De mest succesrige banker er i stand til at drage fordel af outsourcing aktiviteter og samtidig styre de tilknyttede risici. Ikke alle banker har haft succes med at styre risici fra outsourcede aktiviteter, og som svar pålægger FINMA i sit reviderede cirkulære 2018/3 minimumskrav til risikostyring for outsourcing af aktiviteter fra banker, værdipapirhandlere og for første gang forsikringsselskaber hjemmehørende i Schweiz samt filialer af udenlandske forsikringsselskaber. Det reviderede FINMA-cirkulære 2018/3 træder i kraft den 1. april 2018, selvom der er overgangsordninger for outsourcing-ordninger, der allerede er på plads på den dato.

Denne blog angiver de vigtigste lovmæssige krav i cirkulæret.

Det reviderede FINMA Curricular 2018/3 indeholder en række regulatoriske krav vedrørende styring af risici forbundet med outsourcede aktiviteter.

Disse er opsummeret i følgende fem nøglepunkter:

• Organisationer skal have robuste interne processer til styring af outsourcede aktiviteter, herunder godkendelsesprocessen, eskaleringsruter og onboardingprocesser for nye outsourcede aktiviteter. De væsentligste risici forbundet med outsourcing-aktiviteten skal systematisk identificeres, overvåges og kontrolleres.
• Risikovurderinger og kontrolaktiviteter er påkrævet gennem hele outsourcing-arrangementets livscyklus.
• En fortegnelse over outsourcede funktioner skal udarbejdes og til enhver tid holdes ajour for at give gennemsigtighed.
• Der er et krav om beredskabsplanlægning og en evne til at insource enhver outsourcet aktivitet til enhver tid i tilfælde af en nødsituation.
• Adgang til data, der opbevares af en tredjepart i tilfælde af omstrukturering, opløsning og likvidation, skal til enhver tid gives og vedligeholdes i Schweiz.

God praksis for implementering

Der er flere grundlæggende krav til en vellykket implementering af bestemmelserne i Cirkulære 2018/3:

1. Definer kontroller og risikostyringsprocesser på tværs af hele livscyklussen for hver outsourcet aktivitet. Dette bør omfatte planlægning, evaluering og udvælgelse, indgåelse af kontrakter og onboarding af tredjepartsudbydere, styring og overvågning af dem og afbrydelse eller fornyelse af forholdet. Den interne godkendelsesproces for outsourcing af projekter bør følges, og det skal til enhver tid og uden begrænsninger være muligt at gennemføre en fuldstændig kontrakt- og overholdelsesgennemgang hos tjenesteudbyderen. For at sikre, at risici forstås og afbødes passende, skal kontroller integreres i virksomhedens eksisterende interne kontrolramme.

2. Vedligeholde en omfattende fortegnelse over outsourcede aktiviteter, som som minimum omfatter følgende detaljer om alle interne og eksterne outsourcede tjenester:

• Detaljer om den outsourcede aktivitet
• navnet på tjenesteudbyderen (inklusive eventuelle underleverandører);
• placeringen; og tjenestemodtageren
• styringsordninger.

Det anbefales også, at potentielle risici med hver outsourcet aktivitet fremhæves, såsom gensidig afhængighed eller klyngerisici, sammen med hvordan disse risici er blevet klassificeret, hvordan de stemmer overens med virksomhedens risikoappetit, og hvilke korrigerende handlinger der er blevet iværksat for at mindske de identificerede risici.

3. Definer klare roller i tredjeparts risikostyringsprocessen og definer en styringsstruktur, der indeholder følgende tre elementer:

• Framework Governance, som fastlægger ansvaret og ansvarligheden for at føre tilsyn med risikostyringsrammen og sikre, at den leverer i overensstemmelse med organisationens strategi for tredjeparts risikostyring
• Operational Governance, som definerer de forskellige ansvarsområder (og eskaleringsveje for ansvar og ansvarlighed) for at sikre overholdelse af tredjeparts risikostyringsprocesser og deres driftseffektivitet
• Tredjepartsstyring (ejerskab), som angiver de specifikke roller og ansvar, som individer i organisationen har i forhold til hver specifik outsourcet tjeneste og tredjepart.

Andre overvejelser og kompleksiteter

Outsourcing til et andet land er tilladt, hvis virksomheden kan garantere, at dets revisionsfirma og FINMA kan håndhæve retten til at inspicere og revidere outsourcingpartneren til enhver tid. I tilfælde af omstrukturering eller likvidation af et outsourcingfirma i Schweiz skal der ydermere være sikkerhed for, at der til enhver tid vil være adgang til alle nødvendige oplysninger i Schweiz.

Det reviderede FINMA Curricular 2018/3 gælder også for interne outsourcingaktiviteter, hvilket betyder, at outsourcing af aktiviteter til andre dele af koncernen kræver samme tilgang til overvågning og risikostyring som ekstern outsourcing. Dette omfatter kravet om, at interne serviceniveauaftaler skal defineres, godkendelsesprocesser på plads og en klar ledelsesstruktur etableres.

Et robust tredjepartsrisikorammeværk for hele virksomheden hjælper virksomheder med at opfylde regulatoriske krav og beskytter dem mod eksisterende og fremtidige risici ved tredjepartsoutsourcing. Rammen, der er skitseret nedenfor, er integreret i virksomheden og tillader en robust, forholdsmæssig, proaktiv og skalerbar måde at håndtere risici forbundet med outsourcing af aktiviteter på.

Vigtige implementeringsdatoer

For at overholde det reviderede cirkulære 2018/3 har FINMA givet en femårig overgangsperiode for banker og værdipapirhandlere for outsourcede aktiviteter, der allerede er på plads. Fra 1. april 2018 vil nye forsikringsselskaber straks være omfattet af kravene i det reviderede cirkulære. Eksisterende forsikringsselskaber er kun underlagt de nye regler, hvis der sker en ændring i deres lovpligtige forretningsplan.

Hvis du udfører eller overvejer en modenhedsvurdering af din nuværende risikostyringsramme for outsourcede aktiviteter, eller hvis du gerne vil forstå mere om nogen af ​​de individuelle komponenter og krav i rammen skitseret ovenfor, bedes du kontakte os og tale med vores eksperter.