NKF Banking, Finance & Regulatory Team Update 7/2017: Veröffentlichung des revidierten FINMA- Rundschreibens 2018/3 "Outsourcing - Banken und Versicherungen" 8. Dezember 2017 Die Eidgenössische Finanzmarktaufsicht FINMA hat das Rundschreiben 2008/7 "Outsourcing Banken" ("RS 2008/7") revidiert und am 5. Dezember 2017 die finale Version veröffentlicht (www.finma.ch/de/news/2017/12/20171205-mm-rs-outsourcing/). Das revidierte Rundschreiben FINMA-RS 2018/3 "Outsourcing - Banken und Versicherungen" ("Rundschreiben") gilt für Banken, Effektenhändler sowie neu auch für Versicherungsunternehmen. Verschiedene Anregungen aus der Vernehmlassung fanden Eingang in die finale Version. Die revidierte Fassung des Rundschreibens wird per 1. April 2018 in Kraft treten. I. KERNPUNKTE Die wichtigsten Änderungen gegenüber dem früheren FINMA-RS 2008/7 sind zusammengefasst: Der Geltungsbereich umfasst neu auch Versicherungsunternehmen; Das revidierte Rundschreiben bezweckt neu insbesondere die Begrenzung von Risiken im Zusammenhang mit ausgelagerten Funktionen; Der Begriff der "Wesentlichkeit" wird neu institutsspezifisch definiert und soll vom Institut selbst festgelegt werden; Die Institute sind neu verpflichtet, ein Inventar zu den auszulagernden Funktionen zu führen, welches auf dem aktuellen Stand gehalten werden muss; Die Institute sind neu verpflichtet, vor Vertragsabschluss eine Risikoanalyse zur geplanten Auslagerung zu erstellen; Die Institute sind neu verpflichtet, sich, ihrer Prüfgesellschaft und der FINMA ein vertraglich vereinbartes jederzeitiges, vollumfängliches und ungehindertes Einsichts- und Prüfrecht beim Dienstleister zu sichern; Auslagerungen ins Ausland sind nur zulässig, wenn das Institut ausdrücklich zusichern kann, dass es selber, seine Prüfgesellschaft sowie die FINMA ihre Einsichts- und Prüfrechte wahrnehmen und durchsetzen kann. In diesem Zusammenhang muss insbesondere die Sanierbarkeit bzw. Abwickelbarkeit des Unternehmens in der Schweiz gewährleistet und der Zugriff auf die dafür notwendigen Informationen muss jederzeit in der Schweiz möglich sein; Das Rundschreiben enthält keine datenschutzrechtlichen Bestimmungen mehr. 1
II. 1. Zweck WESENTLICHE ÄNDERUNGEN DES REVIDIERTEN RUNDSCHREIBENS Der Zweckartikel des revidierten Rundschreibens wurde dahingehend angepasst, dass die Einhaltung der Anforderungen an eine angemessene Organisation sowie neu die Risikobegrenzung im Zusammenhang mit ausgelagerten Funktionen im Vordergrund stehen (Rz. 1 Rundschreiben). Durch Streichung des Verweises auf die Erfordernisse des Datenschutzes und des Bankgeheimnisses soll eine klare Abgrenzung der Anforderungen des Aufsichtsrechtes zu jenen des Strafrechts, Privatrechts und Datenschutzrechts erfolgen. Dies führt u.a. dazu, dass die Form der Zustimmung der Kunden zu einem Outsourcing im Rundschreiben nicht mehr geregelt wird. 2. Begriffe Ein Outsourcing liegt nur vor, wenn wesentliche Funktionen ausgelagert werden. Als "wesentlich" gelten alle Funktionen, "von denen die Einhaltung der Ziele und Vorschriften der Finanzmarktaufsichtsgesetzgebung signifikant abhängen" (Rz. 4 Rundschreiben). Damit soll dem prinzipienbasierten Ansatz und dem Aspekt der individuellen Verantwortung der Institute besser Rechnung getragen werden: Die Konkretisierung der Wesentlichkeit muss institutsspezifisch ausgestaltet und vom Institut selbst vorgenommen werden. Daher wurde auch der bisherige