Prävention

Dez. 10, 2024

EAM-Lösungen

  • Hossein Fezzazi
  • Chief Operating Officer
  • Penta

Führungskräfte für einen besseren Umgang mit Outsourcing-Risiken

Die FINMA hatte in einem ersten Schritt sieben Hauptrisiken identifiziert, die die Schweizer Finanzinstitute bedrohen. Seit letztem Jahr ist die Liste um Liquiditäts- und Refinanzierungsrisiken sowie Risiken im Zusammenhang mit der Auslagerung von operativen Tätigkeiten erweitert worden, mit denen sich Hossein Fezzazi besonders befasst.

Für viele Schweizer Finanzunternehmen, die auf einem sich schnell verändernden Markt wettbewerbsfähig bleiben wollen, ist das Outsourcing zu einem der Hauptpfeiler der operativen Strategie geworden. Da die Unternehmen bei kritischen Dienstleistungen jedoch zunehmend auf Drittanbieter angewiesen sind, wachsen die damit verbundenen Risiken gleichzeitig in einem alarmierenden Tempo.

Mit der Digitalisierung und der Notwendigkeit, sich auf die Kernaktivitäten zu konzentrieren, steigt zwangsläufig auch die Zahl der Subunternehmer. Wie die FINMA kürzlich feststellte, stellt das Outsourcing mittlerweile ein grosses operationelles Risiko dar. Die FINMA weist darauf hin, dass ein Drittel der Cyberangriffe auf Finanzinstitute zunächst auf Drittanbieter abzielen. Etwas alarmierend fügt die FINMA hinzu, dass Störungen oder Ausfälle von Dienstleistungen, die von Drittanbietern verwaltet werden, im Extremfall die Stabilität der Finanzmärkte gefährden könnten. Nicht weniger.

In diesem Sinne legt die FINMA also weiterhin den Schwerpunkt auf die zunehmende Komplexität der Lieferketten und betont die Notwendigkeit, Rahmenwerke für das Management von Grossrisiken zu schaffen.

Die Einhaltung von Vorkehrungen wie dem FINMA-Rundschreiben 2018/3 ist von grundlegender Bedeutung, wenn es darum geht, Risiken im Zusammenhang mit Outsourcing wirksam zu managen. Vermögensverwalter sollten beispielsweise Prüfberichte wie ISAE 3000 einholen, um sicherzustellen, dass die ausgelagerten Dienstleistungen den rechtlichen und betrieblichen Standards entsprechen. ISAE 3402 Typ II bietet zusätzliche Sicherheiten in Bezug auf die Solidität der IT-Governance und des Risikomanagements.

Wie die FINMA wiederholt feststellte, darf Compliance nicht einfach ein Ausfüllen von Kästchen sein. Die Institute müssen die regulatorischen Anforderungen in ihre Geschäftsprozesse integrieren und Compliance-Lücken laufend überwachen.

Die Nichteinhaltung dieser Standards kann erhebliche Auswirkungen haben, darunter Geldstrafen, Rufschädigung und Vertrauensverlust bei den Kunden. Das Risiko erhöht sich, wenn Institutionen ihre vertraglichen Verpflichtungen nicht vollständig verstehen oder bei der Einbindung von Lieferanten nicht die notwendigen Überprüfungen vornehmen. Rechtliche Streitigkeiten über Service Level Agreements (SLAs) können betriebliche Störungen verschlimmern, was die Bemühungen um ein Risikomanagement zusätzlich erschwert.

Outsourcing: Strategien zur Risikominderung

Um diese Herausforderungen zu meistern, müssen die Schweizer Finanzunternehmen einen proaktiven Ansatz für das Risikomanagement im Zusammenhang mit Outsourcing verfolgen. Die wichtigsten Strategien sind folgende:

