Anpassungen der Anforderungen zur Corporate Governance bei Banken

Transkript

1 Your partner to navigate the challenges in investment and risk management. Anpassungen der Anforderungen zur Corporate Governance bei Banken ROSENWEG 3 BRANDSCHENKESTRASSE 41 CH-6340 BAAR/ZUG CH-8002 ZURICH SWITZERLAND SWITZERLAND Übersicht über die wesentlichen Änderungen INFO@INCUBEGROUP.COM Oktober 2016

2 Ausgangslage Anpassungen der Anforderungen zur Corporate Governance bei Banken Hintergrund Am 1. März 2016 informierte die FINMA über ihr Vorhaben, die aufsichtsrechtlichen Anforderungen an die Corporate Governance, das interne Kontrollsystem und das Risikomanagement für Banken zu straffen und zu modernisieren. Konkret geht es dabei um eine Totalrevision des Rundschreibens 2008/24 Überwachung und interne Kontrollen Banken sowie um Teilrevisionen der Rundschreiben 2008/21 Operationelle Risiken Banken und 2010/1 Vergütungssysteme. Wesentliche Änderungen Die Änderungen betreffen im Wesentlichen die folgenden drei Bereiche: 1 Corporate Governance 2 Operationelle Risiken 3 Vergütungssysteme Der neue Entwurf des Rundschreibens Corporate Governance Banken legt die Prinzipien für die Corporate Governance, das interne Kontrollsystem und das Risikomanagement fest. Neu eingeführt oder übernommen werden Grundsätze und Strukturen für Oberleitungsorgane und Geschäftsleitung, sowie konkrete Anforderungen an das Risikomanagement. Die Aufsichtspraxis zeigt, dass die operationellen Risiken von Banken vielfältiger geworden sind. Entsprechend soll das Rundschreiben 2008/21 ergänzt werden, wobei die Bestimmungen zur Corporate Governance wegfallen. Der Risikomanagementgrundsatz zur Technologieinfrastruktur erfasst neu namentlich auch ITund Cyberrisiken. Neu hinzu kommt ebenfalls ein Grundsatz zu den Risiken aus dem grenzüberschreitenden Dienstleistungsgeschäft. Im Prinzip sollen die Bestimmungen des Rundschreibens 2010/1 Vergütungssysteme nur noch bei Instituten angewendet werden, welche komplexe Vergütungssysteme und materiell relevante Vergütungshöhen aufweisen. Es ist somit nur noch für die beiden Grossbanken und grössten Versicherungskonzerne verbindlich. Zeitplan (Änderungen vorbehalten) Q Anhörungsfrist Gespräch SBVg Verabschiedung & Publikation Voraussichtliches Inkrafttreten mit einer Übergangsfrist von einem Jahr für bestimmte Rz 2

3 FINMA-RS 2016/x «Corporate Governance Banken» 1 RS 2016/x Ausgangslage Zum Zeitpunkt des Erlasses reflektierte das FINMA-RS 2008/24 gemäss FINMA das aktuelle Wissen und die zeitgemässe Praxis bezüglich Überwachung und internen Kontrollen bei Banken. Das Rundschreiben wurde 2006 von der EBK erlassen und seither nur punktuell angepasst. Im bisherigen Rundschreiben sind somit grundsätzliche Entwicklungen im Bereich der Corporate Governance und dem Risikomanagement nicht widerspiegelt. Änderungen Totalrevision des FINMA-RS 2008/24. Anpassungen insbesondere in den Bereichen «Corporate Governance» und «Risikomanagement» Neben den Kontrollaspekten werden für das Oberleitungsorgan und die Geschäftsleitung auch Grundsätze und Strukturen zur Steuerung der Bank eingeführt ( checks and balances ). Banken der Aufsichtskategorien 1 bis 3 werden neu je einen separaten Prüf- und Risikoausschuss einzurichten haben. Sämtliche Institute haben über ein durch die Geschäftsleitung ausgearbeitetes und durch das Oberleitungsorgan verabschiedetes Rahmenkonzept für das Risikomanagement zu verfügen. Alle Banken der Aufsichtskategorien 1 bis 3 haben eine Risikokontrolle zu unterhalten, die durch den CRO geführt wird. Bei Banken der Aufsichtskategorien 1 und 2 muss der CRO in der Geschäftsleitung vertreten sein. Für alle Banken werden minimale Vorgaben zur Offenlegung im Bereich Corporate Governance festgehalten. Banken der Aufsichtskategorien 1 bis 3 unterstehen einer erweiterten Publikationspflicht entlang den Corporate Governance Offenlegungsrichtlinien der SIX. Erwartete Auswirkungen Obwohl die Anforderungen im Rundschreiben grundsätzlich prinzipienorientiert sind und insbesondere Institute der Aufsichtskategorien 4 und 5 von der Umsetzung einzelner Erfordernisse explizit ausgenommen sind, wird ein Review der vorhandenen Dokumente empfohlen. Kleinere Anpassungen in den vorhandenen Dokumenten sind aufgrund der Totalrevision zu erwarten. 3

