FINMA: Total­re­vi­si­on des RS Ope­ra­tio­nel­le Risi­ken Banken

Die FINMA hat am 10. Mai 2022 eine Anhö­rung zur Revi­si­on des Rund­schrei­bens 2008/21 Ope­ra­tio­nel­le Risi­ken – Ban­ken eröff­net. Die Anhö­rung dau­ert bis am 11. Juli 2022.

Die FINMA hält dazu fest (Her­vor­he­bun­gen und Links ergänzt):

Mit der Revi­si­on kon­kre­ti­siert die FINMA ihre Auf­sichts­pra­xis in Bezug auf das Manage­ment ope­ra­tio­nel­ler Risi­ken, ins­be­son­de­re im Zusam­men­hang mit der Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­no­lo­gie, dem Umgang mit kri­ti­schen Daten und den Cyber-Risi­ken. Wei­ter fin­den Anfor­de­run­gen zur ope­ra­tio­nel­len Resi­li­enz Ein­gang ins Rund­schrei­ben. Mit den Anpas­sun­gen über­nimmt und aktua­li­siert die FINMA auch die als Min­dest­stan­dard aner­kann­ten Emp­feh­lun­gen im Bereich Busi­ness Con­ti­nui­ty Manage­ment der Schwei­ze­ri­schen Ban­kier­ver­ei­ni­gung im Rund­schrei­ben. Hin­ge­gen ent­fal­len die Eigen­mit­tel­an­for­de­run­gen für ope­ra­tio­nel­le Risi­ken, da die­se spä­ter in die bun­des­rät­li­chen Eigen­mit­tel­ver­ord­nung über­tra­gen wer­den. Ausser­dem wer­den Fol­ge­an­pas­sun­gen im Rund­schrei­ben 2013/3 “Prüf­we­sen” nötig.

Das RS wird neu “Rund­schrei­ben 22xx/xx Ope­ra­tio­nel­le Risi­ken und Resi­li­enz – Ban­ken” hei­ssen und soll in der geän­der­ten Fas­sung auf dem 1. Janu­ar 2023 in Kraft tre­ten. Unter­la­gen stellt die FINMA auf ihrer Web­site zur Ver­fü­gung, u.a. den Ent­wurf des revi­dier­ten RS und den Erläu­te­rungs­be­richt.

Die FINMA lei­tet den Erläu­te­rungs­be­richt mit einer Über­sicht über die fol­gen­den Kern­punk­te ein:

  1. Die FINMA nimmt eine Total­re­vi­si­on des FIN­MA-Rund­schrei­bens 2008/21 „Ope­ra­tio­nel­le Risi­ken – Ban­ken“ vor. Die­ses wird durch das neue FIN­MA-Rund­schrei­ben „Ope­ra­tio­nel­le Risi­ken und Resi­li­enz – Ban­ken“ ersetzt.
  2. Die Anpas­sun­gen der qua­li­ta­ti­ven Anfor­de­run­gen des FIN­MA-Rund­schrei­bens 08/21 bestehen aus Kon­kre­ti­sie­run­gen der Auf­sichts­pra­xis einer­seits in Bezug auf das Manage­ment der ope­ra­tio­nel­len Risi­ken im All­ge­mei­nen, das Manage­ment der Risi­ken im Zusam­men­hang mit der Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­no­lo­gie (IKT) und kri­ti­schen Daten sowie der Cyber-Risi­ken im Spe­zi­el­len und ande­rer­seits in Bezug auf das Busi­ness Con­ti­nui­ty Manage­ment (BCM) sowie die ope­ra­tio­nel­le Resi­li­enz.
  3. Die Anpas­sun­gen der qua­li­ta­ti­ven Anfor­de­run­gen basie­ren auf den Revi­si­ons to the Princi­ples for the Sound Manage­ment of Ope­ra­tio­nal Risk (PSMOR) und den neu­en Princi­ples for Ope­ra­tio­nal Resi­li­en­ce (POR) des Basel Com­mit­tee on Ban­king Super­vi­si­on (BCBS) vom März 2021.
  4. Die Anpas­sun­gen der qua­li­ta­ti­ven Anfor­de­run­gen sind prin­zi­pi­en­ba­siert und tech­no­lo­gie­neu­tral. Die Pro­por­tio­na­li­tät wird ange­mes­sen berücksichtigt.
  5. Die Eigen­mit­tel­an­for­de­run­gen des FIN­MA-Rund­schrei­bens 08/21 wer­den im Rah­men der Umset­zung der fina­len Basel III Regeln durch Anfor­de­run­gen in der zu revi­die­ren­den Eigen­mit­tel­ver­ord­nung und der dazu­ge­hö­ri­gen FIN­MA-Aus­füh­rungs­be­stim­mun­gen ersetzt. Sie sind daher nicht Gegen­stand des neu­en Rundschreibens.
  6. Die Total­re­vi­si­on führt auch zu Anpas­sun­gen des FIN­MA-Rund­schrei­ben 2013/3 „Prüf­we­sen“, wel­ches somit zeit­gleich teil­re­vi­diert wird. Das neue Rund­schrei­ben „Ope­ra­tio­nel­le Risi­ken und Resi­li­enz – Ban­ken“ und das teil­re­vi­dier­te FIN­MA-Rund­schrei­ben 13/3 sol­len auf den 1. Janu­ar 2023 in Kraft tre­ten, teil­wei­se mit Übergangsfristen.

