Lukas Walla, Berater, FCH Consult GmbH
Die Aufsicht hat das finale Protokoll zum Thema Auslagerungen veröffentlicht. Dienstleister im Bankenumfeld haben bereits in der Vergangenheit die steigenden Anforderungen der Aufsicht zu spüren bekommen. Mit den nun veröffentlichten Klarstellungen dürfte der Druck weiter ansteigen.
Formuliert wird die Anforderung, dass auch sonstige Fremdbezüge nicht per se ohne Risiko sind und ggf. auch entsprechend gesteuert werden müssen. Es ist durchaus zu erwarten, dass auch Dienstleister, die bisher als sonstiger Fremdbezug eingestuft wurden, zukünftig risikoorientierter gesteuert werden. Dies wird sich mit hoher Wahrscheinlichkeit ebenfalls in der erwarteten EBA-Guideline für Auslagerungen wiederfinden.
SEMINARTIPPS
PraxisFalle IT-Dienstleistungen: Sonstiger Fremdbezug vs. Auslagerung, 03.04.2019, Köln.
Risikoanalysen bei Auslagerungen, 20.05.2019, Frankfurt/M.
Kontrollen in der regulatorisch neugeordneten Dienstleistersteuerung, 21.05.2019, Frankfurt/M.
Prüfung Auslagerungsprozesse nach AT 9, 04.11.2019, Köln.
Eine Erleichterung für Mehrmandantendienstleister stellt sich dergestalt dar, dass zentrale Interpretationshilfen für die Analyse zulässig sind und durch die Banken genutzt werden können. Ebenfalls können verbandsgeprüfte Institute sich einer zentralen verbandsseitigen Auswertung bedienen. Durch die Aufsicht festgestellte Mängel bei Mehrmandantendienstleistern werden auch weiterhin dem auslagernden Institut angerechnet.
Die Aufsicht stellt klar, dass eine Auslagerung steuernder Bereiche in Drittstaaten nur schwer vorstellbar und auch seitens der europäischen Aufsichtsbehörden nicht gewünscht ist. Weiterhin bleibt die Aufsicht bei ihrer Position, den Begriff „kleine Institute“ nicht final zu definieren. Insbesondere Dienstleister mit Weiterverlagerungen in Drittstaaten sollten auf eine klare Kommunikation und eine eigene Subdienstleister-Steuerung achten.
Darüber hinaus wird der Betrieb einer Software in einer nicht selbst erstellten und betriebenen Cloud als Auslagerung eingestuft. In Konsequenz dürfte dies nun auch für Dienstleister relevant sein, da hierdurch ggf. eine Weiterverlagerung vorliegt, die auch entsprechend zu reporten wäre. Bei einer Weiterverlagerung erwartet die Aufsicht eine Aktualisierung der Risikoanalyse. Bei einer Vielzahl an Weiterverlagerungen wird dementsprechend auch mit einer höheren Überwachungsintensität zu rechnen sein.
Der Druck steigt und die Institute müssen sich die Frage stellen, wie die beauftragten Leistungen kontrolliert werden können. Die Dienstleister sollten unbedingt auch die europäische Aufsicht im Blick behalten, um auf zukünftige Veränderungen schnell reagieren zu können.
Beitragsnummer: 56943
Beitragsnummer: 1162