4 FINMA-RS 2008/21 «Operationelle Risiken Banken» 2 RS 2008/21 Ausgangslage Änderungen Im Zuge der technologischen Entwicklung mit einer vermehrten Digitalisierung des Finanzgeschäfts sowie einer erhöhten Auslagerung von Prozessen und Dienstleistungen an Drittparteien haben sich die IT- und insbesondere die Cyberrisiken in den letzten Jahren merklich erhöht. Neben den Erweiterungen bzgl. der IT- und Cyberrisiken sollen Aspekte zur Fortführung von kritischen Dienstleistungen im Insolvenzfall und Risiken im grenzüberschreitenden Finanzdienstleistungsgeschäft im RS mitaufgenommen werden. Teilrevision des FINMA-RS 2008/21. Die Anpassungen betreffen hauptsächlich das Kapitel IV: «Qualitative Anforderungen an den Umgang mit operationellen Risiken». Das FINMA-RS 2008/21 wird im Kapitel der qualitativen Anforderungen zum Risikomanagement um jene Teile entschlackt, die neu als "übergeordnete Anforderungen in das FINMA-RS «Corporate Governance Banken» integriert werden. Kleine Banken (FINMA-Kategorien 4 und 5) sind von gewissen Anforderungen (Grundsatz 2 «Identifizierung, Begrenzung und Überwachung» und 3 «Interne und Externe Berichterstattung») teilweise ausgenommen. Neu hinzu kommt Grundsatz 4 «Technologieinfrastruktur»: vgl. Anhang 1 Präzisierung bereits bestehender Rechtsgrundlagen bei der Abwicklung und Sanierung systemrelevanter Banken (Grundsatz 5) Die Risiken aus dem grenzüberschreitenden Dienstleistungsgeschäft (Grundsatz 6) müssen neu angemessen erfasst, begrenzt und kontrolliert werden. Ergänzung zu Anhang 3 «Umgang mit elektronischen Kundendaten»: Der Anhang 3 erfährt geringfügige Anpassungen bzgl. dem Datenspeicherort und -zugriff, der Auswahl, Überwachung und Schulung von Mitarbeitenden sowie der Risikominderung in Bezug auf die CID-Vertraulichkeit. Erwartete Auswirkungen Durch die Aufnahme der Grundsätze für IT- und Cyberrisiken muss ein neues IT-Konzept sowie ein umfassendes Risikomanagementkonzept eingeführt werden. Basierend auf den Ergänzungen bzgl. der Risiken aus dem grenzüberschreitenden Dienstleistungsgeschäft sind ggf. geringe Anpassungen in den entsprechenden Dokumenten vorzunehmen. 4

5 FINMA-RS 2010/01 «Vergütungssysteme» 3 RS 2010/01 Ausgangslage Im Prinzip sollen die Bestimmungen des Rundschreibens 2010/1 Vergütungssysteme nur noch bei Instituten angewendet werden, welche komplexe Vergütungssysteme und materiell relevante Vergütungshöhen aufweisen. Daher wird der entsprechende Schwellenwert für die zwingende Umsetzung dieses Rundschreibens angepasst. Änderungen Teilrevision des FINMA-RS 2010/01, Rz 3 & 6 Neu wird in Rz 3 explizit darauf hingewiesen, dass das Rundschreiben ergänzend zur Verordnung gegen übermässige Vergütungen bei börsenkotierten Aktiengesellschaften (VegüV) Anwendung findet. Zwingend sind die einzelnen Anforderungen nur noch für Institute, die erforderliche Eigenmittel 1 von mindestens CHF 10 Mia. (früher CHF 2 Mia.) halten müssen. Erwartete Auswirkungen Das Rundschreiben ist somit nur noch für die beiden Grossbanken und grössten Versicherungskonzerne verbindlich. Die FINMA kann jedoch andere Banken in begründeten Fällen dazu verpflichten, einzelne oder sämtliche Bestimmungen des Rundschreibens umsetzen zu lassen. 1 Mindestanforderungen gemäss Art. 7 ff. bzw. Art. 42 der ERV 5

6 Wie können wir Sie unterstützen? Diskussionsbasis unsere unmittelbare Handlungsempfehlung: Durchführung Gap-Analyse und Einführung eines umfassenden IT-Konzeptes Gap-Analyse Umsetzungsarbeiten Review der aktuellen «Risikolandkarte» (vorhandene Dokumenten, Weisungen, etc.) und Erstellung einer Lückenübersicht bzgl. der relevanten, vorgeschlagenen Änderungen nach FINMA-RS 2016/x, 2008/21 und 2010/1. Corporate Governance Rahmenkonzept zum Risikomanagement Internes Kontrollsystem IT-Konzept Projekt-Management / PMO Umsetzung IT-Konzept Implementierung eines IT-Konzepts Implementierung eines integrierten und umfassenden Risikomanagements bzgl. der vorhandenen Technologieinfrastruktur Implementierung eines umfassenden Konzepts zum Umgang mit Cyberrisiken Einführung eines umfassenden Risikomanagements (Rahmenkonzept) Erweiterungen auf verschiedenen Ebenen des Risikomanagements (u.a. Risikopolitik, Risikobewirtschaftung, Risikoappetit, Risikoerfassung, Risikomessung und Risikokommunikation) Grundsatz zu Risiken aus dem grenzüberschreitenden Dienstleistungsgeschäft Umsetzung übrige regulatorische Neuerungen Anpassung der Corporate Governance (u.a. minimale Vorgaben zur Offenlegung) Anpassungen IKS Welches sind Ihre konkreten Bedürfnisse? Wo benötigen Sie externe Unterstützung? Welches sind die nächsten Schritte? Dokumentationsarbeiten (Policies, Weisungen, Konzepte, usw.) 6

