EY: FINMA passt sich neuer Realität an
Zürich – Das neue FINMA Rundschreiben 2018/3 «Outsourcing – Banken und Versicherer» bringt diverse Änderungen und Neuerungen, welche sich für Banken und Versicherungen teilweise unterscheiden.
André Dylan Kohler, Partner bei EY Financial Services, meint: «Sich ändernde Geschäftsmodelle und eine zunehmend globalisierte und digitalisierte Welt haben signifikanten Einfluss auf die Wertschöpfungskette und die Risikoprofile von Banken und Versicherungen. Zudem stehen diese unter hohem Kostendruck, weshalb ein effektives (gruppeninternes und externes) Outsourcing zunehmend als strategische Notwendigkeit erachtet wird. Das neue FINMA Rundschreiben trägt diesen Veränderungen Rechnung».
Christian Röthlin, Partner bei EY Financial Services begrüsst die Anpassungen der FINMA: «Das neue Rundschreiben enthält weitreichende Implikationen, u.a. in Bezug auf die Inventarisierung der Dienstleistungen, Anpassung des Risiko- und Kontrollsystems und je nach Komplexität und Grösse des Unternehmens, auf das IT-Sourcing System».
Andreas Toggwyler, Partner bei EY Financial Services fügt hinzu: «Das neue Rundschreiben stellt höhere Anforderungen bei kaskadierendem Outsourcing und fordert die Institute auf, ein vollständiges Inventar inklusive der Unterakkordanten zu führen. Konkret erfordert dies eine höhere Transparenz seitens der Dienstleister und eine stringentere Governance seitens der Finanzinstitute».
Konkret ergeben sich aus dem neuen Rundschreiben für Banken folgende Hauptveränderungen:
- Zulässigkeit: Unternehmen der Aufsichtskategorien 1 bis 3 müssen über eine eigenständige Risikokontrolle und Compliance-Funktion als unabhängige Kontrollinstanzen verfügen, wobei es bei Unternehmen der Aufsichtskategorien 4 und 5 genügt, wenn eine für diese Funktionen verantwortliche Person in der Geschäftsleitung bestimmt ist. Operative Risikomanagement- und Compliance-Aufgaben sind bei allen Aufsichtskategorien auslagerbar.
- Inventarisierung: Unternehmen müssen eine vollständige und adäquate Inventarisierung sämtlicher ausgelagerter Dienstleistungen (gruppenintern sowie an externe Dienstleister) vornehmen, sowie allfällige Unterakkordanten der Dienstleister erfassen.
- Gruppeninternes Outsourcing: Für das Konzern- /gruppeninterne Outsourcing sind im Vergleich zum ursprünglichen Entwurf im Sommer gewisse Erleichterungen vorgesehen, insofern als die mit der Auslagerung typischerweise vorhandenen Risiken nachweislich nicht bestehen oder gewisse Anforderungen nicht relevant oder anders geregelt sind.
- Auslagerung ins Ausland: Der Zugriff auf alle für eine Sanierung, Abwicklung oder Liquidation notwendigen Daten muss in der Schweiz jederzeit möglich sein.
- Übergangsfristen: die Übergangsfrist für bestehende Outsourcings wurde auf 5 Jahre verlängert. Das Rundschreiben findet jedoch unmittelbar Anwendung auf Outsourcingverhältnisse, die nach dessen Inkrafttreten am 1. April 28 abgeschlossen oder geändert werden.
Für Versicherungen ergeben sich zusätzlich folgende Hauptveränderungen:
- Zulässigkeit: Das Outsourcing von wesentlichen Dienstleistungen und die beschränkt zulässige Auslagerung von Kontrollfunktionen sind genehmigungspflichtig. Weiter sind im Vergleich zu den übrigen Versicherungsunternehmen für Versicherungscaptives die Auslagerung von Führungs- und Kontrollfunktionen in einem breiteren Umfang zulässig.
