Jan Heisig, Provider Management, Controlling & Planung, Erste Abwicklungsanstalt AöR
1. Einleitende Worte
Nicht zuletzt durch die gestiegenen regulatorischen Anforderungen im Nachgang der letzten Finanzkrise im Jahr 2008, den rückläufigen Gewinnmargen im traditionellen Kredit- und Einlagengeschäft aufgrund der anhaltenden Niedrigzinsphase und der fortschreitenden Digitalisierung im Finanzsektor, sehen sich Banken mit stetig steigendem Kosten- und Innovationsdruck konfrontiert. Die vollständige oder teilweise Auslagerung von Prozessen oder Aktivitäten an einen Dienstleister ist bei Banken ein wesentlicher Bestandteil strategischer Entscheidungen, um Optimierungspotenziale innerhalb der Institute zu heben oder um sich auf eigene Kernkompetenzen konzentrieren zu können. Im Grundgedanken sollen diese Auslagerungen Komplexitäten reduzieren und eine möglichst effiziente Erbringung der Dienstleistungen ermöglichen, gehen aber selbst mit stetig steigenden regulatorischen Anforderungen an ein adäquates Risiko- und Providermanagement einher. So gelten die neuen Leitlinien der Europäischen Bankaufsichtsbehörde (EBA) zum Thema Outsourcing, die zum 30.09.2019 in Kraft getreten sind, fortan für neue Outsourcing-Aktivitäten und sind für bestehende Outsourcing-Engagements innerhalb einer Übergangsfrist bis zum 31.12.2021 anzuwenden.
SEMINARTIPPS
Prüfung AT 9 – Auslagerungen, 31.03.2020, Köln.
Auslagerungen im Fokus von neuer MaRisk & BAIT, 23.06.2020, Frankfurt/Offenbach.
2. Analyse der „EBA Guidelines on Outsourcing Arrangements“
Der Inhalt der EBA-Richtlinien lässt sich in fünf Kapitel zusammenfassen:
Laut dem ersten Kapitel, welches mit Anwendung und Verhältnismäßigkeit zusammengefasst werden kann, müssen neben Finanzinstituten nach der Eigenkapitalrichtlinie (CRD) – gemäß Kategorisierung der Richtlinie über Märkte für Finanzinstrumente II (MiFID II) – nunmehr sowohl Zahlungsinstitute – die der überarbeiteten Zahlungsdienstleisterrichtlinie (PSD2) unterliegen – als auch E-Geld-Institute – die der E-Geld-Direktive unterliegen – die neuen EBA-Richtlinien berücksichtigen.
Im Rahmen des zweiten Kapitels Governance werden Institute angehalten ihre zuständige Aufsichtsbehörde – in der Regel die Europäische Zentralbank (EZB) – bereits vor einer Auslagerung von „kritischen“ oder „wichtigen“ Funktionen zu informieren. Als Beispiel für grundlegende Unterschiede zwischen bestehenden nationalen Regelungen und den EBA-Richtlinien ist hier auf die unterschiedliche Definition der Bedeutung von Auslagerungen („wesentlich“ gem. MaRisk und BAIT gegenüber „kritisch“ oder „wichtig“ gem. EBA-Richtlinie) hinzuweisen. Darüber hinaus müssen Institute ein einheitliches und vollständiges Register aller Outsourcing-Beziehungen führen, unterschieden nach kritischen/unkritischen oder wichtigen/unwichtigen Outsourcing-Engagements. Zusätzlich sind die Institute verpflichtet, dieses Register der jeweiligen Aufsichtsbehörde mindestens alle drei Jahre zur Verfügung zu stellen.
BUCHTIPPS
Beckmann, Daumann, Horn, Thieking, Auslagerung nach MaRisk, 2018.
Ritz/Schmitz/Walla (Hrsg.), Risikoanalyse für Auslagerungen in der Kreditwirtschaft, 2018.
Vor dem Abschluss eines Outsourcing-Vertrages und demnach noch vor der zugehörigen Risikoanalyse, müssen Institute gemäß dem dritten Kapitel, welches als Bewertungskapitel zusammengefasst werden kann, eine umfassende Pre-Outsourcing-Analyse durchführen. Die hier zu erhebenden Parameter erfordern eine detaillierte und dezidierte Auseinandersetzung mit dem potenziellen Outsourcing-Partner bereits im Vorfeld der Vertragsbindung.
Diese Vertragsbindung – beschrieben im vierten Kapitel Outsourcing-Vertrag – wird durch die EBA-Richtlinien ebenfalls deutlich mit ausführlichen und umfassenden Anforderungen an den Inhalt von Verträgen im Outsourcing-Umfeld spezifiziert.
