STRATEGIE8. April 2019

Neue EBA-Outsourcing-Guidelines stellen Banken und Dienstleister zum 30.9.2019 vor Herausforderungen

Dr. Guido Drewes, GC&C AuditGC&C Audit

Am 25.2.2019 hat die Europäische Bankenaufsicht (European Banking Authority – EBA) die lange diskutierten neuen „Guidelines on outsourcing arrangements“ veröffentlicht. Darin integriert sind die Empfehlungen zur Auslagerung an Cloud-Anbieter aus 2017. Die Guidelines gelten für alle Finanzdienstleister in der Zuständigkeit der EBA, al­so über Ban­ken hin­aus auch für wei­te­re Fi­nanz­dienst­leis­ter. Es steht le­dig­lich noch die Über­set­zung in die of­fi­zi­el­len Amts­spra­chen der EU aus.

von Dr. Guido Drewes, GC&C Audit

Die Guidelines enthalten eine Reihe neuer oder substanziell geänderter Erwartungen, auch wenn viele Einzelregelungen nur eine Bestätigung oder Präzisierung der bereits in den bestehenden MaRisk definierten Anforderungen darstellen.

Zur Umsetzung der erweiterten Anforderungen werden für bestehende Auslagerungen Übergangsfristen gewährt, da vielfach Vertragsanpassungen erforderlich sein werden. Bei neuen Auslagerungen oder Änderungen bestehender Vereinbarungen ab dem 30.9.2019 sind die Anforderungen jedoch schon vollständig einzuhalten.

Aufgrund der teilweise umfangreichen Anpassungsbedarfe werden Banken im Regelfall umgehend in eine Gap-Analyse und die entsprechende Umsetzung einsteigen (müssen). Die Dienstleister sollten sich daher darauf einstellen, von ihren Auftraggebern kurzfristig mit den neuen Anforderungen konfrontiert zu werden.”

Leitgedanken der neuen Guidelines

Die EBA-Guidelines sind da.
EBA

Die Gui­de­li­nes (PDF) ver­fol­gen im Rah­men der eu­ro­päi­schen Har­mo­ni­sie­rung der „In­ter­nen Go­ver­nan­ce“ das Ziel, Trans­pa­renz und Ri­si­ko­be­wusst­sein zu stei­gern und die je­der­zei­ti­ge tat­säch­li­che Be­herr­schung des Aus­la­ge­rungs­ri­si­kos si­cher­zu­stel­len. Die Ver­ant­wor­tung der Ge­schäfts­lei­tung der Ban­ken wird da­bei deut­lich her­vor­ge­ho­ben: die ge­sam­te Ge­schäfts­lei­tung ist je­der­zeit für al­le Aus­la­ge­run­gen ver­ant­wort­lich. Sie kann sich al­so nicht z. B. dar­auf zu­rück­zie­hen, dass sie auf kon­zern­in­ter­ne oder in­sti­tuts­grup­pen­ei­ge­ne Dienst­leis­ter kei­nen Ein­fluss hat, oder dass Aus­la­ge­run­gen im Vor­feld als un­we­sent­lich klas­si­fi­ziert worden sind.

Aktuell kommt es nicht selten vor, dass Dienstleister in der Zusammenarbeit mit ihren Auftraggebern faktisch am längeren Hebel sitzen. Das Vertragsverhältnis erfüllt natürlich formal alle regulatorischen Anforderungen, aber der Auftraggeber ist operativ und vor allem strategisch in einer Abhängigkeit – „der Schwanz wedelt mit dem Hund“. Genau solche Leistungsbeziehungen werden von den neuen Richtlinien besonders ins Visier genommen. Wer sich also als Dienstleister derzeit allzu sehr auf seiner Position der Stärke ausruht, darf sich auf besonders große Änderungen einstellen.

Risikomanagement ist Dreh- und Angelpunkt der neuen Guidelines

Zentrales Thema der neuen Guidelines ist die Einschätzung des mit der Auslagerung verbundenen Risikos: zunächst, um zu entscheiden, ob es sich überhaupt um eine Auslagerung handelt („assessment“), sodann um festzustellen, ob eine Auslagerung kritisch für das Institut ist („pre-outsourcing analysis“), und schließlich als Risikoanalyse („risk assessment“), deren Ergebnis in die Ausgestaltung des Risikomanagements für diese Auslagerung einfließt. Das Ergebnis dieser mehrstufigen Risikoprüfung ist stets zu dokumentieren und regelmäßig zu aktualisieren.

