Aufrufe
vor 5 Jahren

die bank 11 // 2015

die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

ó BETRIEBSWIRTSCHAFT

ó BETRIEBSWIRTSCHAFT Das operative Management von identifizierten Compliance- Risiken erfolgt entsprechend der Vorgaben des 3LoD-Modells durch die Fachbereiche (1 st -Line). Diesen obliegt es, die operativen Prozesse so zu gestalten, dass die Geschäftsaktivitäten entsprechend der internen Vorgaben abgewickelt werden. Ferner müssen sie angemessene Kontrollprozesse zur Identifizierung und Bewertung signifikanter Risiken entwickeln sowie eine angemessene Berichterstattung sicherstellen. Zudem ist das operative Management für die Überprüfung der Angemessenheit der Verfahren in der 1 st -Line zuständig (Self Assessment). Dem operativen Management obliegen somit Aufgaben in den nachfolgenden vier COSO-Komponenten: 24 ó das Bewerten der identifizierten Risiken durch den jeweiligen Fachbereich (Risk Assessment), ó die Definition und Implementierung von risikominimierenden Maßnahmen (Control Activities), ó die Kommunikation des Ergebnisses der eingeführten Kontrollen bzw. Maßnahmen (Information and Communication) und ó die Überprüfung der Angemessenheit des Risikomanagements und der Kontrolleffektivität (Monitoring Activities). Entsprechend ihrer durch die MaRisk erfolgten Aufgabenzuordnung übernimmt die Compliance-Funktion als überwachende und beratende Organisationseinheit Tätigkeiten der zweiten Verteidigungslinie (Überwachung). Voraussetzung für eine Beurteilung der Wirksamkeit der Kontrollhandlungen der 1 st -Line ist dabei ein hinreichendes Verständnis der Geschäftstätigkeit des Instituts und der damit verbundenen Risiken. Dies bedingt, wie auch seitens der MaRisk gefordert, die Identifizierung der wesentlichen rechtlichen Regelungen und Vorgaben, deren Nichteinhaltung zu einer Gefährdung des Vermögens des Instituts führen kann und darauf aufbauend eine Verknüpfung dieser Anforderungen mit den operativen Geschäftsprozessen und den zugehörigen Kontrollen. 25 Aus COSO-Sicht obliegt der Compliance-Funktion die Komponente Monitoring Activities. Sie verantwortet somit die Beurteilung der Wirksamkeit der in der 1 st -Line umgesetzten Komponenten des IKS sowie die Berichterstattung über festgestellte Mängel. 26 Hervorzuheben ist in diesem Zusammenhang, dass auch nach COSO eine strikte Trennung zwischen der Evaluierung und der Umsetzung erforderlicher weiterer Maßnahmen vorgesehen ist. Die Verantwortung für Umsetzungsmaßnahmen liegt bei dem der 1 st -Line zugeordneten operativen Management. Der Internen Revision als dritte Verteidigungslinie werden wiederum alle fünf COSO-Komponenten zugeordnet. Die Revision prüft auch im Hinblick auf Compliance-Risiken jede Komponente des IKS auf deren Ausgestaltung und beurteilt diese in Hinblick auf ihre Wirksamkeit zur Zielerreichung. Fazit Die Einrichtung eines angemessenen und wirksamen IKS als Teil des Risikomanagements ist von zentraler Bedeutung für jedes Institut. Mit dem COSO-I-Modell und dem 3LoD-Modell stehen zwei Modelle zur Verfügung, die – wenn sie miteinander kombiniert werden – eine umfassende Darstellung sowohl der inhaltlichen Vorgaben des IKS als auch der damit verbundenen Verantwortlichkeiten erlauben. Während das COSO-Modell die inhaltliche Dimension abbildet, verdeutlicht