Rundschreiben 2008/21 Operationelle Risiken Banken



Ähnliche Dokumente
Rundschreiben 2008/7 Outsourcing Banken

Prüfprogramm Risikodokumentation nach Art. 196 AVO resp. Art. 204 AVO

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

D i e n s t e D r i t t e r a u f We b s i t e s

Anpassungen am Eigenmittelausweis für Marktrisiken: technische Vorausinformationen

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Juni 2012 Richtlinien betreffend Mindestanforderungen bei Hypothekarfinanzierungen

Die rechtsformunabhängige Revisionspflicht

Pensionskasse der Burkhalter Gruppe Zürich. Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2013

Personal-Vorsorgestiftung der Aluminium-Laufen AG Liesberg Liesberg. Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2014

Häufig wiederkehrende Fragen zur mündlichen Ergänzungsprüfung im Einzelnen:


Übersetzung des englischen Berichts. SAS 70 Type II. Bericht über implementierte Kontrollen und Wirksamkeit eingerichteter Kontrollverfahren.

FRAGE 39. Gründe, aus denen die Rechte von Patentinhabern beschränkt werden können

Schadenversicherung Zulassung von Forderungen gegen Rückversicherer zur Bestellung des gebundenen Vermögens

Der beste Plan für Office 365 Archivierung.

Der schnelle Weg zu Ihrer eigenen App

Ordner Berechtigung vergeben Zugriffsrechte unter Windows einrichten

Dok.-Nr.: Seite 1 von 6

Neue Ideen für die Fonds- und Asset Management Industrie

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Erstellung von Prozessbeschreibungen. PB 4.2-1: Erstellung von Prozessbeschreibungen

Wenn Sie das T-Online WebBanking das erste Mal nutzen, müssen Sie sich zunächst für den Dienst Mobiles Banking frei schalten lassen.

Welchen Weg nimmt Ihr Vermögen. Unsere Leistung zu Ihrer Privaten Vermögensplanung. Wir machen aus Zahlen Werte

Erläuternder Bericht des Vorstands der Demag Cranes AG. zu den Angaben nach 289 Abs. 5 und 315 Abs. 2 Nr. 5 des Handelsgesetzbuches (HGB)

Februar Newsletter der all4it AG

Gründe für fehlende Vorsorgemaßnahmen gegen Krankheit

DER SELBST-CHECK FÜR IHR PROJEKT

10 IDG (Gesetz über die Information und den Datenschutz, LS 170.4) 24 IDV (Verordnung über die Information und den Datenschutz, LS 170.

Payment Card Industry (PCI) Datensicherheitsstandard. Änderungsübersicht von PCI-DSS Version 3.0 auf 3.1

Fragen und Antworten

Registrierung von Abschlussprüfern aus Drittländern Formular A (DE)

Checkliste «Datenbekanntgabe»

Fall 8: IKS-Prüfung nicht dokumentiert

Dokumentation. Black- und Whitelists. Absenderadressen auf eine Blacklist oder eine Whitelist setzen. Zugriff per Webbrowser

Datenschutz im Alters- und Pflegeheim

Sehr geehrter Herr Pfarrer, sehr geehrte pastorale Mitarbeiterin, sehr geehrter pastoraler Mitarbeiter!

(beschlossen in der Sitzung des Fachsenats für Unternehmensrecht und Revision am 1. Dezember 2010 als Fachgutachten KFS/VU 2) Inhaltsverzeichnis

5. Business Rules Der Business Rules Ansatz. 5. Business Rules. Grundbegriffe um Umfeld von Business-Rule-Management-Systemen kennen und

Business Model Canvas

Was taugt der Wertpapierprospekt für die Anlegerinformation?

