Audit priorities of the Austrian Financial Market Authority for 2024

This article is also available in German below.

In December, the FMA traditionally published its focus areas for supervisory audit activities in the new year.¹ The selected focus areas reflect the authority’s broad supervisory spectrum and address the current challenges, in particular geopolitical risks, the economic framework conditions and the opportunities and risks arising from new technologies. They cover both the traditional financial services sectors as well as new emerging market segments such as crypto/blockchain and artificial intelligence (AI). The authority publishes the strategy paper in order to promote transparency and also to create predictability for the supervised companies and market participants, as well as to announce preparations for new supervisory regimes and changes in supervisory practice and to help companies prepare their internal compliance systems.

1) Resilience and stability

– Identify risks and proactively manage vulnerabilities: Monitoring geopolitical and economic developments and their impact, in particular inflation, interest rate risk, credit risk as well as liquidity risk; ongoing discourse with supervised entities; vulnerability testing and stress testing. An additional focus will be on monitoring developments in the property sector.
– Strengthening corporate governance: Due to the volatile market environment and the existing risk factors, the FMA will increasingly examine the governance of the supervised entities; in particular, there will be fit & proper tests, deep dives, thematic focus analyses and increased dialogue with the entities.
– Streamlining the integration of new investment firms into the supervisory and resolution regime: A particular focus will be on the integration of the new supervisory regime for investment firms (IFD/IFR/Austrian Investment Firms Act)² into the established practice. Investment firms are now divided into different classes depending on their size and risk profile, which are subject to different regulatory standards.
– Intensification of the review of the resolvability of credit institutions: “Reality check” of existing resolution plans through realistic tests. Testing of management information systems (MIS).

2) Digital transformation

– Survey on the status of digitalisation on the Austrian financial market: Assessment of the digital maturity of supervised entities, examination of interdependencies between market participants and creation of an overview of the Austrian financial IT landscape.
– Strengthening the digital operational resilience of companies and the financial market: Rigorous assessment of cyber risks and implementation of effective mitigation strategies (including cyber maturity level assessments and cloud assessments); examining the impact of the use of AI and risks arising from the use of AI.
– Digital Operational Resilience Act – DORA³: Preparation for the applicability of DORA starting from 2025 and creation of corresponding supervisory structures as well as support for companies in preparing for DORA compliance.

3) New business models

– Implementation of the Markets in Crypto Assets Regulation – MiCAR⁴: Establishment of the necessary supervisory structures for the authorisation and ongoing supervision of crypto asset service providers (CASPs), issuers of asset-referenced tokens and electronic money tokens, the monitoring of white papers and the investigation of market abuse.
– Points of contact with existing and new business models for MiCAR: Monitoring market developments in crypto-assets; dialogue with banks wishing to sell crypto services and products; further development of the regulatory sandbox; analysis of money laundering and terrorist financing risks.

4) Collective consumer protection

– Insurance distribution: Monitoring compliance with the legal requirements for internal product development and product approval procedures for insurance investment products, in particular the application of the requirements of the European Insurance and Occupational Pensions Authority (EIOPA)⁵.

– Prevention of investment fraud: Intensification of target group-orientated consumer information and development of new media channels.

– Market monitoring focusing on digital sales with a special focus on digital sales and online platforms as well as comparison of age groups.

– Conduct focus on the rights and obligations when using payment services: Examination of compliance with the obligations of banks to monitor transactions/do transaction risk analyses and to provide customer information, as well as the creation of a market overview of transaction monitoring mechanisms.

5) Sustainability

– Integration of climate and environmental risks into risk management, governance and strategy: Organisation of climate stress tests in various sectors and industries and as part of banking supervision, review of the integration of sustainability risks into risk management, strategy and governance.
– Deepening of greenwashing analyses in transparency and disclosure of sustainability: Increased examination of sustainability reporting and disclosure obligations in accordance with the CSRD⁶, Disclosure Regulation⁷, Taxonomy Regulation and the “Non-Financial Reporting Directive”⁸, with a focus on reducing greenwashing.

6) A clean financial centre

– Financial reporting: Review of the correct addressing of the current geological and economic framework conditions in financial and non-financial reporting.

– Social media monitoring: Establishment of systems for the ongoing monitoring of social media to prevent market abuse.

– Transparency regulations: Focus on compliance with regulatory transparency requirements (in particular ad hoc publicity and directors’ dealings) and compliance with market abuse regulations.

