Die «Messlatte» der Assurance Funktionen

Transkript

1 Die «Messlatte» der Assurance Funktionen 25 Jahre ISACA, Jubiläumstagung Alexandre Kurth, Alessandro Lana September 2014 Agenda 1. Regulatorische Anforderungen - CH im internationalen Kontext - Merkmalen und Risiken des CH Models - «Messlatte» für die Assurance Funktionen - Potentielle Nebenwirkungen 2. Fallbeispiel: FINMA RS 08/21 Operationelle Risiken - Operationelle Risiken - Flughöhe der Regulierung; Motivation und Roter Faden - Zusammenhang zwischen «Wording» und «Messlatte» 2

2 Fokus: Finma-Organisation FINMA Interne Revision Operations Geschäftsbereiche Banken Versicherungen Märkte Asset Management Enforcement Strategische Grundlagen Fokus der heutigen Präsentation 3 Fokus Dieser Vortrag soll im Licht der folgenden Präzisierungen gesehen werden: - Bei der FINMA sind wir im Geschäftsbereich Banken tätig. Themenbezogen sind wir mit den Bereichen Versicherung und Asset Management Branchen in gemeinsamen Aktivitäten tätig. - In unseren Tätigkeiten profitieren wir von allen Assurance Funktionen (Prüfgesellschaft, Internal Audit und Validierung der Beaufsichtigten, evtl externe Validierung). Prüfgesellschaften und interne Validierungseinheiten bilden dabei unsere Hauptansprechpartner. - Unser Team ist mit den folgenden Querschnittsthemen beauftragt: Quantitative Themen (z.b. LCR für die Liquidität) sowie qualitative Themen (z.b. Anforderungen zum Risk Management von operationelle Risiken und Liquiditätsrisiken). Regulatorische Pillar I Anforderungen (Eigenmittelanforderungen für Operationelle Risiken) sowie Pillar II Themen (Stress Testing generell und z.b. Hypothekarstresstesting). Wir beschäftigen uns nicht mit Financial Audit. 4

3 Aufsichts-Konzept Finma FINMA Prüfgesellschaft Beaufsichtigter Verwaltungsrat Internal Audit Modell-Validierung Assurance Function 5 Schweizer Regulierungsstrategie Grundsatz: Umsetzung der internationalen Standards: Als kleines Land sind international kompatible Standards essentiell. Bei spezifischen Gegebenheiten des Schweizer Finanzplatzes weicht die nationale Regulierung mittels strengerer oder lockerer Regeln von den internationalen Standards ab Swiss Finish So Grundsatz-orientiert wie möglich so Regel-basiert wie nötig. Daraus entsteht ein Bedürfnis eines starken Engagements im globalen Prozess der Festlegung der Standards sowie einer Koordination und Kooperation der internationalen Aufsichts- Aktivitäten. 6

4 Messlatte Minimale Erwartungen an Assurance Funktion Minimale Anforderungen Immer Erwartet Transparenz: Zusätzlich zu qualitativen und quantitativen Anforderungen ist die Transparenz die wichtigste minimale Anforderung, die von einer Assurance Funktion zu erwarten ist. - Aufzeigen von evtl. Mängel in Ressourcen / Kompetenzen / Informationen die für ein fundiertes Urteil notwendig wären. - Kritische Beurteilung (zwischen Assurance und Business oder zwischen Assurance Funktionen) Die Unabhängigkeit des Urteils ist zentral, um Vertrauen aufzubauen und zu bewahren. - Spezielle Herausforderung stellt dabei der oft technische Output der Spezialisten und der darauf aufgesetzte Filter der Management Funktion dar. - Umgang der Assurance Funktion bzgl fünf resp einem high rated issues. 7 Messlatte Erweiterte Erwartungen an Assurance Funktion Erweiterte Erwartungen Situativ Erwartet Einnahme der Rolle als Challenge des Business sowie von evtl. weiteren Assurance / Risiko / Compliance Funktionen. Benchmarks mit Peers Flexibilität um Urteil / Meinung zu revidieren/aktualisieren bei Existenz von neuen Informationen Die Aufsichtsbehörde (sowie auch Aufsichtsorgane wie ein VR) gehen nicht davon aus, dass alle Themen jedes Jahr überprüft werden: Risiko-orientiert mit einer gewissen Zyklizität 8

5 Klischees über FINMA Aufgrund der zahlreichen Regulierungs- Anforderungen bleibt keine Zeit für Risk Management/Control. Regulierungs-Anforderungen setzen falschen Fokus, vernachlässigen wichtigere Themen. Regulierungs- Anforderungen führen zu einer «deterministischen Prüfung» [falls eine Bank A erfüllt, B und C sind dann als Prüfungsergebnis «automatisch» gegeben] Wesentliche potentielle Nebenwirkungen Alle regulatorischen Anforderungen sind implizit potenziell «reaktiv» und können «Feuerwehr-Übungen» auslösen. Dazu kommen die Begleiterscheinungen von Regulierungswellen (Tiefe, Fokus, Komplexität). Es braucht eine «pro-aktive» Formulierung und Gestaltung der Erwartungen/Anforderungen «Vorausschauende» Elemente müssen mitberücksichtigt werden (qualitativ sowie quantitativ) 9 Potenzielle Nebenwirkungen von regulatorischen Anforderungen Keine Lösung / falsches Verhalten der Aufsicht : «Es liegt in der Verantwortung der Assurance Funktion»; Die «Verantwortung» wird sowieso geteilt! Lösung: setzen/arbeiten auf das Vertrauen zwischen Aufsicht und Assurance Funktionen (z.b. Fähigkeit sich in die Rolle des anderen zu sehen/verstehen) Potenzielle Nebenwirkungen einer ungemessene Prüfung der Anforderungen Klischees über Assurance Funktionen generiert nur Kosten zu Lasten des Business / geringer Mehrwert. arbeitet oft im Interesse / in Abstimmung des Business (z.b. aufgrund unzureichender Unabhängigkeit) Starke Rotation der Ressourcen ermöglicht keine effiziente Prüfung («man muss alles jedes Jahr neu erklären») Wesentliche potentielle Nebenwirkungen Als Konsequenz dieser potenziellen Nebenwirkungen von regulatorischen Anforderungen kann Assurance Funktion auch potenziell lediglich «reaktiv» agieren. Es braucht eine «pro-aktive» Auswahl von möglichen Themen / Vertiefungen, welche vorausschauende Elemente hervorheben (e.g. Emerging Risks). Der Dialog (inkl. divergierender Meinungen) mit der Aufsicht für die Abstimmung / Koordination der Prüfprogramme steht im Vordergrund. Aufseher und zum Teil Prüfer setzten in den letzten Jahren zu oft auf die vorgegebene «regulatorische Agenda». Keine Lösung / falsches Verhalten der Aufsicht : «Es liegt in der Verantwortung der Assurance Funktion»; Die «Verantwortung» wird sowieso geteilt! Lösung: setzen/arbeiten auf das Vertrauen zwischen Aufsicht und Assurance Funktionen (z.b. Fähigkeit sich in die Rolle des anderen zu sehen/verstehen) 10

6 Agenda 1. Regulatorische Anforderungen - CH im internationalen Kontext - Merkmalen und Risiken des CH Models - «Messlatte» für die Assurance Funktionen - Potentielle Nebenwirkungen 2. Fallbeispiel: FINMA RS 08/21 Operationelle Risiken - Operationelle Risiken - Flughöhe der Regulierung; Motivation und Roter Faden - Zusammenhang zwischen «Wording» und «Messlatte» 11 Rundschreiben 08/21 Op Risiken Teilrevision 1. Januar 2015: Themen und neue Struktur Bisherige Struktur Neue Struktur (1. Januar 2015) I. Gegenstand II. Begriff III. Der Basisindikatoransatz (BIA) IV. Der Standardabsatz (SA) V. Institutsspezifische Ansätze (AMA) VI. (Weitere Themen) Anhang 1: Qualitative Grundanforderungen Anhang 2: Kategorisierung der Geschäftsfelder Anhang 3: Übersicht zur Klassifikation von Ereignistypen Anhang 4: Vergleich zwischen FINMA RS und Basler Mindeststandards I. Gegenstand II. Begriff III. Eigenmittelanforderungen a. Der Basisindikatoransatz (BIA) b. Der Standardabsatz (SA) c. Institutsspezifische Ansätze (AMA) d. (Weitere Themen) IV. Qualitative Anforderungen a. Proportionalitätsprinzip b. Qualitative Grundanforderungen c. Risikospezifische Qualitative Anforderungen Anhang 1: Kategorisierung der Geschäftsfelder Anhang 2: Übersicht zur Klassifikation von Ereignistypen Anhang 3: Umgang mit elektronischen Kundendaten 12

7 13 «Flughöhe» Grund- vs. Risikospezifische qualitative Anforderungen Die Umsetzung der Grundanforderungen muss von der zentrale Op Risk Einheit(en) gesteuert werden (z.b. Methoden und Systeme), welche für die Konsistenz in der dezentralen Umsetzung der Anforderungen (unabhängig von der spezifischen Risiken) zuständig sein muss: Governance Identifikation, Kategorisierung und Klassifizierung Überwachung und Berichterstattung Grundanforderungen Risikospezifische Anforderungen Methoden und Systeme für die Identifizierung, Begrenzung und Beurteilung von spezifische Risiken benötigen hingegen Risikospezifische Anforderungen. Diese ergänzen in der Regel die Grundanforderungen mit weiteren Maßnahmen (z.b. Weisungen, spezifische Kontrollen, usw.) und benötige zusätzliche Ressourcen -> Beispiel FINMA: Umgang mit elektronischen Kundendaten -> Weitere Beispiele: Anforderungen zu BCM, X- Border Geschäfte, Suitability, usw. Neue Struktur des Rundschreiben; Rz Umgang mit elektronischen Kundendaten -> Anhang 3 Proportionalitätsprinzip: Erfüllungsgrad ist proportional zur Grösse, Komplexität und Exposition bzgl. operationellen Risiken des Instituts dadurch wird ein Proportionalitätsprinzip benötigt Umgang mit elektronischen KD Herausforderung: Eine angemessene Flughöhe festlegen «zahnloser Tiger» Stellungnahme SBVg, 27. Juni 2013 Flughöhe Handelszeitung, 18. Juli 2013 «Check List» 14

8 Teilrevision 1. Januar 2015 Motivation Qualitative Anforderungen 15 Kapitel IV Qualitative Anforderungen Roter Faden und Grundsätze 6 Grundsätze 1. Verantwortlichkeiten 2. Rahmenkonzept und Kontrollsystem 3. Identifizierung, Begrenzung und Überwachung 4. Interne und externe Berichterstattung 5. Technologieinfrastruktur 6. Kontinuität bei Geschäftsunterbrechung Roter Faden: Verantwortlichkeiten, Bewusstsein und laufende Überwachung bilden den Kern der sechs Grundsätze. Dies wird insbesondere durch eine konsequente Festlegung der Risikobereitschaft und -Toleranz für alle wichtigen operationellen Risiken erreicht. 16

9 Umgang mit elektronischen KD Roter Faden und Grundsätze 9 Grundsätze 1. Governance 2. Kundenidentifikationsdaten (KID) 3. Datenspeicherort und zugriff 4. Sicherheitsstandard für die Infrastruktur und Technologie 5. Auswahl, Überwachung und Schulung von Mitarbeitenden, die auf KID Zugriff haben 6. Risikoidentifikation und kontrolle in Bezug auf die CID-Vertraulichkeit 7. Risikominderung in Bezug auf die KID-Vertraulichkeit 8. Vorfälle im Zusammenhang mit KID-Vertraulichkeit, interne und externe Kommunikation 9. Outsourcing / Grossaufträge Roter Faden: Vollständiges/umfassendes Rahmenkonzept. Die Geschäftsführung beauftragt eine unabhängige Einheit als Kontrollfunktion, die Rahmenbedingungen zur Sicherstellung der Vertraulichkeit von Kundendaten zu schaffen und aufrechtzuerhalten. 17 Beispiel: Mit was fängt man an? -> Definition der Kundendaten, welche zu schützen sind. Zusammenhang zwischen Wording und Messlatte (1/3). Was will die FINMA genau? Beispiel eines «unglücklichen» Interpretationspielraumes:.. Anforderungen zur Information an die Kunden (RS Outsourcing) für «anonymisierte Kundendaten», die im Ausland ausgelagert sind.. Was ist mit «anonymisiert» gemeint? -.. dass es keine Kundendaten mehr sind? -.. pseudonymisierte Daten, die mittels Pseudonym wieder dem Kunden zugeordnet werden können? -.. verschlüsselte Daten, die durch den entsprechenden Schlüssel als Klartext wieder hergestellt werden können? -> Siehe Definitionen im Glossar zum RS «Operationelle Risiken» Fazit: unpräzises Wording kann zur relevante Missverständnissen / ungleiche Behandlungen zwischen Beaufsichtigten führen 18

