Zentrale Beschaffung im Third-Party Risk Management: Wie Unternehmensgruppen regulatorische Transparenz und Effizienz vereinen können 

Viele Unternehmensgruppen beschaffen IT-Services, Cloud-Lösungen oder Infrastrukturleistungen zentral für mehrere Gesellschaften. Während dieses Vorgehen betriebswirtschaftlich sinnvoll ist, entstehen im Third-Party Risk Management (TPRM), Auslagerungsmanagement und unter DORA bestimmte Herausforderungen. 

Zentrale Beschaffung - aus operativer und regulatorischer Sicht

In vielen Unternehmensgruppen erfolgt die Beschaffung von IT-Services nicht durch jede Gesellschaft einzeln. Stattdessen übernimmt eine zentrale Einheit – beispielsweise die Muttergesellschaft oder ein Shared Service Center – die Auswahl des Dienstleisters, die Vertragsverhandlung und die laufende Steuerung. 

Aus operativer Sicht bietet dieses Modell zahlreiche Vorteile: 

  • Bündelung von Einkaufsvolumen 

  • Standardisierung von Verträgen 

  • Reduzierung administrativer Aufwände 

  • Einheitliche Steuerung von Dienstleistern 

DORA, die EBA-Leitlinien zum Auslagerungsmanagement sowie nationale aufsichtsrechtliche Anforderungen verlangen eine transparente Nachvollziehbarkeit von Drittbezügen und deren Auswirkungen auf einzelne Unternehmen innerhalb einer Gruppe. 

Die zentrale Frage lautet: 

Welche Gesellschaft nutzt welchen Service, wer trägt die Verantwortung und wie werden Risiken dokumentiert und gesteuert?

Zentrale Beschaffung - aus operativer und regulatorischer Sicht

In vielen Unternehmensgruppen erfolgt die Beschaffung von IT-Services nicht durch jede Gesellschaft einzeln. Stattdessen übernimmt eine zentrale Einheit – beispielsweise die Muttergesellschaft oder ein Shared Service Center – die Auswahl des Dienstleisters, die Vertragsverhandlung und die laufende Steuerung. 

Aus operativer Sicht bietet dieses Modell zahlreiche Vorteile: 

  • Bündelung von Einkaufsvolumen 

  • Standardisierung von Verträgen 

  • Reduzierung administrativer Aufwände 

  • Einheitliche Steuerung von Dienstleistern 

DORA, die EBA-Leitlinien zum Auslagerungsmanagement sowie nationale aufsichtsrechtliche Anforderungen verlangen eine transparente Nachvollziehbarkeit von Drittbezügen und deren Auswirkungen auf einzelne Unternehmen innerhalb einer Gruppe. 

Die Herausforderung: Ein Vertrag – viele Verantwortlichkeiten

In der Praxis entsteht häufig folgende Situation: 

Eine zentrale Einheit schließt einen Vertrag mit einem Cloud-Anbieter oder Software-Dienstleister ab. Anschließend nutzen mehrere Gesellschaften innerhalb der Unternehmensgruppe denselben Service. 

Während der Vertrag zentral verwaltet wird, entstehen lokale Fragestellungen: 

  • Welche kritischen oder wichtigen Funktionen werden durch den Service unterstützt? 

  • Welche Risiken ergeben sich für die jeweilige Gesellschaft? 

  • Wer ist für die Überwachung verantwortlich? 

  • Wie werden regulatorische Nachweise erbracht? 

  • Wie werden gruppeninterne und externe Weiterverlagerungen dokumentiert? 

Viele Organisationen lösen diese Herausforderung heute durch manuelle Dokumentation, Excel-Listen oder die Mehrfacherfassung identischer Informationen. 

Vom zentralen Beschaffungsfall zum lokalen Sachverhalt

Ein effektiver Ansatz besteht darin, zwischen einem zentralen Beschaffungsfall und den lokalen Sachverhalten der nutzenden Gesellschaften zu unterscheiden. 

Dabei wird zunächst der zentrale Sachverhalt bewertet und dokumentiert. Anschließend werden die betroffenen Gesellschaften identifiziert und mit ihren jeweiligen Verantwortlichkeiten hinterlegt. 

