Häufig gestellte Fragen (FAQ) Rundschreiben 2008/21 Operationelle Risiken Banken (Letzte Änderung vom 3. Oktober 2014) A. Begriffe und Proportionalitätsprinzip 1. Wie grenzen sich operationelle Risiken von Rechts- und Compliance-Risiken ab? Rechts- und Compliance-Risiken stellen in einer Eigenmittelbetrachtung operationelle Risiken dar, die mit Eigenmitteln (nach Basisindikatoransatz, Standardansatz oder institutsspezifischem Ansatz) zu unterlegen sind. 2. Wie sieht der zeitliche Ablauf hinsichtlich der Anwendung des Proportionalitätsprinzips für Banken der FINMA-Kategorie 4 (Rz 117 und 118) in Bezug auf die Beurteilung der Erfüllung der im FINMA-RS 08/21 aufgeführten Kriterien als kleine Bank durch die Bank und die Prüfgesellschaft sowie hinsichtlich der diesbezüglichen Information an die FINMA aus? Die Bank schätzt bis zum 31. Dezember 2014 ihre Einstufung ( kleine Bank oder nicht kleine Bank gemäss Rz 117) ein. Die Prüfgesellschaft wird diese Einstufung (inkl. Ergebnis und Begründung) in ihrem Bericht zur aufsichtsrechtlichen Prüfung 2014 wiedergeben und kritisch beurteilen. 3. Kann die Einstufung (als kleine Bank vs. Bank) der Institute der FINMA-Kategorie 4 gemäss Proportionalitätsprinzip (Rz 117 und 118) für die Bestimmungen des Kapitels IV.B bzw. des Anhangs 3 unterschiedlich erfolgen? Ja. Art, Umfang, Komplexität und Risikogehalt der bankspezifischen Geschäftsaktivitäten können zu einer unterschiedlichen Einstufung führen. Die Einstufung gemäss FINMA-RS 08/21 darf nicht auf der Ebene einzelner Detailbestimmungen vorgenommen werden, sondern gilt jeweils für sämtliche Randziffern gemäss Rz 118 bzw. Rz 2 des Anhangs 3. Beispiel: Eine Bank kann für die Anwendung des Kapitels IV.B als kleine Bank und gleichzeitig und unabhängig davon für die Anwendung des Anhangs 3 als nicht kleine Bank eingestuft werden. Laupenstrasse 27, 3003 Bern Tel. +41 (0)31 327 91 00, Fax +41 (0)31 327 91 01 www.finma.ch
4. Darf die Einstufung als kleine Bank unterschiedlich von derjenigen gemäss FINMA- Rundschreiben 2015/2 Liquiditätsrisiken Banken erfolgen? Ja. Diese Einstufungen gemäss Proportionalitätsprinzipien der FINMA-RS 08/21 und FINMA-RS 15/2 können unabhängig voneinander erfolgen. 5. Kann die Einstufung der Institute der FINMA-Kategorie 4 als kleine Bank gemäss Proportionalitätsprinzip für das Einzelinstitut und für deren der konsolidierten Aufsicht unterstehende Gruppengesellschaft unterschiedlich erfolgen (z.b. Einzelinstitut als kleine Bank und Gruppe als nicht kleine Bank )? Ja. In einem solchen Fall müssen jedoch bei der Umsetzung auf Gruppenebene trotzdem sämtliche operationellen Risiken der Gruppe und damit auch die Risiken des als kleine Bank eingestuften Instituts berücksichtigt werden. B. Kapitel IV.B. Qualitative Grundanforderungen 6. Was sind Risiken mit weitreichender Tragweite (Rz 137)? Damit sind die wesentlichsten operationellen Risiken (top operational risks) gemeint, deren Bestimmung institutsspezifisch erfolgt und in der Regel einer Teilmenge sämtlicher operationeller Risiken des Instituts entspricht. 7. Wie sind die Begriffe Risikobereitschaft und Risikotoleranz zu verstehen? Die Begriffe Risikobereitschaft und Risikotoleranz und die damit verbundenen Anforderungen stellen den Kern der Grundanforderungen gemäss Kapitel IV.B des FINMA-RS 08/21 dar. Die Risikobereitschaft kann als bewusstes Eingehen von spezifischen individuellen Risiken mit weitreichender Tragweite (vgl. Frage 6) durch das Organ für die Oberleitung, Aufsicht und Kontrolle (nachfolgend Verwaltungsrat ) umschrieben werden. Sie ist folglich oft mit einem strategischen Entscheid bzw. einer Aussage zur Risikobereitschaft des Verwaltungsrats zu einem spezifischen individuellen operationellen Risiko (z.b. in Bezug auf Crossborder-Geschäfte, den Vertrieb von komplexen Produkten oder die Auslagerung von Personendaten ins Ausland) verbunden. In der Folge ist diese vom Verwaltungsrat festgelegte Risikobereitschaft mittels Toleranzgrenzen zu beschränken. Die daraus resultierende Risikotoleranz wird mit qualitativen und/oder quantitativen Elementen für jedes Risiko mit weitreichender Tragweite einzeln bestimmt. 2/6
