HomeServicesE-learningAbout usBlog & NewsCareerContactLogin
HomeServicesE-learningAbout usBlog & NewsCareerContact
EN
HomeServicesAbout usBlog & NewsCareerContactLogin
HomeServicesAbout usBlog & NewsCareerContact
EN

IT-Risiken bei Verwaltern von Kollektivvermögen: Was die Revision prüft

Die FINMA adressiert Cyber- und IT-Risiken in ihrem Risikomonitor seit Jahren als einen der zentralen operationellen Risikoschwerpunkte für Bewilligungsträger. Bei Verwaltern von Kollektivvermögen schlägt sich dies zunehmend im aufsichtsrechtlichen Prüfbericht nieder: Geprüft wird nicht mehr nur, ob IT-Systeme funktionieren, sondern ob IT-Governance, Kontrollen und Meldeprozesse prüfbar dokumentiert sind.

Die regulatorische Grundlage ist Art. 9 FINIG (angemessene Organisation und Risikomanagement) in Verbindung mit Art. 12 ff. FINIV. Für die Auslagerung von IT-Dienstleistungen gilt Art. 14 FINIG sowie die FINMA-Aufsichtsmitteilung 05/2020 zu Cyber-Risiken.

Was im Prüfbericht zählt

Im Fokus stehen insbesondere:

  • Verantwortlichkeiten für IT- und Cyber-Risiken auf Ebene Geschäftsleitung und Verwaltungsrat
  • Übersicht über wesentliche IT-Systeme und Dienstleister (IT-Inventar)
  • periodische Überprüfung und Re-Zertifizierung von Zugriffsrechten
  • Kontrollen bei ausgelagerten IT-Dienstleistungen nach Art. 14 FINIG
  • Incident-Response-Prozess bei Cyber-Vorfällen
  • Meldeprozess bei aufsichtsrechtlich relevanten Vorkommnissen
  • Backup-, Wiederherstellungs- und Business-Continuity-Konzepte
  • Reporting an Geschäftsleitung und Verwaltungsrat

Viele Feststellungen entstehen nicht, weil keine IT-Kontrollen bestehen. Sie entstehen, weil Zuständigkeiten, Kontrollen oder Nachweise nicht ausreichend dokumentiert sind.

Die häufige Lücke: IT vorhanden, aber nicht prüfbar

In der Praxis verfügen die meisten Verwalter von Kollektivvermögen über externe IT-Dienstleister, Sicherheitslösungen, Backups und definierte Zugriffsrechte. Für die Revision reicht das allein nicht aus. Relevant ist, ob das Institut nachweisen kann:

  • welche IT-Risiken identifiziert wurden
  • wer diese Risiken überwacht
  • welche Kontrollen durchgeführt werden und mit welcher Frequenz
  • wie Dienstleister überwacht und beurteilt werden
  • wie Cyber-Vorfälle erkannt, dokumentiert und eskaliert werden
  • wann eine Meldung an die FINMA geprüft wird
  • welche Nachweise für die Prüfung vorhanden sind

Eine typische Feststellung im Prüfbericht: Zugriffsrechte werden zwar technisch verwaltet, die jährliche Re-Zertifizierung durch die fachlich verantwortliche Stelle ist aber nicht dokumentiert. Oder: Es besteht ein Vertrag mit dem IT-Provider, aber keine regelmässige Überwachung der vereinbarten Service-Levels und Sicherheitsanforderungen. Genau hier entsteht die Lücke zwischen operativer IT und aufsichtsrechtlicher Dokumentation.

Outsourcing entlastet nicht von Verantwortung

Viele Verwalter von Kollektivvermögen lagern IT-Dienstleistungen aus. Das ist zulässig und oft unumgänglich. Aufsichtsrechtlich bleibt das Institut jedoch verantwortlich (Art. 14 FINIG). Wer IT auslagert, muss insbesondere nachweisen können:

  • welche Leistungen ausgelagert sind und ob es sich um wesentliche Dienstleistungen handelt
  • dass die Sorgfaltspflichten bei Auswahl, Instruktion und Überwachung des Dienstleisters erfüllt sind
  • wie die Leistungserbringung laufend überwacht wird
  • welche Eskalations- und Exit-Strategien bei Störungen oder Sicherheitsvorfällen bestehen
  • dass der Dienstleister vertraglich zur Mitwirkung bei Prüfungen verpflichtet ist