– Whistleblowing: Creation of new IT processes for more effective and efficient processing of whistleblower reports.

– Combating money laundering and terrorist financing: Consistent continuation of the zero-tolerance policy, particularly in the crypto sector with a special focus on the transition from existing VASPs to the new CASP regime of MiCAR.

– Preparation for the new EU anti money laundering and terrorist financing regulatory package with the EU Anti-Money Laundering Authority (AMLA) at the helm

– Preparation for the gradual takeover of supervisory competence in sanctions law from the Austrian National Bank (OeNB)

Prüfungsschwerpunkte der Finanzmarktaufsicht für 2024

Die FMA hat traditionell im Dezember ihre Schwerpunkte für die aufsichtsrechtliche Prüfungstätigkeit im neuen Jahr veröffentlicht.⁹ Die gewählten Schwerpunkte spiegeln das breite Aufsichtsspektrum der Behörde wider und adressieren die aktuellen Herausforderungen, insbesondere die geopolitischen Risiken, die ökonomischen Rahmenumstände sowie die sich aus neuen Technologien ergebenden Chancen und Risiken. Sie umfassen sowohl die klassischen Branchen Banken und Versicherung als auch neue Marktsegmente wie Krypto/Blockchain und künstliche Intelligenz (KI). Die Behörde veröffentlicht das Strategiepapier aus Transparenzgründen und auch um für die beaufsichtigten Unternehmen sowie die Markteilnehmer eine Vorhersehbarkeit zu schaffen, als auch die Vorbereitung auf neue Aufsichtsregime bzw. Änderungen in der Aufsichtspraxis anzukündigen und den Unternehmen bei der Vorbereitung der internen Compliance-Systeme zu helfen. 

1) Resilienz und Stabilität

– Risiken identifizieren und Schwachstellen adressieren: Beobachtung der geopolitischen und ökonomischen Entwicklungen und deren Auswirkungen, insbesondere der Inflation, des Zinsänderungsrisikos, des Kreditrisiko sowie des Liquiditätsrisikos; laufender Diskurs mit den beaufsichtigten Unternehmen; Vulnerabilitätstests und Stresstests. Ein zusätzlicher Schwerpunkt wird die Beobachtung der Entwicklung des Immobiliensektors sein.

– Governance der Unternehmen stärken: Aufgrund des volatile Marktumfelds sowie der bestehenden Risikofaktoren, wird die FMA verstärkt die Governance der beaufsichtigten Unternehmen prüfen, hierfür wird es insbesondere Fit- & Proper Tests, Deep Dives, thematische Schwerpunktanalysen und verstärkten Dialog mit den Unternehmen geben..

– Integration neuer Wertpapierfirmen in Aufsichts- und Abwicklungsregime: Ein Fokus wird auf der Integration des neuen Aufsichtsregimes für Wertpapierfirmen (IFD/IFR/Wertpapierfirmengesetz)¹⁰ in die bestehende Praxis liegen. Wertpapierfirmen werden nunmehr, abhängig von deren Größe und Risikoprofil, in verschiedene Klassen unterteilt, welche unterschiedlichen Regulierungsstandards unterliegen.

– Intensivierung der Prüfung der Abwicklungsfähigkeit der Kreditinstitute: “Realitätscheck” der bestehenden Abwicklungspläne, durch realitätsnahe Tests. Erprobung der Managementinformationssysteme (MIS).

2) Digitaler Wandel

– Erhebung zum Stand der Digitalisierung auf dem österreichischen Finanzmarkt: Evaluierung des Digitalisierungsgrads der beaufsichtigten Unternehmen, Prüfung von Verflechtungen zwischen Marktteilnehmern und Schaffung eines Überblicks der österreichischen Finanz-IT-Landschaft. 

– Stärkung der digitalen operationalen Resilienz der Unternehmen und des Finanz- marktes: Fokus auf Prüfung und Aufdeckung von Cyberrisiken (u.a. Cyber Maturity Level Assessments und Cloud Assessments); Prüfung von Auswirkungen der Anwendung von KI sowie Risiken durch die Anwendung von KI.

– Digital Operational Resilience Act – DORA¹¹: Vorbereitung auf die Anwendbarkeit von DORA ab 2025 und Schaffung entsprechender Aufsichtsstrukturen sowie Unterstützung der Unternehmen bei der Vorbereitung zur DORA-Compliance.

