Die Regulierungsbehörden ergreifen verstärkt Massnahmen, um Vorfälle zu verhindern, die schwerwiegende Auswirkungen auf die Branche und die Wirtschaft im Allgemeinen haben könnten. Das kürzlich veröffentlichte FINMA-Rundschreiben 2023/1 legt die Grundsätze für das Management operationeller Risiken und die Widerstandsfähigkeit fest. Das Rundschreiben ist absichtlich nicht präskriptiv, was bedeutet, dass die Organisationen die im Rundschreiben dargelegten Grundsätze interpretieren und die Umsetzung der Regulierung auf ihre besonderen Umstände abstimmen müssen.
Die neue Verordnung unterstreicht die Notwendigkeit, dass Finanzinstitute, die in den Geltungsbereich der Verordnung fallen, sicherstellen müssen, dass ihre betriebliche Widerstandsfähigkeit angemessen ist und dass die Organisation in Zeiten "schwerwiegender, aber plausibler" Störungen die geforderten Mindestergebnisse bei den Geschäftsdienstleistungen liefern kann.
Wir schlagen einen Fünf-Säulen-Ansatz vor, um den gestiegenen Anforderungen gerecht zu werden und das eigene Niveau an operativer Widerstandsfähigkeit effektiv zu verwalten:
Bis zum 1. Januar 2026 verlangt die FINMA von den Unternehmen, dass sie das Rundschreiben vollständig einhalten und somit operativ widerstandsfähig sind. Zu diesem Zeitpunkt sollten die Organisationen bestehende Schwachstellen beseitigt und zusätzliche erforderliche Massnahmen ergriffen haben, die dazu beitragen, dass sie bei schwerwiegenden, aber plausiblen Störungsereignissen innerhalb der Toleranzen für die Unterbrechung ihrer kritischen Funktionen bleiben.
Die erste Übergangsfrist der FINMA bis zum 1. Januar 2024 erwartet jedoch bereits, dass die Organisationen über ein erstes, vom Verwaltungsrat genehmigtes Inventar ihrer kritischen Funktionen verfügen. Das Inventar muss die Toleranzen für eine Unterbrechung der kritischen Funktionen sowie die identifizierten Verbindungen und Abhängigkeiten zwischen den kritischen Prozessen und den Ressourcen, die die identifizierten kritischen Funktionen bereitstellen, enthalten.
Daher ist jetzt die Zeit zum Handeln gekommen. Um die Einhaltung der Vorschriften zu gewährleisten, sollten sich Organisationen mit den ersten Säulen der Operational Resilience befassen. Die beiden grössten Herausforderungen aus der Perspektive der operationellen Resilienz, mit denen Organisationen bis 2023 konfrontiert sein werden, sind:
Darüber hinaus werden die erforderlichen Abhilfemassnahmen für seit langem bekannte Schwachstellen, die schwierig und komplex zu beheben sind, wahrscheinlich grössere Anstrengungen auslösen, die sich über mehrere Jahre erstrecken. Daher sollten Organisationen in Erwägung ziehen, mit einem Teil dieser Arbeiten bereits 2023 zu beginnen, um die endgültige Frist bis zum 1. Januar 2026 einzuhalten.
Die Finanzinstitute müssen der anfänglichen Identifizierung der kritischen Funktionen der Organisation sowie der damit verbundenen Toleranzen für Störungen Priorität einräumen, da der erste Übergangszollsatz der FINMA am 1. Januar 2024 schnell näher rückt. Darüber hinaus sollten die erforderlichen Abhilfemassnahmen für seit langem bekannte Schwachstellen, die wahrscheinlich erhebliche Anstrengungen erfordern, jetzt beginnen, um die endgültige Frist bis zum 1. Januar 2026 einzuhalten.
Die anfängliche Definition der kritischen Funktionen und ihrer Störungstoleranz wird wahrscheinlich eine komplexere Aufgabe sein als zunächst angenommen. Dieser Prozess erfordert einen iterativen Ansatz mit der Einbeziehung von leitenden Interessenvertretern aus verschiedenen Geschäftsbereichen des Unternehmens. Sobald sie definiert sind, spiegeln sie letztendlich die obersten Geschäftsprioritäten der Geschäftsleitung in Krisenzeiten wider.
Unser Team hat zahlreiche Institutionen bei der Bewältigung derselben Herausforderungen erfolgreich unterstützt und wir würden uns freuen, auch Ihre Organisation bei der Einhaltung dieser neuen Verordnung zu unterstützen.