Neues FINMA-Rundschreiben 2023/1 «Operationelle Risiken und Resilienz – Banken»
Die FINMA passt das Rundschreiben zu operationellen Risiken von Banken den neuen technologischen Entwicklungen an und integriert die Prinzipien des Basler Ausschusses zur operationellen Resilienz. Neu nimmt sie auch Empfehlungen der Schweizerischen Bankiervereinigung (SBVg) in das Rundschreiben auf. Es tritt am 1. Januar 2024 in Kraft.
Social Bookmarks
Die fortschreitende Digitalisierung und technische Entwicklungen führen zu erhöhten Risiken im Bankensektor, insbesondere in den Bereichen des operationellen Betriebs und der Datensicherheit. Um die Risiken besser adressieren zu können, hat die Eidgenössische Finanzmarktaufsicht (FINMA) beschlossen, ihr Rundschreiben zu operationellen Risiken zu revidieren.
FINMA stärkt Aufsichtspraxis
Mit der Revision konkretisiert die FINMA ihre Aufsichtspraxis in Bezug auf das Management operationeller Risiken, insbesondere im Zusammenhang mit der Informations- und Kommunikationstechnologie, dem Umgang mit kritischen Daten und den Cyber-Risiken. Weiter finden Anforderungen zur operationellen Resilienz Eingang ins Rundschreiben. Das Rundschreiben übernimmt zudem die vom Basler Ausschuss für Bankenaufsicht im März 2021 veröffentlichten revidierten Prinzipien zum Umgang mit operationellen Risiken und die neuen Prinzipien zur operationellen Resilienz.1 Neu nimmt die FINMA wesentliche Elemente der Empfehlungen für das Business Continuity Management (BCM) der Schweizerischen Bankiervereinigung (SBVg) in das Rundschreiben auf.
Positionen der SBVg finden Gehör
Nach einer Vorkonsultation von Bankenvertreterinnen und -vertretern durch die FINMA wurde im Mai 2022 die öffentliche Anhörung zur Revision des Rundschreibens gestartet. Dieser Prozess gestaltete sich als sehr zielführend. Wesentliche Grundsätze bezüglich «Prinzipien-Basierung», «Proportionalität» und «Technologieneutralität» konnten bereits früh im Prozess fixiert werden. Die Konzeption der FINMA, die entsprechenden Standards des Basler Ausschusses, die Aufsichtspraxis der FINMA sowie die Inhalte der Selbstregulierung der SBVg im Bereich BCM konsolidiert und integral zu berücksichtigen, konnte zudem die Struktur der Regulierung stark vereinfachen.
In ihrer Stellungnahme regte die SBVg an, die gewählten Definitionen mehrerer Begrifflichkeiten weiter zu klären, da sie zu einer unnötigen und teilweise ungewollten Ausweitung der damit verbundenen Pflichten geführt hätten. So war bspw. die Verwendung des Begriffes «kritisch» im Zusammenhang mit Situationen und Daten sehr weit gefasst. Erfreulicherweise hat die FINMA im finalen Rundschreiben die Definitionen zu operationellen Risken, Krisensituationen und kritischen Situationen, kritischen Prozessen sowie kritischen Daten eingrenzend präzisiert. Weiter wurden im Vernehmlassungsentwurf Aufgaben und Kompetenzen an die Geschäftsleitung und das Oberaufsichtsorgan übertragen, welche teilweise als zu detailliert erschienen und dadurch nicht stufengerecht waren. Nun wurden die Randziffern zu den Erwartungen an das Oberleitungsorgan und die Geschäftsleitung wesentlich präzisiert. Generell wurden zum Management der operationellen Risiken die Anforderungen in vielen Bereichen «weicher» und stärker prinzipienbasiert formuliert als noch im Entwurf. Letztlich konnte eine Verschiebung der Inkraftsetzung um ein Jahr erwirkt werden.
Implementierungsaufwand ist nicht zu unterschätzen
Als Wermutstropfen bleiben ambitionierte Übergangsbestimmungen in einzelnen Bereichen bestehen. Dabei ist darauf hinzuweisen, dass auf den Zeitpunkt des Inkrafttretens bereits einige Punkte umgesetzt sein müssen. So werden per 1. Januar 2024 die Identifikation der kritischen Funktionen, die Definition der Unterbrechungstoleranzen, eine erste Berichterstattung dazu an die Geschäftsleitung und das Oberleitungsorgan sowie Genehmigungen durch das Oberleitungsorgan erwartet.
Auch wenn im finalen Rundschreiben nun mehrere Punkte verbessert werden konnten, darf der Implementierungsaufwand nicht unterschätzt werden. Das Vorhaben kann sich als sehr aufwändig gestalten, betrifft es meist fast alle Bereiche einer Bank. So hat das Rundschreiben Auswirkungen auf das institutsweite Risikomanagement, das Prozessmanagement sowie das Outsourcing einer Organisation. Der frühzeitige Einbezug und die Koordination auch bezüglich der zeitlichen Abhängigkeiten aller relevanten Stakeholder sind daher unbedingt notwendig.
Umsetzung bietet Chancen für die Banken
Auch wenn nun ein intensives Arbeitspaket auf die Banken zukommt, kann das neue Rundschreiben zu einer Chance für den Bankenplatz werden. Im Endeffekt wird damit eine gute Basis für die Stärkung der Institute gelegt, indem bspw. die interdisziplinäre Zusammenarbeit unterstützt, eine breitere Betrachtung der Risiken gefördert, technologische Entwicklungen besser berücksichtigt und eine zukunftsorientierte Denkweise gestärkt wird.
Am 29. März findet im Landesmuseum in Zürich unser Seminar zum neuen Rundschreiben statt. Selbstverständlich werden wir unsere Mitgliedinstitute auch weiterhin bei der Umsetzung unterstützen.
1 Die Anpassungen basieren auf den Revisions to the Principles for the Sound Management of Operational Risk (PSMOR) und den neuen Principles for Operational Resilience (POR) des Basler Ausschusses für Bankenaufsicht (BCBS) vom März 2021.