BaFin

Outsourcing: BaFin vergleicht Auslagerungen bei Instituten

Thomas Konschalla, BaFin

Datum: 01.08.2013 11:12 Uhr

Die BaFin hat die Auslagerungsaktivitäten von Banken im Rahmen eines Quervergleichs analysiert. Sie untersuchte unter anderem die Zahl der Auslagerungen, ihre geografische Verteilung, die Einbindung der Auslagerungsaktivitäten in die Geschäftsstrategie, die Risikoanalyse, die die Institute vor einer Auslagerung durchführen müssen, sowie die Überwachung und Steuerung der Auslagerungen durch die Institute.

Auf dieser Seite:

Die Untersuchung beschränkte sich auf große Institute. Kleinere Institute, zum Beispiel Sparkassen und Genossenschaftsbanken, wurden nicht einbezogen. Die BaFin analysierte die Berichte zur Jahresabschlussprüfung und die entsprechenden Datenübersichten (Anlage 5 zu § 60 Prüfungsberichtsverordnung). Zudem nahmen die Fachaufseher beispielsweise Einschätzungen zur Abhängigkeit der Kreditinstitute von einem Dienstleister und zur Angemessenheit des outsourcing-spezifischen Risikomanagements in den Instituten vor. Als Beurteilungsmaßstab für die Auslagerungsaktivitäten der Institute dienten vor allem die Anforderungen von § 25a Absatz 2 Kreditwesengesetz (KWG) und die damit korrespondierenden Regelungen der Mindestanforderungen an das Risikomanagement von Banken (MaRisk, AT 9).

Zahl der Auslagerungen

Zu den Auslagerungsaktivitäten der Institute liegen nur uneinheitliche und zum Teil unvollständige Informationen vor. Das erschwerte die Bestandsaufnahme der Auslagerungen erheblich. Teilweise nannten die beauftragten Prüfer in den Berichten zur Jahresabschlussprüfung nicht die Gesamtzahl der Auslagerungen, unterteilten nicht nach wesentlichen und unwesentlichen Auslagerungen oder verzichteten auf Angaben zum Standort der Auslagerung. Eine einheitliche und vollständige Datengrundlage ist aus Sicht der BaFin für die Beaufsichtigung aber essenziell. Deshalb strebt die BaFin hier eine deutliche Verbesserung an. Konkret könnte dazu eine Anpassung der Prüfungsberichtsverordnung ins Auge gefasst werden.

Alle in den Quervergleich einbezogenen Institute nutzen Auslagerungen. Dabei variiert die Zahl der Auslagerungen pro Institut deutlich. Gleiches gilt für den Anteil gruppeninterner Auslagerungen. Dieser reicht von 8 bis 46 Prozent.1) Die meisten Auslagerungen erfolgen innerhalb Deutschlands. Nur wenige Institute lagern in Schwellenländer aus.

Grenzen und Schwerpunkte der Auslagerungen

Leitungsaufgaben der Geschäftsleitung dürfen die Institute nach den MaRisk (AT 9 Tz. 4, Erläuterungen) nicht auslagern. Hierzu zählen die Unternehmensplanung, -koordination, -kontrolle und die Besetzung der Führungspositionen. Außerdem gehören dazu Aufgaben, die der Geschäftsleitung durch Gesetze oder sonstige Regelungen explizit zugewiesen sind, beispielsweise die Entscheidung über Großkredite nach §§ 13, 13a und 13b KWG und das Festlegen der Strategien. Die Aufsicht stellte nur bei einem Institut fest, dass es Leitungsaufgaben ausgelagert hat. Die BaFin dringt darauf, diesen Zustand zu beseitigen.

Von den Leitungsaufgaben im engeren Sinn sind Funktionen oder Organisationseinheiten abzugrenzen, deren sich die Geschäftsleitung bei der Ausübung ihrer Leitungsaufgaben bedient. Diese können sowohl nach innen als auch durch Auslagerung nach außen delegiert werden.