Im fünften und letzten Kapitel wird der Outsourcing-Prozess behandelt. Dieser muss vom Management des Instituts durch eine schriftlich fixierte Outsourcing-Richtlinie verabschiedet werden, die Mindestanforderungen für kritische oder wichtige Funktionen beispielsweise in einem internen Handbuch festlegt werden und deren Einhaltung sowohl durchgesetzt als auch fortlaufend überprüft werden. Außerdem ist im Falle der Durchführung einer Outsourcing-Aktivität in den Institutionen vorgeschrieben, dass zu jeder Zeit eine angemessene Retained Organisation (RTO) vorhanden sein muss, die sowohl eine adäquate Überwachung der Leistung garantieren als auch ein potenzielles Re-Insourcing ermöglichen kann. Die Institute sind ferner angewiesen eine klar definierte Exit-Strategie für alle kritischen und wichtigen Auslagerungen festzulegen, die zudem ausreichend getestet und dokumentiert sein muss.
3. Kritische Würdigung
Die EBA-Richtlinien enthalten im Vergleich zu den bisher geltenden europäischen Vorschriften „Committee of European Banking Supervisors (CEBS) Guidelines on Outsourcing“ von 2006 zahlreiche Ergänzungen zur Regulierung von Outsourcing-Aktivitäten. Sie gehen zudem deutlich über die aktuellen nationalen deutschen Anforderungen „Mindestanforderungen an das Risikomanagement (MaRisk) AT 9“ und „Bankaufsichtliche Anforderungen an die IT (BAIT)“ hinaus und stellen Institute vor neue Herausforderungen. Der Verweis auf einen Proportionalitätsgrundsatz – eine Anwendung der Regelungen nach Art, Umfang und Intensität – soll kleinen Instituten oder solchen mit lediglich geringem Dienstleistungsangebot grundsätzlich Erleichterungen verschafften, kann jedoch aufgrund von möglichen Fehlinterpretationen im Hinblick auf die anzuwendende Regulatorik sowohl beim Institut selbst als auch bei den jeweiligen Prüfern zu Konfusionen führen. Ferner sehen die EBA-Richtlinien zudem umfangreiche Regeln für das Outsourcing innerhalb eines Konzerns und die Vermeidung von Interessenkonflikten vor. So wird beispielsweise gefordert, dass Muttergesellschaften für das Outsourcing von Tochtergesellschaften, aber auch für eine zentrale Konzernverantwortung verantwortlich sind.
BERATUNGSANGEBOT
Implementierung eines effizienten & wirksamen Auslagerungsmanagements.
4. Ausblick auf die Zukunft und Umfrage zu Outsourcing-Aktivitäten
Abschließend bleibt abzuwarten, wie sich die Anwendung der regulatorischen Anforderungen aus den EBA Guidelines auf die Outsourcing-Aktivitäten deutscher Banken auswirkt. Hierzu führt der Autor ein Forschungsprojekt im Zuge seiner Abschlussarbeit zum Studiengang Master of Business Administration (MBA) bei Herrn Prof. Dr. Reuse durch.
Über eine rege Teilnahme würde sich der Autor sehr freuen. Eine (natürlich anonyme) Teilnahme an der zugehörigen Befragung ist über den folgenden Link (oder QR-Code) möglich:
Wissenschaftliches Forschungsprojekt zum Einfluss der EBA Guidelines auf die Outsourcing-Aktivitäten deutscher Banken: https://www.survio.com/survey/d/R9M3O5F2A9O3G7D0I
PRAXISTIPPS
- Wie bei allen regulatorischen Anforderungen gilt: Prüfen Sie frühzeitig, ob und ab wann Ihr Institut den neuen Anforderungen unterliegt.
- Da die BaFin – bis auf wenige Ausnahmen – die Leitlinien der EBA grundsätzlich in ihre Verwaltungspraxis übernimmt, sollten sich auch Institute, die aktuell noch nicht den EBA-Leitlinien unterliegen, auf entsprechende Anpassungen in der nationalen Regulatorik (i. W. MaRisk & BAIT) vorbereiten.
- Alle Institute sollten sich demnach bereits heute mit den neuen Anforderungen an ihr Risiko- und Outsourcing-Management auseinandersetzen.
- Identifizieren Sie dieses anhand einer Gap-Analyse und terminieren Sie die jeweiligen Umsetzungsschritte.
- Überprüfen Sie Ihre Prozesse, organisatorischen Regelungen und Handbücher entsprechend.
Beitragsnummer: 3694