Archiv der Kategorie: Uncategorized

DELA – Mehrwert durch die Vernetzung der Ebenen

Die fünf Einzelebenen einer DELA (Risiko-Ebene, Organisationsebene, Geschäftsprozess-Ebene, Service-Ebene und System-Ebene) sind auf vielfältige Weise miteinander verzahnt. Dies wird einerseits automatisch durch eine ebenen-übergreifende Verwendung von Objekten in den jeweiligen Diagrammen und Modelle stattfinden (z.B. kommen Rollen und Organisationseinheiten aus der Organisationsebeneauch in allen anderen Ebenen vor). Außerdem werden viele Verbindung zwischen Elementen unterschiedlicher Ebenen entstehen, die Zusammenhänge im Geschäftsgeschehen wiederspiegeln. Aus den vielfältig möglichen Beispielen einer Ebenen-übergreifenden Verbindung sollen hier nur ein paar Wenige genannt werden:

  • Rollen aus der Organisationsebene übernehmen Aktivitäten in Prozessen der Geschäftsprozess-Ebene;
  • Daten werden in Systemen (System-Ebene) überprüfen bzw. freigeben, um Risiken (Risiko-Ebene) zu vermeiden;
  • Risiken können durch einzelne Kapitel in Service Level Agreements adressiert werden;
  • Service Level Agreements (Service-Ebene) werden wiederum den betreuenden Organisationseinheiten zugeordnet;
  • Systeme werden von Organisationseinheiten verantwortet und betreut;
  • Risiken werden durch Aktivitäten von Rollen kontrolliert und verantwortet;

Diese Symbiose der Ebenen sollte möglichst von Anfang an dokumentiert werden. Es empfiehlt sich hierbei auf einen möglichst einfachen einheitlichen Dokumentationsformalismus zurückzugreifen. Zur Verwaltung der DELA Daten empfiehlt sich deshalb ein einheitliches und dennoch multifunktionales Tool wie beispielsweise MS Sharepoint für die Dokumentenverwaltung oder ARIS für die Abbildung von Hierarchie- bzw. Struktur-Modellen. Insbesondere die Auswertbarkeit von Ebenen-übergreifenden Verbindungen stellt im Rahmen dieses herausfordernden Change-Managements eine unverzichtbare Hilfestellung für das Management dar.

Fragen wie „Welche Abteilungen und Zulieferer bearbeiten Kreditanträge?“, „Wer kontrolliert IKS relevante Risiken im Bereich der Indeckungnahme?“ oder „Wer (intern und extern)muss informiert werden, wenn z.B. der Schwellwert für eine Risikoeinschätzung geändert wird?“ können mit dem  DELA Modell zeitnah beantwortet werden.

Die DELA unterstützt aber nicht nur das Top-Management durch die schnelle Bereitstellung von strukturierten tagesaktuellen Informationen, auch das mittlere Management und operative Tätigkeiten werden unterstützt. Sofern in der Anfangsphase noch kein organisationsweiter Prozess für bestimmte Tätigkeiten definiert ist, können die dafür benötigten Grundlagen aus der DELA ermittelt werden. Beispielsweise  können mit einer DELA im Falle eines überraschenden Ausfalls eines Vertragspartners sehr schnell alle internen Organisationseinheiten identifiziert werden, die von Ausfall des Vertragspartners informiert werden müssen.

Advertisements

Die System-Ebene einer DELA

In der System-Ebene einer DELA soll die technische Vernetzung von IT Systemen, deren Daten und die jeweiligen Schnittstellen dokumentiert werden. Kurzfristig wird im Rahmen einer DELA in dieser Ebene nur festgehalten, wer für die Betreuung des jeweiligen Systeme verantwortlich ist und wie Kontakt zu den jeweiligen Ansprechpartnern aufzunehmen ist (per Ticketsystem, per Telefon oder Mail etc.).