- Auswahl, Instruktion und Kontrolle des Dienstleisters: das Unternehmen muss eine Dokumentation der Ziele und Anforderungen an die Leistungserbringung vor Vertragsschluss inkl. Risikoanalyse erstellen. Diese berücksichtigt auch Transitions- und Wechselkosten und stellt eine geordnete Rückführung der ausgelagerten Dienstleistung sicher.
- Inhalt der Outsourcing-Verträge: der schriftliche Vertrag muss die jeweiligen Zuständigkeiten insbesondere Schnittstellen, Verantwortlichkeiten sowie Sicherungsanforderungen (z.B. bezüglich Informatik und Geschäftsfortführung) festhalten, welche zu überwachen sind. Auch muss das Unternehmen, dessen Prüfgesellschaft sowie die FINMA in der Lage sein, die Einhaltung der aufsichtsrechtlichen Bestimmungen beim Dienstleister zu prüfen.
- Risiko- und Kontrollanforderungen: die ausgelagerte Dienstleistung ist in das existierende Risiko- und Kontrollsystem des Unternehmens zu integrieren, dabei sind die mit der Auslagerung verbundenen wesentlichen Risiken systematisch zu identifizieren, zu überwachen, zu quantifizieren und zu steuern. Auch trägt das Unternehmen gegenüber der FINMA weiterhin dieselbe Verantwortung, wie wenn es die ausgelagerte Dienstleistung selber erbringen würde und muss zudem ein Sicherheitsdispositiv erarbeiten, welches die Weiterführung der ausgelagerten Dienstleistung in sämtlichen vorhersehbaren Notfällen gewährleistet.
- Übergangsfristen: das Rundschreiben gilt für Erstbewilligungen ab dessen Inkrafttreten. Für Änderungsgenehmigungen gilt das Rundschreiben ab dem Zeitpunkt, in dem eine Geschäftsplanänderung der FINMA zur Genehmigung unterbreitet bzw. mitgeteilt wird.
Stephan Geiger, Executive Director bei EY Financial Services warnt: «Da diese Änderungen insgesamt weitreichende Auswirkungen haben können, sollten auch verwandte Risiken wie z.B. Steuern, Business Continuity Management, Cyberrisiken sowie das Bankkundengeheimnis und der Datenschutz in die Gap-Analyse miteinbezogen werden. Zudem empfehlen wir auch den Altbestand der bestehenden Outsourcings (mit der vorgesehenen Übergangsfrist von 5 Jahren) kritisch bezüglich den neuen Anforderungen zu analysieren, damit die wesentlichen Lücken identifiziert werden können und auch diesbezüglich der Handlungsbedarf entsprechend priorisiert werden kann». (EY/mc/ps)
Über die globale EY-Organisation
Die globale EY-Organisation ist eine Marktführerin in der Wirtschaftsprüfung, Steuerberatung, Transaktionsberatung und Rechtsberatung sowie in den Advisory Services. Wir fördern mit unserer Erfahrung, unserem Wissen und unseren Dienstleistungen weltweit die Zuversicht und die Vertrauensbildung in die Finanzmärkte und die Volkswirtschaften. Für diese Herausforderung sind wir dank gut ausgebildeter Mitarbeitender, starker Teams sowie ausgezeichneter Dienstleistungen und Kundenbeziehungen bestens gerüstet. Building a better working world: Unser globales Versprechen ist es, gewinnbringend den Fortschritt voranzutreiben – für unsere Mitarbeitenden, unsere Kunden und die Gesellschaft.
Die globale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Kunden. Weitere Informationen finden Sie auf unserer Website: www.ey.com.
Die EY-Organisation ist in der Schweiz durch die Ernst & Young AG, Basel, an zehn Standorten sowie in Liechtenstein durch die Ernst & Young AG, Vaduz, vertreten. «EY» und «wir» beziehen sich in dieser Publikation auf die Ernst & Young AG, Basel, ein Mitgliedsunternehmen von Ernst & Young Global Limited.