Massnahmen zur Förderung von Good Governance

Die FINMA führte 2025 bei Banken sieben Vor-Ort-Kontrollen im Bereich Corporate Governance und Risikokultur durch. Sie stellte dabei fest, dass Indikatoren zu Governance und Risikokultur bei den untersuchten Instituten nur vereinzelt erhoben werden. Diese Informationen werden der Geschäftsleitung bzw. dem Oberleitungsorgan nicht oder nur unregelmässig zur Kenntnis gebracht. So war es insbesondere den Oberleitungsorganen nicht möglich, (negative) Entwicklungen in der Governance oder der Risikokultur zu antizipieren oder zu steuern.

Es zeigte sich, dass die FINMA anhand der Protokolle von Geschäftsleitungs- und Verwaltungsratssitzungen nicht eruieren konnte, ob innerhalb der Gremien tatsächlich inhaltliche Diskussionen stattfanden. Besagte Protokolle waren häufig zu wenig detailliert, um die Diskussionen und insbesondere abweichende Meinungen nachvollziehen zu können. Entscheidungen wurden teilweise auf informellem Weg gefällt und ungenügend dokumentiert. Dies läuft einer Good Governance entgegen.

Bei der Prüfung der Anreizsysteme stellte die FINMA fest, dass variable Vergütungen und Mitarbeiterbeurteilungen nicht immer in einem angemessenen Verhältnis zueinander stehen. Ein solches Missverhältnis untergräbt eine gesunde Risikokultur und eine Anreizstruktur innerhalb der Institute. In diesem Zusammenhang ist hervorzuheben, dass die Verwendung von sogenannten Relationship Manager Score Cards oft dazu führte, dass Schwachstellen im Compliance-Verhalten durch die Gewichtung der einzelnen Themen verwässert wurden, was sich nachteilig auf das Verantwortlichkeitsbewusstsein der betroffenen Personen auswirkte.

Schliesslich stellte die FINMA im Rahmen der Kontrollen fest, dass die Rolle und die Durchschlagskraft der Compliance-Funktion insbesondere bei Relationship-Manager-zentrierten Organisationen verbesserungsfähig sind. Starke, unabhängige Kontrollfunktionen sind das Rückgrat jedes Finanzinstituts und müssen so positioniert sein, dass sie ihre Kontrollverantwortung effektiv wahrnehmen können.

Bei Versicherungsgesellschaften führte die FINMA vier Vor-Ort-Kontrollen durch, die sich auf die Governance und die Wirksamkeit des internen Kontrollsystems (IKS) fokussierten. Dabei zeigten sich einerseits wiederholt Mängel bei der Ausgestaltung und der Effektivität einzelner Kontrollaktivitäten, anderseits auch grundlegende Feststellungen in Bezug auf das IKS-Framework und die Governance im Risikomanagement. Vereinzelt war nicht klar, wie das Oberleitungsorgan seine Verantwortlichkeit für das IKS tatsächlich wahrnimmt und die Effektivität des IKS prüft. Verschiedentlich zeigten sich auch unklare Zuständigkeiten zwischen den Kontrollaktivitäten der operativen Einheiten (erste Kontrolllinie) und der Kontrollfunktionen (zweite Kontrolllinie). Um eine problematische Verantwortungsdiffusion zu verhindern und die individuelle Verantwortlichkeit der operativen Bereiche zu stärken, sind die unterschiedlichen Zuständigkeiten klar abzugrenzen und zu kommunizieren. Ein effizientes und wirksames IKS-Framework ist ein entscheidender Bestandteil für eine effektive Risikokontrolle durch die Geschäftsleitung und das Oberleitungsorgan.

Wo immer Mängel festgestellt wurden, griff die FINMA korrigierend ein. Um Fehlentwicklungen künftig frühzeitig zu erkennen und zu verhindern, wird die FINMA ihre präventive Aufsicht und ihre Interventionen vermehrt auf Aspekte der Risikokultur richten.

Risikoanalyse als zentrales Element der Geldwäschereiprävention

Die Definition der Risikotoleranz durch das Oberleitungsorgan und die Überwachung und Steuerung der Risiken im Rahmen der Geldwäschereirisikoanalyse sind zentrale Instrumente jeder effektiven Geldwäschereiabwehr. Mit der Aufsichtsmitteilung 05/2023 «Geldwäschereirisikoanalyse nach Art. 25 Abs. 2 GwV-FINMA» hatte die FINMA ihre in der Aufsichtspraxis gemachten Beobachtungen und Erfahrungen zur Risikoanalyse transparent gemacht. Seither analysierte sie zahlreiche Risikoanalysen. Dabei stellte sie Fortschritte sowohl in der Definition der Risikotoleranz als auch in der Ausgestaltung der Risikoanalyse fest. Trotzdem ortete die FINMA 2025 weiteres Verbesserungspotenzial.

