Die Finma geht mit der Credit Suisse hart ins Gericht. Im Zusammenhang mit der Spygate-Affäre rund um den früheren CS-Top-Banker Iqbal Khan hat die Aufsichtsbehörde erhebliche Mängel bei der Schweizer Grossbank festgestellt. Zwei Personen wurden gerügt, und die CS muss ein neues internes Reporting aufbauen, um solche Fälle inskünftig zu verhindern.
Die Eidgenössische Finanzmarktaufsicht (Finma) hat ihr Verfahren gegen die Credit Suisse (CS) im Zusammenhang mit der sogenannten Beschattungsaffäre abgeschlossen. Sie stellte dabei fest, dass bei der CS im Zusammenhang mit der Überwachung des damaligen CS-Top-Managers Iqbal Khan gravierende organisatorische Mängel bestanden. Die Finma hat vor diesem Hintergrund Massnahmen gegen die Bank verfügt, rügte zwei Personen und eröffnete ein Enforcementverfahren gegen drei weitere Personen.
Die Finma hatte Anfang des Jahres 2020 im Rahmen ihrer Abklärungen im Kontext der sogenannten Beschattungsaffäre eine Prüfbeauftragte bei der Credit Suisse eingesetzt. Aufgrund dieser Abklärungen eröffnete sie danach ein Enforcementverfahren gegen die Bank. Dieses hat die Finma nun abgeschlossen, wie am Dienstagabend zu erfahren war.
Sieben Observationen
Die Finma-Untersuchung zeigte, dass die CS im Zeitraum zwischen 2016 und 2019 sieben Observationen plante und grösstenteils durchführte. Observiert wurden in zwei Fällen Geschäftsleitungsmitglieder in der Schweiz und daneben weitere damalige Mitarbeitende und Drittpersonen im Ausland.
Die Finma-Untersuchung fokussierte darauf, wie die Bank die Überwachungen, mit denen Rechts- und erhebliche Reputationsrisiken einhergehen können, handhabte und kontrollierte. Die Art und Weise der Planung und Durchführung der Observationstätigkeit zeigte erhebliche Mängel in der Corporate Governance der Bank auf, wie es am Dienstagabend weiter hiess.
Nicht geregelt
So waren die Observationen in den Weisungen der CS zwar nicht verboten, aber auch nicht spezifisch geregelt. Entsprechende Risikomanagement-Prozesse und damit die Einbettung in das interne Kontrollsystem fehlten. In den meisten Fällen wurde formlos und ohne nachvollziehbare Begründung über die Beschattungen entschieden.
Es wurden auch keine dokumentierten Abwägungen der mit der Observation zusammenhängenden Risiken vorgenommen. Schliesslich wurden die Überwachungen oder deren Hintergründe verschleiert. Entgegen den bankinternen Weisungen wurden etwa externe Kommunikationsmittel (Text-Messaging-Dienste) eingesetzt.
Unterschiedliche Ansichten
Sodann wurden Drittanbieter dazwischengeschaltet oder rudimentär gehaltene Rechnungen für angefallene Kosten gestellt und beglichen. In einem Fall wurde eine Rechnung nachträglich abgeändert, um die Kosten für eine Überwachung zu verbergen.
In die beschriebenen Vorgänge war der Sicherheitsdienst der Bank massgeblich involviert. Innerhalb der Bank herrschten uneinheitliche Ansichten zu physischen Observationen vor, und auch die Kenntnisse zur tatsächlichen Observationstätigkeit der Bank wichen voneinander ab. Kenntnisse und Beschlüsse zur Planung oder Durchführung von einzelnen Überwachungen liessen sich in unterschiedlicher Ausprägung und jeweils wechselnden Besetzungen bis auf Stufe der Geschäftsleitung feststellen.
Geheim gehalten
So waren zum Beispiel mehrere Mitglieder der damaligen Geschäftsleitung über die Planung einer Observation einer angestellten Person in Asien im August 2019 informiert.