8. Können Art und Typ der operationellen Risiken nach den Kategorien des Anhangs 2 des FINMA-RS 08/21 klassifiziert werden und wenn ja, ist eine Orientierung an diesem Anhang zwingend erforderlich? (Rz 121 i.v.m. Rz 126) Ja, wobei Art und Typ der Risiken sowohl in Anlehnung an Anhang 2 als auch mittels einer internen Terminologie oder Taxonomie festgelegt werden können. 9. Ist Ebene als organisatorische Ebene zu verstehen? (Rz 121 i.v.m. Rz 126) Ja, wobei die organisatorische Ebene sowohl hierarchisch (z.b. Gruppe, Institut, Geschäftsbereich, Einheit) als auch geografisch (z.b. Global, EMEA, Schweiz) bestimmt werden kann. 10. Ist die gemäss Rz 126 Bst. f festzulegende Klassifizierung mit den Kategorien im Anhang 2 gleichzusetzen? Nein. Anhang 2 fokussiert sich auf die Kategorisierung der Risiken und dient als Beispiel zur Bestimmung eines Risikokatalogs (siehe auch Frage 8). Eine einheitliche Klassifizierung nach Rz 126 Bst. f und damit eine Einstufung aller operationellen Risiken, die für die Bestimmung der Risiken mit weitreichender Tragweite dienlich ist, bedingt eine konsistente Verwendung der gleichen Klassifizierungsmethode für alle operationellen Risiken, inkl. der Rechts-, Compliance- und IT-Risiken. Dies erfolgt in der Regel in Form einer internen Heatmap, die die Risiken entlang der Dimensionen Häufigkeit und mögliche Schadenshöhe einstuft. Darin werden typischerweise auch Überlegungen zu möglichen reputationellen Schäden infolge eines operationellen Ereignisses einbezogen. 11. Was genau wird gemäss Rz 125 vom Verwaltungsrat genehmigt? Das Rahmenkonzept besteht in der Regel aus einem Hauptdokument (bspw. übergeordnete Weisung) sowie weiteren internen Vorschriften (bspw. übrige Weisungen und Arbeitsanweisungen). Das Dachdokument ist vom Verwaltungsrat zu genehmigen. Es enthält alle wichtigen Elemente des Rahmenkonzepts (Framework für das Management von operationellen Risiken) inkl. alle wichtigen unternehmensspezifischen Definitionen und Abgrenzungen (z.b. das Management von reputationellen Risiken oder Geschäftsrisiken). Es kann auf weitere Vorschriften verweisen sowie durch Anhänge ergänzt werden. 12. Welche Risikotransferstrategien gemäss Rz 127 sind denkbar? Ein bekanntes Beispiel eines Risikotransfers sind Versicherungsverträge mit Versichererungsunternehmen. Andere Möglichkeiten sind denkbar. 13. Was ist in Rz 131 unter proaktivem Management der operationellen Risiken zu verstehen? Konkret müssen Risikominderungsmassnahmen feststellbar sein, die nicht lediglich als Konsequenz (reaktiv) von gravierenden Fällen oder durch Feststellungen der Prüfgesellschaft, der internen 3/6
Revision oder der FINMA ausgelöst wurden. Sie sind als Ergebnis des proaktiven Managements von operationellen Risiken mit einer vorausschauenden Perspektive (z.b. Emerging Risks) von der Organisationseinheit für das Management von operationellen Risiken (Rz 123) als Massnahme definiert und als Handlungsempfehlung an das Senior Management mitgeteilt worden. 14. Ist Rz 136 deckungsgleich mit den Anforderungen der SBVg-Empfehlungen für das Business Continuity Management (BCM)? Gemäss FINMA-Rundschreiben 2008/10 "Selbstregulierung als Mindeststandard" sind die Empfehlungen der SBVg für das BCM ein anerkannter Mindeststandard. Falls das Risiko von Geschäftsunterbrüchen für das Institut ein operationelles Risiko mit weitreichender Tragweite (top operational risk) darstellt, wird die Umsetzung weitergehender qualitativer Massnahmen (im Sinne von Rz 137) erwartet, die über die als aufsichtsrechtliche Mindeststandards eingestuften Bestimmungen der SBVg hinaus gehen können. 15. Was ist mit umfassender und intensiver Steuerung und Kontrolle (Rz 137) gemeint? Die Steuerungs- und Kontrollmassnahmen werden im Einzelfall entsprechend der Risikoausprägung ausgestaltet. Folglich kommen bei der Steuerung und Kontrolle spezifischer operationeller Risiken mit weitreichender Tragweite sowohl zusätzliche Massnahmen (bspw. zusätzliche Überwachung, Berichterstattung und/oder Anweisungen für spezifische Risiken) wie auch eine intensivere bzw. häufigere Anwendung bestehender Massnahmen in Frage. C. Anhang 3: Umgang mit elektronischen Kundendaten 16. Wie konkret und aktuell soll das Inventar zur Datenspeicherung und -zugriff gemäss Rz 15 19 des Anhangs 3 ausgestaltet sein? Im Vordergrund der Anforderungen steht im Allgemeinen die Perspektive, in welchen Speichersystemen CID gespeichert sein können oder von wo auf diese zugegriffen und diese somit bearbeitet werden können, und nicht wo sich CID zu einem präzisen Zeitpunkt physisch oder virtuell konkret befinden. Die Aktualisierung des Inventars hat insbesondere bei strukturellen Änderungen (z.b. neue Standorte oder Erneuerung der technischen Infrastruktur) zeitnah zu erfolgen. Änderungen von geringer Tragweite sind regelmässig nachzuführen. 