27Jun

Totalrevision FINMA-Rundschreiben 2008/21 «Operationelle Risiken – Banken»

Written by Equilas. Posted in Legal, Compliance & Risk

Am 10. Mai 2022 hat die FINMA bekannt gegeben, das FINMA-RS 2008/21 «Operationelle Risiken – Banken» einer Totalrevision zu unterziehen, um damit den neusten Prinzipien der Basler Standards zu entsprechen sowie den Entwicklungen im Bereich der Digitalisierung und der Informations- und Kommunikationstechnologie (IKT) gerecht zu werden. Neben den bekannten Anforderungen zum Umgang mit operationellen Risiken sind neu auch Vorgaben im Zusammenhang mit der operationellen Resilienz zu erfüllen. Damit soll die Überlebensfähigkeit der Banken bei schwerwiegenden, komplexen, systemischen oder länger andauernden operationellen Problemen gestärkt werden.

Die Anhörung zum neuen Rundschreiben 20xx/xx «Operationelle Risiken und Resilienz – Banken» dauert bis zum 11. Juli 2022. Das neue Rundschreiben soll auf den 1. Januar 2023 in Kraft treten, teilweise mit Übergangsfristen.

Änderungen
Die quantitativen Anforderungen, welche bislang unter dem Titel «Eigenmittelanforderungen» aufgeführt sind, werden durch Anforderungen in der Eigenmittelverordnung (ERV) ersetzt und sind nicht mehr Gegenstand des neuen Rundschreibens. Die qualitativen Anforderungen stellen im Wesentlichen Konkretisierungen der Aufsichtspraxis der FINMA dar. Durch das neue Rundschreiben soll nicht jede Art von operationellen Risiken umfassend und im Detail behandelt werden. Wie bis anhin gilt auch im neuen Rundschreiben das Proportionalitätsprinzip, womit Banken der Aufsichtskategorie 4 und 5 sowie Banken unter dem Kleinbankenregime von bestimmten Erleichterungen profitieren können. Generell soll mit der Totalrevision mehr Klarheit in Bezug zur Risikotoleranz für operationelle Risiken und zum institutsweiten Risikomanagement geschaffen werden. Das Management der operationellen Risiken soll als Bestandteil des institutsweiten Risikomanagements gelten.

Infolge zunehmender Cyber-Attacken und erhöhten Risiken für kritische Daten müssen die Institute neu über geeignete Verfahren, Prozesse und Kontrollen zur Inventarisierung der IKT als auch Erkennung, Eindämmung und Beseitigung von Cyber-Attacken verfügen. Der bisherige Fokus auf der Vertraulichkeit von Kundenidentifikationsdaten (CID) wurde daher im neuen Rundschreiben auf die Dimensionen der Integrität und Verfügbarkeit kritischer Daten ausgeweitet.

Die bisherigen Vorgaben zum Business Continuity Management (BCM), welche aus der Selbstregulierung der Schweizerischen Bankiervereinigung (SBVg) «Empfehlungen für das Business Continuity Management (BCM)» vom August 2013 stammen, werden in das neue Rundschreiben überführt. Die Anerkennung der Selbstregulierung der SBVg als Mindeststandard wird damit mit Inkrafttreten des neuen Rundschreibens aufgehoben. Das Testen von Ausfallszenarien wird inskünftig «nur» noch für «schwerwiegende, aber plausible Szenarien» verlangt.

Neu wird hingegen der Begriff der operationellen Resilienz im Zusammenhang mit der Fortführungsfähigkeit von Banken eingeführt. Diese verlangt unter anderem, dass für «kritische Funktionen» zusätzlich ein strategischer Fokus top-down sowie ein präventiver Fokus mit gezielten vorbeugenden Massnahmen und kontinuierlichem Lernen und Verbesserungen in das Management der operationellen Resilienz einfliesst. Zur Umsetzung der Bestimmung sind Übergangsfristen von bis zu drei Jahren ab Inkrafttreten vorgesehen.

Keine materiellen Anpassungen gab es bei den bestehenden Grundsätzen zur Weiterführung von kritischen Dienstleistungen bei der Abwicklung und Sanierung von systemrelevanten Banken sowie Risiken aus dem grenzüberschreitenden Dienstleistungsgeschäft.

Auswirkungen
Auch wenn die Regulierungsthemen und Grundsätze im Wesentlichen unverändert geblieben sind, darf der Implementierungsaufwand nicht unterschätzt werden. Je nach Ausgestaltung und Maturität der bestehenden Dokumente, Prozesse und Verfahren kann ein unterschiedlicher Handlungsbedarf resultieren. Die Änderungen können weitreichende Auswirkungen auf das institutsweite Risikomanagement, die internen Corporate Governance Regeln oder das Outsourcing haben. Es bedarf daher einer frühzeitigen Analyse und Auseinandersetzung mit den neuen Bestimmungen durch den Verantwortlichen der Bank.  

Tags:

test

News

  • Sicherstellung der operationellen Resilienz

    Im Zuge der Umsetzung des neuen FINMA-RS 23/1 «Operationelle Risiken und Resilienz – Banken» erweist sich das neue Thema operationelle Resilienz als ziemlich anspruchsvoll. Unter operationeller Resilienz wird allgemein die Fähigkeit eines Instituts verstanden, seine kritischen Funktionen bei Unterbrechungen innerhalb der Unterbrechungstoleranz wiederherstellen zu können. Ab dem 1. Januar 2024 müssen alle, dem Geltungsbereich zugehörigen Institute sicherstellen, dass sie operationell resilient sind. Institute des Kleinbankenregimes sowie Institute der FINMA-Kategorie 4 und 5 sind zwar von gewissen Pflichten in der Umsetzung befreit, müssen aber dennoch ihre operationelle Resilienz in den Grundzügen sicherstellen können. Konkret umfasst dies das Vorgehen zur Sicherstellung der operationellen Resilienz durch die Festlegung ihrer kritischen Funktionen sowie deren Unterbrechungstoleranzen. Ferner ist das Thema operationelle Resilienz als fester Bestandteil in die Berichterstattung an den Verwaltungsrat und die Geschäftsleitung zu integrieren.

