De mest framgångsrika bankerna kan dra nytta av outsourcingaktiviteter och samtidigt hantera de risker som är förknippade med dem. Alla banker har inte lyckats hantera risker från utlagd verksamhet och som svar ställer FINMA i sitt reviderade cirkulär 2018/3 krav på minimikrav för riskhantering för utkontraktering av verksamhet från banker, värdepappershandlare och, för första gången, försäkringsbolag med hemvist i Schweiz samt filialer till utländska försäkringsbolag. Det reviderade FINMA-cirkuläret 2018/3 träder i kraft den 1 april 2018, även om det finns övergångsarrangemang för outsourcingarrangemang som redan finns på det datumet.

Den här bloggen anger de viktigaste regulatoriska kraven i cirkuläret.

Den reviderade FINMA Curricular 2018/3 innehåller ett antal regulatoriska krav som rör hanteringen av risker i samband med outsourcade verksamhet.

Dessa sammanfattas i följande fem nyckelpunkter:

• Organisationer måste ha robusta interna processer för hantering av outsourcade aktiviteter, inklusive godkännandeprocessen, eskaleringsvägar och onboardingprocesser för nya outsourcade aktiviteter. De huvudsakliga riskerna förknippade med outsourcingverksamheten måste systematiskt identifieras, övervakas och kontrolleras.
• Riskbedömningar och kontrollaktiviteter krävs under hela livscykeln för outsourcingarrangemanget.
• En inventering av utlagda funktioner måste förberedas och hållas uppdaterad hela tiden för att ge insyn.
• Det finns ett krav på beredskapsplanering och en förmåga att lägga in all outsourcad aktivitet när som helst i händelse av en nödsituation.
• Tillgång till data som innehas av en tredje part i händelse av dess omstrukturering, resolution och likvidation måste alltid beviljas och underhållas i Schweiz.

Bra metoder för implementering

Det finns flera grundläggande krav för framgångsrik implementering av bestämmelserna i cirkulär 2018/3:

1. Definiera kontroller och riskhanteringsprocesser över hela livscykeln för varje utlagd aktivitet. Detta bör omfatta planering, utvärdering och val, kontraktering och introduktion av tredjepartsleverantörer, hantering och övervakning av dem, samt avsluta eller förnya relationen. Den interna godkännandeprocessen för outsourcingprojekt bör följas och det måste vara möjligt att genomföra en fullständig kontrakts- och efterlevnadsgranskning hos tjänsteleverantören när som helst och utan några begränsningar. För att säkerställa att risker förstås och minskas på lämpligt sätt måste kontroller integreras i företagets befintliga ramverk för intern kontroll.

2. Upprätthålla en omfattande inventering av outsourcade aktiviteter, som åtminstone omfattar följande detaljer om alla interna och externa outsourcade tjänster:

• Information om den outsourcade aktiviteten
• namnet på tjänsteleverantören (inklusive eventuella underleverantörer);
• platsen; och tjänstemottagaren
• styrningsarrangemang.

Det rekommenderas också att potentiella risker med varje utlagd aktivitet bör belysas, såsom ömsesidigt beroende eller klusterrisker, tillsammans med hur dessa risker har klassificerats, hur de är i linje med företagets riskaptit och vilka korrigerande åtgärder som har vidtagits för att minska de identifierade riskerna.

3. Definiera tydliga roller i riskhanteringsprocessen för tredje part och definiera en styrningsstruktur som innehåller följande tre element:

• Ramverksstyrning, som anger ansvaret och ansvarsskyldigheten för att övervaka ramverket för riskhantering och säkerställa att det levererar i linje med organisationens strategi för riskhantering från tredje part
• Operational Governance, som definierar olika ansvarsområden (och eskaleringsvägar för ansvar och ansvarighet) för att säkerställa efterlevnad av tredje parts riskhanteringsprocesser och deras operativa effektivitet
• Tredjepartsstyrning (ägarskap), som anger de specifika roller och ansvar som individer inom organisationen har i förhållande till varje specifik utlagd tjänst och tredje part.

Andra överväganden och komplexitet

Outsourcing till ett annat land är tillåtet om företaget kan garantera att dess revisionsbyrå och FINMA kan upprätthålla rätten att granska och granska outsourcingpartnern när som helst. Vidare, i händelse av omstrukturering eller likvidation av ett outsourcingföretag i Schweiz, måste det finnas en garanti för att tillgång till all nödvändig information alltid kommer att vara tillgänglig i Schweiz.

Den reviderade FINMA Curricular 2018/3 gäller även för intern outsourcingverksamhet, vilket innebär att outsourcing av aktiviteter till andra delar av koncernen kräver samma syn på övervakning och riskhantering som extern outsourcing. Detta inkluderar kravet på att interna servicenivåavtal ska definieras, godkännandeprocesser på plats och en tydlig ledningsstruktur upprättas.

Ett robust företagsomfattande riskramverk för tredje part hjälper företag att möta regulatoriska krav och skyddar dem mot befintliga och framtida risker för outsourcing av tredje part. Ramverket som beskrivs nedan är integrerat i verksamheten och möjliggör ett robust, proportionerligt, proaktivt och skalbart sätt att hantera risker förknippade med outsourcingaktiviteter.

Viktiga implementeringsdatum

För att följa det reviderade cirkuläret 2018/3 har FINMA beviljat en femårig övergångsperiod för banker och värdepappershandlare, för utlokaliserade aktiviteter som redan är på plats. Från den 1 april 2018 kommer nya försäkringsbolag omedelbart att omfattas av kraven i det reviderade cirkuläret. Befintliga försäkringsgivare omfattas av de nya reglerna endast om det sker en förändring i deras lagstadgade affärsplan.

Om du genomför eller överväger en mognadsbedömning av ditt nuvarande ramverk för riskhantering för utlagda aktiviteter, eller om du vill förstå mer om någon av de individuella komponenterna och kraven i ramverket som beskrivs ovan, vänligen kontakta oss och prata med våra experter.