Das FINIG schreibt unabhängigen Vermögensverwaltern ab einem bestimmten Risikoniveau ein unabhängiges Risikomanagement und eine unabhängige Compliance vor. Diese Anforderung, die bei der Genehmigung strikt durchgesetzt wurde, führte zu zahlreichen Auslagerungen. In ihrem Risikomonitor 2023 und ihrer Mitteilung 2024 zu operationellen Risiken drängt die FINMA auf höhere Anforderungen an solche Auslagerungen.

Fokus auf operationelle Risiken
Die Mitteilung 2024 ist zwar formell an die Verwalter von Kollektivvermögen gerichtet, erwähnt aber die individuelle Vermögensverwaltung im Hinblick auf Rechts- und Compliance-Risiken. Nach Ansicht der Behörde wurde dem Wissen und der Erfahrung der Anbieter im Umgang mit operationellen Risiken zu wenig Bedeutung beigemessen. Insbesondere würden ausgelagerte Aktivitäten beim Management dieser Risiken nicht ausreichend berücksichtigt.
Diese Sorge spiegelt sich im Risikomonitor 2023 wider, in dem das Outsourcing als zusätzliches Risiko dargestellt wird. Die FINMA überwacht diese Risiken durch Vor-Ort-Kontrollen und die Analyse von Aufsichts- und Prüfdaten.

Diese Sorge spiegelt sich im Risikomonitor 2023 wider, in dem das Outsourcing als zusätzliches Risiko dargestellt wird. Die FINMA überwacht diese Risiken durch Vor-Ort-Kontrollen und die Analyse von Aufsichts- und Prüfdaten.

Fehlende Richtlinien
Weder das Rundschreiben zu den Risiken 2017 vom 17. Januar noch das am 23. Januar veröffentlichte, auf operationelle Risiken beschränkte Rundschreiben 2023 zielen direkt auf die UVVs ab. Dasselbe gilt für die Mitteilung über die Risiken der Geldwäsche vom Mai 2023. Von den Dienstleistern, die die unabhängigen Vermögensverwalter betreuen, wird in der Regel ein Konzept für das Risikomanagement erwartet. Auch neu ist, dass die FINMA offenbar systematisch einen Ansatz für Cyberrisiken anstrebt.

Vorteile und Risiken des Outsourcings
Die FINMA hat die Vorteile des Outsourcings erkannt. Flexibilität, Innovation und bessere operative Widerstandsfähigkeit werden unter anderem genannt. Sie ist jedoch der Ansicht, dass Ausfälle von wichtigen Dienstleistern untrennbar mit erheblichen Risiken verbunden sind. Sie führte weiter aus, dass die Überwachung der Dienstleister und der Risiken, die sie darstellen, für einen reibungslosen operativen Ablauf unerlässlich sind.

Für unabhängige Vermögensverwalter ist es zweifellos schwierig, diese enge Überwachung umzusetzen, es sei denn, sie ernennen einen COO, der für die Auslagerungen verantwortlich ist.

Nach wie vor wird die Internalisierung von Funktionen bei der UVV bevorzugt. In dieser Hinsicht ist die operative Widerstandsfähigkeit alles andere als gegeben, sobald sie den Unwägbarkeiten des Arbeitsrechts unterworfen ist. Ein vergleichender Ansatz zwischen der Internalisierung und des Outsourcings von Compliance- und Risikomanagementfunktionen für vergleichbare UVVs fehlt. Die Forderung nach Unabhängigkeit von ertragserzielenden Tätigkeiten ist hier ebenso wichtig.

Welcher Risikoansatz für UVVs?
Bei den Prüfungen konzentrieren sich die Aufsichtsbehörden auf die Risiken im Bereich GwG, FIDLEG und FINIG und verfolgen einen regulatorischen Ansatz gegenüber den UVVs. Einige Faktoren, die Risiken verschärfen oder abschwächen, werden noch analysiert.

Die UVVs müssen vor der Genehmigung eine Risikomatrix vorlegen, die oft als Grundlage für Kontrollpläne dient. Da diese Matrizen zu standardisiert sind, stimmen sie oft nicht mit den Aktivitäten des UVV überein. Sie sind zu spezifisch, um die Punkte zu erfassen, die bei der Prüfung der GwG-, FIDLEG- und FINIG-Risiken erwartet werden. Sie umfassen oftmals regulatorische, betriebliche und finanzielle Risiken in gleichem Masse.

