Operationelle Risiken – Im Fokus der Regulatoren

in Financial Services, 17.10.2013

Am 1. Oktober 2013 hat die FINMA ihre definitive Fassung des teilrevidierten Rundschreibens “Operationelle Risiken Banken” veröffentlicht, in welchem sie die qualitativen Anforderungen ans Management von operationellen Risiken sowie den Umgang mit elektronischen Kundendaten konkretisiert.

Der Zeitpunkt der Veröffentlichung des teilrevidierten Rundschreibens “Operationelle Risiken Banken” hätte passender nicht sein können. Oft haben wir nur ein vages Verständnis von operationellen Risiken und verstehen diese erst wenn sie sich materialisieren. Die Rekordbussen, Verfahren oder Untersuchungen von Regulatoren im Zusammenhang mit Verfehlungen von Banken zeigen aber die Notwendigkeit für ein robustes und integriertes operationelles Risikoframework. Mit der Teilrevision konkretisiert und harmonisiert die FINMA ihre regulatorischen Anforderungen einerseits zu international bestehenden Regularien sowie andererseits die einzelnen Ansätze bezüglich der qualitativen Anforderungen unter Berücksichtigung der Grösse und Komplexität einzelner Institute.

Konkretisierung und Harmonisierung bestehender Regulierung

Obgleich im teilrevidierten Rundschreiben, mit Ausnahme von Anhang 3, keine signifikanten inhaltlichen Neuerungen im Vergleich zu international bestehenden regulatorischen Anforderungen vorgenommen wurden, stehen Institute (insbesondere solche, die bislang den Basisindikator- oder Standardansatz anwenden) vor der Herausforderung, ihr Framework für operationelle Risiken aus folgenden Gründen weiterzuentwickeln:

  • Als neues Prinzip wurde festgehalten, dass eine explizite Aussage zum Risikoappetit bzw. der Risikotoleranz durch den Verwaltungsrat getroffen werden soll. Damit verbunden ist die Anforderung, operationelle Risiken in geschäftspolitischen Entscheidungen zu berücksichtigen und entsprechende interne und externe Berichterstattungsmechanismen sicherzustellen.
  • Die Bedeutung einer angemessenen Governance-Struktur wird betont und die Errichtung einer unabhängigen Organisationseinheit für das operationelle Risiko-Management als Teil der “Three Lines of Defence” gefordert.
  • Der Sicherheit, Verfügbarkeit und Integrität von Systemen und Daten wird explizit im Anhang 3 in Form von 9 weiteren Grundsätzen Rechnung getragen.

Die FINMA hat im Weiteren die Anforderungen an das Risiko- und Kontrollframework konkretisiert und einen inhaltlichen Mindeststandard vorgegeben. Hinsichtlich der operativen Umsetzung der Rahmenkonzepte, namentlich die Identifikation, Begrenzung und Überwachung operationeller Risiken, hat die FINMA bestehende Anforderungen aus dem AMA-Approach ins Rundschreiben übernommen und diese damit auch für den Basisindikator- oder Standardansatz anwendbar gemacht.

Zeit zum Handeln

Die Identifikation, Messung, Bewirtschaftung und Überwachung von operationellen Risiken ist für die meisten Institute sicherlich mit erhöhten Kosten verbunden. Auch lässt sich das Kosten–Nutzen-Verhältnis einzelner von der FINMA gemachten Anforderungen kritisch hinterfragen. Die wachsenden operationellen Risiken aber einfach zu ignorieren, ist für jedes Institut mit Sicherheit noch viel kostspieliger.

Die Institute sollten die Zeit bis zur Inkraftsetzung des teilrevidierten Rundschreibens am 1. Januar 2015 nutzen um:

  • Die verschiedenen Grundsätze detailliert zu analysieren
  • Allfällige Lücken oder Schwachstellen im existierenden Risiko Framework zu identifizieren; und
  • Entsprechende Massnahmen zu definieren und umzusetzen.

Fazit

Betreffend die qualitativen Anforderungen an das Management von operationellen Risiken ist der grosse Fortschritt des teilrevidierten Rundschreibens “Operationelle Risiken Banken” die Konkretisierung und Harmonisierung der Anforderungen mit bereits bestehenden internationalen Regulierungen sowie der qualitativen Anforderungen für die drei Ansätze zur Bestimmung der Eigenmittelanforderungen.

Die Umsetzung des Rundschreibens wird trotz dieser Präzisierungen zu einigen Diskussionen und auch Interpretationen führen, da einzelne Anforderungen unklar formuliert (Regelung der Verantwortlichkeiten) oder eine Abstimmung mit anderen Regelwerken (Selbstregulierung zum Business Continuity Management oder FINMA Rundschreiben 08/24 „Überwachung und interne Kontrolle“) zu wenig vorgenommen wurden.

Weitere Informationen

Operational risks – in the regulators’ focus

On 1 October 2013, FINMA published the final version of the partially revised circular “Operational Risks − Banks”, detailing the qualitative requirements for managing operational risks and the handling of electronic client information.

Article in English


1 Comment

  1. Spaar Joëlle

    Sehr geehrter Herr Gareus
    Herzlichen Dank für Ihre Erläuterung Regulatorien/Regulatoren.
    Mit besten Grüssen
    Joëlle Spaar-Bessire

Leave a Reply

Your email address will not be published.