  1. 1. Verstärkte Überprüfungen: Die Vermögensverwalter sollten vor dem Abschluss von Outsourcing-Vereinbarungen eine umfassende Due Diligence durchführen. Dazu gehört die Bewertung der finanziellen Stabilität, der technischen Fähigkeiten und der Compliance-Historie ihrer potenziellen Lieferanten..
  2. 2. Vertragliche Garantien: In klaren und durchsetzbaren Service Level Agreements sollten die Leistungserwartungen, die Anforderungen an die Cybersicherheit und die Compliance-Verpflichtungen festgelegt werden. Es können Strafklauseln aufgenommen werden, um einen Anreiz für die Einhaltung der Verpflichtungen zu schaffen.
  3. 3. Kontinuierliche Überwachung: Das Risikomanagement darf nicht mit der Unterzeichnung eines Vertrags enden. Eine kontinuierliche Überwachung der Leistung, der Sicherheitspraktiken und der Einhaltung der Vorschriften durch Dritte ist unerlässlich, um die Entwicklung von Risiken abzumildern.
  4. 4. Pläne für die Reaktion auf Vorfälle: Die Einrichtungen sollten Pläne für die Reaktion auf Vorfälle entwickeln und regelmässig testen, die auf Ausfälle von Dritten zugeschnitten sind. So sind sie darauf vorbereitet, Störungen schnell zu bewältigen und ihre Auswirkungen zu minimieren.
  5. 5. Regelmässige Prüfungen und Bewertungen: Die Institutionen sollten regelmässigen Prüfungen und Risikobewertungen Vorrang einräumen und sich dabei auf Rahmenwerke wie ISAE 3000 und ISAE 3402 Typ II stützen. Diese Prüfungen dienen nicht nur der Einhaltung der Vorschriften, sondern auch der Identifizierung neu auftretender Risiken innerhalb der Lieferkette.

Während das Outsourcing unbestreitbare Vorteile bietet, birgt es auch erhebliche Risiken, die unbedingt berücksichtigt werden müssen. Die zunehmende Komplexität der Lieferketten in Verbindung mit erhöhten Cybersicherheitsbedrohungen und regulatorischen Anforderungen verlangt von den Managern einen soliden und dynamischen Ansatz für das Risikomanagement. Indem sie die Überwachung verbessern, die Transparenz fördern und die Einhaltung von Vorschriften priorisieren, können sie die Risiken des Outsourcings mindern und gleichzeitig die betrieblichen Vorteile nutzen.

Hossein Fezzazi

Penta

Hossein Fezzazi ist seit dem Jahr 2010 Chief Operating Officer von Penta und daher für die Strategie, die Finanzen und die Verwaltung der Konten des Unternehmens in Genf und in Dubai zuständig. Für diese Aufgaben bringt er seine solide Erfahrung im Bereich Kundenbetreuung während der Ausschreibungs-, Vorverkaufs- und Produktionsphase von Projekten ein.

 

Sphere

The Swiss Financial Arena

Seit der Gründung im Jahr 2016 unterstützt und vernetzt SPHERE die Community der Schweizer Finanzbranche. SPHERE ermöglicht den Austausch, sei es mit dem vierteljährlich erscheinenden Magazin, den beiden Sonderausgaben für institutionelle Anleger, der Website, den Newsletter und den Veranstaltungen, die das ganze Jahr hindurch durchgeführt werden. Toutes les parties prenantes de la finance, l’un des plus importants secteurs économiques de Suisse, ont ainsi à leur disposition une plateforme où il leur est possible d’échanger, de s’informer et de progresser.
SPHERE Newsletter - Download des Mediakits 2025

REDAKTION
redaction[at]sphere.swiss

WERBUNG
advertise[at]sphere.swiss

ABONNEMENT
Kontakt[at]sphere.swiss

VERANSTALTUNGEN
events[at]sphere.swiss

Datenschutzrichtlinie

Postfach 1806
CH-1211 Genf 1

P +41 22 566 17 32

© 2023 Sphere Magazine

Website erstellt von Swiss House of Brands

Prävention

Sep. 18, 2024

EAM-Lösungen

  • Henri Corboz
  • Rechtsanwalt
  • PBM Avocats

Outsourcing erweitert das Risikoportfolio um eine weitere Schicht

Die Risiken, die mit Outsourcing verbunden sind, stehen heute im Zentrum der Aufmerksamkeit der FINMA. Die Auslagerung der Compliance oder des Risikomanagements kann daher für unabhängige Vermögensverwalter zu erheblichen Komplikationen führen. Als ob sie davon nicht schon genug hätten.

Das FINIG schreibt unabhängigen Vermögensverwaltern ab einem bestimmten Risikoniveau ein unabhängiges Risikomanagement und eine unabhängige Compliance vor. Diese Anforderung, die bei der Genehmigung strikt durchgesetzt wurde, führte zu zahlreichen Auslagerungen. In ihrem Risikomonitor 2023 und ihrer Mitteilung 2024 zu operationellen Risiken drängt die FINMA auf höhere Anforderungen an solche Auslagerungen.

