarf besteht. Die BaFin wird das Thema daher künftig verstärkt angehen. Sie strebt insbesondere an, die Qualität und Vollständigkeit der Angaben in den Prüfungsberichten zum Jahresabschluss zu verbessern.

Zudem möchte die BaFin im Dialog mit den Instituten die Einführung zentraler Auslagerungseinheiten thematisieren. Darüber hinaus will die BaFin bei der IT aufgrund der großen Abhängigkeit von zentralen Dienstleistern besonderes Augenmerk auf Notfallkonzepte und Exit-Strategien legen.“

Dieses Zitat ist das Ergebnis einer Analyse der BaFin, welches die Kritikalität der Auslagerungs-Thematik und damit auch die Anforderung an ein ganzheitliches Vendormanagement hervorhebt.

Auslagerungen regulatorisch sehr sensibel

Die BaFin hat die Auslagerungsaktivitäten von Kreditinstituten im Rahmen eines Quervergleichs analysiert. Die Untersuchung bezog sich auf große Kreditinstitute. Kleinere Kreditinstitute wie beispielsweise einzelne Sparkassen oder Genossenschaftsbanken wurden nicht einbezogen. Es ist jedoch davon auszugehen, dass sich bei diesen Instituten ein ähnliches Bild ergeben würde.

Untersucht wurde unter anderem

  • die Zahl der Auslagerungen,
  • ihre geografische Verteilung,
  • die Einbindung der Auslagerungsaktivitäten in die Geschäftsstrategie,
  • die Risikoanalyse, welche die Kreditinstitute vor einer Auslagerung durchführen müssen,
  • sowie die Überwachung und Steuerung der Auslagerungen durch die Kreditinstitute.

Weiterhin nahm die BaFin Einschätzungen zur Abhängigkeit der Kreditinstitute von einem Dienstleister und zur Angemessenheit des Outsourcing spezifischen Risikomanagements in den Instituten vor. Als Beurteilungsmaßstab für die Auslagerungsaktivitäten der Kreditinstitute dienten vor allem die Anforderungen des damaligen § 25a Absatz 2 Kreditwesengesetz (KWG) und die damit korrespondierenden Regelungen der Mindestanforderungen an das Risikomanagement von Banken (MaRisk, AT 9).

Die BaFin hat in ihrer Vergleichsanalyse zwar festgestellt, dass die untersuchten Kreditinstitute Vendormanagement-Strukturen implementiert haben, diese jedoch noch kein ganzheitliches Vendormanagement abbilden.

Laut Feststellung der BaFin sind die ausgelagerten Bereiche häufig von großer Bedeutung für das jeweilige Kreditinstitut. Dennoch hat die BaFin in ihrer Analyse festgestellt, dass Auslagerungen in den Geschäftsstrategien, die die Kreditinstitute nach den MaRisk formulieren müssen, nicht angemessen berücksichtigt worden sind. Diese Tatsache ist aus Sicht der BaFin überraschend, vor allem vor dem Hintergrund der von den Kreditinstituten deutlich zum Ausdruck gebrachten Motive für die Auslagerungen.

Regulatorische Anforderungen zunehmend verschärft

Auf der gesetzlichen Seite wird dem Thema - neben der bestehenden Aufmerksamkeit seitens der BaFin - gegenwärtig ebenfalls verstärkt Rechnung getragen. So wurde nach der letzten Anpassung der MaRisk im Jahre 2012 erst kürzlich eine weitere Konkretisierung im KWG vorgenommen:

1. Januar 2014: Neues Regulierungspaket für Banken in Kraft

Der 1. Januar 2014 war für die europäischen Banken ein wichtiges Datum. An diesem Tag sind wesentliche Teile eines Regelungspakets in Kraft getreten, das sowohl formell als auch materiell einen grundlegenden Umbruch für das Bankenaufsichtsrecht der EU bedeutet. So trat unter anderem die CRD IV (Capital Requirements Directive) in Kraft.

Diese sieht erweiterte Anforderungen an die Governance der Institute vor und wurde zum Anlass genommen, die bestehenden KWG-Regelungen klarer zu strukturieren. Der § 25a KWG enthält nun nur noch die Regelungen zur Ordnungsmäßigkeit der Geschäftsführung. Die Vorschriften zur Auslagerung von Funktionen wurden in den neuen § 25b KWG überführt.

