I december 2016 publicerade FINMA det fullständigt reviderade outsourcingcirkuläret 17/xx Outsourcing – Banker och försäkringsbolag som kommer att ersätta cirkulär 2008/7 "Outsourcing - Banker". Efter en samrådsperiod fram till 31 januari 2017 planerade FINMA initialt att sätta det reviderade cirkuläret i kraft den 1 juli 2017. Deloitte och andra lämnade in sin feedback till FINMA:Några av de föreslagna skärpningarna av kontraktskrav, outsourcing av efterlevnad och riskhantering eller tillgång till data från Schweiz kan leda till betydande behov av åtgärder och (IT-)kostnader för banker, andra finansiella tjänsteleverantörer och försäkringsbolag. Den slutliga versionen av det reviderade cirkuläret har ännu inte publicerats. FINMA kan behöva mer tid för slutförandet och vi förväntar oss publicering under tredje kvartalet 2017. Därför kommer det reviderade cirkuläret inte att träda i kraft förrän i början av 2018.
Härefter förklarar vi några av de förväntade förändringarna som kommer att ske. genomförs med det nya cirkuläret. Efter den internationella trenden kan man förvänta sig att de slutgiltiga reglerna generellt sett blir strängare.
Finansinspektionen planerar att harmonisera reglerna för banker, värdepappershandlare och försäkringsbolag. Även om FINMA förklarade att det reviderade cirkuläret inte implementerar strängare tillsynsregler ser vi följande behov av åtgärder för banker:
"Outsourcing" står för utläggning av tjänster till interna eller externa tjänsteleverantörer. Idag är outsourcing mycket viktigt och dess betydelse ökar fortfarande. Innehållet och tidpunkten för denna första allmänna revidering av cirkuläret överensstämmer med riktlinjerna från Financial Stability Board. 1
Efter ikraftträdandet gäller de reviderade FINMA-reglerna för nya och ändrade outsourcing. För befintliga outsourcing föreskrivs i cirkuläret en övergångsperiod på två år.
Cirkulärförslaget ställer flera nya krav på systematiskt viktiga banker. Begreppet ”väsentliga” tjänster utökas och omfattar även systemrelevanta tjänster (”kritiska” tjänster). Inför (potentiell) insolvens måste den systemviktiga banken fortsätta med sådana tjänster och inkludera dem i beredskapsplaneringen. Banken måste garantera överlåtbarheten av kritiska tjänster, men outsourcing av kritiska tjänster till andra banker i samma grupp är förbjudet. Banken kommer dock fortfarande att få lägga ut kritiska tjänster till icke-reglerade koncernföretag, till exempel interna tjänsteleverantörer. Dessutom måste tjänsteleverantörer fortsätta att tillhandahålla tjänsterna så länge banken fullgör sina avtalsenliga skyldigheter.
I praktiken är gruppintern outsourcing mycket vanligt. Privilegierna enligt gällande cirkulär kommer att avskaffas. Cirkulärutkastet skiljer inte längre mellan intern och extern outsourcing. Koncernintern outsourcing är ett mycket värdefullt alternativ och detta totalt reviderade cirkulär förväntas därför få stor inverkan inte bara för utländska banker med filialer i Schweiz utan även för schweiziska banker som använder deras schweiziska och internationella nätverk av företag.
Outsourcing av viktiga kontroll- och ledningsuppgifter avseende riskhantering och efterlevnad kommer fortfarande inte att tillåtas. Delvis outsourcing av rent operativa uppgifter - till exempel identifiering, analys, bedömning, begränsning och övervakning av risker - är tillåtet enligt cirkulärutkastet. Banker i tillsynskategorierna 4 och 5 kommer att kunna lägga ut sådana uppgifter på entreprenad utan några begränsningar.
I framtiden måste banker och försäkringsbolag hålla inventering av de utlagda tjänsterna. Inventeringen ska alltid hållas uppdaterad. Syftet är att övervaka utlagda tjänster utan luckor. Inventeringen dokumenterar tjänsten, namnger tjänsteleverantör samt underleverantörer samt mottagare och internt ansvarig kontaktperson. De utlagda tjänsterna förblir integrerade i det interna kontrollsystemet. Banker måste systematiskt identifiera, övervaka, kvantifiera och minska möjliga risker.
Banken, dess revisorer och FINMA måste när som helst kunna kontrollera efterlevnaden av outsourcingbestämmelserna. Outsourcingsavtalet ska ge en obegränsad och obehindrad inspektionsrätt skriftligen - även om tjänsteleverantören är belägen utomlands.
Om en bank har för avsikt att lägga ut kundidentifierande data (”CID”) måste den informera FINMA i förväg. Information från kunder om överföring av data är inte längre föremål för cirkuläret.
Outsourcing utomlands får inte försvåra återvinning, resolution eller likvidation.
Utkastet till cirkuläret är teknikneutralt, i synnerhet finns det inga specifika regler för molnbaserade lösningar. Den nuvarande bilagan som listar exempel som omfattas av cirkuläret eller undantagen kommer att tas bort. Exempel på materialoutsourcing finns i själva cirkuläret.
Det nya cirkuläret kommer att ha betydande inflytande på banker och finansiella tjänsteleverantörer.
Det finns ett behov av åtgärder för alla banker som lägger ut tjänster på entreprenad.
När det gäller koncernintern outsourcing kommer implementeringen av de nya reglerna att bli komplicerad:bankerna måste anpassa bland annat kontrakten och säkerhetsdispositionen.
Banker som lägger ut tjänster utomlands måste kritiskt bedöma om outsourcingen komplicerar återhämtning, rekonstruktion eller likvidation och om tillgång till data är möjlig när som helst.
Systematiskt viktiga banker måste utvärdera om vissa tjänster bedöms som kritiska i framtiden. Outsourcing av kritiska tjänster till koncernbolag måste avslutas inom den tvååriga övergångsperioden. Vid behov måste systematiskt viktiga banker anpassa beredskapsplanerna.
1 FSB-vägledning om arrangemang för att stödja operativ kontinuitet i resolutionen av den 18 augusti 2016.