Auf Basis dieser Informationen können automatisiert lokale Sub-Cases erzeugt werden, die: 

  • auf den zentralen Informationen aufbauen, 

  • relevante Daten übernehmen, 

  • eigene Verantwortlichkeiten abbilden und 

  • regulatorische Anforderungen der jeweiligen Einheit unterstützen. 

Dadurch entsteht eine klare Verbindung zwischen zentraler Steuerung und lokaler Verantwortung. 

Besonders relevant ist dieser Ansatz für: 

  • DORA-konforme Informationsregister 

  • Auslagerungsmanagement 

  • Third-Party Risk Management 

  • Gruppenweite Governance-Strukturen 

Transparenz durch verknüpfte Datenstrukturen

Eine der größten Herausforderungen in Konzernstrukturen ist die Nachvollziehbarkeit komplexer Abhängigkeiten. 

Interne Prüfungen zeigen regelmäßig Schwächen bei: 

  • der Dokumentation von Weiterverlagerungen, 

  • der Zuordnung von Verantwortlichkeiten, 

  • der Transparenz von Service-Nutzungen und der Konsistenz von Stammdaten. 

Eine strukturierte Verknüpfung zwischen Dienstleistern, Verträgen, Funktionen, nutzenden Gesellschaften, Risikoanalysen und Auslagerungssachverhalten ermöglicht eine deutlich bessere Steuerung.  

Wie bmcOMS zentrale Beschaffungsprozesse aus TPRM-Sicht unterstützt

Mit der Funktion „Zentrale Beschaffung und nutzende Einheiten“ unterstützt bmcOMS die strukturierte Abbildung gruppenweiter Beschaffungsprozesse aus TPRM-Sicht. 

Der Prozess umfasst dabei insbesondere folgende Schritte: 

  1. Kennzeichnung eines Sachverhalts als zentraler Beschaffungsfall. 

  2. Auswahl aller Gesellschaften, die den Service nutzen werden. 

  3. Definition verantwortlicher Case Owner je Einheit. 

  4. Durchführung der zentralen Risikoanalyse und Vertragsverwaltung. 

  5. Automatische Erstellung von Sub-Cases für die betroffenen Gesellschaften. 

  6. Transparente Darstellung aller verbundenen Fälle. 

Dadurch wird sichergestellt, dass zentrale Informationen nur einmal gepflegt werden müssen, gleichzeitig aber jede betroffene Gesellschaft die für sie relevanten Informationen erhält und Anpassungen vornehmen kann. 

Besonders hilfreich ist dabei die automatische Übernahme relevanter Daten in die Sub-Cases. Dies reduziert manuelle Tätigkeiten und erhöht die Konsistenz der Datenbasis. 

Fazit

Zentrale Beschaffungsmodelle werden in Unternehmensgruppen weiter an Bedeutung gewinnen. Gleichzeitig steigen die regulatorischen Anforderungen an Transparenz, Nachvollziehbarkeit und Risikosteuerung. 

Die strukturierte Abbildung von nutzenden Einheiten, die automatisierte Erzeugung lokaler Sachverhalte sowie die transparente Verknüpfung zwischen zentralen und dezentralen Informationen stellen hierfür einen wesentlichen Erfolgsfaktor dar. 

Wer diese Zusammenhänge frühzeitig digitalisiert und in seine TPRM- und Auslagerungsprozesse integriert, schafft nicht nur regulatorische Sicherheit, sondern reduziert gleichzeitig operative Aufwände und erhöht die Datenqualität. 

Sie möchten Ihre gruppenweiten Auslagerungs- und Third-Party-Risk-Prozesse optimieren?

bmc unterstützt Unternehmen bei der Umsetzung von DORA-Anforderungen, dem Aufbau regulatorisch konformer Informationsregister, der Digitalisierung von TPRM-Prozessen sowie der Einführung geeigneter Governance- und Steuerungsmodelle. 

Sprechen Sie uns an oder informieren Sie sich über unsere Beratungs- und Academy-Angebote rund um DORA, Auslagerungsmanagement und Third-Party Risk Management.

Pascal Demaré

Pascal Demaré

Senior Business Development Manager

Sie haben Fragen zum Thema? Ich freue mich auf den Austausch.

Weiter
Weiter

EBA Guidelines Non-ICT Third Party Risk und 9. MaRisk-Novelle: Warum jetzt die Zeit zum Handeln ist