Zentrales Auslagerungsmanagement - vom Automatisieren zum Insourcing

Immer schärfere Regulatorik zwingt zu neuen Wegen

Stefan Steinhoff Quelle: TME

Bei der Auslagerung von Prozessen und Dienstleistungen müssen sowohl Banken als auch Finanzdienstleister wie Leasing- und Factoring-Gesellschaften neben den Mindestanforderungen an das Risikomanagement weitere zahlreiche Vorschriften und Empfehlungen beachten. Die Auslagerung wird damit zusehends teurer und unrentabler. Zugleich haben viele externe Dienstleister ihre Preise erhöht. Wie dennoch eine sinnvolle Auslagerung gelingen kann, beschreibt der Beitrag. (Red.)

Ob Leasing- und Factoring-Branche oder Kreditinstitut: In der Vergangenheit entschieden sich zahlreiche Unternehmen für das Outsourcing vieler Prozesse und Dienstleistungen, um Kosten und Manpower zu sparen. Immer schärfere regulatorische Auflagen machen allerdings das Auslagern in klassischer Weise kontinuierlich teurer und damit unrentabler.

Hilfe kommt in dieser Situation in Form von neuer Technologie, der Robotic Process Automation (RPA). RPA ermöglicht mehr Effizienz - sowohl bei der Auslagerungssteuerung als auch bei Prozessen, die im Haus verblieben sind oder aber zurückgeholt werden. Und das bei voller Compliance.

Der Einsatz von RPA-Software beginnt gerade erst und birgt enormes, bisher nicht ausgeschöpftes Potenzial. Es lohnt sich, die Möglichkeiten zu analysieren und Anwendungsfälle konkret zu durchdenken. Schließlich werden die Herausforderungen nicht geringer, sondern größer und komplexer. So erschweren die Mindestanforderungen an das Risikomanagement (MaRisk) die Auslagerung von Kernbereichen wie der Revision, Teilen der Informationstechnologie (IT) oder auch von Back-Office-Aktivitäten. Ursprünglich sollte auf diese Weise die Wertschöpfungskette optimiert werden. Nun dürften die Kosten für die an gemessene Steuerung der mit einer Auslagerung verbundenen Risiken durch das seit Kurzem obligatorische Zentrale Auslagerungsmanagement zusätzlich steigen. Und es dürften weitere personelle sowie finanzielle Ressourcen gebunden werden.

Mehr Regulatorik, höhere Dienstleisterpreise

Dazu kommt das Anziehen der Preise bei vielen externen Dienstleistern. Ein echtes Problem in Zeiten geringer Margen in einem Niedrigzins- und Krisenumfeld, zu dem durch die digitale Transformation wegbrechende Geschäfte kommen. Die doppelte Steigerung der Kosten - für das Management der Auslagerungen und für die Partner, die Prozesse übernehmen - ist für viele Unternehmen eine Herausforderung. Häufig wird das Auslagern in der herkömmlichen Form, aber mit neuen gesetzlichen Vorgaben kontraproduktiv. Sprich: Statt Geld ein zusparen, wird durch den Steuerungsaufwand und die höheren Dienstleisterpreise möglicherweise sogar mehr ausgegeben. Statt nun an anderer Stelle auf die Kostenbremse zu treten, vielleicht gar nötige Investitionen zurückzufahren, sollte das Potenzial von RPA gehoben werden.

Bevor wir näher auf RPA eingehen, zunächst ein detaillierter Blick auf die Ausgangslage. Unabhängig davon, ob es sich um ein Leasing-, Factoring- oder auch Kreditinstitut handelt: Es muss unter anderem die MaRisk und die Datenschutzgrundverordnung (DSGVO) erfüllen. Beides bedeutet jede Menge Vorschriften, die für viele Prozesse gelten, die im Haus erbracht werden, aber auch für outgesourcte Aufgaben. Insbesondere geht es darum, die Risiken zu steuern und zu überwachen, die mit einer Auslagerung verbunden sind. Wie alle anderen Unternehmen auch müssen Leasing- und Factoring-Gesellschaften die Erbringung von Leistungen durch Dienstleister wirksam überwachen - und die Leistungen jederzeit bei einer erwarteten oder unerwarteten Beendigung des Auslagerungsverhältnisses übergangslos im eigenen Haus oder durch einen Alternativdienstleister fortführen können.

Explizite Forderung nach MaRisk

Im Zentrum der regulatorischen Anforderungen stehen die Mindestanforderungen an das Risikomanagement, besser bekannt als Ma-Risk. In ihrer aktuellen Form, also nach der 5. Novellierung, ist erstmals die ex plizite Forderung nach einem Zentralen Auslagerungsmanagement (ZAM) enthalten. Im Vergleich zu anderen Teilen der Ma-Risk hat sich der Teil zu Steuerung und Überwachungen von Auslagerungen (AT 9) gegenüber früheren Fassungen besonders stark verändert.

