Anhörung zum totalrevidierten FINMA Rundschreiben „Outsourcing Banken“: Was müssen Banken beachten? - Banking blog

Ch-banking-blog-anhoerung-zum-totalrevidierten-finma-rundschreiben-outsourcing-banken

Das FINMA Rundschreiben 2008/7 „Outsourcing Banken“ wird erstmals einer Totalrevision unterzogen. Die Vorschriften für Banken, Effektenhändler und Versicherungen sollen harmonisiert werden.

Obwohl die FINMA keine Verschärfung der Aufsichtspraxis beabsichtigt, sehen wir für Banken folgenden Handlungsbedarf:

  1. Zusätzliche Anforderungen für systemrelevante Banken betreffend Outsourcing von systemkritischen Dienstleistungen.
  2. Wegfall der Erleichterungen für konzerninterne Outsourcings.
  3. Inventarisierung der ausgelagerten Dienstleistungen.
  4. Inhalt des Outsourcing-Vertrags teilweise vorgeschrieben.
  5. Benachrichtigung der FINMA vor dem Outsourcing von Massen-Kundenidentifikationsdaten ins Ausland.
  6. Gewährleistung des jederzeitigen Zugriffs aus der Schweiz auf die für die Abwicklung oder Sanierung benötigten Daten beim Outsourcing ins Ausland.

Die wichtigsten Änderungen lesen Sie zusammengefasst in unserem Blogbeitrag.

Outsourcing - die Auslagerung von Dienstleistungen an interne oder externe Serviceanbieter - ist für Banken unbestritten von grosser Bedeutung und nimmt weiterhin zu. Die erste inhaltlich substantielle Revision des FINMA Rundschreibens „Outsourcing Banken“ wurde zeitlich und inhaltlich auf die neuen FSB Leitlinien betreffend Aufsicht und Abwicklung systemrelevanter Banken[1] abgestimmt.

Nach Abschluss der Anhörung soll das totalrevidierte Rundschreiben per 1. Juli 2017 in Kraft treten. Banken haben bei bestehenden Outsourcings ab Inkrafttreten des neuen Rundschreibens zwei Jahre Zeit um die nötigen Anpassungen vorzunehmen. Für neue Outsourcings und für Änderungen bestehender Outsourcings ist das Rundschreiben ab Inkrafttreten anwendbar.

Systemrelevante Banken

Für systemrelevante Banken sieht der Entwurf einige Neuerungen vor. So wird der Begriff der „wesentlichen Dienstleistungen“ weiter gefasst und umfasst auch systemrelevante Funktionen (sogenannte „kritische Dienstleistungen“). Diese Dienstleistungen müssen bei (drohender) Insolvenz weitergeführt werden und die gesetzlichen Anforderungen der Notfallplanung berücksichtigen. Die Übertragbarkeit der kritischen Dienstleistungen muss gewährleistet bleiben. Auch dürfen kritische Dienstleistungen nicht mehr an andere Banken des gleichen Konzerns ausgelagert werden, wohl aber an andere nicht regulierte Konzerngesellschaften (z.B. Servicegesellschaften). Weiter darf der Dienstleister seine Leistungen nicht einstellen, solange die Bank ihre vertraglichen Pflichten erfüllt.

Konzerninterne Outsourcings

Die Unterscheidung zwischen konzerninternem und externem Outsourcing wird ersatzlos aufgehoben. Künftig haben konzerninterne Outsourcings die gleichen Voraussetzungen wie Outsourcings an Dritte zu erfüllen, u.a. Erstellung eines Sicherheitsdispositivs und schriftlicher Vertrag.

Outsourcing von Risikomanagement und Compliance

Das Outsourcing von zentralen Kontroll- und Führungsaufgaben in den Bereichen Risikomanagement und Compliance soll auch künftig nicht möglich sein. Das teilweise Outsourcing von einzelnen und rein operativen Aufgaben bleibt möglich, z.B. Identifikation, Analyse, Bewertung, Steuerung und Überwachung einzelner Risiken. Banken der Kategorien 4 und 5 profitieren von einer De-Minimis-Regelung und können operative Aufgaben von Risikomanagement und Compliance weiterhin umfassend outsourcen.

Inventarisierung von Dienstleistungen

Neuerdings muss ein Inventar über die ausgelagerten Dienstleistungen geführt und unterhalten werden. Es dient der fortlaufenden Überwachung des Dienstleisters. Es beschreibt die Dienstleistung, den Dienstleister inklusive Hilfspersonen, sowie die Empfänger und nennt die bankinterne verantwortliche Stelle. Wie bisher werden die ausgelagerten Dienstleistungen in das interne Kontrollsystem der Bank integriert. Risiken müssen systematisch identifiziert, überwacht, quantifiziert und gesteuert werden.