Eine Fokussierung auf operationelle Risiken und die damit verbundenen regulatorischen und Cyberrisiken würde die Erwartungen an das Management dieser Risiken verbessern. Die FINMA bringt dies in ihrer Mitteilung 2024 klar zum Ausdruck: «[Es wurde] zu wenig Wert auf die Kenntnisse und Erfahrungen der betreffenden Dienstleister im Bereich des Managements operationeller Risiken gelegt».

So wurde beispielsweise kritisiert, dass einige Einrichtungen nicht erkannt hätten, dass sie Cyberangriffe auf ihr Unternehmen melden müssten. Auch ein falsches Verständnis und eine fehlende Kontrolle der Crossborder-Problematik werden genannt. All dies sind Elemente, die zu den operationellen Risiken gehören.

Das GwG als Grundlage für Compliance und Risikomanagement
Bei der Genehmigung ist eine Analyse der Risiken der Geldwäsche erforderlich. In ihrer Mitteilung 2023 erwartet die FINMA quantifizierte Indikatoren, die sich auf Kennzahlen beschränken. Laut dem Rundschreiben zu den Risiken von 2017 setzt die Begrenzung des Geldwäscherisikos eine angemessene Definition der Risikotoleranz durch die Einrichtung voraus. Angesichts der strafrechtlichen Normen ist es kaum vorstellbar, dass diese Schwelle anders als niedrig sein könnte. Zuletzt weist die FINMA darauf hin, dass die Beobachtungen und Erfahrungen aus der Mitteilung von 2023 analog für die UVVs verwendet werden können.

Verhaltensregeln des FIDLEG
Der Entwurf des Rundschreibens vom Mai 2024 befasst sich mit bestimmten Finanz- und Marktrisiken, wie z. B. die Konzentration. Interessenkonflikte und Retrozessionen sind jedoch in erster Linie eine Frage der operationellen und regulatorischen Risiken.

Der Vermögensverwalter kann die Kontrolle der operationellen Risiken nicht mit einem quantitativen oder gar statistischen Ansatz für die Risiken, insbesondere die finanziellen Risiken, nach dem Vorbild einer Bank gleichsetzen. Die Trennung von Risiken und Compliance ist manchmal kompliziert umzusetzen. Letztendlich sind zu hohe und vor allem zu weitreichende Erwartungen an das Risikomanagement untrennbar mit einem schlechten Ergebnis verbunden. Es ist daher auch das relativ ausgefallene Konzept des Risikomanagements des UVV, das zu Fehlern führen kann. Dies gilt unabhängig davon, ob die Compliance und das Risikomanagement getrennt oder einheitlich, ausgelagert oder nicht ausgelagert sind.

Die Erwartungen an das Risikomanagement von unabhängigen Vermögensverwaltern müssen realistisch und angemessen sein, um ein effektives Ergebnis zu gewährleisten. Daher ist ein legitimes und auf die Vermögensverwalter zugeschnittenes Konzept für das Risikomanagement erforderlich.

Eine Lockerung der Anforderungen in Bezug auf die Unabhängigkeit des Risikomanagements und der Compliance würde eine Gesetzesänderung voraussetzen. In dieser Form wird das Outsourcing dieser Funktionen für viele Vermögensverwalter unumgänglich bleiben, unabhängig davon, ob sie als Risiko eingestuft werden oder nicht.

Henri Corboz

PBM Avocats

Henri Corboz ist Rechtsanwalt und Leiter der Abteilung für Regulierung und Compliance bei PBM Avocats. Er ist für regulatorische und Compliance-Themen und die damit verbundenen Rechtsstreitigkeiten zuständig. Ferner befasst er sich mit der Strukturierung von Investmentfonds und Trusts.

Corboz war in der wichtigsten Bewilligungsphase von 2021 bis 2023 Leiter der OS-AOOS in der französischen Schweiz. Vor seinem Wechsel in die Kapitalmarktabteilung von Crédit Agricole (Suisse) im Jahr 2011 war er als Anwalt tätig. Im Jahr 2014 wurde er Head of Legal & Compliance bei einem Fondsmanager und wechselte 2015 zu einer Kanzlei mit Niederlassungen in Genf, Paris und Luxemburg. Im Jahr 2017 kehrte er zu CA Indosuez (Switzerland) zurück, wo er den AIA (automatischer Informationsaustausch), die FATCA-Amtshilfe und die QI-Compliance implementierte.