Video Unlimited -Nutzungsbeschränkungen

ERGEBNISSE DER CW-MARKTSTUDIE COLLABORATION AUS DER CLOUD IM UNTERNEHMENSEINSATZ IN TABELLARISCHER FORM

Delta Audit - Fragenkatalog ISO 9001:2014 DIS

Einleitende Bemerkungen

November 2013 Richtlinien über die Protokollierungspflicht nach Art. 24 Abs. 3 des Bundesgesetzes über die kollektiven Kapitalanlagen (KAG)

FORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager

Windows 8 Lizenzierung in Szenarien

Probleme kann man nie mit derselben Denkweise lösen, durch die sie entstanden sind. Albert Einstein BERATUNG

Wissenswertes über die Bewertung. Arbeitshilfe

IMPRESSUM / DISCLAIMER:

Risikomanagement Gesetzlicher Rahmen SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement

Das neue Reisekostenrecht 2014

Der Wunschkunden- Test

Aufgabenheft. Fakultät für Wirtschaftswissenschaft. Modul Business/IT-Alignment , 09:00 11:00 Uhr. Univ.-Prof. Dr. U.

FRAGE- UND ANTWORTKATALOG ZUM THEMA NAMENSAKTIE

erfahren unabhängig weitsichtig

Reglement über die wirkungsorientierte Steuerung der Stadtverwaltung (NPM-Reglement)

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Anwendungsbeispiele. Neuerungen in den s. Webling ist ein Produkt der Firma:

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Internet- und -Überwachung in Unternehmen und Organisationen

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Weisungen OAK BV W 05/2014

Wesentliche Bilanzierungsunterschiede zwischen HGB und IFRS dargestellt anhand von Fallbeispielen

Online bezahlen mit e-rechnung

Rundschreiben 1/2014 über die interne Qualitätssicherung in Revisionsunternehmen (RS 1/2014)

Rechnungslegungshandbuch

Weiterbildung zum Prozessmanagement Fachmann

Elternumfrage Kita und Reception. Campus Hamburg

SOZIALVORSCHRIFTEN IM STRAßENVERKEHR Verordnung (EG) Nr. 561/2006, Richtlinie 2006/22/EG, Verordnung (EU) Nr. 165/2014

Glaube an die Existenz von Regeln für Vergleiche und Kenntnis der Regeln

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Anleitung zur Benutzung des jobup.ch Stellensuchendekontos

1. Einleitung Abfrage des COON-Benutzernamens Ändern des Initial-Passwortes Anmelden an der COON-Plattform...

Ihr Patientendossier. Ihre Rechte

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai Burkhard Kesting

Juli 2014 Richtlinien betreffend Mindestanforderungen bei Hypothekarfinanzierungen

Bei der Tagung werden die Aspekte der DLRL aus verschiedenen Perspektiven dargestellt. Ich habe mich für die Betrachtung der Chancen entschieden,

POP -Konto auf iphone mit ios 6 einrichten

P030 The Open Group Architecture Framework (TO-GAF) als Unternehmensarchitektur Methode für die Bundesverwaltung

Vergabe von Eigenhypotheken

»Kredite einfach vermitteln«5 Jahre. Noch einfacher. Noch besser.

MaRisk. Beratung zu MaRisk AT 7.2

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

FAQ 04/2015. Auswirkung der ISO auf 3SE53/3SF13 Positionsschalter.

«Zertifizierter» Datenschutz

DNotI. Fax - Abfrage. GrEStG 1 Abs. 3 Anteilsvereinigung bei Treuhandverhältnissen. I. Sachverhalt:

Datenschutzbeauftragte

IDV Assessment- und Migration Factory für Banken und Versicherungen

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management

«Eine Person ist funktional gesund, wenn sie möglichst kompetent mit einem möglichst gesunden Körper an möglichst normalisierten Lebensbereichen

A585 Mailserver. IKT-Standard. Ausgabedatum: Version: Ersetzt: Genehmigt durch: Informatiksteuerungsorgan Bund, am

Was meinen die Leute eigentlich mit: Grexit?