Diese Ebene gewinnt erst mittelfristig mit der weitergehenden Abspaltung der Abwicklungsanstalt  von der verbleibenden Bank an Bedeutung, ist dann aber für die weitere effiziente Steuerung der Abwicklungsanstalt  unerlässlich. Sie bietet den Überblick über die IT-Architektur aller an der Bearbeitung bzw. Verwaltung der Assets beteiligten Institute und ermöglicht damit eine konkrete Migrationsplanung mit der die physische Ausgliederung der Assets zur Bad-Bank vollzogen werden kann. Im Rahmen dessen kann sie auch zu einer vollständigen IT Architektur bzw. zur IT Strategie ausgebaut werden. Diese Ebene der DELA kann später auch in die Application- und Infrastruktur-Architektur einer EAM ausgebaut und überführt werden.

Große Teile der hierfür benötigten Dokumentation müssen in jedem Fall von den jeweiligen Serviceprovidern kommen. Es empfiehlt sich diese Dokumentation jedoch möglichst frühzeitig (bereits c.a. nach 3 Monaten) einzufordern, um eine bedarfsgerechte und strategische Entwicklung der Systeme der Abwicklungsanstalt zu ermöglichen.

Die Service-Ebene einer DELA

In der Service-Ebene einer DELA wird definiert, welche Leistungen erbracht werden müssen und welche vertraglichen Bedingungen dabei einzuhalten sind. Sowohl die Dienstleister als auch die Leistungsempfänger werden hier auf Grundlage der organisatorischen Einheiten spezifiziert. In der Service-Ebene einer DELA werden Fakten in Diagrammen dargestellt. Wichtige Elemente in den Diagrammen sind hierbei Arbeitsprodukte die In- und Outputs sein können (meist Dokumente), Richtlinien, die eingehalten werden müssen (z.B. Paragraphen aus Gesetzen und Verträgen) und allgemeine Metriken (z.B. Ausführungszeit, Antwortzeiten, quantitative und qualitative Zielvorgaben etc.), die als Erfüllungsbedingungen gelten. Sofern gewünscht und hilfreich (z.B. für eine Prozesskostenrechnung) können hier auch Abrechnungstechnische Informationen festgehalten und modelliert werden.

Im Rahmen einer DELA und des speziellen Umfelds muss hierbei darauf geachtet werden , dass eine Abwicklungsanstalt in Ihrer Gründungsphase zu meist auf eine große Anzahl externer Dienstleister (insbesondere die verbleibende Bank als Verwalter von Assets) zurückgreifen wird. Dementsprechend dient die Service-Ebene dazu, einen schnellen Überblick über die aktuell zur Verfügung stehenden Dienstleistungen zu erhalten. Andererseits können ausstehende Arbeiten und Aufträge zeitgerecht eingefordert, bzw. gelieferte Ergebnisse auf die vertraglich vereinbarten Qualitätskriterien überprüft werden.

Diese Ebene der DELA sollte anfänglich die Liste der abgeschlossenen SLAs und Zulieferverträge umfassen, die mit den jeweiligen Themen der Verträge verschlagwortet wird. Erst später werden sich hier Hierarchien bilden, die nach Organisationseinheiten und Arten der Dienstleistungen unterschieden werden können.

Die Geschäftsprozess-Ebene einer DELA

Die Geschäftsprozessebene einer DELA entspricht weitgehend der Geschäftsprozessebene im EAM. Jedoch wird in der Geschäftsprozess-Ebene einer DELA stärker auf die jeweiligen Prioritäten geachtet. Dementsprechend ist diese Ebene möglichst knapp und übersichtlich zu halten.

Auf dem höchsten Level werden nur die (zwei bis max. fünf) wertschöpfenden Geschäftsprozesse definiert, die das Kerngeschäft der jeweiligen Institute spezifizieren. Supportprozesse werden nur aufgenommen, falls ein unmittelbarer Bedarf oder regulatorische Anforderungen hierfür bestehen.

