Outsourcing – Überblick über die neuen EBA-Vorgaben

ERM
-
29. Oktober 2018
-
Von Patrik Buchmüller, Oliver Rambock

Am 22. Juni 2018 hat die Europäische Bankenaufsichtsbehörde EBA einen 62-seitigen Textentwurf zur Überarbeitung ihrer Outsourcing-Guidelines aus dem Jahr 2006 veröffentlicht. Die Konsultationsphase der EBA-Guidelines endet am 24. September 2018. Der Leitlinienentwurf nennt den 30. Juni 2019 als indikativen Umsetzungstermin für die neuen Vorgaben. Dennoch sollte der EBA-Entwurf bereits berücksichtigt werden bei der Umsetzung der verschärften Anforderungen an die Steuerung von Auslagerungen im Rahmen der 5. MaRisk-Novelle, die bis 31. Oktober 2018 abgeschlossen sein muss. Gleiches gilt für die vom Baseler Ausschuss für Bankenaufsicht bereits im Jahr 2017 veröffentlichten Vorgaben an international tätige Banken zum sogenannten Step-in Risk (Stützungsrisiko).

Inhalt, Geltungsbereich und Umsetzungsfrist der EBA-Guidelines im Überblick

Die „EBA Draft Guidelines on Outsourcing arrangements“ (EBA/CP/2018/11) basieren auf der Bankenrichtlinie sind aber nicht nur an CRR-Institute und Wertpapierfirmen, sondern auch an Zahlungsinstitute gemäß PSD2-Definition und E-Geldinstitute gemäß E-Geld-Richtlinie gerichtet. Auch aufgrund des erweiterten Geltungskreises ist der Grundsatz der Proportionalität bei der Umsetzung sehr wichtig, was aber zu Unsicherheiten über die aufsichtlichen Erwartungen zu Umfang und Schärfe der Umsetzung führen kann. Gemäß den Klarstellungen der deutschen Aufsicht im BaFin-Journal vom Februar 2018 besitzen EBA-Leitlinien nun automatisch Gültigkeit und erfordern, im Gegensatz zur bisherigen Rechtspraxis, keine gesonderte Umsetzung in deutsche Rechtsnormen wie die MaRisk. Aus diesem Grund ist die Analyse der EBA-Vorgaben zum Outsourcing auch für kleinere Institute sinnvoll.

Der aktuelle EBA-Konsultationsentwurf beinhaltet viele neue Vorgaben zur Outsourcing-Governance sowie den Grenzen der Auslagerungen und integriert die am 20. Dezember 2017 veröffentlichte EBA-Empfehlung zum Outsourcing an Cloud-Service-Provider. Dabei wird mit den neuen Vorgaben zur Identifizierung von „kritischen und  wichtigen ausgelagerten Aktivitäten“ auch die Verknüpfung zur Sanierungs- und Abwicklungsplanung geschaffen. Die EBA sieht auch Handlungsbedarf aufgrund der zunehmenden Bedeutung von Auslagerungen für den Zugriff auf neue IT-Techniken und des hohen Kostendrucks im Finanzsektor. Zudem äußert die EBA Besorgnis hinsichtlich der möglichen Konzentration von Auslagerungen gegenüber einzelnen Unternehmen.

Als Umsetzungsdatum der neuen Anforderungen schlägt der Leitlinienentwurf den 30. Juni 2019 für neue Auslagerungsvorhaben und Outsourcing an Cloud-Dienstleister vor. Für bereits bestehende Auslagerungen können die neuen Dokumentationsanforderungen im Zuge der turnusgemäßen Anpassung der Auslagerungsvereinbarungen umgesetzt werden. Dies muss spätestens jedoch bis 31. Dezember 2020 erfolgen. Neben der EBA hat auch die EZB eigene Regelungen zu Auslagerungen avisiert. Darüber hinaus sind die Vorgaben des Baseler Ausschusses zu Risikodatenaggregation und Risikoreporting („BCBS 239“) sowie die regelmäßigen Umsetzungsreports des Basel Committee zu BCBS 239 lesenswert ebenso wie die Baseler Vorgaben zum Step-in Risk, um miteinander überlappende Anforderungen, die potenziell bankintern in unterschiedlichen Projekten implementiert werden, zueinander konsistent umzusetzen.

(...)

[Den vollständigen Artikel lesen Sie in der Fachzeitschrift RISIKO MANAGER 08/2018. Die Ausgabe ist seit dem 26. Oktober 2018 lieferbar und kann auch einzeln bezogen werden.]

Autoren:
Dr. Patrik Buchmüller, freiberuflicher Unternehmensberater und Hochschuldozent mit langjähriger Erfahrung als Risikomanager bei privaten und öffentlichen Banken in Deutschland sowie als BaFin-Mitarbeiter mit Zuständigkeit für das operationelle Risiko.
Oliver Rambock, Leiter der MARISK ACADEMY mit über 15-jähriger Erfahrung als Experte für Risikomanagement und Regulatorik in der Finanzbranche.

Artikelbild: ©auimeesri – iStockphoto.com