Je nach Risikoniveau musste der UVV über ein von den ertragserzielenden Funktionen unabhängiges Risikomanagement- und Compliance-System verfügen. Andernfalls wurde ihm von der FINMA im Rahmen des Bewilligungsverfahrens eine Reorganisation dieser Funktionen vorgeschrieben. Konkret bedeutete dies die Delegierung dieser Funktionen an einen Dienstleister, die Abstellung eines Mitarbeiters oder sogar die Einstellung eines Risk & Compliance Officers. Im Bewilligungsentscheid ist jedoch nirgends das mit dem UVV verbundene Risikoniveau angegeben.

Der Aufsichtsansatz wirkt sich in erster Linie auf die Kontrollfunktionen aus. Die Ausführungsverordnung des FINIG sieht vor, dass UVV mit mehr als fünf Vollzeitstellen oder einem jährlichen Bruttoertrag von über zwei Millionen über ein unabhängiges Risiko- und Compliance-Management verfügen müssen. Diesen grossen UVV werden diejenigen gleichgestellt, deren Geschäftsmodell „hohe Risiken“ aufweist. Was genau unter diesem Begriff zu verstehen ist, wird nicht näher erläutert.

Nach der Höhe der Risiken richten sich auch die Zusammensetzung des Verwaltungsrats und die Kosten für den UVV. Die FINMA kann einen mehrheitlich aus unabhängigen Mitgliedern bestehenden Verwaltungsrat verlangen, wenn der UVV mindestens zehn Vollzeitstellen umfasst oder einen jährlichen Bruttoertrag von mehr als 5 Millionen erzielt. Sie kann dies auch verlangen, wenn „Art und Umfang der Geschäftstätigkeit“ dies erfordern. Zusätzlich zu den grossen UVV bezieht sich diese Regel auch auf das dem Vermögensverwalter zugeordnete Risikoniveau.

Kein “one size fits all”.

Eines der Ziele des risikoorientierten Aufsichtsansatzes bestand darin, kleineren UVV keine schwerfällige Struktur, keine unabhängigen Risiko- und Compliance-Funktionen oder gar einen Verwaltungsrat vorzuschreiben, getreu dem FINMA-Grundsatz: „not one size fits all“. Die Grösse und das verwaltete Vermögen stellen jedoch nur einen von vielen Parametern des risikoorientierten Aufsichtsansatzes dar.

Nach Erhalt der FINMA-Bewilligung richtet sich die Häufigkeit der Audits nach dem Risikoniveau. Das bei der Erteilung der Bewilligung zugewiesene Niveau stimmt nicht unbedingt mit dem Niveau nach einem oder mehreren Geschäftsjahren überein, denn nach der Bewilligung kommen Faktoren zum Tragen, die das Risiko minimieren oder erhöhen, wobei diese Faktoren sich nicht auf zu einem späteren Zeitpunkt festgestellte Abweichungen beschränken, die bei der Erteilung der Bewilligung nicht vorhersehbar waren.

Bei der Durchführung der Prüfung bestimmt der Risikoansatz den Umfang der Prüftätigkeiten und die Kosten der Prüfung. Kleine UVV kommen in dieser Hinsicht schlechter weg, wenn sie sich keine Massnahmen zur Risikoreduzierung leisten können. Dazu gehört ein PMS oder ein CRM zur Überprüfung der Übereinstimmung des Portfolios mit der Anlagestrategie oder die Identifikation von Beziehungen mit erhöhtem Risiko.

Grenzen des risikoorientierten Aufsichtsansatzes

Die Aufsichtsorganisation kann die Häufigkeit der Audits in Abhängigkeit vom beaufsichtigten UVV und den damit verbundenen Risiken auf höchstens einmal alle vier Jahre senken. Eine Prüfung im Vierjahres-Turnus mag überraschen, da die Prüfzyklen der SRO in der Regel zwei Jahre nicht überschritten hatten.

Die Prüfberichte nehmen die Struktur eines Triptychons an, das das GwG, die Verhaltensregeln des FIDLEG und die Corporate Governance-Grundsätze des FINIG umfasst. Bei Trustees, die keine Vermögen verwalten, kann der FIDLEG-Teil beiseite gelassen werden, allerdings wird der Aktivität ein Anfangsrisiko zugewiesen. Jeder Teil des Triptychons ist mit einem Risikoniveau verbunden, das als Teilrating bezeichnet wird. Ein konservativer Ansatz weist dem UVV ein Gesamtrating zu, wobei das ungünstigste Teilrating zugrunde gelegt wird. Nur bei einem günstigen Gesamtrating kann der UVV einen mehrjährigen Zyklus in Anspruch nehmen. Für einen Audit alle vier Jahre muss der UVV also sowohl im Einklang mit dem GwG als auch dem FIDLEG und FINIG ein geringes Risiko aufweisen. Es wird sich zeigen, ob die drei- oder gar vierjährigen Zyklen in der Praxis tatsächlich zur Anwendung kommen.

