FINMA: Totalrevision des RS Operationelle Risiken Banken

Die FINMA hat am 10. Mai 2022 eine Anhörung zur Revision des Rundschreibens 2008/21 Operationelle Risiken – Banken eröffnet. Die Anhörung dauert bis am 11. Juli 2022.

Die FINMA hält dazu fest (Hervorhebungen und Links ergänzt):

Mit der Revision konkretisiert die FINMA ihre Aufsichtspraxis in Bezug auf das Management operationeller Risiken, insbesondere im Zusammenhang mit der Informations- und Kommunikationstechnologie, dem Umgang mit kritischen Daten und den Cyber-Risiken. Weiter finden Anforderungen zur operationellen Resilienz Eingang ins Rundschreiben. Mit den Anpassungen übernimmt und aktualisiert die FINMA auch die als Mindeststandard anerkannten Empfehlungen im Bereich Business Continuity Management der Schweizerischen Bankiervereinigung im Rundschreiben. Hingegen entfallen die Eigenmittelanforderungen für operationelle Risiken, da diese später in die bundesrätlichen Eigenmittelverordnung übertragen werden. Ausserdem werden Folgeanpassungen im Rundschreiben 2013/3 “Prüfwesen” nötig.

Das RS wird neu “Rundschreiben 22xx/xx Operationelle Risiken und Resilienz – Banken” heissen und soll in der geänderten Fassung auf dem 1. Januar 2023 in Kraft treten. Unterlagen stellt die FINMA auf ihrer Website zur Verfügung, u.a. den Entwurf des revidierten RS und den Erläuterungsbericht.

Die FINMA leitet den Erläuterungsbericht mit einer Übersicht über die folgenden Kernpunkte ein:

Die FINMA nimmt eine Totalrevision des FINMA-Rundschreibens 2008/21 „Operationelle Risiken – Banken“ vor. Dieses wird durch das neue FINMA-Rundschreiben „Operationelle Risiken und Resilienz – Banken“ ersetzt.

Die Anpassungen der qualitativen Anforderungen des FINMA-Rundschreibens 08/21 bestehen aus Konkretisierungen der Aufsichtspraxis einerseits in Bezug auf das Management der operationellen Risiken im Allgemeinen, das Management der Risiken im Zusammenhang mit der Informations- und Kommunikationstechnologie (IKT) und kritischen Daten sowie der Cyber-Risiken im Speziellen und andererseits in Bezug auf das Business Continuity Management (BCM) sowie die operationelle Resilienz.

Die Anpassungen der qualitativen Anforderungen basieren auf den Revisions to the Principles for the Sound Management of Operational Risk (PSMOR) und den neuen Principles for Operational Resilience (POR) des Basel Committee on Banking Supervision (BCBS) vom März 2021.

Die Anpassungen der qualitativen Anforderungen sind prinzipienbasiert und technologieneutral. Die Proportionalität wird angemessen berücksichtigt.

Die Eigenmittelanforderungen des FINMA-Rundschreibens 08/21 werden im Rahmen der Umsetzung der finalen Basel III Regeln durch Anforderungen in der zu revidierenden Eigenmittelverordnung und der dazugehörigen FINMA-Ausführungsbestimmungen ersetzt. Sie sind daher nicht Gegenstand des neuen Rundschreibens.

Die Totalrevision führt auch zu Anpassungen des FINMA-Rundschreiben 2013/3 „Prüfwesen“, welches somit zeitgleich teilrevidiert wird. Das neue Rundschreiben „Operationelle Risiken und Resilienz – Banken“ und das teilrevidierte FINMA-Rundschreiben 13/3 sollen auf den 1. Januar 2023 in Kraft treten, teilweise mit Übergangsfristen.

Das revidierte RS wird danach als Kern folgende Grundsätze enthalten:

Grundsatz 1: Generelle Anforderungen an das Management der operationellen Risiken
Grundsatz 2: Management der IKT-Risiken
- Änderungsmanagement (Change Management)
- IKT-Betrieb (Run, Maintenance)
- Vorfallmanagement (Incident Management)
Grundsatz 3: Management der Cyber-Risiken
Grundsatz 4: Management der Risiken kritischer Daten
Grundsatz 5: Management der Risiken aus dem grenzüberschreitenden Dienstleistungsgeschäft
Grundsatz 6: Business Continuity Management (BCM)
Grundsatz 7: Operationelle Resilienz
Grundsatz 8: Weiterführung von kritischen Dienstleistungen bei der Abwicklung und Sanierung von systemrelevanten Banken

In einer Wirkungsanalyse bewertet die FINMA die Auswirkungen der Revision wie folgt:

Grundsatz 1: Management der operationellen Risiken: Die Revision führt nicht zu wesentlichen Anpassungen der Anforderungen. Die Revision zielt darauf ab, den in der Praxis häufig festgestellten Fehlinterpretationen und Mängeln im Zusammenhang mit den bisherigen Grundsätzen 1 – 3 des FINMA-RS 08/21 entgegenzuwirken. Somit wird ein neu entstehender Implementierungsaufwand als gering bis vernachlässigbar eingeschätzt. Durch die Revision wird insbesondere ein klareres Verständnis der Rolle der Risikotoleranz im Bereich der operationellen Risiken undder Wichtigkeit der Effektivität der Kontroll-und Minderungsmassnahmen gefördert.

Grundsatz 2: Management der IKT-Risiken: Der neue Grundsatz ersetzt den Grundsatz 4 „Technologieinfrastruktur“ des FINMA-RS 08/21 und präzisiert diesen, basierend auf den BCBS-Papieren. Er stellt die wesentlichen Grundlagen einer funktionierenden IKT dar und reflektiert damit die bereits bestehende Aufsichtspraxis der FINMA, die lediglich expliziter ausformuliert wird. Daher wird der Implementierungsaufwand als eher gering eingeschätzt.

Grundsatz 3: Management der Cyber-Risiken: Die einzige wesentliche Anpassung zum Umgang mit Cyber-Risiken im Vergleich zum FINMARS 08/21 ist die Einführung szenariobasierter Cyber-Übungen als eine der Möglichkeiten zum Schutz der IKT und der kritischen Daten. Auch wurde die Meldung wesentlicher Cyber-Attacken in Abstimmung mit der FINMA-Aufsichtsmitteilung 05/2020 „Meldepflicht von Cyber-Attacken gemäss Art. 29 Abs. 2 FINMAG“ aufgenommen. Der Rest der Revision zielt darauf ab, den in der Praxis häufig festgestellten Fehlinterpretationen und Mängeln im Zusammenhang mit FINMA-RS 08/21 entgegenzuwirken. Der Einsatz der szenariobasierten Cyber-Übungen oder der anderen genannten Tests (bspw. Penetrationstests) unterliegt – wie alle andern Randziffern auch – dem Proportionalitätsprinzip. Es ist nicht davon auszugehen, dass jedes Institut alle genannten Tests durchführen sollte. Für grössere, komplexe Institute sind szenariobasierte CyberÜbungen bereits Bestandteil eines angemessenen Umgangs mit den Cyber-Risiken, während von kleineren Instituten im Rahmen des Proportionalitätsprinzips keine komplexen Übungen erwartet werden. Somit wird ein zusätzlicher Implementierungssaufwand insgesamt als gering eingeschätzt.

Grundsatz 4: Management der Risiken kritischer Daten: Während mit dem neuen Grundsatz 4 auf die Granularität des Anhangs 3 des FINMA RS 08/21 verzichtet wird, so erweitert der Grundsatz den Umfang der schützenswerten Daten in Abstimmung mit den BCBS-Papieren, weg von nur elektronischen Kundendaten hin zu Daten, die in Bezug auf Vertraulichkeit, Integrität oder Verfügbarkeit als kritisch eingeschätzt werden. Es ist davon auszugehen, dass die Mehrheit der Institute bereits über entsprechende Schutzmassnahmen für ihre kritischen Daten verfügen; dennoch kann hier mindestens bei einigen Instituten ein zusätzlicher Implementierungsaufwand entstehen.

[Zum Grundsatz 5 finden sich hier keine Ausführungen.]

Grundsatz 6: Business Continuity Management (BCM): Der Grundsatz 6 ist eine prinzipienbasierte, aktualisierte Version der bisherigen SBVg Empfehlungen für das Business Continuity Management (BCM) in Abstimmung mit den BCBS-Papieren. Sein Inhalt ist nicht grundsätzlich neu und unterliegt keinen wesentlichen Anpassungen. Somit wird ein neu entstehender Implementierungsaufwand als gering eingeschätzt.

Grundsatz 7: Operationelle Resilienz: Der Grundsatz 7 ist neu und es wird ein zusätzlicher Implementierungsaufwand erwartet. Je nach Maturität des bereits vorhandenen BCM wird der Aufwand insbesondere bei kleineren Instituten jedoch als gering eingeschätzt, da möglicherweise vorhandene Kenntnisse über die kritischen Prozesse, granular durchgeführte BIA, sowie bestehende Tests und Berichterstattungen bereits einen Grossteil der benötigen Bausteine liefern können.