MaRisk: Interview mit Ulrich Heun, Carmao

Outsourcing ein Risiko?

Interview mit Ulrich Heun, Geschäftsführer der Carmao GmbH, einem Anbieter im Bereich IT Governance, Risk & Compliance (IT GRC) sowie IT-Security, über die Risiken von IT-Outsourcing und was Unternehmen bei einer Auslagerung beachten sollten

Ulrich Heun, Carmao GmbH

Ulrich Heun, Geschäftsführer der Carmao GmbH

IT-DIRECTOR: Herr Heun, die Bereitschaft von Unternehmen zum Outsourcing wächst zunehmend. Allerdings kann die Auslagerung von Geschäftsprozessen auch verschiedene Risiken bergen. Wie sehen derartige Gefahren aus und wie lassen sich diese vermeiden?
U. Heun:
In der Tat existiert eine ganze Reihe von Gefahren im Zusammenhang mit der Auslagerung von Geschäftsprozessen oder technischen Diensten. Im Wesentlichen liegen diese Gefahren darin begründet, dass der Auftraggeber die Kontrolle über die ausgelagerten Daten und Prozesse nur noch über vertraglich geregelte Mechanismen ausüben kann. Dies kann neben allgemeinen Rechts- und Vertragsrisiken letztlich auch zu Qualitätseinbußen, Kostensteigerungen, Kontrollverlusten, einer starken Abhängigkeit vom Dienstleister, Wissensabfluss, Informationssicherheitslücken und einer Einschränkung der strategischen Flexibilität führen.

IT-DIRECTOR: Worin bestehen die Vorteile für Unternehmen, wenn sie ihre internen Geschäftsprozesse an „Dritte“ weitergeben?
U. Heun:
Die Vorteile liegen in den Effizienzgewinnen, Qualitätsverbesserungen und erweiterten Service Level Agreements (SLA) durch spezialisierte, auf ihrem Fachgebiet erfahrene Anbieter. In einigen Situationen kann eine Auslagerung durchaus auch zur Minderung operationeller Risiken führen, wenn die externe Leistungserbringung entsprechend hochwertig erfüllt werden kann. Allerdings sind diese positiven Effekte oft nur bei entsprechend automatisiertem, standardisiertem und sauber dokumentiertem Service erzielbar.

IT-DIRECTOR: Warum ist Risikomanagement im Zuge des Outsourcings eine so wichtige Stellschraube?
U. Heun:
Risikomanagement ist nicht nur beim Outsourcing eine wichtige Stellschraube, sondern gehört zu den Kernaufgaben einer jeden guten Unternehmensführung. Allerdings ist es wegen der komplexeren Geschäftsbeziehung bei einer vertraglichen Bindung an einen externen Dienstleister wichtig, die Risiken vor dem Vertragsabschluss identifiziert und bewertet zu haben. Damit kann der Vertrag mit den entsprechenden, angemessenen Kontrollklauseln versehen werden. Diese Kontrollklauseln dürfen nicht zu umfangreich und komplex sein, da sonst die Kosten der Auslagerung zu teuer werden (Transition und Betrieb). Sie dürfen jedoch auch nicht zu knapp definiert sein, da nachträgliche Änderungen im Change-Management-Verfahren mit dem Dienstleister vereinbart und verhandelt werden müssen. Dies ist aufwändig, zeit- und kostenintensiv. Außerdem führen zu lockere Kontrollmaßnahmen zu Lücken in der Haftung und Gewährleistung des Dienstleisters und damit zu einem zusätzlichen potentiellen Schaden für den Auftraggeber.

IT-DIRECTOR: Welche Anforderungen sind in der MaRisk („Mindestanforderungen an das Risikomanagement“) festgelegt?
U. Heun:
In der MaRisk ist im Wesentlichen in AT 9 festgelegt, dass bei einer Auslagerung im Sinne des Kreditwesengesetzes (KWG) eine Risikoanalyse durchzuführen ist. Auf Basis dieser Analyse beurteilt das Kreditinstitut, ob eine Auslagerung ein wesentliches Risiko für den Geschäftsbetrieb darstellt und damit gegebenenfalls den ordnungsmäßigen Geschäftsbetrieb signifikant gefährdet und nur schwer verkraftbare Schäden verursachen kann. In diesem Fall sind besondere zusätzliche Maßnahmen mit dem Dienstleister zu vereinbaren. Nicht zuletzt muss z.B. den Aufsichts- und Prüfungsorganen vertraglich das Prüfungsrecht beim Dienstleister eingeräumt werden. Die Anforderungen beschränken sich aber nicht nur auf die AT 9. Es gilt noch eine ganze Reihe weiterer Aspekte zu beachten, die alle dazu dienen, dass das Kreditinstitut die vollständige Kontrolle über die Leistung behält, jederzeit den ordnungsmäßigen Geschäftsbetrieb sicherstellt und in der Lage ist, Schäden für das Institut zu begrenzen. Diese Anforderungen – in Kombination mit dem Verbot der Auslagerung/Übertragung von Verantwortungen der Geschäftsleitung auf externe Dritte – sorgen dafür, dass das auslagernde Institut in jedem Fall in der vollen geschäftlichen Verantwortung und damit auch Haftung für eine Schlechtleistung des Dienstleisters bleibt.

IT-DIRECTOR: Empfehlen Sie jedem Unternehmen die Auslagerung der Geschäftsprozesse oder ist das Outsourcing nur branchenspezifisch sinnvoll – wie z.B. in der Kreditwirtschaft? Und welche Bereiche lassen sich überhaupt outsourcen?
U. Heun:
Die Entscheidung zu einer Auslagerung ist weniger branchenabhängig. Sie sollte immer auf einer angemessenen Chancen/Risiko-Analyse getroffen werden. Bei einer Abwägung des Business Case sollten nicht nur realistische Zahlen zum Kostenvergleich und zum mittel- oder langfristigen strategischen Nutzen berücksichtigt werden. Gerade die Untersuchung der mit der Auslagerung verbundenen operationellen, strategischen und reputativen Risiken kann vor einem bösen Erwachen schützen. Eventuell nur geringe operative Kostenvorteile werden dann schnell von einem einzelnen Schaden eliminiert. Sinnvolle Auslagerungen können und sollten grundsätzlich von jedem Unternehmen geprüft werden. Wichtig ist, dass man die Entscheidung gut vorbereitet. Nach Vertragsschluss kommen Fehler die Verantwortlichen immer teuer zu stehen.

IT-DIRECTOR: Wie finden Unternehmen einen vertrauenswürdigen Auslagerungsbeauftragten, ohne dass die sensiblen Daten dabei in falsche Hände geraten?
U. Heun:
Auslagerungsbeauftragte stehen vor allem in der Verantwortung, einen Prozess für die systematische und risikoorientierte Auslagerung in einem Kreditinstitut zu formulieren und eine entsprechende Prozess-Governance durchzuführen – bis hin zum Reporting an den Vorstand. In dieser Funktion sind sie auch direkte Ansprechpartner für die BaFin und die Wirtschaftsprüfer. Die Durchführung einer Auslagerung setzt in aller Regel ein bereichsübergreifendes Zusammenwirken voraus, sowohl bei der Planung und Implementierung der Auslagerung als auch beim späteren Betrieb. Auslagerungsbeauftragte benötigen eine breite Akzeptanz und Durchsetzungsvermögen. Die damit verbundenen Herausforderungen werden oft unterschätzt.

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok