Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

Internationale Kontrollgremien prüfen Richtlinien

Bankenaufseher warnen vor Outsourcing-Risiken

08.10.2004
MÜNCHEN (wh) - Die Auslagerung von Geschäftsteilen birgt für Finanzdienstleister erhebliche Risiken, warnen deutsche und internationale Kontrollgremien. Im Zusammenhang mit IT-Outsourcing sieht etwa die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) Gefahren für die IT-Sicherheit, den Datenschutz und die Notfallplanung.

"Im Blickpunkt stehen vor allem operative Risiken, die Banken beim IT-Outsourcing eingehen", erläutert Carmen Koberstein-Windpassinger, Leiterin eines Referats der Gruppe Risikomodellierung in der Bafin. Von der Behörde beaufsichtigte Institute wie die Deutsche Bank oder die Commerzbank sind gesetzlich verpflichtet, das Management ihrer Organisation so zu planen, dass sie die Risiken jederzeit beherrschen. "Beim Outsourcing aber vergeben Banken einen Teil ihrer Aufgaben an Externe", so die Expertin. Die damit verbundene Einschränkung des direkten Zugriffs auf die ausgelagerten Bereiche verursache Gefahren, denen durch gesteigerte Organisations- und Kontrollpflichten zu begegnen sei.

Koberstein-Windpassinger unterscheidet projektbedingte und infrastrukturelle Risiken. Zur ersten Kategorie zählt sie vor allem IT-Sicherheit, Datenschutz und Notfallplanung. Hinzu kämen Rechts-, Organisations- und Reputationsrisiken. Insbesondere vom laufenden IT-Outsourcing-Prozess gehen nach ihrer Einschätzung Betriebsrisiken aus.

Die größte Gefahr dabei bestehe im Kontrollverlust: Die Geschäftsleitung tausche die direkte Einflussmöglichkeit gegen eine indirekte ein. "Damit geht das Problem der Schnittstellen zwischen Auftraggeber und Dienstleister einher." Eine Bank habe dann sehr viel weniger Gewalt über Mitarbeiter, die letztlich die eigenen Geschäfte ausführen. Nur über vertragliche Vereinbarungen könne sie den Dienstleister zur Erbringung der gewünschten Leistungen anhalten. "Was nicht im Vertrag steht, lässt sich juristisch auch nicht durchsetzen." Doch selbst wenn alles korrekt geregelt sei, tauchten Probleme auf: "Wo Menschen miteinander umgehen müssen, hapert es oft in der Praxis."

Beispiel Deutsche Bank

Konkrete Beispiele dürfe sie nicht nennen, erklärt die Bankenaufseherin, obwohl der prominente Fall der Deutschen Bank schon seit längerem öffentlich diskutiert wird. Im Rahmen einer Sonderprüfung gemäß Kreditwesengesetz ließ die Bafin Anfang des Jahres ermitteln, wie es um die Notfallfähigkeit der an IBM ausgelagerten IT-Infrastruktur bestellt ist. Dabei stand auch die Frage im Mittelpunkt, inwieweit die Bank ihrer diesbezüglichen Kontrollpflicht gegenüber dem Dienstleister nachgekommen ist.

Zwar sind derartige Prüfungen nicht ungewöhnlich. Doch die Untersuchung stand in engem zeitlichem Zusammenhang mit internen Revisionsberichten der Bank, die nach Auskunft von Mitarbeitern wenig schmeichelhaft für beide Vertragsparteien ausfielen.

Debatte in mehreren Ländern

Die Debatte um das Für und Wider großer Outsourcing-Projekte wird mittlerweile länderübergreifend geführt. So verweist etwa das Joint Forum, ein Zusammenschluss von internationalen Kontrollgremien für die Finanz- und Versicherungsbranche, ebenfalls auf mit der Auslagerung verbundene Risiken. In einem Konsultationspapier beschreibt die Gruppe Richtlinien, die sicherstellen sollen, dass Outsourcing-Aktivitäten das Risiko-Management der Banken nicht beeinträchtigen. Zugleich sollen die Aufsichtsbehörden weiterhin in der Lage sein, die Einhaltung der Vorschriften zu kontrollieren. Ähnliche Initiativen verfolgen beispielsweise das Committee of European Banking Supervisors (CEBS) und das US Federal Financial Institutions Examination Council (FFIEC).

Die Kontrolleure sehen dabei durchaus auch die Vorteile von Auslagerungsvorhaben. Outsourcing sei für Banken eine Alternative, ihre ökonomischen Ertragskennziffern zu optimieren, konzediert etwa Koberstein-Windpassinger. Im Rahmen der strategischen Unternehmensplanung sollte das Management diese Möglichkeit in Betracht ziehen. Andererseits aber habe sich speziell IT-Outsourcing auch zu einem Modethema entwickelt, das von Beratungsunternehmen oder großen IT-Anbietern überstrapaziert werde. Jede Geschäftsleitung sei deshalb gut beraten, Chancen und Risiken nüchtern abzuwägen. Dabei müssten die Unternehmen einige Grundvoraussetzungen im Auge behalten, insbesondere eine funktionierende Gesamtarchitektur der Geschäftsprozesse. Keinesfalls sollten sie versuchen, Probleme in diesem Bereich an einen externen Dienstleister abzuwälzen: "Das Scheitern ist dann programmiert."

Abb: Warum Banken auslagern

Von Outsourcing-Projekten erhoffen sich europäische Banken vor allem Kostenvorteile. Die Risiken werden häufig unterschätzt. Quelle: Europäische Zentralbank