Die wesentlichen Inhalte des neuen § 25b KWG sind wie folgt:

  • Kreditinstitute müssen bei Auslagerungen angemessene Vorkehrungen treffen um zusätzliche Risiken zu vermeiden
  • Eine Auslagerung darf weder die Ordnungsmäßigkeit der Bankgeschäfte noch die Organisation beeinträchtigen
  • Das Risikomanagement hat die Auslagerung vollumfänglich einzubeziehen
  • Die Verantwortung für den ausgelagerten Bereich verbleibt in der Geschäftsleitung des Kreditinstituts
  • Prüfrechte dürfen durch die Auslagerung nicht beeinträchtigt werden
  • Auslagerungen sind zu vereinbaren.

Unberührt von dieser wesentlichen Gesetzesänderung im Bereich Auslagerungen gilt die MARisk (AT 9) unverändert.

Komponenten für ein ganzheitliches Vendormanagement

Mit der Einführung eines ganzheitlichen Vendormanagements können Kreditinstitute nicht nur den Rahmen für Regulatorik sondern auch für Wirtschaftlichkeit schaffen.

Das ganzheitlich umfassende Vendorenmanagement gliedert sich dabei in vier Bereiche:

  • Risk Management
  • Service Delivery Management
  • Contract Management
  • Strategic Relationship Account Management 

Als Klammerfunktion dient darüber hinaus noch eine Vendormanagement-Strategie. Die Vendormanagement-Strategie definiert dabei den Mindeststandard für alle bestehenden und/oder neuen internen und externen Auslagerungen, um die regulatorischen Anforderungen nach § 25b KWG und MaRiskAT 9 zu gewährleisten.

Sie ist bindend für alle regulierten und nicht regulierten Einheiten des Kreditinstituts und seine Auslagerungen (inklusive eventueller Subauslagerungen) festzulegen.

 

a) Risk Management (Risikomanagement)

Sicherstellung der Einhaltung der regulatorischen Vorgaben im Zusammenhang mit:

  •  neuen Geschäftsbeziehungen
  • Änderungen von bestehenden Geschäftsbeziehungen
  • periodischen Überprüfungen von bestehenden Geschäftsbeziehungen.

 

Das Risikomanagement deckt dabei die folgenden Aspekte ab:

  • Prozess zur Identifizierung, Beurteilung, Minimierung und Nachverfolgung von Risiken, die mit dem Vendoren-Portfolio bzw. den einzelnen Vendoren des Kreditinstituts verbunden sind (sowohl vor als auch nach Vertragsunterzeichnung);
  • Konsistente Ausgestaltung von Rollen und Verantwortlichkeiten, welche die Verantwortung bzw. Definition für das Vendoren-Risikomanagement und die damit verbundenen Aktivitäten im Risikomanagement-Prozess sicherstellen;
  • Governance Framework, welches regelmäßig vom Vorstand des Kreditinstituts zu prüfen ist.

 

Folgende Arten von Geschäftsbeziehungen gehören zum Umfang des Vendoren- Risikomanagements und müssen die entsprechenden Prozesse durchlaufen:

  • Externe Auslagerungen
  • Interne Auslagerungen
  • Weiterverlagerungen an Dritte (sowohl bei externen als auch bei internen Auslagerungen), als Bestandteil der Risikoüberprüfung. Bei externen Weiterverlagerungen muss der Vendor sicherstellen, dass alle Anforderungen des Kreditinstituts auch an den Subdienstleister übertragen werden.

 

b) Service Delivery Management (Qualitätsmanagement)

Das Qualitätsmanagement ist, unter Berücksichtigung des Risiko-Levels und dem Umfang der vertraglich festgelegten Dienstleistung, individuell für den jeweiligen Vendor festzulegen. Der jeweilige Service- Relationship Verantwortliche hat in diesem Zusammenhang den Qualitätsstandard zu definieren (einschließlich Risikominimierung), den der Vendor im Rahmen der Leistungserbringung zu erreichen hat. Die Kernaktivität ist in diesem Zusammenhang die Qualitätsüberwachung.

