Aufrufe
vor 5 Jahren

die bank 03 // 2018

  • Text
  • Banken
  • Korruption
  • Unternehmen
  • Anforderungen
  • Compliance
  • Marisk
  • Regulierung
  • Insbesondere
  • Bcbs
  • Baseler
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

REGULIERUNG 1 | Baseler

REGULIERUNG 1 | Baseler Ausschluss: BCBS 239 Umsetzung v. a. in AT 4.3.4, AT 5 & BT 3.1 MaRisk AT 4.3.4 MaRisk Datenmanagement, Datenqualität und Aggregation von Risikodaten I. Gesamtunternehmensführung & Infrastruktur 1. Governance 2. Datenarchitektur/ IT-Infrastruktur I IV IV. Aufsichtsperspektive 12. Überprüfung 13. Korrektur/ Aufsichtsmaßnahmen 14. Grenzüberschreitende Zusammenarbeit Keine Übernahme in die MaRisk BCBS 239 AT 4.3.4 MaRisk Datenmanagement, Datenqualität und Aggregation von Risikodaten II. Risikodaten- Aggregation 3. Genauigkeit/Integrität 4. Vollständigkeit 5. Aktualität 6. Anpassungsfähigkeit II III III. Risikoberichterstattung 7. Genauigkeit 8. Umfassender Charakter 9. Klarheit und Nutzen 10. Häufigkeit 11. Verbreitung BT 3.1 MaRisk Anforderungen an die Risikoberichterstattung AT 5 MaRisk: Organisationsrichtlinien: Regelungen zu den Verfahren, Methoden und Prozessen der Aggregation von Risikodaten (bei systemrelevanten Instituten) AT 7.2 MaRisk: Technisch-organisatorische Ausstattung Bankaufsichtliche Anforderungen an die IT (BAIT) §25a Abs. 1, Satz 3 Nr. 4 & 5 KWG: Angemessene technisch-organisatorische Ausstattung & angemessenes Notfallkonzept, insb. für IT-Systeme der BaFin vom 3. November 2017 berücksichtigt werden. Die BAIT konkretisieren ebenso wie die MaRisk die in § 25a Abs. 1 KWG als Teil des Risikomanagements geforderte angemessene technisch-organisatorische Ausstattung des Instituts. Die Ergänzungen in AT 7.2 Tz. 4 und 5 MaRisk könnten aufgrund bisher fehlender Aussagen der Aufsicht möglicherweise als MaRisk-Neuerung betrachtet werden, für die dann gemäß BaFin für die Institute eine Umsetzungsfrist bis zum 31.Oktober 2018 gilt. Die 20 Seiten umfassenden BAIT traten gemäß dazugehörigem BaFin-Schreiben vom 3. November 2017 bereits mit ihrer Veröffentlichung ohne Übergangsfristen in Kraft. Somit sind auch die neuen Vorgaben der BAIT bezüglich ihrer Relevanz für IT-Auslagerungen bzw. für den Fremdbezug von IT-Dienstleistungen sofort relevant. Bislang ist noch nicht abschließend geklärt, ob es sich bei den Anpassungen der Vorgaben zu Auslagerungen in AT 9 MaRisk durchweg um „Klarstellungen“ handelt. Diese wären sofort rechtlich bindend, d. h. von den Instituten unmittelbar umzusetzen. Hierunter fallen z. B. auch die Erläuterungen in AT 9 Tz. 1 MaRisk zu der Frage, ob Softwarebezug von Dritten und IT-Beratungsdienstleitungen Auslagerungen darstellen können. Die Anforderungen des AT 4.3.4 und BT 3.1 im Detail Im Themenfeld Governance & Infrastruktur wird die Einrichtung einer robusten Datenarchitektur und IT-Infrastruktur gefordert, die als Voraussetzung für die Einhaltung der weiteren Grundsätze verstanden werden. Die Angemessenheit der Datenqualität wird direkt durch den Vorstand verantwortet und muss konzernweit und unabhängig von organisatorischen Grenzen gewährleistet werden. Weiterhin muss die notwendige Infrastruktur so ausgerichtet sein, dass sie auch in Stressphasen oder Krisen vollumfänglich zur Verfügung steht. Dabei wird explizit auf das Business Continuity Management (BCM) verwiesen. Hinsichtlich der Aggregation von Risikodaten werden Genauigkeit, Integrität, Vollständigkeit, Aktualität und Anpassungsfähigkeit gefordert. Diese Anforderungen werden dahingehend konkretisiert, dass z. B. robuste Kontrollen einzurichten und aggregierte Risi- 52 03 // 2018

