Herausforderung MaRisk-Novelle
Banken setzen weiter auf Outsourcing
 

Sieben von zehn Kreditinstituten in Deutschland wollen auch nach Inkrafttreten der MaRisk-Novelle mehr Aktivitäten auslagern, jedes sechste Geldhaus plant sogar Outsourcing im großen Stil.

 

Doch die Aufsicht verlangt, dass Banken die ausgelagerten Abläufe und IT-Systeme zuverlässig steuern und das damit verbundene Risiko überwachen. Praktisch bedeuten die neuen Vorschriften, dass die Banken das Auslagerungswesen stärker zentralisieren und zahlreiche Verträge nachverhandeln müssen. Dazu gehört vor allem, Auslagerungen in das Risikomanagement zu integrieren und regelmäßig aus Risikogesichtspunkten zu bewerten.
Diese Überlegungen führen dazu, dass künftig zu schließende Auslagerungsverträge eine deutlich höhere Komplexität aufweisen als bisher. Beispielsweise müssen die Banken vereinbaren, wie häufig und in welchem Umfang Dienstleister bestimmte Risikodaten zu übermitteln haben, denn sie sind Voraussetzung dafür, dass ein Institut selbst vollständig über die aktuelle Risikosituation berichten kann. Viele Informationen müssen deshalb künftig quartalsweise vorliegen. 69 Prozent der Institute gehen davon aus, dass sich diese Anforderungen künftig auf die Entscheidung für oder gegen eine Auslagerung auswirken werden. Die große Mehrheit ist noch nicht abgeschreckt, aber im Vorfeld sind zahlreiche Rahmenbedingungen intensiv zu prüfen. So müssen Kündigungsrechte bei Minder- oder schlechten Leistungen definiert und strengere Standards bei der Datensicherheit eingehalten werden.
Viele Institute haben in der Vergangenheit darauf vertraut, dass sich die Fachbereiche selbständig um die Thematik Auslagerung kümmern. Das wird künftig kaum noch möglich sein: Fast siebzig Prozent der Bankentscheider gehen davon aus, dass sich die MaRisk stark oder sehr stark auf die Verteilung von Verantwortlichkeiten im Unternehmen auswirkt. Insgesamt dürfte gut jede dritte bestehende Auslagerung dadurch erneut auf dem Prüfstand stehen.
Gefahren im Risikodatenhaushalt
Ein weiterer Aspekt betrifft die vorhandene Datenstruktur. Die Aufsicht verlangt, aus teilweise höchst unterschiedlichen IT-Systemen einheitlich alle risikorelevanten Informationen auszulesen und darzustellen (Risikodaten-Aggregation, MaRisk 4.3). Mehr als die Hälfte der befragten Fach- und Führungskräfte sieht IT-Lösungen zu diesem Zweck bestenfalls als gerade ausreichend an. Ähnlich reserviert bewerten die Banker die internen Prozesse, wenn es darum geht, die für einen Risikobericht notwendigen Daten zu beschaffen. Nur 18 Prozent der Banken trauen sich beim aktuellen Vernetzungsgrad der relevanten IT-Systeme die Schulnote 1 zu. Grund dafür sind die zahlreichen verschiedenen Anwendungen, die Banken einsetzen. Viele der nötigen Risikodaten stammen aus dem Kernbanksystem der Institute. Doch diese harmonieren nie vollständig mit den anderen Systemen. Das wirkt sich auch auf die Datenqualität aus. Zwar attestieren sich 63 Prozent der Banken sehr gute oder gute Qualität bei den Rohdaten. Doch zusammengeführt werden diese Informationen häufig über unzureichend programmierte Schnittstellen oder gar über Excel-basierte Lösungen. Die Folge sind Inkonsistenzen im Bestand, welche nicht immer sofort auffallen. Noch dazu schleppen die Banken Altlasten aus vorangegangenen MaRisk-Novellen vor sich her. Die bisherigen Umsetzungserfolge im Bereich IT bewerten weniger als 20 Prozent mit der Bestnote.
Vor diesem Hintergrund verwundert es kaum, dass die Risikoberichte zu den am stärksten drängenden Herausforderungen gezählt werden. Doch auch, wenn das technisch gelingt – kein System kann besser sein als seine Anwender. Darum treiben die MaRisk neben den elektronisch einzurichtenden Überwachungsmaßnahmen auch eine Verhaltensänderung der Mitarbeiter in den Banken voran. Konkret geht es um den Begriff der Risikokultur, der nicht nur über ein formales Regelsystem abgedeckt werden soll, sondern durch ein eigenes Bewusstsein dafür, dass die Kollegen im Alltag praktisch ständig mit Risiken umgehen müssen.
37 Prozent der Institute wollen diesem mentalen Veränderungsprozess allein mit einem Workshop begegnen. Das Ziel: Die Mitarbeiter sollen sich auf einen Verhaltenscodex verpflichten. Das dürfte jedoch kaum ausreichen. Schließlich geht es um einen bewussteren Umgang mit Risiken und ein Verständnis dafür, wo im Tagesgeschäft die Risiken liegen und welche Bedeutung diese haben. Die Banken haben bislang aber kaum Erfahrungen mit Verhaltenscodices gemacht, noch dazu solchen, die von der Aufsicht tatsächlich kontrolliert werden. Doch umfangreich auseinandersetzen mit dem Thema Risikokultur wollen sich gerade mal 18 Prozent.
Die Erkenntnisse stammen aus der Studie „MaRisk-Novelle 2017“, für die im Februar 100 Fach- und Führungskräfte deutscher Banken befragt wurden.

 

 

 

Kontakt  
Diesen Artikel ...  
Artikelinformationen 
Artikel veröffentlicht am:
21.03.2017
Erschienen in Ausgabe:

Quelle(n):

Artikelbild: Fotolia.

Autor/in 
Sven Müller
Management Consultant, Procedera Consult.
Weitere Artikel 
Webkiosk 

Die Zeitschrift

Ausgabe 08/2019

Jetzt online lesen »

 

 

Newsletter

die bank | Newsletter

Abonnieren Sie den kostenlosen redaktionellen Newsletter der Fachzeitschrift „die bank“.
Der Newsletter erscheint mindestens einmal im Monat und informiert Sie über aktuelle Beiträge und News.

 Anmeldung

 Newsletter-Archiv