FINMA Rundschreiben 2023/1 «Operationelle Risiken und Resilienz – Banken» – bereit für eine Aufsichtsprüfung?

Haben Sie die notwendigen Schritte für die Sicherstellung der Konformität zum FINMA Rundschreiben 2023/1 «Operationelle Risiken und Resilienz – Banken» abgeschlossen bzw. geplant? Bis zum 31. Dezember 2024 müssen weitere Anforderungen aus dem FINMA Rundschreiben 2023/1 umgesetzt werden. In diesem Beitrag erhalten Sie sowohl einen Überblick über diese Anforderungen wie auch über die Durchführung der Prüfungen.

Seit dem 1. Januar 2024 ist das totalrevidierte FINMA-Rundschreiben 2023/1 zum Management der Operationellen Risiken und der Sicherstellung der Resilienz in Kraft. Detaillierte Erläuterungen zum Rundschreiben finden Sie in unserem Blog-Artikel vom Januar 2023: Nachfolgend geben wir Ihnen einen Überblick, was getan werden muss, um eine Aufsichtsprüfung erfolgreich zu bestehen.

Sind Sie bereit für eine Aufsichtsprüfung?

Haben Sie per Ende 2023 erfolgreich die Konformität zu den Anforderungen aus dem Rundschreiben erreicht und sind somit bereit für eine Aufsichtsprüfung? Können Sie der Prüfgesellschaft aufzeigen, welche Massnahmen Sie getroffen haben und welche Massnahmen in der Umsetzung bzw. in der Planung sind, um die Konformität zu erreichen?

Für die Anforderungen zur Sicherstellung der operationellen Resilienz wurden Übergangsbestimmungen festgelegt, damit betroffene Institute genügend Zeit haben, entsprechende Massnahmen zu definieren und zu implementieren. Nachstehend finden Sie eine Checkliste, mit denen Sie den Stand der Umsetzung prüfen können.

Wie Aufsichtsprüfungen seit dem 1. Januar 2024 durchgeführt werden

Die Totalrevision des Rundschreibens bringt Anpassungen bei der Durchführung der Aufsichtsprüfung mit sich:

• Die Prüfpunkte zur Informatik und die Prüfpunkte zum Umgang mit elektronischen Kundendaten wurden per Ende 2023 aufgehoben.
• Für die neu geschaffenen Prüffelder Management der Cyber-Risiken und Management der Risiken kritischer Daten wurden neue Prüfkataloge geschaffen, welche die Aufsichtsprüfung unterstützen. Erstmalige Prüfungen können seit dem 1. Januar 2024 durchgeführt werden.
• Für das neu geschaffene Prüffeld Operationelle Resilienz bestehen Übergangsbestimmungen von bis zu zwei Jahren, ein Prüfkatalog steht noch nicht zur Verfügung. Erstmalige Prüfungen können ab 2024 im Ermessen der Prüfgesellschaft und gestützt auf ihre Risikoanalyse stattfinden. Eine Prüfung muss jedoch spätestens im Prüfjahr 2027 durchgeführt werden, d.h. im zweiten Jahr nach Ablauf der Übergangsfrist.
• Für die restlichen Prüfgebiete werden die Prüfgesellschaften auf bestehende Prüfpunkte bzw. Informationen auf vergangenen Aufsichtsprüfungen zurückgreifen.
• Die graduelle Abdeckung der vier Elemente zum Prüffeld Management der Informations- und Kommunikationstechnologie (IKT)-Risiken erfolgt neu über vier statt wie bisher über 6 Jahre. Aufgrund dessen gibt es möglicherweise Interventionen zu mehreren der vier Elemente, bis sich der neue Zyklus der graduellen Abdeckung der Elemente über vier Jahre eingependelt hat.

Die Festlegung der Frequenz und die Auswahl Prüfgebiete der Aufsichtsprüfungen orientiert sich an den in der Vergangenheit durchgeführten Aufsichtsprüfungen sowie an der Aufsichtskategorie des Instituts. Wir empfehlen, sich frühzeitig mit der jeweiligen Prüfgesellschaft in Verbindung zu setzen, um ein gemeinsames Verständnis künftiger Aufsichtsprüfungen zu schaffen und sich entsprechend darauf vorbereiten zu können. Ebenso sollten sich Institute mit den neu geschaffenen Prüfkatalogen zum Management der Cyber-Risiken und Management der Risiken kritischer Daten auseinandersetzen. Denn diese bilden die Grundlage für die Prüfung des Konformitätsgrades. Als Teil des Prüfkatalogs wird zusätzlich zu den Randziffern des FINMA Rundschreiben 2023/01 auch die Einhaltung weiterer Verordnungen und Gesetze in den Prüfkatalogen geprüft.

Holen Sie sich frühzeitig Unterstützung bei der Umsetzung der FINMA-Anforderungen

Dank unserer langjährigen und ausgewiesenen Erfahrung in der Sicherheitsberatung können wir Sie bei der Erreichung der Konformität mit dem neuen FINMA Rundschreiben 2023/1 sowie bei der Vorbereitung auf eine Aufsichtsprüfung unterstützen, z.B. durch eine Gap-Analyse und der Identifikation und Priorisierung der wichtigsten Massnahmen. 

Ebenfalls können wir Sie bei der Identifikation der kritischen Funktionen basierend auf den wesentlichen, inhärenten Risiken und der darauffolgenden Erarbeitung der Schlüsselkontrollen unterstützen. Falls Sie die Anforderungen des neuen FINMA-Rundschreibens effizient und zielgerichtet umsetzen möchten, stehen wir bereit, Sie in diesem Prozess zu unterstützen. Weiterführende Informationen finden Sie auf unserer Webseite.

Darüber hinaus bieten wir Ihnen kompetente Unterstützung bei fachspezifischen Fragen zu den einzelnen Anforderungen sowie bei der generellen Umsetzung von Massnahmen, Richtlinien und Prozessen. Unser umfassendes Angebot für die Umsetzung von Anforderungen des neuen FINMA-Rundschreiben 2023/01 umfasst beispielsweise Penetration Tests, Datenschutz, Szenarien-basierten Übungen oder gezielte Schulung der Mitarbeitenden, aber auch rund um die Uhr Managed-, SOC- oder Incident Response-Services.