Aufrufe
vor 5 Jahren

die bank 09 // 2018

die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

REGULIERUNG

REGULIERUNG AUSLAGERUNGSMANAGEMENT EBA-Vorgaben erfordern genaue Beobachtung In der letzten Zeit ist eine verstärkte Einflussnahme der europäischen Bankenaufsichtsbehörde EBA in die Regulierung von bislang vor allem oder teilweise national geregelten Bereiche festzustellen. Während die nationalen Aufsichtsbehörden auch künftig für die Überwachung einzelner Finanzinstitute verantwortlich sind, fällt der EBA die Aufgabe zu, das Funktionieren des Binnenmarkts durch geeignete, wirksame und harmonisierte Aufsicht und Regulierung auf europäischer Ebene zu verbessern. In erster Linie soll die EBA durch die Annahme von verbindlichen technischen Standards und Leitlinien ihren Beitrag zu einem einheitlichen europäischen Regelwerk für den Finanzsektor leisten. Dieses Regelwerk soll einheitliche und harmonisierte Aufsichtsregeln für Finanzinstitute in der EU bereitstellen und damit zur Schaffung gleicher Wettbewerbsbedingungen beitragen sowie den Schutz von Einlegern, Anlegern und Verbrauchern gewährleisten. Direkte Durchgriffsrechte der EBA bestehen jedoch nur dann, wenn sich nationale Aufsichtsbehörden nicht über die konkrete Umsetzung von Leitlinien einigen können oder wenn eine nationale Aufsichtsbehörde gegen europäische Rechtsvorschriften verstößt. Grundsätzlich übernimmt die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die Leitlinien der EBA in ihre Verwaltungspraxis. Erst dann werden nach Auffassung der BaFin Leitlinien der EBA für deutsche Institute verbindlich. Die Entscheidung, ob Leitlinien übernommen werden, erfolgt im Rahmen des Comply-Or-Explain-Verfahrens, wobei eine Comply-Erklärung gegenüber der EBA abgegeben wird. Es gibt jedoch auch Fälle, in denen Leitlinien nicht durch die BaFin übernommen wurden. Diese sind in einer Negativliste auf der Homepage der BaFin aufgeführt. Neben Leitlinien z. B. zur internen Governance oder zum Beschwerdemanagement wurde am 22. Juni 2018 der Entwurf einer Leitlinie zu einheitlichen Rahmenbedingungen an Auslagerungen bei CRR-Kreditinstitu- ten, CRR-Wertpapierfirmen sowie Zahlungsinstituten und E-Geld-Instituten publiziert. Diese Leitlinien, mit denen die im Jahr 2006 veröffentlichten CEBS-Leitlinien für Outsourcing überprüft werden, zielen darauf ab, einen harmonisierten Rahmen für Auslagerungsvereinbarungen aller Institute im Einzugsbereich der EBA zu schaffen. Mit rund 50 Seiten wurde hier ein durchaus umfangreiches Dokument geschaffen. Inhalt des Richtlinienentwurfs und Erwartungshaltung der EBA Der Richtlinienentwurf enthält eine Definition des Outsourcings und legt Kriterien für die Beurteilung fest, ob eine ausgelagerte Tätigkeit, Dienstleistung, ein Prozess oder eine Funktion (oder ein Teil davon) kritisch oder wichtig ist. Die überarbeiteten Leitlinien befassen sich mit den Zuständigkeiten des Leitungsorgans für die Schaffung eines geeigneten Rahmens für das Outsourcing, dessen Umsetzung und Anwendung in einer Gruppe, die Due-Diligence-Prozesse und die Risikobewertung vor dem Eintritt in solche Vereinbarungen. In den Leitlinien werden auch Aspekte im Zusammenhang mit den vertraglichen Vereinbarungen, der Überwachung und Dokumentation von Outsourcing-Vereinbarungen sowie der Überwachung durch die zuständigen Behörden geklärt. Die Bedeutung von Auslagerungen zeigt sich anhand der über die Leitlinien dargestellten Erwartungshaltung der EBA. Die Institute sind dafür verantwortlich, dass auch bei Nut- 38 09 // 2018

REGULIERUNG zung von Auslagerungsvereinbarungen jederzeit eine angemessene Geschäftsorganisation eingerichtet ist und leere Hüllen oder Briefkastenfirmen vermieden werden. Die Vorschläge sind am Grundsatz der Proportionalität ausgerichtet, sie sind sowohl auf Einzel- als auf Gruppenebene anzuwen- den und beinhalten Vorgaben zur Outsourcing-Governance, zum Auslagerungsprozess und Vorgaben an die Aufsichtsbehörden. Bezüglich der Governance sind vor allem die Anforderungen an eine Outsourcing-Policy mit konkreten Inhaltserwartungen und das Erfordernis einer Abgrenzung zwischen Auslagerungen und kritischen bzw. wichtigen Auslagerungen zu nennen, wobei für letztere umfassendere Regelungen getroffen werden. Anforderungen hinsichtlich der Aufbau- und Ablauforganisation resultieren aus der Notwendigkeit einer Outsourcing-Funktion mit direkter Berichtspflicht an die Geschäftsleitung. Darüber hinaus stellt die EBA umfangreiche formale Anforderungen an eine Outsourcing-Datenbank für bereits bestehende Auslagerungen. Auch bezüglich des Auslagerungsprozesses werden durch die EBA konkrete Vorgaben gemacht. Die „Pre-Outsourcing-Phase“ umfasst eine umfangreiche Prüfung des Auslagerungsunternehmens sowie eine Risikobewertung der geplanten Auslagerung. Für die Vertragsphase werden detaillierte Mindestbestandteile hinsichtlich der Auslagerungsverträge festgelegt. Zusätzlich werden Erwartungen an die Auslagerungsüberwachung benannt, Anforderungen an Ausstiegsstrategien festgelegt und Informationspflichten an die Aufsichtsbehörden aufgeführt. Des Weiteren trifft die EBA in der Leitlinie besondere Vorschriften zu Auslagerungen im Zusammenhang mit IT-Anwendungen unter Berücksichtigung von FinTechs und Cloud-Service-Providern, wobei die bereits vorliegenden spezifischen Regelungen für Auslagerungen an Cloud-Dienstleister gewürdigt werden. Institute werden außerdem künftig dazu verpflichtet, international anerkannte Informationssicherheitsstandards einzuhalten. Hierzu gehört es auch, den Geschäftsbetrieb durch Regelungen für den Notfall sicherzustellen. Operationelle Risiken, Kettenauslagerungen und Dokumentationspflichten Bei der Einschätzung der durch die Auslagerung resultierenden operationellen Risiken wird die Qualität der Leistungserbringung durch das Auslagerungsunternehmen durch dessen Fähigkeiten, Vertraulichkeit, Integrität und Verfügbarkeit der Daten determiniert. Die Mechanismen, Systeme und Pro- 09 // 2018 39

die bank