EBA Outsourcing Leitlinien: Auch Schweizer Banken sind betroffen

in Financial Services, 13.03.2019

Seit bald einem Jahr ist das revidierte FINMA Rundschreiben 2018/3 – Outsourcing Banken und Versicherer in Kraft. Erste Erfahrungen zeigen, dass die Institute besonderes bei der risikogerechten Überwachung ihrer Outsourcing Provider (und allfälligen Subprovidern) gefordert sind.

Während die Umsetzung der formellen Dokumentationsanforderungen an Weisungswesen, Inventar und Risikoanalyse in der Regel bereits weit fortgeschritten sind, besteht noch Umsetzungsbedarf bei der Implementierung eines robusten Outsourcing Governance- und IKS Frameworks. Und bereits wartet auf einen Grossteil der Schweizer Banken eine weitere, neue Herausforderung im Bereich Outsourcing, die in den nächsten Monaten immer mehr an Aktualität gewinnen wird. Betroffen sind insbesondere diejenigen Schweizer Banken, welche Dienstleistungen von in der EU domizilierte und regulierte Tochtergesellschaften oder Zweigniederlassungen beziehen oder gegenüber diesen erbringen. Unabhängig vom Gruppenkontext sind auch diejenigen Schweizer Banken betroffen, welche Dienstleistungen von einem in der EU domizilierten und regulierten Finanzinstitut beziehen.

EBA Outsourcing Leitlinien

Vor dem Hintergrund der Digitalisierung, der zunehmenden Bedeutung von FinTech-Unternehmen und der Bedeutung von Cloud Service Providern hat die Europäische Bankenaufsichtsbehörde (EBA) die aus dem Jahr 2006 stammenden, eher prinzipienbasierten CEBS Leitlinien zu Outsourcing umfassend überarbeitet. Das Resultat ist ein harmonisiertes europäisches Rahmenregelwerk, das am 25. Februar 2019 veröffentlicht wurde. Es enthält detaillierte Anforderungen an die Outsourcing-Verhältnisse von CRR-Kreditinstituten und -Wertpapierfirmen sowie Zahlungs- und E-Geld-Institute, die der PSD2 bzw. der E-Geld-Richtlinie unterliegen. Die im Jahre 2018 veröffentlichten Empfehlungen zur Auslagerung an Cloud-Anbieter wurden weitgehend in die EBA Leitlinien integriert.

Die Anforderungen der EBA Outsourcing Leitlinien sind weitgehend gleichgerichtet mit den denjenigen des FINMA Rundschreibens 2018/3 – Outsourcing Banken und Versicherer (FINMA Outsourcing Rundschreiben). Während sich die FINMA jedoch bewusst für eine mehr prinzipienorientierten Ansatz entschied und für die konkrete Umsetzung auf die Eigenverantwortung der Institute verwies, formulieren die EBA Outsourcing Leitlinien auf rund 30 Seiten die jeweiligen Anforderungen detailliert aus.

Die EBA hat den Begriff Outsourcing weiter gefasst als die FINMA und versteht darunter, jede Vereinbarung zwischen den von den neuen Leitlinien betroffenen Instituten und einem Dienstleister, der einen (Sub-) Prozess, eine Dienstleistung oder eine Funktion für die Institute ausführt. Ebenfalls äussert sich die EBA zu Abgrenzungsfragen im Outsourcing Bereich, indem gewisse Dienstleistungen prinzipiell vom Anwendungsbereich ausgeschlossen werden. Die Institute können das Proportionalitätsprinzip bei ausgelagerten Aktivitäten hinsichtlich Grösse, Organisationsstruktur, Art, Umfang und Komplexität anwenden. Intra-group Outsourcing sind, wie im FINMA Outsourcing Rundschreiben, Vereinbarungen mit Dritten gleichgestellt. Die EBA anerkennt jedoch, wie die FINMA auch, dass bei Outsourcings innerhalb einer Gruppe ein höheres Kontrollniveau über die ausgelagerten Aktivitäten vorhanden ist, was entsprechend in der Risikobeurteilung zu berücksichtigen ist. Die Richtlinien sehen auch vor, dass die Interne Revision in Anwendung eines risikobasierten Ansatzes einen unabhängigen Review über ausgelagerte Aktivitäten vornehmen sollte, wobei die EBA minimale Fokuspunkte vorgibt.

Institute sollten alle Risiken, im speziellen operationelle Risiken aus “Third-Party”- Beziehungen – und zwar ungeachtet, ob es sich um Auslagerungen handelt oder nicht – identifizieren, bewerten, überwachen, managen, rapportieren und allenfalls mitigieren.