Inhalt von Outsourcing-Verträgen

Die auslagernde Bank, die Prüfgesellschaft der Bank und die FINMA müssen jederzeit in der Lage sein die Einhaltung der aufsichtsrechtlichen Bestimmungen zu prüfen. Neu ist ihnen deshalb vertraglich ein jederzeitiges, vollumfänglich und ungehindertes Einsichts- und Prüfrecht einzuräumen, auch wenn sich der Ort der Leistungserbringung im Ausland befindet.

Banken müssen ihre Verträge überprüfen. Teilweise wurde das Einsichtsrecht der FINMA nicht schriftlich festgehalten, weil angenommen wird, dass es von Gesetzes wegen her besteht.

Outsourcing ins Ausland

Vor dem Outsourcing von Massen-Kundenidentifikationsdaten (Client Identifying Data, kurz: CID) ins Ausland muss die FINMA informiert werden. Die Information der Bankkunden ist nicht mehr Gegenstand des Rundschreibens. Ein Outsourcing ins Ausland darf die Sanierbarkeit beziehungsweise die Abwicklung der auslagernden Bank nicht be- oder verhindern.

Technologieneutralität

Der Entwurf wurde technologieneutral verfasst. Insbesondere zu cloud-basierten Dienstleistungen werden keine spezifischen Regeln aufgestellt. Der Anhang mit teilweise veralteten Beispielen soll gestrichen werden und die wesentlichen Outsourcings werden neu direkt im Rundschreiben selber erwähnt.

Handlungsbedarf?

Interessierte können bis 31. Januar 2017 bei der FINMA ihre Stellungnahmen einreichen. Die neuen Bestimmungen werden massgeblichen Einfluss auf Banken und Effektenhändler in der Schweiz und Schweizer Zweigniederlassungen ausländischer Banken haben.

Handlungsbedarf besteht für sämtliche Banken, die Dienstleistungen ausgelagert haben. Bei konzerninternen Outsourcings ist mit einem Umsetzungsaufwand zu rechnen, u.a. für die Erstellung bzw. Anpassung von Verträgen und Erarbeitung des Sicherheitsdispositivs.

Banken, die Dienstleistungen ins Ausland ausgelagert haben, müssen kritisch prüfen, ob dadurch die Sanierung oder Abwicklung erschwert werden könnte und abklären, ob der Zugriff von der Schweiz aus jederzeit möglich ist.

Systemrelevante Banken müssen prüfen, welche wesentlichen Dienstleistungen neuerdings als kritisch gelten. Outsourcing kritischer Dienstleistungen an andere Banken im gleichen Konzern muss innert zwei Jahren eingestellt werden. Gegebenenfalls müssen systemrelevante Banken die Notfallplanung anpassen.

[1] FSB Guidance on Arrangements to support operational continuity in resolution of 18 August 2016.

Ch-banking-blog-profile-andreas-knijpenga

Andreas Knijpenga, Senior Manager, Deloitte AG

Andreas ist Rechtsanwalt und hat einen M.B.L. der Universität St. Gallen. Er ist Leiter Corporate/IT des Regulatory, Compliance & Legal-Financial Services Team in Zürich. Andreas hat mehr als 15 Jahre Erfahrung in der Beratung von in- und ausländischen Banken und anderen Finanzdienstleistern in sämtlichen Bereichen des nationalen und europäischen Banken- und Finanzmarktrechts. Als Mitarbeiter einer Zürcher Wirtschaftsrechtskanzlei spezialisierte er sich in den Bereichen Datenschutz- und Bankkundengeheimnis, Outsourcing und Vertragsrecht. Vor seinem Eintritt bei Deloitte arbeitete er über 8 Jahre im Konzernrechtsdienst einer global tätigen Schweizer Bank.

Email

Ch-banking-blog-profile-kevin-lachenmeie

Kevin Lachenmeier, Assistant Manager, Deloitte AG

Kevin ist Rechtsanwalt und arbeitet im Regulatory, Compliance & Legal Financial Services Team in Zürich. Er ist hauptsächlich in den Bereichen Banking, Corporate/IT und Geldwäschereibekämpfung tätig. Er berät Kunden unter anderem in regulatorischen und rechtlichen Angelegenheiten sowie betreffend Outsourcing von Dienstleistungen und Datenschutz. Bevor Kevin zu Deloitte kam, arbeitete er für Zürcher Wirtschaftskanzleien.

Email

Comments

Verify your Comment

Previewing your Comment

This is only a preview. Your comment has not yet been posted.

Working...
Your comment could not be posted. Error type:
Your comment has been saved. Comments are moderated and will not appear until approved by the author. Post another comment

The letters and numbers you entered did not match the image. Please try again.

As a final step before posting your comment, enter the letters and numbers you see in the image below. This prevents automated programs from posting comments.

Having trouble reading this image? View an alternate.

Working...

Post a comment

Comments are moderated, and will not appear until the author has approved them.

Categories