infoguard-cyber-security-finma-rs

An alle Banken und Versicherer – das müssen Sie über das neue FINMA Rundschreiben wissen

Ab 1. April 2018 gelten die Regelungen des FINMA Rundschreibens 2018/03 «Outsourcing – Banken und Versicherer». Und wie bei jedem neuen Rundschreiben stellt sich auch hier wieder die Frage: Was gilt es zu tun? Welche Verschärfungen oder gar Erleichterungen erwarten uns? In diesem Blogbeitrag erfahren Sie alle Neuerungen und Tipps, um Unsicherheiten gekonnt entgegenzutreten.

Das FINMA Rundschreiben 2018/03 tritt am 1. April 2018 in Kraft und gilt nebst Banken neu auch für Versicherungen. Es definiert die aufsichtsrechtlichen Anforderungen an Outsourcing-Lösungen für Banken, Effektenhändlern sowie Versicherungsunternehmen und enthält auch Anforderungen zur Risikobegrenzung.

Folgende Anwendbarkeit für Banken und Effektenhändler gilt:

  • Das Rundschreiben ist direkt anwendbar für Outsourcing-Verhältnisse, die nach 1. April 2018 in Kraft treten oder geändert werden.
  • Für bestehende Outsourcing-Verhältnisse gilt eine Übergangsfrist von 5 Jahren.

Gültigkeit für Versicherungen (neu): ab 1. April 2018

Gemäss FINMA wurde das Rundschreiben «konsequent prinzipienbasiert und technologieneutral» ausgerichtet. Damit können Sie als Bank und Versicherer die Anforderungen an Auslagerungen so umsetzen, dass Ihrem Geschäftsmodell und Ihren Risiken Rechnung getragen wird.

Das bedeutet Outsourcing für die FINMA

In aller Kürze: Das Rundschreiben behandelt das Outsourcing von «wesentlichen Funktionen» ‒ oder wie es die FINMA definiert:

«Ein Outsourcing (Auslagerung) im Sinne des Rundschreibens liegt vor, wenn ein Unternehmen einen Dienstleister beauftragt, selbständig und dauernd eine für die Geschäftstätigkeit des Unternehmens wesentliche Funktion ganz oder teilweise zu erfüllen.» (RS2018/3)

Doch was ist gemeint mit «Funktionen»? Funktionen wurden im alten Rundschreiben 2008/7 «Outsourcing Banken» als Dienstleistungen bezeichnet. Das neue Rundschreiben 2018/03 definiert die Wesentlichkeit wie folgt:

«Wesentlich sind jene Funktionen, von denen die Einhaltung der Ziele und Vorschriften der Finanzmarktaufsichtsgesetzgebung signifikant abhängt.» (RS2018/3)

 

Die Ausführungen zum Datenschutzgesetz sowie zum Bankkunden-Geheimnis wurden aus dem Rundschreiben entfernt. Die betreffenden Gesetzestexte sind selbstverständlich nach wie vor gültig.

Hier hält die FINMA Verschärfungen, aber auch Erleichterungen für Sie bereit

infoguard-finma-rs-0318

Zuerst die Verschärfungen… 

  1. Das FINMA Rundschreiben gilt neu auch für Versicherer

    Ab dem 1. April 2018 sind auch Versicherungsunternehmen betroffen. Daher besteht für sie der grösste Handlungsbedarf.

  2. «Wesentliche Funktionen»: mehr Freiheit, mehr Verantwortung

    Das alte Rundschreiben 2008/7 «Outsourcing Banken» enthielt im Anhang eine Aufzählung der relevanten Auslagerungen. Diese können nach wie vor als Guideline verwendet werden. Es ist jedoch in der Verantwortung der Unternehmen zu beurteilen, ob von der ausgelagerten Funktion «die Einhaltung der Ziele und Vorschriften der Finanzmarktaufsichtsgesetzgebung signifikant abhängen». Sprich, ob den spezifischen Geschäftsmodellen innewohnenden Risiken aus Sicht der FINMA-Regulierung genügend Rechnung getragen wurde.

  3. Inventarisierung der ausgelagerten Funktion

    Das neue Rundschreiben 2018/03 definiert die «Attribute», mit denen eine ausgelagerte Funktion im Inventar zu führen ist, wie folgt: 

    • Umschreibung der ausgelagerten Funktion (inkl. Angabe ob Auslagerung ins Ausland)
    • Erbringer der Leistung
    • Empfänger der Leistung
    • Unterakkordanten
    • Innerhalb des Unternehmens verantwortliche Stelle 


    Unternehmen, welche ITIL nutzen, sollten die benötigten Informationen weitgehend aus dem ITIL Framework beziehen können. Am Ende dieses Blogartikels finden Sie einen Exkurs über die «IT Infrastructure Library» ITIL.