17. In welcher Granularität ist das Inventar auszugestalten? Die gemäss Rz 18 und 19 geforderte Granularität der Information ist unternehmensspezifisch entlang der CID-Kategorien und der daraus resultierenden Sicherheitsvorkehrungen (Grundsatz 2, Rz 125 127) zu bestimmen. 4/6
Infrastrukturkomponenten (wie geschäftliche oder private Mobilgeräte) können im Inventar nach den Kriterien Netzwerk, geographischer Standort usw. oder einer Kombination davon kategorisiert werden, wenn sie einheitlichen Sicherheitsvorkehrungen unterstellt und durch dieselbe Einheit (Rz 4 und 5) überwacht sind. Folglich können bspw. sämtliche privaten Mobilgeräte einer organisatorischen Einheit oder Region in einem einzigen Eintrag im Inventar aufgeführt werden. 18. Was ist mit Zugriff auf Massen-CID im Grundsatz 5 (insbesondere in der Rz 33) gemeint? Beim Zugriff auf Massen-CID und der resultierenden Bestimmung von Schlüsselmitarbeitenden sind insbesondere erweiterte Zugriffsrechte wie z.b. die Abfrage und Extraktion/Migration von grossen Datenmengen gemeint. In der Regel sind solche erweiterten Zugriffsrechte auf wenige IT- Mitarbeitende beschränkt. Im Gegensatz dazu fallen Einzelabfragen mit eingegrenzten Zugriffsrechten (z.b. von klassischen Schaltermitarbeitenden) nicht unter den Begriff des Zugriffs auf Massen-CID. Rz 33 ist zudem auch auf privilegierte Anwender (bspw. auch nicht IT-Mitarbeitende mit einfachen Leserechten) mit Zugriff auf höchst vertrauliche Unterkategorien von CID (z.b. chiffrierte Konten) anzuwenden. 19. Rz 35 bezieht sich auf Vorkehrungen wie z.b. das Führen von Log-Dateien. Sind einzelne Transaktionen (insbesondere einzelne Zugriffe) den einzelnen Usern zuzuordnen oder ist es ausreichend festzuhalten, wer solche Zugriffsmöglichkeiten besitzt bzw. besass? Es sind einzelne Transaktionen bzw. Zugriffe den einzelnen Usern zuzuordnen, wobei der Zugriff als Zugriff auf Massen-CID analog den Erläuterungen unter Antwort 18 zu verstehen ist. Das in Rz 35 als Beispiel angeführte Führen von Log-Dateien schliesst alternative geeignete Verfahren wie das in Rz 40 erwähnte Vier-Augen-Prinzip nicht aus. 20. Welche Elemente von Rz 40 und 41 sind von kleinen Banken anzuwenden? Rz 41 bezweckt den Schutz der CID-Daten bei der Entwicklung, Veränderung und Migration von Systemen. Als kleine Banken eingestufte Institute sind zwar gemäss Rz 2 des Anhangs 3 von der Umsetzung der Rz 41 ausgenommen, eine Anwendung der Anforderungen kann jedoch auf freiwilliger Basis erfolgen. Wendet ein als kleine Bank eingestuftes Institut bei der Entwicklung, Veränderung und Migration von Systemen (bspw. bei der Generierung von Testdaten oder bei der Zwischenspeicherung von Daten während der Datenmigration) keine Methoden zur Anonymisierung, Pseudonymisierung oder Verschlüsselung an (Arbeiten in Klartext ), so wendet es bei diesen Tätigkeiten die Vorgaben gemäss Rz 40 an. 21. Der Geltungsbereich von Rz 47 geht über die Definition einer signifikanten Auslagerung gemäss FINMA-Rundschreiben 2008/7 Outsourcing Banken hinaus. Dies wird ebenfalls durch Rz 54 ( Grossaufträge ) untermauert, welche Aktivitäten beschreibt, die nicht vom FINMA-RS 08/7 erfasst würden. Warum? Massgeblich für die Anwendbarkeit des Grundsatzes 9 ist der Zugriff auf Massen-CID und nicht Rz. 2 des FINMA-RS 08/7. Der Zugriff auf Massen-CID durch einen Outsourcing-Dienstleister kann das 5/6
Risiko einer Verletzung der CID-Vertraulichkeit erhöhen, unabhängig davon, ob diese ausgelagerte Dienstleistung eine im Sinne des FINMA-RS 08/7 "wesentliche" ist. 22. An wen kann ich mich bei zusätzlichen Fragen wenden? banks@finma.ch oder Tel. +41 (0)31 327 93 00. 6/6