Das revi­dier­te RS wird danach als Kern fol­gen­de Grund­sät­ze enthalten:

  • Grund­satz 1: Gene­rel­le Anfor­de­run­gen an das Manage­ment der ope­ra­tio­nel­len Risiken
  • Grund­satz 2: Manage­ment der IKT-Risiken 
    • Ände­rungs­ma­nage­ment (Chan­ge Management)
    • IKT-Betrieb (Run, Maintenance)
    • Vor­fall­ma­nage­ment (Inci­dent Management)
  • Grund­satz 3: Manage­ment der Cyber-Risiken
  • Grund­satz 4: Manage­ment der Risi­ken kri­ti­scher Daten
  • Grund­satz 5: Manage­ment der Risi­ken aus dem grenz­über­schrei­ten­den Dienstleistungsgeschäft
  • Grund­satz 6: Busi­ness Con­ti­nui­ty Manage­ment (BCM)
  • Grund­satz 7: Ope­ra­tio­nel­le Resilienz
  • Grund­satz 8: Wei­ter­füh­rung von kri­ti­schen Dienst­lei­stun­gen bei der Abwick­lung und Sanie­rung von system­re­le­van­ten Banken

In einer Wir­kungs­ana­ly­se bewer­tet die FINMA die Aus­wir­kun­gen der Revi­si­on wie folgt:

