EBA Guidelines Outsourcing 2019 (EBA/GL/2019/02)

Zeitplan, Anwendbarkeit, wesentliche Neuerungen und Erfahrungsberichte

 

Zeitplan

Die am 25. Februar 2019 veröffentlichten EBA Leitlinien zu Auslagerungen traten am 30. September 2019 in Kraft. Eine verlängerte Umsetzungsfrist bis zum 31.12.2021 besteht grundsätzlich für Anforderungen an das Register und die Überprüfung wesentlicher Auslagerungsverträge.

Die EBA Leitlinien zu Auslagerungen tragen den EU-rechtlichen Vorgaben, insbesondere PSD 2 (2015/2366/EU), MiFID II (2017/565) und der CRD (2013/36/EU) Rechnung. Einhergehend mit dem rasanten Anstieg an (IT-) Auslagerungen sowie (IT-) Leistungsbezügen waren sie der Haupttreiber für die Ablösung der bisherigen CEBS Guidelines 2006. Sie erweitern den Anwendungsbereich und legen einheitlich für Institute, Zahlungsinstitute und E-Geld-Institute interne Governance Anforderungen für Auslagerungen fest, insbesondere mit Blick auf Auslagerungen kritischer oder wesentlicher Funktionen. Die EBA Leitlinien integrieren die Anforderungen an Cloud Dienste und ersetzen damit auch die EBA Recommendations on outsourcing to cloud service provider 2017 (EBA/REC/2017/03).

Anwendbarkeit

Teilweise gehen die Anforderungen der EBA GL zu Auslagerungen über die nationalen Vorgaben der BaFin hinaus. Im Marktumfeld häufig diskutiert wird deshalb die Frage, welche Institute die Leitlinien direkt, in welchem Umfang und ab welchem Zeitpunkt anwenden müssen. Die von der EZB beaufsichtigten bedeutenden Institute („SI“) müssen die EBA Leitlinien grundsätzlich direkt anwenden. Im Regelfall kann davon ausgegangen werden, dass die BaFin die Leitlinien der EBA in ihre Verwaltungspraxis übernimmt. Andernfalls benennt die BaFin diese Leitlinie auf ihrer Homepage. Bezüglich der nationalen Umsetzung hat die BaFin im Juli 2019 gegenüber der EBA die Erklärung „intends to comply with the EBA GLs on outsourcing arrangements by 31 December 2020“ abgegeben und auf eine anstehende Anpassung der MaRisk hingewiesen. Eine mittelbare, aber unverzügliche Anwendung der EBA Leitlinien zu Auslagerungen für weniger bedeutende Institute („LSI“) erwartet die BaFin jedoch zu Anforderungen, die überwiegend Konkretisierungen enthalten und in den prinzipienorientierten MaRisk bzw. BAIT bereits adressiert sind. Bei erforderlicher Novellierung der MaRisk müssen die LSIs die hieraus resultierenden Anforderungen zwar erst nach Umsetzung in der anstehenden MaRisk-Novelle anwenden, jedoch empfiehlt die Aufsicht generell auch hier, sich frühzeitig, mit den Inhalt der Leitlinien zu befassen. Eine zusätzliche Übergangsfrist nach Veröffentlichung einer MaRisk-Novelle beschränkt sich erfahrungsgemäß auf Neuerungen mit nationalen Auslegungsspielraum oder einer erforderlichen nationalen Auslegung.

Es zeichnet sich ab, dass die bisherigen nationalen aufsichtlichen Vorgaben (z.B. Grenzen der Auslagerung, Voraussetzungen für Weiterverlagerungen, Zentrales Auslagerungsmanagement bei größeren Instituten bzw. Institute mit umfangreichen und komplexen Auslagerungsaktivitäten) weitgehend unverändert bleiben werden. Zu den wesentlichen Neuerungen zählen voraussichtlich geplante Änderungen in Bezug auf das Auslagerungsregister (§ 25b KWG, § 24 KWG und AnzV) und in Bezug auf Informationspflichten gegenüber der Aufsicht,  u.a. die Information über geplante wesentliche Auslagerungen bzw. wesentlich gewordene bestehende Auslagerungen sowie über wesentliche Änderungen/Vorfälle mit Auswirkungen auf die Geschäftstätigkeit eines Instituts.

 

Wesentliche Themenfelder und Inhalte der EBA Leitlinien zu Auslagerungen   

Eine Übersicht über die wesentlichen Themenfelder gibt die nachfolgende Tabelle.

 

Erfahrungsberichte aus PwC Umsetzungs- und Unterstützungsprojekten 2019

Bereits in 2019 hat PwC bundesweit viele Institute und Dienstleister bei der Durchführung einer erforderlichen GAP-Analyse mittels eines strukturierten und von PwC entwickelten Assessments unterstützt. Auf diesen Ergebnissen basierend und in enger Abstimmung mit unseren Kunden haben wir identifizierte Änderungsbedarfe in den jeweiligen Themengebieten priorisiert und bei Beauftragung auch die Abarbeitung begleitet. Dabei konnten zahlreiche „Quick-Wins“ zügig umgesetzt werden. Die bisherigen Assessment-Ergebnisse zeigen jedoch auch, dass abhängig vom jeweiligen Umsetzungsstand in den Instituten Anpassungen an den bisherigen Vorgaben und Verfahren erforderlich werden, die Abhängigkeiten zu den jeweiligen Themenfeldern (z.B. Prozesse, Verträge) haben. Diese sind frühzeitig und gut geplant anzugehen. Einen Überblick über die sich bisher ergebenden Auswirkungen in den Bewertungsdimensionen Prozesse, Methoden, Verträge und Dokumentation gibt folgende Übersicht, wobei hier der jeweilige Reifegrad des Auslagerungs- bzw. Third-Party-Riskmanagements im konkreten Einzelfall maßgebend ist.

 

Wie kann PwC Sie unterstützen?

Ein modernes und zukunftsorientiertes Dienstleistermanagement sollte in der Lage sein, alle Leistungsbezüge unabhängig von der Einstufung als Auslagerung, IT-Dienstleistung, sonstigen Non-IT-Fremdbezug oder Cloud Service entlang des Sourcing Lifecycles angemessen zu berücksichtigen. Unser Team unterstützt Sie gerne dabei, Ihren Reifegrad in Bezug auf die neuen Richtlinien zu erheben, etwaige Schwachstellen effizient zu schließen, die aufsichtsrechtliche erforderliche angemessene Verbindung zu Ihrem Internen Kontrollsystem zu schaffen und dabei wertvolle Hinweise zu Effizienz und Automatisierungsgrad Ihrer Prozesse und Methoden zu geben. Unsere Experten und Ansprechpartner stehen Ihnen bundesweit zur Verfügung.

Konkrete Informationen zu unserem Team finden Sie in unserem Flyer.

Gerne können Sie sich bei diesbezüglichen Fragen an uns wenden!

Karsten Wilop

Partner

Tel.: +49 211 981-1931

karsten.wilop@pwc.com

Christine Wicker

Manager

Tel.: +49 711 25034 5131

Christine.Wicker@pwc.com

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

/* */