Klargestellt wurde, dass z.B. der Einkauf von Büroausstattung oder Facility Management-Leistungen unverändert keine Auslagerung darstellt (Ziffer 28 der Guidelines). Aber auch zu diesen „normalen“ Fremdbezügen ist im Vorfeld ein Assessment erforderlich.

Autor Dr. Guido Drewes, GC&C Audit
Dr. Guido Drewes ist Bankkaufmann, Di­plom-Kauf­mann und Pro­ject Ma­nage­ment Pro­fes­sio­nal (PMP). Nach über 20 Jah­ren Er­fah­rung als Stra­te­gie- und Ma­nage­ment-Be­ra­ter für Fi­nanz­dienst­leis­ter hat er En­de 2018 ge­mein­sam mit ei­ner Wirt­schafts­prü­fe­rin GC&C Audit gegründet. Die GC&C Au­dit Wirt­schafts­prü­fungs­ge­sell­schaft, Düs­sel­dorf, ist seit ih­rer Grün­dung En­de 2018 auf Au­dits zu Fra­ge­stel­lun­gen rund um Go­ver­nan­ce, Com­p­li­an­ce so­wie Chan­ge- und Pro­jekt­ma­nage­ment für Ban­ken und Fi­nanz­dienst­leis­ter spezialisiert.

Der Begriff der kritischen Auslagerungen, für die besonders intensive Analysepflichten gelten, wird weit gefasst (Ziffern 29-31 der Guidelines), und die Banken werden im Zweifel daher deutlich mehr Risikoanalysen vornehmen und laufend aktualisieren müssen als bisher.

Interessenkonflikte sind dabei ausdrücklich zu identifizieren und bewerten (Ziffern 45-47 der Guidelines) – ein besonders heikles Thema bei konzern- bzw. institutsgruppeninternen Auslagerungen oder bei der Ausgliederung von bislang internen Einheiten z.B. in Service-Gesellschaften.

Der im Rahmen der Outsourcing Policy zu definierende Auslagerungsprozess (Ziffer 40 der Guidelines) enthält für geplante kritische Auslagerungen oder Veränderungen der Risikoeinschätzung auch eine frühzeitige Anzeige an die Aufsicht (Ziffer 58 der Guidelines).

Im Zuge der Risikoprüfung ist je nach Risikogehalt eine Due Diligence der Dienstleister durchzuführen – angefangen mit der organisatorischen Aufstellung bis hin zur Eigentümerstruktur und zur wirtschaftlichen Situation (Ziffer 61 und 69-73 der Guidelines) – schließlich könnte es bei hoher Abhängigkeit erforderlich werden, zur Aufrechterhaltung des Betriebs dem Dienstleister finanziell unter die Arme zu greifen. Aber auch die Kompatibilität von Verhaltenskodizes und Wertesystem des Dienstleisters zu dem der Bank, sein Verständnis der sozialen Verantwortlichkeit etc. sind zu prüfen.

Die Anbieter müssen sich daher im Rahmen der Risikoprüfung vor und während der Auslagerung auf deutlich mehr und detailliertere, aber auch völlig neuartige Fragen der Banken einstellen.”

Weitere neue und geänderte Anforderungen im Überblick

Sämtliche Auslagerungen sind in einem zentralen Auslagerungsregister zu dokumentieren und aktuell zu halten. Der ohnehin beachtlich detaillierte Informationsbedarf (Ziffern 54-55 der Guidelines) steigt mit dem Risikogehalt der Auslagerung noch weiter und umfasst unter anderem einen Überblick über Leistungsmerkmale und vertragliche Regelungen, Risikoeinschätzung, Revisionsergebnisse, Exit-Strategie und alternative Dienstleister (!). Dieses Register sowie die Auslagerungsverträge stehen auf Abruf der Aufsicht zur Verfügung.

Weiterverlagerung an Sub-Dienstleister gefährdet die Governance aus Sicht der Bank und ist von der Aufsicht grundsätzlich nicht gewünscht – zumindest nicht in Länder außerhalb der EU. Falls ein vertraglicher Ausschluss nicht möglich ist, sind Ankündigungsfristen, Zustimmungserfordernisse etc. vertraglich zu verankern (Ziffern 76-80 der Guidelines). Die Dienstleister müssen sich also auf eine ggf. deutliche Einschränkung ihrer Flexibilität einstellen.

