Verordnung der FINMA vom 31. Oktober 2024 über die Aufsichtsprüfung (Aufsichtsprüfverordnung FINMA)

Die Eidgenössische Finanzmarktaufsicht (FINMA),

gestützt auf die Artikel 3 Absatz 1, 5 Absatz 5, 10 Absatz 1 und Artikel 12 der Finanzmarktprüfverordnung vom 5. November 2014[^1] (FINMA-PV),

verordnet:

1. Kapitel: Gegenstand

Art. 1

Diese Verordnung regelt, wie die Prüfgesellschaften nach Artikel 24 Absatz 1 Buchstabe a des Finanzmarktaufsichtsgesetzes vom 22. Juni 2007[^2] (FINMAG) die Beaufsichtigten prüfen müssen. Sie regelt zu diesem Zweck:

• a. für jeden Aufsichtsbereich die im Rahmen der Basisprüfung zu prüfenden Gebiete;

• b. die Ermittlung der Risiken, die sich aus der Geschäftstätigkeit der oder des Beaufsichtigten ergeben;

• c. für die zu prüfenden Gebiete die Prüfperiodizität und die Prüftiefe;

• d. die Einzelheiten der Prüfgrundsätze;

• e. die Anforderungen an den Prüfbericht und die Fristen für die Einreichung.

2. Kapitel: Gemeinsame Bestimmungen für die Aufsichtsprüfung in allen Aufsichtsbereichen

1. Abschnitt: Prüfgebiete

Art. 2

¹ Die FINMA gibt für jeden Aufsichtsbereich vor, in welchen der folgenden Prüfgebiete die Aufsichtsprüfung durchzuführen ist:

• a. interne Organisation und Corporate Governance;

• b. Kapital- und Eigenmittelanforderungen;

• c. Risikomanagement und Risikokonzentrationen;

• d. Liquiditätsanforderungen;

• e. Verhaltensregeln.

² Sie gibt zudem vor, in welchen Prüffeldern innerhalb eines Prüfgebiets die Aufsichtsprüfung durchzuführen ist.

2. Abschnitt: Risikoanalyse

Art. 3 Grundsatz

¹ Die Prüfgesellschaft muss zu Beginn jeder Aufsichtsprüfung eine Risikoanalyse durchführen.

² Sie ermittelt dazu, welche Risiken sich aus der Geschäftstätigkeit der oder des Beaufsichtigten ergeben (inhärente Risiken).

³ Sie ermittelt die Kontrollrisiken.

⁴ Basierend auf den inhärenten Risiken und den Kontrollrisiken ermittelt sie das Nettorisiko.

⁵ Sie bringt die inhärenten Risiken und die Nettorisiken in eine Rangordnung.

⁶ Für Versicherungsunternehmen nach Artikel 47 ist ausschliesslich Absatz 1 anwendbar.

Art. 4 Erstellung der Risikoanalyse

¹ Die Prüfgesellschaft berücksichtigt bei der Erstellung der Risikoanalyse insbesondere wesentliche Entwicklungen und Neuerungen bei der oder dem Beaufsichtigten und in dessen Umfeld.

² Sie kann sich auch auf Arbeiten der internen Revision der oder des Beaufsichtigten stützen.

Art. 5 Einreichung der Risikoanalyse

¹ Die Risikoanalyse ist der FINMA einzureichen und der oder dem Beaufsichtigten zur Kenntnis zu bringen.

² Die Fristen für die Einreichung richten sich nach dem 3. Kapitel.

Art. 6 Ermittlung des inhärenten Risikos, des Kontrollrisikos und des Nettorisikos

¹ Die Höhe des inhärenten Risikos wird nach Anhang 1 bestimmt; es wird ermittelt anhand:

• a. des Ausmasses des Schadens, der entsteht, wenn das Risikoereignis eintritt; und

• b. der Wahrscheinlichkeit, dass das Risikoereignis eintritt.

² Die Höhe des Kontrollrisikos wird nach Anhang 2 bestimmt; es wird ermittelt anhand der Frage, ob die oder der Beaufsichtigte Massnahmen zur Minderung des inhärenten Risikos getroffen hat und falls ja, ob die Massnahmen wirksam sind.

³ Die Höhe des Nettorisikos wird nach Anhang 3 bestimmt.

⁴ Für Versicherungsunternehmen nach Artikel 47 sind die Absätze 2 und 3 nicht anwendbar.