Klausur Informationsmanagement

Aufbau eines Compliance Management Systems in der Praxis. Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt,

Mitarbeitergespräch. Gesprächsleitfaden. Mitarbeiter/Mitarbeiterin. Führungskraft: Datum: Name: Vorname: Abteilung, Bereich, Organisationseinheit:

Öffentlichen Versicherung Bremen, Bremen Landschaftlichen Brandkasse Hannover, Hannover Provinzial Lebensversicherung Hannover, Hannover

Transkript:

Häufig gestellte Fragen (FAQ) Rundschreiben 2008/21 Operationelle Risiken Banken (Letzte Änderung vom 3. Oktober 2014) A. Begriffe und Proportionalitätsprinzip 1. Wie grenzen sich operationelle Risiken von Rechts- und Compliance-Risiken ab? Rechts- und Compliance-Risiken stellen in einer Eigenmittelbetrachtung operationelle Risiken dar, die mit Eigenmitteln (nach Basisindikatoransatz, Standardansatz oder institutsspezifischem Ansatz) zu unterlegen sind. 2. Wie sieht der zeitliche Ablauf hinsichtlich der Anwendung des Proportionalitätsprinzips für Banken der FINMA-Kategorie 4 (Rz 117 und 118) in Bezug auf die Beurteilung der Erfüllung der im FINMA-RS 08/21 aufgeführten Kriterien als kleine Bank durch die Bank und die Prüfgesellschaft sowie hinsichtlich der diesbezüglichen Information an die FINMA aus? Die Bank schätzt bis zum 31. Dezember 2014 ihre Einstufung ( kleine Bank oder nicht kleine Bank gemäss Rz 117) ein. Die Prüfgesellschaft wird diese Einstufung (inkl. Ergebnis und Begründung) in ihrem Bericht zur aufsichtsrechtlichen Prüfung 2014 wiedergeben und kritisch beurteilen. 3. Kann die Einstufung (als kleine Bank vs. Bank) der Institute der FINMA-Kategorie 4 gemäss Proportionalitätsprinzip (Rz 117 und 118) für die Bestimmungen des Kapitels IV.B bzw. des Anhangs 3 unterschiedlich erfolgen? Ja. Art, Umfang, Komplexität und Risikogehalt der bankspezifischen Geschäftsaktivitäten können zu einer unterschiedlichen Einstufung führen. Die Einstufung gemäss FINMA-RS 08/21 darf nicht auf der Ebene einzelner Detailbestimmungen vorgenommen werden, sondern gilt jeweils für sämtliche Randziffern gemäss Rz 118 bzw. Rz 2 des Anhangs 3. Beispiel: Eine Bank kann für die Anwendung des Kapitels IV.B als kleine Bank und gleichzeitig und unabhängig davon für die Anwendung des Anhangs 3 als nicht kleine Bank eingestuft werden. Laupenstrasse 27, 3003 Bern Tel. +41 (0)31 327 91 00, Fax +41 (0)31 327 91 01 www.finma.ch

