Risikomanagement beim Sourcing von Schweizer Banken

Von , und

Im Rahmen der IFZ Sourcing Studie, welche Ende August 2020 veröffentlichet wird, haben wir anhand von Interviews auch Aspekte des Risikomanagements untersucht. Im heutigen Blog publizieren wir vorab eine Zusammenfassung und zeigen auf, welche Risiken im Sourcing auftreten können, wie Schweizer Banken mit Sourcing-Risiken umgehen und welche Aspekte speziell zu beachten sind.

Durch das Outsourcing von Dienstleistungen ergibt sich für Finanzdienstleister die Herausforderung, dass verschiedenste operationelle Risiken durch die Auslagerung sowohl im eigenen Unternehmen als auch beim Sourcing-Partner auftreten. Lagert eine Bank zum Beispiel ihren Zahlungsverkehr an ein Drittinstitut aus, so sind Kundendaten der Bank aufgrund der erforderlichen Prozesse zumindest zeitweise nicht mehr nur im eigenen Unternehmen, sondern auch beim Drittinstitut vorhanden. Dadurch vergrössert sich beispielsweise die Angriffsfläche für potenzielle Betrüger. Ein effektives Risikomanagement im Sourcing-Umfeld muss diesem Umstand Rechnung tragen. Speziell herausfordernd ist dabei, dass selbst eine einwandfreie Zusammenarbeit zwischen Finanzdienstleister und Sourcing-Partner nie in allen Details vollständig transparent sein kann und sich so zwangsläufig Informationsasymmetrien ergeben.

Outsourcing-Risiken sind vielschichtig und komplex

Risiken beim Outsourcing sind vielschichtig und können verschiedene Ausprägungen haben. So entstehen Risiken beispielsweise durch Systemausfälle bei Providern, durch erschwerte Kontrollen und Informationsasymmetrien, durch Abhängigkeiten zum Sourcing-Partner, durch Qualitäts- und Knowhow-Verlust, durch interne oder externe betrügerische Aktivitäten oder andere Sachverhalte. Hinzu kommen Reputationsrisiken, die in der Regel als Folge eines vorgelagerten Risikos zusätzlich auftreten. So ist es beispielsweise denkbar, dass ein medienwirksamer Betrugsfall bei einem Sourcing-Anbieter auch bei der auslagernden Bank zu einem Image-Schaden führt.
Die Verschiedenartigkeit der Risiken, aber auch die unterschiedliche Art der Zusammenarbeit mit den Sourcing-Partnern, stellen das Risiko-Management vor grosse Herausforderungen. Denn die Risiken lassen sich nicht pauschal beurteilen; vielmehr muss jedes Outsourcing-Verhältnis einzeln auf seine Risiken überprüft werden, bevor eine Aggregation vorgenommen und eine übersichtliche Zusammenstellung der Risiken erarbeitet werden kann. Hinzu kommt, dass Sourcing-Risiken zu einem grossen Teil durch Tail-Risks, d.h. selten auftretende Fälle mit hohem Schadenausmass, geprägt sind. Da für solche Risiken per Definition kaum Erfahrungswerte vorhanden sind, sind sowohl die Risikoidentifikation als auch die Quantifizierung des Risikos oft schwierig.