Art. 7 Ermittlung des Kontrollrisikos im Falle eines Mandatswechsels

¹ Beim Wechsel eines Prüfmandats kann sich die neue Prüfgesellschaft für die Ermittlung des Kontrollrisikos auf die Prüfergebnisse der vorhergehenden Prüfgesellschaft abstützen, sofern sie die Prüfergebenisse kritisch würdigt.

² Für Versicherungsunternehmen nach Artikel 47 ist Absatz 1 nicht anwendbar.

Art. 8 Vorlagen für die Erstellung der Risikoanalyse

¹ Für die Risikoanalyse sind die Vorlagen der FINMA zu verwenden.

² Nimmt die FINMA an den Vorlagen wesentliche Anpassungen vor, so konsultiert sie vorgängig die Betroffenen.

3. Abschnitt: Institutsspezifische Prüfstrategie

Art. 9

Die Prüfhandlungen müssen auf der Grundlage einer institutsspezifischen Prüfstrategie durchgeführt werden. Deren Erstellung richtet sich nach dem 3. Kapitel.

4. Abschnitt: Prüfperiodizität und Prüftiefe

Art. 10

¹ Die Prüfperiodizität und die Prüftiefe richten sich nach dem 3. Kapitel.

² Ist die Prüftiefe «Prüfung» vorgegeben, so ist die Aufsichtsprüfung so vorzunehmen, dass über die Einhaltung der aufsichtsrechtlichen Bestimmungen ein eindeutiges Prüfurteil (positive assurance) abgegeben wird.

³ Ist die Prüftiefe «kritische Beurteilung» vorgegeben, so ist die Aufsichtsprüfung so vorzunehmen, dass eine Stellungnahme dazu abgegeben wird, ob sich im Rahmen der vorgenommenen Prüfhandlung Sachverhalte ergeben haben, aus denen geschlossen werden kann, dass die aufsichtsrechtlichen Bestimmungen nicht eingehalten werden (negative assurance).

5. Abschnitt: Prüfgrundsätze

Art. 11 Allgemeine Vorgehensweise

¹ Die Prüfgesellschaft muss die Aufsichtsprüfung mit einer kritischen Grundhaltung vorbereiten und durchführen. Sie muss dabei sicherstellen, dass die Beurteilungen objektiv sind.

² Sie muss die möglichen Auswirkungen aktueller aufsichtsrechtlich relevanter Entwicklungen auf die Beaufsichtigte oder den Beaufsichtigten sowie auf deren oder dessen Umfeld berücksichtigen, insbesondere hinsichtlich der künftigen Einhaltung aufsichtsrechtlicher Bestimmungen.

³ Wird im Rahmen der Aufsichtsprüfung ein Verstoss gegen gesetzliche oder andere Vorschriften, Statuten, Reglemente und Weisungen festgestellt, so ist zu beurteilen, ob dadurch die Integrität der Unternehmensleitung oder der Mitarbeitenden in Frage gestellt ist.

Art. 12 Qualitätssicherung

¹ Die Prüfgesellschaft muss Grundsätze zur Qualitätssicherung für die Aufsichtsprüfung festlegen und sicherstellen, dass sie diese Grundsätze dauerhaft einhält.

² Sie muss für jede Aufsichtsprüfung die erforderlichen Massnahmen ergreifen, um die Einhaltung dieser Grundsätze sicherzustellen.

³ Sie zieht Fachspezialistinnen und Fachspezialisten bei, wenn die Aufsichtsprüfung dies aus ihrer Sicht erfordert.

Art. 13 Prüfnachweis

¹ Im Rahmen der Aufsichtsprüfung müssen hinreichende und angemessene Prüfnachweise erbracht werden. Die daraus gezogenen Schlüsse bilden die Grundlage für die Prüfbestätigungen und die Berichterstattung.

² Prüfnachweise werden mit Funktionsprüfungen, aussagebezogenen Einzelfallprüfungen (Stichprobenprüfungen) und mit aussagebezogenen analytischen Prüfhandlungen erbracht.

³ Werden als Prüfnachweise von der oder dem Beaufsichtigten erstellte Unterlagen verwendet, so müssen diese auf ihre korrekte Erstellung hin kritisch hinterfragt werden.

⁴ Werden nach Abschluss der Aufsichtsprüfung und vor der Abgabe des Prüfberichts für die Aufsichtsprüfung relevante Ereignisse identifiziert, so sind auch dazu hinreichende Prüfhandlungen vorzunehmen und angemessene Prüfnachweise zu erbringen. Die daraus gezogenen Schlüsse sind im Prüfbericht aufzuführen.

