15.08.2018: Institute müssen sich auf höhere Anforderungen bei Auslagerungen einstellen.

Auslagerung und Spielfiguren

Auslagerung von Dienstleistungen ist ein viel diskutiertes Thema. Nun setzte die Europäische Bankenaufsichtsbehörde (EBA) mit dem im Juni 2018 veröffentlichten Konsultationsentwurf über Leitlinien zum Thema Auslagerungen einen drauf. Damit verfolgt sie das Ziel, das Rahmenwerk für Auslagerungsvereinbarungen für alle europäischen Finanzinstitute zu harmonisieren.

Dieses Papier soll die CEBS-Leitlinien von 2006 (Vorgängerbehörde der EBA) ablösen, die zurzeit nur für Kreditinstitute gelten. Außerdem werden die Empfehlungen für Auslagerungsvereinbarungen mit Cloud-Dienstleistern, die die EBA im Dezember 2017 veröffentlichte, in den neuen Leitlinien mit aufgenommen. Die neuen Leitlinien richten sich neben Kreditinstituten, die als systemrelevant eingestuft werden, auch an Wertpapierunternehmen, die nach der Eigenmittelrichtlinie (CRD IV) als Institute einzustufen sind, an Zahlungsinstitute gemäß der Zweiten Zahlungsdiensterichtlinie (PSD 2) sowie an E-Geld-Institute gemäß E-Geld-Richtlinie.

Für nicht signifikante Institute in Deutschland gelten weiterhin die Anforderungen zu Auslagerungen aus den Mindestanforderungen an das Risikomanagement (MaRisk) AT 9, weil die EBA-Leitlinien nicht unmittelbar auf diese Institutsgruppe angewendet werden. Gegenüber den MaRisk AT 9 ist der Umfang des EBA-Konsultationspapier deutlich höher. Zwar enthalten die MaRisk bereits viele Aspekte der zur Konsultation gestellten EBA-Leitlinien, jedoch geht das Konsultationspapier teilweise über die derzeitigen Anforderungen der MaRisk hinaus.

Wesentliche Inhalte der neuen EBA-Leitlinien

Die neuen Leitlinien enthalten klare Definitionen zum Outsourcing und nennen konkrete Fälle, die nicht als Auslagerung einzustufen sind. Sie legen die Kriterien fest, inwiefern eine ausgelagerte Aktivität, ein Prozess oder eine Funktion (oder ein Teil davon) kritisch und wichtig ist. Falls Auslagerungen als kritisch und wichtig eingestuft werden, müssen Institute einen sogenannten Business Continuity Plan erstellen.

Weiterhin schreiben die EBA-Leitlinien vor, dass jedes Institut interne Regelungen zu Auslagerungen schriftlich festhalten und deren Umsetzung sicherstellen muss. Hierbei müssen alle Phasen der Wertschöpfungskette einer Auslagerung dokumentiert sowie die Prinzipien, Verantwortlichkeiten und Auslagerungsprozesse festgelegt werden. Überdies muss dargestellt werden, welche potenziellen Auswirkungen kritische und wichtige Funktionen, die ausgelagert werden sollen, auf das Risikoprofil des Instituts haben.

Ferner umfassen die neuen EBA-Leitlinien die Anforderungen bezüglich vertraglicher Vereinbarungen und der Überprüfung von ausgelagerten Funktionen.

Wie auch die MaRisk vorgeben, bleibt die Verantwortung für ausgelagerte Aktivitäten bei der Geschäftsleitung eines Kreditinstitutes. Dementsprechend muss sie die Risiken, die mit der Auslagerung verbunden sind, überblicken und die Auslagerungsvereinbarungen stets überprüfen. Die EBA ist der Auffassung, dass Kernkompetenzen eines Kreditinstituts nicht auslagerungsfähig sind. Außerdem wird die Rolle der internen Revision hervorgehoben und näher beschrieben, z.B. Einbindung der Prüfung von Auslagerungen in ihren Prüfplan.

Im Vergleich zu den MaRisk werden in den EBA-Leitlinien die Anforderungen an den Auslagerungsprozess konkretisiert: Es wird aufgezeigt, was Institute bei der Voranalyse, Risikobewertung, Vertragsgestaltung, Weiterverlagerung und bei Vertragskündigung beachten müssen. In diesem Zusammenhang legt die EBA ein Rahmenwerk für die Due Diligence Prüfung potenzieller Dienstleister fest, um sicherzustellen, dass die Institute geeignete externe Dienstleister für die ausgelagerten Funktionen auswählen. Die folgenden Kriterien müssen für die Auswahl eines externen Dienstleisters einbezogen werden:

  • Ist der Dienstleister durch eine Aufsichtsbehörde autorisiert oder nicht?
  • Hat der Dienstleister seinen Sitz innerhalb oder außerhalb der EU?
  • Stammt der Dienstleiter aus der eigenen Unternehmensgruppe oder nicht?

Falls ein Institut sich entscheidet, einen Dienstleister außerhalb der EU zu nehmen, müssen weiterführende Kriterien erfüllt werden.

Schließlich müssen Institute vermehrte Dokumentations- und Informationspflichten erfüllen. Neben den schriftlichen Auslagerungsverträgen müssen sie ein Register über all ihre Auslagerungsaktivitäten führen, aus welchem auch identifizierte Risiken der Auslagerungen hervorgehen, und diese Daten der Aufsicht melden. Weiterhin müssen sie der Aufsicht melden, wenn sie z.B. planen, eine kritische und wichtige Funktion auszulagern oder wenn sich eine bestehende, unkritische Auslagerung zu einer kritischen und wichtigen Auslagerung umwandelt. Diese Meldungen an die Aufsicht sind in den MaRisk zurzeit nicht vorgesehen.

Weitere Schritte

Die Konsultation endet am 24. September 2018. Es ist mit einer raschen Veröffentlichung des finalen Leitfadens zu rechnen, da die EBA bereits vorgibt, dass die neuen Leitlinien auf Auslagerungsvereinbarungen angewendet werden sollen, die ab dem 30. Juni 2019 geschlossen werden.

Es bleibt abzuwarten, inwieweit die deutsche Aufsicht die MaRisk ergänzen wird. Deshalb sollten Institute vorbereitet sein und prüfen, ob Lücken in ihrem Auslagerungsmanagement vorhanden sind und wie die Dienstleistungssteuerung konkret angepasst werden muss.

Unser impavidi Team unterstützt Ihr Kreditinstitut bei der Analyse der individuellen Anforderungen der EBA-Leitlinien zum Outsourcing sowie bei der Anpassung Ihres Auslagerungsmanagements.


 

Zurück