-
Audit Financial Services
Mehr Sicherheit, mehr Vertrauen: Wirtschaftsprüfung für Banken und andere Finanzunternehmen
-
Audit Industry, Services, Institutions
Mehr Sicherheit, mehr Vertrauen: Wirtschaftsprüfungen für nationale und internationale Geschäftskunden
-
Corporate Tax
Nationale und internationale Steuerberatung und -planung
-
Individual Tax
Individual Tax
-
Indirect Tax/VAT
Unsere Dienstleistungen im Bereich Mehrwertsteuer
-
Transfer Pricing
Verrechnungspreise
-
M&A Tax
Mergers & Acquisitions Steuern – Beratung über den gesamten Transaktionszyklus
-
Tax Financial Services
Tax Financial Services
-
Financial Services
Beratung Finanzindustrie
-
Advisory IT & Digitalisation
Vermittlung von Sicherheit aus der IT.
-
Forensic Services
Heutzutage geht es bei der Aufklärung von Straftaten in Unternehmen immer häufiger auch um digitale Daten und ganze IT-Systeme.
-
Regulatory & Compliance Financial Services
Beratungsdienstleistungen in den Bereichen Finanzmarktrecht und Sustainable Finance.
-
Transaction Services / Mergers & Acquisitions
Gut beraten Transaktionen erfolgreich abwickeln.
-
Legal Services
Persönliche Beratung, die Ihnen Recht gibt.
-
Trust Services
Ihr zuverlässiger Partner in Sachen Vermögensplanung, Trusts und Stiftungen.
-
Business Risk Services
Nachhaltiges Wachstum für Ihr Unternehmen.
-
IFRS Services
Die Rechnungslegung nach den International Financial Reporting Standards (IFRS) und die Finanzberichterstattung stehen ständig vor neuen Herausforderungen durch Gesetzgeber, Regulierungsbehörden und Gremien. Einige IFRS-Rechnungslegungsthemen sind so komplex, dass sie generell schwer zu handhaben sind.
-
Abacus
Grant Thornton Schweiz Liechtenstein ist seit 2020 offizieller Vertriebspartner der Abacus Business Software.
-
Accounting Services
Buchführung ist für uns weit mehr als die Verarbeitung von Zahlen.
-
Payroll Services
Monat für Monat sparen Sie Zeit und Energie, wenn Sie wissen, dass Ihre komplette Lohnadministration sich in den besten Händen befindet.
-
Real Estate Management
Geben Sie Ihrem kompletten Immobilienmanagement ein sicheres Zuhause.
-
Lernende
Karriere mit Lehre?!
Einordnung der Neuerungen1
1 Es handelt sich um eine stark vereinfachte Darstellung, welche eine rasche erste Einordnung der Thematik ermöglichen soll. Jedes Institut sollte die Relevanz und den konkreten Handlungsbedarf individuell-konkret bestimmen.
Mögliche Massnahmen im Bereich operationelles Riskmanagement
Die neue Aufsichtsmitteilung orientiert sich stark am FINMA-Rundschreiben 2023/1 «Operationelle Risiken und Resilienz», welches jedoch ausschliesslich für Banken und Wertpapierhäuser gilt. Viele der in jenem Rundschreiben statuierten Grundsätze finden sich - wenn auch in gekürzter und vereinfachter Form – nun auch in der neuen Aufsichtsmitteilung. Das heisst, die im Bankenbereich etablierten Grundsätze zum operationellen Riskmanagement sollen in reduzierter Form auch auf Fondsleitungen und Vermögensverwalter von Kollektivvermögen übertragen werden. Die FINMA erinnert die Institute dieser Aufsichtskategorien daran, angemessene Risikomanagement-Anforderungen zu erfüllen, um Schwachstellen zu vermeiden. Das oberste Leitungsorgan soll die Prinzipien für das Management aller wesentlichen Risiken festlegen, denen das Institut und die von ihm verwalteten Vermögen ausgesetzt sind. Dies umfasst die Festlegung der Risikotoleranz und die Entwicklung von Weisungen, Verfahren und Prozessen zur Identifizierung, Bewertung, Steuerung und Überwachung von Risiken. Die Geschäftsführung muss diese Vorgaben umsetzen, geeignete Funktionen benennen und regelmässig Bericht erstatten. Beide Leitungsorgane müssen ihre Grundsätze und Prozesse periodisch auf Angemessenheit und Effektivität überprüfen, insbesondere bei Änderungen der Geschäftstätigkeit oder Organisation.
