Compliance Starthilfe für die Umsetzung der EBA Leitlinie 2019/02 zu Auslagerungen

Scrreenshot und Link zum downloadDie neue Leitlinie „EBA/GL/2019/02 zu Auslagerungen“ ist im Februar 2019 erschienen. Sie löst die bestehenden Richtlinien Committee of European Banking Supervisors (CEBS) zum Outsourcing vom 14. Dezember 2006 und die Empfehlungen der EBA zum Outsourcing an Cloud-Dienstleister ab. Die Leitlinie trat zum 30.09.2019 in Kraft und umfasst alle zu diesem Datum und danach geschlossenen, zur Prüfung und zur Änderung finalisierten externen Dienstleistungen. Darüber hinaus müssen bereits bestehende Auslagerungsvereinbarungen neu verifiziert und an die neuen Anforderungen angepasst werden. Je nach Einzelfall kann auf Basis der angegebenen Übergangsregelung eine Umsetzung mit der Deadline zum 31.12.2021 erfolgen.

Seit Jahren ist ein deutlicher Trend zum Outsourcing und von Funktionen bzw. wesentlichen Prozessen zu beobachten. Gerade im Zeitalter der Digitalisierung, Start-Ups etc. beinhalten viele ausgelagerte Funktionen wesentliche Risiken, die nicht konsequent in die internen Betrachtungen und Bewertungen einfließen.

Die neue Outsourcing Leitlinie EBA GL 2019/02

Wesentliche Anforderungen an Auslagerungsverhältnisse für Institute, Zahlungsdienstleister bzw. Kontoinformationsdienste stellten bisher in Deutschland die MaRisk, das KWG oder die BAIT. Mit Einführung der neuen Leitlinie wird der Anforderungsgrad auf ein detaillierteres Level angehoben. Über 90 Anforderungen an Institute stellen für die meisten Unternehmen eine Herausforderung dar. Auch wenn viele Themen davon nicht neu sein dürften, sollte dennoch die bisherige Praxis kritisch hinterfragt werden, mit dem Ziel festzustellen, ob diese für die Erfüllung der detaillierten Anforderungen ausreichend ist.

Die Kernthemen im Überblick:

  • Proportionalität und Anwendung bei Gruppen
  • Bewertung/Einstufung und Definition
  • Governance – Framework (allgemeine Vorgaben an Governance, Policy, Interessenskonflikte, BCM, Rolle Revision, Anforderungen an Dokumentation)
  • Outsourcing Prozesse (Voranalyse, Risikoanalyse, Vertragsanforderungen, Überwachung/Dienstleistersteuerung, Exit-Strategien) 

Wie eingangs erwähnt ist zu berücksichtigen, dass die Regulatorik sowohl auf bestehende und zukünftige Auslagerungen anzuwenden ist. Im Folgenden geben wir Ihnen einen Überblick der neuen und geänderten Anforderungen.

Risikobetrachtung ausgelagerte Dienste, Dienstleister und Subdienstleiter

Der risikobasierte Ansatz bei Bewertungen von ausgelagerten Funktionen ist weiterhin durch eine Risikoanalyse abzubilden, wird aber durch detailliertere Vorgaben an den Umfang einer Analyse ergänzt. In eine ganzheitliche Risikobetrachtung von Dienstleistern fließen nun teilweise neue und konkretisierter Aspekte (Auszug) mit ein, wie z.B.:

  • Dienstleister, die in einem Unternehmen mehrere Funktionen übernehmen, wurden in der Vergangenheit i.d.R. separat analysiert. Somit wurden bei einer Analyse weitreichendere Risiken, wie z.B. Konzentrationsrisiken nicht erkannt und bewertet. Zukünftig ist eine ganzheitliche Betrachtung erforderlich.
  • Bewertungen von Subdienstleistern erfolgten in der Regel eher zweitrangig. Ein Blick auf die aktuelle agile Entwicklung (Digitalisierung) des „Marktes“ zeigt, dass bei der Einbindung von Dienstleistern immer mehr das Know-How (Personal und technische Komponenten wie Clouds) von zusätzlichen Subunternehmen genutzt wird, teilweise existiert eine längere Wertschöpfungskette an „Lieferanten“ zur Erbringung der Dienstleistung. Doch welche Risiken ergeben sich daraus? Eine Frage die nur durch eine ganzheitliche Betrachtung beantwortet werden kann. Hier liefert die neue Leitlinie Ansätze bzw. Anforderungen.
  • Explizit aufgenommen ist zudem die Anforderung, dass Risiken in Zusammenhang mit Interessenskonflikten, z.B. bei internen Auslagerungen oder Auswirkungen der Nichteinhaltung eines Verhaltenskodexes betrachtet werden müssen.