Sourcing-Risikomanagement bei Schweizer Banken

Aufgrund der hohen Bedeutung der Risiken beim Auslagern von Dienstleistungen schenken die Schweizer Banken sowohl einem permanenten Risikomanagement als auch einer laufenden Leistungsbeurteilung im Sourcing eine hohe Beachtung. Die Interviews haben gezeigt, dass sich die Banken intensiv Gedanken darüber machen, wie das Risikomanagement und die Leistungsbeurteilungen im Sourcing sowohl effektiv wie auch effizient durchgeführt werden können. Eine Bank hat beispielsweise angekündigt, dass sie in Zukunft ihre Sourcing-Anbieter stärker in den Risikomanagement-Prozess einbinden möchte – so sollen die Risikomanagement-Aktivitäten der Sourcing-Anbieter stärker mit den eigenen Aktivitäten abgestimmt werden können.
Im Rahmen der Interviews hat sich gezeigt, dass die Banken in der Regel bereits vor Beginn einer allfälligen Zusammenarbeit mit einem Sourcing-Partner im Rahmen eines Due Diligence-Prozesses eine Risikobeurteilung vornehmen, wobei unter anderem auch die Bonität und die Reputation des potenziellen Sourcing-Partners geprüft werden. Verschiedentlich wurde auch darauf hingewiesen, dass in dieser Phase zusätzlich das ‘Matching’ der beiden Unternehmenskulturen überprüft werden muss, weil sonst im Krisenfall ein gemeinsames Problem-Verständnis fehlt, welches die Grundlage für ein gutes Krisenmanagement bildet.
Nach der Etablierung einer Sourcing-Partnerschaft werden die identifizierten Risiken laufend überwacht. Hierzu haben einige Banken im Rahmen des Risk-Reportings eine eigene Kategorie für die Sourcing-Risiken definiert. Andere Banken verstehen die Sourcing-Risiken als Teil der gesamten Geschäftsprozesse und beurteilen die Risiken aus Prozessoptik. Wichtig scheint bei der laufenden Risikobeurteilung, respektive Überwachung, eine enge Verbindung zur Leistungsbeurteilung der Sourcing-Partner zu sein. Denn wenn die periodische Leistungsbeurteilung zeigt, dass die Servicequalität des Sourcing-Partners sinkt, kann dies – im Sinne eines Frühwarnsignals – auch aus Risikooptik relevant sein.
Ein Instrument, das wichtige Anhaltspunkte für das Risikomanagement bietet, bildet das Inventar, in dem alle wesentlichen Auslagerungen einer Bank aufgeführt sind. Ein solches Inventar muss gemäss FINMA-RS 2018/3 jede Bank führen. Viele Banken gehen inhaltlich jedoch über die Vorgaben des Rundschreibens hinaus und tragen zusätzlich aus Risikooptik relevante Informationen ein, wie zum Beispiel ob Massenkundenidentifikationsdaten ausgelagert werden. So kann das Inventar dabei helfen, die spezifischen Risiken für jede Auslagerung besser zu identifizieren. Im Rahmen der Interviews für die IFZ Sourcing-Studie wurde uns von einer Bank ein Musterinventar zur Verfügung gestellt, welches in Abbildung 1 ersichtlich ist (zur Vereinfachung mit lediglich einem Eintrag).

