De meest succesvolle banken kunnen profiteren van uitbestedingsactiviteiten en tegelijkertijd de bijbehorende risico's beheersen. Niet alle banken zijn erin geslaagd de risico's van uitbestede activiteiten te beheersen en in reactie daarop stelt FINMA in haar herziene circulaire 2018/3 minimale risicobeheervereisten voor uitbestedingsactiviteiten door banken, effectenhandelaren en, voor het eerst, verzekeringsmaatschappijen die in Zwitserland zijn gevestigd evenals bijkantoren van buitenlandse verzekeringsmaatschappijen. De herziene FINMA-circulaire 2018/3 zal op 1 april 2018 in werking treden, hoewel er op die datum al overgangsregelingen voor uitbestedingsregelingen van kracht zijn.

In deze blog worden de belangrijkste wettelijke vereisten in de circulaire uiteengezet.

Het herziene FINMA-curriculum 2018/3 bevat een aantal wettelijke vereisten met betrekking tot het beheer van risico's die verband houden met uitbestede activiteiten.

Deze zijn samengevat in de volgende vijf hoofdpunten:

• Organisaties moeten beschikken over robuuste interne processen voor het beheer van uitbestede activiteiten, inclusief het goedkeuringsproces, escalatieroutes en onboarding-processen voor nieuwe uitbestede activiteiten. De belangrijkste risico's verbonden aan de uitbestedingsactiviteit moeten systematisch worden geïdentificeerd, gecontroleerd en gecontroleerd.
• Risicobeoordelingen en controleactiviteiten zijn vereist gedurende de gehele levenscyclus van de uitbestedingsovereenkomst.
• Er moet een inventaris van uitbestede functies worden opgesteld en te allen tijde up-to-date worden gehouden om transparantie te bieden.
• Er is een vereiste voor noodplanning en de mogelijkheid om uitbestede activiteiten op elk moment in te zetten in geval van nood.
• Toegang tot gegevens die in het bezit zijn van een derde partij in het geval van herstructurering, afwikkeling en liquidatie moet te allen tijde worden verleend en behouden in Zwitserland.

Goede praktijken voor implementatie

Er zijn verschillende basisvereisten voor een succesvolle implementatie van de bepalingen van circulaire 2018/3:

1. Definieer controle- en risicobeheerprocessen gedurende de gehele levenscyclus van elke uitbestede activiteit. Dit moet betrekking hebben op het plannen, evalueren en selecteren, contracteren en in dienst nemen van externe leveranciers, het beheren en bewaken van deze, en het beëindigen of vernieuwen van de relatie. Het interne goedkeuringsproces voor uitbestedingsprojecten moet worden gevolgd en het moet mogelijk zijn om op elk moment en zonder enige beperking een volledige contract- en nalevingsbeoordeling uit te voeren bij de dienstverlener. Om ervoor te zorgen dat risico's worden begrepen en op passende wijze worden beperkt, moeten controles worden geïntegreerd in het bestaande interne controlekader van het bedrijf.

2. Houd een uitgebreide inventaris bij van uitbestede activiteiten, die minimaal de volgende details bevat over alle interne en externe uitbestede diensten:

• Details van de uitbestede activiteit
• de naam van de dienstverlener (inclusief eventuele onderaannemers);
• de locatie; en de ontvanger van de dienst
• bestuursregelingen.

Het wordt ook aanbevolen om potentiële risico's bij elke uitbestede activiteit te benadrukken, zoals onderlinge afhankelijkheid of clusterrisico's, samen met hoe deze risico's zijn geclassificeerd, hoe ze in overeenstemming zijn met de risicobereidheid van het bedrijf en welke corrigerende maatregelen zijn genomen om de geïdentificeerde risico's beperken.

3. Definieer duidelijke rollen in het risicobeheerproces van derden en definieer een bestuursstructuur die de volgende drie elementen bevat:

• Framework Governance, waarin de verantwoordelijkheid en aansprakelijkheid zijn vastgelegd voor het toezicht op het risicobeheerkader en ervoor zorgen dat het in overeenstemming is met de strategie van de organisatie voor risicobeheer door derden
• Operationeel bestuur, dat de verschillende verantwoordelijkheden (en escalatiepaden voor verantwoordelijkheid en aansprakelijkheid) definieert om naleving van de risicobeheerprocessen van derden en hun operationele effectiviteit te garanderen
• Third Party Governance (Ownership), dat de specifieke rollen en verantwoordelijkheden beschrijft die individuen binnen de organisatie hebben met betrekking tot elke specifieke uitbestede dienst en derde partij.

Andere overwegingen en complexiteiten

Uitbesteding naar een ander land is toegestaan ​​als het bedrijf kan garanderen dat zijn accountantskantoor en FINMA het recht op inspectie en controle op elk moment van de uitbestedingspartner kunnen afdwingen. Bovendien moet er in het geval van herstructurering of liquidatie van een outsourcingbedrijf in Zwitserland zekerheid zijn dat toegang tot alle vereiste informatie te allen tijde beschikbaar zal zijn in Zwitserland.

Het herziene FINMA-curriculum 2018/3 is ook van toepassing op uitbestedingsactiviteiten binnen een groep, wat betekent dat het uitbesteden van activiteiten aan andere delen van de groep dezelfde benadering van monitoring en risicobeheer vereist als externe uitbesteding. Dit omvat de eis dat er interne overeenkomsten inzake dienstverleningsniveau moeten worden gedefinieerd, goedkeuringsprocessen moeten worden ingesteld en een duidelijke bestuursstructuur moet worden vastgesteld.

Een robuust bedrijfsbreed Third Party Risk Framework helpt bedrijven om te voldoen aan de wettelijke vereisten en beschermt hen tegen bestaande en toekomstige externe outsourcingrisico's. Het hieronder beschreven raamwerk is geïntegreerd in het bedrijf en maakt een robuuste, proportionele, proactieve en schaalbare manier mogelijk om de risico's van uitbestedingsactiviteiten te beheren.

Belangrijke implementatiedatums

Om te voldoen aan de herziene circulaire 2018/3, heeft FINMA een overgangsperiode van vijf jaar toegekend aan banken en effectenhandelaren voor reeds bestaande uitbestede activiteiten. Vanaf 1 april 2018 zullen nieuwe verzekeringsmaatschappijen onmiddellijk onderworpen zijn aan de vereisten van de herziene circulaire. Bestaande verzekeraars zijn alleen onderworpen aan de nieuwe regels als er een wijziging is in hun regelgevende businessplan.

Als u een volwassenheidsbeoordeling van uw huidige risicobeheerraamwerk voor uitbestede activiteiten uitvoert of overweegt, of als u meer wilt weten over een van de afzonderlijke componenten en vereisten van het hierboven beschreven raamwerk, neem dan contact met ons op en neem contact met ons op. onze experts.