Veranstaltung zu Informationssicherheits-Compliance
Höhere Anforderungen beim Outsourcing
 

Immer mehr Banken setzen auf Auslagerungen. Doch der Teufel steckt im Detail. Die Europäische Bankenaufsichtsbehörde legt in neuen Guidelines fest, worauf die Institute achten müssen.

In der Bankenwelt nimmt die Auslagerung von Dienstleistungen weiter zu. Das betrifft vor allem den IT-Sektor. Ein Grund hierfür ist der wachsende Kostendruck, dem die Institute ausgesetzt sind. Im Zug eines Outsourcing-Prozesses sind viele Vorschriften zu beachten. Die Europäische Bankenaufsichtsbehörde (EBA) setzte mit dem am 22. Juni 2018 veröffentlichten Konsultationspapier über Leitlinien zum Thema Auslagerungen den Rahmen für die Geldhäuser. Mit dem Entwurf sollen die CEBS-Guidelines zum Outsourcing aus dem Jahr 2006 aktualisiert werden. Die EBA verfolgt das Ziel, ihre bisherige Aufsichtspraxis einheitlich zu spezifizieren. 

Auf mehr als 50 Seiten legt die in London ansässige Behörde ihre Anforderungen an den Umgang mit Dienstleistern detailliert dar. Dabei hebt sie zunächst hervor, welch mittlerweile zentrale Stellung das Outsourcing in den Banken eingenommen hat. Erst im Jahr 2017 hatte die EBA Empfehlungen bezüglich der Behandlung von Cloud-Diensten veröffentlicht, die nun in die neuen Guidelines eingearbeitet wurden.

Die neuen Leitlinien enthalten klare Definitionen zum Outsourcing. Sie nennen konkrete Fälle, die nicht als Auslagerung einzustufen sind. Ferner legen sie Kriterien fest, ob eine ausgelagerte Aktivität als wichtig oder kritisch einzuschätzen ist. Sollte dies der Fall sein, müssen die Institute einen sogenannten Business Continuity Plan erstellen. Zudem ist darzulegen, welche Auswirkungen die wichtigen und kritischen Funktionen auf das Risikoprofil des Instituts haben könnten. Die Behörden sind bei einer Auslagerung solcher Aktivitäten im Voraus zu benachrichtigen. Verlangt wird auch eine gut begründete Exit-Strategie für alle sensiblen Funktionen. Die Exit-Pläne müssen zudem hinreichend geprüft und dokumentiert werden.

Umfangreiche Risikoprüfung des Dienstleisters

Sicherheit und Kontrolle sind wichtige Parameter im Rahmen eines Outsourcing-Prozesses. Es sei von zentraler Bedeutung, die Eignung des Dienstleisters zu prüfen, erläuterte der auf Bankaufsichtsrecht spezialisierte Jurist Matthias Terlau auf der Fachtagung „Informationssicherheits-Compliance 2018“ im Bank-Verlag. Man vertraue dem künftigen Partner mit der IT immerhin einen bedeutenden Geschäftsbereich an. Es habe keinen Sinn, jemanden zu beauftragen, der womöglich in fünf Jahren vom Markt verschwunden sei. Die neuen Guidelines sähen daher auch eine umfangreiche Risikoprüfung des Dienstleisters vor.

Die Institute sind darüber hinaus dazu angehalten, deutlich mehr Dokumentationsverpflichtungen nachzukommen als bislang. Neben den schriftlichen Auslagerungsverträgen müssen sie ein Register über all ihre Auslagerungsaktivitäten führen. Hieraus sollen mögliche Risiken eines geplanten Outsourcings hervorgehen. Diese Daten sind wiederum der Aufsicht zu melden. In den meisten Instituten dürften Anpassungen im Register notwendig werden.

Eine weitere wichtige Neuerung: Nicht nur Kredit-, sondern auch Zahlungsinstitute und Wertpapierfirmen, die der Aufsicht unterliegen, werden von den neuen EBA-Guidelines erfasst. Diese treten voraussichtlich am 30. Juni 2019 in Kraft. 

Kontakt  
Diesen Artikel ...  
Artikelinformationen 
Artikel veröffentlicht am:
28.11.2018
Quelle(n):
Bildquelle: ©olaser | istockphoto.com
Autor/in 
Dogan Michael Ulusoy
Weitere interessante Artikel 
Artikel abonnieren 
die bank | Newsfeed
Newsletter

die bank | Newsletter

Abonnieren Sie den kostenlosen redaktionellen Newsletter der Fachzeitschrift „die bank“.
Der Newsletter erscheint mindestens einmal im Monat und informiert Sie über aktuelle Beiträge und News.

 Anmeldung

 Newsletter-Archiv