- Aktuelles
Close the gap
Am 13. Dezember 2022 hat die FINMA das Rundschreiben RS 2023/01 Operationelle Risiken und Resilienz Banken publiziert. Es tritt per 1. Januar 2024 in Kraft und löst das bisherige RS 2008/21 ab. Mit RS 2023/01 werden auch die bestehenden Anforderungen Principles for the Sound Management of Operational Risk (PSMOR), sowie Principles for Operational Resilience (POR) übernommen. In diesem Artikel fassen wir die wichtigsten Änderungen zusammen.
Grundsatz 1 – Generelle Anforderung an das Management der operationellen Risiken
In der Revision enthält eine wesentlich erweiterte Spezifikation der Rollen, zur Beurteilung der Effektivität von Massnahmen, sowie zum minimalen Umfang der Berichterstattung, im Zusammenhang mit operationellen Risiken. Damit soll in erster Linie den in der Praxis häufig festgestellten Fehlinterpretationen im bisherigen FINMA RS 08/21 begegnet werden. Institute, welche bereits heute IKT- und Cyber Risiken, sowie Risiken bei kritischen Daten im operativen Risk Management berücksichtigen, dürften eher wenig Anpassungsbedarf haben.
Grundsatz 2 – Management der IKT-Risiken
Die Revision ersetzt den bisherigen Grundsatz 4 „Technologieinfrastruktur“. Dieser wird weitgehend durch die Anforderungen des BCBS ersetzt, welcher bereits heute die Aufsichtspraxis der FINMA widerspiegelt. Dies betrifft insbesondere die Ausformulierung des Vorfall Managements in Abstimmung mit den Bereichen Disaster Recovery (DR) und Business Continuity Management (BCM), sowie der regelmässigen Berichterstattung. Neu ist zudem die Verankerung der Meldepflicht bei wesentlichen Störungen gemäss FINMAG Art. 29.
Grundsatz 3 – Management der Cyber Risiken
In diesem Grundsatz enthält in erster Linie Präzisierungen zur bereits bestehenden Aufsichtspraxis und definiert die Rollen, Verantwortlichkeiten und Prozesse zur Erhebung, Beurteilung und Dokumentation von Cyberrisiken, sowie der regelmässigen Berichterstattung. Diese wesentlichen Neuerungen betreffen die Verankerung der Meldepflicht gemäss Aufsichtsmitteilung 05/2020 bzw. FINMAG Art. 29, sowie die Anforderung zur Durchführung szenariobasierten Cyber Übungen.
Grundsatz 4 – Management der Risiken kritischer Daten
Das geltende FINMA RS 08/21 definiert in erster Linie die Anforderungen zum Schutz von elektronischen Kundendaten. Diese Definition wird in der Revision ausgeweitet und soll für alle, in Bezug auf Vertraulichkeit, Integrität oder Verfügbarkeit kritisch einzustufenden Daten gelten. Die Bestimmungen Umfassen zudem die Auswahl, Schulung, Überwachung und regelmässige Überprüfung privilegierter Zugriffe, sowie die Implementierung eines Rollen- und funktionsspezifischen Autorisierungssystems.
Diese Anforderungen entsprechen heute weitgehend der Security Praxis und viele Institute dürften entsprechende Massnahmen bereits umgesetzt haben. Je nach Organisationsstruktur und/oder Reifegrad der Umsetzung könnte sich in diesem Bereich jedoch noch Handlungsbedarf bestehen, welcher Frühzeitig eingeplant werden sollte.
Grundsatz 5 – Management der Risiken aus dem grenzüberschreitenden Dienstleistungsgeschäft
Diese Anforderungen korrespondieren mit dem bisherigen Grundsatz 7 und enthält keine wesentlichen Änderungen.
Grundsatz 6 – Business Continuity Management (BCM)
Dieser Grundsatz formuliert die Anforderungen für die Business Impact Analysis (BIA), sowie die Business Continuity Pläne (BCP). Er enthält zudem die Anforderungen an den Krisenstab, periodische Tests, sowie die regelmässige Berichterstattung an die Geschäftsleitung. Damit werden weitgehend die bisherigen Empfehlungen der SBVg in Abstimmung des BCBS und enthält daher für Institute, welche diesen Standards bereits folgen keine wesentlichen Neuerungen.
Grundsatz 7 – Operationelle Resilienz
Dieser Grundsatz ist neu und definiert im Kern die Koordination zwischen den relevanten Bestandteilen des Risikomanagements wie bspw. das Management der operationellen Risiken, IKT/Cyberrisiken, das Business Continuity Management, das Management von Auslagerungen (vgl. das FINMA- RS 2018/3 „Outsourcing“), und die Notfallplanung. Der Grundsatz formuliert die konkreten Anforderungen zur Identifikation kritischer, systemrelevanter Prozesse, die Meldung und Anpassung bei massgeblichen Änderungen, sowie regelmässige Tests und Berichterstattung. Im revidierten Rundschreiben adressiert die FINMA sowohl Anforderungen an das Business Continuity Management, wie auch die operationelle Resilienz. Diese scheinen auf den ersten Blick überlappend, unterscheiden sich jedoch in Ihrer Zielsetzung.
Operationelle Resilienz
Konvergenz der Schutzziele des BCM und der operationellen Resilienz
Während das BCM sämtliche kritischen Prozesse im Zusammenhang mit der Geschäftserbringung des Institutes umfasst, konzentriert sich die operationelle Resilienz auf die systemrelevanten Funktionen. Das heisst die Anforderungen an die operationelle Resilienz hängt stark von der jeweiligen Systemrelevanz des Institutes ab. Die Übergangsfrist zur Erreichung der operationellen Resilienz soll 3 Jahre betragen, wobei die Identifikation der kritischen Funktionen bereits nach einem Jahr zur erfolgen hat.
Grundsatz 8 – Weiterführung von kritischen Dienstleistungen bei der Abwicklung und Sanierung von systemrelevanten Banken
Diese Anforderungen korrespondieren mit dem bisherigen Grundsatz 6 und enthalten keine wesentlichen Änderungen.
Der Umsetzungsaufwand hängt stark vom Reifegrad der bisherigen Praxis ab
Die FINMA weist darauf hin, dass die Grundsätze des revidierten Rundschreibens grundsätzlich für alle Adressaten gelten, sich im Einzelfall aber weiterhin auch nach Grösse, Komplexität und Struktur, sowie nach dem jeweiligen Risikoprofil umzusetzen sind. Unabhängig davon dürften Institute, welche bereits heute Best Practices Standards im Risk- und Business Continuity Management umgesetzt haben, einen eher überschaubaren Aufwand zur Umsetzung dieser Richtlinien haben.
Pragmatica hilft bei der Planung und Umsetzung der neuen FINMA Richtlinien
Brauchen Sie Unterstützung bei der Umsetzung der neuen Regulatoren? Unsere Expertenteams für die Bereiche Risk- und Continuity Management, sowie Information & Cyber Security entlasten Ihre wertvollen Ressourcen und helfen Ihnen den Handlungsbedarf ihres Institutes zu analysieren und auch zielgerichtet und effizient umzusetzen.