Art. 14 Stichprobenprüfungen

¹ Werden Prüfnachweise mittels Stichprobenprüfungen erbracht, so müssen die Stichproben so ausgewählt werden, dass:

• a. sie eine hinreichende Grundlage bieten, damit daraus Schlüsse über den zu prüfenden Sachverhalt gezogen werden können; und

• b. das Risiko, dass die Interpretation einer Stichprobe zu einem falschen Schluss führt (Stichprobenrisiko), auf ein vertretbar niedriges Mass reduziert werden kann.

² Bei der Auswahl der Stichproben sind der Zweck der Prüfhandlung, die Relevanz des betroffenen Prüfgebiets und Prüffelds sowie die Merkmale der Grundgesamtheit zu berücksichtigen. Die Auswahl ist nach einem risikoorientierten Ansatz nach Artikel 24 Absatz 2 FINMAG[^3] zu treffen.

³ Werden aufgrund der Stichprobenprüfung Mängel bei der oder dem Beaufsichtigen festgestellt, so sind Art und Ursache der Mängel sowie die Auswirkungen zu beurteilen, die die Mängel auf andere Bereiche haben könnten. Die Mängel sind, soweit möglich, auf die Grundgesamtheit hochzurechnen.

Art. 15 Nachprüfung

Hat die Prüfgesellschaft der oder dem Beaufsichtigten eine Frist zur Herstellung des ordnungsgemässen Zustandes nach Artikel 27 Absatz 2 FINMAG[^4] gesetzt, so prüft sie innerhalb eines angemessenen Zeitraumes nach Ablauf der Frist, ob dies erfolgt ist (Nachprüfung).

Art. 16 Prüfpunkte

Die FINMA kann Prüfhandlungen vorgeben (Prüfpunkte).

Art. 17 Prüfdokumentation

¹ Die Prüfgesellschaft muss die Aufsichtsprüfung zeitgerecht, umfassend und in der notwendigen Tiefe dokumentieren.

² Die Prüfdokumentation muss für sachkundige Dritte verständlich und nachvollziehbar sein und die folgenden Angaben enthalten:

• a. Informationen zur Planung und Durchführung der Aufsichtsprüfung;

• b. Art, Zeitpunkt und Umfang der durchgeführten Prüfhandlungen;

• c. die Begründungen und Schlussfolgerungen zu den geprüften Sachverhalten;

• d. die Prüfbestätigungen im Prüfbericht.

³ Werden in der Prüfdokumentation von der oder dem Beaufsichtigten erstellte Unterlagen verwendet, so sind diese zu kennzeichnen, und es ist festzuhalten, dass ihre korrekte Erstellung kritisch hinterfragt wurde.

⁴ Die Prüfgesellschaft muss die Prüfdokumentation innerhalb angemessener Frist nach Abgabe des Prüfberichts abschliessen. Nach Abschluss dürfen an der Prüfdokumentation keine Veränderungen mehr vorgenommen werden.

⁵ Die Prüfgesellschaft muss sicherstellen, dass die Prüfdokumentation sicher und von den Dokumenten der Rechnungsprüfung getrennt aufbewahrt wird.

⁶ Die Prüfdokumentation ist so aufzubewahren, dass die Vertraulichkeit gewahrt bleibt.

Art. 18 Trennung der Aufsichtsprüfung und der Rechnungsprüfung

In Ausnahmefällen kann die FINMA verlangen, dass die Aufsichtsprüfung nicht von der leitenden Prüferin oder vom leitenden Prüfer und nicht vom Prüfteam durchgeführt wird, die die Rechnungsprüfung durchführen.

Art. 19 Abstützung auf die interne Revision

¹ Stützt sich die Prüfgesellschaft im Rahmen ihrer Prüfhandlungen auf Arbeiten der internen Revision, so ist im Prüfbericht auszuweisen:

• a. in welchem Prüfgebiet oder Prüffeld und in welchem Umfang die interne Revision die Arbeiten, auf die sich die Prüfgesellschaft stützt, durchgeführt hat; und

• b. zu welchem Ergebnis die interne Revision im Rahmen ihrer Arbeiten gekommen ist.