  4. Auslagerungen ins Ausland: Sicherstellung der Sanier- und Abwickelbarkeit

    Der jederzeit mögliche Zugriff auf relevante Informationen ist eine wichtige Anforderung, selbst wenn eine Auslagerung ins Ausland stattfindet.

    «Auslagerungen ins Ausland sind zulässig, sofern das Unternehmen ausdrücklich zusichern kann, dass es selber, seine Prüfgesellschaft sowie die FINMA ihre Einsichts- und Prüfrechte wahrnehmen und durchsetzen können.» (RS2018/3)
    «Die Sanierbarkeit bzw. Abwickelbarkeit des Unternehmens in der Schweiz muss gewährleistet sein. Der Zugriff auf die dafür notwendigen Informationen muss jederzeit in der Schweiz möglich sein.» (RS2018/3)

  5. Unterakkordanten

    Im neuen Rundschreiben 2018/03 wird von «Unterakkordanten» anstelle von «Subakkordanten» gesprochen. An diese stellt die FINMA folgende Anforderungen:

    «Das Unternehmen hat den Beizug von Unterakkordanten, die wesentliche Funktionen erbringen, von seiner vorgängigen Genehmigung abhängig zu machen. Werden solche Unterakkordanten beigezogen, sind ihnen die Pflichten und Zusicherungen des Dienstleisters, die zur Erfüllung dieses Rundschreibens erforderlich sind, zu überbinden.» (RS2018/3)


    Die Umsetzung dieser Forderungen wird für das auslagernde Unternehmen eine echte Herausforderung sein. Der Dienstleister muss verpflichtet werden, mit seinen Unterakkordanten Verträge abzuschliessen, die der FINMA-Regulierung genügen. Dies gilt auch für die geforderte vorgängige Genehmigung durch das auslagernde Unternehmen, wenn der Dienstleister Unterakkordanten beiziehen möchte.

…und den Erleichterungen durch das neue FINMA Rundschreiben

1. Auslagerung operatives Risk- und Compliance-Management

Bezüglich der Auslagerung von Risk- Und Compliance-Management hält das Rundschreiben 2018/03 folgendes fest:

«Operative Risikomanagement- und Compliance-Aufgaben sind bei allen Aufsichtskategorien auslagerbar.» (RS2018/3)

Neu können diese Aufgaben von geeigneten Dienstleistern ausgeführt werden. Zu betonen ist, dass die Verantwortung für die Unternehmensführung nicht auslagerbar ist.

«Nicht auslagerbar sind die Oberleitung, Aufsicht und Kontrolle durch das Oberleitungsorgan, zentrale Führungsaufgaben der Geschäftsleitung sowie Funktionen, die das Fällen von strategischen Entscheiden umfassen. Dies gilt ebenso für Entscheide über die Aufnahme und den Abbruch von Geschäftsbeziehungen.» (RS2018/3)

 

2. Besonderes Schreiben mit Rücktrittsrecht entfällt

Während die Verpflichtung zur Kundeninformation und das Rücktrittsrecht der Kunden bei Auslagerung ins Ausland wegfallen ist zu beachten, dass die bestehenden Bestimmungen zum Datenschutzrecht und Bankkundengeheimnis weiterhin eingehalten werden müssen.

 

3. Prüftätigkeiten durch nicht in der Schweiz domizilierte Prüfgesellschaft

Gemäss neuem Rundschreiben 2018/03 kann auch die ausländische Revisionsgesellschaft des Dienstleisters die Anforderung der Prüfgesellschaft erfüllen.

