Neue EBA Leitlinien Auslagerungen: Was ist zu beachten?
Welche Anforderungen der EBA zu Auslagerungen sind zu beachten? Neue EBA Leitlinien Auslagerungen führten zu verschärften Anforderungen an das Auslagerungs-Controlling. Die Details regeln die EBA Leitlinien zur Auslagerung, EBA/GL/2019/02, veröffentlicht am 25. Februar 2019. Neue EBA Leitlinien Auslagerungen: Was ist zu beachten? Ziel dieser Leitlinien ist es, in den EU-Mitgliedstaaten eine einheitliche Aufsichtspraxis sicherzustellen, indem europaweit die Anforderungen an Auslagerungen harmonisiert werden. Der Anwendungsbereich der Leitlinien erstreckt sich auf Wertpapierfirmen, Zahlungsinstitute, CRR-Institute und E-Geld-Institute.
Neue EBA Leitlinien Auslagerungen: Was ist zu beachten?
[widgetkit id=“32″]
EBA Leitlinien Auslagerungen und MaRisk AT 9: Diese Anforderungen müssen Sie beachten
Neue EBA Leitlinien Auslagerungen: Was ist zu beachten? Eine Auslagerung ist, gemäß der Leitlinien, eine Vereinbarung zwischen einem Kreditinstitut, einem E-Geld-Institut oder einem Zahlungsinstitut und einem Auslagerungsunternehmen. Letzteres wird auch „Service Provider“ genannt. Nach dieser Vereinbarung führt das Auslagerungsunternehmen einen Prozess, eine Dienstleistung oder eine Aktivität vollständig bzw. teilweise durch, die das Institut andernfalls selbst durchführen würde.
Proportionality and group application – Neue EBA Leitlinien Auslagerungen: Was ist zu beachten?
Neue EBA Leitlinien Auslagerungen: Was ist zu beachten? Die EBA Leitlinien Auslagerungen regeln auch den Grundsatz der Proportionalität. Dieser Grundsatz gilt für die Einhaltung der Anforderungen an Auslagerungen durch Institute sowie für die Überwachung der Erfüllung der Vorgaben durch Aufsichtsbehörden. Zur Anwendung des Proportionalitätsprinzips kann auf die Kriterien, welche von der EBA im Rahmen der Leitlinien zur internen Governance entwickelt wurden, zurückgegriffen werden.
Zudem werden Anforderungen an zentrale Auslagerungslösungen innerhalb einer Gruppe bzw. eines Haftungsverbundes formuliert. Beispiele sind eine Risikoanalyse, eine gruppenweite Überwachung und Steuerung der Auslagerungen sowie ein Auslagerungsregister auf Gruppenebene. Auch in diesem Fall bleibt das einzelne Institut verantwortlich für die Einhaltung der ausgelagerten bankaufsichtlichen Anforderungen. Somit sind entsprechende Auskunfts- und Informationsrechte sowie Berichtspflichten zu etablieren.
Institute, welche von den Aufsichtsbehörden eine Freistellung erhalten haben („Waiver“), müssen lediglich die Anforderungen auf Ebene des Mutterunternehmens (der Zentralorganisation) einhalten.
Outsourcing arrangements – Neue EBA Leitlinien Auslagerungen: Was ist zu beachten?
Neue EBA Leitlinien Auslagerungen: Was ist zu beachten? Die EBA Leitlinien Auslagerungen unterscheiden zwischen der Auslagerung von kritischen oder bedeutenden Funktionen und sonstigen Auslagerungen. Die Einstufung als kritische Funktion wird anhand einer Bewertung durchgeführt, welche mit der Risikoanalyse nach MaRisk vergleichbar ist. Hierbei ist es unbedeutend, ob das Institut die Funktion in der Vergangenheit ausgeübt hat oder selbst ausüben könnte. Die Leitlinien stellen deutlich höhere Anforderungen an die Auslagerung von kritischen/bedeutenden Funktionen als MaRisk.
Der Erwerb von bestimmten Dienstleistungen, Waren oder Versorgungsleistungen (Rechtsberatung, Fuhrpark, Strom, Gas, …) gilt nicht als Auslagerung, wenn diese im Normalfall nicht von Instituten erbracht werden. Institute müssen außerdem sicherstellen, dass die Auslagerung von Aktivitäten, deren Umfang selbst einer Zulassung bedarf, nur an entsprechend zugelassene und beaufsichtigte Auslagerungsunternehmen erfolgt.
Governance framework
Neue EBA Leitlinien Auslagerungen: Was ist zu beachten? Die EBA Leitlinien Auslagerungen spezifizieren grundlegende Anforderungen an die Auslagerung von Prozessen, Dienstleistungen oder Aktivitäten auf ein Auslagerungsunternehmen.
Die Auslagerung von Funktionen führt nicht zur Delegierung der Verantwortung der Geschäftsleitung. Diese bleibt in vollem Umfang für die ausgelagerten Bereiche verantwortlich und rechtspflichtig. Zudem muss sie auf Ebene des Institutes sowie auf Gruppenebene eine schriftliche „Outsourcing Policy“ verabschieden und deren Umsetzung sicherstellen. Die Institute müssen eine interne Organisation mit klar zugewiesenen Verantwortlichkeiten und ausreichenden Ressourcen haben, welche eine angemessene Steuerung und Überwachung der Auslagerungsvereinbarungen gewährleistet.