Selbsttest vor der nächsten Revision

Verwalter von Kollektivvermögen sollten sich vor der nächsten Prüfung folgende Fragen stellen:

  • Gibt es eine aktuelle Übersicht über kritische IT-Systeme und Dienstleister?
  • Sind Verantwortlichkeiten für IT- und Cyber-Risiken auf Stufe Geschäftsleitung dokumentiert?
  • Werden Zugriffsrechte periodisch überprüft und re-zertifiziert?
  • Ist der Prozess für Erkennung, Eskalation und Meldung von Cyber-Vorfällen festgelegt?
  • Liegen Nachweise zur laufenden Überwachung ausgelagerter IT-Dienstleistungen vor?
  • Werden IT- und Cyber-Risiken regelmässig an Geschäftsleitung und Verwaltungsrat rapportiert?

Wenn diese Fragen nicht klar und mit Nachweisen beantwortet werden können, besteht Handlungsbedarf vor der nächsten aufsichtsrechtlichen Prüfung.

Fazit

Der Prüfbericht zeigt klar: IT ist Teil der Compliance. Verwalter von Kollektivvermögen müssen Cyber- und IT-Risiken nicht nur technisch bewältigen, sondern regulatorisch nachvollziehbar dokumentieren. Entscheidend ist nicht, ob Kontrollen bestehen, sondern ob sie prüfbar sind.

Peak Compliance unterstützt Verwalter von Kollektivvermögen bei der Erstellung des IT-Risiko-Inventars, der Dokumentation von Outsourcing-Verhältnissen, der Ausgestaltung von Incident-Response- und Meldeprozessen sowie der Aufbereitung prüfbarer Nachweise für die aufsichtsrechtliche Revision.

Die Experten der Peak Compliance stehen Ihnen jederzeit gerne zur Verfügung.

Reto Picenoni

Erstgespräch buchen+41 58 510 77 45info@peakcompliance.ch

IT-Risiken bei Verwaltern von Kollektivvermögen: Was die Revision prüft

Das Beraterregister Schweiz: Jeder Finanzberater, der nicht einer umfassenden Aufsicht untersteht, muss im Beraterregister eingetragen sein.

Unser kompaktes E-Learning schult Sie praxisnah und effizient. Mit Abschluss der Schulung können Sie sich Kundenberaterinnen und -berater im Beraterregister eintragen lassen.

Die Vorteile

Grundschulung

Start

jederzeit möglich

Format

Online-Videoschulung

Sprachen

Deutsch und Englisch

Abschluss

Verleihung des Zertifikats «FIDLEG – Kenntnisse der Verhaltensregeln (Grundschulung)» / Gültig für den Eintrag im Beraterregister

Zertifizierungsstelle

BX Swiss AG / regservices.ch

Kompakt-Kurs

Dauer 4h

Jetzt buchen CHF 295.-

Refresher Kurs

Start

jederzeit möglich

Format

Online-Videoschulung

Sprachen

Deutsch und Englisch

Abschluss

Verleihung des Zertifikats *Refresher: FIDLEG Verhaltensregeln* / Gültig für die Erneuerung der Eintragung (24 Monate) im Beraterregister

Zertifizierungsstelle

BX Swiss AG / regservices.ch

Kompakt-Kurs

Dauer 2h

Jetzt buchen CHF 195.-

Warum eine Schulung zum Beraterregister?

  • Rechtssicherheit: Verstehen Sie die gesetzlichen Grundlagen und vermeiden Sie Haftungsrisiken.
  • Praxiswissen: Erhalten Sie konkrete Einblicke in die Praxis.
  • Compliance-Vorteil: Erfüllen Sie die Anforderungen von FIDLEG und steigern Sie das Vertrauen Ihrer Kunden.
  • Aktuelles Know-how: Inhalte basieren auf den neuesten gesetzlichen Vorgaben in der Schweiz.

