Das neue Outsourcing Rundschreiben – Was ändert sich für die Banken? – Teil 2/2
Was müssen die Banken nun in den nächsten Monaten erledigen, damit Sie dem Rundschreiben entsprechen?
Im vorhergehenden Beitrag wurden die Unterschiede in den ersten Absätzen erläutert. Dieser Beitrag kümmert sich um den Rest des Rundschreibens und schliesst mit Handlungsempfehlungen für eine Schweizer Bank ab.
Konzern- / gruppeninterne Auslagerungen
Die Frage, wie Gruppen- oder Konzerninterner Leistungsaustausch zu behandeln sei, wurde im neuen Rundschreiben in einem separaten Absatz definiert. Dabei wurde in diesem Bereich Raum für die Berücksichtigung des Gruppenkontexts geschaffen. Was heisst das nun? Die FINMA schreibt in ihrem Erläuterungsbericht, dass “das Auswahlverfahren eines internen Dienstleisters nicht gleich umfangreich sein muss wie bei einem externen Dienstleister, insbesondere wenn die Dienstleistungsqualität des internen Dienstleisters bekannt ist. Ausserdem kann bei einer beherrschenden Beteiligung der Einfluss auf den Dienstleister in der Regel faktisch stärker ausgeübt werden als bei einem Externen.” ABER auch, “dass die wesentlichen ökonomischen und operativen Überlegungen in der Risikoanalyse berücksichtigt werden müssen.”
Es wird demnach zwei Analysekonzepte für das Sourcing brauchen. Eines für externe Dienstleister, deren Analyse detaillierter ausgestaltet ist und eine interne, wonach der Umfang deutlich gekürzt werden kann.
Verantwortung
Am Sinn und dem Wortlaut wurde in diesem Bereich nichts geändert. Die Unternehmung, die die Leistung herausgibt bleibt weiterhin in der Verantwortung.
Sicherheit / Geschäfts- und Bankgeheimnis, Datenschutz
Dieser Abschnitt wurde im neuen Rundschreiben deutlich gekürzt. Zum einen wurde auf das wesentliche beschränkt und zum anderen wurden Wechselwirkungen in das Datenschutzgesetz entfernt und so hier eine deutliche Trennung vorgenommen. “Die konkrete Umsetzung der Sicherheitsanforderungen bei sicherheitsrelevanten Auslagerungen hat institutsspezifisch und in Abhängigkeit der ausgelagerten Tätigkeit, der konkreten Risiken sowie der verwendeten Systeme bzw. Technologien zu erfolgen. Sie müssen angemessen (d.h. state of the art) sein, was eine Beurteilung im Einzelfall erfordert.” Was nun state of the art im Einzelfall bedeutet, ist einmal mehr zu schwammig formuliert. Da sich in diesem Bereich die Technologie dauernd anpasst, wird sich ebenfalls der state of the art ständig anpassen.
Kundenorientierung
Dieser alte Absatz wurde gänzlich gestrichen. Aus dieser Richtlinie heraus, wird demnach nicht mehr verlangt, dass der Kunde über eine Auslagerung im vornherein informiert werden muss.
Sind keine anderen Regulationen vorhanden, die eine solche Informationspflicht beinhalten, so müssen die derzeitigen Prozesse nochmals angeschaut und ggf. angepasst werden.