4. Darf die Einstufung als kleine Bank unterschiedlich von derjenigen gemäss FINMA- Rundschreiben 2015/2 Liquiditätsrisiken Banken erfolgen? Ja. Diese Einstufungen gemäss Proportionalitätsprinzipien der FINMA-RS 08/21 und FINMA-RS 15/2 können unabhängig voneinander erfolgen. 5. Kann die Einstufung der Institute der FINMA-Kategorie 4 als kleine Bank gemäss Proportionalitätsprinzip für das Einzelinstitut und für deren der konsolidierten Aufsicht unterstehende Gruppengesellschaft unterschiedlich erfolgen (z.b. Einzelinstitut als kleine Bank und Gruppe als nicht kleine Bank )? Ja. In einem solchen Fall müssen jedoch bei der Umsetzung auf Gruppenebene trotzdem sämtliche operationellen Risiken der Gruppe und damit auch die Risiken des als kleine Bank eingestuften Instituts berücksichtigt werden. B. Kapitel IV.B. Qualitative Grundanforderungen 6. Was sind Risiken mit weitreichender Tragweite (Rz 137)? Damit sind die wesentlichsten operationellen Risiken (top operational risks) gemeint, deren Bestimmung institutsspezifisch erfolgt und in der Regel einer Teilmenge sämtlicher operationeller Risiken des Instituts entspricht. 7. Wie sind die Begriffe Risikobereitschaft und Risikotoleranz zu verstehen? Die Begriffe Risikobereitschaft und Risikotoleranz und die damit verbundenen Anforderungen stellen den Kern der Grundanforderungen gemäss Kapitel IV.B des FINMA-RS 08/21 dar. Die Risikobereitschaft kann als bewusstes Eingehen von spezifischen individuellen Risiken mit weitreichender Tragweite (vgl. Frage 6) durch das Organ für die Oberleitung, Aufsicht und Kontrolle (nachfolgend Verwaltungsrat ) umschrieben werden. Sie ist folglich oft mit einem strategischen Entscheid bzw. einer Aussage zur Risikobereitschaft des Verwaltungsrats zu einem spezifischen individuellen operationellen Risiko (z.b. in Bezug auf Crossborder-Geschäfte, den Vertrieb von komplexen Produkten oder die Auslagerung von Personendaten ins Ausland) verbunden. In der Folge ist diese vom Verwaltungsrat festgelegte Risikobereitschaft mittels Toleranzgrenzen zu beschränken. Die daraus resultierende Risikotoleranz wird mit qualitativen und/oder quantitativen Elementen für jedes Risiko mit weitreichender Tragweite einzeln bestimmt. 2/6

8. Können Art und Typ der operationellen Risiken nach den Kategorien des Anhangs 2 des FINMA-RS 08/21 klassifiziert werden und wenn ja, ist eine Orientierung an diesem Anhang zwingend erforderlich? (Rz 121 i.v.m. Rz 126) Ja, wobei Art und Typ der Risiken sowohl in Anlehnung an Anhang 2 als auch mittels einer internen Terminologie oder Taxonomie festgelegt werden können. 9. Ist Ebene als organisatorische Ebene zu verstehen? (Rz 121 i.v.m. Rz 126) Ja, wobei die organisatorische Ebene sowohl hierarchisch (z.b. Gruppe, Institut, Geschäftsbereich, Einheit) als auch geografisch (z.b. Global, EMEA, Schweiz) bestimmt werden kann. 10. Ist die gemäss Rz 126 Bst. f festzulegende Klassifizierung mit den Kategorien im Anhang 2 gleichzusetzen? Nein. Anhang 2 fokussiert sich auf die Kategorisierung der Risiken und dient als Beispiel zur Bestimmung eines Risikokatalogs (siehe auch Frage 8). Eine einheitliche Klassifizierung nach Rz 126 Bst. f und damit eine Einstufung aller operationellen Risiken, die für die Bestimmung der Risiken mit weitreichender Tragweite dienlich ist, bedingt eine konsistente Verwendung der gleichen Klassifizierungsmethode für alle operationellen Risiken, inkl. der Rechts-, Compliance- und IT-Risiken. Dies erfolgt in der Regel in Form einer internen Heatmap, die die Risiken entlang der Dimensionen Häufigkeit und mögliche Schadenshöhe einstuft. Darin werden typischerweise auch Überlegungen zu möglichen reputationellen Schäden infolge eines operationellen Ereignisses einbezogen. 11. Was genau wird gemäss Rz 125 vom Verwaltungsrat genehmigt? Das Rahmenkonzept besteht in der Regel aus einem Hauptdokument (bspw. übergeordnete Weisung) sowie weiteren internen Vorschriften (bspw. übrige Weisungen und Arbeitsanweisungen). Das Dachdokument ist vom Verwaltungsrat zu genehmigen. Es enthält alle wichtigen Elemente des Rahmenkonzepts (Framework für das Management von operationellen Risiken) inkl. alle wichtigen unternehmensspezifischen Definitionen und Abgrenzungen (z.b. das Management von reputationellen Risiken oder Geschäftsrisiken). Es kann auf weitere Vorschriften verweisen sowie durch Anhänge ergänzt werden. 12. Welche Risikotransferstrategien gemäss Rz 127 sind denkbar? Ein bekanntes Beispiel eines Risikotransfers sind Versicherungsverträge mit Versichererungsunternehmen. Andere Möglichkeiten sind denkbar. 13. Was ist in Rz 131 unter proaktivem Management der operationellen Risiken zu verstehen? Konkret müssen Risikominderungsmassnahmen feststellbar sein, die nicht lediglich als Konsequenz (reaktiv) von gravierenden Fällen oder durch Feststellungen der Prüfgesellschaft, der internen 3/6