Ganz offenbar fokussiert sich die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) unter anderem auf dieses Thema. Unternehmen sollten dies beachten. Bei Sonder- und Jahresabschlussprüfungen dürften vor allem ihr ZAM und ihre Auslagerungssteuerung im Fokus stehen. Eine verständliche Schwerpunktsetzung der Finanzaufseher, denn Auslagerungen bergen mehr und mehr Risiken. Das liegt unter anderem an der zunehmenden Technologisierung, welche die Komplexität erhöht. Und die MaRisk ist keineswegs das einzige Regelwerk, das Aufmerksamkeit verlangt.

Weitere Vorschriften für Auslagerungen

Hinzu kommen weitere Vorschriften und Empfehlungen - sowohl für Banken als auch für andere Finanzdienstleister wie Leasing- und Factoring-Gesellschaften. Da sind zum einen die Bankaufsichtlichen Anforderungen an die IT (BAIT), zweitens die Empfehlungen der European Banking Authority (EBA) zum Outsourcing und drittens die Datenschutzgrundverordnung (DSGVO) der EU, die seit 25. Mai dieses Jahres angewendet werden muss. Mit den BAIT erläutert die BaFin, wie IT-Systeme technisch-organisatorisch ausgestattet sein müssen, um insbesondere die Anforderungen an die Informationssicherheit zu erfüllen sowie eine angemessene Reaktion im Notfall zu ermöglichen. Auch Auslagerungen in diesem Bereich, also der Bezug von IT-Dienstleistungen von Dritten, werden in die Interpretation einbezogen.

Die "Recommendations on cloud outsourcing" der EBA beschäftigen sich mit dem Outsourcen von Prozessen an Cloud-Service-Anbieter, folglich den Auslagerungen in die "Wolke". Seit 1. Juli 2018 sind diese EBA-Empfehlungen zu beachten. Sie binden die nationalen Aufsichtsbehörden ein und geben damit den EU-weiten Standard für die Aufsicht von Cloud-Computing vor. Ein Institut, das auslagert, muss seine zuständige Aufsichtsbehörde über wesentliche Tätigkeiten informieren, die Cloud-Service-Anbietern übertragen werden. Mitzuteilen sind eine Beschreibung der ausgelagerten Tätigkeiten und Daten sowie des Standorts, an dem die Daten gespeichert werden. Darüber hinaus sind weitere Vertragsdetails zu übermitteln.

Die Europäische Bankenaufsichtsbehörde beschreibt in den oben genannten Empfehlungen auch, wie die Wesentlichkeit von Cloud-Auslagerungen festgestellt werden sollte. Weitere Punkte sind die Anforderungen an die IT-Systeme und die Datensicherheit beim Cloud-Anbieter, die Maßnahmen für sichere Datentransfers und deren Kontrolle, die Anforderungen für Weiterverlagerungen seitens des Dienstleisters sowie Details für Fortführungspläne und Ausstiegsstrategien. Die EBA-Empfehlungen sind qualitativ - ebenso wie die Vorschriften der MaRisk - und dennoch konkret genug, um bei den Finanzdienstleistern eine Menge Aufwand zu erzeugen.

DSGVO erschwert Auslagerungen

Aufwand bei der Umsetzung macht auch die Datenschutzgrundverordnung, die in den vergangenen Wochen und Monaten stark diskutiert wurde. Sie trifft jedes Unternehmen und hat selbstverständlich auch immense Auswirkungen auf Leasing- und Factoring-Gesellschaften. Gerade in puncto Auslagerungen hat die DSGVO einen enormen Impact, denn häufig ist mit dem Auslagern von Dienstleistungen ein Transfer von personenbezogenen Daten verbunden. Diese sind nun stärker geschützt, und letztlich ist das auslagernde Institut für die Einhaltung der Bestimmungen verantwortlich. Zwar gilt die DSGVO ebenso für die Auftragnehmer, doch das mit dem Auslagern verbundene Risiko muss der Auftraggeber überwachen - auch in Bezug auf den Umgang mit personenbezogenen Daten.

Neben den MaRisk, den BAIT und den EBA-Empfehlungen erhöht damit auch die DSGVO den Aufwand. Sowohl die Steuerung und Überwachung von Auslagerungen als auch das dazu gehörende Reporting werden finanzielle und personelle Mittel erfordern. In der Summe scheint Outsourcing noch schwieriger und ineffizienter zu sein als die Erledigung der entsprechenden Aufgaben mit eigenem Personal. Manchmal wird diese Einschätzung tatsächlich zutreffen, in anderen Fällen wird das Auslagern immer noch die günstigere und effizientere Lösung sein. Ob jedoch außer Haus oder inhouse: Um die Komplexität zu bewältigen und gesetzeskonform zu agieren, ohne dass die Kosten aus dem Ruder laufen, dürfte Robotic Process Automation in Kombination mit einer workflowbasierten Abbildung standardisierter Prozesse des Auslagerungsmanagements immer mehr zum Mittel der Wahl avancieren.

Technologische Unterstützung

Die Standardisierung und Automatisierung von (Auslagerungs-) Prozessen, ist keineswegs eine Spielerei oder ein "Nice-to-have". Wie wir bereits gesehen haben, sind gerade Unternehmen der Finanzbranche zu mehr Effizienz gezwungen. Robotic Process Automation sowie eine allgemeine Prozessautomatisierung dürfte unter diesem Blickwinkel mehr und mehr zum "Must-have" werden.

