MaRisk 2021 erfordert mehr Steuerungseffizienz im Auslagerungsmanagement
Mit der 6. Novelle der Mindestanforderungen an das Risikomanagement (MaRisk 2021) werden die regulatorischen Anforderungen an das Auslagerungsmanagement (AT 9) für die deutschen Finanzinstitute deutlich erhöht. Die Neuerungen, Präzisierungen und Anpassungen der Finanzaufsicht BaFin mit ihren jeweiligen Umsetzungsfristen betreffen den gesamten Auslagerungszyklus und verursachen einen erheblichen zusätzlichen Steuerungsaufwand innerhalb der Häuser.
„In vielen Finanzinstituten steht bei der Konzeption der Auslagerungsprozesse die Compliance im Vordergrund. Häufig wird die Sicherstellung der aufsichtlichen Compliance auf Kosten der Effizienz und Praktikabilität erreicht.“
Die PwC-Umfrage beleuchtet den Stand der Umsetzung von MaRisk 2021 AT 9 bei deutschen Finanzinstituten und zeigt mögliche Effizienzhebel im Auslagerungsmanagement auf.
Bislang setzt die Mehrzahl der Häuser bei der Steuerung ihrer Auslagerungen auf manuelle Aktivitäten und eine dezentrale Organisation. Aufgrund der verschärften Anforderungen gelten zusätzliche Steuerungsmaßnahmen. Zukünftig wird sich auch das Volumen der zu steuernden Fremdleistungen weiter erhöhen.
Die Studie im Überblick
Verschärfte Anforderungen der MaRisk-Novelle
Die Neuerungen, Präzisierungen und Anpassungen der 6. MaRisk-Novelle betreffen den gesamten Auslagerungsprozess. Die Umsetzung der Regulierung stellt nahezu alle Häuser vor große Herausforderungen, wobei der Aufwand je nach Institut sehr unterschiedlich eingeschätzt wird.
Organisation und Portfolio
Befragte Institute profitieren kaum von den in der Novelle vorgesehenen Erleichterungen. 44 Prozent der Befragten sehen die wesentlichste Erleichterung in der Möglichkeit des Verzichts auf die Erstellung von Ausstiegsprozessen und Handlungsoptionen bei gruppen- oder verbundinternen Auslagerungen.
Maximal ein Drittel der Institute bezeichnet die übrigen Erleichterungen wie die Etablierung eines zentralen Auslagerungsregisters als relevant.
Auslagerungs-Governance
Die im Modul AT 9 vorgesehene Erstellung von Organisationsrichtlinien für alle Auslagerungen beurteilen 80 Prozent der befragten Branchenvertreter als komplex bis sehr komplex. Dazu zählt auch die Definition sämtlicher Phasen zur Errichtung und Steuerung einer Auslagerung.
Drei Viertel der Institute verfügen bereits über einen zentralen Auslagerungsbeauftragten, der der Geschäftsleitung direkt unterstellt ist und das Auslagerungsmanagement implementiert, weiterentwickelt, kontrolliert und dokumentiert. Knapp 20 Prozent der Institute erfüllen diese Anforderung noch nicht.
Risikoanalyse
Im Rahmen der Risikoanalyse müssen künftig auch Risiken für Mehrfachauslagerungen, politische Stabilität, Interessenskonflikte und Schutzbedarfe bewertet werden – Auslagerungsketten stellen dabei eine besondere Herausforderung dar.
85 Prozent der Institute prüfen bereits die Eignung des Auslagerungsunternehmens, 65 Prozent den Schutzbedarf der an das Auslagerungsunternehmen übermittelten Daten und 58 Prozent das Risiko aus Weiterverlagerungen. Interessenskonflikte werden indes erst teilweise, politische Risiken werden bislang kaum berücksichtigt.
80 Prozent bewerten die mit der Auslagerung verbundenen Risiken, jedoch werden diese Ergebnisse bei 38 Prozent noch nicht vollumfänglich und bei zwei Prozent gar nicht in der Auslagerungs- und Risikosteuerung berücksichtigt.
58 Prozent der Institute beurteilen die Wesentlichkeit oder Bedeutung der Weiterverlagerung innerhalb der Prozesslandschaft, allerdings bewerten erst 37 Prozent auch die damit verbundenen Risiken. Darüber hinaus haben erst elf Prozent ihre Risikoanalyse um eine Szenarioanalyse ergänzt.
