Der Entwurf des FINMA RS zum Thema Outsourcing und seine Auswirkungen auf die Bank

Anfangs Dezember 2016 hat die Finanzmarktaufsicht ein angepasstes Rundschreiben zum Thema Outsourcing in die Anhörung geschickt. Bis Ende Januar 2017 haben die Adressaten nun Zeit zu dieser vorfinalen Version Stellung zu nehmen. Das Rundschreiben 2008/07 wird somit komplett überarbeitet und bietet einigen Anpassungsbedarf in den bestehenden Prozessen. Ziel dieses Blogbeitrags ist es kurz aufzuzeigen, welche Änderungen in dieser Version angedacht sind, und welchen möglichen Impact dies auf bestehende Prozesse haben könnte. Abschliessen würde ich in einer Art Checkliste, die als Gedankenstütze dienen soll, um bereits jetzt schon gewisse Teilbereiche vertieft zu analysieren, da die Inkraftsetzung auf Mitte Jahr terminiert ist.

Kernelemente

Die überarbeitete Version kommt schlanker daher. Es vermag den Eindruck erwecken, dass dies etwaig mit weniger “Arbeit” verknüpft sein könnte. Doch vor diesem vorschnellen Entscheid möchte ich abraten. Wie immer steckt der Teufel im Detail. Gerne möchte ich in den folgenden Zeilen auf die wesentlichen Änderungen eingehen und daraus im Referenzprozess ableiten, was dies in einem Grundsetup des Sourcing-/Servicemanagements bedeuten würde.

Gruppeninterne Sourcings werden dem Rundschreiben ebenfalls unterstellt

Eine aus meiner Überzeugung folgerichtige und gewichtige Änderung wird es sein, dass gruppeninterne Sourcings von wesentlichen Dienstleistungen zur Mutter, Schwester oder zur Tochter unter das Rundschreiben fallen werden. Der Regulator begründet die Ausweitung damit, dass die gruppeninternen Sourcings nicht mit weniger Sorgfalt zu behandeln seien und einer nicht weniger intensiven Überwachung durch die Bank zu unterziehen sei.

Diese Neuordnung hat insbesondere auf die operative Überprüfung der Leistungserbringung einen Ausfluss. Zusätzliche Kontrollmechanismen müssten aufgebaut werden, um dem Rundschreiben gerecht zu werden. Denn, so der Einblick in verschiedene Unternehmungen zeigen, dass das gruppeninterne Verhältnis meist als “Inhouse” Verhältnis angeschaut wird und den potenziellen Risiken zu wenig Rechnung getragen wird. Das zusätzliche Erfordernis der Erstellung eines Sicherheitsdispositivs wird auch in meinen Augen eines der ersten grösseren Schritte sein, die umzusetzen ist.

Inventarisierung

Was in der Versicherungsbranche bereits etabliert ist, wird nun in der Bankenbranche ebenfalls Einzug halten. Die Finanzmarktaufsicht verlangt neu über die ausgelagerten Dienstleistungen ein aktuell zu haltendes Inventar zu führen. Da dieses Rundschreiben die wesentlichen Dienstleistungen regelt, ist die Inventarliste ebenfalls nur über die wesentlich ausgelagerten Dienstleistungen zu führen. Der Regulator begründet diese neue Regelung in seinen Erläuterungen damit, dass einerseits zur Überwachung operationeller Risiken eine Inventarisierung erforderlich ist und andererseits dieses Inventar in einem Sanierungsfall Klarheit über den Bestand ausgelagerter Dienstleistungen schafft.

Legt man diese Regelung teleologisch aus, so bin ich der Ansicht, dass man hier einen Schritt weiter gehen soll und auch die nicht-wesentlichen Dienstleistungen in den Katalog mit aufnehmen muss. Abzuwägen ist dann natürlich der Aufwand für die Erstellung und die Pflege im Verhältnis zum festgelegten Ziel.

Zusätzliche Regelungen für systemrelevante Banken

Die explizit aufgeführten Regelungen für systemrelevante Banken ziehen sich in der Schweizer Regulationslandschaft durch, wie ein roter Faden. “Aus diesem Grund gilt neu, dass systemrelevante Banken kritische Dienstleistungen nicht an andere Banken innerhalb derselben Gruppe auslagern dürfen.” Denn die gruppeninterne Verschiebung der Leistungserstellung erhöht die Komplexität und erschwert die Restrukturierung in einem Krisenfall. Mit Verweis auf das Bankengesetz und die Bankenverordnung muss so ein Krisenfall in einem Notfallplan aufgefangen werden und aufzeigen, wie die Funktionsweise in einem Krisenfall sichergestellt ist.

Neuerungen bei Auslagerungen ins Ausland

Neuerdings besteht gegenüber der FINMA eine Informationspflicht, wenn Auslagerungen ins Ausland geplant sind und das Sourcing die Bearbeitung von CIDs (Client Identifying Data (Kundenidentifikationsdaten)) betrifft.