Die gesamte Geschäftsprozess Ebene dient in der ersten Entwicklungsphase dazu, alle, den Geschäftsverlauf betreffenden Entscheidungen schriftlich zu fixieren (Sammelstelle für Decision-Memos). Alle getroffenen Entscheidungen wie „bevor X gemacht wird, muss Y geprüft werden“, „immer wenn der Fall X eintritt muss im Zeitraum Y mit Z reagiert werden“ etc. können hierbei verpflichtend festgeschrieben werden und den jeweiligen High-Level Prozessen als Faktenliste zugeordnet werden. Auf eine aufwändige Dokumentation sollte in den ersten Monaten in jedem Fall  verzichtet werden. Erst wenn sich das Geschäftsmodell und die Aufgabendefinition der verbleibenden Bank  und der Abwicklungsanstalt stabilisiert haben, sollte hier ein klareres Bild geschaffen werden.

Die Organisationsebene einer DELA

Die Organisationsebene einer DELA umfasst die Aufbauorganisation der Bank bzw. des Bankenverbundes, das Organigramm, bzw. ein Mapping auf das offizielle Organigramm und zu wichtigen Teil-Strukturen und deren Rollen. (Teil-)Strukturen bezeichnen in diesem Kontext z.B. Bereiche der Organisation wie „Markt“, „Marktfolge“, „Handel“, „Risikocontrolling“, „Internal Audit“ die ebenso wie einzelne Rollen spezielle (regulatorische) Aufgaben erfüllen. Einzelrollen sind insbesondere z.B. „Geschäftsleitung „ „Chief Risk Officer“, Compliance Beauftragter“, aber auch „Geldwäschebeauftragter“, sowie alle weiteren Rollen, denen eine spezifische Verantwortung zugewiesen wird wie z.B. „Stelle für Interessenskonflikte § 33b Abs. 3 WpHG“. Gruppenrollen stellen ähnliche meist regulatorisch geforderte Personenkreise wie „Compliance (MaComp)“, „Betriebsrat“ oder „Market Maker / Skontoführer“; Rollen und Organisationseinheiten können dabei bedarfsabhängig auch bis auf Personenebene gemappt werden um die direkten Verantwortlichkeiten einzelner Personen und Personengruppen klar und explizit darzustellen.

Die Organisationsebene ermöglicht damit eine eindeutige Zuordnung von Verantwortlichkeiten auf Personenebene. Mit diesem Vorgehen wird in allen Positionen das Bewusstsein für die übertragenen Pflichten, Aufgaben und Verantwortlichkeiten geschärft und die Geschäftsleitung optimal bei der Führung des Unternehmens und der Delegation von Aufgaben unterstützt.

Auswertungen in der Organisationsebene einer DELA ermöglichen eine klare Beantwortung regulatorischer Fragestellungen bezüglich Verantwortungsverteilung. Mögliche Problematiken aufgrund der Verantwortungsdelegation von unvereinbaren Rollen können damit frühzeitig erkannt und vermieden werden. Später wird sich hieraus eine enge Verzahnung mit den in der Risikoebene definierten Risiken über eine Verantwortungszuordnung ergeben (z.B. mittels einer RACI Matrix).

Die Risikoebene einer DELA

In der Risiko-Ebene einer DELA werden alle relevanten Unternehmensrisiken der Bank bzw. des Bankenverbundes abgebildet und deren potentieller Impact abgeschätzt. Jedem Risiko kann tagesaktuell eine operative und strategische Priorität zugewiesen werden. Zusammenhänge und Abhängigkeiten zwischen einzelnen Risiken und Risikoarten werden in Form von Verbindungslinien in einem graphischen Modell dargestellt und beschrieben.

Der Begriff Risiko umfasst hierbei alle Aspekte von Risikoarten.