das 3LoD-Modell die Verantwortlichkeiten und verhindert somit bei angemessener Umsetzung Kontrolllücken oder Kontrolldopplungen. Anhand des Beispiels der Compliance-Risiken konnte aufgezeigt werden, dass deren Steuerung und Überwachung nicht das Ziel einer einzelnen Funktion sein kann, sondern dies vielmehr durch alle Unternehmensbereiche als Teil des 3LoD-Modells erfolgen muss. ó Autoren: Achim Sprengard ist geschäftsführender Gesellschafter und Tanja Böck ist Managerin bei der GAR Gesellschaft für Aufsichtsrecht und Revision mbH Wirtschaftsprüfungsgesellschaft, Frankfurt am Main. 1 Insbesondere gefordert durch internationale Gremien wie OECD, FSB und Basler Ausschuss. Umsetzung des Basler Rahmenwerks in EBA BS 2011/116 Guideline 44 „EBA Guidelines on Internal Governance (GL44)“ vom 27.09.2011. 2 Vgl. BCBS d328 abrufbar unter http://www.bis.org/bcbs/publ/d328.htm; Abruf 03.08.2015. 3 Vgl. § 25a Abs. 1 Satz 3 KWG. 4 Auch bezeichnet als COSO I oder COSO IC; Zusammenfassung abrufbar unter www.coso.org. 5 „Leveraging COSO across the three lines of defense“, nachfolgend „3LoD-Whitepaper“; abrufbar unter http://www.coso.org/documents/COSO-2015-3LOD-PDF.pdf; Abruf 03.08.2015. 6 In Anlehnung an AT 4.4.2 Nr. 2 MaRisk; ausführlicher in: „EBA Guidelines on Internal Governance (GL44)“, 27.09.2011, Erläuterung zu Abschnitt D.28. 7 Nach AT 4.4.2 Nr. 1 MaRisk hat die Compliance-Funktion auf die Implementierung wirksamer Verfahren zur Einhaltung der für das Institut wesentlichen rechtlichen Regelungen und Vorgaben und entsprechender Kontrollen hinzuwirken. 8 Mindestanforderungen an das Risikomanagement; BaFin Rundschreiben 10/2012 (BA). 9 Wertpapierhandelsgesetz – WpHG. 10 BaFin-Rundschreiben 4/2010 (WA) Mindestanforderungen an die Compliance-Funktion und die weiteren Verhaltens-, Organisations- und Transparenzpflichten nach §§ 31 ff. WpHG für Wertpapierdienstleistungsunternehmen (MaComp). 11 U. a. Bundesdatenschutzgesetz (BDSG), Telekommunikationsgesetz (TKG). 12 Vgl. CRD IV-Umsetzungsgesetz vom 28.08.2013. 13 Vgl. auch § 25a Abs. 1 S. 3 Nr. 3 KWG. 14 3LoD-Whitepaper, S. 1. 15 An dieser Stelle wird auf das COSO-Internal-Controls-Rahmenwerk (COSO I) abgestellt, da dieses auch dem COSO Whitepaper „Leveraging COSO Across the Three Lines of Defense“ zugrunde lag. Eine Herleitung über das 2004 eingeführte COSO „Enterprise Risk Management Framework“ (COSO ERM) mit acht Komponenten und vier Zielebenen ist jedoch analog möglich. Weitere Literatur zur Überarbeitung des COSO IC-Modells (COSO 2013) ist abrufbar unter http://www.coso.org/guidance.htm; Abruf 03.08.15. 16 BCBS d328, Tz 38. 17 Im Nachfolgenden wird, sofern die Managementebene betrachtet wird, ausschließlich auf die Leitung durch die Geschäftsleitung eingegangen. 18 3LoD-Whitepaper, S. 2. 19 MaRisk BT 2.2 Tz. 1. 20 3LoD-Whitepaper, S. 11. 21 3LoD-Whitepaper, S. 12. 22 An dieser Stelle wird auch deutlich, dass jedes Institut die Begriffe „Kontrolle“ (operative Tätigkeit) und „Überwachung“ (stichprobenartige Kontrollhandlung der 2nd-Line) eindeutig und seinen individuellen Verhältnissen entsprechend definieren muss. Hierauf wird im Folgenden jedoch nicht weiter eingegangen. 23 3LoD-Whitepaper, S. 1. 24 3LoD-Whitepaper, S. 5. 25 Vgl. MaRisk AT 4.4.2 Tz. 2. 26 3LoD-Whitepaper, S. 7. 38 diebank 11.2015