Ein robustes Outsourcing Governance Framework sollte folgende Elemente umfassen:

  • Effektive und tägliche Bewirtschaftung durch das obere Management;
  • Effektive Aufsicht durch das Management/Outsourcing Komitee ;
  • Aussagekräfte Weisung & etablierte Outsourcing Prozesse;
  • Effektives und effizientes IKS inkl. Outsourcing Funktionen;
  • Identifikation, Bewertung, Überwachung, Management, Berichterstattung und allenfalls Minderung aller Risiken für kritische oder wichtige Outsourcing;
  • Angemessene Exit-Pläne für Outsourcing Vereinbarungen von kritischen oder wichtigen Funktionen;
  • Effektive Aufsicht durch die massgebliche Behörde inkl. derjenigen für die ausgelagerte Funktion.

Für die Auslagerung von kritischen oder wichtigen Funktionen, die zur Erfüllung der Vorgaben der CRR, der CRD IV, der PSD 2, der E-Geldrichtlinie oder von MiFID II, nötig sind, gelten zusätzliche Anforderungen resp. Minimalkriterien. Die EBA Vorgaben hinsichtlich Pre-Outsourcing Analyse, Due Diligence Prozess, Register, Weisung und Vertragswesen gehen im formalen Detaillierungsgrad weit über die Anforderungen im FINMA Outsourcing Rundschreiben hinaus.

Die neuen Leitlinien treten am 30. September 2019 in Kraft und sind in nach diesem Datum eingegangene Outsourcingbeziehungen unmittelbar umzusetzen. Für bestehende Outsourcing-Beziehungen gilt eine Übergangsfrist bis 31. Dezember 2020 (eine Ausnahme gilt für Clound-Outsourcings). Damit haben die betroffenen Schweizer Banken weitaus weniger Zeit für die Anpassung ihrer bestehenden Outsourcing-Beziehungen als unter dem FINMA Outsourcing Rundschreiben. Betroffene Institute sollten bestehende Outsourcings einem Review unterziehen und die notwendigen Anpassungen koordiniert vornehmen. Sollte der Review von Auslagerungsverhältnissen von kritischen oder wichtigen Funktionen nicht bis zum 31. Dezember 2020 finalisiert werden können, ist die “massgebliche Behörde” mit Handlungsempfehlungen zu informieren.

Handlungsbedarf

Obwohl es sich um eine EU-Regulierung handelt, können Schweizer Banken mit Berührungspunkten in die EU betroffen sein.

Vom Anwendungsbereich der EBA Leitlinien erfasst sein können Schweizer Banken, falls eine der folgenden Fragen bejaht werden muss:

  • Haben Sie von den EBA Leitlinien erfasste Tochtergesellschaften oder Zweigniederlassungen in der EU (MiFID II Unternehmen, Kreditinstitute, etc.) und beziehen Sie von diesen oder erbringen diesen gegenüber Dienstleistungen?
  • Beziehen Sie Dienstleistungen an einen von den EBA Leitlinien erfassten Finanzdienstleister in der EU?
  • Bestehen Sub-Outsourcing Verhältnisse in den EU-Raum?

Schweizer Instituten, die vom Anwendungsbereich der EBA Leitlinien erfasst werden, empfehlen wir, eine Gap-Analyse durchzuführen. So kann festgestellt werden, inwieweit bereits unter dem FINMA Outsourcing Rundschreiben erfüllte Anforderungen den von den EBA Leitlinien gestellten Anforderungen entsprechen. Auch kann identifiziert werden, welche zusätzlichen Massnahmen allenfalls zu ergreifen sind.

Da das FINMA Outsourcing Rundschreiben für bestehende Outsourcings, an welchen keine materiellen Änderungen vorgenommen werden, eine Übergangsfrist bis 1. April 2023 vorsieht und viele Institute die Implementierung des neuen Governance- und IKS Frameworks noch nicht abgeschlossen haben, sollten die neuen EU Anforderungen mit überblickbarem Aufwand in die bestehenden Projekte integriert werden können.

Der 5-Jahres Übergangsplan zur Einhaltung des FINMA Outsourcing Rundschreibens sollte von den betroffenen Instituten mit einer Vielzahl von Outsourcing-Verhältnissen eng mit den (kürzeren) Übergangsfristen der EBA Leitlinie abgestimmt werden.

 

 

Unsere Dienstleistungen und weitere Informationen:

 


Leave a Reply

Your email address will not be published.