Die FINMA überarbeitet die Anforderungen an die Coporate Governance von Banken. Dazu fasst sie die totalrevidierten Bestimmungen des Rundschreibens 2008/24 „Überwachung und interne Kontrollen Banken“ sowie diesbezügliche FAQ und in andere Rundschreiben verteilte Anforderungen in einem Rundschreiben zusammen. Die Vorgaben sind prinzipienorientiert formuliert und detaillierte Anwendungsbeschriebe wurden gestrichen. Zudem werden kleinere Institute vor der Anwendung bestimmter Bestimmungen ausgenommen. Die FINMA unterzieht das neue Rundschreiben 2016/X „Corporate Governance – Banken“ sowie die verwandten Anpassungen in den Rundschreiben 2008/21 „Operationelle Risiken Banken“ und 2010/1 „Vergütungssysteme“ einer Anhörung, die bis zum 13. April 2016 dauert.

Anforderungen an Oberleitung und Risikomanagement steigen

Das Rundschreiben „Corporate Governance – Banken“ legt die Prinzipien für die Corporate Governance, das interne Kontrollsystem und das Risikomanagement fest. Die Bestimmungen orientieren sich an den Erkenntnissen aus der Finanzmarktkrise und den überarbeiteten internationalen Standards. Eingeführt oder von bestehenden FAQ übernommen werden Grundsätze und Strukturen für Oberleitungsorgane und Geschäftsleitungen sowie konkrete Anforderungen an das Risikomanagement.

So müssen beispielsweise die Oberleitungsorgane grösserer Banken (Aufsichtskategorien 1 bis 3) künftig einen Prüf- und einen Risikoausschuss bestellen und die Rolle des unabhängigen Risikochefs (Chief Risk Officer) schaffen. Alle Banken werden bestimmte Offenlegungspflichten im Bereich Corporate Governance einhalten müssen. Grössere Banken haben erweiterte Offenlegungspflichten und analog der Richtlinie Corporate Governance der Schweizer Börse zu publizieren. 

Zu den Risiken gehören neu auch IT- und Cyber-Risiken

Die Aufsichtspraxis zeigt, dass die operationellen Risiken von Banken vielfältiger geworden sind. Entsprechend soll das Rundschreiben 2008/21 „Operationelle Risiken Banken“ ergänzt werden, wobei die Bestimmungen zur Corporate Governance wegfallen. Der Risikomanagementgrundsatz zur Technologinfrastruktur erfasst neu namentlich auch IT- und Cyber-Risiken. Weiter wird ein Grundsatz zu den Risiken aus dem grenzüberschreitenden Dienstleistungsgeschäft ergänzt. 

Nur noch grosse Institute müssen zwingende Vorgaben für Vergütungssysteme erfüllen

Im Prinzip sollen die Bestimmungen des Rundschreibens 2010/1 „Vergütungssysteme“ nur noch bei Instituten angewendet werden, welche komplexe Vergütungssysteme und materiell relevante Vergütungshöhen aufweisen. Daher wird der entsprechende Schwellenwert für die zwingende Umsetzung dieses Rundschreibens angepasst. Es ist somit nur noch für die beiden Grossbanken und grössten Versicherungskonzerne verbindlich. Die FINMA kann jedoch andere Banken in begründeten Fällen dazu verpflichten, einzelne oder sämtliche Bestimmungen des Rundschreibens umsetzen zu lassen.