Final Report EBA Guideline on Outsourcing Arrangements

 Weiter steigende Anforderungen im Auslagerungsmanagement

 

Jörg Schmitz, Sourcing Manager Betriebsorganisation, KfW IPEX-Bank

Lukas Walla, FCH Consult GmbH

Laura Zappavigna, bankgeschäftliche Prüferin, Deutsche Bundesbank, Hauptverwaltung in NRW[1]

 

I. Einleitung – Wachsende Komplexität bei regulatorischen Vorgaben

Die European Banking Authority (EBA) veröffentlichte am 25.02.2019 die überarbeiteten „Guidelines on Outsourcing Arrangements“ (inklusive der Empfehlungen zur Auslagerung an Cloud-Service-Anbieter aus Dezember 2017) und konkretisiert damit ihre Erwartungen an die Rahmenbedingungen für Auslagerungen. Auf 125 Seiten, davon 30 Seiten mit konkreten Anforderungen, wird – im Vergleich zu den MaRisk – eine erweiterte Detailtiefe dokumentiert. Die Guidelines sollen nunmehr zum 30.09.2019 in Kraft treten.

Grundsätzlich gilt das Proportionalitätsprinzip (Tz. 18). Die Richtlinie findet auf Einzelinstituts- ebenso wie auf Gruppen-Ebene volle Anwendung (Tz. 21). Wie auch auf nationaler Ebene (BaFin) stellt die EBA eindeutig klar, dass das Leitungsorgan zu jeder Zeit für die eigenen Prozesse verantwortlich bleibt (Tz. 35). Als besonderes Risiko identifiziert die EBA Auslagerungen in Drittstaaten (Tz. 40g). Die Institute müssen darüber hinaus sicherstellen, dass z. B. im Bereich des Datenschutzes EU-Regularien eingehalten werden (Tz. 72). Dies betrifft dann auch vorhandene Weiterverlagerungen. Bei einer nun anstehenden Überprüfung der Verträge sollte dies unbedingt berücksichtigt werden. Ebenso wie die MaRisk unterscheiden die Guidelines (auf Basis MiFID II) kritische und wichtige Funktionen (Tz. 29-31) und sonstige Auslagerungen. Die Grundlage bildet die (Vor-)Risikoanalyse (Tz. 61 und 64 ff.), an welche die EBA sehr ausführlich Anforderungen stellt. Wie auch in der Konsultation verdeutlicht die EBA in der Tz. 33 ihre Erwartungshaltung, dass sämtliche Leistungen, die von Dritten bezogen werden hinsichtlich ihres Risikos bewertet werden sollten. Hinsichtlich des Auslagerungsregisters werden die Dokumentationserfordernisse gem. Tz. 52 ff. erheblich ansteigen.

 

Buchtipp:

Ritz/Schmitz/Walla (Hrsg.): Risikoanalyse für Auslagerungen in der Kreditwirtschaft, 2018.

 

 

 

II. Ausgewählte Neuerungen der Guidelines aus Kapitel 4 im Überblick

 

Eine Übersetzung und Bewertung der einzelnen Textziffern kann für 39 € erworben werden. Erhältlich unter info@fc-heidelberg.de

 

 Seminartipps:

PraxisFalle IT-Dienstleistungen: Sonstiger Fremdbezug vs. Auslagerung, 03.04.2019, Köln.

Risikoanalysen bei Auslagerungen, 20.05.2019, Frankfurt/M.

Kontrollen in der regulatorisch neugeordneten Dienstleistersteuerung, 21.05.2019, Frankfurt/M.

Prüfung Auslagerungsprozesse nach AT 9, 04.11.2019, Köln.

EBA-Vorgaben Auslagerungen: NEUE Anforderungen für alle Banken, 05.11.2019, Köln.

Auslagerungen im Fokus der MaRisk und BAIT, 05.12.2019, Köln.

III. Fazit

Die teilweise sehr detaillierten Formulierungen der EBA stellen komplexe Anforderungen an den gesamten Auslagerungsprozess und die Überwachung dar. Für die Institute empfiehlt es sich, möglichst frühzeitig die Vorgaben in einer GAP-Analyse unter Einbezug aller relevanten Funktionen zu betrachten. So wird beispielsweise in vielen Häusern den Themen Interessenskonflikte und Verhaltenskodex momentan noch wenig Beachtung geschenkt. Insgesamt wird zur Umsetzung der EBA Guidelines eine hohe Transparenz für die oberste Leitungsebene benötigt: Die Geschäftsführung bzw. der Vorstand wird erst dadurch in die Lage versetzt, alle involvierten Mitarbeiter angemessen zu informieren und thematisch mitzunehmen.

IV. Praxistipps

  • Erstellen Sie zeitnah und projekthaft mit den zuständigen Abteilungen und Funktionen (Auslagerungsüberwachung, Compliance, Recht, Data-Governance, etc.) eine GAP-Analyse und leiten Sie Maßnahmen ein, beziehen Sie MaRisk sowie die BAIT mit ein.
  • Definieren Sie einen (realistischen) Zeitplan mit abgestimmten Zuständigkeiten.
  • Geben Sie der Geschäftsführung und dem Vorstand zeitnah einen Überblick über Inhalt und Auswirkung der EBA Guidelines, erweitern Sie das bestehende Management-Reporting um eine Umsetzungsinformation hierzu.
  • Gleichen Sie Ihr Vertragsportfolio mit den Anforderungen der EBA ab (Tz. 74).
  • Erweitern Sie das Auslagerungsregister um die Bestandteile gem. Tz. 54 ff.
  • Die Risikoanalyse muss ggf. um die Tz. 64 ff. erweitert werden.
  • Validieren Sie den Prozess zur Beauftragung Dritter und stellen Sie sicher, dass auch für Dienstleistungen, welche keine Auslagerung darstellen, Risiken ermittelt und gesteuert werden.
  • Gleichen Sie Ihre Vorgaben zur Risikokultur und zum Verhaltenskodex nach MaRisk mit den Vorgaben der Dienstleister ab.

 

Beratungstipps:

  • Implementierung eines effizienten & wirksamen Auslagerungsmanagements
  • Inventarisierung und Prüfung von Auslagerungen
  • Aufsichtskonformes Vertragsmanagement für Auslagerungen: Aufbau & Prüfung

Sie haben weitergehende Fragen? Sie suchen Lösungen für die Weiterentwicklung Ihrer Dienstleistersteuerung und zur Umsetzung der neuen Anforderungen?

Sprechen Sie mich gerne an:

Lukas Walla
Berater
Lukas.Walla@FC-Heidelberg.de
www.fchconsult.de
FCH Consult GmbH
Im Bosseldorn 30
D-69126 Heidelberg

  1. Die in diesem Beitrag vertretenen Auffassungen geben die persönliche Meinung der Autorin wieder und sind nicht notwendigerweise Positionen der Deutschen Bundesbank oder einer anderen Bankenaufsichtsbehörde.

Beitragsnummer: 58086


0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.