REGULIERUNG kodaten in einem angemessenen zeitlichen Rahmen zu generieren sind. Für Ad-Hoc-Anfragen ist Flexibilität sicherzustellen. Diese Kriterien sind auch in Stressphasen oder Krisen einzuhalten. Gegebenenfalls ist hier zusätzlich die Reportingfrequenz zu erhöhen. Trotzdem bleiben die Anforderungen teils schwammig. Wie genau robuste Kontrollen zu gestalten sind, oder welcher Zeitraum als angemessener zeitlicher Rahmen verstanden wird, bleibt offen. Jedoch sind die Aufsichtsbehörden angehalten, die Reportingfrequenz sowohl unter gewöhnlichen Umständen als auch in Stressphasen oder Krisen zu überprüfen. Daraus folgt zwangsläufig eine ausreichend schnelle Datenverfügbarkeit der wesentlichen Risikodaten. Seitens der Aufsicht werden Berichtserstellungsprozesse von mehreren Wochen zukünftig nicht mehr toleriert werden. Weiterhin wird von einem Gleichgewicht zwischen automatisierten und manuellen Systemen gesprochen. Manuelle Prozesse, die kein fachliches Urteil erfordern, sollten weitestgehend automatisiert werden, wodurch ein Rückbau des hohen Bestands an IDV-Systemen unabdingbar scheint. Ein grundsätzlicher Verzicht auf IDV-Systeme wird hingegen nicht gefordert. Knappe Umsetzungsfristen Als Umsetzungsfrist für AT 4.3.4 MaRisk nennt das Anschreiben der BaFin drei Jahre ab dem Zeitpunkt der Einstufung als (anderweitig) systemrelevantes Institut. Dabei verweist die BaFin darauf, dass global systemrelevante Institute diese Anforderungen entsprechend der Baseler Vorgaben schon seit Januar 2016 zu erfüllen haben. Die in AT 5 MaRisk erstmals geforderten besonderen Organisationsrichtlinien zur Risikoaggregation betreffen ebenfalls nur systemrelevante Institute. Aktuell ist lediglich die Deutsche Bank als einzige Institutsgruppe mit Hauptsitz in Deutschland als global systemrelevantes Institut definiert. Nach der aktuellen BaFin-Einstufung vom 1. Dezember 2017 sind 13 Institute als (anderweitig) systemrelevant eingestuft. Für die übrigen neuen Anforderungen im Rahmen der 5. MaRisk-Novelle gilt eine Umsetzungsfrist bis zum 31. Oktober 2018. Die nationale Umsetzung der BCBS 239-Vorgaben ist keinesfalls auf AT 4.3.4 MaRisk beschränkt. Die neu aufgenommenen allgemeinen Anforderungen an die Risikoberichte des BT 3.1 MaRisk besitzen durchaus Ähnlichkeit zu den Baseler Vorgaben. Insbesondere die Adressatengerechtigkeit der Berichtsinhalte mit konkreten Handlungsempfehlungen und die geforderte Schnelligkeit der Berichterstattung werden für alle Institute – in Abhängigkeit von den noch zu definierenden konkreten Prüfmaßstäben – potenziell große Herausforderungen darstellen. Erfahrungen verdeutlichen die Brisanz der Umsetzung Der Baseler Ausschuss hat im März 2017 bereits seinen vierten Monitoring-Bericht zur Umsetzung der BCBS 239-Vorgaben vorgelegt. Dieser wurde nach dem Ablauf der Umsetzungsfrist für die als global systemrelevant eingestuften Institute veröffentlicht. Der Report kommt zu einem ernüchternden Ergebnis. 1 Demzufolge war nur eins von 30 Instituten in der Lage, die Anforderungen vollständig im vorgegebenen Zeitrahmen von drei Jahren umzusetzen. Bei einem Institut wurde die Umsetzung bis März 2017 erwartet, bei 24 im Lauf des Jahres 2018 und bei vier weiteren erst danach. Dies sollte als deutliches Warnsignal an alle in Deutschland als (anderweitig) systemrelevant eingestuften Institute verstanden werden, den Umsetzungszeitraum nicht zu unterschätzen. Als weitere Herausforderung ist die Einhaltung von Budgetvorgaben anzusehen. Genaue verlässliche Angaben zum Budgetaufwand sind nicht verfügbar, jedoch wird in der Literatur von einem bis zu dreistelligen Millionenbetrag ausgegangen. Zielgerichtete Maßnahmen zur Umsetzung der neuen Anforderungen sind somit geboten, um jemals Aussicht auf Amortisation der Projektkosten durch Effizienzgewinne und Synergieeffekte zu haben. Aus der Erfahrung können folgende Handlungsempfehlungen gegeben werden: 1. Priorisierung innerhalb eines Berichts- und Kennzahleninventars Als Ausgangsbasis ist ein Inventar der bestehenden Berichtslandschaft zu erstellen. Dieses kann anhand institutsspezifischer Kriterien, wie einer direkten Berichtslinie an den Vorstand oder Aufsichtsrat, priorisiert werden. Anschließend sind alle Kennzahlen aus den wesentlichen Berichten zu extrahieren und in ein Kennzahleninventar zu überführen. Bereits in diesem Schritt können Dopplungen von Kennzahlen und nicht einheitliche Taxonomien identifiziert und somit erste Umsetzungen ohne großen Aufwand erzielt werden. Für die Priorisierung des erstellten Kennzahleninventars sind ebenfalls einschlägige institutsspezifische Kriterien festzulegen. Dieses Inventar ist von der Geschäftsleitung zu beschließen und regelmäßig zu validieren. Darauf aufbauend können Institute ihre Zielberichtslandschaft festlegen und z. B. die Kennzahlen mit der höchsten Priorität monatlich anhand eines übergreifenden Berichts der Geschäftsführung zur Verfügung stellen. 03 // 2018 53

die bank