Diese sind zum einen Geschäftsrisiken wie Reputationsrisiken, regulatorische Risiken  und Refinanzierungsrisiken, aber auch Kreditrisiken wie die Länderrisiken, Konzentrationsrisiken, Kontrahentenrisiken, etc.

Darüber hinaus sind Marktrisiken, Liquiditätsrisiken und eine Vielzahl operationeller Risiken bis hin zu Risiken als Folge politischer und regulatorischer Vorgaben einzubeziehen. Die verbleibende  Bank und die Abwicklungsanstalt sind in Ihrem Risikomanagement und – steuerung eng verzahnt, und sollten in jedem Fall in der Gründungs- und Startphase einer Gesamtbetrachtung unterzogen werden. Insbesondere negative Nachrichten der verbleibenden Bank führen zu erhöhtem Medieninteresse. Die bedeutet automatisch, dass die Art und Weise der Unternehmenskommunikation über den Erfolg bzw. Misserfolg der medialen und öffentlichen Meinungsbildung der Stakeholder maßgeblich  mitentscheidet. Die zu erwartenden Folgen negativer Berichterstattung äußern sich erfahrungsgemäß in steigendem Druck auf die Kontrollorgane der Abwicklungsanstalt  und weiteren regulatorischen Einschränkungen seitens der Politik.

Ein ungünstiges Stresstest-Ergebnis der verbleibenden Bank (wie das Unterschreiten der Basel II /III Kriterien bezüglich des Tier-I Kapitals) führt beispielsweise zu einer massiv-negativen Pressereaktion. Dies wiederum führt dann aller Voraussicht nach zu weiter verschärften politischen Vorgaben, die sich auch wieder auf die Abwicklungsanstalt auswirken.

Die Risiko-Ebene der DELA erlaubt es dem Management, kurzfristig neue Gewichtungen in der Geschäftssteuerung zu setzen. Die sich dadurch verändernde Risikosituation ist präzise einschätzbar und es können in strukturierter Weise die nötigen Vorgaben für die Detailsteuerung der Geschäftsbereiche vorgegeben werden.

Chancen aus MaRisk und MaComp

Die Mindestanforderungen an das Risikomanagement (MaRisk) und die Mindestanforderungen an die Compliance-Funktion (MaComp) stellen hohe Anforderungen an Finanzdienstleiser. Die Einführung der MaRisk und der MaComp und deren kontinuierliche Sicherstellung erfordert Aufwände. Dennoch bieten die Ergebnisse nach deren Umsetzung auch erhebliche Chancen für die jeweiligen Institute.

Effiziente MaRisk und MaComp Compliance

Sowohl bei der Einführung als auch im Rahmen der permanenten Sicherung der MaRisk und MaComp sollten Institute das Rad nicht neu erfinden. Es gibt mitlerweise eine Vielzahl von Standards bzw. Best Practices für die Finanzwirtschaft, die große Teile der aus den MaRisk resultierenden Erfordernissen sehr effizient sicherstellen. Natürlich bleiben hierbei immer institutsspezifische Sonderfälle und -bereiche, die nicht abgedeckt werden. Dennoch gilt, dass es für über 90% der Anforderungen verlässliche Standards und Best Practices gibt. Hierbei sind insbesondere die folgenden drei Bereiche zu erwähnen:

