FINMA nimmt Verwaltungsräte von Banken stärker in die Pflicht

Am 1. März hat die FINMA die im modifizierten Rundschreiben enthaltenen Anforderungen zur Corporate Governance bei Banken in die Anhörung gegeben. Die Anhörung der vorgeschlagenen Änderungen dauert bis zum 13. April 2016. Die Anforderungen an die Zusammensetzung und die einzelnen Mitglieder des Verwaltungsrates werden dabei erhöht. Gestärkt werden auch die unabhängigen Kontrollinstanzen innerhalb der Banken, insbesondere die Funktion der Risikokontrolle. Es ist vorgesehen, dass die Änderungen per 1. August 2016 in Kraft treten.

Pflichten des Verwaltungsrates

Die Aufgaben des Verwaltungsrates werden im Anhörungsentwurf erweitert und auf sämtliche Kernkompetenzen nach Aktienrecht (Art. 716a Abs.1 OR) ausgedehnt. Der Verwaltungsrat soll genügend breit aufgestellt sein, so dass neben den Hauptgeschäftsaktivitäten sämtliche weiteren zentralen Bereiche wie Finanz- und Rechnungswesen, Risikomanagement, Compliance, Controlling und IT kompetent vertreten sind. Jedes Mitglied des Verwaltungsrates soll über eine vertiefte Kernkompetenz verfügen, welche zu einer ausgewogenen Durchmischung des Gesamtorgans beiträgt.

Grössere Banken ab Kategorie 3 müssen künftig einen separaten Prüf- und Risikoausschuss mit unterschiedlicher personeller Zusammensetzung bestellen. Bei kleineren und mittleren Banken werden die notwendigen Kernkompetenzen im Rahmen des Gesamtgremiums verlangt, so dass bei diesen Banken künftig nicht mehr zwingend ein Prüfausschuss bzw. eine Audit-Funktion gebildet werden muss.

Viele Vorgaben wurden aus den FAQ zur Oberleitung von Banken und Effektenhändlern übernommen und sind nicht neu. Die Vorgaben zur Unabhängigkeit (mindestens ein Drittel der Mitglieder) sowie zur zeitlichen Verfügbarkeit wurden aber strikter formuliert. Zudem sind die Vorgaben verbindlich und bedürfen der Genehmigung der FINMA, bisher musste die Nichteinhaltung lediglich im Geschäftsbericht offengelegt werden („comply or explain“-Ansatz, welcher abgeschafft werden soll).

Rahmenkonzept für das institutsweite Risikomanagement

Die qualitativen Anforderungen an das Risikomanagement, welche bisher in dieser Form nur in Bezug auf das Management von operationelle Risiken vorgegeben wurden, gilt es künftig für alle Risikoarten zu beachten. Die FINMA erwartet von allen Banken, dass diese ein Rahmenkonzept für das institutsweite Risikomanagement erlassen, was zu einer erhöhten Formalisierung der bisherigen bankinternen Regelungen führen dürfte.

Unabhängige Kontrollinstanzen gestärkt

Die FINMA bekennt sich klar zum sogenannten „Three Lines of Defense“-Modell und stärkt die unabhängigen Kontrollinstanzen. Explizit erwähnt werden die Kontrollmassnahmen in den ertragsorientierten Geschäftseinheiten, wodurch die Verantwortung für die eingegangenen Risiken klarer den operativen Funktionen zugeteilt wird. Als zweite Verteidigungslinie wirken die Funktionen Risikokontrolle und Compliance, als dritte Linie fungiert die interne Revision. Die Risikokontrolle wird als Überwachungsinstanz zum unabhängigen Risikogewissen innerhalb der Bank und nimmt in der Überwachung und Berichterstattung eine zentrale Funktion im Risikomanagement der Bank wahr. Entsprechend steigen die Aufgaben und Anforderungen an die Risikokontrolle und die Anforderungen an deren fachliche Qualifikationen. Banken der Aufsichtskategorien 1 bis 3 müssen explizit über eine eigenständige Risikokontrolle und Compliance-Funktion verfügen, was unseres Erachtens eine Personalunion dieser beider Kontrollinstanzen verunmöglicht.

Anpassungen im Rundschreiben zu den operationellen Risiken

Die Regelungen bezüglich der operationellen Risiken im Zusammenhang mit der Technologieinfrastruktur sollen wesentlich erweitert werden. Als Folge davon haben die Banken ein IT-Konzept sowie ein Konzept zum Umgang mit Cyberrisiken zu implementieren. Noch ein wenig unklar erscheint die Absicht der FINMA im Zusammenhang mit strategischen Risiken und Reputationsrisiken: Gemäss den bisherigen Vorgaben galten diese Risiken explizit nicht als Bestandteil der operationellen Risiken. Im nun vorliegenden Anhörungsentwurf wurde dies gestrichen. Unseres Erachtens bedeutet dies, dass beim Management von operationellen Risiken auch strategische Risiken und Reputationsrisiken einbezogen werden müssen.

Unsere Beurteilung

Die Anpassungen werden trotz des im Rundschreiben enthaltenen Proportionalitätsprinzips vor allem bei den kleineren und mittleren Banken zu einem grösseren Anpassungsbedarf führen. Wir gehen aufgrund der Ausführungen im Anhörungsentwurf davon aus, dass es künftig tendenziell schwieriger werden dürfte, entsprechend qualifizierte Verwaltungsräte zu finden.

Zum Fachblog