Ein Schwerpunkt der Auslagerungen liegt bei allen untersuchten Instituten in der IT. Hier konnte die BaFin auch Konzentrationen bei einzelnen Dienstleistern feststellen, was grundsätzlich kritisch ist, denn der Ausfall eines dieser Dienstleister beträfe gleich mehrere Institute. Die Überprüfung dieser Konzentrationen soll daher verstärkt in den Fokus der BaFin rücken, die aufgrund der Bedeutung der IT-Funktionen besonderes Gewicht auf Notfallkonzepte und Exit-Strategien legen will. Die BaFin hat darüber hinaus einen weiteren Schwerpunkt der Auslagerungen bei der Wertpapierabwicklung beobachtet. Die Auslagerungen erfolgen hier sogar nur auf einen Dienstleiter.

Geschäftsstrategie, Motive und Tendenzen

Die ausgelagerten Bereiche sind häufig relativ bedeutend. Dennoch hat die BaFin in ihrer Analyse festgestellt, dass Auslagerungen in den Geschäftsstrategien, die die Institute nach den MaRisk formulieren müssen, nicht angemessen berücksichtigt werden. Dies ist aus Sicht der BaFin überraschend, vor allem vor dem Hintergrund der von den Instituten deutlich zum Ausdruck gebrachten Motive für die Auslagerungen.

Alle untersuchten Institute nennen ähnliche Motive: Kostenersparnis, Prozessoptimierung und – vor allem bei der IT – Qualitätssteigerung; außerdem Zugang zu Spezialwissen, Nutzen von Synergien und Schonen von Ressourcen. Die Kostenersparnis ist für sämtliche Institute das Hauptmotiv. Eine Bank nannte zusätzlich ihr besonderes Geschäftsmodell als Grund für die Auslagerung gewisser Prozesse.

Die BaFin konnte in Bezug auf die künftige Entwicklung der Auslagerungsaktivitäten keine klaren Tendenzen erkennen. Da die Institute durch Auslagerungen ihre Kosten senken wollen, ist jedoch nicht davon auszugehen, dass die Zahl der Auslagerungen zurückgehen wird.

Eine eindeutige Tendenz zur Auslagerung weiterer Bereiche ist ebenfalls nicht erkennbar. Am häufigsten ausgelagert werden sicher weiterhin IT-Serviceleistungen und Prozesse der Wertpapierabwicklung.

Beachtung der regulatorischen Outsourcing-Definition

Nach den MaRisk liegt eine Auslagerung vor, wenn ein anderes Unternehmen mit der Wahrnehmung solcher Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt wird, die ansonsten vom Institut selbst erbracht würden.2) Aus den Prüfungsberichten und den Einschätzungen der BaFin ergeben sich kaum Hinweise darauf, dass diese Definition von den Instituten allzu eng ausgelegt wird.

Lediglich drei der untersuchten Institute legten die Outsourcing-Definition bislang enger aus als die Aufsicht und wandten dementsprechend auch nicht die Anforderungen für Auslagerungsaktivitäten an, was zu aufsichtlichen Reaktionen der BaFin geführt hat.

Risikoanalyse

Die MaRisk schreiben vor, dass die Institute vor jeder Auslagerung eine Risikoanalyse durchführen müssen. Diese gehört in allen untersuchten Instituten zum Standard. Ausprägung, Tiefe und Methodik, die die Institute frei wählen dürfen, unterscheiden sich jedoch stark voneinander. Dies gilt sowohl bezüglich der Einstufungskriterien für die Wesentlichkeit einer Auslagerung als auch bezüglich der Einbeziehung weiterer Unternehmensbereiche in die Risikoanalyse.

Alle Institute beziehen aber neben dem auslagernden Fachbereich die Abteilungen Risikomanagement und Recht in die Risikoanalyse ein. Teilweise bedienen sich die Institute sogar outsourcing-spezifischer Gremien. Die in den MaRisk geforderte Beteiligung der Internen Revision an der Risikoanalyse praktizieren nach den vorliegenden Informationen allerdings nur wenige der untersuchten Institute. Dieses Defizit möchte die BaFin abstellen.

