Wenn Outsourcer fürs Unternehmen gefährlich werden

in Advisory, 23.10.2015

Outsourcer, deren Mitarbeiter Unternehmensdaten stehlen und ihren Bank-Kunden falsche Bankbelege zustellen oder die Kunden mit Kaufdruck und falschen Informationen zum Kauf von Kreditkarten animieren: reine Hirngespinste? Nein: all dies ist heute Realität und verursacht den auslagernden Unternehmen immense Schäden. Allein innerhalb von neun Monaten wurden beispielsweise drei US-Banken in Summe mit über USD 500 Mio. gebüsst, weil sie den Kreditkartenverkauf an Dritte ausgelagert hatten, welche gegen die Konsumentenschutzgesetze verstiessen. Auch in der Schweiz musste der Regulator mehrfach eingreifen, weil Kontoauszüge von einem Outsourcer an falsche Kunden geliefert wurden.

Wie kann ein sicheres Outsourcing-Geschäft geschaffen werden?

Eine Bank ist für an Dritte ausgelagerte Geschäfte in gleicher Weise verantwortlich wie für ihr eigenes. So wollen es die diversen Regulatorien wie z.B. das Schweizerische Obligationenrecht und die FINMA Rundschreiben.

  • Erweitertes Kontrollsystem: Für das auslagernde Unternehmen bedeutet dies, dass es seine Kontrollsysteme soweit ausdehnen muss, dass es die ausgelagerten Operationen hinlänglich kontrollieren kann.
  • Risikoanalyse: Es bedeutet weiter auch, das Geschäft des Anbieters und die Risiken, welche dort entstehen, genau zu verstehen und in seinem Umfeld entsprechende Kontrollen zu etablieren. Im Besonderen ist hierbei festzuhalten, dass für den Outsourcer Regulatorien gelten können, welche für das auslagernde Unternehmen selbst nicht zur Anwendung gelangen. Spezifische Kontrollen müssen z.B. sicherstellen, dass ins Ausland ausgelagerte Call Centres nicht nur die Konsumenten- und Datenschutzgesetze ihres eigenen Landes einhalten, sondern auch diejenigen all jener Länder, in denen sie aktiv verkaufen.
  • Zusammenarbeit: Kontrollsysteme, welchen den Outsourcer betreffen, sollten deshalb in enger Zusammenarbeit mit diesem definiert und errichtet werden. Für den Outsourcer relevante Prozesse und deren Risiken müssen im Einzelnen durchgegangen und die jeweils richtigen Massnahmen definiert und etabliert werden.
  • Monitoring: Besonderes Augenmerk ist im „Cloud-Zeitalter“ auf den Datenschutz und die Kurzfristigkeit der Leistungsbezüge bei Outsourcern zu legen: Diverseste Cloud-Services wie z.B. „Marketing Campaign Management Tools“ werden heute zu tausenden unter Umgehung von Security- und Compliance-Vorgaben von der Linie in Anspruch genommen. Herkömmliche Verfahren zur Kontrolle genügen deshalb nicht mehr. Hier sind wirkungsvolle Risk Monitoring-Systeme gefordert.
  • Einbettung in Frameworks: Die Implementierung solcher Kontrollsysteme beginnt mit der Erfassung des Providerportfolios, dem Aufbau einer standardisierten Risiko-Checkliste und dem Assessment der Outsourcer. Diese werden dann nach deren Risikopotential kategorisiert. Priorisiert nach deren Risiken werden die Outsourcer danach in ein Risk Controll Framework, eine Governance und ein Reporting-Framework eingebunden. Die Sicherstellung des Monitorings und des Betriebs bilden den Abschluss.
  • Kostenbegrenzung: Der Betrieb der Risikokontrollen kostet schliesslich Geld. Um kostengünstige Lösungen zu erzielen, muss man sich als erstes auf das Wesentliche konzentrieren. Zweitens soll die Organisation für die Aufrechterhaltung der Kontrollen so schlank wie möglich aufgebaut werden. Dies wird v.a. durch Automatisierung erreicht, welche nicht nur Kosten senkt, sondern gleichzeitig auch Umfang und Qualität der Kontrollen verbessern hilft.

 

 

Weitere Informationen: