Risikomanagement für Fondsleitungen und Verwalter von Kollektivvermögen: Ein Überblick der FINMA-Aufsichtsmitteilung 04/2024

Einordnung der Neuerungen¹

_{¹ Es handelt sich um eine stark vereinfachte Darstellung, welche eine rasche erste Einordnung der Thematik ermöglichen soll.  Jedes Institut sollte die Relevanz und den konkreten Handlungsbedarf individuell-konkret bestimmen.}

Mögliche Massnahmen im Bereich operationelles Riskmanagement

Die neue Aufsichtsmitteilung orientiert sich stark am FINMA-Rundschreiben 2023/1 «Operationelle Risiken und Resilienz», welches jedoch ausschliesslich für Banken und Wertpapierhäuser gilt. Viele der in jenem Rundschreiben statuierten Grundsätze finden sich - wenn auch in gekürzter und vereinfachter Form – nun auch in der neuen Aufsichtsmitteilung. Das heisst, die im Bankenbereich etablierten Grundsätze zum operationellen Riskmanagement sollen in reduzierter Form auch auf Fondsleitungen und Vermögensverwalter von Kollektivvermögen übertragen werden. Die FINMA erinnert die Institute dieser Aufsichtskategorien daran, angemessene Risikomanagement-Anforderungen zu erfüllen, um Schwachstellen zu vermeiden. Das oberste Leitungsorgan soll die Prinzipien für das Management aller wesentlichen Risiken festlegen, denen das Institut und die von ihm verwalteten Vermögen ausgesetzt sind. Dies umfasst die Festlegung der Risikotoleranz und die Entwicklung von Weisungen, Verfahren und Prozessen zur Identifizierung, Bewertung, Steuerung und Überwachung von Risiken. Die Geschäftsführung muss diese Vorgaben umsetzen, geeignete Funktionen benennen und regelmässig Bericht erstatten. Beide Leitungsorgane müssen ihre Grundsätze und Prozesse periodisch auf Angemessenheit und Effektivität überprüfen, insbesondere bei Änderungen der Geschäftstätigkeit oder Organisation.

Die Massnahmen der Aufsichtsmitteilung zum Management der operationellen Risiken werden nach den folgenden Bereichen unterteilt:

• Management der IKT-Risiken (Informations- und Kommunikationstechnologie)
• Management der Risiken kritischer Daten
• Management der Cyber-Risiken
• Business Continuity Management (BCM)
• Management der Risiken aus dem grenzüberschreitenden Dienstleistungsgeschäft (Crossborder)
• Management der operationellen Risiken bei Auslagerungen

Erwartungen der FINMA aufgrund ihrer Aufsichtstätigkeit und dem Bewilligungsverfahren

Im Rahmen ihrer Aufsichtstätigkeit und im Bewilligungsverfahren hat die FINMA bei zahlreichen Instituten Bereiche mit Verbesserungspotential identifiziert. So sollte beispielsweise jedes Institut ein Inventar über die wesentlichen Hardware- und Software-Komponenten führen (IKT-Inventar) und dieses IKT-Inventar sollte hinsichtlich Aktualität und Vollständigkeit regelmässig überprüft werden. Zudem sind Massnahmen zur Bewältigung von Cyber-Risiken vorzusehen, die nach einem Angriff die zeitnahe Wiederaufnahme des regulären Geschäftsbetriebs sowie die Einhaltung der Meldepflichten an die FINMA und gegebenenfalls an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten sicherstellen (siehe auch unseren Newsletter Cyber-Attacken vom 13. Juli 2024) . Kritische Daten sind zu identifizieren und angemessene Schutzmassnahmen und Kontrollen sind festzulegen. Bei der Festlegung der kritischen Daten eines Instituts ist ein ganzheitlicher Ansatz zu wählen, welcher nicht nur Personendaten und Kundendaten, sondern sämtliche für das Institut wesentlichen Daten umfasst. Ferner soll der Business Continuity Plan periodisch überprüft und getestet werden, wobei klare Kommunikationsstrategien für Notfälle festzulegen sind. 

Im Bereich des Managements von Rechts- und Compliancerisiken im Crossborder-Geschäft muss das Institut die rechtlichen Rahmenbedingungen des jeweiligen Landes analysieren und notwendige Massnahmen zur Risikominderung ergreifen. Zusätzlich sollten die Domizile der Zielkunden in die Geldwäschereirisikoanalyse einbezogen werden und die relevante Rechtslage in den jeweiligen Ländern kontinuierlich verfolgt werden.

Bei der Auslagerung der Risikokontroll-Funktion sollte das Institut den Fokus auf die Kenntnisse und Erfahrungen der Dienstleister im Bereich des Managements von operationellen Risiken legen. Wesentliche Tätigkeiten sollten korrekt und vollständig im Inventar erfasst werden, um Kontrolllücken zu vermeiden.

Anwendbarkeit und Bedeutung für Vermögensverwalter und Trustees nach Art. 17 FINIG

Die Aufsichtsmitteilung richtet sich neben Fondsleitungen und Verwaltern von Kollektivvermögen grundsätzlich nicht an übrige FINIG-Institute wie Vermögensverwalter oder Trustees nach Art. 17 FINIG; daher ist sie für diese nicht unmittelbar anwendbar. Dennoch enthält die Aufsichtsmitteilung zahlreiche Massnahmen, welche in geringerem Umfang und je nach Grösse, Komplexität, Struktur und Risikoprofil des Instituts auch für tiefer regulierte Institute sinnvoll sind. So beispielsweise allgemeine Vorgaben zum operationellen Risikomanagement oder Vorgaben im Bereich Crossborder und Auslagerungen. Auch die Randziffern zum Management der Cyber-Risiken und im Bereich BCM sollten von den anderen FINIG-Instituten nicht ausser Acht gelassen werden.

Fazit und Ausblick

Die FINMA-Aufsichtsmitteilung 04/2024 unterstreicht nochmals die wichtigsten Massnahmen im Bereich des Managements der operationellen Risiken bei Fondsleitungen und Verwaltern von Kollektivvermögen. Erfahrungsgemäss sind die Massnahmen mit überschaubarem Aufwand umsetzbar. Übrige FINIG-Institute sind zwar nicht unmittelbar betroffen, sie sollten aber je nach Grösse, Komplexität, Struktur und Risikoprofil ihres Instituts abklären, inwiefern die Aufsichtsmitteilung für sie relevant oder hilfreich ist. 

Kontakte