Die Observationen, insbesondere die Art und Weise wie sie durchgeführt, geheim gehalten und teils verschleiert wurden, zeugen von einer unangemessenen Unternehmenskultur bei Teilen der damaligen operativen Führung der CS.
Zudem haben einzelne Mitglieder der damaligen Geschäftsleitung teilweise bankexterne Kommunikationsmittel verwendet, womit die Nachrichten nicht mehr vollständig nachverfolgt werden konnten. Dies stand im Widerspruch zu internen Weisungen und zu der von Führungskräften erwarteten Vorbildfunktion.
Unvollständig und unzutreffend
Die mit der beschriebenen Observationstätigkeit verbundenen erheblichen Reputationsrisiken der CS realisierten sich schliesslich. So löste das Bekanntwerden von bestimmten Observationen ein grosses, die Bank kritisierendes nationales und internationales Medienecho aus. Der CS war es im Rahmen der internen Aufarbeitung der Vorgänge über längere Zeit nicht möglich, das gesamte Ausmass der Observationstätigkeit zu erfassen. Öffentlich und gegenüber der Finma gemachte Aussagen der Bank erwiesen sich in der Folge als teilweise unvollständig oder gar unzutreffend.
Die Finma stellte im Kontext der untersuchten Observationstätigkeiten bei der Credit Suisse somit organisatorische Mängel fest, welche die Weisungsebene, das Verhalten von Teilen der Geschäftsleitung, die Dokumentation, die Aufarbeitung von risikorelevanten Ereignissen sowie die bankinterne Kommunikation umfassen. Die Bank führte diverse mit erheblichen Reputationsrisiken verbundene Observationstätigkeiten aus, ohne dass diese Tätigkeit auch nur ansatzweise in ordnungsgemässe und dokumentierte Entscheidungsprozesse und ein angemessenes Kontrollumfeld eingebettet gewesen wäre.
Schwere Vorwürfe
Im Ergebnis verfügte die CS damit im betroffenen Sicherheitsbereich über keine angemessene Organisation im Sinne des Schweizer Bankengesetzes. Sie bot hier im massgeblichen Zeitraum auch keine Gewähr für eine einwandfreie Geschäftstätigkeit.
Die Credit Suisse hat bereits diverse organisatorische und operationelle Massnahmen in den Bereichen der Sicherheit und der Kommunikationsmittel getroffen, die für stufengerechte Zuständigkeiten und klare Entscheidungs- und Überwachungsprozesse sorgen sollen. Die Finma betrachtet diese Massnahmen grundsätzlich als geeignet, viele der festgestellten Mängel zu beheben, hat aber zusätzliche Massnahmen angeordnet.
Inernes Reporting gefordert
So verpflichtet sie die Bank, ein neues internes Reporting aufzubauen, mit dem die Geschäftsleitung den Verwaltungsrat oder einen seiner Ausschüsse kontinuierlich über wichtige Governance-Themen informiert. Zudem müssen allfällige Observationen von der obersten Führungsebene (CEO und VR-Präsidium) genehmigt werden, womit künftig die Verantwortung klar, schnell und dokumentiert zugeordnet werden kann. Weiter muss die Bank Massnahmen ergreifen, um geschäftsrelevante Kommunikation nachvollziehbar zu dokumentieren.
Die Finma wird überprüfen lassen, ob die Massnahmen umgesetzt und die Mängel so behoben werden.
Zwei Personen gerügt
Ausserdem hat die Finma zwei Personen schriftlich gerügt sowie gegen drei weitere Personen Enforcement-Verfahren eröffnet. Die Behörde wird in diesen Verfahren den Wissensstand, das Verhalten, inklusive Auskunftsverhalten gegenüber der Finma, sowie die individuelle Verantwortlichkeit dieser Personen im Zusammenhang mit den festgestellten Gesetzesverletzungen der Bank vertieft untersuchen.