Zum Hauptinhalt springen

FINMA-Rundschreiben 2023/1 - Kapitel V: Sicherstellung der operationellen Widerstandsfähigkeit - Teil 1

Das Management der Risiken für die Betriebskontinuität von Geschäftsprozessen und IKT-Systemen war in den letzten Jahren für viele Institutionen ein zentrales Thema. Die Konzentration auf die Gewährleistung einer durchgängigen betrieblichen Ausfallsicherheit entlang der gesamten Wertschöpfungskette - und nicht nur auf einzelne Prozesse und IKT-Systeme - wird jedoch für die meisten derzeitigen Business Continuity Management-Systeme eine grosse Veränderung bedeuten.

Die Regulierungsbehörden ergreifen verstärkt Massnahmen, um Vorfälle zu verhindern, die schwerwiegende Auswirkungen auf die Branche und die Wirtschaft im Allgemeinen haben könnten. Das kürzlich veröffentlichte FINMA-Rundschreiben 2023/1 legt die Grundsätze für das Management operationeller Risiken und die Widerstandsfähigkeit fest. Das Rundschreiben ist absichtlich nicht präskriptiv, was bedeutet, dass die Organisationen die im Rundschreiben dargelegten Grundsätze interpretieren und die Umsetzung der Regulierung auf ihre besonderen Umstände abstimmen müssen.

Fünf Säulen für die strategische Umsetzung der operativen Widerstandsfähigkeit


Die neue Verordnung unterstreicht die Notwendigkeit, dass Finanzinstitute, die in den Geltungsbereich der Verordnung fallen, sicherstellen müssen, dass ihre betriebliche Widerstandsfähigkeit angemessen ist und dass die Organisation in Zeiten "schwerwiegender, aber plausibler" Störungen die geforderten Mindestergebnisse bei den Geschäftsdienstleistungen liefern kann.

Wir schlagen einen Fünf-Säulen-Ansatz vor, um den gestiegenen Anforderungen gerecht zu werden und das eigene Niveau an operativer Widerstandsfähigkeit effektiv zu verwalten:

Bis zum 1. Januar 2026 verlangt die FINMA von den Unternehmen, dass sie das Rundschreiben vollständig einhalten und somit operativ widerstandsfähig sind. Zu diesem Zeitpunkt sollten die Organisationen bestehende Schwachstellen beseitigt und zusätzliche erforderliche Massnahmen ergriffen haben, die dazu beitragen, dass sie bei schwerwiegenden, aber plausiblen Störungsereignissen innerhalb der Toleranzen für die Unterbrechung ihrer kritischen Funktionen bleiben.

Die erste Übergangsfrist der FINMA bis zum 1. Januar 2024 erwartet jedoch bereits, dass die Organisationen über ein erstes, vom Verwaltungsrat genehmigtes Inventar ihrer kritischen Funktionen verfügen. Das Inventar muss die Toleranzen für eine Unterbrechung der kritischen Funktionen sowie die identifizierten Verbindungen und Abhängigkeiten zwischen den kritischen Prozessen und den Ressourcen, die die identifizierten kritischen Funktionen bereitstellen, enthalten.

Daher ist jetzt die Zeit zum Handeln gekommen. Um die Einhaltung der Vorschriften zu gewährleisten, sollten sich Organisationen mit den ersten Säulen der Operational Resilience befassen. Die beiden grössten Herausforderungen aus der Perspektive der operationellen Resilienz, mit denen Organisationen bis 2023 konfrontiert sein werden, sind:

  1. Wie identifiziert man zunächst die kritischen Funktionen der Organisation?
  2. Wie definiert man die Toleranz(en) für Unterbrechungen pro kritischer Funktion?

Darüber hinaus werden die erforderlichen Abhilfemassnahmen für seit langem bekannte Schwachstellen, die schwierig und komplex zu beheben sind, wahrscheinlich grössere Anstrengungen auslösen, die sich über mehrere Jahre erstrecken. Daher sollten Organisationen in Erwägung ziehen, mit einem Teil dieser Arbeiten bereits 2023 zu beginnen, um die endgültige Frist bis zum 1. Januar 2026 einzuhalten.

Nach der Definition der FINMA gehören zu den kritischen Funktionen:

  • die Aktivitäten, Prozesse und Dienstleistungen - einschliesslich der zugrundeliegenden Ressourcen, die für ihre Erbringung erforderlich sind -, deren Unterbrechung den Fortbestand der Organisation oder ihre Rolle auf dem Finanzmarkt und damit das ordnungsgemässe Funktionieren der Finanzmärkte gefährden würde; und
  • die systemrelevanten Funktionen gemäss Artikel 8 des Bundesgesetzes über die Banken und Sparkassen (Bankengesetz; BankG).


Wir gehen davon aus, dass die FINMA nicht erwartet, dass Organisationen eine grosse Anzahl von kritischen Funktionen identifizieren. Das Hauptziel der Übung besteht darin, sich auf die kritischen End-to-End-Wertschöpfungsketten zu konzentrieren, die unbedingt erforderlich sind, um sicherzustellen, dass ein Mindestmass an tolerierbaren kritischen Diensten und Geschäftsergebnissen zu jedem Zeitpunkt bereitgestellt werden kann - selbst bei einem 'schweren, aber plausiblen' Störungsszenario (einer grösseren Krise).

Einige Beispiele für typische Kandidaten, die auch als kritische Funktionen für ausgewählte Organisationen in Frage kommen, sind das inländische Einlagen- und Kreditgeschäft sowie der Zahlungsverkehr. Die Ermittlung der kritischen Funktionen ist jedoch eine Aufgabe, die jede Organisation individuell angehen muss und die stark vom Geschäftsmodell der Organisation abhängt. Ein Vermögensverwalter wird wahrscheinlich das Portfoliomanagement als kritische Funktion einstufen, während eine Privatkundenbank eher die Bedienung von Kundenkrediten als kritische Funktion ihres Geschäfts ansehen wird.