Anhang mit Beispielen aus der Praxis zur Frage, welche Tätigkeiten als Auslagerungen im Sinne des Rundschreibens gelten, gestrichen: Das Institut hat nunmehr selber zu beurteilen, welche Tätigkeiten als wesentlich gelten. Wenn Kundendaten ("Customer Identifying Data", "CID") ausgelagert werden, gilt neu, dass dieses Outsourcing grundsätzlich nur als wesentlich zu erachten ist, wenn dem Dienstleistungserbringer Zugang zu Massen-CID (und nicht bloss einzelnen CIDs) gewährt wird (S. 15 Anhörungsbericht vom 21. September 2017). 3. Zulässigkeit Vorbehältlich der Vorschriften im Rundschreiben ist die Auslagerung aller wesentlichen Funktionen an sich zulässig. Die Auslagerung von operativen Risikomanagement- und Compliance-Funktionen von Banken und Effektenhändlern ist bei allen Aufsichtskategorien möglich. Hingegen können bei Unternehmen der Aufsichtskategorie 1 bis 3 die nicht-operativen-funktionen von Risikokontrolle und Compliance nicht ausgelagert werden. Bei Unternehmen der Aufsichtskategorien 4 und 5 genügt es, wenn eine verantwortliche Person in der Geschäftsleitung für diese ausgelagerte Funktion bestimmt wird (Rz. 9 Rundschreiben), welche für eine angemessene Beurteilung der relevanten Risiken aus Sicht des Unternehmens zu sorgen hat. 4. Gruppen-/ Konzerngesellschaften Grundsätzlich gilt das Rundschreiben auch für Outsourcing innerhalb einer Finanzgruppe oder - konglomerates. Allerdings kann die Tatsache, dass eine Funktion innerhalb der Gruppe ausgelagert wird, bei den Pflichten zu Auswahl, Instruktion und Kontrolle des Dienstleisters sowie bei der Ausgestaltung des Vertrages berücksichtigt werden. So könnte beispielsweise das Auswahlverfahren eines internen Dienstleisters weniger umfangreich als bei einem externen Dienstleister sein (S. 28 Anhörungsbericht vom 21. September 2017). Eine solche Berücksichtigung ist jedoch nur möglich, wenn mit der Auslagerung typischerweise verbundene Risiken nachweislich nicht bestehen oder gewisse Anforderungen nicht relevant oder anders geregelt sind. 5. Inventarisierung der ausgelagerten Funktionen Das Institut hat über die ausgelagerten Funktionen ein Inventar zu führen, welches auf dem aktuellsten Stand gehalten werden muss. Das Inventar enthält mindestens die Umschreibung der ausgelagerten Funktionen, nennt den Erbringer und den Empfänger der Funktion und bezeichnet die 2
unternehmensinterne verantwortliche Stelle für die Überwachung und Kontrolle der ausgelagerten Funktion (Rz. 14 Rundschreiben). Ob ein Unterakkordant ins Inventar aufzunehmen ist, hängt davon ab, ob dessen Beitrag als wesentlich im Sinne des Rundschreibens zu qualifizieren ist (S. 24 Anhörungsbericht vom 21. September 2017). 6. Auswahl, Instruktion und Kontrolle des Dienstleisters Institute sind verpflichtet, die mit der Auslagerung verfolgten Ziele und Anforderungen an die Leistungserbringer vor Vertragsabschluss festzulegen und zu dokumentieren. Dies beinhaltet neu auch die Erstellung einer Risikoanalyse, welche die wesentlichen ökonomischen und operativen Überlegungen und die damit verbundenen Risiken und Chancen einschliesst (Rz. 16 Rundschreiben). Die Zuständigkeiten der Institute und des Dienstleisters sind vertraglich festzulegen und abzugrenzen, insbesondere bezüglich Schnittstellen und Verantwortlichkeiten. Die mit der Auslagerung verbundenen wesentlichen Risiken sind zudem systematisch zu identifizieren, zu überwachen, zu qualifizieren und zu steuern (Rz. 19f. Rundschreiben). Bei Auslagerung von mehreren Funktionen an einen Dienstleister ist insbesondere dem Konzentrationsrisiko Rechnung zu tragen (Rz. 17 Rundschreiben). Damit soll keine Beschränkung bei der Auswahl des Dienstleisters an sich impliziert werden; allfällige Risiken müssen aber in der Evaluation berücksichtigt werden (S. 28 Anhörungsbericht vom 21. September 2017). 