² Entsprechen die Arbeiten der internen Revision nicht den Anforderungen nach Artikel 5 Absatz 3 FINMA-PV, so darf sich die Prüfgesellschaft nur dann auf diese Arbeiten stützen, wenn sie ergänzende Prüfhandlungen vornimmt.

Art. 20 Aufsichtsprüfung bei grenzüberschreitend tätigen Finanzgruppen und Finanzkonglomeraten

¹ Die Prüfgesellschaft kann die Aufsichtsprüfung von im Ausland ansässigen Unternehmen einer Finanzgruppe oder eines Finanzkonglomerats, die im Rahmen einer Konzernprüfung vorzunehmen ist, selbst vornehmen oder von einer dem gleichen Netzwerk angehörenden Prüfgesellschaft vornehmen lassen.

² Wird die Aufsichtsprüfung von einer mit der Prüfgesellschaft verbundenen Gesellschaft durchgeführt, so muss die Prüfgesellschaft:

• a. die verbundene Prüfgesellschaft instruieren und deren Prüfhandlungen überwachen;

• b. die von der verbundenen Prüfgesellschaft erstellte Prüfdokumentation periodisch einer Qualitätskontrolle unterziehen;

• c. die von der verbundenen Prüfgesellschaft durchgeführten Arbeiten beurteilen.

³ Wird im Rahmen der Aufsichtsprüfung festgestellt, dass schweizerische aufsichtsrechtliche Bestimmungen infolge eines Widerspruchs mit ausländischem Recht nicht eingehalten werden können, so muss die Prüfgesellschaft dies im Prüfbericht festhalten.

Art. 21 Prüfhandlungen im Rahmen von Bewilligungsverfahren

Für Prüfhandlungen im Rahmen eines Bewilligungsverfahrens nach Artikel 2 Absatz 2 FINMA-PV gelangen die Prüfgrundsätze sinngemäss zur Anwendung.

6. Abschnitt: Berichterstattung

Art. 22 Grundsatz

¹ Im Prüfbericht ist der Schwerpunkt auf die Darstellung der bei der oder dem Beaufsichtigten vorhandenen Schwachstellen und auf das Verbesserungspotenzial zu legen.

² Die Prüfgesellschaft berücksichtigt bei der Erstellung des Berichts im Übrigen das für die Beaufsichtigte oder den Beaufsichtigten massgebende Umfeld sowie aktuelle und absehbare Entwicklungen.

Art. 23 Mindestinhalt

¹ Der Prüfbericht muss mindestens die folgenden Angaben und Unterlagen enthalten:

• a. Übersicht über die Rahmenbedingungen der Aufsichtsprüfung;

• b. Bestätigung der Unabhängigkeit der Prüfgesellschaft;

• c. Angabe allfälliger weiterer Mandate der Prüfgesellschaft bei der oder dem Beaufsichtigten;

für die abgedeckten Prüfgebiete oder Prüffelder:

• 1. Zusammenfassung der vorgenommenen Prüfhandlungen,

• 1. Prüfbestätigungen;

• d.

• e. allfällige Beanstandungen und Empfehlungen (Art. 11 FINMA-PV);

• f. allfällige wesentliche Schwachstellen, auf die Dritte hingewiesen haben;

• g. allfällige bedeutende Änderungen bei der oder dem Beaufsichtigten sowie Hinweise auf künftige Herausforderungen für die Beaufsichtigte oder den Beaufsichtigten;

• h. Bestätigung, dass die Anordnungen der FINMA von der oder dem Beaufsichtigen eingehalten wurden;

• i. die von der FINMA in den Vorlagen für die Erstellung des Berichts verlangten Beilagen.

² Der Prüfbericht für Versicherungsunternehmen nach Artikel 47 muss die Angaben und Unterlagen nach Absatz 1 Buchstaben d und h nicht enthalten.

Art. 24 Beanstandungen und Empfehlungen

¹ Beanstandungen und Empfehlungen sind zu klassifizieren.

² Ist die oder der Beaufsichtigte mit einer Beanstandung oder Empfehlung nicht einverstanden, so ist dies im Prüfbericht auszuweisen.

³ Wird eine Beanstandung oder Empfehlung wiederholt festgehalten, so ist dies im Prüfbericht auszuweisen.