Insbesondere bei der Definition der Risikotoleranz waren häufig nur zwingende Ausschlusskriterien genannt (z. B. verbotene Länder und Branchen). Das greift zu kurz. Die Definition der Risikotoleranz hat sich mit den Risiken zu befassen, die das Institut eingehen könnte, aber nicht eingehen will, und ist Teil der Risikokultur. Zudem wurden auch risikomindernde Massnahmen in der Risikotoleranz umschrieben. Die risikomindernden Massnahmen sind jedoch nicht Bestandteil der Risikotoleranz. Risikomindernde Massnahmen setzen bei den Risiken an, die das Institut gemäss der definierten Risikotoleranz eingeht.

Weiter stellte die Einschätzung der inhärenten Risiken vereinzelte Institute vor Probleme. So wurden öfters die risikomindernden Massnahmen oder die institutsspezifische Risikotoleranz fälschlicherweise bei der Einschätzung der inhärenten Risiken mitberücksichtigt. Dies hatte zur Folge, dass Risikokriterien wie etwa ausländische politisch exponierte Personen (PEP) oder Geschäftsbeziehungen mit komplex organisierten Strukturen (z. B. verschachtelte Trust-Strukturen über verschiedene Jurisdiktionen im Ausland) als inhärente Risiken mit einer mittleren statt hohen oder sehr hohen Kritikalität eingeschätzt wurden. Die FINMA verlangte von den betroffenen Instituten die Behebung dieser Mängel.

Unklar war für verschiedene Institute ferner, welchen Detaillierungsgrad die Geldwäschereirisikoanalyse aufzuweisen hat. Grundsätzlich gilt, dass die einzelnen Geldwäschereirisikokriterien (z. B. für das Länderrisiko auf das Land heruntergebrochen) in der Geldwäschereirisikoanalyse umso detaillierter darzustellen sind, je höher die Risikotoleranz ausgestaltet ist.

Die FINMA setzt weiterhin ihren Fokus auf diese Thematik und nutzt das Instrument der Geldwäschereirisikoanalyse in Zukunft auch verstärkt in ihrer Aufsicht über die Geldwäschereirisiken.

Erkenntnisse aus Vor-Ort-Kontrollen im Zusammenhang mit dem Geldwäschereigesetz

Die Geldwäschereibekämpfung bildete 2025 einen Schwerpunkt der Aufsichtstätigkeit im Retailbanking. Die FINMA führte mehrere Vor-Ort-Kontrollen durch, und es zeigte sich, dass Geschäftskunden ein besonders risikobehaftetes Segment darstellen. Diese Kundengruppe birgt spezifische Risiken hinsichtlich der Identifizierung, Überwachung und Nachvollziehbarkeit der wirtschaftlichen Tätigkeit.

In Einzelfällen sind Institute Kundenbeziehungen eingegangen, die ihren Risikoappetit übersteigen und von den Banken nicht ausreichend verstanden wurden. So etwa bei Kundinnen und Kunden mit Auslandsbezug, besonderen Geschäftsmodellen oder ungewöhnlichem Transaktionsverhalten (insbesondere Durchlauftransaktionen).

Die Kriterien, die auf Geschäftsbeziehungen mit erhöhten Risiken hinweisen, sind von jeder Bank institutsspezifisch zu entwickeln. Kontrollen zeigten, dass bestimmte regulatorische Kriterien, die auf solche Geschäftsbeziehungen hinweisen, nicht systematisch berücksichtigt werden. Ein Finanzintermediär muss aber die Entscheidung, ein Kriterium als nicht relevant zu erachten, transparent und anhand von quantifizierbaren und überprüfbaren Indikatoren begründen können (siehe FINMA-Mitteilung zur Aufsichtsmitteilung 05/2023 «Geldwäschereirisikoanalyse nach Art. 25 Abs. 2 GwV-FINMA»). Andere Kriterien wurden zwar berücksichtigt, aber in der Scoring-Methodik der Bank untergewichtet. Sie haben damit so gut wie keinen Einfluss auf die endgültige Einstufung als erhöhtes Risiko, was zu einer strukturellen Unterschätzung der Geldwäschereirisiken führen kann.

Die Vor-Ort-Kontrollen zeigten zudem, dass die Häufigkeit der periodischen Überprüfungen von Geschäftsbeziehungen mit erhöhtem Risiko gegenüber Marktstandards manchmal zu gering ist. Einige Institute wiesen zudem Verzögerungen bei der Aktualisierung ihrer Überprüfungen auf. Dies steht im Widerspruch zu ihren eigenen internen Richtlinien. Die Häufigkeit der periodischen Überprüfungen muss dem Risikoniveau der Geschäftsbeziehungen angepasst und durch ausreichende und qualifizierte Ressourcen unterstützt sein.