  • Prozessdokumentation: Hier sollte auf jeden Fall auf etablierte Best Practices zurückgegriffen werden um die Entwicklungsaufwände in engen Grenzen zu halten. Internationale Standards, wie Business Process Modell and 2.0 von der (Object Management Group), die ARIS Methodik (eEPK, VKD, etc.) und das Tool ARIS der Software AG oder ein striktes Festhalten an einfachem UML kann die hier entstehenden Aufwände signifikant senken. Sofern man noch vor der Einführung steht, kann hierfür auch auf das TOGAF Framework zurückgegriffen werden. Insbesondere bei Änderungen (der MaRisk, Technologien oder anderer Best Practice Erfahrungen) ist daurch auch immer ein sicherer Migrationspfad sichergestellt. Bei Eigenentwicklungen kann in einem solchen Fall ein signifikanter Entwicklungsaufwand entstehen, der dann im Rahmen des operativen Geschäfts gestemmt werden muss.
  • Risk Management: Hier empfiehlt es sich in jedem Fall der Rückgriff auf den COSO Standard, da eine fallspezifische Prüfung und Umsetzung ansonsten sehr viel juristische Kenntnisse im operativen Betrieb verlangt. Der COSO Standard stellt eine ideale Grundlage zur einfachen Umsetzung z.B. in Form von Templates (zur Risiko- und Prüfdokumentation) oder standardisierten Prozessen (Risikoüberblick und Risikostrategien) bereit.
  • Compliance: Hier ist die Umsetzung der vom Bundesverband Deutscher Banken herausgegebenen Best Practice höchst empfehlenswert. Auch hier bedeutet eine eigenständige rechtliche Sicherstellung aller relevanten Anforderungen einen signifikanten Aufwand, der sich vermeiden lässt. Natürlich können und sollten basierend auf dieser Best Practice zusätzlich weitere institutsspezifische Vorgaben gemacht werden.

Chancen aus den MaRisk und MaComp

Nach der erfolgreichen Einführung und Umsetzung der MaRisk und MaComp bietet sich dem jeweiligen Institut und seinem Management ein erheblicher Mehrwert, der aber in vielen Fällen nicht erkannt oder realisiert wird. Laut PPI besteht beispielsweise bei 80% der Versicherer erheblicher Handlungsbedarf. So lassen sich nach einer erfolgten Dokumentation der risikorelevanten Prozesse viele management-relevante Informationen im Rahmen von Business Intelligence (BI) nutzen (z.B. „An welchen Stellen wird Kontakt zu einer anderen Institution / Behörde aufgenommen?“, „An welchen Stellen entstehen im Kundenkontakt relevante Bonitätsinformationen?“ oder „Welche Risiken treten im Kreditprozess auf, bzw. an welcher Stelle?„). Die Einführung von Best-Practices ermöglicht aber auch einen einfacheren Austausch und eine effizientere Zusammenarbeit mit anderen Marktteilnehmern. Sowohl auf der technischen Ebene ist eine Anbindung an third-party System wesentlich einfacher zu gestalten, als auch auf  fachlicher Ebene ist das Mapping der jeweiligen Fachbegriffe höher, was eine Abstimmung der Cooperation wiederum vereinfacht.

Fazit

Durch die MaRisk in das Managementsystem wird eine leistungsfähige, effiziente und dynamische Organisation geschaffen, die:

  • Sicherheit bei der Erfüllung interner und externer Forderungen gibt (dies schließt gesetzliche Anforderungen ein);
  • die Qualität der Produkte und Services erhöht;
  • die Kosten durch Fehlerminimierung reduziert;
  • dabei unterstützt, Doppelregelungen zu vermeiden;
  • klare Prozesse bereitstellt, deren Wirksamkeit und Effizienz messbar ist;
  • Risiken eng begrenzen;
  • systematisch Verbesserungspotenziale erkennen und nutzen lässt;
  • das Verantwortungsbewusstsein der Mitarbeiter stärkt;

Weiterführende Informationen

Weite Informationen zu den MaRisk und deren Umsetzung finden Sie hier.

Weiter Informationen zu COSO und dem IKS finden Sie hier.

Author: Dr. Levin Brunner
Dr. Brunner studierte an der TU München Informatik, promovierte in Computerlinguistik an der LMU im Bereich semantic Web und ist seit mehreren Jahren als Berater im Prozess- und Qualitätsmanagement tätig. Er hat sich in verschiedenen Projekten mit der Evaluation passender Best Practices und Standards beschäftigt und befasst sich intensiv mit den Themen Compliance, Business Intelligence sowie Knowledge und Information Management.