Zusammenfassend kann abgeleitet werden, dass zukünftige Risikobewertungen von Dienstleistern detaillierter und umfangreicher sein werden.

Dokumentationsaufwand

Der zukünftige Dokumentationsaufwand wird durch die neue Leitlinie ansteigen. Bei der Einführung eines elektronischen Auslagerungsregisters müssen alle Dienstleister und Subdienstleister mit einer uniquen Nummer erfasst werden. Anforderungsinhalte wie z.B. eine Beschreibung der Ergebnisse der Risikoanalyse, der „genutzten“ Daten etc. sind transparent darzustellen. Die Forderung nach einer elektronischen Erfassung (lt. EBA „handelsüblich“, bzw. häufig verwendete Datenbankformat) ist in der Leitlinie nicht näher beschrieben. Es stellt sich aber die Frage, vor allem in größeren Unternehmen welche technische Unterstützung, die richtige ist, um eine ordnungsgemäße Pflege zu gewährleisten. 

Die Leitlinie enthält ein eigenes Kapitel zur Outsourcing Policy. Neuerungen in den Prozessen, verschärfte Anforderungen etc. werden Einfluss auf die bestehende Policy haben.

Vertragsinhalte

Die Anforderungen an die vertraglichen Vereinbarungen zwischen Auftraggeber und -nehmer werden ausgeweitet, so dass in vielen Fällen bestehende Vertragsverhältnisse angepasst werden müssen. Unter anderem werden folgende neue und konkretisierter Anforderungen (nicht abschließend) aufgenommen:

  • Abschluss einer obligatorischen Versicherung seitens des Dienstleisters zur Risikominimierung.
  • Anforderung zur Handhabung von eingesetzten Subdienstleistern, wie z.B. Ankündigungsfristen, Zustimmungserfordernisse, Standortbestimmungen, etc.
  • Transparente Dokumentation mit dem Umgang der zu verarbeitenden Daten bei Insolvenz, Auflösung oder Einstellung des Geschäftsbetriebes eines Dienstleisters.

Durch die neuen bzw. geänderten Anforderungen, auch im Hinblick auf Standorte außerhalb der EU, müssen die Auftraggeber ihre Dienstleister noch mehr in die Verantwortung zur Einhaltung von Governance und Compliance nehmen.

Exit Strategien

Exit Strategien müssen u.a. das Vorgehen bei Beendigung einer Vereinbarung, den Ausfall des Dienstleisters, Umgang mit schwerwiegenden Mängel welchen den Betrieb stören können berücksichtigen. Ziel ist es sicherzustellen, dass weder der Betrieb, noch das Kundenverhältnis beeinträchtigt werden. Auch wenn die Anforderung nach Exit Strategien nicht neu ist, ist der Detaillierungsgrad hinsichtlich Dokumentation und Organisation gestiegen.

Lösungsansatz für die Umsetzung von regulatorischen Vorgaben

Für die Umsetzung bietet es sich an die neue EBA Leitlinie in einzelne Anforderungen und Themengebiete zu gliedern und einzeln zu bewerten, mit dem Ziel einen unternehmensindividuellen Maßnahmenkatalog und Arbeitspakete abzuleiten (GAP-Analyse). Die Erkenntnisse sind dann in der Projektplanung zu berücksichtigen.

Sind Anforderungen und Arbeitspakete klar definiert, empfiehlt es sich im zweiten Schritt diverse Vorlagen und die Outsourcing Policy anzupassen (Vorgaben definieren). D.h. es müssen einheitliche Arbeitsgrundlagen erstellt werden, wie Vorlagen für und Risikoanalysen zur Einstufung und Bewertungen von Dienstleistern. In Bezug auf das Dienstleister-Register kann die umfangreiche EBA Hilfestellung auf der EBA Homepage (Link EBA) verwendet werden.

In der eigentlichen Umsetzungsphase des Projektes gilt es bestehende Prozesse und bestehende Dienstleistungsverhältnisse neu zu bewerten und anzupassen und ggf. Vertragsanpassungen anzustoßen.

Hilfestellung für die Phase 1 einer Umsetzung

Für die Erstellung einer unternehmensindividuellen GAP Analyse stellen wir Ihnen einen kostenlosen Download eines Anforderungskataloges der neuen Leitlinie auf Excel Basis zur Verfügung (Link Anforderungskatalog).

Inhalt dieses Kataloges ist eine detaillierte Übersicht der einzelnen Anforderungen (deutsch und englisch) mit Verweisen auf weitere aufsichtsrechtlichen Vorgaben, mit dem Ziel eine effiziente GAP-Analyse zu erstellen. Diese sollte Ihnen dann als Basis für Ihre weitere Umsetzung dienen.