Matrix Technology AG
Finsurance Blog > Aktualisierte EBA „Guidelines on outsourcing arrangements“

Aktualisierte EBA „Guidelines on outsourcing arrangements“

Finsurance Redaktionsteam

Das Redaktionsteam der Finsurance IT-Services setzt sich aus Experten aller Hierarchieebenen, die sich tagtäglich mit den Herausforderungen der Finanz- und Versicherungsbranche auseinandersetzen, zusammen.

Alle Beiträge des Autors

Die europäische Bankenaufsicht (European Banking Authority, kurz: EBA) hat am 25. Februar 2019 eine neue 125-seitige Richtlinie zum Thema Outsourcing (EBA Guidelines on outsourcing arrangemets) veröffentlicht. Diese treten am 30. September 2019 in Kraft.

Da europäische Papiere im Vorfeld im Rahmen der Konsultationsphase mit den nationalen Aufsichtsbehörden abgestimmt werden, ist zu erwarten, dass die deutschen Aufsichtsbehörden die Inhalte dieser Regelung ohne signifikante Änderungen in das nationale Regelwerk übernehmen werden.

Die neue Richtlinie ersetzt die alte Richtlinie zu diesem Thema, die aus dem Jahr 2006 datiert, und integriert die Inhalte der erst kürzlich in Kraft getretenen Empfehlungen zur Auslagerung an Cloud-Anbieter der EBA.

Was ändert sich nicht?

Inhaltlich stärkt die neue Richtlinie das übergeordnete Ziel, die Verantwortung für ausgelagerte Services weiterhin beim Management des auslagernden Finanzinstituts zu belassen. Soweit stellt dies keine Überraschung dar, sondern ist vielmehr eine konsequente Weiterverfolgung eines Weges, der bei aller Einsicht in die Notwendigkeit eines technischen Fortschritts auch immer Wert auf Verantwortung und aktives Management von Risiken legt.

Die Kernaussagen waren auch vor der Veröffentlichung der neuen Richtlinie bekannt, werden aber in diesem Papier noch einmal dediziert zusammengefasst:

  • Verantwortung verbleibt beim Management des Finanzinstituts
  • Besonderes Augenmerk wird darauf gelegt, dass die Kontrollfähigkeit bei Dienstleistern auch im Ausland erhalten bleibt
  • Die Anforderungen steigen mit der Kritikalität des outgesourcten IT-Services

Explizit wird zudem noch einmal auf die die oft kontrovers diskutiert Frage nach einer Zulässigkeit von kritischen Funktionen eingegangen:

Auch kritische Funktionen können outgesourct werden, wenn diese unter Risikoaspekten beleuchtet werden (in Verbindung mit EBA Guidelines on internal governance, on supervisory review and evaluation process (SREP), sowie mit der Guideline on information and communication technology (ICT) risk assessment).

Was ändert sich?

Die erste signifikante Änderung betrifft den Geltungsbereich der neuen Richtlinie, die nun im Gegensatz zur alten Richtlinie nicht nur ausschließlich für Kreditinstitute, sondern ab sofort für alle Finanzinstitute gilt. Damit umfasst der Geltungsbereich auch die bisher nicht betroffenen Investmentfirmen und Zahlungsdienstleister.

Auch inhaltlich dürften einige Festlegungen der Richtlinie Handlungsbedarf bei den betroffenen Instituten auslösen. Die EBA fordert unter anderem ein standardisiertes Risikomanagement, Meldepflichten, wie sie aus dem Versicherungswesen bereits bekannt sind, und Mindeststandards an die Dokumentation.

Im Einzelnen ergibt sich Handlungsbedarf auf folgenden Themenfeldern:

  • Verschärfte Anforderungen an das Risikomanagement (auch für Fremdbezug!)
  • Interessenskonflikte (keine zwingende Bevorzugung von verbandsinternen Auslagerungen)
  • Erhöhte Anforderungen an Auslagerungsregister
  • Meldepflicht für wesentliche Auslagerungen
  • Standardisierter Risikoanalyseprozess
  • Risikobetrachtung Drittländer
  • Szenarioanalysen im Rahmen der Risikobewertung
  • Schriftlich dokumentierte Due Dilligence
  • Anforderungen an Auslagerungsverträge standardisiert
  • Prüfrechte auch für nicht wesentliche Auslagerung
  • Offenlegung der relevanten Prüfungen verpflichtend

Mit diesen Änderungen regelt die EBA nun Themen im Detail, die bisher eigenverantwortlich durch die Institute abgearbeitet werden konnten. Abhängig vom Abweichungsgrad zu der neuen Richtlinie ergibt sich für die Institute mehr oder weniger Aufwand, der aber erst nach einer individuellen Prüfung abgeschätzt werden kann.

Was ändert sich für IT-Outsourcing-Dienstleister?

Auch diese Frage kann nicht pauschal beantwortet werden, da sie immer vom individuellen Vertragskonstrukt abhängt. Die gute Nachricht ist jedoch, dass sich für Dienstleister, die ihre Verträge im Einklang mit aktuell gültigen Regeln abgeschlossen haben, der Aufwand für Anpassungen in überschaubaren Grenzen halten sollte.

Erfolgreiches IT-Outsourcing für regulierte Unternehmen

Ausschreibungsverfahren – Providerauswahl– Vertragswerke

Der Erfolg des Outsourcing-Vorhabens hängt maßgeblich von den Vereinbarungen ab, die während der Vertragsverhandlungen zwischen dem auslagernden Unternehmen und dem Service Provider geschlossen werden. Daher ist es von zentraler Bedeutung, dass Sie sich ausführlich über den richtigen Provider und die richtige Zusammenstellung der Vertragswerke informieren. Wir haben die wichtigsten Informationen für Sie in diesem Whitepaper zusammengestellt. 

Zum Whitepaper →

Erfolgreiches IT-Outsourcing für regulierte Unternehmen