Quantifizierung der Risiken

Eine Quantifizierung der Risiken im Sourcing im Sinne einer Schadensumme – zum Beispiel in Form eines Value at Risk – ist aufgrund der erwähnten Tail-Risk-Problematik alles andere als einfach. Interviewpartner haben auch auf die zusätzliche Problematik von nachgelagerten potenziellen Reputationsschäden hingewiesen, die selbst bei einem tatsächlich eingetretenen Schadenfall kaum korrekt quantifiziert werden können.
Einige befragte Banken haben aufgrund der erwähnten Schwierigkeiten davon abgesehen, die Schadensumme aus Outsourcing-Risiken einzeln zu schätzen. Diese Banken «quantifizieren» ihre Outsourcing-Risiken stattdessen in Form von Risikoklassifizierungen (z.B. Risikoklassen 1-5). Jeder Risikoklasse werden mögliche Ausprägungen zugeordnet (z.B. Risikoklasse 1 = keine Incidents mit Sourcing Dienstleister im vergangenen Monat). Zusätzlich werden zum Teil Risikolimiten für ausgewählte Key Performance Indikatoren definiert, bei deren Erreichen Steuerungsmassnahmen geprüft und/oder eingeleitet werden.
Andere Banken schätzen die Risiken eines potenziellen Schadenfalls anhand von Eintrittswahrscheinlichkeiten und potenziellem Schadenausmass quantitativ ab, wobei auch hier die Risikosteuerung in der Regel anhand von Risikolimiten vorgenommen wird.
Unabhängig von der Methodik der Quantifizierung scheint es für die Steuerung der Risiken vor allem wichtig, dass die Banken im Rahmen der Quantifizierung erkennen, wo Steuerungsmassnahmen nötig sein könnten und wie diese zu gestalten wären. In diesem Sinne wird zum einen eine gewisse Transparenz hinsichtlich der Bedeutung der einzelnen Risiken geschaffen und zum anderen die Grundlage für die Vorbereitung von Massnahmen. Gewisse Banken haben zudem erwähnt, dass sie sich auch mit anderen Finanzinstituten austauschen, um die Transparenz von potenziellen Sourcing-Risiken zu verbessern und deren Ausmass besser abschätzen zu können. Da – wie bereits erwähnt – im eigenen Institut oft wenig Erfahrungswerte im Zusammenhang mit Sourcing-Risiken vorhanden sind, erscheint ein vertiefter Austausch zwischen Banken im Zusammenhang mit dem Management der Sourcing-Risiken durchaus sinnvoll.
Vor allem ist aber auf die Bedeutung einer regelmässigen Kommunikation zwischen Bank und Sourcing-Anbieter hinzuweisen, um potenzielle Risiken frühzeitig zu erkennen und entsprechende Massnahmen vorzubereiten. Ein wichtiges Instrument ist in diesem Zusammenhang die Leistungsbeurteilung und die Diskussion der Ergebnisse zwischen Sourcing-Anbieter und Finanzinstitut. Denn gerade bei der Reaktion auf mögliche Schwachstellen und Mängel zeigt sich, wo das Risikomanagement besonders aufmerksam zu betreiben ist.

Fazit

Aus unserer Sicht ist es wichtig, dass die beiden Aufgaben des Risikomanagements und der Leistungsbeurteilung nicht vollständig getrennt werden. Da die Erkenntnisse aus der Leistungsbeurteilung Indikationen möglicher Risiken enthalten können, sollten diese auch in den Risikomanagement-Prozess einfliessen. Zudem scheint es zielführend, beiden Aufgaben eine Prozesssicht zu Grunde zu legen. Nur so werden Anforderungen und Auswirkungen auf Tätigkeiten, die der reinen Sourcing-Aktivität vor- oder nachgelagert sind, in die Betrachtung einfliessen und ein stimmiges Bild der gesamten Abläufe wiedergeben.
Eine regelmässige Kommunikation zwischen dem Sourcing-Anbieter und der Bank ist auch im Risikomanagement unerlässlich. Denn ein regelmässiger Austausch kann die Transparenz gegenseitig erhöhen und so dazu führen, dass Leistungen optimiert und Risiken frühzeitig erkannt und gesteuert werden können. Insbesondere die gemeinsame Besprechung von Risiken und Leistungsbeurteilung sowie das gemeinsame Festlegen von Massnahmen und deren Realisierungsplänen, können substanziell zur Vertrauensbildung beitragen und so zu einer friktionslosen Zusammenarbeit führen.
Ergänzend scheint auch ein vertiefter Austausch innerhalb der Branche, das heisst zwischen den Finanzdienstleistern, zu helfen, die Qualität des Risikomanagements und der Kontrolle im Sourcing weiter zu verbessern. Gerade bezüglich der Quantifizierung von Risiken als eine der zentralen Aufgaben des Risikomanagements könnte ein regelmässiger Erfahrungsaustausch zwischen den Banken einen Mehrwert bieten.

Hinweis: Im Rahmen der IFZ Sourcing Konferenz vom 27. August 2020 werden die Ergebnisse der aktuellen IFZ Sourcing Studie vorgestellt. Zudem beleuchten externe Referenten verschiedene Aspekte des Sourcings wie internationale Erfahrungen, Chancen im IT-Sourcing oder Ansätze im Management von Sourcing-Partnern. Zum detaillierten Programm und zur Anmeldung geht’s hier.