E-Learning Beraterregister (Grundschulung | Refresher)

Grundschulung - CHF 295.-Refresher - CHF 195.-

Inhalte der Beraterregister Schulung

Teil 1: Grundlagen und Verhaltensregeln

  • Ziele und Anwendungsbereich des FIDLEG
  • Definition von Finanzdienstleistern und Gewerbsmässigkeit
  • Regelungen für ausländische Finanzdienstleister
  • Fünf Hauptarten von Finanzdienstleistungen
  • Kundensegmentierung: institutionelle, professionelle und private Kunden
  • Opting-IN / Opting-OUT, Unterschiede FIDLEG vs. KAG
  • Verhaltenspflichten: Angemessenheit, Eignung, Informations- und Dokumentationspflichten

Teil 2: Organisation und Interessenkonflikte

  • Regulierungs- und Bewilligungspflichten
  • Eintragung ins Beraterregister Schweiz
  • Corporate Governance und Weiterbildungspflichten
  • Beizug Dritter und Zusammenarbeit mit Ombudsstellen
  • Umgang mit Interessenkonflikten: Drittentschädigungen, Eigenhandel, Offenlegungspflichten

E-Learning Beraterregister (Grundschulung | Refresher)

Grundschulung - CHF 295.-Refresher - CHF 195.-

Ihre Vorteile auf einen Blick

Schneller Überblick über alle relevanten FIDLEG-Vorgaben
Ideal für Einsteiger und erfahrene Berater
Kompakte und praxisnahe Inhalte
Anerkannt für die Eintragung ins Beraterregister

E-Learning Beraterregister (Grundschulung | Refresher)

Grundschulung - CHF 295.-Refresher - CHF 195.-

Hintergrund des Beraterregisters

Wer in der Schweiz Finanzdienstleistungen in der Schweiz anbietet und nicht bereits einer umfassenden Aufsicht unterstellt ist, muss sich in das Beraterregister eintragen lassen. Zuständig sind die von der FINMA anerkannten Registrierungsstellen.

Die Aufgaben der Registrierungsstellen umfassen unter anderem die Prüfung der Gesuche, die Verwaltung der Daten sowie die Kontrolle, ob die gesetzlichen Voraussetzungen erfüllt sind. Jede Registrierungsstelle entscheidet über die Eintragung und Löschungen von Beratern und überwacht, dass eingetragene Personen ihre Pflichten einhalten.

Wichtig ist zudem, dass die Registrierungsstelle alle Änderungen im Zusammenhang mit den Daten des Beraters entgegennimmt und aktualisiert. So wird sichergestellt, dass die Informationen jederzeit korrekt und aktuell sind.

Eine Ausnahme besteht nur, wenn Finanzberater ihre Dienstleistungen ausschliesslich gegenüber Professionellen erbringen. In diesem Fall kann auf eine Eintragung verzichtet werden.

Damit bietet das Beraterregister Transparenz und stärkt den Anlegerschutz, während es gleichzeitig klare Prozesse für Berater und Kunden definiert.

Das Beraterregister kann man sich wie eine offizielle Liste vorstellen. Auf dieser Liste stehen alle Finanzberater, die in der Schweiz arbeiten dürfen und nicht einer anderen strengen Kontrolle unterstehen. Für Kunden bedeutet das: Wenn eine Person im Register steht, weiss man, dass sie die nötigen Regeln kennt und eine Schulung gemacht hat.

Warum ist das wichtig? Viele Menschen verstehen die Welt der Finanzen nicht so genau. Man vertraut deshalb Beratern, die einem beim Anlegen, Sparen oder Versichern helfen. Damit Kunden geschützt sind, gibt es klare Regeln. Diese Regeln heissen FIDLEG. Sie bestimmen zum Beispiel, welche Informationen ein Berater geben muss, wie er mit Konflikten umgehen soll oder wie er Kundendaten dokumentieren muss.

Wer Finanzdienstleistungen anbietet, muss also entweder von einer Behörde überwacht sein oder sich ins Beraterregister eintragen lassen. Damit zeigt der Berater, dass er die Vorschriften kennt. Nach der Eintragung bekommt er ein Zertifikat. Das ist ein Nachweis, dass er geschult wurde und die Regeln einhalten kann.

Eine Ausnahme gilt nur für Berater, die ausschliesslich gegenüber Professionellen arbeiten. Damit sind grosse Firmen oder sehr erfahrene Anleger gemeint. In diesen Fällen ist kein Eintrag nötig.

Für alle anderen gilt: Ohne Eintrag im Beraterregister darf man in der Schweiz keine Finanzberatung für Privatkunden machen. Das schützt Kunden und sorgt für mehr Vertrauen.

IT-Risiken bei Verwaltern von Kollektivvermögen: Was die Revision prüft

The Advisor Register Switzerland
Every financial advisor who is not subject to comprehensive supervision must be registered in the Advisor Register.
Our compact e-learning course provides practical and efficient training. Upon completion of the course, you can have yourself registered as a client advisor in the Advisor Register.