Die FINMA erwartet, dass Finanzintermediäre ein besonderes Augenmerk auf die erwähnten Schwachstellen haben und bei Bedarf ihre Geldwäschereiabwehrdispositive entsprechend verstärken. 

Ende 2024 hatte die FINMA zentrale Auslegungsfragen zum Finanzdienstleistungsgesetz in einem neuen Rundschreiben veröffentlicht. Entsprechend wurden die Kernpunkte des Rundschreibens im Rahmen von Vor-Ort-Kontrollen bei den Beaufsichtigten geprüft. Schwachstellen in der Umsetzung zeigten sich insbesondere bei kleineren Instituten. Die Offenlegung von Interessenkonflikten beim Einsatz von eigenen Finanzinstrumenten war trotz Transparenzvorgaben in Gesetz und Verordnung noch immer ungenügend. Es ist wichtig, dass Kundinnen und Kunden transparent über den Einsatz von eigenen Finanzinstrumenten informiert werden. Zudem wurden die Risiken im Zusammenhang mit der Einhaltung der Verhaltenspflichten im Anlagegeschäft bei den internen Risikoeinschätzungen noch zu wenig berücksichtigt und gegenüber den Leitungsorganen nur fragmentarisch offengelegt. Hier wiesen viele Institute noch Verbesserungspotenzial auf. Zur Risikoreduktion und -lenkung sind geeignete Kontrollen zu definieren.

Bei den Vor-Ort-Kontrollen thematisierte die FINMA auch Mängel im Beratungsprozess. Privatkundinnen und -kunden haben Anspruch auf weitgehenden Anlegerschutz. Falls sie über genügend Vermögen und allenfalls auch Anlagekenntnisse verfügen, können sie durch ein sogenanntes Opting-out auf einen Teil des ihnen zustehenden Anlegerschutzes verzichten. Daher ist ein Opting-out mit Risiken verbunden. Über diese müssen die Kundinnen und Kunden aufgeklärt werden. Auch dürfen sie das Opting-out jederzeit widerrufen, um erneut vom Anlegerschutz zu profitieren. Diese Aufklärung war bei verschiedenen Instituten mangelhaft.

Empfehlungen zu Finanzinstrumenten müssen für Kundinnen und Kunden zudem angemessen und geeignet sein. Ein Risikoprofil und die Angaben zu Kenntnissen und Erfahrungen sind entsprechend vor Dienstleistungserbringungen einzuholen. Wie die FINMA anlässlich der Vor-Ort-Kontrollen feststellte, gibt es Institute, die diese Reihenfolge nicht einhalten. Sie wurden entsprechend abgemahnt.

Im Quervergleich zeigte sich, dass Institute mehrheitlich portfoliobezogene Anlageberatungsdienstleistungen anbieten. Dabei schenkten einige Institute den Diversifikationsrisiken im Portfoliokontext zu wenig Aufmerksamkeit. Bei portfoliobezogener Anlageberatung werden die Anlagen der Kundinnen und Kunden ganzheitlich in den Beratungsprozess einbezogen, und Risiken werden auf Portfolioebene und nicht im Hinblick auf einzelne Anlagen erfasst. Dementsprechend müssen Institute für ihre Kundinnen und Kunden eine geeignete Anlagediversifikation im Fokus haben. Falls die Anlagestrategie des Institutes zudem systematisch marktunübliche Risikokonzentrationen vorsieht, sind Kundinnen und Kunden vor Erbringung der Dienstleistung darauf hinzuweisen. Fehlbare Institute wurden im Rahmen der Vor-Ort-Kontrollen zur Verbesserung aufgefordert.

Die FINMA setzte 2025 die Greenwashing-Bekämpfung bei Schweizer Fonds mit Nachhaltigkeitsbezug und am Point of Sale von Banken fort. Dies gemäss ihrem Mandat, das den Schutz der Anlegerinnen und Anleger vor unzulässigem Geschäftsverhalten, insbesondere vor Täuschung und damit auch vor Greenwashing, umfasst. Aus Sicht der FINMA liegt Greenwashing vor, wenn gegenüber der Kundschaft (bewusst oder unbewusst) irreführende Angaben zu Nachhaltigkeitsaspekten von Finanzprodukten oder -dienstleistungen gemacht werden.

Bei Neugenehmigungen und Änderungen von Schweizer Fonds mit Nachhaltigkeitsbezug prüfte die FINMA, ob Anlegerinnen und Anleger über nachhaltige Eigenschaften dieser Fonds getäuscht werden. Wo nötig, setzte die FINMA die Offenlegung von Mindestangaben durch, gestützt auf die gesetzlich vorgeschriebenen Transparenzanforderungen.

