Q&A: EBA-Guidelines zu Auslagerungen

Die EBA-Guidelines zu Auslagerungen sind bereits seit letztem Jahr veröffentlicht, und dennoch arbeiten zahlreiche Banken aktuell noch an deren Umsetzung. Im folgenden Q&A äußert sich unser Experte für das Auslagerungsmanagement, Goran Popcanovski, zum aktuellen Stand dieser Implementierung.

 

Die EBA hat mit ihren Guidelines die aufsichtsrechtlichen Anforderungen auf europäischer Ebene vereinheitlicht. Die Leitlinien gelten für alle Auslagerungsvereinbarungen, die seit dem 30. September 2019 abgeschlossen, überprüft oder geändert werden. Die Umsetzungsfrist bis zum 31. Dezember 2021 besteht für die Anforderungen an ein Auslagerungsregister sowie die Überprüfung bestehender wesentlicher Auslagerungsvereinbarungen.


Wo stehen die Finanzinstitute bei der Umsetzung der EBA-Guidelines?

 

Goran Popcanovski: Viele Institute sind mitten in der Umsetzung und damit beschäftigt, ihre Verträge anhand von Checklisten zu überprüfen und ggfs. Abweichungen zu den von den EBA-Guidelines geforderten Inhalten zu identifizieren. Daraufhin müssen diese Abweichungen mit Vertragsänderungen oder Ergänzungen geschlossen werden. Je größer ein Dienstleister ist, umso schwieriger wird es für das Institut sein, eigen Vorstellung in die Lösung einzubringen. Auch ist es eine Herausforderung, mit Dienstleistern zu verhandeln, die ggfs. in einem Nicht-EU-Land ansässig sind.

Interview Goran Popcanovski

Wie können Institute regulatorische Anforderungen an Verträge gegenüber Dienstleistern durchsetzen?

Je mehr Kunden ein Dienstleister aus der betroffenen Branche hat, umso höher ist seine Motivation, die entsprechenden Anforderungen, die für die Kunden gelten, umzusetzen und einzuhalten. Dabei gibt es grundsätzlich zwei Möglichkeiten, die neuen Anforderungen vertraglich zu fixieren. Da in der Regel Verträge regelmäßig überprüft werden und erneuert werden, könnte man in diesem Zug auch alle aktuell gültigen Anforderungen in die neue Version des Vertrages einarbeiten und damit einen neuen Vertrag schließen. Eine Alternative hierzu wäre ein Anhang zum Hauptvertrag, welcher die konkreten regulatorischen Anforderungen klärt. Beide Optionen sind möglich und haben sich in der Praxis bewährt. Sollte der Dienstleister keine der beiden Optionen wählen, ist grundsätzlich die Eignung des Dienstleisters zu prüfen, da schlussendlich das Institut für die Erfüllung ihrer aufsichtsrechtlichen Anforderungen haftet.

Geht es bei den EBA-Guidelines nur um die Prüfung der Verträge?

 

Nein, neben dem Vertragsthema sind Strukturen anzupassen und ggfs. neue Prozesse einzuführen. Beispielsweise ist ein Auslagerungsregister anzulegen und mit Informationen zu befüllen, welches aktuell zu halten ist. Ferner hat ein ausgeprägteres Risikomanagement an Gewicht gewonnen. Neben der initialen Due-Diligence der Dienstleister vor Vertragsabschluss muss eine regelmäßige Überprüfung sowie die entsprechende Dokumentation und das Berichtswesen aufgestellt werden.

Die Ausweitung der Aufgaben und die gesteigerte Relevanz des Themas hat zu einer Diskussion bzgl. zusätzlichen Ressourcen geführt. Nicht jedes Institut ist dabei in der Lage, weitere Mitarbeiter für das Thema abzustellen. 

Wer hat einen Vorteil bei der Umsetzung, kleinere oder größere Institute?