Um zu beurteilen, ob eine Funktion in einer Organisation als "kritisch" eingestuft wird, sollte ein qualitativer Bewertungsansatz im Vordergrund stehen. Im Folgenden finden Sie einige Beispiele für ein umfassendes 'aide memoire', das von Organisationen individuell entwickelt werden kann und den qualitativen Bewertungsprozess unterstützt:

Die Entscheidung, ob eine Funktion innerhalb der Organisation als "kritisch" eingestuft wird, liegt letztlich bei der Geschäftsleitung und dem Vorstand. Die sorgfältige Ausarbeitung und Dokumentation der Gründe, auf deren Grundlage eine kritische Funktion identifiziert wurde, und die anschliessende Untermauerung dieser Gründe mit zusätzlichen Datenbelegen wird dazu beitragen, dass a) die erforderliche Zustimmung der Geschäftsleitung eingeholt wird und b) die Anfechtbarkeit und Überprüfbarkeit zu einem späteren Zeitpunkt gewährleistet ist.

Traditionelle Aktivitäten des Business Continuity Management (BCM) konzentrieren sich auf die Festlegung von Wiederherstellungszeitzielen (RTOs) für die kritischen Prozesse eines Unternehmens. RTOs definieren die gewünschte Wiederherstellungszeit, d.h. bis wann ein Prozess vollständig zum normalen Betrieb zurückkehren sollte. Auch mit den neuen Anforderungen an die operative Widerstandsfähigkeit bleibt BCM wichtig und wird von der Aufsichtsbehörde gefordert (siehe auch FINMA-Rundschreiben 2023/1 - Kapitel IV E).

Die Krisen der Vergangenheit haben jedoch gezeigt, dass bei schweren, aber plausiblen Störungsszenarien wie einem gross angelegten Cyberangriff und einem vollständigen Ausfall der IKT in der Regel mehrere Prozesse parallel ausfallen, so dass herkömmliche BCM-Massnahmen unwirksam sind, da sie auf isolierte Ausfälle abzielen. Daher ist es unwahrscheinlich, dass die gewünschten Wiederherstellungszeiten erreicht werden, damit alle Prozesse innerhalb der festgelegten RTOs wieder normal funktionieren. Das Unternehmen muss in solchen Szenarien Prioritäten setzen und die Krise erfolgreich meistern.

Hier kommen die neu eingeführten Toleranzen für die Unterbrechung von kritischen Funktionen ins Spiel. Die Toleranz für Unterbrechungen ist das Ausmass - die Dauer oder der erwartete Schaden - der Unterbrechung einer kritischen Funktion, das die Organisation bereit ist zu akzeptieren. Die Toleranzen müssen daher das Mindestmass an Dienstleistungen und Ergebnissen definieren, das von einer kritischen Funktion verlangt wird, um während einer Krise zu funktionieren, während der normale Betrieb für einen längeren Zeitraum nicht erreicht werden kann.

Bei der Festlegung von Toleranzen für die Unterbrechung kritischer Funktionen sollten Organisationen die folgenden Schritte berücksichtigen:

  1. Formulieren Sie die Mindestdienstleistungen und -ergebnisse der Funktion, die erforderlich sind, um untragbaren Schaden für das Unternehmen, seine Kunden und den Finanzmarkt insgesamt zu vermeiden.

    Hinweis: Als ersten Ausgangspunkt kann das Unternehmen die zuvor entwickelten Gründe nutzen, warum die Funktion als "kritisch" eingestuft wird. Darüber hinaus können die bereits definierten RTO-Ziele der zugrunde liegenden Prozesse aus der BCM-Perspektive als Orientierung dienen.

  2. Sammeln Sie zusätzliche Daten/Beweise zur Untermauerung und Rationalisierung der festgelegten Mindestdienstleistungen und -ergebnisse.
  3. Dokumentieren Sie die Störungstoleranz in Form einer ergebnisorientierten Zielvorgabe. Dokumentieren Sie ausserdem die Gründe und zusätzlichen Daten/Beweise, warum die jeweilige Störungstoleranz gewählt wurde.

Fazit


Die Finanzinstitute müssen der anfänglichen Identifizierung der kritischen Funktionen der Organisation sowie der damit verbundenen Toleranzen für Störungen Priorität einräumen, da der erste Übergangszollsatz der FINMA am 1. Januar 2024 schnell näher rückt. Darüber hinaus sollten die erforderlichen Abhilfemassnahmen für seit langem bekannte Schwachstellen, die wahrscheinlich erhebliche Anstrengungen erfordern, jetzt beginnen, um die endgültige Frist bis zum 1. Januar 2026 einzuhalten.

Die anfängliche Definition der kritischen Funktionen und ihrer Störungstoleranz wird wahrscheinlich eine komplexere Aufgabe sein als zunächst angenommen. Dieser Prozess erfordert einen iterativen Ansatz mit der Einbeziehung von leitenden Interessenvertretern aus verschiedenen Geschäftsbereichen des Unternehmens. Sobald sie definiert sind, spiegeln sie letztendlich die obersten Geschäftsprioritäten der Geschäftsleitung in Krisenzeiten wider.

Unser Team hat zahlreiche Institutionen bei der Bewältigung derselben Herausforderungen erfolgreich unterstützt und wir würden uns freuen, auch Ihre Organisation bei der Einhaltung dieser neuen Verordnung zu unterstützen.

Fanden Sie dies hilfreich?

Vielen Dank für Ihr Feedback