Hinzukommt, dass eine „Outsourcing-Function“ oder alternativ die Benennung eines leitenden Mitarbeiters mit direkter Anbindung an die Geschäftsleitung notwendig ist. Die Leitlinien enthalten außerdem umfassende Vorgaben für den Umgang mit Interessenkonflikten, welche im Zusammenhang mit der Auslagerung entstehen können. Wenn bei gruppeninternen Auslagerungen wesentliche Interessenkonflikte zwischen den gruppenangehörigen Unternehmen entstehen, müssen angemessene Maßnahmen zum Management dieser Konflikte ergriffen werden.
Wird die interne Kontrollfunktion ausgelagert (Interne Revision, Risikocontrolling- und Compliance-Funktion), soll das Institut eine angemessene Aufsicht ausüben und Risiken, die durch die Auslagerung kritischer Funktionen entstehen, angemessen steuern können.
Zudem werden umfassende Anforderungen an Geschäftsfortführungspläne und an die Interne Revision des auslagernden Institutes gestellt. Die Dokumentationsanforderungen sind wesentlich höher als die Vorgaben der MaRisk. Somit müssen die Institute in einem gängigen Datenbankformat auf Instituts- sowie auf Gruppenebene ein detailliert vorgegebenes Auslagerungsregister mit allen Auslagerungsvereinbarungen führen. Dieses müssen die Institute den Aufsichtsbehörden regelmäßig im Rahmen des SREP zur Verfügung stellen. Es kann jedoch unter gewissen Voraussetzungen auch zentral auf Gruppenebene vorgehalten werden.
Outsourcing process – Neue EBA Leitlinien Auslagerungen: Was ist zu beachten?
Neue EBA Leitlinien Auslagerungen: Was ist zu beachten? Die EBA Leitlinien präzisieren detaillierte Anforderungen an die im Vorfeld der Auslagerung durchzuführende Risikoanalyse, wenn diese als kritische/bedeutende Funktion oder als sonstige Auslagerung eingestuft wurde. Hierbei sollte die Auslagerung bestimmter Funktionen, bspw. der operativen Tätigkeiten der internen Kontrollfunktionen, immer als kritisch oder bedeutend klassifiziert werden. Die Leitlinien enthalten konkrete Vorgaben von Beurteilungskriterien, welche die Institute bei der Einstufung mindestens berücksichtigen müssen.
Bei der „Due Dilligence“-Prüfung des Auslagerungsunternehmens müssen die Institute z.B. beurteilen, ob dieses über ausreichende und angemessene Fähigkeiten, Kapazitäten, Ressourcen, Organisationsstrukturen und gegebenenfalls über die erforderlichen Genehmigungen verfügt. Zudem sollten die Institute, bevor die Auslagerungsvereinbarung abgeschlossen wird, alle damit verbundenen Risiken identifizieren, bewerten, überwachen und kommunizieren. Hierbei ist der Grundsatz der Proportionalität anzuwenden.
Außerdem bestehen umfassende Anforderungen an sämtliche Auslagerungsvereinbarungen. Die Institute müssen sich im Auslagerungsvertrag die notwendigen Rechte für den Fall der Weiterverlagerung, Kündigungsrechte sowie Zugangs-, Informations- und Prüfungsrechte einräumen lassen. Auch die Anforderungen an die Überwachung der ausgelagerten Tätigkeiten, Prozesse und Dienstleistungen werden geregelt. Hier ist unter gewissen Bedingungen eine Zentralisierung auf Gruppenebene möglich.
Letztendlich werden Vorgaben zur Informationssicherheit, auch im Zusammenhang mit Cloud-Dienstleistungen und Ausstiegsstrategien bestimmt. Die Institute sollten die geplanten Auslagerungen von kritischen oder bedeutenden Funktionen rechtzeitig vorab bei der Aufsichtsbehörde melden.
Guidelines on outsourcing adressed to competent authorities
Neue EBA Leitlinien Auslagerungen: Was ist zu beachten? Mit den EBA Leitlinien Auslagerungen werden auch die zuständigen Aufsichtsbehörden angesprochen. Die Aufsicht sollte die Risikobewertung der Auslagerung mindestens im Rahmen des aufsichtsrechtlichen Überprüfungs- und Bewertungsprozesses (SREP) durchführen. Neben dem operationellen Risiko, dem Reputationsrisiko und Konzentrationsrisiken sollten auch das sog. Step-in-Risiko und mögliche Interessenkonflikte zwischen Dienstleister und Institut berücksichtigt werden. Hierzu kann die Aufsicht das ihr von den Instituten übermittelte Auslagerungsregister verwenden, sowie über das Register hinausgehende Angaben verlangen.
Die Anforderungen der Leitlinien für neue Auslagerungsvorhaben einschließlich der Auslagerungen an Cloud-Dienstleister sollen laut Entwurf ab dem 30. Juni 2019 gelten. Für bestehende Auslagerungen können die neuen Dokumentationsanforderungen im Laufe der turnusgemäßen Anpassungen der Vereinbarungen umgesetzt werden. Jedoch müssen sie spätestens zum 31. Dezember 2020 abgeschlossen sein.
Auslagerungsrisiken und IKT-Auslagerungsrisiken - S&P Unternehmensberatung Muenchen & London online anfragen
[…] Rahmen des Managements der operationellen Risiken nennt die EBA mehrere Unterkategorien, welche die zuständigen Behörden beim SREP berücksichtigen müssen. […]
Auslagerung: Auslagerungsrichtlinien als Basis für die Steuerung
[…] Auslagerungsrichtlinien als Basis für die […]