Auslagerung: EBA Governance-Regelungen
Welche Governance-Regelungen sind bei Auslagerungen zu beachten? Auslagerungen: EBA Governance-Regelungen stellen hohe Anforderungen. Durch die Auslagerung dürfen die für die Mitglieder des Leitungsorgans des Instituts, der Direktoren oder der für das Management des Zahlungsinstituts bzw. Schlüsselfunktionsträger anzuwendenden Eignungskriterien nicht abgesenkt werden. Die Institute und Zahlungsinstitute sollten über eine angemessene Kompetenz sowie ausreichende und angemessen qualifizierte Ressourcen verfügen, um ein angemessenes Management und die Überwachung von Auslagerungsvereinbarungen sicherzustellen.
Die Institute und Zahlungsinstitute sollten
- eine eindeutige Zuweisung der Zuständigkeiten für die Dokumentation, das Management und die Kontrolle von Auslagerungsvereinbarungen vornehmen;
- ausreichende Mittel zuweisen, um die Erfüllung aller rechtlichen und aufsichtlichen Anforderungen zu gewährleisten, einschließlich der vorliegenden Leitlinien und der Dokumentation und Überwachung aller Auslagerungsvereinbarungen;
- unter Berücksichtigung von Abschnitt 1 dieser Leitlinien eine Auslagerungsfunktion einrichten oder eine Führungskraft benennen, die unmittelbar dem Leitungsorgan unterstellt ist (z. B. ein Inhaber einer Schlüsselfunktion hinsichtlich einer Kontrollfunktion) und für die Steuerung und die Kontrolle der Risiken von Auslagerungsvereinbarungen als Teil des internen Kontrollrahmens des Instituts und die Überwachung der Dokumentation von Auslagerungsvereinbarungen verantwortlich ist. Kleine und weniger komplexe Institute oder Zahlungsinstitute sollten mindestens eine klare Trennung von Aufgaben und Zuständigkeiten für das Management und die Kontrolle von Auslagerungsvereinbarungen sicherstellen und können die Auslagerungsfunktion einem Mitglied des Leitungsorgans des Instituts oder Zahlungsinstituts übertragen.
Auslagerung: EBA Governance-Regelungen
Die Institute und Zahlungsinstitute sollten stets eine ausreichende Substanz wahren und nicht zu „leeren Hüllen“ oder „Briefkastenfirmen“ werden. Zu diesem Zweck sollten sie
- stets alle Voraussetzungen ihrer Zulassung erfüllen, einschließlich der wirksamen Wahrnehmung seiner Zuständigkeiten durch das Leitungsorgan entsprechend den Ausführungen in Abschnitt 36 der Outsourcing-Leitlinien;
- einen klaren und transparenten organisatorischen Rahmen und eine Struktur aufrechterhalten, die es ihnen ermöglichen, die Einhaltung der rechtlichen und aufsichtlichen Anforderungen sicherzustellen;
- bei der Auslagerung von operationellen Aufgaben von internen Kontrollfunktionen (z. B. im Fall einer gruppeninternen Auslagerung oder der Auslagerung im Rahmen von institutsbezogenen Sicherungssystemen) eine geeignete Aufsicht ausüben und die Fähigkeit zur Steuerung der Risiken besitzen, die durch die Auslagerung kritischer oder wesentlicher Funktionen entstehen; sowie
- über ausreichende Mittel und Kapazitäten verfügen, um die Erfüllung der Buchstaben a bis c sicherstellen.
Mindestanforderungen bei Auslagerungen
Bei Auslagerungen sollten die Institute und Zahlungsinstitute mindestens sicherstellen, dass sie Entscheidungen bezüglich ihrer Geschäftstätigkeiten und kritischen oder wesentlichen Funktionen treffen und umsetzen können, einschließlich derjenigen, die Gegenstand einer Auslagerung sind.
Die EBA Governance-Regelungen fordern, daß die Ordnungsmäßigkeit ihrer Geschäftstätigkeit und der erbrachten Bank- und Zahlungsdienste aufrecht erhalten werden kann. Die mit bestehenden oder geplanten Auslagerungsvereinbarungen verbundenen Risiken müssen ordnungsgemäß ermittelt, bewertet, gesteuert und gemindert werden, einschließlich der mit der IT und Finanztechnologie verbundenen Risiken.
Es sind geeignete Vertraulichkeitsvereinbarungen bezüglich der Daten und sonstigen Informationen zu vereinbaren. Auch ist der Informationsaustausch an bedeutenden Informationen mit dem Dienstleister sicherzustellen. Mit Blick auf die Auslagerung von kritischen oder wesentlichen Funktionen müssen mindestens eine der folgenden Maßnahmen innerhalb eines angemessenen Zeitrahmens ergriffen werden können:
- Übertragung der Funktion an alternative Dienstleister
- Wiedereingliederung der Funktion oder
- Einstellung der von der Funktion abhängigen Geschäftstätigkeiten;
Bei der Verarbeitung von personenbezogenen Daten durch einen Dienstleister in der EU und/oder in einem Drittland sind geeignete Maßnahmen durchzuführen. Es ist sicherzustellen, daß die Daten gemäß der Verordnung (EU) 2016/679 verarbeitet werden.
Auslagerung: Governance Regelungen + Third Party Risk
[…] Verantwortlichkeit des […]