In der Praxis werden die für das ZAM geforderten Maßnahmen beispielsweise mithilfe workflowbasierter Anwendungen abgebildet. Im Ergebnis lassen sich so die gesamte Steuerung von Prozessen und die Überwachung der Risiken sicherstellen. Ein kompletter Umbau ist dafür nicht nötig, denn die Anwendungen können häufig ohne größere Eingriffe in die vorhandene Architektur des Unternehmens implementiert werden. Bestehende Prozesse werden erweitert und gebündelt, es handelt sich also mehr um eine Evolution als um eine Revolution (siehe Abbildung, Seite 204).

Unterstützung durch Fintechs?

Und wie genau wird eine workflowbasierte Anwendung eingeführt? Eine Variante ist der Kauf von Standardsoftware. Oft reichen auch schon vorhandene Softwarelösungen, um die im Kontext des Auslagerungsmanagements vorhandenen Prozesse abzubilden. "SharePoint" etwa dient nicht nur der Dokumentenablage, sondern bietet auch Workflow-Funktionalitäten. Eine andere Option ist die Suche nach einem speziellen Startup, einem Regtech.1 Von diesen Newcomern kommen praxistaugliche Lösungen für ein gesetzeskonformes und zugleich kostengünstiges ZAM. Kooperiert eine Bank, eine Factoring- oder Leasing-Gesellschaft mit einem Regtech, ergibt sich eine Win-Win-Situation. Das etablierte Unternehmen profitiert von der Innovationskraft des Newcomers, und der erhält die Chance, seine Konzepte in großem Maßstab anzuwenden.

Unbestritten ist am Anfang einiges zu stemmen - unabhängig davon, ob man eine workflowbasierte ZAM-Prozessabbildung hausintern einführt oder mit Unterstützung eines Regtechs. Ist aber die Prozessautomatisierung erst einmal ins Unternehmen integriert, können damit sämtliche Aufgaben für alle Auslagerungen erfüllt werden. Steuerung und Überwachung erfolgen - wie gesetzlich gefordert - zentral. Alle Informationen werden permanent aggregiert und aufbereitet. Außerdem lassen sich zudem die aufbereiteten Informationen zu jedem gewünschten Zeitpunkt darstellen und zeitnah reporten.

Smarte Lösungen

Die Hauptargumente für eine Prozessautomatisierung mittels workflowbasierter Abbildung von Prozessen im Auslagerungsmanagement sind geringere Kosten und Übereinstimmung mit den Regularien. Anders ausgedrückt bringen neue Technologien die Quadratur des Kreises näher, indem mit weniger Geld als bisher verschärfte Anforderungen erfüllt werden können. Zudem gibt es Lösungen, die das ZAM smart und automatisiert darstellt. Bestandteile eines derartigen Ansatzes sind unter anderem die Dokumentation sämtlicher Auslagerungsverträge, die Aufbereitung von Berichten sowie die Validierung der durchgeführten Risiko- und Wesentlichkeitsanalysen und die Abbildung von Kontroll- und Überwachungsprozessen. Die für das ZAM Verantwortlichen werden bei ihrem Tagesgeschäft unterstützt, ein Management Report erleichtert die Übersicht.

Bleibt die Frage, ob es sinnvoll ist, ausgelagerte Prozesse zukünftig wieder ins Unternehmen zurückzuholen und mittels RPA selbst zu erbringen. Die Antwort lautet prinzipiell ja, da RPA bereits heute in der Lage ist, einfache, sich wiederholende Tätigkeiten der Mitarbeiter zu übernehmen und ihnen somit Freiraum für andere Tätigkeiten zu schaffen. Dennoch ist RPA noch nicht für komplexere Tätigkeiten geeignet. Doch Entwicklungen auf den Gebieten künstliche Intelligenz, maschinelles Lernen und anderen werden RPA in Kombination mit workflowgestützten Tools leistungsfähiger machen - und damit dürfte künftig die Wahl zwischen "Make or Buy" vermehrt zugunsten von "Make" ausfallen.

1) Der Begriff Regtech wurde geprägt, um die aufstrebende Technologie, die speziell zur Erfüllung regulatorischer Mandate entwickelt wurde, und deren Unternehmen zu beschreiben.

DIE AUTOREN:
Stefan Steinhoff, Frankfurt am Main, ist Partner & Managing Director für den Bereich Risk & Regulatory der TME AG. E-Mail: steinhoff[at]tme[dot]ag
Sebastian Heinzelbecker, Frankfurt am Main, ist Consulting Manager der TME AG. Er ist Experte für Auslagerungsmanagement und Regulatorik für Banken. E-Mail: heinzelbecker[at]tme[dot]ag
Sebastian Heumann, Frankfurt am Main, ist Senior Consultant Risk & Regulatory der TME AG. Er ist Experte für Auslagerungsmanagement und Regulatorik für Banken. E-Mail: heumann[at]tme[dot]ag

Weitere Artikelbilder

Noch keine Bewertungen vorhanden


X