Mehrfach-Dienstleister, d.h. Anbieter, die ihre Leistungen für viele Banken z.B. in einer Institutsgruppe erbringen, müssen den gleichen Anforderungen genügen. Das heißt also, dass Mängel bei den großen IT-Dienstleistern der Sparkassenorganisation bzw. der Genossenschaftlichen Bankengruppe jedem einzelnen Institut angelastet werden. Um die Governance-Anforderungen zu erfüllen, dürfen sich die Banken zwar zusammenschließen und z.B. gemeinsame oder arbeitsteilige Revisionsprüfungen vornehmen. Die Dienstleister müssen sich jedoch darauf einstellen, dass jeder einzelne Kunde seine individuelle Überwachungsintensität deutlich erhöhen wird – inkl. Reporting-Anforderungen, frühzeitiger Informationsverpflichtung bei Veränderungen, Zugang zu Revisionsberichten etc. (Ziffern 22/23 der Guidelines).

Die EBA-Guidelines fordern eine Exit-Strategie zum Outsourcing
peshkov/bigstock.com

Exit-Strategien sind sehr konkret auszugestalten und in enger Zusammenarbeit mit dem Business Continuity Management auch zu validieren – soweit durchführbar nicht nur als Simulation, sondern als tatsächlicher Test. Als BCM-relevanter „Notfall“ und Auslöser für einen Exit gilt dabei auch z.B. eine unakzeptable Verschlechterung der Leistungsqualität des Dienstleisters (Ziffer 106-108 der Guidelines).

Anspruch an eine Exit-Strategie ist, dass die Funktion entweder an einen anderen Dienstleister übertragen, selbst erbracht oder eingestellt werden kann (Ziffern 40 sowie 106ff. der Guidelines). Zwar gibt es bei Exit-Strategien Erleichterungen bei „captive“-Dienstleistern, also wenn die Auslagerung konzern- oder gruppenintern stattfindet. Bei allen anderen Auslagerungen müssen die Banken aber einen deutlich höheren Aufwand treiben, um bei Bedarf die Auslagerung tatsächlich auch zurückholen zu können – etwa durch Vorhalten einer „retained organisation“ mit entsprechendem Know-How.

Die Dienstleister müssen sich zunächst darauf einstellen, dass die Banken zusätzliche Anforderungen z.B. an die laufende Bereitstellung von Dokumentationen und operativen Daten stellen, um den „Exit“ reibungsloser vollziehen zu können.”

Da die Banken im Rahmen ihrer Exit-Strategien jederzeit Transparenz über mögliche alternative Anbieter haben müssen, sind sie aber auch in Vertragsgesprächen deutlich besser aufgestellt und werden höhere Erwartungen an ihre Dienstleister formulieren.

Unverändert erwartet die Aufsicht, dass sämtliche Auslagerungen in der Prozess-Hoheit der Bank bleiben. Insbesondere ist der Zugang zu Geschäftsräumen und Rechenzentren der Dienstleister zu ermöglichen – auch bei Cloud-Anbietern! – , die Revision darf und soll eigene Prüfungen bei den Dienstleistern durchführen und vieles mehr. Die Anforderungen an die vertraglichen Vereinbarungen wurden dazu deutlich ausgeweitet (Ziffer 74-75 sowie 85ff. der Guidelines), so dass in vielen Fällen Vertragsanpassungen erforderlich sein werden. Die Dienstleister sollten sich also auf Nachverhandlungen zu bestehenden Vereinbarungen einstellen.

Bemerkenswert ist, dass die Aufsicht die gleichen Governance-Anforderungen wie bei externen Dienstleistern schon bisher im Prinzip auch an konzerninterne Auslagerungen stellt. So ist das eine oder andere Institut, das z.B. seine Refinanzierung oder die Treasury an die Konzernmutter ausgelagert hat, in Sonderprüfungen nach §44 des Kreditwesengesetzes unangenehm aufgefallen, weil die Marktgerechtheit („at arm’s length“) der von der Konzernmutter berechneten Verrechnungspreise nicht überwacht wurde.