7. Sicherheit Wie schon bisher wird von den Instituten verlangt, bei sicherheitsrelevanten Auslagerungen (namentlich im Bereich der IT) vertragliche Sicherheitsvereinbarungen mit dem Dienstleister einzugehen (Rz. 24 ff. Rundschreiben) und ein Sicherheitsdispositiv zu erlassen, welches neu auch die Weiterführung der ausgelagerten Funktionen in Notfällen abdecken soll. Die konkrete Umsetzung der Sicherheitsanforderungen bei sicherheitsrelevanten Auslagerungen soll institutsspezifisch und in Abhängigkeit von der ausgelagerten Funktionen, den konkreten Risiken sowie den verwendeten Systemen erfolgen (S. 30 Anhörungsbericht vom 21. September 2017). 8. Prüfung und Aufsicht Auch schon bisher mussten die auslagernde Unternehmung, deren interne Revision und externe Prüfgesellschaft sowie die FINMA ein vollumfängliches sowie jederzeitiges und ungehindertes Einsichts- und Prüfrecht über den ausgelagerten Geschäftsbereiche haben (Rz. 40 ff. RS 2008/7). Neu müssen die Institute und deren Prüfgesellschaften sowie die FINMA in der Lage sein, die Einhaltung der aufsichtsrechtlichen Bestimmungen beim Dienstleister zu prüfen, und zu diesem Zweck ist zu Gunsten der Institute, deren Prüfgesellschaft und der FINMA ein vertraglich vereinbartes jederzeitiges, vollumfängliches und ungehindertes Einsichts- und Prüfrecht in Bezug auf die ausgelagerte Funktion einzuräumen. Diese Begriffe seien jedoch verhältnismässig auszulegen (S. 34 f. Anhörungsbericht vom 21. September 2017). So sei "jederzeitig" auch erfüllt, wenn Prüfungshandlungen unter Gewährung einer angemessenen Vorlaufszeit möglich sind. Der Begriff "vollumfänglich" decke ausschliesslich aufsichtsrechtlich relevante Sachverhalte ab. "Ungehindert" soll als freier Zugriff zu den Unterlagen im Zusammenhang mit der vom Institut ausgelagerten Funktion und unter Wahrung der Geschäftsgeheimnisse Dritter verstanden werden. Ebenso sei die Präsenz vor Ort gerade im IT- Bereich nicht zwingend erforderlich. Die Einsichtsrechte können auch auf Distanz ausgeübt werden. Wie bisher ist die Delegation der Prüftätigkeiten an die Revisionsstelle des Dienstleisters möglich, unter der Voraussetzung, dass diese über die notwendigen fachlichen Kompetenzen verfügt. In einem solchen Fall ist es neu der Prüfgesellschaft des Instituts erlaubt, auf die Prüfungsergebnisse der Revisionsstelle des Dienstleisters abzustellen (Rz. 27 Rundschreiben). 3
9. Auslagerungen ins Ausland Bereits bisher setzten Auslagerungen ins Ausland einen ausdrücklichen Nachweis der Prüfmöglichkeiten voraus. Gemäss revidiertem Rundschreiben sind Auslagerungen ins Ausland nur dann zulässig, wenn das Institut ausdrücklich zusichern kann, dass es selber, seine Prüfgesellschaft sowie die FINMA ihre Einsichts- und Prüfrechte wahrnehmen und durchsetzen kann. Zudem muss die Sanierbarkeit bzw. Abwickelbarkeit des Institutes in der Schweiz gewährleistet sein. Der Zugriff auf die dafür notwendigen Daten und Informationen und deren Lesbarkeit muss jederzeit und uneingeschränkt (auch im Konkursfall) von der Schweiz aus möglich sein. 10. Übergangsbestimmungen Das Rundschreiben findet Anwendung auf Outsourcing-Verhältnisse von Banken und Effektenhändlern, die nach dem 1. April 2018 abgeschlossen oder geändert werden. Für Outsourcingverhältnisse von Banken und Effektenhändlern, die bei Inkrafttreten des Rundschreibens bereits bestehen, gilt eine Übergangsfrist von fünf Jahren. 