BETRIEBSWIRTSCHAFT ó Ratingsysteme bei kleineren und mittelgroßen Banken KREDITRISIKO Zwar finden sich für sog. IRBA-Institute in der CRR und den ergänzenden Regulierungsstandards der EBA detaillierte Vorgaben für den Betrieb von Ratingsystemen. In welchem Umfang diese Regelungen aber allgemein als Mindestanforderungen an den Betrieb von internen Ratingsystemen auch für kleinere und mittelgroße Banken gelten, darüber besteht in der Praxis eine gewisse Unsicherheit. Im Folgenden wird daher untersucht, inwieweit das sog. Proportionalitätsprinzip einen Beitrag zur Klarstellung und Rechtssicherheit in dieser Frage leisten kann. Christoph Müller-Masiá Keywords: Risikomanagement, Privatbanken, Proportionalitätsprinzip Der Einsatz von Ratingsystemen spielt seit vielen Jahren eine zentrale Rolle im Risikomanagement von Kreditinstituten. Dies ist nicht zuletzt auch auf die in den MaRisk verankerten prozessorganisatorischen Anforderungen zum Einsatz von Verfahren zur Früherkennung von Risiken sowie zur Risikoklassifizierung selbst zurückzuführen. Aufgrund des prinzipienorientierten Aufbaus der MaRisk nutzen heute viele Kreditinstitute die Möglichkeit, ihr Kreditgeschäft in unterschiedlich risikobehaftete Teilbereiche zu segmentieren und hierfür differenzierte Prozesse und Steuerungsinstrumente einzusetzen. Dies umfasst auch den differenzierten Einsatz von (manuellen) Ratingund (automatisierten) Scoringsystemen. 1 Hierdurch kann der Wertbeitrag des Kreditgeschäfts deutlich erhöht werden, indem der Umfang und Automatisierungsgrad der Kreditanalyse im Verhältnis zum (angenommenen) Risikogehalt des einzelnen Kreditengagements optimiert wird. 2 Kodifizierte Regeln für den Betrieb von Ratingsystemen finden sich in Deutschland grundsätzlich nur für solche Kreditinstitute, die einen IRB-Ansatz zur Kapitalunterlegung in der Säule I anstreben bzw. diesen Ansatz fortlaufend erfüllen müssen. So widmet sich der 6. Abschnitt der CRR mit insgesamt fünf Unterabschnitten den für Ratingsysteme zentralen Fragen zu Entwicklung, Anwendung und Validierung. Zu verschiedenen Detailfragen hinsichtlich modelltheoretischer und prozessorganisatorischer Aspekte von Ratingsystemen (z. B. Default- Definition, Umfang der Validierung, Funktionstrennung der in den Ratingprozess involvierten Parteien) existieren (bzw. sind in Planung) zusätzliche Guidelines und technische Regulierungsstandards der EBA. 3 Zwar sind es gerade deutsche Banken, die sich für den IRBA im Rahmen der Säule I entschieden haben 4 , gleichwohl fällt aber die große Mehrheit aller deutschen Institute nicht direkt unter diese Regelung der CRR, da sie sich für eine Anwendung des Kreditrisikostandardansatzes entschieden haben (sog. KSA-Banken). Damit stellt sich aber gerade bei der Ausgestaltung von Ratingsystemen für die anzahlmäßig dominierende Gruppe von Kreditinstituten die Frage, in welchem Umfang die in der CRR kodifizierten Regelungen für die unter die MaRisk fallenden Risikoklassifizierungssysteme relevant sind. Besonders interessant ist diese Frage dabei unter dem Blickwinkel durchaus unterschiedlicher Betriebsgrößen und Komplexitäten der Geschäftsmodelle von KSA-Instituten. Proportionalitätsprinzip für Ratingsysteme? In Ermangelung spezieller Normen liegt die Überlegung nahe, die in der CRR niedergelegten Regelungen unter Rückgriff auf das sog. Proportionalitätsprinzip für die Risikoklassifizierungsverfahren der KSA- Institute anzuwenden. Das Proportionalitätsprinzip ist als Generalnorm in den EU- Verträgen fest verankert. 5 Mit Blick auf die Anwendung für Kreditinstitute findet sich z. B. eine Konkretisierung in Artikel 74 (2) CRD hinsichtlich der Ausgestaltung der internen Unternehmensführung. Demnach sind Art, Umfang und Komplexität der dem Geschäftsmodell und den Geschäften des Kreditinstituts innewohnenden Risiken in angemessener Weise Rechnung zu tragen. Um die Frage zu prüfen, inwieweit das Proportionalitätsprinzip als Skalierungsmaßstab der CRR-Anforderungen bei KSA- Instituten dienen kann, sind zunächst die wesentlichen Elemente zu identifizieren, die für einen nachhaltigen Betrieb von Rating- und Scoringsystemen erforderlich sind. In der Literatur wurde dieses Thema umfangreich aufgearbeitet 6 , die nachfolgen- 11.2015 diebank 39

die bank