7 Ihre Kontakte Dr. Andreas Felber Partner Judith Ammann Senior Consultant

8 Grundsatz 4: Technologieinfrastruktur (1/2) Übersicht über die erweiterten Anforderungen Wichtigste neue Anforderungen: Die Geschäftsführung hat ein IT-Konzept und ein integriertes und umfassendes Risikomanagement für die Technologieinfrastruktur in Übereinstimmung mit der IT-Strategie und dem für das IT-Risiko im Rahmenkonzept definierten Risikoappetit zu implementieren. Die Geschäftsführung muss sicherstellen, dass das IT-Konzept in Anlehnung an die internationalen Standards das Vorhandensein der folgenden minimalen Aspekte gewährleistet: a. Aktuelle und vollständige Übersicht über die wesentlichsten Bestandteile der IT-Netzwerkumgebung mit Schnittstellen zwischen Systemen und Applikationen, b. Vorgaben und Prozesse, die eine explizite Identifikation und Beurteilung von inhärenten IT-Risiken sowie die Überwachung der Risikominderung und einen angemessenen Umgang mit den IT-Residualrisiken sicherstellen, c. Systematischer Prozess im Hinblick auf die Identifikation und Beurteilung von IT-Risiken im Rahmen der Sorgfaltsprüfung (Due Diligence) insbesondere bei Akquisitionen resp. Auslagerungen im IT-Bereich, d. Eindeutige Festlegung von Rollen, Aufgaben und Verantwortlichkeiten in Bezug auf Daten- und Prozessverantwortliche, e. Überwachungsprozess, der die Einhaltung von regulatorischen und institutsinternen Vorgaben für IT-Systeme und -Prozesse sicherstellt, f. Prozesse zur Stärkung des Bewusstseins der Mitarbeiter im Hinblick auf ihre Verantwortung zur Reduktion von IT-Risiken sowie Einhaltung der IT-Sicherheit und Verfügbarkeit, g. Technologie- und Investitionsplanung zur Sicherstellung einer angemessenen IT-Kapazität sowohl unter normalen Geschäftsbedingungen wie auch in Stressperioden sowie zur Reduktion der Komplexität und Fragmentierung der IT-Infrastruktur. Die Geschäftsführung hat zudem ein Konzept für den Umgang mit Cyberrisiken zu implementieren (z.b. als Bestandteil des IT-Konzepts). Die Geschäftsführung lässt insbesondere in Bezug auf die Sicherstellung eines angemessenen Schutzes der besonders schützenswerten Daten und Systemen vor Cyberattacken regelmässig Verwundbarkeitsanalysen durchführen. 8

9 Grundsatz 4: Technologieinfrastruktur (2/2) Übersicht über die erweiterten Anforderungen Wichtigste neue Anforderungen bzgl. Cyberrisiken: Das Konzept muss neben einer effektive Umsetzung durch geeignete Prozesse sowie einer eindeutige Festlegung von Aufgaben, Rollen und Verantwortlichkeiten weiter zwingend die folgenden Aspekte abdecken: a. Identifikation der institutsspezifischen Bedrohungspotenziale durch Cyberattacken, insbesondere in Bezug auf besonders schützenswerte Daten und Systeme, b. Schutz der Technologieinfrastruktur vor Cyberattacken, insbesondere im Hinblick auf die Verfügbarkeit der Systeme und die Integrität resp. Vertraulichkeit von Daten, c. Erfassung von Cyberattacken auf Basis einer systematischen Überwachung der Technologieinfrastruktur, d. Reaktion auf Cyberattacken durch zeitnahe und gezielte Massnahmen sowie bei wesentlichen, die Aufrechterhaltung des normalen Geschäftsbetriebs bedrohenden Cyberattacken in Abstimmung mit dem Business Continuity Management, und e. Sicherstellung einer zeitnahen Wiederherstellung des normalen Geschäftsbetriebs nach Cyberattacken durch geeignete Massnahmen. 9

10 This publication has been written in general terms and therefore cannot be relied on to cover specific situations; application of the principles set out will depend upon the particular circumstances involved and we recommend that you obtain professional advice before acting or refraining from acting on any of the contents of this publication. InCube Group AG would be pleased to advise readers on how to apply the principles set out in this publication to their specific circumstances. InCube Group AG accepts no duty of care or liability for any loss occasioned to any person acting or refraining from action as a result of any material in this publication. September 2016 InCube Group AG. All rights reserved. 10