Prüfung und Aufsicht
Neu, im Vergleich zum alten Rundschreiben muss beim Dienstleister vertraglich das Recht einberäumt werden, dass man zu Gunsten der Unternehmung, seiner Prüfgesellschaft und der FINMA ein vertraglich festgelegtes, jederzeitiges, vollumfängliches und ungehindertes Einsichts- und Prüfrecht in Bezug auf die ausgelagerte Funktion einzuräumt. Im Erläuterungsbericht definiert die FINMA die drei Adjektive, was die Umsetzung vereinfacht: “Die Begriffe „jederzeitig”, „vollumfänglich” und „ungehindert” sind jedoch nach dem Grundsatz der Verhältnismässigkeit auszulegen. Mit Bezug auf „jederzeitig” ist es zulässig, wenn Prüfhandlungen unter Gewährung einer angemessenen Vorlaufzeit möglich sind. Der Begriff „vollumfänglich” versteht sich eingegrenzt auf aufsichtsrechtlich relevante Sachverhalte. Der Begriff „ungehindert” ist schliesslich eingeschränkt auf die vom Institut ausgelagerte Tätigkeit bzw. Funktion und unter Wahrung der Geschäftsgeheimnisse Dritter zu verstehen.
Als Dienstleister kann man sich diesen Umstand vereinfachen, indem man die Prüfung an eine eigene Prüfgesellschaft delegiert und bei Vertragsabschluss auf diesen Prüfungsbericht verweist. Guppeninterne Outsourcings können nicht durch die Konzernrevision/Konzerninspektorat oder dergl. wahrgenommen werden.
Auslagerungen ins Ausland
“Das Erfordernis eines vorgängig zu erbringenden Nachweises des Prüfrechts im Ausland wird gestrichen. Dies entbindet die Institute jedoch nicht davor, die Prüfrechte bei einer Auslagerung ins Ausland angemessen abzuklären. Ebenfalls wird auf das Erfordernis einer vorgängigen Information bei der Auslagerung von Massen-CID ins Ausland wird im Sinne der Anhörungsteilnehmenden verzichtet. Beim grenzüberschreitenden Outsourcing ist für Banken insbesondere zentral, dass der Zugriff, die Lesbarkeit und die operative Verwendung aller für die Aufsicht relevanten Daten jederzeit in der Schweiz möglich bleibt. Es gilt, dass der Zugriff auf die für die Sanierbarkeit bzw. Abwickelbarkeit erforderlichen Informationen von der Schweiz aus gewährleistet sein muss, d.h., die Daten müssen auch im Konkursfall von der Schweiz aus uneingeschränkt zur Verfügung stehen und lesbar gemacht werden können.”
Vertrag
Dieser Abschnitt wurde insofern ergänzt, dass die Minimalstandards eines Vertrags festgelegt wurden.
Die Banken haben nun neu die vertraglichen Vorkehrungen zur Umsetzung der Anforderungen gemäss diesem Rundschreiben bei neuen Verträgen zu treffen oder innerhalb einer fünf Jahresfrist anzupassen.
Übergangsbestimmungen
Das Rundschreiben findet unmittelbar Anwendung auf Outsourcingverhältnisse von Banken und Effektenhändlern, die nach dessen Inkrafttreten abgeschlossen oder geändert werden. Outsourcingverhältnisse von Banken und Effektenhändlern, die bei Inkrafttreten des Rundschreibens bereits bestehen, sind innerhalb einer Übergangsfrist von fünf Jahren ab Inkrafttreten so anzupassen, dass die Anforderungen des Rundschreibens eingehalten sind.
Was ist zu tun?
- Erstellen Sie ein Inventar, wir empfehlen die wesentlichen, wie auch die unwesentlichen Leistungen aufzulisten.
- Überprüfen Sie bestehende Prozesse oder Hinweise an Kunden, die auf Grund der gestrichenen “Kundenorientierung” im alten RS, nicht mehr von Nöten wären.
- Überprüfen Sie die geschlossenen Verträge mit den bestehenden Dienstleistern, ob Sie den geforderten Anforderungen entsprechen.
- Überprüfen Sie, dass Sie bei ausländischen Beziehungen, zum einen jederzeit auf Ihre Daten zugreifen können und zum anderen vertraglich bestimmte haben, dass im Falle eines Konkurses des Dienstleisters, der Zugriff auf die Daten gewährleistet ist.
Bei Fragen stehe ich gerne für Sie zur Verfügung.
