Es vergeht kaum ein Tag, ohne dass Bund, Finanzmarktaufsicht (Finma), internationale Gremien oder Berufsverbände über neue für Finanzdienstleister relevante Regulierungs- oder Selbstregulierungsvorhaben informieren. Über die Weiterverbreitung in Newslettern, Linkedin-Posts und auf anderen Wegen potenziert, kann dies bald einmal den Anschein eines kaum mehr zu bewältigenden «Regulierungsdschungels» erwecken.Entsprechend ist es für Finanzdienstleister zentral, die Übersicht über regulatorische Entwicklungen zu bewahren und erforderliche Umsetzungsarbeiten rechtzeitig an die Hand zu nehmen. Inwiefern wird dies für deren Prüfer relevant und wie können deren Anforderungen und Erwartungen erfüllt werden?
Risikoanalyse und Prüfstrategie
Prüfgesellschaften haben im Rahmen ihres aufsichtsrechtlichen Prüfberichts zuhanden der Finma – aufgeteilt über diverse Prüffelder – primär auf die Beachtung der geltenden rechtlichen Vorgaben und Bewilligungsvoraussetzungen durch den Finanzdienstleister einzugehen. Unter dem Abschnitt «Zukünftige Herausforderungen» ist jedoch auch eine zukunftsgerichtete Einschätzung abzugeben. Regulatorische Änderungen, von denen der Finanzdienstleister betroffen sein wird, und mögliche Auswirkungen auf dessen Geschäftstätigkeit müssen unter Angabe der geplanten beziehungsweise eingeleiteten Massnahmen dargestellt werden. Der Prüfer gibt dabei zwar (noch) kein Prüfurteil zur Einhaltung oder Nichteinhaltung bestimmter regulatorischer Vorgaben ab. Sorgfältiges Regulatory Change Management durch den Finanzdienstleiter dürfte aber positive – auch für den Regulator ersichtliche – Erwähnung finden.
Konkretere Auswirkungen hat das Regulatory Change Management in der Risikoanalyse und Prüfstrategie, welche die Prüfgesellschaft jährlich erstellt und der Finma einreicht. Dabei hat der Prüfer sämtlichen möglichen Prüffeldern – beispielsweise Geldwäschereivorschriften oder Verhaltensregeln des Finanzdienstleistungsgesetzes (Fidleg) – kundenspezifisch ein inhärentes Risiko und ein Kontrollrisiko zuzuweisen. Das inhärente Risiko meint die Anfälligkeit eines spezifischen Prüffeldes für die mit der Geschäftstätigkeit zusammenhängenden Risiken. Kontrollrisiko bedeutet die Anfälligkeit, dass ein Finanzinstitut keine angemessenen Massnahmen zur Begrenzung des inhärenten Risikos getroffen hat. Die Kombination von inhärentem Risiko und Kontrollrisiko resultiert in einem Nettorisiko. Aus Letzterem wird die sogenannte Prüfstrategie abgeleitet, konkret die Planung, welches Prüffeld über die nächsten Jahre in welchem Intervall und in welcher Tiefe geprüft wird.
Sollte der Prüfer vom Regulatory Change Management eines Finanzdienstleisters nicht überzeugt sein, führt dies im beschriebenen Prozess zu einer höheren Risikoeinschätzung und damit zu einem engeren Prüfrhythmus mit entsprechend finanziellem und administrativem Mehraufwand für den Finanzdienstleister. Welches sind die Erwartungen an die Überwachung der regulatorischen Entwicklungen?
Die Autoren
Fabian Schmid, Partner, Leiter Regulatory & Compliance Financial Services;
Thomas Hulmann, Executive Director, Regulatory & Compliance Financial Services; beide Grant Thornton, Zürich.
Zweckmässige Überwachung
Zunächst sollte die Informationsbeschaffung geklärt sein. Auf den Radar gehören neben Bund, Finma und Gerichten auch Selbstregulierungsorganisationen, Branchenorganisationen und ausländische Behörden. Im Idealfall erstellen Finanzdienstleister gestützt darauf für sämtliche relevanten regulatorischen Neuerungen zeitgerecht eine Impact-Analyse und einen Projektplan mit klar definierten und terminierten Umsetzungsschritten.
Analysen und Umsetzungsprojekte können jedoch gerade bei kleineren Instituten rasch deren personelle Kapazitäten übersteigen. Vorteilhaft kann hier ein dediziertes Regulatory Monitoring sein. Das geht über das blosse Abonnieren von Newslettern der Finma und anderen Akteuren hinaus. Es kann etwa in einer Zusammenarbeit mit externen Compliance-Dienstleistern bestehen, die den Finanzdienstleister periodisch mit einer spezifisch auf sein Geschäftsmodell zugeschnittenen Darstellung von regulatorischen Neuerungen und damit verbundenem Handlungsbedarf versorgen. Von jenen Anbietern dürfen die Prüfer erwarten, dass sie das Regulatory Change Management im Griff haben. Ob mit oder ohne externe Unterstützung sollte klar definiert werden, welche Personen für das institutsweite Regulatory Change Management zuständig sind.
Wenn Finanzdienstleister diesem stetigen Wandel aktiv und mit zweckmässigem Regulatory Change Management begegnen, werden auch die diesbezüglichen Anforderungen ihrer Prüfer erfüllt.