Revision oder der FINMA ausgelöst wurden. Sie sind als Ergebnis des proaktiven Managements von operationellen Risiken mit einer vorausschauenden Perspektive (z.b. Emerging Risks) von der Organisationseinheit für das Management von operationellen Risiken (Rz 123) als Massnahme definiert und als Handlungsempfehlung an das Senior Management mitgeteilt worden. 14. Ist Rz 136 deckungsgleich mit den Anforderungen der SBVg-Empfehlungen für das Business Continuity Management (BCM)? Gemäss FINMA-Rundschreiben 2008/10 "Selbstregulierung als Mindeststandard" sind die Empfehlungen der SBVg für das BCM ein anerkannter Mindeststandard. Falls das Risiko von Geschäftsunterbrüchen für das Institut ein operationelles Risiko mit weitreichender Tragweite (top operational risk) darstellt, wird die Umsetzung weitergehender qualitativer Massnahmen (im Sinne von Rz 137) erwartet, die über die als aufsichtsrechtliche Mindeststandards eingestuften Bestimmungen der SBVg hinaus gehen können. 15. Was ist mit umfassender und intensiver Steuerung und Kontrolle (Rz 137) gemeint? Die Steuerungs- und Kontrollmassnahmen werden im Einzelfall entsprechend der Risikoausprägung ausgestaltet. Folglich kommen bei der Steuerung und Kontrolle spezifischer operationeller Risiken mit weitreichender Tragweite sowohl zusätzliche Massnahmen (bspw. zusätzliche Überwachung, Berichterstattung und/oder Anweisungen für spezifische Risiken) wie auch eine intensivere bzw. häufigere Anwendung bestehender Massnahmen in Frage. C. Anhang 3: Umgang mit elektronischen Kundendaten 16. Wie konkret und aktuell soll das Inventar zur Datenspeicherung und -zugriff gemäss Rz 15 19 des Anhangs 3 ausgestaltet sein? Im Vordergrund der Anforderungen steht im Allgemeinen die Perspektive, in welchen Speichersystemen CID gespeichert sein können oder von wo auf diese zugegriffen und diese somit bearbeitet werden können, und nicht wo sich CID zu einem präzisen Zeitpunkt physisch oder virtuell konkret befinden. Die Aktualisierung des Inventars hat insbesondere bei strukturellen Änderungen (z.b. neue Standorte oder Erneuerung der technischen Infrastruktur) zeitnah zu erfolgen. Änderungen von geringer Tragweite sind regelmässig nachzuführen. 17. In welcher Granularität ist das Inventar auszugestalten? Die gemäss Rz 18 und 19 geforderte Granularität der Information ist unternehmensspezifisch entlang der CID-Kategorien und der daraus resultierenden Sicherheitsvorkehrungen (Grundsatz 2, Rz 125 127) zu bestimmen. 4/6