Also auch bei der konzern- oder gruppeninternen Auslagerung bleibt jede einzelne Bank in der vollen Verantwortung und muss entsprechende Steuerungs- und Überwachungsinstrumente implementieren.

Schritte zur Umsetzung durch die Banken

EBA-Guidelines: Frühzeitig GAP-Analyse vorlegen!
jozefmicic/bigstock.com

Alle Banken sind gut beraten, umgehend eine Gap-Analyse zu starten. Die Handlungsbedarfe werden stark unterschiedlich ausfallen, enthalten jedoch zumindest die Ak­tua­li­sie­rung und Er­gän­zung der Ri­si­ko­ana­ly­sen so­wie die In­for­ma­ti­ons­zu­sam­men­stel­lung für das zen­tra­le Auslagerungsregister.

Viele Institute dürften die Überprüfung der vorhandenen Risikoanalysen nutzen, sowohl die Sinnhaftigkeit bestehender Auslagerungen zu hinterfragen als auch die Wirksamkeit des Risikomanagements und damit der gesamten Auslagerungssteuerung zu bewerten. Auch werden Gespräche zur Anpassung laufender Verträge genutzt werden, um materielle Änderungswünsche zu platzieren.

Handlungsbedarf für die Dienstleister

Auf die Dienstleister kommen damit sowohl operative als auch strategische Herausforderungen zu.

Operativ muss damit gerechnet werden, dass die Banken zu bestehenden Auslagerungsbeziehungen teilweise umfangreiche Detailinformationen anfordern werden. Diesen Informationsbedürfnissen muss zeitnah nachgekommen werden, da die Banken sonst ihrerseits gegenüber der Aufsicht eine Anzeigepflicht haben, die dann Prüfungen bei den Dienstleistern veranlassen könnte.

Strategisch sollten sich die Dienstleister auf schwierigere Vertragsverhandlungen und eine deutlich steigende Überwachungsintensität einstellen. Die nochmalige Klarstellung der Gesamtverantwortung der Geschäftsleitung der Bank für alle Auslagerungen wird auch dazu führen, dass die Top Management Attention deutlich zunimmt und z.B. der Vorbereitungsaufwand für laufende Vertrags- und Service Level-Gespräche ansteigt.

Sowohl operativ als auch strategisch müssen sich die Dienstleister darauf vorbereiten, dass die Banken deutlich intensiver als bisher üblich Einblick in und Einfluss auf die internen Strukturen und Prozesse nehmen.”

Eine kritische Selbstreflexion ist also angezeigt, inwieweit die eigenen Standards und Abläufe gegenüber dem Kunden „vorzeigbar“ sind. So ist z.B. der Einsatz von Sub-Dienstleistern nicht mehr ohne Abstimmung oder zumindest vorherige Information an den Kunden möglich; diese Einschränkung der Flexibilität kann die Überprüfung der eigenen Prozesse zum Ressourcen- und Skill-Management erforderlich machen.

Last but not least: Eine Konzentration auf wenige Outsourcing-Partner stellt aus Sicht der einzelnen Bank ein Klumpenrisiko dar; die Banken werden daher ihre Dienstleister nach Möglichkeit gezielt „streuen“. Vertriebliche Aktivitäten oder Erweiterungen des Leistungsangebots der Dienstleister könnten hier zunehmend an ihre Grenzen stoßen.

Ergebnis und Empfehlung zum Vorgehen

Die neuen EBA-Guidelines zum Outsourcing können je nach Ausgangsbasis weitreichende Auswirkungen auf die Dienstleister haben – zumindest, wenn sie auch künftig noch Auslagerungsprodukte für Banken anbieten wollen. Ungeachtet bestehender vertraglicher Verpflichtungen wird faktisch die Notwendigkeit entstehen, die Kunden in der Umsetzung der neuen aufsichtsrechtlichen Anforderungen zu unterstützen und dabei sehr pragmatisch auch ggf. weitreichende Zugeständnisse zu machen.

Dienstleister sollten daher ebenso wie ihre Auftraggeber in eine Gap-Analyse einsteigen – in welcher Form und Intensität hängt sicherlich von der initialen Qualitätseinschätzung ab.

Klar ist: Das Auslagerungsmanagement von Banken hat für die Aufsicht eine derart hohe Bedeutung, dass ein „Aussitzen“ durch die Dienstleister keine Option darstellt.”Dr. Guido Drewes

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert