Risikomanagement: Outsourcing - Drum prüfe, wer sich bindet

Risikopotenziale identifizieren und sorgfältig abwägen

Inwieweit Aktivitäten ausgelagert werden können, ist situationsbedingt und bedarf eingehender Analysen. Im Rahmen der Analyse gilt es, die Risikolage abzuklären und während des gesamten Lebenszyklus der Outsourcing-Vereinbarung kontinuierlich zu überprüfen. Neben den offensichtlichen Risiken, wie strategische, rechtliche und finanzielle Risiken, bedürfen vor allem die operationellen Risiken einer sorgfältigen Evaluation. Zudem erschwert die erhöhte Komplexität der getroffenen Vereinbarungen eine adäquate Einschätzung. Bei einer Bank führt die Auslagerung von Geschäftsaktivitäten zur Reduktion einiger Risikopotenziale. Sie führt regelmässig dazu, dass Abwicklungs-, Prozess-, Sicherheits- und Haftungsrisiken insgesamt tiefer ausfallen. Demgegenüber könnten Compliance-Risiken, Reputations-Risiken oder rechtliche Risiken ein höheres Potenzial aufweisen. So könnte zwar ein monetärer Schaden, verursacht durch Schadenersatzansprüche des Kunden infolge fehlerhafter Abwicklung, mittels einer entsprechenden vertraglichen Ausgestaltung an den Outsourcing Provider überwälzt werden. Das Risiko eines Imageschadens bleibt jedoch für das Unternehmen weiterhin bestehen. Kritisch wäre auch ein kompletter Ausfall des Outsourcing- Provider. In dieser Situation wäre nach Alternativen zu suchen oder eine Rück-Integration in das eigene Unternehmen in Erwägung zu ziehen. In jedem Fall entsteht durch die Abhängigkeit von einem Outsourcing-Provider ein erhöhtes Gegenparteirisiko bzw. Insolvenzrisiko. Wohingegen das Marktrisiko in der Regel unverändert bleibt.

Der Outsourcing-Provider versucht seinerseits ebenfalls das Risikopotenzial einer Outsourcing- Vereinbarung einzuschätzen. Im Idealfall erfolgt dies bereits beim Offering (Due Diligence), da die Einstufung des Risikopotenzials einen wesentlichen Einfluss auf die preisliche Ausgestaltung der Offerte haben kann. Der Outsourcing- Provider muss darauf bedacht sein, dass er ausschliesslich für ihn akzeptable Risiken übernimmt. Erhöhte Risiken entstehen vor allem dann, wenn die Auflagen des Auftraggebers vom Standard abweichen. Beispielsweise könnte eine Bank eine erhöhte Datensicherheit für den ausgelagerten Bereich verlangen. Um solchen Anforderungen gerecht werden zu können, muss eine systematische Risikoanalyse durchgeführt werden. Dabei stehen weniger Reputations- und Compliance-Risiken im Vordergrund. Für den Outsourcing- Provider sind in der Regel operationelle Risiken wie Prozessrisiken, rechtliche Risiken sowie Aspekte des Kapazitätsmanagements und der Sicherheit vorrangig zu beurteilen. Zusätzliche Auflagen seitens Auftraggeber haben weit reichende Konsequenzen. Am Beispiel der erhöhten Datensicherheit wird deutlich, dass einerseits in die Verbesserung der Abwehrmechanismen gegen Fremdzugriff auf IT-Systeme investiert werden muss. Andererseits erfordert eine solche Auflage auch eine Anpassung der physischen Sicherheit wie z.B. Zutrittskontrollen zu Gebäuden und der Notfallplanung (Business Continuity Planning). Schliesslich werfen solche Massnahmen wiederum versicherungstechnische Fragen auf. Die kausale Verkettung dieser Umstände muss deshalb stets analysiert und kostenmässig beurteilt werden. Auf diese Weise ist der Outsourcing-Provider auf unerwartete Situationen vorbereitet und im Schadenfall gegen allfällige Ansprüche seitens Auftraggeber genügend abgesichert.

Szenarioanalysen denkbar

Unabhängig von der Art des ausgelagerten Services genügt oft ein relativ einfacher Prozess mit Identifikation, Bewertung und Steuerung der Risiken zur Beurteilung der Risikosituation. Bei der Identifikation der Risiken sind neben Prozessanalysen und Checklisten auch Szenarioanalysen denkbar. Letztere erlauben zwar eine Identifikation von so genannten «Low Frequency High Impact»-Ereignissen, wie Umweltkatastrophen und Betrugsrisiken. Diese sind aber aufgrund der Kompliziertheit und aufgrund von Kosten-Nutzen-Überlegungen nur sporadisch anwendbar. Bei der Bewertung empfiehlt es sich, eine «Risk-Map» mit Eintretenswahrscheinlichkeit und Verlustpotenzial zu erstellen. Dabei können manche Risikotypen nur aufgrund von Erfahrungen und Richtwerten eingeschätzt werden. Zur besseren Einschätzung ist es auch hilfreich, Marktstudien und -berichte heranzuziehen.

In die Kalkulation einbeziehen

Liegt eine «Risk-Map» vor, erfolgt die Einordnung der Risikopotenziale durch die Zuweisung von Prioritäten. Ein besonderes Augenmerk ist dabei auf neue Risikopotenziale und solche mit grossem Verlustpotenzial zu werfen. Im Rahmen der Risikosteuerung ist dann zu entscheiden, welche Risikopotenziale akzeptiert, reduziert oder vermieden werden sollten. Massnahmen zur Risikoreduktion sind u.a. eine Verbesserung der internen Kontrolle und der Frühwarnsysteme.

Im erwähnten Fall der Datensicherheit sind Anpassungen der internen Kontrolle sicherlich angebracht. Für eine nachhaltige Reduktion des Risikopotenzials sind jedoch Korrekturen der Sicherheitsmechanismen nötig. Hingegen tragen verbesserte Kontrollmechanismen wesentlich zur Verminderung von Betrugsrisiken bei. Eine Vermeidungsstrategie sollte indes nur bei grossen Risikopotenzialen in Betracht gezogen werden. Hierbei müssen auch versicherungsrelevante Fragen geklärt werden.

In Zukunft sind Risikoaspekte beim Outsourcing vermehrt zu beachten. Die Wichtigkeit wird auch im diesjährigen veröffentlichten Papier des Basel Committee on Banking Supervision sowie zahlreichen nationalen Richtlinien bekräftigt. Es bleibt abzuwarten, inwiefern diese konkret umgesetzt werden können. Es liegt jedoch auf der Hand, dass die zusätzlichen Kosten der Risikoevaluation sowie allfällige Massnahmen zur Risikoreduktion beim Pricing berücksichtigt werden müssen und damit Einfluss auf die Wettbewerbsfähigkeit eines Outsourcing-Provider haben können.