3) Neue Geschäftsmodelle

– Implementierung der Markets in Crypto Assets Regulation – MiCAR¹²: Aufbau der notwendigen Aufsichtsstrukturen für die Zulassung und laufende Beaufsichtigung von Krypto Asset Dienstleistern (Crypto-Asset Service Providers – CASPs), Emittenten von vermögenswertereferenzierten Token (Asset-Referenced Token) und E-Geld-Token (Electronic Money Token), das Monitoring von Whitepapers sowie Prüfung von Marktmissbrauch.

– Anknüpfungspunkte bei bestehenden und neuen Geschäftsmodellen zur MiCAR: Beobachtung der Marktentwicklungen bei Krypto-Assets; Dialog mit Banken, die Krypto Dienstleistungen und Produkte vertreiben möchten; Weiterentwicklung der Regulatory Sandbox; Analyse von Geldwäscherei- und Terrorismusfinanzierungsrisiken.

4) Kollektiver Verbraucherschutz

– Versicherungsvertrieb: Überwachung der Einhaltung der rechtlichen Vorgaben für die unternehmensinternen Produktentwicklungs- und Produktfreigabeverfahren bei Versicherungsanlageprodukten, insbesondere der Anwendung der Vorgaben der europäischen Versicherungsaufsichtsbehörde EIOPA¹³.

– Prävention von Anlagebetrug:Intensivierung der zielgruppenorientierte Verbraucherinformation und Erschließung neuer Medienkanäle.

– Market Monitoring mit Fokus auf den digitalen Vertrieb mit speziellem Fokus auf den digitalen Vertrieb und Onlineplattformen sowie Vergleich der Altersgruppen.

– Conduct-Schwerpunkt zu den Rechten und Pflichten bei der Nutzung von Zahlungsdiensten: Prüfung der Einhaltung der Pflichten, die Banken zur Transaktionsüberwachung/Transaktionsrisikoanalyse haben sowie zur Kundeninformationen treffen sowie Schaffung eines Marktüberblicks über die Transaktionsüberwachungsmechanismen.

5) Nachhaltigkeit

– Integration der Klima- und Umweltrisiken in Risikomanagement, Governance und Strategie: Abhaltung von Klimastresstests in verschiedenen Sektoren und Branchen sowie im Rahmen der Bankenaufsicht, Überprüfung der Integration von Nachhaltigkeitsrisiken in Risikomanagement, Strategie und Governance.

– Vertiefung der Greenwashing-Analysen bei Transparenz und Offenlegung von Nachhaltigkeit: Verstärkte Prüfung der Nachhaltigkeitsberichters- und Offenlegungsverpflichtungen gemäß der CSRD¹⁴, Offenlegungs-Verordnung¹⁵, der Taxonomie-VO sowie der „Richtlinie zur nichtfinanziellen Berichterstattung“¹⁶, mit Fokus auf Reduktion des Greenwashings.

6) Sauberer Finanzplatz

– Finanzielle Berichterstattung: Prüfung der korrekten Adressierung der aktuellen geologischen und ökonomischen Rahmenumstände in der finanziellen und nichtfinanziellen Berichterstattung.

– Social Media Monitoring: Etablierung von Systemen für das laufende Monitoring von Social Media zur Vermeidung von Marktmissbrauch.

– Transparenzvorschriften: Fokus auf Einhaltung der regulatorischen Transparenzvorschriften (insbesondere Ad-hoc-Publizität und Directors’ Dealings) sowie Einhaltung der Marktmissbrauchsvorschriften.

– Whistleblowing: Schaffung von neuen IT-Prozessen für die effektivere und effizientere Bearbeitung von Whistleblower-Meldungen. 

– Kampf gegen Geldwäscherei und Terrorismusfinanzierung: Konsequente Fortsetzung der Null-Toleranz-Politik, insbesondere im Kryptosektor mit besonderem Fokus bei der Überleitung von bestehenden VASPs in das neue CASP-Regime der MiCAR.

