Gepostet am 16. Mai 2019 von in
Verschärfte Vorgaben für Auslagerungen – der Countdown läuft!
Banken häufig noch nicht sattelfest in der Einhaltung der Anforderungen an Auslagerungen
Bisherige Feststellungen aus der Prüfungs- und Aufsichtspraxis bestätigen immer wieder Missstände im Umgang mit Auslagerungen. Diese reichen von einer fehlenden Auslagerungsstrategie über unvollständige Risikoanalysen, nicht-aktuelle Auslagerungsverträge, mangelnder Überwachungstätigkeit bis hin zu Nicht-Reaktionen bei Schlechtleistung von Dienstleistern. Insbesondere auch vor dem Hintergrund des steigenden Interesses von Kreditinstituten an der Nutzung von Cloud-Dienstleistungen verschärfen die europäischen Aufseher die regulatorischen Anforderungen an Auslagerungen nochmals.
EBA verschärft Regelungsrahmen für Auslagerungen mit mehr als 100 Anforderungen
Die <link info-center search-center detail-ansicht dokument>EBA Guidelines on Outsourcing Arrangements wurden als finale Entwurfsversion am 25. Februar 2019 veröffentlicht. Dabei kann erfahrungsgemäß davon ausgegangen werden, dass die BaFin diese Vorgaben deckungsgleich übernimmt. Die Anforderungen nehmen auch Einfluss auf die Vorgaben der <link info-center search-center detail-ansicht dokument>MaRisk (insbesondere AT 9) sowie die <link info-center search-center detail-ansicht dokument>BAIT. Weiterhin wurden das <link info-center search-center detail-ansicht dokument>Merkblatt der BaFin zu Auslagerungen an Cloud-Anbieter sowie die <link info-center search-center detail-ansicht dokument>Empfehlungen der EBA zu Auslagerungen an Cloud-Anbieter in die neuen Anforderungen der EBA aufgenommen. Auf mehr als 50 Seiten Regelungstext und durch ca. 120 teilweise verschärfte und neue Anforderungen werden die Vorgaben für die Auslagerungspraxis von Instituten neu definiert. Dabei werden bspw. die Risikoanalyse durch einen umfassenden Katalog an Bewertungskriterien zementiert, die Anforderungen an Fortführungspläne und Ausstiegsstrategien deutlich verschärft und die Aufgaben im zentralen Auslagerungsmanagement erheblich ausgeweitet.
Wenig Zeit für Vorbereitung – Anforderungen sind ab Oktober 2019 verbindlich
Nach derzeitigem Stand sind die neuen Anforderungen bereits für die ab 30. September 2019 neu geschlossenen Auslagerungsverträge zu berücksichtigen; dies betrifft auch die im Voraus durchzuführenden Verfahren und Analysen. Somit verbleiben (nur) noch circa vier Monate Zeit, um sich auf die erweiterten Anforderungen einzustellen. Für bestehende Auslagerungen gilt eine Übergangszeit bis Ende 2021. Aber Vorsicht: Auch Änderungen von bestehenden Auslagerungsverträgen und bereits eine Überprüfung dieser erfordern eine Anwendung der neuen Vorgaben. Dem nicht genug, wird im Sitzungsprotokoll des Fachgremiums MaRisk vom 5. November 2018 darauf hingewiesen, dass die Institute gehalten sind, sich vorab mit den Leitlinien zu befassen und bereits organisatorische Anforderungen zu treffen. Somit ist es für die betroffenen Institute und Wertpapierfirmen ratsam, sich frühzeitig mit den kommenden Neuerungen im Auslagerungsprozess auseinanderzusetzen und zu prüfen, inwieweit diese bereits eingehalten werden.
Checklisten unterstützen bei der Ermittlung des Handlungsbedarfs
ORO Services unterstützt Sie mit Checklisten entlang des Auslagerungsprozesses – von der Initiierung eines Auslagerungsvorhabens bis zur Vertragsgestaltung mit externen Dienstleistern – um den regulatorischen Vorgaben gerecht zu werden. Wir halten Sie dabei auf dem Laufenden, welche konkreten Neuerungen die „EBA Guidelines on Outsourcing Arrangements“ mit sich bringen.
Unsere Übersicht mit hinterlegten Links zu den jeweiligen Checklisten finden Sie hier.