Jedes Jahr publiziert die FINMA einen Risikomonitor. Er dient als Übersicht über die höchsten Risiken für die Beaufsichtigten. Des Weiteren wird darin eine Entwicklung präsentiert, die einen nachhaltigen Einfluss auf den schweizerischen Finanzmarkt haben könnte. Nachfolgend ein kurzer Überblick über die Risiken im Bereich Cyberangriffen, Outsourcing und Geldwäscherei.
Per Gesetz ist die FINMA beauftragt sich für den Schutz von Gläubigern, Anlegern, Versicherten und der Funktionsfähigkeit der Finanzmärkte einzusetzen. Die Hauptfunktion der FINMA ist die Aufsicht über den Finanzsektor und folglich auch das Risiko der Beaufsichtigten einzuschätzen.
Die Kernrisiken letzten Jahres bleiben nach wie vor bestehen:
- Zinsrisiken
- Kreditrisiken bei Hypotheken
- Kreditrisiken bei übrigen Krediten
- Risiken von höheren Renditezuschlägen
- Risiken von Cyberangriffen
- Risiken bei der Geldwäschereibekämpfung
- Risiken wegen eines erschwerten grenzüberschreitenden Marktzugangs
In diesem Jahr werden jedoch neu auch die Risiken Liquiditäts- und Refinanzierungsrisiken und Outsourcing separat aufgeführt:
Cyberrisiken
Das Risiko eines Instituts durch einen Cyberangriff verletzt zu werden gehört weiterhin zu den grössten operationellen Risiken und verlangt die aktuelle Bedrohungslage immer im Blick zu behalten und die eigene Infrastruktur zu überwachen und auf Schwachstellen zu testen.
Häufig werden Distributed-Denial-of-Service-Attacken (DDoS-Attacken) auf die Bundesverwaltung, Behörden oder auch Finanzinstitute ausgeübt, bei denen durch eine hohe Anzahl von Anfragen das System überlastet wird. Während den letzten zwölf Monaten machen diese DDoS-Attacken insgesamt 20% der bei der FINMA eingegangen Cybermeldungen aus. Diese Art von Cyberattacke ist somit der dritthäufigste Angriffstyp. Die häufigste Art ist der unautorisierte Zugriff mit 43% der bei der FINMA eingegangen Meldungen. Danach folgt die Schadsoftware als zweithäufigster Angriffstyp.
Der Trend zeigt, dass neben Vermögensverwalter und Versicherungen auch kleine Institute vermehrt von Cyberangriffen bedroht werden. Solche Cyberattacken zielen nicht nur auf Kundendaten ab, sie können auch andere Daten von Unternehmen, beispielsweise Geschäftsgeheimnisse, Mitarbeiterdaten und Anlagestrategien betreffen. Bei solchen Angriffen ist der häufigste Angriffsvektor die Software-Schwachstelle, gefolgt von webbasierten Angriffen. An der dritthäufigsten Stelle ist der Angriffsvektor über einen externen Dienstleister (Outsourcing).
Outsourcing
Durch das Outsourcing sind Finanzinstitute zunehmend von externen Dienstleistern abhängig. Trotz vieler Vorteile, die das Outsourcing mit sich bringt, birgt es auch bedeutende Risiken. Da die Anzahl und der Umfang von Auslagerungen zunehmen, steigt die Komplexität der Lieferkette. Dass jeder dritte Cyberangriff auf Finanzinstitute über eine Drittpartei (Outsourcing) erfolgt, verdeutlicht die damit verbundenen hohen Risiken.
Da sich die Verantwortung für die ordnungsgemässe Geschäftsführung nicht delegieren lässt, erstreckt sich die Überwachung auch auf die Drittanbieter und der damit einhergehenden Risiken.
Gemäss der FINMA besteht insbesondere bei der Identifikation der gesamten Lieferkette und der damit verbundenen Risiken Nachholbedarf. Sodann werden die mit wesentlichen Auslagerungen zusammenhängenden Risiken oftmals nicht angemessen identifiziert, überwacht und gesteuert. Folglich müssen die Institute das nötige Know-how aufbauen, um die Drittanbieter zu überwachen und nötigenfalls Massnahmen einleiten zu können.
