27Jun

Totalrevision FINMA-Rundschreiben 2008/21 «Operationelle Risiken – Banken»

Written by Equilas. Posted in Legal, Compliance & Risk

Am 10. Mai 2022 hat die FINMA bekannt gegeben, das FINMA-RS 2008/21 «Operationelle Risiken – Banken» einer Totalrevision zu unterziehen, um damit den neusten Prinzipien der Basler Standards zu entsprechen sowie den Entwicklungen im Bereich der Digitalisierung und der Informations- und Kommunikationstechnologie (IKT) gerecht zu werden. Neben den bekannten Anforderungen zum Umgang mit operationellen Risiken sind neu auch Vorgaben im Zusammenhang mit der operationellen Resilienz zu erfüllen. Damit soll die Überlebensfähigkeit der Banken bei schwerwiegenden, komplexen, systemischen oder länger andauernden operationellen Problemen gestärkt werden.

Die Anhörung zum neuen Rundschreiben 20xx/xx «Operationelle Risiken und Resilienz – Banken» dauert bis zum 11. Juli 2022. Das neue Rundschreiben soll auf den 1. Januar 2023 in Kraft treten, teilweise mit Übergangsfristen.

Änderungen
Die quantitativen Anforderungen, welche bislang unter dem Titel «Eigenmittelanforderungen» aufgeführt sind, werden durch Anforderungen in der Eigenmittelverordnung (ERV) ersetzt und sind nicht mehr Gegenstand des neuen Rundschreibens. Die qualitativen Anforderungen stellen im Wesentlichen Konkretisierungen der Aufsichtspraxis der FINMA dar. Durch das neue Rundschreiben soll nicht jede Art von operationellen Risiken umfassend und im Detail behandelt werden. Wie bis anhin gilt auch im neuen Rundschreiben das Proportionalitätsprinzip, womit Banken der Aufsichtskategorie 4 und 5 sowie Banken unter dem Kleinbankenregime von bestimmten Erleichterungen profitieren können. Generell soll mit der Totalrevision mehr Klarheit in Bezug zur Risikotoleranz für operationelle Risiken und zum institutsweiten Risikomanagement geschaffen werden. Das Management der operationellen Risiken soll als Bestandteil des institutsweiten Risikomanagements gelten.

Infolge zunehmender Cyber-Attacken und erhöhten Risiken für kritische Daten müssen die Institute neu über geeignete Verfahren, Prozesse und Kontrollen zur Inventarisierung der IKT als auch Erkennung, Eindämmung und Beseitigung von Cyber-Attacken verfügen. Der bisherige Fokus auf der Vertraulichkeit von Kundenidentifikationsdaten (CID) wurde daher im neuen Rundschreiben auf die Dimensionen der Integrität und Verfügbarkeit kritischer Daten ausgeweitet.

Die bisherigen Vorgaben zum Business Continuity Management (BCM), welche aus der Selbstregulierung der Schweizerischen Bankiervereinigung (SBVg) «Empfehlungen für das Business Continuity Management (BCM)» vom August 2013 stammen, werden in das neue Rundschreiben überführt. Die Anerkennung der Selbstregulierung der SBVg als Mindeststandard wird damit mit Inkrafttreten des neuen Rundschreibens aufgehoben. Das Testen von Ausfallszenarien wird inskünftig «nur» noch für «schwerwiegende, aber plausible Szenarien» verlangt.

Neu wird hingegen der Begriff der operationellen Resilienz im Zusammenhang mit der Fortführungsfähigkeit von Banken eingeführt. Diese verlangt unter anderem, dass für «kritische Funktionen» zusätzlich ein strategischer Fokus top-down sowie ein präventiver Fokus mit gezielten vorbeugenden Massnahmen und kontinuierlichem Lernen und Verbesserungen in das Management der operationellen Resilienz einfliesst. Zur Umsetzung der Bestimmung sind Übergangsfristen von bis zu drei Jahren ab Inkrafttreten vorgesehen.