Die Massnahmen der Aufsichtsmitteilung zum Management der operationellen Risiken werden nach den folgenden Bereichen unterteilt:
- Management der IKT-Risiken (Informations- und Kommunikationstechnologie)
- Management der Risiken kritischer Daten
- Management der Cyber-Risiken
- Business Continuity Management (BCM)
- Management der Risiken aus dem grenzüberschreitenden Dienstleistungsgeschäft (Crossborder)
- Management der operationellen Risiken bei Auslagerungen
Erwartungen der FINMA aufgrund ihrer Aufsichtstätigkeit und dem Bewilligungsverfahren
Im Rahmen ihrer Aufsichtstätigkeit und im Bewilligungsverfahren hat die FINMA bei zahlreichen Instituten Bereiche mit Verbesserungspotential identifiziert. So sollte beispielsweise jedes Institut ein Inventar über die wesentlichen Hardware- und Software-Komponenten führen (IKT-Inventar) und dieses IKT-Inventar sollte hinsichtlich Aktualität und Vollständigkeit regelmässig überprüft werden. Zudem sind Massnahmen zur Bewältigung von Cyber-Risiken vorzusehen, die nach einem Angriff die zeitnahe Wiederaufnahme des regulären Geschäftsbetriebs sowie die Einhaltung der Meldepflichten an die FINMA und gegebenenfalls an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten sicherstellen (siehe auch unseren Newsletter Cyber-Attacken vom 13. Juli 2024) . Kritische Daten sind zu identifizieren und angemessene Schutzmassnahmen und Kontrollen sind festzulegen. Bei der Festlegung der kritischen Daten eines Instituts ist ein ganzheitlicher Ansatz zu wählen, welcher nicht nur Personendaten und Kundendaten, sondern sämtliche für das Institut wesentlichen Daten umfasst. Ferner soll der Business Continuity Plan periodisch überprüft und getestet werden, wobei klare Kommunikationsstrategien für Notfälle festzulegen sind.
Im Bereich des Managements von Rechts- und Compliancerisiken im Crossborder-Geschäft muss das Institut die rechtlichen Rahmenbedingungen des jeweiligen Landes analysieren und notwendige Massnahmen zur Risikominderung ergreifen. Zusätzlich sollten die Domizile der Zielkunden in die Geldwäschereirisikoanalyse einbezogen werden und die relevante Rechtslage in den jeweiligen Ländern kontinuierlich verfolgt werden.
Bei der Auslagerung der Risikokontroll-Funktion sollte das Institut den Fokus auf die Kenntnisse und Erfahrungen der Dienstleister im Bereich des Managements von operationellen Risiken legen. Wesentliche Tätigkeiten sollten korrekt und vollständig im Inventar erfasst werden, um Kontrolllücken zu vermeiden.
Anwendbarkeit und Bedeutung für Vermögensverwalter und Trustees nach Art. 17 FINIG
Die Aufsichtsmitteilung richtet sich neben Fondsleitungen und Verwaltern von Kollektivvermögen grundsätzlich nicht an übrige FINIG-Institute wie Vermögensverwalter oder Trustees nach Art. 17 FINIG; daher ist sie für diese nicht unmittelbar anwendbar. Dennoch enthält die Aufsichtsmitteilung zahlreiche Massnahmen, welche in geringerem Umfang und je nach Grösse, Komplexität, Struktur und Risikoprofil des Instituts auch für tiefer regulierte Institute sinnvoll sind. So beispielsweise allgemeine Vorgaben zum operationellen Risikomanagement oder Vorgaben im Bereich Crossborder und Auslagerungen. Auch die Randziffern zum Management der Cyber-Risiken und im Bereich BCM sollten von den anderen FINIG-Instituten nicht ausser Acht gelassen werden.
Fazit und Ausblick
Die FINMA-Aufsichtsmitteilung 04/2024 unterstreicht nochmals die wichtigsten Massnahmen im Bereich des Managements der operationellen Risiken bei Fondsleitungen und Verwaltern von Kollektivvermögen. Erfahrungsgemäss sind die Massnahmen mit überschaubarem Aufwand umsetzbar. Übrige FINIG-Institute sind zwar nicht unmittelbar betroffen, sie sollten aber je nach Grösse, Komplexität, Struktur und Risikoprofil ihres Instituts abklären, inwiefern die Aufsichtsmitteilung für sie relevant oder hilfreich ist.
Kontakte
|
Fabian Schmid Partner, Regulatory & Compliance Financial Services T +41 43 960 72 62 E fabian.schmid@ch.gt.com |
Mirna Matic Senior Consultant, Regulatory & Compliance Financial Services T +41 43 960 72 54 E mirna.matic@ch.gt.com |