Überwachung und Steuerung

Ein Institut muss die Risiken, die mit wesentlichen Auslagerungen verbunden sind, angemessen steuern und die Ausführung der ausgelagerten Aktivitäten und Prozesse ordnungsgemäß überwachen (AT 9 Tz. 7 der MaRisk). Dies umfasst auch die regelmäßige Beurteilung der Leistung des Unternehmens, an das ausgelagert wurde, anhand bestimmter Kriterien. Eine wichtige Rolle im Überwachungsprozess spielen zudem Besuche beim Dienstleister.

Für die Steuerung und Überwachung muss das Institut klare Verantwortlichkeiten festlegen. Fast alle Institute kommen dieser Anforderung nach und nennen verantwortliche Stellen oder Abteilungen. Meist handelt es sich um einen Ansprechpartner beziehungsweise eine Abteilung aus dem Fachbereich, der die Auslagerung initiiert hat oder aus dem die Auslagerung erfolgte (Retained Organisation). Ein zentrales Auslagerungsmanagement, das eine einheitliche Koordination und eine einheitliche Überwachung der Auslagerungen gewährleisten könnte, existiert bei vielen Instituten nicht, wird von der BaFin jedoch ausdrücklich begrüßt. Gibt es kein zentrales Auslagerungsmanagement, könnte dies nämlich dazu führen, dass Auslagerungen innerhalb eines Unternehmens uneinheitlich gesteuert, behandelt und beurteilt werden.

Eine allgemeine Aussage zum Turnus der Beurteilung der Auslagerungen durch die Institute lässt sich nicht treffen. Er variiert von Institut zu Institut. Die Institute unterscheiden hierbei meist danach, wie wesentlich die Auslagerungen sind. Bei wesentlichen Auslagerungen findet mindestens jährlich eine Risikoprüfung statt. Diese beinhaltet oftmals auch Besuche beim Dienstleister. Besonders wichtige Auslagerungsverhältnisse werden teilweise sogar täglich anhand von Berichten des Dienstleisters bewertet. Bei bestimmten Anlässen werden zudem häufig Ad-hoc-Berichte eingeholt und ausgewertet. Das Risikomanagement der bestehenden Auslagerungen sieht die BaFin überwiegend als angemessen an.

Exit-Strategien

Grundsätzlich existieren in allen Banken Notfallpläne für die ausgelagerten Bereiche. Sie sollen greifen, wenn der Dienstleister die geschuldete Dienstleistung nicht mehr in der erforderlichen Qualität erbringen kann. Einige der Notfallpläne wiesen bei den Sonderprüfungen, die die BaFin veranlasst hatte, jedoch Mängel auf. In einem Fall hat die BaFin das Institut bereits aufgefordert, den Mangel sofort zu beseitigen.

Der finanzielle und zeitliche Aufwand für eine Reintegration der ausgelagerten Bereiche oder die Suche nach einem neuen Dienstleister kann nicht pauschal beziffert werden. Gerade bei Auslagerungen in Schwellenländer dürfte nach Ansicht der BaFin eine schnelle Rückverlagerung kaum möglich sein.

Fazit

Die vergleichende Analyse zum Thema Outsourcing hat gezeigt, dass in verschiedenen Bereichen Optimierungsbedarf besteht. Die BaFin wird das Thema daher künftig verstärkt angehen. Sie strebt insbesondere an, die Qualität und Vollständigkeit der Angaben in den Prüfungsberichten zum Jahresabschluss zu verbessern.

Zudem möchte die BaFin im Dialog mit den Instituten die Einführung zentraler Auslagerungseinheiten thematisieren. Darüber hinaus will die BaFin bei der IT aufgrund der großen Abhängigkeit von zentralen Dienstleistern besonderes Augenmerk auf Notfallkonzepte und Exit-Strategien legen.

Fußnoten

1) Bezogen auf die Institute, bei denen die Gesamtzahl der Auslagerungen bekannt ist.

2) Nicht als Auslagerung gilt der „sonstige Fremdbezug von Leistungen“. Hierzu zählt zum Beispiel die Nutzung von Zentralbankfunktionen innerhalb von Finanzverbünden, etwa beim Zahlungsverkehr, durch Sparkassen und Genossenschaftsbanken.