De mest framgångsrika bankerna kan dra nytta av outsourcingaktiviteter och samtidigt hantera de risker som är förknippade med dem. Alla banker har inte lyckats hantera risker från utlagd verksamhet och som svar ställer FINMA i sitt reviderade cirkulär 2018/3 krav på minimikrav för riskhantering för utkontraktering av verksamhet från banker, värdepappershandlare och, för första gången, försäkringsbolag med hemvist i Schweiz samt filialer till utländska försäkringsbolag. Det reviderade FINMA-cirkuläret 2018/3 träder i kraft den 1 april 2018, även om det finns övergångsarrangemang för outsourcingarrangemang som redan finns på det datumet.
Den här bloggen anger de viktigaste regulatoriska kraven i cirkuläret.
Den reviderade FINMA Curricular 2018/3 innehåller ett antal regulatoriska krav som rör hanteringen av risker i samband med outsourcade verksamhet.
Dessa sammanfattas i följande fem nyckelpunkter:
Bra metoder för implementering
Det finns flera grundläggande krav för framgångsrik implementering av bestämmelserna i cirkulär 2018/3:
1. Definiera kontroller och riskhanteringsprocesser över hela livscykeln för varje utlagd aktivitet. Detta bör omfatta planering, utvärdering och val, kontraktering och introduktion av tredjepartsleverantörer, hantering och övervakning av dem, samt avsluta eller förnya relationen. Den interna godkännandeprocessen för outsourcingprojekt bör följas och det måste vara möjligt att genomföra en fullständig kontrakts- och efterlevnadsgranskning hos tjänsteleverantören när som helst och utan några begränsningar. För att säkerställa att risker förstås och minskas på lämpligt sätt måste kontroller integreras i företagets befintliga ramverk för intern kontroll.
2. Upprätthålla en omfattande inventering av outsourcade aktiviteter, som åtminstone omfattar följande detaljer om alla interna och externa outsourcade tjänster:
Det rekommenderas också att potentiella risker med varje utlagd aktivitet bör belysas, såsom ömsesidigt beroende eller klusterrisker, tillsammans med hur dessa risker har klassificerats, hur de är i linje med företagets riskaptit och vilka korrigerande åtgärder som har vidtagits för att minska de identifierade riskerna.
3. Definiera tydliga roller i riskhanteringsprocessen för tredje part och definiera en styrningsstruktur som innehåller följande tre element:
Andra överväganden och komplexitet
Outsourcing till ett annat land är tillåtet om företaget kan garantera att dess revisionsbyrå och FINMA kan upprätthålla rätten att granska och granska outsourcingpartnern när som helst. Vidare, i händelse av omstrukturering eller likvidation av ett outsourcingföretag i Schweiz, måste det finnas en garanti för att tillgång till all nödvändig information alltid kommer att vara tillgänglig i Schweiz.
Den reviderade FINMA Curricular 2018/3 gäller även för intern outsourcingverksamhet, vilket innebär att outsourcing av aktiviteter till andra delar av koncernen kräver samma syn på övervakning och riskhantering som extern outsourcing. Detta inkluderar kravet på att interna servicenivåavtal ska definieras, godkännandeprocesser på plats och en tydlig ledningsstruktur upprättas.
Ett robust företagsomfattande riskramverk för tredje part hjälper företag att möta regulatoriska krav och skyddar dem mot befintliga och framtida risker för outsourcing av tredje part. Ramverket som beskrivs nedan är integrerat i verksamheten och möjliggör ett robust, proportionerligt, proaktivt och skalbart sätt att hantera risker förknippade med outsourcingaktiviteter.
Viktiga implementeringsdatum
För att följa det reviderade cirkuläret 2018/3 har FINMA beviljat en femårig övergångsperiod för banker och värdepappershandlare, för utlokaliserade aktiviteter som redan är på plats. Från den 1 april 2018 kommer nya försäkringsbolag omedelbart att omfattas av kraven i det reviderade cirkuläret. Befintliga försäkringsgivare omfattas av de nya reglerna endast om det sker en förändring i deras lagstadgade affärsplan.
Om du genomför eller överväger en mognadsbedömning av ditt nuvarande ramverk för riskhantering för utlagda aktiviteter, eller om du vill förstå mer om någon av de individuella komponenterna och kraven i ramverket som beskrivs ovan, vänligen kontakta oss och prata med våra experter.