Art. 25 Klassifizierung der Beanstandungen

¹ Eine Beanstandung ist als hoch zu klassifizieren, wenn mindestens eines der folgenden Kriterien zutrifft:

• a. die Verletzung aufsichtsrechtlicher Bestimmungen stellt ein nach Artikel 27 Absatz 3 FINMAG[^5] meldepflichtiges Ereignis dar;

• b. Elemente der Organisation, Funktionen, Prozesse oder Kontrollen, die gemäss Aufsichtsrecht, Statuten, Reglementen und Weisungen erforderlich sind, sind überwiegend nicht vorhanden oder deren Wirksamkeit ist stark beeinträchtigt;

• c. die Verletzung aufsichtsrechtlicher Bestimmungen hat eine erhebliche Erhöhung des inhärenten Risikos oder des Kontrollrisikos (Risikolage) zur Folge;

• d. es liegt eine systematische Verletzung aufsichtsrechtlicher Bestimmungen vor.

² Eine Beanstandung ist als mittel zu klassifizieren, wenn mindestens eines der folgenden Kriterien zutrifft:

• a. Elemente der Organisation, Funktionen, Prozesse oder Kontrollen, die gemäss Aufsichtsrecht, Statuten, Reglementen und Weisungen erforderlich sind, sind teilweise nicht vorhanden oder deren Wirksamkeit ist beeinträchtigt;

• b. die Verletzung aufsichtsrechtlicher Bestimmungen hat eine moderate Erhöhung der Risikolage zur Folge.

³ Eine Beanstandung ist als tief zu klassifizieren, wenn mindestens eines der folgenden Kriterien zutrifft:

• a. Elemente der Organisation, Funktionen, Prozesse oder Kontrollen, die gemäss Aufsichtsrecht, Statuten, Reglementen und Weisungen erforderlich sind, sind nicht ausreichend dokumentiert oder nicht formell verabschiedet, wobei deren Wirksamkeit dadurch nicht beeinträchtigt ist;

• b. die Verletzung aufsichtsrechtlicher Bestimmungen hat keine Auswirkung auf die Risikolage.

Art. 26 Klassifizierung der Empfehlungen

¹ Eine Empfehlung ist als hoch zu klassifizieren, wenn mindestens eines der folgenden Kriterien zutrifft:

• a. es besteht die Gefahr einer erheblichen Erhöhung der Risikolage oder die Gefahr einer schwerwiegenden Verletzung aufsichtsrechtlicher Bestimmungen;

• b. die Empfehlung muss umgehend umgesetzt werden.

² Eine Empfehlung ist als mittel zu klassifizieren, wenn mindestens eines der folgenden Kriterien zutrifft:

• a. es besteht die Gefahr einer Erhöhung der Risikolage oder die Gefahr einer Verletzung von aufsichtsrechtlichen Bestimmungen;

• b. die Empfehlung muss innerhalb der nächsten Prüfperiode umgesetzt werden.

³ Eine Empfehlung ist als tief zu klassifizieren, wenn mindestens eines der folgenden Kriterien zutrifft:

• a. es besteht die Möglichkeit, dass aufsichtsrechtliche Bestimmungen mittel- bis langfristig nicht eingehalten werden, und die entsprechende Anpassung ist nicht dringend vorzunehmen;

• b. es besteht die Möglichkeit, dass die Organisation oder Prozesse verbessert werden, und diese Verbesserung ist nicht dringend vorzunehmen.

Art. 27 Berichterstattung bei konsolidiert beaufsichtigten Finanzgruppen und Finanzkonglomeraten

Bei Finanzgruppen und Finanzkonglomeraten, die der konsolidierten Aufsicht nach den Artikeln 3b–3g des Bankengesetzes vom 8. November 1934[^6] (BankG) oder nach den Artikeln 65 und 73 des Versicherungsaufsichtsgesetzes vom 17. Dezember 2004[^7] unterstehen, ist ein Prüfbericht für jedes von der FINMA bewilligte Einzelinstitut sowie ein Prüfbericht für die Finanzgruppe beziehungsweise das Finanzkonglomerat zu erstellen.

Art. 28 Vorlagen für die Erstellung des Prüfberichts

¹ Für die Berichterstattung sind die Vorlagen der FINMA zu verwenden.

² Nimmt die FINMA an den Vorlagen wesentliche Anpassungen vor, so konsultiert sie vorgängig die Betroffenen.

3. Kapitel: Besondere Anforderungen an die Aufsichtsprüfung in den einzelnen Aufsichtsbereichen

1. Abschnitt: Banken, Wertpapierhäuser, Pfandbriefzentralen, Finanzmarktinfrastrukturen und Personen nach Artikel 1b BankG

Art. 29 Geltungsbereich