 

Es kommt immer darauf an, aus welcher Ausgangsposition man startet. Für Institute, die noch kein digitales, softwareunterstütztes Vertragsmanagement haben, ist die Umsetzung sicherlich tendenziell schwieriger, da häufig Verträge dezentral in Papierform vorliegen und erst konsolidiert und in eine Software zu überführen sind, die noch nicht implementiert ist. Auf der anderen Seite haben kleine Institute mit tendenziell weniger Auslagerungen / Verträge weniger Prüfaufwand als große Institute, bei denen es in häufig in die hunderte geht.  Schlussendlich werden wohl die größeren Institute einen höheren Aufwand haben, da insb. die Vernetzung der betroffenen Bereiche und Abteilungen über neue Prozesse sichergestellt werden muss. Die Intensität der aufsichtsrechtlichen Prüfung wird ebenfalls sehr unterschiedlich sein.  Dabei lässt sich beobachten, dass größere Institute tendenziell auch mehr Auslagerungen zu steuern haben.

Was ist die größte Herausforderung bei der Umsetzung?

 

Neben der Anpassung des Vertragswerks und in der Risikosteuerung ist es insb. die organisatorische und prozessuale Integration der Anforderungen, welche die größte Herausforderung darstellt. Bisher war das Auslagerungsmanagement eher ein Randthema. Aufgrund der massiv gestiegenen Regulierungsintensität einerseits und der gewachsenen wirtschaftlichen Bedeutung des Themas andererseits (Fintech-Kooperationen, Cloud, Computing, allgemeiner Kostendruck) ist es aber plötzlich groß und wichtig geworden. 

Wie wichtig sind Exit-Strategien?

 

Insbesondere bei der Auslagerung von kritischen oder wichtigen Funktionen ist ein Back-up wichtig und auch von der Aufsicht gefordert. Fällt beispielsweise ein Dienstleister aus, muss das Institut sicherstellen, dass die Funktion weiterhin erbracht werden kann. Auch könnten regulatorische oder gesetzliche Änderungen in anderen Ländern (z.B. Nicht-EU-Länder) Institute dazu zwingen, neue Dienstleister (z.B. in Deutschland) zu suchen und Funktionen dahin zu migrieren. Eine vorab durchgeführte Risikoanalyse mit entsprechenden potenziellen Alternativdienstleister, ein Zeitplan mit einer Planung für benötigte Ressourcen für eine mögliche Migration kann helfen, das Risiko zu senken. Vor diesem Hintergrund fordern die Guidelines, dass die Exit-Strategien regelmäßig zu überprüfen und auch zu dokumentieren sind, z.B. im Auslagerungsregister. Konkret bedeutet das aber auch, dass einige neue Prozesse aufzusetzen und die betroffenen Mitarbeiter zu schulen sind. Der Aufwand zur initialen Erstellung einer Exit-Strategie sowie deren regelmäßige Überprüfung (auch die Kommunikation mit Alternativanbietern) sollte dabei ebenfalls nicht unterschätzt werden. Kein Dienstleister ist gerne ein langfristiges Back-Up für einen anderen Dienstleister.

 

Wie könnte die DPS beim Thema Auslagerungsmanagement unterstützen?

 

Das Thema Auslagerungsmanagement steht bei uns seit einigen Jahren auf der Agenda. Mit der eigenen Entwicklung einer Softwarelösung (Digital Provider Management) sowie zahlreichen Kundenprojekten haben wir ein breites Wissen bzgl. der Anforderungen aber auch der Umsetzungsoptionen und können damit effizient und professionell bei der Umsetzung unterstützen. Angefangen von der Erarbeitung bzw. Überprüfung einer IT-Providerstrategie bis hin zur Umsetzung der vorgeschlagenen Governance (Prozesse, Vorlagen) und der Unterstützung bei der Auswahl und Einführung geeigneter Softwarelösungen.

Symbolbild Banking

Ihr direkter Draht zu unseren Outsourcing-Experten

 Füllen Sie bitte untenstehendes Formular aus. Das Team von DPS - IT for finance and retail nimmt dann gerne unverbindlich mit Ihnen Kontakt auf, um Ihre Fragen zum Themenkomplex Auslagerungsmanagament zu beantworten. Selbstverständlich können Sie uns auch telefonisch erreichen:  +49 (0)711 90387-0