10 Zusammenhang zwischen Wording und Messlatte (2/3). Was will die FINMA genau? Beispiel eines «gewünschtes» Interpretationspielraum:.. Qualitative Anforderungen zum «pro-aktiven Management der operationellen Risiken» (RS Op Risk), die im Ausland ausgelagert sind.. Was ist mit «pro-aktiv» gemeint?.. steht im Gegensatz zu nur reaktiv (nicht lediglich als Konsequenz von gravierenden Fälle oder durch Festlegungen der Revisionsstellen oder der FINMA ausgelöst wurden).. unten einer vorausschauenden Perspektive (z.b. Emerging Risks).. aber. Fazit: Das Wording von Anforderungen insbesondere im Bereich von Themen wie Risikomanagement Kultur / Verhalten darf Interpretationsspielraum ermöglichen, weil dieses explizit mit der «Messlatte» und den Erwartungen an die Assurance Funktionen im Verhältnis steht. 19 Zusammenhang zwischen Wording und Messlatte (3/3) Tages Anzeiger; 10. Oktober 2013 FINMA: «Erhöhte Sicherheitsanforderungen müssen für privilegierte IT-Benutzer und Anwender mit funktionalem Zugriff auf Massen-CID ( Schlüsselmitarbeitenden ) gelten. Ihnen ist besondere Aufmerksamkeit zu schenken. FINMA: «Der Datenzugriff muss klar geregelt werden und darf nur auf einer strikten Need to know-basis erfolgen.» 20

11 Takeaways Die richtige Flughöhe einer Regulierung ist das Ergebnis eines themenspezifischen Kompromisses: «So Grundsatz-orientiert wie möglich so Regel-basiert wie nötig» Unabhängig ob die resultierende Regulierung als «zahnloser Tiger» oder als «Check List» wahrgenommen wird, ein klares Verständnis der Beweggründe/Motivation der Regulierung ist für ihre erfolgreiche Implementierung zentral Weil die Gefahr besteht, dass eine Regulierung nur «reaktiv» zur Wirkung kommt, braucht es eine «pro-aktive» Formulierung und Gestaltung der Erwartungen/Anforderungen Die Messlatte für die Assurance Funktionen basiert auf «minimalen» sowie «situativen» Erwartungen, die diese «proaktive» Komponente einer Regulierung hervorheben 21 Anhang A Glossar zum RS «Operationelle Risiken» 22

12 Anhang B Fokus: Risikobereitschaft und Toleranz Fallbeispiel Rechtsrisiken im X-Border Geschäft X-Border Geschäfte mit Land X? - Falls Ja, dann ist die (Op Risiko) Bereitschaft für die inhärente Rechtsrisiken > 0 Bereitschaft >0 heißt implizit, dass die Toleranz unbeschränkt ist? - Nein (in der Regel) -> Interne Vorschriften Ist mit der Bestimmung von internen Vorschriften realistisch die Toleranz = 0 zu setzen? - Nein (Ausnahmen, mangelhafte Abklärungen, Betrug, etc.) wird es immer geben -> Bestimmung der Toleranz Überwachung: Verletzungen der Risikotoleranz, gravierende Ereignisse oder einer neue Beurteilung der Risiken können zu einer Anpassung der Risikotoleranz, Maßnahmen sowie im Extremfall zu einer Änderung der Bereitschaft bei spezifischen operationellen Risiken führen (z.b. Exit aus X-Border Geschäft). Welches Organ sollte einen solchen Entscheid treffen? - Das Organ, welches die langfristigen Perspektiven/Strategie eines Instituts festlegt. Geht nach einem solchen Entscheid die Risikotoleranz auf 0? - In der Regel nicht, denn der Verkauf eines Geschäftes und/oder Übermittlung von Kunden an andere Institute wird nicht über Nacht erfolgen. 23 Kontakte Alexandre Kurth Leiter Aggregierte Risiken und Szenario Analyse alexandre.kurth@finma.ch Alessandro Lana Senior Specialist, Risk Management alessandro.lana@finma.ch 24