Qualitätsmanagement Aktivitäten sind beispielsweise:

  • Bewertung der vertraglichen Serviceverpflichtung, um sicherzustellen, dass diese angemessen sind
  • Laufende Messung der vertraglich geschuldeten Leistung gegen vertragliche Verpflichtungen und Erwartungen (KPI)
  • Regelung von Beanstandungen (Ausfälle bei der Leistungserbringung), um die Leistung wieder in Einklang mit den vertraglichen Verpflichtungen und Erwartungen zu bringen
  • Periodische Review Meetings zwischen Kreditinstitut und Vendor, um in Bezug auf die Erbringung von Dienstleistungen kontinuierliche Verbesserungen, offene Fragen, etc. zu besprechen
  • Rollen und Verantwortlichkeiten
  • Incident- und Beschwerdemanagement
  • Exit Bewertung bzw. Transition-Pläne.

 

c) Contract Management (Vertragsmanagement)

Beim Vertragsmanagement handelt es sich um ein Kontrollrahmenwerk, das eine zentrale Entwicklung, Gestaltung, Verwaltung und Überwachung von Verträgen sicherstellt. Auslagerungsverträge sind zwingend in Schriftform abzuschließen.

Hierbei wird in der Regel bei den Vertragswerken (i.d.R. Geschäftsbesorgungsvertrag „GBV“) zwischen externen und internen Vendoren unterschieden. Bei beiden gilt es als Standard Service Level Agreements (SLA) beizufügen.

Ein GBV ist ein schriftlicher Vertrag zwischen dem Kreditinstitut und einem Vendor (extern oder intern) über die Erbringung von Leistungen, der die generellen Rahmenbedingungen regelt.

In einem SLA werden die Leistungen detailliert beschrieben. Hierunter fallen u.a. die genaue Aufgabenbeschreibung der Vertragsparteien und die Zahlungsvereinbarungen.

 

d) Strategic Relationship Account Management (Strategisches Vendormanagement)

Der erfolgreiche Auf- und Ausbau von strategischen Vendorbeziehungen ist von wesentlicher Bedeutung in der gesamten Wertschöpfungskette und stellt sicher, dass die Auswahl der Vendoren die strategischen Interessen des Kreditinstituts berücksichtigt.

In der Vendorstrategie werden daher entsprechende Rahmenbedingungen festgelegt, in der sich das Kreditinstitut bewegen möchte.

Sobald die „Idee“ einer potenziellen Geschäftsbeziehung entsteht, ist zu prüfen, ob dieses Vorhaben umgesetzt werden kann und darf. Die Einhaltung eventuell bestehender sonstiger interner Richtlinien und/oder Strategien ist ebenfalls zu gewährleisten.

Neben der Betrachtung neuer Auslagerungen sind auch bereits bestehende Geschäftsbeziehungen unter strategischer Vendorenportfolio-Betrachtung, regelmäßig mit einzubeziehen.

Umsetzung ganzheitliches Vendorenmanagement - TME Angebot

Die TME kann bei der Umsetzung ganzheitlich oder modular unterstützen:

  • Wir analysieren die Ausgangslage (Strategie, Organisation, Prozesse und Systeme)
  • Wir entwickeln und bewerten Lösungsalternativen und Chancenpotenziale bei der Optimierung / Ein-führung des Vendormanagements
  • Wir strukturieren und bereiten Umsetzungsprojekte vor und erstellen Projekt-, Ressourcen- und Budgetplanungen
  • Wir begleiten auf Wunsch alle Projektphasen von der strategischen Entscheidung bis hin zur zeitgerechten Implementierung, um die aufsichtskonforme Steuerung der Vendoren zu ermöglichen.

Auf Grundlage unserer langjährigen Erfahrungen im Bereich Risiko / Regulatorik in der Finanzdienstleistungsbranche können wir regulatorische Anforderungen und deren Auswirkungen auf Ihr Unternehmen kompetent beurteilen, passgenaue Lösungsansätze entwickeln und Sie bei der Umsetzung begleiten.

Autoren: Ulrich Schultheis, Florian Geier