Das Leitungsorgan sollte die Auslagerungsrichtlinien eines Instituts genehmigen sowie regelmäßig überprüfen und aktualisieren um sicherzustellen, dass angemessene Änderungen zeitnah umgesetzt werden.
Im Rahmen der Auslagerungsrichtlinien sollten die Auswirkungen einer Auslagerung auf die Geschäftstätigkeit eines Instituts sowie auf dessen Risikosituation (etwa operationelle Risiken, einschließlich Rechts- und IT-Risiken, Reputationsrisiken und Konzentrationsrisiken) berücksichtigen. Die Auslagerungsrichtlinien sollten sich auf die Berichts- und Überwachungsregelungen erstrecken, die von Anfang bis Ende einer Auslagerungsvereinbarung umzusetzen sind (einschließlich Ausarbeitung eines Business Case für eine Auslagerung, Abschluss eines Auslagerungsvertrags, Erfüllung des Vertrags bis zu dessen Ablauf, Notfallpläne und Ausstiegsstrategien). Ein Institut bleibt voll und ganz für alle ausgelagerten Dienstleistungen und Tätigkeiten sowie für alle sich daraus ergebenden Geschäftsentscheidungen verantwortlich. Dementsprechend sollte im Rahmen der Auslagerungsrichtlinien deutlich gemacht werden, dass das Institut durch eine Auslagerung weder von seinen regulatorischen Verpflichtungen noch seinen Pflichten gegenüber seinen Kunden entbunden wird.
In den Auslagerungsrichtlinien sollte auch geregelt werden, dass Auslagerungsvereinbarungen eine wirksame Beaufsichtigung des Instituts weder im Rahmen von bankgeschäftlichen Prüfungen vor Ort („on-site“) noch im Rahmen der laufenden Aufsicht („off-site“) beeinträchtigen darf und nicht gegen aufsichtsrechtliche Einschränkungen von Dienstleistungen und Tätigkeiten verstoßen sollten. Die Richtlinien sollten sich außerdem auch auf gruppeninterne Auslagerung (d. h. das Erbringen von Dienstleistungen durch eine rechtlich selbstständige Einheit innerhalb der Gruppe eines Instituts) erstrecken sowie gruppenspezifische Gegebenheiten berücksichtigen.
Nach den Richtlinien sollte es erforderlich sein, dass das Institut bei der Auswahl wesentlicher externer Dienstleister oder bei der Auslagerung von Tätigkeiten berücksichtigen muss, ob der Dienstleister über angemessene ethische Standards oder einen Verhaltenskodex verfügt oder nicht.