Im Zuge der Umsetzung des neuen FINMA-RS 23/1 «Operationelle Risiken und Resilienz – Banken» erweist sich das neue Thema operationelle Resilienz als ziemlich anspruchsvoll. Unter operationeller Resilienz wird allgemein die Fähigkeit eines Instituts verstanden, seine kritischen Funktionen bei Unterbrechungen innerhalb der Unterbrechungstoleranz wiederherstellen zu können. Ab dem 1. Januar 2024 müssen alle, dem Geltungsbereich zugehörigen Institute sicherstellen, dass sie operationell resilient sind. Institute des Kleinbankenregimes sowie Institute der FINMA-Kategorie 4 und 5 sind zwar von gewissen Pflichten in der Umsetzung befreit, müssen aber dennoch ihre operationelle Resilienz in den Grundzügen sicherstellen können. Konkret umfasst dies das Vorgehen zur Sicherstellung der operationellen Resilienz durch die Festlegung ihrer kritischen Funktionen sowie deren Unterbrechungstoleranzen. Ferner ist das Thema operationelle Resilienz als fester Bestandteil in die Berichterstattung an den Verwaltungsrat und die Geschäftsleitung zu integrieren.

Die bankindividuelle Implementierung hinsichtlich der operationellen Resilienz ist umfangreich und sollte nicht unterschätzt werden. Das kurze Zeitfenster zur Umsetzung und Sicherstellung stellt für viele Institute eine Herausforderung dar, denn die Definition von adäquaten Unterbrechungstoleranzen, d.h. die Bestimmung des akzeptablen Ausmasses der Unterbrechung einer kritischen Funktion, sowie die Beurteilung der jeweiligen Auswirkungen auf die zugrundeliegenden Ressourcen, Prozesse, Aktivitäten und Dienstleistungen ist aufwändig und komplex. Zudem müssen die festgelegten kritischen Funktionen mit den entsprechenden Unterbrechungstoleranzen vom Verwaltungsrat noch in diesem Jahr genehmigt werden, damit sie am 1. Januar 2024 gültig sind und ab diesem Zeitpunkt überwacht werden können.

Generell empfiehlt es sich, ein Analyseraster zu verwenden, welches sämtliche Komponenten zur Erbringung der kritischen Funktionen abbildet. Basierend darauf können dann u.a. die Unterbrechungstoleranzen bestimmt werden. Das Ausmass einer Unterbrechung auf die kritischen Funktionen kann bspw. unter Beizug von Erfahrungswerten aus dem Business Continuity Management und ausgehend von unterschiedlichen schwerwiegenden, aber plausiblen Szenarien festgelegt werden. Eine solche systematische Herangehensweise, welche einer End-to-End Betrachtung unterliegt, schafft auch ein umfassendes Bewusstsein zur aktuellen Widerstandskraft des Instituts.

Die Equilas unterstützt vorwiegend Banken bei der Sicherstellung ihrer operationellen Resilienz und bietet neben der Beratung auch die Überwachung des regulatorischen Umfelds sowie verschiedene Mustervorlagen für Reglemente, Weisungen, Verträge etc. an. So zum Beispiel auch eine Vorlage betreffend «Vorgehen zur Sicherstellung der operationellen Resilienz», womit der Verwaltungsrat seine Pflichten in diesem Jahr gemäss FINMA-RS 23/1 «Operationelle Risiken und Resilienz – Banken» nachkommen kann. Falls Ihr Interesse an unseren Dienstleistungen geweckt ist, freuen wir uns über Ihre Kontaktaufnahme: legalcompliance@equilas.ch.