  • Grund­satz 1: Manage­ment der ope­ra­tio­nel­len Risi­ken: Die Revi­si­on führt nicht zu wesent­li­chen Anpas­sun­gen der Anfor­de­run­gen. Die Revi­si­on zielt dar­auf ab, den in der Pra­xis häu­fig fest­ge­stell­ten Fehl­in­ter­pre­ta­tio­nen und Män­geln im Zusam­men­hang mit den bis­he­ri­gen Grund­sät­zen 1 – 3 des FINMA-RS 08/21 ent­ge­gen­zu­wir­ken. Somit wird ein neu ent­ste­hen­der Imple­men­tie­rungs­auf­wand als gering bis ver­nach­läs­sig­bar ein­ge­schätzt. Durch die Revi­si­on wird ins­be­son­de­re ein kla­re­res Ver­ständ­nis der Rol­le der Risi­ko­to­le­ranz im Bereich der ope­ra­tio­nel­len Risi­ken und­der Wich­tig­keit der Effek­ti­vi­tät der Kon­troll-und Min­de­rungs­mass­nah­men gefördert.
  • Grund­satz 2: Manage­ment der IKT-Risi­ken: Der neue Grund­satz ersetzt den Grund­satz 4 „Tech­no­lo­gie­in­fra­struk­tur“ des FINMA-RS 08/21 und prä­zi­siert die­sen, basie­rend auf den BCBS-Papie­ren. Er stellt die wesent­li­chen Grund­la­gen einer funk­tio­nie­ren­den IKT dar und reflek­tiert damit die bereits bestehen­de Auf­sichts­pra­xis der FINMA, die ledig­lich expli­zi­ter aus­for­mu­liert wird. Daher wird der Imple­men­tie­rungs­auf­wand als eher gering eingeschätzt.
  • Grund­satz 3: Manage­ment der Cyber-Risi­ken: Die ein­zi­ge wesent­li­che Anpas­sung zum Umgang mit Cyber-Risi­ken im Ver­gleich zum FINMARS 08/21 ist die Ein­füh­rung sze­na­rio­ba­sier­ter Cyber-Übun­gen als eine der Mög­lich­kei­ten zum Schutz der IKT und der kri­ti­schen Daten. Auch wur­de die Mel­dung wesent­li­cher Cyber-Attacken in Abstim­mung mit der FIN­MA-Auf­sichts­mit­tei­lung 05/2020 „Mel­de­pflicht von Cyber-Attacken gemäss Art. 29 Abs. 2 FINMAG“ auf­ge­nom­men. Der Rest der Revi­si­on zielt dar­auf ab, den in der Pra­xis häu­fig fest­ge­stell­ten Fehl­in­ter­pre­ta­tio­nen und Män­geln im Zusam­men­hang mit FINMA-RS 08/21 ent­ge­gen­zu­wir­ken. Der Ein­satz der sze­na­rio­ba­sier­ten Cyber-Übun­gen oder der ande­ren genann­ten Tests (bspw. Pene­tra­ti­ons­tests) unter­liegt – wie alle andern Rand­zif­fern auch – dem Pro­por­tio­na­li­täts­prin­zip. Es ist nicht davon aus­zu­ge­hen, dass jedes Insti­tut alle genann­ten Tests durch­füh­ren soll­te. Für grö­sse­re, kom­ple­xe Insti­tu­te sind sze­na­rio­ba­sier­te Cyber­Übun­gen bereits Bestand­teil eines ange­mes­se­nen Umgangs mit den Cyber-Risi­ken, wäh­rend von klei­ne­ren Insti­tu­ten im Rah­men des Pro­por­tio­na­li­täts­prin­zips kei­ne kom­ple­xen Übun­gen erwar­tet wer­den. Somit wird ein zusätz­li­cher Imple­men­tie­rungs­sauf­wand ins­ge­samt als gering eingeschätzt.
  • Grund­satz 4: Manage­ment der Risi­ken kri­ti­scher Daten: Wäh­rend mit dem neu­en Grund­satz 4 auf die Gra­nu­la­ri­tät des Anhangs 3 des FINMA RS 08/21 ver­zich­tet wird, so erwei­tert der Grund­satz den Umfang der schüt­zens­wer­ten Daten in Abstim­mung mit den BCBS-Papie­ren, weg von nur elek­tro­ni­schen Kun­den­da­ten hin zu Daten, die in Bezug auf Ver­trau­lich­keit, Inte­gri­tät oder Ver­füg­bar­keit als kri­tisch ein­ge­schätzt wer­den. Es ist davon aus­zu­ge­hen, dass die Mehr­heit der Insti­tu­te bereits über ent­spre­chen­de Schutz­mass­nah­men für ihre kri­ti­schen Daten ver­fü­gen; den­noch kann hier min­de­stens bei eini­gen Insti­tu­ten ein zusätz­li­cher Imple­men­tie­rungs­auf­wand entstehen.
  • [Zum Grund­satz 5 fin­den sich hier kei­ne Ausführungen.]
  • Grund­satz 6: Busi­ness Con­ti­nui­ty Manage­ment (BCM): Der Grund­satz 6 ist eine prin­zi­pi­en­ba­sier­te, aktua­li­sier­te Ver­si­on der bis­he­ri­gen SBVg Emp­feh­lun­gen für das Busi­ness Con­ti­nui­ty Manage­ment (BCM) in Abstim­mung mit den BCBS-Papie­ren. Sein Inhalt ist nicht grund­sätz­lich neu und unter­liegt kei­nen wesent­li­chen Anpas­sun­gen. Somit wird ein neu ent­ste­hen­der Imple­men­tie­rungs­auf­wand als gering eingeschätzt.
  • Grund­satz 7: Ope­ra­tio­nel­le Resi­li­enz: Der Grund­satz 7 ist neu und es wird ein zusätz­li­cher Imple­men­tie­rungs­auf­wand erwar­tet. Je nach Matu­ri­tät des bereits vor­han­de­nen BCM wird der Auf­wand ins­be­son­de­re bei klei­ne­ren Insti­tu­ten jedoch als gering ein­ge­schätzt, da mög­li­cher­wei­se vor­han­de­ne Kennt­nis­se über die kri­ti­schen Pro­zes­se, gra­nu­lar durch­ge­führ­te BIA, sowie bestehen­de Tests und Bericht­erstat­tun­gen bereits einen Gross­teil der benö­ti­gen Bau­stei­ne lie­fern können.

Nach Abschluss der Anhö­rung wird der Ver­wal­tungs­rat der FINMA Stel­lung­nah­men aus­wer­ten und in einem Ergeb­nis­be­richts über die Umset­zung berichten.