Am 25. Februar 2019 wurden die umfangreichen Leitlinien der European Banking Authority (EBA) zum Umgang mit Auslagerungen veröffentlicht (Guidelines on outsourcing arrangements (EBA/GL/2019/02)). Die EBA Leitlinien sollen ein einheitliches Rahmenwerk für Auslagerungen durch CRR-Institute, Zahlungsinstitute und E-Geld-Institute schaffen. Sie ersetzen die bisherigen CEBS Guidelines von 2006 und die EBA „Recommendations on outsourcing to cloud service providers“ von 2017 (EBA/REC/2017/03). Im Juni 2018 ging ein Konsultationspapier voraus, auf dessen Basis eine öffentliche Anhörung erfolgte. In der finalen Fassung wurde im Vergleich dazu der Proportionalitätsgedanke noch stärker betont und weitere Erleichterungen für die Auslagerung von nicht-kritischen/nicht-wichtigen Funktionen eingeführt.
Die EBA Leitlinien zur Auslagerung treten am 30. September 2019 in Kraft, d.h. für alle ab dem 30. September 2019 abgeschlossen Auslagerungsverträge müssen die neuen Vorgaben beachtet werden. Für bestehende Auslagerungen gilt eine Übergangsfrist bis zum 31. Dezember 2021. Für viele Institute ergibt sich daraus erheblicher Handlungsbedarf.
Wachsende Anforderungen an das Auslagerungsmanagement
Die EBA Leitlinien enthalten Anforderungen, die über die nationalen Regelungen der MaRisk und BAIT hinausgehen bzw. davon abweichen. Die folgenden Punkte sind besonders hervorzuheben:
- Anhand der Vorgaben der EBA Leitlinien sind kritische und wichtige Funktionen von den Instituten zu identifizieren.
- Institute sollen die zuständige Aufsicht im Fall der Auslagerung einer kritischen oder wichtigen Funktion im Voraus benachrichtigen, ebenso bei wesentlichen Änderungen solcher Auslagerungen.
- Es besteht die Verpflichtung ein detailliertes Auslagerungsregister mit allen Auslagerungsverträgen zu führen. Hierbei gibt es differenzierte Anforderungen in Bezug auf die Auslagerung von kritischen oder wichtigen Funktionen und anderen Auslagerungen.
- Die EBA-Leitlinien betonen die Notwendigkeit, auch bei sonstigen Fremdbezügen die Risiken zu analysieren und zu überwachen.
- Interessenskonflikte im Zusammenhang mit Auslagerungen sind zu identifizieren und angemessen im Risikomanagement zu berücksichtigen.
- Die Risikoanalyse soll erweitert werden um eine OpRisk-Szenarioanalyse und einen Due Diligence-Prozess für den zukünftigen Dienstleister.
- Erweiterte bzw. detailliertere Anforderungen hinsichtlich der festzulegenden Exit-Strategie und der Vertragsinhalte bei Auslagerung von kritischen und wichtigen Funktionen sind von den Instituten umzusetzen.
Handlungsbedarf
Auch wenn für deutsche (und nicht direkt durch die EZB-beaufsichtigte) Institute die EBA Leitlinien erst mit Bestätigung der BaFin bzw. einer Überführung in die nationalen Regelungen verbindlich werden, sollten sie bereits jetzt für sich individuell die Auswirkungen der Anforderungen der EBA Leitlinien zur Auslagerung analysieren, um alle notwendigen Anpassungen rechtzeitig vornehmen zu können. Im Einzelnen ergibt sich für alle Institute folgender Handlungsbedarf:
- Überprüfung bestehender Auslagerungen und Fremdbezüge auf Konformität mit den EBA-Leitlinien
- Anpassung der Prozesse, Richtlinien und Vertragsmuster für künftige Auslagerungen und Fremdbezüge bis spätestens 30. September 2019
- Anpassung der Dokumentation bestehender Auslagerungen (Auslagerungsregister) bis spätestens 31. Dezember 2021
Sie haben Fragen zu den Änderungen im Detail? Gerne unterstützen wir Sie bei der weiteren Aufarbeitung des Entwurfs und der Analyse der Auswirkungen für Ihr Institut. Sprechen Sie uns einfach an.
|
|
Dr. Wolfgang Frank Telefon: +49 711 25034 1506 |
|
|
Nadine Schabel Telefon: +49 711 25034 1593 nadine.schabel@pwc.com |
|
|
Athina Kakli Telefon:+49 69 9585 6213 |