Keine materiellen Anpassungen gab es bei den bestehenden Grundsätzen zur Weiterführung von kritischen Dienstleistungen bei der Abwicklung und Sanierung von systemrelevanten Banken sowie Risiken aus dem grenzüberschreitenden Dienstleistungsgeschäft.

Auswirkungen
Auch wenn die Regulierungsthemen und Grundsätze im Wesentlichen unverändert geblieben sind, darf der Implementierungsaufwand nicht unterschätzt werden. Je nach Ausgestaltung und Maturität der bestehenden Dokumente, Prozesse und Verfahren kann ein unterschiedlicher Handlungsbedarf resultieren. Die Änderungen können weitreichende Auswirkungen auf das institutsweite Risikomanagement, die internen Corporate Governance Regeln oder das Outsourcing haben. Es bedarf daher einer frühzeitigen Analyse und Auseinandersetzung mit den neuen Bestimmungen durch den Verantwortlichen der Bank.  

Tags:

test

News

  • Marktverhaltensregeln

    Als «Marktverhaltensregeln» werden die Vorschriften zum Umgang mit Insiderinformationen und zur Marktmanipulation bezeichnet. Diese Vorschriften sind im Finanzmarktinfrastrukturgesetz (FinfraG), der Finanzmarktinfrastrukturverordnung (FinfraV) und dem FINMA-RS 13/8 «Marktverhaltensregeln» festgehalten.

    Anwendungsbereich

    Die Marktverhaltensregeln gelten grundsätzlich für sämtliche natürlichen und juristischen Personen. Entsprechend haben sich auch Finanzintermediäre, wie zum Beispiel Banken oder Vermögensverwalter, an diese Vorschriften zu halten.

    Strafrechtliche und aufsichtsrechtliche Bestimmungen

    Das FinfraG unterscheidet zwischen aufsichtsrechtlichen (Art. 142 und 143 FinfraG) und strafrechtlichen Bestimmungen (Art. 154 und 155 FinfraG) zum Marktverhalten.

    • Strafrecht

      Sowohl die Kursmanipulation wie auch das Ausnützen von Insiderinformationen kann mit bis zu fünf Jahren Freiheitsstrafe bestraft werden. Bei der Bemessung des Strafmasses ist insbesondere die Höhe des erzielten Vermögensvorteils massgebend sowie, beim Ausnützen der Insiderinformation, in welcher Funktion man an die fragliche Insiderinformation gelangt ist.

      Strafrechtlich relevant ist die Marktmanipulation resp. das Ausnützen von Insiderinformationen nur, wenn man sich oder einem anderen dadurch einen Vermögensvorteil (Erzielen eines Gewinns oder Vermeiden eines Verlusts) verschafft.
    2023-03-20 15:51:49

    Weiterlesen

  • Neues Datenschutzgesetz

    Das revidierte Datenschutzgesetz (nDSG) sowie die revidierte Datenschutzverordnung (nDSV), wurden am 31. August 2022 final verabschiedet und treten am 1. September 2023 in Kraft. Das neue Datenschutzrecht soll die Vereinbarkeit mit dem europäischen Recht sicherstellen und ermöglicht es, die modernisierte Datenschutzkonvention 108 des Europarats zu ratifizieren. Damit gleicht sich das Schweizer Datenschutzrecht in einem erheblichen Masse der für den Europäischen Wirtschaftsraum (EWR) seit Mitte 2018 geltenden Datenschutzgrundverordnung (DSGVO) an. Das modernisierte Datenschutzniveau soll unter anderem gewährleisten, dass grenzüberschreitende Datenübermittlungen weiterhin ohne zusätzliche Anforderungen möglich bleiben.

    Änderungen

    Wesentliche Änderungen stellen die folgenden nicht abschliessenden Gegebenheiten dar:

    • Transparenz und Ausbau der Rechte der betroffenen Personen
    • Erweiterungen der Informations-, Auskunfts- und Dokumentationspflichten vom Verantwortlichen und Auftragsbearbeiter
    • Stärkung der Datenschutzaufsicht
    • Anpassung der Strafbestimmungen
    • Neue Konsultations- und Meldepflichten beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB)
    • Anpassungen der datenschutzrechtlichen Fachsprache

    2023-03-20 15:49:10

    Weiterlesen

  • Vermögensverwalter: Vor der Bewilligung ist nach der Bewilligung?