– Vorbereitung auf das neue EU-Regulierungspaket zu Geldwäsche und Terrorismusfinanzierung mit der EU-Geldwäschebehörde AMLA (Anti-Money-Laundering Authority) an der Spitze

– Vorbereitung auf die schrittweise Übernahme der Aufsichtskompetenz im Sanktionenrecht von der OeNB

1. See in detail: https://www.fma.gv.at/wp-content/plugins/dw-fma/download.php?d=6588&nonce=2ce782953fded1ed ↩︎
2. IFD – Investment Firms Directive: Directive (EU) 2019/2034 of the European Parliament and of the Council of 27 November 2019 on the prudential supervision of investment firms and amending Directives 2002/87/EC, 2009/65/EC, 2011/61/EU, 2013/36/EU, 2014/59/EU and 2014/65/EU (IFD); IFR – Investment Firms Regulation: Regulation (EU) 2019/2033 of the European Parliament and of the Council of 27 November 2019 on prudential requirements for investment firms (IFR). 11. 2019 on prudential requirements for investment firms” (IFR); Federal Act on the Supervision of Investment Firms (Investment Firms Act – WPFG). ↩︎
3. Regulation (EU) 2022/2554 of the European Parliament and of the Council of 14 December 2022 on digital operational resilience in the financial sector – https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32022R2554. ↩︎
4. Regulation (EU) 2023/1114 of the European Parliament and of the Council of 31 May 2023 on markets in crypto-assets and amending Regulations (EU) No 1093/2010 and (EU) No 1095/2010 and Directives 2013/36/EU and (EU) 2019/1937 (Text with EEA relevance) – https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32023R1114. ↩︎
5. EIOPA Methodology to assess value for money in the unit linked market, EIOPA-BOS-22/482. ↩︎
6. Richtlinie (EU) 2022/2464 des Europäischen Parlaments und des Rates vom 14. 12. 2022 zur Änderung der Verordnung (EU) Nr. 537/2014 und der Richtlinien 2004/109/EG, 2006/43/EG und 2013/34/EU hinsichtlich der Nachhaltigkeitsberichterstattung von Unternehmen. ↩︎
7. Regulation (EU) 2019/2088 of the European Parliament and of the Council of 27 November 2019 on sustainability-related disclosures in the financial services sector. ↩︎
8. Directive 2014/95/EU of the European Parliament and of the Council of 22 October 2014 amending Directive 2013/34/EU as regards disclosure of non-financial and diversity information by certain large undertakings and groups. ↩︎
9. Siehe im Detail: https://www.fma.gv.at/wp-content/plugins/dw-fma/download.php?d=6588&nonce=2ce782953fded1ed  ↩︎
10. IFD – Investment Firms Directive: Richtlinie (EU) 2019/2034 des Europäischen Parlaments und des Rates vom 27. 11. 2019 über die Beaufsichtigung von Wertpapierfirmen und zur Änderung der Richtlinien 2002/87/EG, 2009/65/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU und 2014/65/EU (IFD); IFR – Investment Firms Regulation: Verordnung (EU) 2019/2033 des Europäischen Parlaments und des Rates vom 27. 11. 2019 über Aufsichtsanforderungen an Wertpapierfirmen“ (IFR); Bundesgesetz über die Beaufsichtigung von Wertpapierfirmen (Wertpapierfirmengesetz – WPFG). ↩︎
11. Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor – https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32022R2554. ↩︎
12. Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates vom 31. Mai 2023 über Märkte für Kryptowerte und zur Änderung der Verordnungen (EU) Nr. 1093/2010 und (EU) Nr. 1095/2010 sowie der Richtlinien 2013/36/EU und (EU) 2019/1937 (Text von Bedeutung für den EWR) – https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32023R1114. ↩︎
13. EIOPA Methodology to assess value for money in the unit-linked market, EIOPA-BOS-22/482. ↩︎
14. Richtlinie (EU) 2022/2464 des Europäischen Parlaments und des Rates vom 14. 12. 2022 zur Änderung der Verordnung (EU) Nr. 537/2014 und der Richtlinien 2004/109/EG, 2006/43/EG und 2013/34/EU hinsichtlich der Nachhaltigkeitsberichterstattung von Unternehmen. ↩︎
15. Verordnung (EU) 2019/2088 des Europäischen Parlaments und des Rates vom 27. 11. 2019 über nachhaltigkeitsbezogene Offenlegungspflichten im Finanzdienstleistungssektor. ↩︎
16. Richtlinie 2014/95/EU des Europäischen Parlaments und des Rates vom 22. 10. 2014 zur Änderung der Richtlinie 2013/34/EU im Hinblick auf die Angabe nichtfinanzieller und die Diversität betreffender Informationen durch bestimmte große Unternehmen und Gruppen. ↩︎