Autor: Martin Villiger
Keine 6 Monate mehr, und das totalrevidierte FINMA-Rundschreiben 2023/1 zum Management der Operationellen Risiken und der Sicherstellung der Resilienz bei Banken tritt in Kraft. Und eins ist jetzt schon klar: Viele betroffene Finanzinstitute haben zum Teil erheblichen und umgehenden Handlungsbedarf, auch wenn vom Inkrafttreten am 1. Januar 2024 Übergangsfristen von bis zu zwei Jahren gelten. Betroffene Unternehmen sollten sich zielgerichtet und strukturiert mit den neuen Anforderungen auseinandersetzen, um eine angemessene und rechtzeitige Compliance sicherstellen zu können.
Auf den Punkt gebracht: Die Anforderungen an die Dokumentation steigen, denn das Rundschreiben ist klarer in den Anforderungen, deckt breiter die verlangten Themen ab und zeigt der Geschäftsleitung und dem Verwaltungsrat konkreter auf, wie sie ihre Verantwortung wahrnehmen sollen.
Der Verwaltungsrat als Oberleitungsorgan muss in diesem Rahmen über strategische Richtungswechsel entscheiden, wenn er Risiken als nicht oder nicht mehr tolerierbar einschätzt. Auch ist es Sache des Oberleitungsorgans, die definierte Risikotoleranz eines Instituts zu genehmigen und dabei die Ergebnisse aus den Risiko- und Kontrollbeurteilungen zu berücksichtigen. Damit das gelingt, sollten die Verwaltungsräte in der Lage sein, die richtigen Fragen zu stellen und mit einem übergeordneten Blick ihre Verantwortung wahrzunehmen.
Für Finanzinstitute, die bereits heute über unternehmensweite und bereichsübergreifende «Best Practices Standards» im Risk Management verfügen, sollte der Umsetzungsaufwand gut handhabbar bleiben. Alle anderen Institute haben noch 6 Monate Zeit, ein Risikomanagementsystem aufzusetzen und die Umsetzung innert der Umsetzungsfrist zu priorisieren und sicherzustellen. Ganzheitlich handelnde Banken und Finanzdienstleister werden dabei effizienter vorankommen als Unternehmen mit einem etablierten Silodenken.
Wie ist der Status Quo in Ihrem Institut? Haben Sie die Verantwortlichkeiten in Ihrem Unternehmen zum Umgang mit operationellen Risiken bereits ganzheitlich definiert? Gilt das auch für die Bedrohungsszenarien? Laufen bei Ihnen systematische Analysen der operationellen Risiken? Sind Ihre Risikoinformationen aggregiert und stufengerecht aufbereitet? Werden effektive Massnahmen definiert und zeitgerecht umgesetzt? Haben Sie Prozesse zu Informatiksicherheit und Informationssicherheit festgelegt? Wie steht es mit dem Testing des Business Continuity Management, mit Verwundbarkeitsanalysen, Penetrationstests und Cyber-Übungen? Was ist mit den diversen Notfallplänen und Tests kritischer Funktionen im Rahmen ihrer Unterbrechungstoleranzen, und wie steht es um die Mitarbeiterschulungen?
Externe Partner mit Erfahrung in den verschiedenen Themenbereichen können Sie bei der konkreten und effizienten Umsetzung der Anforderungen aus dem FINMA-Rundschreiben sinnvoll unterstützen und entlasten. Das kann im Rahmen von Interim Management, der Durchführung von «Health Checks» oder natürlich auch als Coach für Ihr Projekt oder im Projekt erfolgen – in jedem Falle mit greifbarem und vor allem bewertbarem Output. Die ohnehin schon stark belasteten Mitarbeitenden werden entlastet. Die Geschäftsleitung und Verwaltungsräte erhalten die nötige Sicherheit. Denn als Verwaltungsräte sind Sie nicht nur strategisch verantwortlich, sondern auch für die Grundlagen zuständig, die das Unternehmen sicher machen. Wer sein Unternehmen versteht und die operativen Prozesse kennt, ist auf jeden Fall klar im Vorteil.
MP Partners unterstützt Sie als Partner auf Augenhöhe. Ihr Vorteil: Wir kennen Ihr Geschäft und wissen, was Sie bewegt. Darum können Sie davon ausgehen: Wir verstehen uns!