«Das Unternehmen und dessen Prüfgesellschaft sowie die FINMA müssen in der Lage sein, die Einhaltung der aufsichtsrechtlichen Bestimmungen beim Dienstleister zu prüfen. Zu ihren Gunsten ist vertraglich ein jederzeitiges, vollumfängliches und ungehindertes Einsichts- und Prüfrecht in Bezug auf die ausgelagerte Funktion einzuräumen.» (RS2018/3)

«Prüftätigkeiten können an die Revisionsstelle des Dienstleisters delegiert werden, sofern diese über die notwendigen fachlichen Kompetenzen verfügt. Erfolgt eine solche Delegation, kann die Prüfgesellschaft des Unternehmens auf die Prüfungsergebnisse der Revisionsstelle des Dienstleisters abstellen.» (RS2018/3)

Jedoch haben das auslagernde Unternehmen, der Dienstleister und die Revisionsstelle des Dienstleisters Auskunftspflicht gegenüber der FINMA. Diese ist vertraglich zu regeln:

«Untersteht der Dienstleister nicht der Aufsicht der FINMA, hat er sich gegenüber dem Unternehmen vertraglich zu verpflichten, der FINMA sämtliche Auskünfte und Unterlagen bezogen auf den ausgelagerten Geschäftsbereich zur Verfügung zu stellen, die sie für die Aufsichtstätigkeit benötigt. Falls Prüftätigkeiten an die Revisionsstelle des Dienstleisters delegiert werden, ist ihr Bericht der FINMA, der internen Revisionsstelle und der Prüfgesellschaft des auslagernden Unternehmens auf Anfrage zur Verfügung zu stellen.» (RS2018/3)

4. Verbundenheit im Konzern

Bei der Auswahl, Instruktion und Kontrolle des Dienstleisters kann die Verbundenheit im Konzern resp. in der Gruppe berücksichtigt werden, sofern:

  • Die mit der Auslagerung typischerweise vorhandenen Risiken nachweislich nicht bestehen.
  • Gewisse Anforderungen nicht relevant oder anders geregelt sind.

Damit sind Erleichterungen bei der Auswahl eines internen Dienstleisters verbunden, dessen Servicequalität im Konzern bereits bekannt ist und angemessen beurteilt wurde. Verfügt der Konzern über eine Beteiligung am Dienstleister, die dessen Kontrolle erlaubt, wird auch die vertragliche Formulierung der Prüftätigkeiten vereinfacht.

FINMA Compliance Management leicht gemacht

Sie sehen, es kommt einiges auf Sie zu. Aber keine Angst – wir lassen Sie nicht im Regen stehen. Im Rahmen des InfoGuard «Compliance Management» Offerings bieten wir Ihnen folgende Unterstützungsleistungen:

  • Gap-Analyse zum Ist-Zustand – «Inventar über ausgelagerte Funktionen»
  • Übernahme von operativen Risk- und Compliance-Management Aufgaben, inkl. «CISO as a Service»
  • Beratungsdienstleistung rund um das Thema «FINMA RS 2018/3 Outsourcing – Banken und Versicherer», z.B. Workshops zur Abklärung allfälligen Handlungsbedarfs
  • Fähigkeit, den ganzen Sicherheitszyklus abzudecken und dank einer ganzheitlichen Betrachtungsweise auf das Notwendige zu fokussieren

Deshalb sollten Sie die ITIL nutzen

Die IT Infrastructure Library (ITIL) ist eine Sammlung von Prozessen, Funktionen und Rollen wie sie in IT-Infrastrukturen von Unternehmen vorkommen. Die Sammlung beruht auf «best practice» und fokussiert auf Messbarkeit als Grundlage für einen ständigen Verbesserungsprozess.

Das «Service Design» beinhaltet das «Service Catalogue Management» sowie das «Supplier Management». Beide Prozesse liefern Input für das von der FINMA geforderte Inventar der ausgelagerten Funktionen.

  • Der Service-Katalog kann «funktionsorientiert» analysiert werden, um ausgelagerte Services zu identifizieren, die «wesentliche Funktionen» zur Verfügung stellen.
  • Der «Supplier Management Prozess» gibt Auskunft über die konkreten Vertragsverhältnisse.


Unser Experten-Tipp: Weil viele Unternehmen sich an ITIL anlehnen, könnte die beschriebene Vorgehensweise einen schönen «quick win» bringen. Wenn Sie Hilfe bei der Umsetzung von ITIL benötigen, helfen wir Ihnen gerne mit unserem Wissen weiter.

 

 Kontakt

 

<< >>

Data Governance

Markus Pfister
Über den Autor / Markus Pfister

InfoGuard AG - Markus Pfister, Senior Cyber Security Consultant

Weitere Artikel von Markus Pfister


Ähnliche Artikel

Spannende Artikel, aktuelle News sowie Tipps & Tricks von unseren Experten rund um Cyber Security & Defence.

Blog Updates abonnieren
Social Media
infoguard-cyber-security-ratgeber-2