11. Spezifische Bestimmungen für Versicherungsunternehmen a. Zulässigkeit der Auslagerung Grundsätzlich ist für Versicherungsunternehmen die Auslagerung jeder Funktion sowohl gruppenintern als auch extern möglich, sofern die geschäftsplanmässigen Anforderungen nach Art. 4 Bst. j i.v.m. Art. 5 Abs. 2 Versicherungsaufsichtsgesetz "VAG" und die übrigen gesetzlichen Vorschriften erfüllt sowie die Interessen der Versicherten gewahrt sind (Art. 6 Abs. 1 VAG). Die Auslagerungen bei Direkt- und Rückversicherungscaptives sind in einem umfassenderen Rahmen zulässig, als dies bei übrigen Versicherungsunternehmen der Fall ist. Zulässig ist namentlich: 1. Das Outsourcing des Managements von Direkt- und Rückversicherungscaptives mit Sitz in der Schweiz (inkl. zentraler Führungsaufgaben der Geschäftsleitung) auf entsprechend spezialisierte Captive-Management-Gesellschaften; 2. Das Outsourcing des Managements von Zweigniederlassungen ausländischer Direktversicherungscaptives innerhalb des Konzerns oder auf entsprechend spezialisierte Captive- Management-Gesellschaften. Die aufsichtsrechtliche Funktion des Generalbevollmächtigten darf dadurch nicht eingeschränkt werden. Diese Regelung für Versicherungscaptives entspricht der bisherigen Praxis der FINMA. b. Inventarisierung der ausgelagerten Funktionen Bei den Versicherungen ist das Geschäftsplanformular J gemäss den Vorgaben zur Inventarisierung anzupassen. Das Geschäftsplanformular J ist selbst nicht Gegenstand einer Melde- oder Genehmigungspflicht (S. 24 Anhörungsbericht vom 21. September 2017). Genehmigungspflichtig sind vielmehr die im Geschäftsplanformular J ausdrücklich bezeichneten Elemente (dunkle Hinterlegung). c. Übergangsbestimmungen Für Versicherungsunternehmen gibt es keine eigentliche Übergangsfrist, da bisher kein Outsourcing-Rundschreiben bestand und gemäss Auffassung der FINMA das Rundschreiben zu grossen Teilen der bereits etablierten Praxis entspricht. Für Versicherungsunternehmen mit Erstbewilligungen ist das Rundschreiben ab dem 1. April 2018 gültig, für Änderungsgenehmigungen ab dem Zeitpunkt, an dem eine Geschäftsplanänderung der FINMA zur Genehmigung unterbreitet bzw. mitgeteilt wird. 4
Kontakte: NKF Banking, Finance & Regulatory Team Partner François M. Bianchi, Partner Telefon: +41 58 800 8352 (Direktwahl) E-Mail: francois.m.bianchi@nkf.ch Thomas Frick, Partner Telefon: +41 58 800 8349 (Direktwahl) E-Mail: thomas.a.frick@nkf.ch Sandro Abegglen, Partner PD Telefon: +41 58 800 8310 (Direktwahl) E-Mail: sandro.abegglen@nkf.ch Adrian W. Kammerer, Partner Telefon: +41 58 800 8328 (Direktwahl) E-Mail: adrian.w.kammerer@nkf.ch Marco Häusermann, Partner lic. iur., Attorney-at-law, LL.M., C.B.A. Telefon: +41 58 800 8453 (Direktwahl) E-Mail: marco.haeusermann@nkf.ch Bertrand G. Schott, Partner Telefon: +41 58 800 8345 (Direktwahl) E-Mail: bertrand.schott@nkf.ch This publication does not necessarily deal with every important topic or cover every aspect of the topics with which it deals. It is not designed to provide legal or other advice. 5