„In der Risikoanalyse werden teilweise noch nicht vollständig alle erforderlichen Aspekte abgebildet. Sie sollte bei den meisten Instituten weiter detailliert und besser in die Risikosteuerung integriert werden.“
Auslagerungsverträge
Die Mehrzahl der Institute stehen angesichts der 6. MaRisk-Novelle vor der Herausforderung, bis Ende 2022 ihre bestehenden Auslagerungsverträge anzupassen. Während die gängigen Anforderungen wie der Standort des Auslagerungsunternehmens oder die vereinbarte Dienstleistungsgüte bereits von drei Viertel der Institute umgesetzt wurden, werden risikorelevante Aspekte wie Versicherungen für bestimmte Risiken oder die Sicherstellung der Geschäftskontinuität erst bei dem deutlich geringeren Teil angemessen in den Verträgen berücksichtigt.
Auslagerungssteuerung
86 Prozent greifen bei der Überwachung von wesentlichen Auslagerungen auf Leistungskriterien wie Key Performance Indicators (KPIs) zurück. Lediglich 43 Prozent nutzen dafür Risikokriterien wie Key Risk Indicators (KRIs).
Während inhaltliche Anforderungen wie die jährliche Überprüfung (88%) und die Berücksichtigung eines Standortausfalls als Notfallszenario (85%) größtenteils bereits erfüllt werden, berichten erst 43 Prozent quartalsweise und anlassbezogen an die Geschäftsleitung.
Knapp 40 Prozent führen noch keine Business Impact Analyse auf zeitkritische Prozesse durch oder verfügen über ausreichende Wiederherstellungspläne als Teil ihrer Notfallkonzepte. Während sich 64 Prozent bereits auf ein gruppen- und verbundübergreifendes Notfallmanagement für Auslagerungen verlassen, nutzen noch bis zu 35 Prozent Leistungen aus dem Gruppenverbund ohne eine entsprechende gemeinsame Notfallplanung.
Dokumentation und Reporting
60 Prozent der befragten Institute pflegen bereits ein zentrales und aktuelles Auslagerungsregister. Weitere 27 Prozent setzen die Anforderung weitestgehend um. Offen ist bislang noch, ob die Institute die entsprechenden Weiterverlagerungsketten vollständig erfasst haben.
Effizienzhebel im Auslagerungsmanagement
- Automatisiertes Aussteuern nicht-relevanter Leistungsbezüge
- Standardisierte Steuerung von Leistungsbezügen
- Enge Verzahnung der Steuerung mit den Kontrollfunktionen
- Workflow-Tools zur Prozessautomatisierung
Automatisiertes Aussteuern nicht-relevanter Leistungsbezüge
Mehr als die Hälfte der Institute verfügen noch nicht über eine Methodik zum automatisierten Aussteuern nicht-relevanter Leistungsbezüge, etwa durch Selektion anhand von Warengruppen. Damit ergibt sich gleich zum Beginn des Auslagerungsprozesses die Chance auf eine Effizienzsteigerung.
Standardisierte Steuerung von Leistungsbezügen
Lediglich 21 Prozent nutzen einheitliche Risikoprofile für die Clusterung von Leistungsbezügen. Nur 19 Prozent bündeln diese nach gleicher Leistungsart. 48 Prozent verwenden bislang keine oder andere Möglichkeiten, um Leistungsbezüge gebündelt zu steuern.
Enge Verzahnung der Steuerung mit den Kontrollfunktionen
Lediglich 20 Prozent haben repetitive Steuerungsaufgaben bereits zentralisiert, erst elf Prozent trennen zwischen der Vendor- und der Leistungssteuerung.
Workflow-Tools zur Prozessautomatisierung
Digitalisierte und automatisierte Prozesse sparen Ressourcen, Zeit und Kosten bei der Steuerung von Auslagerungen. Mithilfe von Workflow-Tools lassen sich Prozesse effizienter gestalten und wachsende regulatorische Anforderungen zuverlässig erfüllen.
Bislang nutzt lediglich ein Viertel der Institute Workflow-Tools, in einem Großteil der Häuser werden Aufgaben wie die Identifikation von Leistungsbezügen, die Risikobetrachtung und das Reporting noch manuell getätigt.
„Banken sollten die Anforderungen der MaRisk-Novelle an das Auslagerungsmanagement zeitnah angehen. Indem sie Prozesse automatisieren und zentralisieren, können sie die Komplexität, Ressourcenbindung, den Zeitaufwand und die Kosten für die Steuerung reduzieren.“
Die Methodik
Für die PwC-Umfrage „MaRisk 2021 AT 9 Readiness & Anwendung von Effizienzhebeln im Auslagerungsmanagement“ wurden im zweiten Quartal 2021 Manager aus 81 Finanzinstituten in Deutschland befragt.
Follow us
Contact us
