FINMA-RS 08/7 überarbeitet – was ist neu?
Die FINMA hat ihr Rundschreiben zu Auslagerungen bei Banken und Versicherungsunternehmen überarbeitet. Aus dem FINMA-RS 08/7 Outsourcing Banken wird damit das FINMA-RS 18/3 Outsourcing – Banken und Versicherer. Was ändert, was bleibt?
Mit dem neuen Rundschreiben, das am 1. April 2018 in Kraft tritt, setzt die FINMA verstärkt auf die Eigenverantwortung der Finanzinstitute. Sie richtet das Rundschreiben prinzipienbasiert und technologieneutral aus und geht weniger ins Detail, was die Umsetzung angeht.
Versicherungen
In FINMA-RS 18/3 werden neben Banken und Effektenhändlern nun auch Versicherungen explizit aufgeführt.
Inventarisierung
Die der FINMA unterstellten Institute müssen ein aktuelles Inventar der ausgelagerten Funktionen führen. Darin müssen auch die Unterakkordanten der Dienstleister aufgeführt sein.
Sicherheit
Der Paragraph zur Sicherheit wurde deutlich kürzer. Im Wesentlichen fordert die FINMA, dass die Institute und ihre Dienstleister ein Sicherheitspositive erarbeiten und die Sicherheitsanforderungen vertraglich festlegen. Detailliertere Anforderungen, die in RS 08/7 noch enthalten waren, entfallen.
Prüfrecht
Das jederzeitige, vollumfängliche und ungehinderte Einsichts- und Prüfrecht der FINMA bleibt bestehen. Dieses Recht darf durch die Auslagerung nicht behindert werden, insbesondere wenn diese ins Ausland erfolgt. Nach wie vor müssen sich Dienstleister vertraglich verpflichten, der FINMA sämtliche Auskünfte und Unterlagen zu geben, die diese zur Prüfung benötigt.
Auslagerung ins Ausland
Die FINMA geht davon aus, dass die Auslagerung von Daten ins Ausland mit einem grösseren Risiko verbunden ist. Sie untersagt diese aber nicht, sondern erlaubt sie unter zwei Auflagen: Wie bisher muss die FINMA ihr Einsichts- und Prüfrecht wahrnehmen können. Für letzteres wurde in RS 08/7 ein Nachweis gefordert. Mit dem neuen Rundschreiben genügt es, wenn das Institut dies ausdrücklich zusichern kann. Ebenfalls neu ist, dass sämtliche für eine Sanierung oder Abwicklung notwendigen Daten jederzeit auch in der Schweiz verfügbar sein müssen.
Fazit
Nach wie vor sieht die FINMA die Verantwortung für die Datensicherheit bei den ihr unterstellten Instituten und behält sich das jederzeitige, vollumfängliche und ungehinderte Einsichts- und Prüfrecht vor. Neu äussert sich die FINMA aber weniger detailliert zur Frage, wie die Institute dies sicherstellen sollen. Neu ist auch, dass die FINMA explizit verlangt, dass für eine Sanierung oder Abwicklung notwendige Daten in der Schweiz verfügbar sein müssen.
aspectra wird von Ernst & Young auf die Erfüllung der Anforderungen gemäss FINMA Rundschreiben 2008/7 und 2008/21 Annex 3 sowie des EBK Rundschreibens 2005/2 Rz 87 auditiert. Die Berichtsform für den nächsten Prüfzyklus basiert auf ISAE 3000.
Weiterführende Links:
- Medienmitteilung FINMA veröffentlicht Outsourcing-Rundschreiben (05. Dezember 2017)
- aspectra Blog FINMA-RS 08/7: Achter Prüfzyklus erfolgreich abgeschlossen
- aspectra Blog FINMA– und EBK Anforderungen: Neunter Prüfzyklus erfolgreich abgeschlossen