Outsourcing bei Versicherungen und Banken im Zeitalter der Digitalisierung

in Financial Services, 06.02.2018

Am 5. Dezember 2017 hat die FINMA das prinzipienbasierte Rundschreiben 2018/3 «Outsourcing – Banken und Versicherer» veröffentlicht. Die Verantwortung der Umsetzung liegt nun bei den Instituten selbst, was faktisch dazu führt, dass sich mit der Zeit ein Marktstandard etablieren muss.

Keine separate Lösung für Banken und Versicherungen

Das bisherige FINMA Rundschreiben 2008/7 «Outsourcing Banken» war ausschliesslich für Banken anwendbar, wobei konzerninterne Auslagerungen Erleichterungen bei der Anwendung zur Folge hatten. Im Gegensatz dazu hatten Versicherungen eine explizite Bewilligungspflicht für Geschäftspläne (inkl. Auslagerungsverhältnisse).

Dies führte zu Unsicherheiten in der Anwendung, bot aber auch Chancen für eine risikoorientierte Ausgestaltung des geforderten internen Auslagerungsrahmenkonzeptes, welches insbesondere auch Anpassungen des Geschäftsmodells der Finanzinstitute im Rahmen der laufenden Projekte im Bereich der Digitalisierung zu berücksichtigen hatte.

Unter dem Leitgedanken einer verstärkten prinzipienbasierten Regulierung sollte den unterschiedlichen Geschäftsmodellen und den hiermit verbundenen Risiken besser Rechnung getragen werden.

Entsprechend ist das Fazit der FINMA klar: Die Prinzipienorientierung und der Aspekt der individuellen Verantwortung der Institute sollen nochmals gestärkt werden, was im Endeffekt nur zu wenigen Anpassungen gegenüber dem Entwurf führt und keine separate Lösung für Banken und Versicherungen vorsieht.

Was sind die Herausforderungen, und welche Chancen bieten sich?

Neben der Erstellung eines Rahmenkonzeptes zur Überwachung von ausgelagerten Dienstleistungen / Funktionen, welches auch beispielsweise die Definition des Begriffes Wesentlichkeit, aber auch diejenige des Risikoappetits (Intensität der Überwachung) oder zum Beispiel die Definition von nichtauslagerbaren Funktionen beinhaltet, gibt es zahlreiche andere Aspekte, welche die Institute ins Zentrum ihrer Überlegungen stellen sollten:

  • Passen die bestehenden Auslagerungen nach wie vor in die Unternehmensstrategie (Kosten/Nutzen)?
  • Braucht es die bestehenden Auslagerungen noch im Zeitalter der Digitalisierung? Brauchen wir allenfalls andere Auslagerungen?
  • Wie gehen wir mit ausgelagerten Dienstleistungen beispielsweise innerhalb des Konzerns um, welche die Vorgaben des Rundschreibens nicht oder nur teilweise erfüllen können?
  • Wie gestalten wir die Übergangsphase zwischen der Anwendung der bestehenden Regelungen und den per 1. April 2018 in Kraft tretenden neuen Anforderungen?
  • Was passiert, wenn wir zum Beispiel die Anforderungen hinsichtlich Datenschutz in einem ausgelagerten Bereich nicht erfüllen? Können wir dann die Übergangsfrist von fünf Jahren beziehungsweise die Zeit bis zur nächsten Geschäftsplanänderung in Anspruch nehmen?
  • Wenn wir 2018 neue Auslagerungen eingehen, müssen dann die Anforderungen an Organisation, Prozesse, IKS und Überwachung bereits eins zu eins umgesetzt sein?
  • Was sind die Auswirkungen der Anforderung einer geordneten Rückführung von Auslagerungen sowohl operationell wie auch kommerziell?
  • Welchen Stellenwert haben Reputationsrisiken im Zusammenhang mit Auslagerungen, und wie handhaben wir sie konkret?

Handlungsfelder bei Banken

Die Neuordnung der Auslagerungsverhältnisse sollte in enger Abstimmung mit dem Geschäftsmodell beziehungsweise dessen strategischer Entwicklung gesehen werden. Ein Abgleich der Anforderungen, welche die Bank an ihre Dienstleistungsqualität, die Digitalisierungsstrategie und, darauf basierend, die Festlegung der Zielinfrastruktur («make or buy») stellt, ist unerlässlich. Bei diesen Überlegungen sind auch konzerninterne Auslagerungen miteinzubeziehen. Zudem sollten Synergien aus anderen Regulierungsprojekten, zum Beispiel im Bereich Datenschutz, konsequent genutzt werden.

Handlungsfelder bei Versicherungsgesellschaften

Für bereits bewilligte Versicherungen gilt das Rundschreiben von dem Zeitpunkt an, an dem der FINMA eine Geschäftsplanänderung zur Genehmigung unterbreitet beziehungsweise mitgeteilt wird. Der Fokus liegt dabei insbesondere auf der Ausarbeitung interner Vorgaben zur Bewilligung neuer Auslagerungsprojekte sowie bei bestehenden Auslagerungen bei der Inventarisierung, der Regelung der Verantwortlichkeiten, der Risikokontrolle und der Vornahme einer Analyse im Hinblick auf eine mögliche Rückführung.

Noch kein gemeinsamer Standard vorhanden

Jede Bank und Versicherung wird ein neues bzw. angepasstes Rahmenkonzept zur Überwachung von Auslagerungsverhältnissen einführen. Dies wird nicht gleichzeitig passieren. Zusätzlich werden sich die Definitionen, was wesentliche Auslagerungen im Sinne des Rundschreibens sind, von Institut zu Institut möglicherweise stark unterscheiden. Hier muss der Dienstleister in regelmässigem Austausch mit den Kunden stehen. Es gilt, einen neuen Standard zu etablieren. Im Vordergrund stehen die Kontrollberichte, welche sich sowohl inhaltlich wie auch vom Umfang her wesentlich ändern können. Für den Dienstleister stellt dabei sicher auch die Geschwindigkeit der Umsetzung eine grosse Herausforderung dar.

Was bedeutet das Outsourcing-Rundschreiben für Dienstleister, Fintech- und Regtech-Unternehmen?

Im Rahmen der Digitalisierung werden künftig auch vermehrt Lösungen von sogenannten Fintech- und Regtech-Unternehmen in Anspruch genommen, unter anderem mit der Nutzung von Clouds. Dies ist für viele Finanzinstitute «Neuland» und muss entsprechend im Rahmenkonzept speziell berücksichtigt werden. Zu denken ist dabei beispielsweise an die Anforderung der geordneten Rückführung.

 

 

Unsere Dienstleistungen und weitere Informationen: