Das neue FINMA-Rundschreiben 18/3 «Outsourcing – Banken und Versicherungen»

Die Neuerungen und Auswirkungen

Hintergrund
Die FINMA hat das Rundschreiben 2008/7 «Outsourcing Banken» überarbeitet und durch die neue Version FINMA-Rundschreiben 2018/3 «Outsourcing – Banken und Versicherungen» ersetzt. Hiermit ist bereits eine der wesentlichen Änderungen vorweggenommen: Das Rundschreiben ist neu auch gültig für Versicherungsunternehmen.

Eine Entwurfsversion des neuen Rundschreibens wurde bereits Ende 2016 veröffentlicht. Die Möglichkeit, während der Anhörungsperiode Anmerkungen bei der FINMA einzureichen, haben Banken, Versicherungen und andere Stakeholder rege wahrgenommen. Die FINMA hat die Relevanz vieler dieser Anmerkungen anerkannt und hat einigen davon entsprochen. Schwerpunkte in den Anmerkungen waren die Definition der Wesentlichkeit eines Outsourcings, Anforderungen für Auslagerungen ins Ausland, Anforderungen für konzern-/gruppeninterne Auslagerungen, spezielle Anforderungen für systemrelevante Banken, Auslagerungsmöglichkeiten für Risiko- und Compliance-Funktionen sowie die Übergangsfrist für bestehende Auslagerungsverhältnisse.

Das neue Rundschreiben tritt per 1.4.2018 in Kraft. Für bestehende Auslagerungsverhältnisse gilt eine Übergangsfrist von fünf Jahren. Für neue Auslagerungsverhältnisse ist ab 1.4.2018 das neue Rundschreiben anwendbar.

Übersicht
Während das alte Rundschreiben im Wesentlichen auf neun Grundsätze aufbaute, definiert das neue Rundschreiben acht Anforderungen. Einige dieser Anforderungen entsprechen grösstenteils den alten Grundsätzen, während andere Grundsätze gestrichen wurden. Ebenfalls kamen neue Anforderungen dazu. Unten stehende Tabelle bietet hierzu eine Übersicht:

Wesentliche Änderungen
Das neue Rundschreiben weist viele Änderungen auf. Wir fassen die wesentlichsten Änderungen zusammen:

  • Das neue Rundschreiben ist für Banken UND Versicherungen anwendbar.
  • Die Definition der Wesentlichkeit ist stärker prinzipienbasiert, so werden beispielsweise im neuen Rundschreiben keine Beispiele von wesentlichen Auslagerungen mehr aufgeführt.
  • Die Unterscheidung von konzern-/gruppeninternen Auslagerungen besteht weiterhin, ist aber ebenfalls stärker prinzipienbasiert. Banken und Versicherungen müssen aufgrund von Risikoüberlegungen entscheiden, ob gewisse Anforderungen weggelassen oder erleichtert werden können.
  • Die Anforderungen bezüglich Datenschutz und Kundenorientierung wurden aus dem Rundschreiben entfernt. Die FINMA erläutert jedoch, dass die wesentlichen Anforderungen bereits durch das Datenschutzgesetz sowie durch den Anhang 3 des FINMA-Rundschreibens 2008/21 «Umgang mit elektronischen Kundendaten» definiert sind. Somit bleiben die Anforderungen des Datenschutzgesetzes und des Bankgeheimnisses relevant.
  • Banken und Versicherungen müssen ein Inventar über alle ausgelagerten Dienstleistungen und Funktionen vorhalten. Das Inventar muss Auskunft über allfällige Unterakkordanten, betroffene Kundendaten sowie über die für die Überwachung der Auslagerung zuständigen Funktion geben.
  • Das neue Rundschreiben beschreibt Möglichkeiten und Anforderungen zur Auslagerung von Risiko- und Compliance-Funktionen.

Auswirkungen, Fragen und wie PwC Sie unterstützen kann
Ganz offensichtlich bringt das neue Rundschreiben wesentliche Änderungen mit sich und eröffnet dadurch neue Möglichkeiten bei der Auslagerung von Dienstleistungen und Funktionen. Es ergeben sich interessante strategische Möglichkeiten. Gerne helfen wir Ihnen bei der Erörterung entsprechender Fragen und zeigen Ihnen diese Möglichkeiten auf.

Neben der Unterstützung beim konformen Aufsetzen von neuen Auslagerungsverhältnissen und bei der Sicherstellung der Konformität für bestehende Auslagerungsverhältnisse unterstützen wir Sie gerne bei der Evaluation von nachstehenden Fragen für die zukunftsweisende Definition Ihrer Strategie:

  • Können Dienstleistungen und Funktionen ins Ausland ausgelagert werden? Welche Anforderungen des Datenschutzgesetzes, des Bankgeheimnisses und anderer FINMA- Rundschreiben müssen dabei beachtet werden?
  • Dürfen Dienstleistungen in die Cloud ausgelagert werden?
  • Dürfen Kundendaten im Ausland vorgehalten/verarbeitet werden, und welches sind die Bedingungen hierfür?
  • Sind bestehende konzern-/gruppeninterne Auslagerungen weiterhin konform mit den neuen Anforderungen?
  • Dürfen wir unsere Risiko- und Compliance-Funktionen auslagern und, wenn ja, unter welchen Bedingungen?
  • Wie können wir unser Unternehmen in einem Auslagerungsverhältnis vor neuen Risiken, z.B. Cyber-Risiken oder Datendiebstahl, schützen?
  • Wie können wir unseren Dienstleister angemessen überwachen?

Bitte kontaktieren Sie einen unserer Experten! Wir helfen Ihnen gerne bei Ihren strategischen Entscheidungen bezüglich Auslagerung und des Nutzens neuester Technologien, z.B. Cloud- Dienstleistungen. Im Weiteren helfen wir Ihnen, Ihre Auslagerungen konform und revisionssicher zu gestalten.

Kontakte

Jens Probst
PwC | Assurance Director
Office: +41 58 792 2959 | Mobile: +41 79 372 5788
Email: jens.probst@ch.pwc.com

Michèle Hess
PwC | Assurance Partner
Office: +41 58 792 4667 | Mobile: +41 79 878 0085
Email: michele.hess@ch.pwc.com

Yan Borboën
PwC | Assurance Partner
Office: +41 58 792 8459 | Mobile: +41 79 580 7353
Email: yan.borboen@ch.pwc.com

Veröffentlicht von

Jens Probst

Jens Probst

Jens Probst
PwC Director, Risk Assurance FS
Birchstrasse 160
8050 Zurich
jens.probst@ch.pwc.com
+41 58 792 29 59

Jens Probst is a Director in our Systems- and Process Assurance Team with more than 15 years experience in Banking IT and Back office Processes, Regulation and Transformation. He is specialised in Technology, Banking Back Office processes, Core Banking Systems, Outsourcing, Third Party Management, data enabled fact finding and decision making and Banking Regulation.

His main competencies are Core Banking Systems, Banking Law, IT and Business Process Outsourcing, Information Governance, Business Process Visualisation and Optimization, Transformation Assurance as well as Third Party Management and Assurance.