Fokus auf operationelle Risiken
Die Mitteilung 2024 ist zwar formell an die Verwalter von Kollektivvermögen gerichtet, erwähnt aber die individuelle Vermögensverwaltung im Hinblick auf Rechts- und Compliance-Risiken. Nach Ansicht der Behörde wurde dem Wissen und der Erfahrung der Anbieter im Umgang mit operationellen Risiken zu wenig Bedeutung beigemessen. Insbesondere würden ausgelagerte Aktivitäten beim Management dieser Risiken nicht ausreichend berücksichtigt.
Diese Sorge spiegelt sich im Risikomonitor 2023 wider, in dem das Outsourcing als zusätzliches Risiko dargestellt wird. Die FINMA überwacht diese Risiken durch Vor-Ort-Kontrollen und die Analyse von Aufsichts- und Prüfdaten.

Diese Sorge spiegelt sich im Risikomonitor 2023 wider, in dem das Outsourcing als zusätzliches Risiko dargestellt wird. Die FINMA überwacht diese Risiken durch Vor-Ort-Kontrollen und die Analyse von Aufsichts- und Prüfdaten.

Fehlende Richtlinien
Weder das Rundschreiben zu den Risiken 2017 vom 17. Januar noch das am 23. Januar veröffentlichte, auf operationelle Risiken beschränkte Rundschreiben 2023 zielen direkt auf die UVVs ab. Dasselbe gilt für die Mitteilung über die Risiken der Geldwäsche vom Mai 2023. Von den Dienstleistern, die die unabhängigen Vermögensverwalter betreuen, wird in der Regel ein Konzept für das Risikomanagement erwartet. Auch neu ist, dass die FINMA offenbar systematisch einen Ansatz für Cyberrisiken anstrebt.

Vorteile und Risiken des Outsourcings
Die FINMA hat die Vorteile des Outsourcings erkannt. Flexibilität, Innovation und bessere operative Widerstandsfähigkeit werden unter anderem genannt. Sie ist jedoch der Ansicht, dass Ausfälle von wichtigen Dienstleistern untrennbar mit erheblichen Risiken verbunden sind. Sie führte weiter aus, dass die Überwachung der Dienstleister und der Risiken, die sie darstellen, für einen reibungslosen operativen Ablauf unerlässlich sind.

Für unabhängige Vermögensverwalter ist es zweifellos schwierig, diese enge Überwachung umzusetzen, es sei denn, sie ernennen einen COO, der für die Auslagerungen verantwortlich ist.

Nach wie vor wird die Internalisierung von Funktionen bei der UVV bevorzugt. In dieser Hinsicht ist die operative Widerstandsfähigkeit alles andere als gegeben, sobald sie den Unwägbarkeiten des Arbeitsrechts unterworfen ist. Ein vergleichender Ansatz zwischen der Internalisierung und des Outsourcings von Compliance- und Risikomanagementfunktionen für vergleichbare UVVs fehlt. Die Forderung nach Unabhängigkeit von ertragserzielenden Tätigkeiten ist hier ebenso wichtig.

Welcher Risikoansatz für UVVs?
Bei den Prüfungen konzentrieren sich die Aufsichtsbehörden auf die Risiken im Bereich GwG, FIDLEG und FINIG und verfolgen einen regulatorischen Ansatz gegenüber den UVVs. Einige Faktoren, die Risiken verschärfen oder abschwächen, werden noch analysiert.

Die UVVs müssen vor der Genehmigung eine Risikomatrix vorlegen, die oft als Grundlage für Kontrollpläne dient. Da diese Matrizen zu standardisiert sind, stimmen sie oft nicht mit den Aktivitäten des UVV überein. Sie sind zu spezifisch, um die Punkte zu erfassen, die bei der Prüfung der GwG-, FIDLEG- und FINIG-Risiken erwartet werden. Sie umfassen oftmals regulatorische, betriebliche und finanzielle Risiken in gleichem Masse.

Eine Fokussierung auf operationelle Risiken und die damit verbundenen regulatorischen und Cyberrisiken würde die Erwartungen an das Management dieser Risiken verbessern. Die FINMA bringt dies in ihrer Mitteilung 2024 klar zum Ausdruck: «[Es wurde] zu wenig Wert auf die Kenntnisse und Erfahrungen der betreffenden Dienstleister im Bereich des Managements operationeller Risiken gelegt».

So wurde beispielsweise kritisiert, dass einige Einrichtungen nicht erkannt hätten, dass sie Cyberangriffe auf ihr Unternehmen melden müssten. Auch ein falsches Verständnis und eine fehlende Kontrolle der Crossborder-Problematik werden genannt. All dies sind Elemente, die zu den operationellen Risiken gehören.