    2023-09-05 10:14:32

    Weiterlesen

  • Fragestellungen zur Umsetzung des Datenschutzes

    Am 1. September 2023 ist das revidierte Bundesgesetz über den Datenschutz (DSG) in Kraft getreten, welches gewisse Änderungen und Neuerungen mit sich bringt. Für eine gesetzeskonforme Umsetzung ist es hilfreich, sich mit den nachfolgenden Fragestellungen auseinander zu setzen und den Datenschutz innerhalb des Unternehmen zu thematisieren:

    2023-09-05 10:12:23

    Weiterlesen

  • Vermögensverwalter – Praxiserfahrungen nach erteilter Bewilligung

    Nachdem ein Grossteil der Vermögensverwalter sich für die Erlangung einer Bewilligung nach FINIG entschieden und diese erhalten haben, stellt sich die nächste Herausforderung bei der Umsetzung der regulatorischen Anforderungen im laufenden Betrieb. Gestützt auf die im Rahmen der Bewilligungsbegleitung, der Beratung und Betreuung von verschiedenen Vermögensverwaltern und der ersten aufsichtsrechtlichen Prüfungen durch die Prüfgesellschaften gesammelten Erfahrungen ergeben sich erste Erkenntnisse und Praxiserfahrungen.

    Umsetzung der internen Bestimmungen

    Für die Erteilung der Bewilligung durch die FINMA mussten Vermögensverwalter mit der Gesucheinreichung umfangreiche interne Bestimmungen in Form von Reglementen und Weisungen vorweisen. Eine Vielzahl von Vermögensverwaltern hatten vor der Bewilligung nach FINIG bereits ein internes Regelwerk, jedoch nicht in einem Umfang, wie dies für die Bewilligungserteilung gefordert wurde. Die regulatorischen Anforderungen, welche sich aus der Geschäftstätigkeit des Vermögensverwalters ergeben, mussten detailliert geregelt sowie für die Einhaltung entsprechende Kontrollen, Verantwortlichkeiten, Dokumentationspflichten und eine angemessene Berichterstattung implementiert werden. Folglich mussten Vermögensverwalter ein umfangreiches internes Kontrollsystem mit einer Risikoanalyse über das gesamte Institut, einem Kontrollinventar und einem Tätigkeitsplan ausarbeiten.

    2023-07-04 14:03:14

    Weiterlesen

  • Inkrafttreten revidiertes Datenschutzgesetz

    Nach einem langwierigen Prozess tritt das revidierte Datenschutzgesetz (DSG) per 01.09.2023 in Kraft. Anstoss zu der vorliegenden Revidierung des bestehenden Datenschutzgesetzes war einerseits die Anpassung der datenschutzrechtlichen Normen an die geänderten gesellschaftlichen und technologischen Gegebenheiten, andererseits aber auch die Abstimmung auf die Datenschutznormen der EU. Gerade der zweite Punkt ist von entscheidender Bedeutung, damit die Schweiz von der EU weiterhin als Drittstaat mit angemessenem Datenschutzniveau anerkannt wird.

    Das neue DSG sieht keine Übergangsfristen vor, was bedeutet, dass die geänderten und neuen Pflichten per 01.09.2023 umgesetzt werden müssen.

    Wesentliche Änderungen und Neuerungen

    Die Generalüberholung des bestehenden DSG hat zu wesentlichen Änderungen und Neuerungen im DSG geführt. Auf ausgewählte Neuerungen wird nachfolgend kurz eingegangen.

    2023-07-04 13:57:37

    Weiterlesen

  • Sustainable Finance

    Unter dem Begriff Sustainable Finance wird verstanden, dass Finanzdienstleister sowohl Umwelt- (Environment), Sozial- (Social) als auch Unternehmensführungsaspekte (Governance) bei ihren Entscheidungen und Dienstleistungen berücksichtigen. Konkret heisst das, dass die Finanzintermediäre Umwelt-, Sozial- und Governance-Kriterien (ESG-Kriterien) in ihre Geschäfts- oder Investitionsentscheidungen sowie ihre Dienstleistungserbringung so integrieren, dass Kundinnen und Kunden sowie die Gesellschaft einen nachhaltigen Nutzen davontragen.

    Ziel und Zweck

    Ziel und Zweck von Sustainable Finance und des Einbezugs von ESG-Kriterien in die Entscheidungen und Dienstleistungen der Finanzintermediäre ist es, die Finanzindustrie und die Investoren dazu zu bewegen – und ihnen die Möglichkeit zu bieten – mehr Kapital in nachhaltige Investitionen zu lenken. Im Zentrum stehen sowohl Bestrebungen im Finanzierungs- wie auch dem Anlagegeschäft von
    Finanzinstituten.

    Auf diese Weise sollen unter anderem die Risiken des Klimawandels, der Ressourcenknappheit sowie der sozialen Ungleichheit bekämpft werden.

    2023-07-04 13:50:17

    Weiterlesen

Abonnieren Sie den Newsletter

GL

Kontakt

Equilas AG
Genfergasse 8
3011 Bern

Login

Um Dateien herunterzuladen müssen Sie sich einloggen: Login

Haben Sie noch keinen Account? Dann kontaktieren Sie uns bitte: Kontakt