The Benefits

BASIC TRAINING

Start

Anytime

Format

Online video training

Languages

German and English

Certificate BASIC TRAINING

Award of the certificate
*FIDLEG – Knowledge of the Code of Conduct (Basic Training)* / Valid for registration in the Advisor Register

Certification body

BX Swiss AG / regservices.ch

Compact course

Duration 4 hours

Enroll for CHF 295.-

Refresher Training

Start

Anytime

Format

Online video training

Languages

German and English

Certificate BASIC TRAINING

Award of the certificate
*Refresher: FinSA – Conduct Rules* / Valid for the renewal within 24 months in the Advisor Register

Certification body

BX Swiss AG / regservices.ch

Compact course

Duration 2 hours

Enroll for CHF 195.-

Why Training for the Advisor Register?

  • Legal certainty: Understand the legal foundations and avoid liability risks.
  • Practical knowledge: Gain concrete insights into everyday practice.
  • Compliance advantage: Meet the requirements of FIDLEG and strengthen your clients’ trust.
  • Up-to-date know-how: Content based on the latest Swiss legal regulations.

E-Learning Advisor Register (Basic Training | Refresher Training)

Basic - CHF 295.-Refresher - CHF 195.-

Content of the Advisor Register Training

Part 1: Basics and Code of Conduct

  • Objectives and scope of FIDLEG
  • Definition of financial service providers and professional activity
  • Regulations for foreign financial service providers
  • The five main types of financial services
  • Client segmentation: institutional, professional, and private clients
  • Opting-IN / Opting-OUT, differences between FIDLEG and KAG
  • Conduct obligations: appropriateness, suitability, information and documentation duties

Part 2: Organization and Conflicts of Interest

  • Regulatory and licensing obligations
  • Registration in the Swiss Advisor Register
  • Corporate governance and continuing education obligations
  • Involvement of third parties and cooperation with ombuds offices
  • Handling conflicts of interest: third-party compensation, proprietary trading, disclosure obligations

E-Learning Advisor Register (Basic Training | Refresher Training)

Basic - CHF 295.-Refresher - CHF 195.-

Your Benefits at a Glance

Quick overview of all relevant FIDLEG requirements
Ideal for beginners and experienced advisors alike
Compact and practice-oriented content
Recognized for registration in the Advisor Register

E-Learning Advisor Register (Basic Training | Refresher Training)

Basic - CHF 295.-Refresher - CHF 195.-

Background of the Advisor Register

Anyone offering financial services in Switzerland who is not already subject to comprehensive supervision must register in the Advisor Register. The competent authorities are registration offices recognized by FINMA.

The tasks of these registration offices include, among others, reviewing applications, managing data, and ensuring that legal requirements are met. Each registration office decides on entries and deletions of advisors and monitors compliance with obligations by registered persons.

It is also important that the registration office receives and updates any changes to an advisor’s data. This ensures that the information is always correct and up to date.

An exception applies only if financial advisors provide their services exclusively to professional clients. In this case, registration can be waived.

The Advisor Register therefore provides transparency and strengthens investor protection while defining clear processes for advisors and clients.

You can think of the Advisor Register as an official list. This list includes all financial advisors who are allowed to work in Switzerland and are not under other strict supervision. For clients, this means: if a person is listed in the register, you know they are familiar with the necessary rules and have completed proper training.

Why is this important? Many people do not fully understand the world of finance. They rely on advisors to help them invest, save, or insure themselves. To protect clients, there are clear rules — called FIDLEG. These rules define, for example, what information an advisor must provide, how to deal with conflicts of interest, and how to document client data.

Anyone offering financial services must therefore either be supervised by an authority or register in the Advisor Register. By registering, the advisor shows that they know the regulations. After registration, they receive a certificate — proof that they have been trained and can comply with the rules.

An exception only applies to advisors who work exclusively with professional clients — meaning large companies or very experienced investors. In those cases, registration is not required.

For everyone else, the rule is: Without entry in the Advisor Register, you may not provide financial advice to private clients in Switzerland. This protects clients and builds trust.

Services

- Compliance

- Risikomanagement

- Coaching & Ausbildung

- E-Learning

Resources

- Blog & News

- Career

Legal

- Imprint

- Data Privacy

- T & Cs

- Whistle Blowing

Peak Compliance AG

+41 58 510 77 45

info@peakcompliance.ch

Linkedin

Book a call

Our Locations
Othmarstrasse 8, 8008 Zürich, Switzerland
Werdenbergerweg 11, 9490 Vaduz, Liechtenstein