Geldwäscherei und Sanktionen
Da der Schweizer Finanzplatz grenzüberschreitend das Vermögen von Privatkundinnen und -kunden verwaltet, ist er starken Geldwäschereirisiken ausgesetzt, welche rechtliche Konsequenzen nach sich ziehen können.
Ein hohes Geldwäschereirisiko kann durch komplexe Strukturen von Geschäftsbeziehungen entstehen, weil der wirtschaftliche Zweck nicht mehr transparent zu erkennen ist und dadurch die Herkunft von Geldern verschleiert werden kann. Auch Neukundinnen und -kunden, welche aus Schwellenländern mit hoher Korruptions- und Veruntreuungsgefahr verbundene Finanzgeschäfte vollziehen, sind risikobehaftet.
Zu den herkömmlichen Geldwäschereirisiken kommen nun vermehrt Risiken im Kryptobereich dazu. Die Gefahr der Geldwäscherei und der Terrorismusfinanzierung wird durch die Anonymität sowie die Geschwindigkeit der Transaktionen im Kryptobereich akzentuiert. Zusätzlich werden Kryptowährungen gerne bei illegalem Handel oder bei Cyberattacken als Zahlungsmittel eingesetzt.
Bei der Meldestelle für Geldwäscherei (MROS) eingegangenen Meldungen zeigen eine Zunahme von 28 Prozent innert Jahresfrist. Die Zunahme der MROS-Meldungen über die letzten Jahre kann zum einen auf einen Kulturwandel und auf bessere Kontrollsysteme hindeuten. Zum anderen kann sie auch auf fortbestehende hohe Risiken hindeuten.
Um dagegen anzukommen, muss ein Finanzinstitut die Compliancemassnahmen anpassen und sicherstellen, dass die Risiken durch Kontrollmechanismen begrenzt werden. Die beaufsichtigten Finanzinstitute müssen demnach alle Risiken, einschliesslich Rechts- und Reputationsrisiken, angemessen erfassen, begrenzen und überwachen sowie ein wirksames internes Kontrollsystem errichten. Das setzt wiederum ein sorgfältiges Risikomanagement voraus.
Längerfristige Trends und Risiken
Die FINMA identifiziert im Rahmen der Risikoüberwachung auch Trends wie die künstliche Intelligenz (KI). Dessen Bedeutung nimmt auch im Finanzmarkt stetig zu und wird nebst diversen Veränderungen auch Risiken mit sich bringen.
Die FINMA sieht besondere Herausforderungen beim Einsatz von KI zum Beispiel im Bereich Governance und Verantwortlichkeit. Auch wenn Entscheide zunehmend auf Ergebnisse von KI-Anwendungen basieren, so kann die Verantwortung für Entscheidungen nicht an KI delegiert werden. Daher müssen klare Verantwortlichkeiten und Risikomanagementprozesse definiert werden. Dazu gehört auch, die Ergebnisse von KI kritisch zu hinterfragen und auf ihre Zuverlässigkeit zu prüfen. Zudem müssen die Beteiligten über genügend Know-how betreffend KI verfügen.
Ein weiteres Risiko bei Einsatz von KI besteht gemäss der FINMA im Bereich Transparenz und Erklärbarkeit solcher KI-Entscheidungen. Aufgrund der Vielzahl an Parametern und komplexen Modellen können bei KI-Anwendungen oftmals der Einfluss einzelner Parameter auf das Ergebnis nicht mehr nachvollzogen werden. Ohne das entsprechende Verständnis, wie die Ergebnisse zustande kommen, besteht folglich das Risiko, dass Entscheidungen nicht mehr nachvollzieh- oder überprüfbar sind. Die Erklärbarkeit der Resultate sowie die Transparenz über deren Einsatz ist jedoch je nach Empfänger, Relevanz und Prozessintegration sicherzustellen.