In Bezug auf den Point of Sale bei Banken führte die FINMA Vor-Ort-Kontrollen über die aufsichtsrechtlichen Organisations- und Governance-Pflichten durch. Stellte sie hierbei die Nichteinhaltung von internen Verhaltensregeln zu Nachhaltigkeitsaspekten fest, so beanstandete sie diese und verlangte das Einhalten der Regeln.

Im Rahmen ihrer Vor-Ort-Kontrollen stellte die FINMA auch Schwachstellen im Bereich des Risikomanagements und des Control Framework fest. Die steigenden Risiken, die mit dem Wachstum des Geschäfts mit nachhaltigen Finanzdienstleistungen einhergehen, erhielten vom Top-Management teilweise noch nicht ausreichend Aufmerksamkeit. Im Anlageprozess beobachtete die FINMA, dass die (Greenwashing-)Risiken von den Instituten nicht immer angemessen identifiziert werden und die Einhaltung des selbst definierten Leistungsversprechens mittels geeigneter Kontrollen noch nicht ausreichend sichergestellt ist. Es fielen auch Institute auf, die gegenüber Kundinnen und Kunden gemachte Impact-Versprechen (messbare positive ökologische Wirkung) aufgrund fehlender Messbarkeit und Offenlegung des versprochenen Impacts nicht hinreichend substanziieren konnten.

Die gesetzlichen Grundlagen sind aus Sicht der FINMA weiterhin lückenhaft. Für eine effektive Bekämpfung von Greenwashing würden einheitliche Definitionen, sektorübergreifende Verhaltenspflichten am Point of Sale und verbindliche Mindestanforderungen zur Produkttransparenz und zur Berichterstattung benötigt.

Auch 2025 führte die FINMA in Zusammenarbeit mit Fachleuten des Staatssekretariats für Wirtschaft (SECO) eine Reihe von Vor-Ort-Kontrollen zum Thema Sanktionswesen bei beaufsichtigten Banken durch. Ein besonderer Fokus lag auf den Beschränkungen des Handels (Gütersanktionen) und deren Auswirkungen auf die Finanzinstitute.

Bei Banken, die potenziellen Risiken im Bereich Sanktionen durch die Betreuung von ausländischen Geschäftskunden ausgesetzt sind, hat die FINMA in mehreren Fällen Lücken im Weisungswesen und im Präventionsdispositiv festgestellt. Institute mit einer entsprechenden Geschäftstätigkeit müssen eine Risikoanalyse im Bereich Sanktionswesen vornehmen und über formelle interne Regelungen (z. B. Weisung) für diese Geschäftstätigkeit verfügen. In der Transaktionsüberwachung ist ein besonderes Augenmerk auf Sanktionsaspekte zu legen. So stellen etwa die sektoriellen Sanktionen besondere Herausforderungen für die Transaktionsüberwachung dar, die spezialisiertes Wissen der damit betrauten Mitarbeitenden erfordern.

Bezüglich der ausländischen Geschäftskunden haben Banken vertiefte Abklärungen vorzunehmen. Dies trifft insbesondere dann zu, wenn ein solcher Geschäftskunde seinen Sitz in einem Land hat oder Handelsaktivitäten in einem Land ausübt, das Sanktionen nicht umsetzt, die von der Schweiz mitgetragen werden. Die betroffene Bank muss dann etwa abklären und dokumentieren, ob der Kunde in der Produktion oder im Handel von durch schweizerische Sanktionen betroffenen Gütern tätig ist, in welchen Ländern der Kunde tätig ist und welche Kunden er bedient. Die entsprechenden Know-your-Customer-Informationen sind aktuell zu halten.

Um Kundenbeziehungen zu erkennen, in die sanktionierte Personen involviert sind, müssen Banken alle in die Kundenbeziehung involvierten Personen und Gegenparteien kennen. Bei vor 2016 eröffneten Kundenbeziehungen musste der Kontrollinhaber noch nicht festgestellt werden. Sofern Banken noch Kundenbeziehungen führen, bei denen der Kontrollinhaber aufgrund der entsprechenden Übergangsbestimmungen nicht festgestellt wurde, setzen sie sich dem Risiko aus, Geschäftsbeziehungen zu unterhalten, in die sanktionierte Personen involviert sind. Hinzuweisen ist in diesem Zusammenhang überdies auf die gesetzliche Pflicht, wonach Kundendossiers periodisch auf ihre Aktualität zu überprüfen sind. Dabei sind auch allenfalls noch nicht festgestellte Kontrollinhaber festzustellen. Die FINMA hat im Rahmen ihrer Vor-Ort-Kontrollen diesbezügliche Mängel festgestellt und die betroffenen Institute angehalten, diese zu beheben.