Desweiteren wurde eine Erweiterung in die vorfinale Version eingefügt, wonach im Falle eines Sanierungsfalls der Zugriff auf die Daten im Ausland sichergestellt werden muss.

“Zugriff” meint die Lesbarkeit der Daten sowie die Möglichkeit ihrer Bearbeitung in der Schweiz. Banken und Versicherungsunternehmen haben die Datenverwahrung ausserdem so auszugestalten, dass sie den Einsichtsrechten der Kunden jederzeit entsprechen können.

Sind bei Banken derzeit solche Soucings mit Auslandsbezug umgesetzt, müssen v.a. auf der Vertragsseite die ersten Analysen gestartet werden. Fokus ist die Sicherstellung des Zugriffs im Falle einer Abwicklung oder Sanierung einer Bank. Auf IT-Ebene sehe ich einige Anpassungen, um diese Regelung sicherstellen zu können.

Vereinfachung der Handhabung mit privatrechtlich geschützten Daten

Mit der konsequenten Ausrichtung des Rundschreibens auf aufsichtsrechtliche Themengebiete, hat die neue Version des Outsourcingrundschreibens keinerlei datenschutzrechtliche Bestimmungen mehr (ausser der Umstand, dass wenn ein Dienstleister Zugriff auf CID hat, dass die Erbringung der Leistung als wesentlich eingestuft wird). Prozessual vereinfacht dies die Handhabung, da dies nicht mehr regulationsübergreifend überwacht werden muss, sondern gebündelt über das Privatrecht.

Implikationen auf die Bank

Implikationen auf die Strategie

Das neue Rundschreiben wird die Sourcingstrategien der Banken nicht auf den Kopf stellen. Es müssen sich unter Berücksichtigung dieses Rundschreibens doch eins, zwei zusätzliche Fragen gestellt werden.

  • Bei systemrelevanten Banken – Organisation von kritischen Dienstleistungen, die man gruppenintern gesourct hat
  • Synchronisierung der gruppenexternen und gruppeninternen Sourcings in puncto Onboarding, Servicevereinbarung, operatives Tagesgeschäft und Weiterentwicklung
  • Sourcings ins Ausland – v.a. wenn der Zugriff auf die Daten jederzeit sichergestellt sein muss
Implikationen auf die Prozesse

Im Folgenden sind die oben beschriebenen Kernelemente und deren Auswirkungen auf dem Referenzprozess Servicemanagement abgebildet. Dabei wurde subjektiv die Tätigkeit oder der Teilprozess eingefärbt, in wie starkt der Impact der Neuerung auf den bestehenden Prozess sein wird.

Implikationen des neuen FINMA RS auf den Referenzprozess Servicemanagment

In der Kommentarfunktion können Sie Ihre Meinung über die Stärke der Implikation zur Diskussion stellen.

Checkliste

Unter Berücksichtigung der Übergangsbestimmungen, die da lauten, dass alle Sourcingbeziehungen innerhalb der nächsten zwei Jahre nach Inkrafttreten den Bestimmungen angepasst werden müssen, sind die folgenden Absätze als Gedankenstützen zu verstehen;

  • Überprüfung der bestehenden und in Bearbeitung stehenden Rahmenverträge mit Sourcing-Partnern
  • Überprüfung oder Erstellung und Anpassung der/von gruppeninternen SLAs – Fokus bei der Überprüfung sollte bei den Regelungen in puncto Sicherheitsdispositiv liegen (insb. Sourcing von IT Dienstleistungen)
  • Überprüfung der Implikationen auf die “Retained Organisation”
  • Schaffung einer zentralen Funktion für das managen der Sourcingbeziehungen bzw. bei bestehender Stelle eine Überprüfung der angehängten Sourcing-Prozesse
  • Erstellung einer Inverntarliste von wesentlichen Dienstleistungen. Ich persönlich würde gar einen Schritt weiter gehen und auch nicht wesentliche Dienstleistungen inventarisieren.
  • Bei systemrelevanten Banken – Identifikation von kritischen Dienstleistungen, die innerhalb der Gruppe erbracht werden, Lokalisierung des Soucing und etwaiges Rücksourcing in die eigene Rechtspersönlichkeit.
  • Aufbau oder Erweiterung des Kontrollsystems innerhalb des Servicemanagements – v.a. in Bezug auf die gruppeninternen Sourcings.
  • Erweiterung der MKS Kontrollen, um die gruppeninternen Sourcings, den Kontrollen in der Auswahl, Instruktion und Kontrolle der Dienstleister
  • Erweiterung der Kontrollen in gruppenübergeordneten Kontroll-/Inspektionsinstanzen

Kontakt

Wünschen Sie eine Überprüfung Ihrer Strategie und Prozesse im Lichte des neuen FINMA Rundschreibens?

Nehmen Sie mit uns Kontakt auf.

Kommentar verfassen