    Ende dieses Jahres läuft die Übergangsfrist des Finanzinstitutsgesetzes (FINIG) aus und diejenigen Vermögensverwalter, welche kein Gesuch um eine FINMA-Bewilligung beantragt haben und über keine Unterstellungsverfügung einer Aufsichtsorganisation (AO) verfügen, werden ihre Tätigkeit ab dem 01.01.2023 einstellen müssen.

    Mit dem Erhalt der FINMA-Bewilligung haben die Vermögensverwalter laufend die notwendigen Voraussetzungen für die Ausübung der Tätigkeit als Vermögensverwalter zu erfüllen. Darunter fällt u.a. auch, dass die Mitarbeitenden je nach Funktion, welche sie ausüben (qualifizierte Geschäftsführer, Kundenberater, Compliance Verantwortliche, Risikomanager etc.) eine Weiterbildungspflicht haben. Doch wie sieht diese Weiterbildungspflicht aus?

    Das Finanzinstituts- und Finanzdienstleistungsgesetz (FINIG / FIDLEG) und die dazugehörigen Verordnungen helfen hier nur bedingt. Es empfiehlt sich auch die Botschaft zu den Gesetzen und die Erläuterungsberichte zu den Verordnungen zu konsultieren. Zusammenfassend lässt sich Folgendes festhalten:

    2022-12-14 10:10:27

    Weiterlesen

  • Basispaket für Vermögensverwalter oder Bezug einzelner Musterdokumente

    Die Regulierungsdichte für Vermögensverwalter nimmt seit FIDLEG und FINIG stetig zu. Um den gesetzlichen Anforderungen sowie denjenigen der FINMA sowie der Aufsichtsorganisationen gerecht zu werden, benötigen Vermögensverwalter unter anderem angemessene Prozesse, Analysen, Reglemente, Weisungen, Kontrollinventare und Berichterstattungen. Weiter müssen das regulatorische Umfeld kontinuierlich überwacht, Änderungen erkannt und die internen Prozesse und Dokumente entsprechend angepasst werden. Dies kann erhebliche Ressourcen binden.

    Damit Sie sich ganz auf Ihre Kernkompetenzen sowie den operativen Geschäftsbetrieb fokussieren können und sich nicht stets Gedanken über die regulatorische Entwicklung, nicht aktualisierte Dokumente, Kontrollen und die Berichterstattung machen müssen, übernehmen wir diese Aufgabe für Sie. Hierzu stellen wir Ihnen unsere Dienstleistung «Basispaket für Vermögensverwalter» zur Verfügung.

    2022-12-14 10:06:26

    Weiterlesen

  • Organisatorische Massnahmen im grenzüberschreitenden Dienstleistungsgeschäft

    Finanzinstitute (z.B. eine Bank oder ein Vermögensverwalter), welche ein grenzüberschreitendes Dienstleistungsgeschäft betreiben, müssen aus regulatorischen Gründen, insbesondere um nicht tragbare Risiken zu vermeiden, organisatorische Massnahmen treffen. Die organisatorischen Massnahmen richten sich primär nach der vom Oberleitungsorgan (Verwaltungsrat) definierten Strategie zum grenzüberschreitenden Dienstleistungsgeschäft, welche regelmässig in den Statuten und/oder dem Organisations- und Geschäftsreglement definiert sind und durch weitere interne Dokumente (z.B. Weisungen) konkretisiert werden.

    Hinsichtlich der Strategie im grenzüberschreitenden Dienstleistungsgeschäft gilt es verschiedene Aspekte zu definieren. Unter anderem:

    2022-12-14 10:01:43

    Weiterlesen

Abonnieren Sie den Newsletter

GL

Kontakt

Equilas AG
Genfergasse 8
3011 Bern

Login

Um Dateien herunterzuladen müssen Sie sich einloggen: Login

Haben Sie noch keinen Account? Dann kontaktieren Sie uns bitte: Kontakt