-
Audit Financial Services
Mehr Sicherheit, mehr Vertrauen: Wirtschaftsprüfung für Banken und andere Finanzunternehmen
-
Audit Industry, Services, Institutions
Mehr Sicherheit, mehr Vertrauen: Wirtschaftsprüfungen für nationale und internationale Geschäftskunden
-
Corporate Tax
Nationale und internationale Steuerberatung und -planung
-
Individual Tax
Individual Tax
-
Indirect Tax/VAT
Unsere Dienstleistungen im Bereich Mehrwertsteuer
-
Transfer Pricing
Verrechnungspreise
-
M&A Tax
Mergers & Acquisitions Steuern – Beratung über den gesamten Transaktionszyklus
-
Tax Financial Services
Tax Financial Services
-
Financial Services
Beratung Finanzindustrie
-
Advisory IT & Digitalisation
Vermittlung von Sicherheit aus der IT.
-
Forensic Services
Heutzutage geht es bei der Aufklärung von Straftaten in Unternehmen immer häufiger auch um digitale Daten und ganze IT-Systeme.
-
Regulatory & Compliance Financial Services
Beratungsdienstleistungen in den Bereichen Finanzmarktrecht und Sustainable Finance.
-
Transaction Services / Mergers & Acquisitions
Gut beraten Transaktionen erfolgreich abwickeln.
-
Legal Services
Persönliche Beratung, die Ihnen Recht gibt.
-
Trust Services
Ihr zuverlässiger Partner in Sachen Vermögensplanung, Trusts und Stiftungen.
-
Business Risk Services
Nachhaltiges Wachstum für Ihr Unternehmen.
-
IFRS Services
Die Rechnungslegung nach den International Financial Reporting Standards (IFRS) und die Finanzberichterstattung stehen ständig vor neuen Herausforderungen durch Gesetzgeber, Regulierungsbehörden und Gremien. Einige IFRS-Rechnungslegungsthemen sind so komplex, dass sie generell schwer zu handhaben sind.
-
Abacus
Grant Thornton Schweiz Liechtenstein ist seit 2020 offizieller Vertriebspartner der Abacus Business Software.
-
Accounting Services
Buchführung ist für uns weit mehr als die Verarbeitung von Zahlen.
-
Payroll Services
Monat für Monat sparen Sie Zeit und Energie, wenn Sie wissen, dass Ihre komplette Lohnadministration sich in den besten Händen befindet.
-
Real Estate Management
Geben Sie Ihrem kompletten Immobilienmanagement ein sicheres Zuhause.
-
Lernende
Karriere mit Lehre?!
Einordnung 1
1Es handelt sich um eine stark vereinfachte Darstellung, welche eine rasche erste Einordnung der Thematik ermöglichen soll. Jedes Institut sollte die Relevanz und den konkreten Handlungsbedarf individuell-konkret bestimmen.
2Selbstregulierungsorganisation (SRO)
Hintergrund
Das neue Rundschreiben legt den Fokus auf die Bedeutung der operationellen Risiken und die Resilienz für Finanzinstitute. Es soll dem Strukturwandel und einer steigenden Bedrohungslage in Bezug auf die IKT-Risiken Rechnung tragen. Dies umfasst unter anderem technische Entwicklungen wie Fortschritt der Digitalisierung, Steigerung der Komplexität der Lieferketten und Abhängigkeiten sowie die Zunahme von Cyber-Attacken. Weitere Treiber für die Überarbeitung des Rundschreibens waren internationale regulatorische Entwicklungen.
Neuerungen im Bereich operationelles Riskmanagement
Die Vorgaben des Rundschreibens zum Management der operationellen Risiken werden nach den folgenden Bereichen unterteilt:
- Übergreifendes Management der operationellen Risiken
- Management der IKT-Risiken (Informations- und Kommunikationstechnologie)
- Management der Cyber-Risiken
- Management der Risiken kritischer Daten
- Business Continuity Management (BCM)
- Management der Risiken aus dem grenzüberschreitenden Dienstleistungsgeschäft (Cross-Border)
Inhaltlich wurden diese Bereiche des FINMA-Rundschreibens in unterschiedlichem Ausmass überarbeitet oder erneuert. Einzelne blieben inhaltlich komplett unverändert, andere erfuhren bedeutende Neuerungen.
Ein bereits bekannter Schwerpunkt des FINMA-Rundschreibens liegt beim Management von operationellen Risiken. Die FINMA hat neu das übergreifende Management der operationellen Risiken in einem Kapitel zusammengefasst, um die Aufsichtserwartungen transparenter zu machen. Dabei blieb der inhaltliche Aspekt unverändert.
Im Bereich Management der IKT-Risiken erfolgten wesentliche Anpassungen aufgrund der vom Basler Ausschuss für Bankenaufsicht erarbeiteten Prinzipien der Operational Resilienz (POR) und der überarbeiteten Prinzipien für ein solides Management operationeller Risiken (PSMOR).