Bleibt die Frage nach der Relevanz der Teilratings. Gemäss den GwG- und FIDLEG-Abschnitten der Prüfberichte ist eine Stichprobenkontrolle erforderlich. Der Umfang der Stichprobe hängt von der Höhe des Risikos ab, das dem jeweiligen Abschnitt des Berichts entspricht. Hier gibt es für kleine UVV möglicherweise Schwellenwerte (Mindeststichprobe), die unter Umständen nicht erreicht werden.

Die erwartete Häufigkeit der vom UVV durchzuführenden Kontrollen richtet sich letztendlich auch nach dem Risiko des Unternehmens. Wenn der UVV sich über dem ihm zugewiesene Risikoniveau nicht im Klaren ist, kann die Bestimmung der Häufigkeit jeder Prüftätigkeit in der internen Organisation ein heikles Unterfangen sein.

Zugängliche Risikokriterien oder sogar eine widersprüchliche Klassifizierung

Die bisher mitgeteilten Risikokriterien sind beispielhaft oder auf dem Umweg über ein Formular. Man denkt an die Inanspruchnahme von Depotbanken, an Offshore-Gerichtsbarkeiten für das GwG, an „hauseigene“ Produkte gemäss FIDLEG, oder an gesetzlich geregelte Mandate im Sinne des FINIG. Ein systematischer Risikoansatz, segmentiert nach GwG, FIDLEG oder FINIG, ist nicht offen zugänglich. Eine derartige Segmentierung existiert jedoch, wie die Anwendung von Teilratings zeigt. Die Offenlegung der wesentlichen Elemente würde die Aufsichtsbehörden nicht an ihrer Weiterentwicklung hindern. Einige Akteure könnten versucht sein, diese Parameter zu modifizieren. Wenn dies dazu führt, die dem UVV zugewiesenen Risiken zu senken, wäre ein Teilziel des Anlegerschutzes erreicht.

Auf der Kostenseite (Prüfungen, Dienstleister, usw.) scheinen die Auswirkungen dieses risikoorientierten Aufsichtsansatzes auszureichen, dass es auf mittlere Sicht zu mehr Widersprüchen gegen die Einstufung der UVV kommt. Im Falle einer Anfechtung, beispielsweise nach einer abgelehnten Bewilligung, ist das Verwaltungsverfahren des Bundes in Bezug auf die mögliche Sperrung des Zugangs zu bestimmten Elementen eines Antrags restriktiv. Im Rahmen der laufenden Überwachung durch die Aufsichtsorganisationen (AO) könnten zugängliche Risikokriterien eine mögliche Haftung im Falle fehlerhafter Ratings mindern. Wenn ein UVV oder sein Abschlussprüfer nicht an der für ihn angewandten Behandlung interessiert ist, obwohl er Zugang dazu hat, würde er zum Entstehen eines Schadens beitragen, der im Übrigen schwer zu beziffern sein dürfte.

Henri Corboz

PBM Avocats

Henri Corboz ist Rechtsanwalt und Leiter der Abteilung für Regulierung und Compliance bei PBM Avocats. Er ist für regulatorische und Compliance-Themen und die damit verbundenen Rechtsstreitigkeiten zuständig. Ferner befasst er sich mit der Strukturierung von Investmentfonds und Trusts.

Corboz war in der wichtigsten Bewilligungsphase von 2021 bis 2023 Leiter der OS-AOOS in der französischen Schweiz. Vor seinem Wechsel in die Kapitalmarktabteilung von Crédit Agricole (Suisse) im Jahr 2011 war er als Anwalt tätig. Im Jahr 2014 wurde er Head of Legal & Compliance bei einem Fondsmanager und wechselte 2015 zu einer Kanzlei mit Niederlassungen in Genf, Paris und Luxemburg. Im Jahr 2017 kehrte er zu CA Indosuez (Switzerland) zurück, wo er den AIA (automatischer Informationsaustausch), die FATCA-Amtshilfe und die QI-Compliance implementierte.