Menschen von oben fotografiert, die an einem Tisch sitzen.

adesso Blog

Die Europäische Bankenaufsichtsbehörde (European Banking Authority, EBA) hat am 25. Februar 2019 die finale Version ihrer Guidelines on Outsourcing (EBA/GL/2019/02) veröffentlicht (EBA-Guidelines oder EBA-Leitlinien). Mit den EBA-Guidelines soll ein harmonisierter Regelungsrahmen für sämtliche Institute geschaffen werden, für welche die EBA mit einem Aufsichtsmandat ausgestattet ist. Wesentliche Änderungen im Geltungsumfang ergeben sich auch daraus, dass auch Zahlungsdienstleister und E-Geld-Institute den Nachweis eines zentralen Anforderungsmanagement (ZAM) erbringen müssen. Die EBA-Guidelines wurden am 30. September 2019 wirksam, sehen jedoch gewisse Übergangsregelungen bis Mitte 2021 vor.

Die wesentlichen Neuerungen

Neben dem erweiterten Anwenderkreis, sind nicht wie bisher die Anforderungen auf Institutsebene, sondern vielmehr auf Gruppeneben nachzuweisen. Ausnahmen sind auch hier zulässig, wenn sie einer stringenten Dokumentation und Genehmigung der Unternehmens-Governance standhalten.


Anforderungen an das Risikomanagement

Von Seiten des Gesetzgebers wird - wie in der Vergangenheit häufig zu beobachten war - ein verstärktes Augenmerk auf die Identifikation und Steuerung von Risiken aus der Auslagerung gelegt. Auf diese Weise ist das Wirkspektrum des MaRisk (Mindestanforderungen an das Risikomanagement) als Basis für alle Tätigkeiten in diesem Umfeld zu benennen.

Damit ein Institut die Anforderungen aus der MaRisk bezüglich der Auslagerung (Outsourcing) erfüllt, bleiben nur wenige Teile der Regularie unbeachtet. Die Strategie gibt das grundsätzliche „GO“, in welchem Umfang Outsourcing betrieben werden darf. Im Rahmen der Risikotragfähigkeitsbetrachtung werden neben der Risikosichtung (Inventar) auch die materiellen Auswirkungen zur Unterlegung der operationellen Risiken mit Eigenkapital sichtbar. Das interne Kontrollverfahren als Hüter und steuernde Einheit der zu kontrollierenden Prozesse, Daten und Qualitätsmaßstäbe, wird als Frühwarnverfahren auf den Dienstleister ausgedehnt.

Der Gesetzeber fordert, bei identifizierten Auslagerungen, eine eindeutige Übernahme von Verantwortungen (Rollen) zur Überwachung, Steuerung und Dokumentation. Damit wird die Organisation eines ZAM (Zentralen Anforderungsmanagements) im Rahmen des Vendor Managements unumgänglich.

Im Rahmen der besonderen Funktionen, ist gerade die interne Revision dazu aufgefordert, im Rahmen der jährlichen Prüfungsplanungen auch ausgelagerte Funktionen und Prozesse einem Audit zu unterziehen. Womit deutlich wird, dass gerade der Anspruch an gut ausgebildete Ressourcen bei dem auslagernden Institut mehr denn je, in allen betroffenen Bereichen notwendig ist.


Zentralen Anforderungsmanagementprozesses (ZAM)

Wie umfangreich die Ausgestaltung des Auslagerungsmanagements werden kann, zeigt sich auch in der konkretisierten Anforderung eines „Zentralen Anforderungsmanagementprozesses“ (ZAM) im Rahmen des Vendor Managements.

Jede Auslagerung wird zum Projekt

Nach Abschluss eines Outsourcing-Projektes ist vor Start eines Outsourcing-Prozesses.


Die einzelnen Prozessschritte im Überblick

Mit Beginn eines Projektes (Change) wird nach der Machbarkeitsanalyse die Ausgestaltung des Outsourcings definiert, die ihrerseits den Umfang der rechtlichen Regelung zur Einhaltung der Compliance definiert.

Die ausgelagerten Funktionen (Prozesse, Systeme und Anwendungen) werden nach Projektabschluss in das permanente Vendor Management (Run) übergeben.

  • Folgt das Institut konsequent diesem Prozess, ist eine permanente Überwachung auch bei angepassten oder sich ändernden Umständen mit geringem organisatorischem Aufwand zu bewältigen.
  • Die Risikoidentifikation durch Rückschlüsse auf gleich geartete Tatbestände lässt eine Harmonisierung der Risikomaßnahmen und die schnellere Umsetzung im Krisenfall zu.

Fazit

Wie ihr gesehen habt, ergeben sich nach der Veröffentlichung der neuen EBA-Leitlinien zum Outsourcing bei allen Finanzdienstleistern Anpassungen bezüglich des Auslagerungsmanagements.

adesso unterstützt seine Kunden aus dem Bankensektor bei der Einführung der Auslagerungsaktivitäten in folgenden Punkten:

  • Bei der Ist-Analyse mit fundierten Handlungsempfehlungen
  • Bei der Projektinitiierung und -durchführung eines Zentralen Auslagerungsmanagements
  • Bei der Optimierung Ihres Vendor-Managements und Einbettung in die Organisation

Wenn ihr erfahren möchtet, mit welchen Themen wir sonst im Banking-Bereich unterwegs sind, dann werft auch einen Blick auf unsere Website.

Bild Ines Klara

Autorin Ines Klara

Ines Klara ist im Bereich Business Consulting bei adesso als Manager „Banking -Regulatory“ tätig. Ihre Arbeitsschwerpunkte bilden bankfachliche Themen, wie die Umsetzung fachlicher und technischer Anforderungen aus dem regulatorischen Umfeld in das Compliance- und Risikomanagement bei Finanzdienstleistern. Dazu zählen unter anderem die Schwerpunktthemen der Risiko-Awareness aus der MaRisk 5.0, datenschutzrechtliche Anforderungen aus GDPR / BCBS239 / BAIT sowie die neuen BASEL IV / SOLV II Anforderungen an Eigenkapitalverordnung.

Diese Seite speichern. Diese Seite entfernen.