Weitere wesentliche Anpassungen erfolgten bei der Regulierung des Managements der Risiken kritischer Daten. Neu enthält das Rundschreiben eine Definition des Begriffs «kritische Daten». Dabei wurde der Begriff erweitert und umfasst alle Daten, die für das Institut von so wesentlicher Bedeutung sind, dass ein erhöhter Sicherheitsanspruch erforderlich ist.
Das neue Kapitel zum Business Continuity Management (BMC) im Rundschreiben ersetzt die bisherige SBVg-Selbstregulierung. Die Regulierung zu BCM wurde bei der Übernahme ins Rundschreiben aktualisiert. Geringe Anpassungen erfolgten beim Kapitel Management der Cyber-Risiken. Unverändert blieben das Management der Risiken aus dem grenzüberschreitenden Dienstleistungsgeschäft wie auch die Weiterführung von kritischen Dienstleistungen bei der Abwicklung und Sanierung von systemrelevanten Banken in Kapitel VI.
Operationelle Resilienz
Das Rundschreiben legt neu einen Fokus auf die Sicherstellung der operationellen Resilienz und enthält diesbezügliche Vorgaben im separaten Kapitel V. Operationelle Resilienz bezeichnet die Fähigkeit eines Instituts, seine kritischen Funktionen bei Unterbrechungen innerhalb der Unterbrechungstoleranz wiederherstellen zu können. Erwartet wird ein ganzheitlicher Ansatz, welcher sowohl präventive als auch reaktive Massnahmen in ihrer Gesamtheit erfasst, überwacht und darüber rapportiert.
Erwartungen der FINMA aufgrund von durchgeführten Vor-Ort-Kontrollen
Während Vor-Ort-Kontrollen im Vorfeld des Inkrafttretens des FINMA Rundschreibens hat die FINMA bei vielen Instituten Bereiche identifiziert, in denen Verbesserungspotential besteht, so beispielsweise beim IKT-Inventar hinsichtlich Aktualität und Vollständigkeit. Ferner haben einige Institute nach Ansicht der FINMA ihre technologische Infrastruktur nicht rechtzeitig und systematisch überwacht. Weiter stellte die FINMA fest, dass der Fokus bei der Identifikation der kritischen Daten teilweise sehr beschränkt auf Client Identifying Data (CID) liegt, wogegen im Hinblick auf das neue Rundschreiben bei der Beurteilung und Festlegung der Kritikalität von Daten ein breiterer Approach erwartet wird.
Anwendbarkeit und Bedeutung für FINIG Institute
Direkt anwendbar ist das Rundschreiben nur für Banken, Finanzgruppen und -konglomerate sowie Wertpapierhäuser. Die Anforderungen werden durch die FINMA eingeschränkt, indem Banken und Wertpapierhäuser der Aufsichtskategorien 4 und 5 von der Pflicht zur Erfüllung zahlreicher Randziffern ausgenommen werden. Die Umsetzung des FINMA-Rundschreibens hängt zudem im Einzelfall von verschiedenen Faktoren ab, wie beispielsweise der Grösse, Komplexität, Struktur und dem Risikoprofil der jeweiligen Bank. Je nach Situation kann die FINMA Erleichterungen oder strengere Massnahmen anordnen. Für das neue Kapitel zur operationellen Resilienz gelten teilweise Übergangsbestimmungen von bis zu zwei Jahren. Die übrigen Bereiche des Rundschreibens treten ohne Übergangsbestimmungen per 1. Januar 2024 in Kraft.
Das Rundschreiben richtet sich neben Banken und Wertpapierhäuser grundsätzlich nicht an übrige FINIG-Institute, daher ist es für diese nicht unmittelbar anwendbar. Dennoch enthält das Rundschreiben zahlreiche Erwartungen der FINMA, welche in geringerem Umfang und je nach Grösse, Komplexität, Struktur und Risikoprofil des Instituts auch für tiefer regulierte Institute gelten dürften. So beispielsweise viele allgemeine Vorgaben zum operationellen Risikomanagement oder Vorgaben im Bereich Crossborder. Auch die Randziffern zum Management der Cyber-Risiken und im Bereich BCM sollten von FINIG-Instituten nicht ausser Acht gelassen werden.
Fazit und Ausblick
Das FINMA-Rundschreiben 2023/1 enthält wichtige neue und höhere Anforderungen in Bezug auf das Management der operationellen Risiken und die operationelle Resilienz bei Finanzinstituten. Banken und Wertpapierhäuser dürften aufgrund der angemessenen Vorlaufzeit die meisten aus dem FINMA-Rundschreiben hervorgehenden Anpassungen vorbereitet und implementiert haben, um für das Inkrafttreten des FINMA-Rundschreibens bereit zu sein. Die nächste Herausforderung wird für sie die konkrete Umsetzung in der Praxis, insbesondere der Verfahren, Prozesse und Kontrollen, sein. Übrige FINIG-Institute sind zwar nicht unmittelbar betroffen, sie sollten aber je nach Grösse, Komplexität, Struktur und Risikoprofil ihres Instituts abklären, inwiefern das Rundschreiben für sie relevant oder hilfreich ist.