Infrastrukturkomponenten (wie geschäftliche oder private Mobilgeräte) können im Inventar nach den Kriterien Netzwerk, geographischer Standort usw. oder einer Kombination davon kategorisiert werden, wenn sie einheitlichen Sicherheitsvorkehrungen unterstellt und durch dieselbe Einheit (Rz 4 und 5) überwacht sind. Folglich können bspw. sämtliche privaten Mobilgeräte einer organisatorischen Einheit oder Region in einem einzigen Eintrag im Inventar aufgeführt werden. 18. Was ist mit Zugriff auf Massen-CID im Grundsatz 5 (insbesondere in der Rz 33) gemeint? Beim Zugriff auf Massen-CID und der resultierenden Bestimmung von Schlüsselmitarbeitenden sind insbesondere erweiterte Zugriffsrechte wie z.b. die Abfrage und Extraktion/Migration von grossen Datenmengen gemeint. In der Regel sind solche erweiterten Zugriffsrechte auf wenige IT- Mitarbeitende beschränkt. Im Gegensatz dazu fallen Einzelabfragen mit eingegrenzten Zugriffsrechten (z.b. von klassischen Schaltermitarbeitenden) nicht unter den Begriff des Zugriffs auf Massen-CID. Rz 33 ist zudem auch auf privilegierte Anwender (bspw. auch nicht IT-Mitarbeitende mit einfachen Leserechten) mit Zugriff auf höchst vertrauliche Unterkategorien von CID (z.b. chiffrierte Konten) anzuwenden. 19. Rz 35 bezieht sich auf Vorkehrungen wie z.b. das Führen von Log-Dateien. Sind einzelne Transaktionen (insbesondere einzelne Zugriffe) den einzelnen Usern zuzuordnen oder ist es ausreichend festzuhalten, wer solche Zugriffsmöglichkeiten besitzt bzw. besass? Es sind einzelne Transaktionen bzw. Zugriffe den einzelnen Usern zuzuordnen, wobei der Zugriff als Zugriff auf Massen-CID analog den Erläuterungen unter Antwort 18 zu verstehen ist. Das in Rz 35 als Beispiel angeführte Führen von Log-Dateien schliesst alternative geeignete Verfahren wie das in Rz 40 erwähnte Vier-Augen-Prinzip nicht aus. 20. Welche Elemente von Rz 40 und 41 sind von kleinen Banken anzuwenden? Rz 41 bezweckt den Schutz der CID-Daten bei der Entwicklung, Veränderung und Migration von Systemen. Als kleine Banken eingestufte Institute sind zwar gemäss Rz 2 des Anhangs 3 von der Umsetzung der Rz 41 ausgenommen, eine Anwendung der Anforderungen kann jedoch auf freiwilliger Basis erfolgen. Wendet ein als kleine Bank eingestuftes Institut bei der Entwicklung, Veränderung und Migration von Systemen (bspw. bei der Generierung von Testdaten oder bei der Zwischenspeicherung von Daten während der Datenmigration) keine Methoden zur Anonymisierung, Pseudonymisierung oder Verschlüsselung an (Arbeiten in Klartext ), so wendet es bei diesen Tätigkeiten die Vorgaben gemäss Rz 40 an. 21. Der Geltungsbereich von Rz 47 geht über die Definition einer signifikanten Auslagerung gemäss FINMA-Rundschreiben 2008/7 Outsourcing Banken hinaus. Dies wird ebenfalls durch Rz 54 ( Grossaufträge ) untermauert, welche Aktivitäten beschreibt, die nicht vom FINMA-RS 08/7 erfasst würden. Warum? Massgeblich für die Anwendbarkeit des Grundsatzes 9 ist der Zugriff auf Massen-CID und nicht Rz. 2 des FINMA-RS 08/7. Der Zugriff auf Massen-CID durch einen Outsourcing-Dienstleister kann das 5/6

Risiko einer Verletzung der CID-Vertraulichkeit erhöhen, unabhängig davon, ob diese ausgelagerte Dienstleistung eine im Sinne des FINMA-RS 08/7 "wesentliche" ist. 22. An wen kann ich mich bei zusätzlichen Fragen wenden? banks@finma.ch oder Tel. +41 (0)31 327 93 00. 6/6

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback