Das neue Outsourcing Rundschreiben – Was ändert sich für die Banken? – Teil 1/2
Die FINMA hat am 05.12 das neue Outsourcing Rundschreiben veröffentlicht. Es brauchte ein gutes Jahr bis alle, der unzähligen Stellungnahmen, in die finalen Version einfliessen konnten. Dieser Beitrag zeigt auf, was sich geändert hat und legt kurz dar, welche Anpassungen bei den Finanzdienstleistern nun getroffen werden müssen, denn das Rundschreiben wird per zum ersten April in Kraft treten. Die Struktur des Beitrags hangelt sich am alten Rundschreiben herunter und zeigt die gelöschten oder ergänzten Stellen. Hier können Sie die beiden Dokumente, nebeneinander gelegt, miteinander vergleichen ([Vergleichsbericht] FINMA RS 2018/03 und 2008/07).
Mit dem Bericht vom 25.01.2017 habe ich bereits die Änderungen im Entwurf aufgezeigt. Nicht alles, was in diesem Entwurf behandelt wurde, hat es in die finale Version geschafft. Vergleicht man beide Dokumente, so beschränkt sich die FINMA auf das wesentliche und gestaltet das Dokument prinzipienbasiert und technologieneutral aus. Der augenscheinlichste Unterschied ist der Geltungsbereich, welcher auch auf Versicherungsgesellschaften ausgeweitet wurde. In den folgenden Kommentaren zu den einzelnen Teilbereichen wird nur eine Bankensicht eingenommen;
Definition / Begriffe
Diesen Abschnitt prägen zwei Begriffe, die zum Ziele hatten diese näher zu präzisieren. Zum einen, was überhaupt Outsourcing ist und zum anderen, was unter dem Begriff “wesentlich” zu verstehen ist. Der Outsoucingbegriff wurde für die neue Fassung des Rundschreibens nicht gross geändert. Das Wort Dienstleistungen wurde durch das Wort Funktion angepasst – that’s it. Anders im Fall der Wesentlichkeit. In der alten Ausgabe wurde der Terminus der Wesentlichkeit mit Beispielen untermauert. Diese beispielhafte Aufzählung fehlt im neuen RS gänzlich. Es erachtet alle Tätigkeiten als wesentlich, wenn “jene Funktionen, von denen die Einhaltung der Ziele und Vorschriften der Finanzmarktaufsichtsgesetzgebung signifikant abhängt.” Das führt dazu, dass die Begriffsdefinition, was eine wesentliche Leistung ist, den Banken übertragen wurde.
Die Bank muss demnach für sich eine Auflistung aller Leistungen, die mit externen ausgetauscht werden erstellen und dort diejenigen markieren, die wesentlich sind, um die Einhaltung der Ziele und Vorschriften der Gesetzgebung sicherzustellen.
Ausdrücklich ist dem Anhörungsbericht auf Seite 16 zu entnehmen, dass die bisherige Praxis der FINMA, in der Definition von Leistungen, ob diese nun wesentlich sind oder nicht grundsätzlich weitergeführt wird.
Geltungsbereich
Am Geltungsbereich für die Banken und Effektenhändler hat sich gegenüber dem alten Rundschreiben nichts geändert. Neu hinzu gekommen sind die Versicherungsgesellschaften, auf welche ich hier nicht weiter eingehen werde. Die Gruppengesellschaften oder wie es im Entwurf stand gruppeninterne Gesellschaften wurden in der finalen Fassung gestrichen. Die FINMA erwartet von den Banken, “dass die Risiken im Zusammenhang mit Outsourcing aus einer konsolidierten Sicht gruppenweit berücksichtigt werden; es kann diesbezüglich auf die gesetzlichen Anforderungen an die Gruppen- und Konglomeratsaufsicht verwiesen werden (vgl. Art. 64 ff. und Art. 72 ff. VAG und Art. 191 AVO bzw. Art. 3f Abs. 2 BankG)”. In den Anwendungsbereich des Rundschreibens fallen ebenfalls Auslagerungen von einem Schweizer Unternehmen an seine ausländische Tochtergesellschaft oder Zweigniederlassung. Nicht hingegen unter dieses Rundschreiben fällt die Auslagerung von Funktionen, die eine ausländische Tochtergesellschaft oder Zweigniederlassung eines Instituts mit Sitz in der Schweiz tätigt.
Zulässigkeit
Nicht mehr aufzufinden ist im neuen Rundschreiben, die Einholung einer Bewilligung, wenn das bevorstehende Outsourcing nicht den geforderten Anforderungen entspricht. Ergänzt wurden die nicht auslagerbaren Bereiche um die Funktionen, die das Fällen von strategischen Entscheiden umfassen. Im Bereich der Auslagerung von Risikokontrolle und Compliance-Funktionen wurde neu angefügt, dass “die Unternehmen der Aufsichtskategorien 1 bis 3 über eine eigenständige Risikokontrolle und Compliance-Funktion als unabhängige Kontrollinstanzen verfügen. Bei Unternehmen der Aufsichtskategorien 4 und 5 genügt es, wenn eine für diese Funktionen verantwortliche Person in der Geschäftsleitung bestimmt ist. Operative Risikomanagement- und Compliance-Aufgaben sind bei allen Aufsichtskategorien auslagerbar.”
Voraussetzungen
Inventarisierung
In der alten Richtlinie wurden neun Grundsätze für das Outsourcing definiert. Diese wurden im neuen Rundschreiben eliminiert und allgemein gehalten. Die Bestimmung des auszulagernden Bereichs wurde vollständig umgeschrieben. So müssen neu die Banken ein Inventar über die ausgelagerten Bereiche führen. Dieses enthält eine Umschreibung der ausgelagerten Funktion, nennt Erbringer (inkl. Unterakkordanten) und Empfänger sowie die unternehmensintern verantwortliche Stelle.
Die Bank führt an einer intern definierten Stelle bspw. beim Sourcing Manager eine Liste ALLER Leistungen die von extern (sprich auch gruppenintern) bezogen werden. Ich würde auch die nicht wesentlichen Leistungen in dieser (Excel)Liste führen. Dies wird von der FINMA auch explizit erwartet – “es wird auf Grund allgemeiner Prinzipien
zur Dokumentation jedoch erwartet, dass die Beaufsichtigten auch die laut
Rundschreiben nicht wesentlichen Auslagerungen bei sich dokumentieren”.
Auswahl, Instruktion und Kontrolle des Dienstleisters
Neu in der Auswahl der Dienstleister ist sicherlich, dass bei jedem wesentlichen Sourcing ein Auslagerungskonzept erstellt werden muss. In dieser Dokumentation ist eine Risikoanalyse einzuschliessen, welche die wesentlichen ökonomischen und operativen Überlegungen und die damit verbundenen Risiken und Chancen ausweist. Ebenfalls sollen die Folgen des Wechsels in dieser Dokumentation ersichtlich sein. “Der Dienstleister hat Gewähr für eine dauerhafte Leistungserbringung zu bieten. Die geordnete Rückführung der ausgelagerten Funktion muss sichergestellt sein.”
An der Integration der Auslagerung in das IKS hat sich nichts geändert. So wird weiterhin verlangt, dass eine intern definierte Stelle den Leistungseinkauf und deren Erbringung systematisch überprüft.
Mittels zusätzlich abgeschlossener Service Level Agreements sollen die definierten Kennzahlen mittels Überwachungssystem, systematisch und periodisch überwacht werden. Regelmässige Sitzungen zwischen dem Leistungseinkäufer und dem Leistungserbringer sollen Missstände angesprochen und Verbesserungen angestossen werden.
Im zweiten Teil werden die Themen Verantwortung, Prüfung und Sicherheit, Auslagerungen ins Ausland, Vertragswesen näher umschrieben.
Wenn Sie Fragen haben oder Hilfe bei der Einordnung, ob eine Leistung nun wesentlich ist, so stehe ich Ihnen sehr gerne zur Verfügung.
