Wie swiss­blawg berich­tet hat, hat die FINMA hat die Anfor­de­run­gen an die Cor­po­ra­te Gover­nan­ce von Ban­ken über­ar­bei­tet und dazu die bis­her im RS 2008/24 “Über­wa­chung und inter­ne Kon­trol­len Ban­ken” und in ande­ren RS ent­hal­te­ne Bestim­mun­gen im neu­en RS 2017/01 “Cor­po­ra­te Gover­nan­ce – Ban­ken” zusam­men­ge­fasst. Zudem hat die FINMA die Rund­schrei­ben 2008/21 “Ope­ra­tio­nel­le Risi­ken Ban­ken” und 2010/1 “Ver­gü­tungs­sy­ste­me” revi­diert. Die Ände­run­gen tre­ten am 1. Juli 2017 in Kraft (dazu Medi­en­mit­tei­lung vom 1.11.16).

Das RS Ope­ra­tio­nel­le Risi­ken wird neu in Rz 132.1 – 132.3, 135.1 – 135.12, 136.1 – 136.5 im Rah­men des bestehen­den Grund­sat­zes zur Tech­no­lo­gie­infra­struk­tur neu Bestim­mun­gen zu IT- und Cyber­ri­si­ken enthalten:

  • Die Geschäfts­lei­tung hat ein IT-Risi­ko­ma­nage­ment-Kon­zept in Über­ein­stim­mung mit der IT- Stra­te­gie und der defi­nier­ten Risi­ko­to­le­ranz sowie unter Berück­sich­ti­gung von für das jewei­li­ge Insti­tut rele­van­ten Aspek­te gemäss inter­na­tio­nal aner­kann­ten Stan­dards zu imple­men­tie­ren. Das RS legt dafür Min­dest­in­hal­te fest.
  • Fer­ner ist ein Risi­ko­ma­nage­ment-Kon­zept für den Umgang mit Cyber-Risi­ken zu imple­men­tie­ren, eben­falls mit Min­dest­in­hal­ten (Rz 135.6 ff.).

Das RS Ope­ra­tio­nel­le Risi­ken ent­hält im Anhang 3 beson­de­re Bestim­mun­gen zum Umgang mit elek­tro­ni­schen Kun­den­da­ten. Tei­le des heu­ti­gen FAQ-Doku­ments wer­den in den Anhang inte­griert, und ande­re Rz in den Grund­sät­zen 3 (Daten­spei­cher­ort und –zugriff), 5 (Aus­wahl, Über­wa­chung und Schu­lung von Mit­ar­bei­ten­den, die auf CID Zugriff haben) und 7 (Risi­ko­min­de­rung in Bezug auf die CID- Ver­trau­lich­keit) wer­den präzisiert.

Wei­te­re Infor­ma­tio­nen fin­den sich im ursprüng­li­chen Erläu­te­rungs­be­richt und im spä­te­ren Anhö­rungs­be­richt.

AI-generierte Takeaways können falsch sein.