Das GwG als Grundlage für Compliance und Risikomanagement
Bei der Genehmigung ist eine Analyse der Risiken der Geldwäsche erforderlich. In ihrer Mitteilung 2023 erwartet die FINMA quantifizierte Indikatoren, die sich auf Kennzahlen beschränken. Laut dem Rundschreiben zu den Risiken von 2017 setzt die Begrenzung des Geldwäscherisikos eine angemessene Definition der Risikotoleranz durch die Einrichtung voraus. Angesichts der strafrechtlichen Normen ist es kaum vorstellbar, dass diese Schwelle anders als niedrig sein könnte. Zuletzt weist die FINMA darauf hin, dass die Beobachtungen und Erfahrungen aus der Mitteilung von 2023 analog für die UVVs verwendet werden können.

Verhaltensregeln des FIDLEG
Der Entwurf des Rundschreibens vom Mai 2024 befasst sich mit bestimmten Finanz- und Marktrisiken, wie z. B. die Konzentration. Interessenkonflikte und Retrozessionen sind jedoch in erster Linie eine Frage der operationellen und regulatorischen Risiken.

Der Vermögensverwalter kann die Kontrolle der operationellen Risiken nicht mit einem quantitativen oder gar statistischen Ansatz für die Risiken, insbesondere die finanziellen Risiken, nach dem Vorbild einer Bank gleichsetzen. Die Trennung von Risiken und Compliance ist manchmal kompliziert umzusetzen. Letztendlich sind zu hohe und vor allem zu weitreichende Erwartungen an das Risikomanagement untrennbar mit einem schlechten Ergebnis verbunden. Es ist daher auch das relativ ausgefallene Konzept des Risikomanagements des UVV, das zu Fehlern führen kann. Dies gilt unabhängig davon, ob die Compliance und das Risikomanagement getrennt oder einheitlich, ausgelagert oder nicht ausgelagert sind.

Die Erwartungen an das Risikomanagement von unabhängigen Vermögensverwaltern müssen realistisch und angemessen sein, um ein effektives Ergebnis zu gewährleisten. Daher ist ein legitimes und auf die Vermögensverwalter zugeschnittenes Konzept für das Risikomanagement erforderlich.

Eine Lockerung der Anforderungen in Bezug auf die Unabhängigkeit des Risikomanagements und der Compliance würde eine Gesetzesänderung voraussetzen. In dieser Form wird das Outsourcing dieser Funktionen für viele Vermögensverwalter unumgänglich bleiben, unabhängig davon, ob sie als Risiko eingestuft werden oder nicht.

Henri Corboz

PBM Avocats

Henri Corboz ist Rechtsanwalt und Leiter der Abteilung für Regulierung und Compliance bei PBM Avocats. Er ist für regulatorische und Compliance-Themen und die damit verbundenen Rechtsstreitigkeiten zuständig. Ferner befasst er sich mit der Strukturierung von Investmentfonds und Trusts.

Corboz war in der wichtigsten Bewilligungsphase von 2021 bis 2023 Leiter der OS-AOOS in der französischen Schweiz. Vor seinem Wechsel in die Kapitalmarktabteilung von Crédit Agricole (Suisse) im Jahr 2011 war er als Anwalt tätig. Im Jahr 2014 wurde er Head of Legal & Compliance bei einem Fondsmanager und wechselte 2015 zu einer Kanzlei mit Niederlassungen in Genf, Paris und Luxemburg. Im Jahr 2017 kehrte er zu CA Indosuez (Switzerland) zurück, wo er den AIA (automatischer Informationsaustausch), die FATCA-Amtshilfe und die QI-Compliance implementierte.

Sphere

The Swiss Financial Arena

Seit der Gründung im Jahr 2016 unterstützt und vernetzt SPHERE die Community der Schweizer Finanzbranche. SPHERE ermöglicht den Austausch, sei es mit dem vierteljährlich erscheinenden Magazin, den beiden Sonderausgaben für institutionelle Anleger, der Website, den Newsletter und den Veranstaltungen, die das ganze Jahr hindurch durchgeführt werden. Toutes les parties prenantes de la finance, l’un des plus importants secteurs économiques de Suisse, ont ainsi à leur disposition une plateforme où il leur est possible d’échanger, de s’informer et de progresser.
Media Kit herunterladen

RÉDACTION
redaction[at]sphere.swiss

PUBLICITÉ
advertise[at]sphere.swiss

ABONNEMENT
contact[at]sphere.swiss

ÉVÉNEMENTS
events[at]sphere.swiss

Datenschutzrichtlinie

Case postale 1806
CH-1211 Genève 1

P +41 22 566 17 32

© 2023 Sphere Magazine

Website erstellt von Swiss House of Brands