Aufrufe
vor 5 Jahren

die bank 02 // 2018

die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

REGULIERUNG Der Prozess

REGULIERUNG Der Prozess zur Ermittlung und Sicherstellung der Risikotragfähigkeit umfasst neben der Kapitalplanung und internen Stresstests insbesondere das Risikotragfähigkeitskonzept, bei dem die normative und ökonomische Perspektive zugrundezulegen ist. Der normativen Perspektive, die dem Ziel der Fortführung des Instituts gem. AT 4.1 Tz. 2 dient, liegen die Gesamtheit der regulatorischen und aufsichtlichen Anforderungen sowie die darauf basierenden institutsinternen Anforderungen zugrunde. Die ökonomische Perspektive dient der langfristigen Sicherung der Substanz des Instituts und damit dem in AT 4.1 geforderten Gläubigerschutz. Das Risikodeckungspotenzial wird bei diesem Ansatz barwertig ermittelt und ist daher losgelöst von bilanziellen Ansatz- und Bewertungsregeln. Für sehr kleine und zugleich wenig komplexe Institute ist ein vereinfachter Ansatz vorgesehen. AT 4.1 Tz. 10 fordert, dass bei einer vergleichsweisen hohen Komplexität der Verfahren, Methoden, Annahmen oder Daten eine angemessene prozessuale und organisatorische Trennung zwischen Methodenentwicklung und Validierung zu gewährleisten ist. Dabei sind die wesentlichen Ergebnisse der Validierung gemäß AT 4.1 Tz. 9 und ggf. Vorschläge für Maßnahmen sowie Beschränkungen der Methoden und Verfahren der Geschäftsleitung mitzuteilen. Internes Kontrollsystem Die Aufsicht erwartet in AT 4.3.1 beim Wechsel von Mitarbeitern der Handels- und Vertriebsbereiche in nachgelagerte Bereiche und Kontrollbereiche angemessene Übergangsfristen (Cooling-Off-Periode), innerhalb derer diese Mitarbeiter keine Tätigkeiten ausüben oder verantworten dürfen, die gegen das Selbstprüfungs- und Selbstüberprüfungsverbot verstoßen. Da diese Regelung in kleineren Instituten schwierig umsetzbar sein dürfte, können sie abweichend alternative angemessene Kontrollmechanismen einrichten.Gemäß AT 4.3.2 haben die Institute angemessene Risikosteuerungs- und Risikocontrollingprozesse einzurichten, die insbesondere die Feststellung des Schutzbedarfs, die Ableitung von Sicherheitsanforderungen sowie die Festlegung entsprechender Sicherheitsmaßnahmen umfassen. Berechtigungen und Kompetenzen sind nach dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) zu vergeben. Die Zeichnungsberechtigungen sind nun mindestens alle drei Jahre zu überprüfen; weiterhin sind Berechtigungen in Verbindung mit Zahlungsverkehrskonten mindestens jährlich, besonders kritische IT-Berechtigungen sogar mindestens halbjährlich zu überprüfen. AT 4.3.2 Tz. 1 schreibt vor, dass die Risikosteuerungs- und Risikocontrollingprozesse in eine gemeinsame Ertrags- und Risikosteuerung (Gesamtbanksteuerung) einzubinden sind. Von den Instituten wird gemäß dem RTF-Leitfaden erwartet, dass eine Einbindung in die Gesamtbanksteuerung konsistent über alle Risikoarten und Perspektiven hinweg geschieht. Die Prozesse sowie die zur Risikoabschätzung eingesetzten Methoden und Verfahren sind gemäß AT 4.3.2 Tz. 5 nunmehr „regelmäßig sowie bei sich ändernden Bedingungen auf ihre Angemessenheit zu überprüfen“ und gegebenenfalls anzupassen. Datenmanagement und Risikodatenaggregation Gemäß Modul AT 4.3.4 Tz. 1 müssen die Anforderungen zur Aggregation von Risikodaten und -berichterstattung ausschließlich von global und anderweitig systemrelevanten Instituten eingehalten werden und gelten sowohl auf Gruppenebene als auch auf der Ebene der wesentlichen gruppenangehörigen Einzelinstitute. Die Regelungen basieren auf den Empfehlungen aus BCBS 239. Die gesamte Verfahrens- und Prozesskette von der Erhebung der Daten über die Verarbeitung bis hin zur Berichterstattung wird unter dem Begriff „Risikodatenaggregation“ subsumiert. Die IT-Infrastruktur insbesondere der großen, komplexen Institute soll dahingehend verbessert werden, dass eine umfassende, genaue und zeitnahe Aggregation der Risikopositionen ermöglicht wird. Datenstruktur und -hierarchie müssen künftig eine zweifelsfreie Identifizierung, Zusammenführung und Auswertung von Daten gewährleisten. Auch andere Institute werden von der Aufsicht explizit aufgefordert, ihre Datenaggregationskapazitäten weiter zu verbessern. Bei vielen Instituten dürfte zwar der Um- und Ausbau der IT-Systeme zu großen Belastungen führen, aber nur die Fähigkeit zur umfassenden und zeitnahen Aggregation von Risikopositionen macht fundierte Entscheidungen des Managements überhaupt erst möglich. Manuelle Eingriffe bei der Datenaggregation sollen auf das absolut Notwendige reduziert werden. Besondere Funktionen und Risikomanagement auf Gruppenebene Bei der unabhängigen Risikocontrolling-Funktion stellen die aufsichtlichen Erläuterungen zu AT 4.4.1 Tz. 4 klar, dass diese Aufgabe in der Regel unmittelbar unterhalb der Geschäftsleiterebene angesiedelt sein muss. Bei systemrelevanten Instituten hat die Leitung der Risikocontrolling-Funktion gemäß Tz. 5 grundsätzlich durch einen Geschäftsleiter zu erfolgen (Chief Risk Officer, CRO). Dieser darf weder für den Bereich Finanzen/Rechnungswesen noch für den Bereich Organisation/IT verantwortlich sein. AT 4.4.2 Tz. 3 regelt, dass die Compliance-Funktion unmittelbar der Geschäftsleitung zu unterstellen ist und grundsätzlich in einem von den Bereichen Markt und Handel unabhängigen Bereich angesiedelt werden muss. Systemrelevante Institute haben ihre Compliance-Funktion sogar als eigenständige Organisationseinheit einzurichten. In Abhängigkeit von Institutsgröße, Umfang und Risikogehalt der Geschäftsaktivitäten kann die Compliance-Funktion ausnahmsweise auch auf einen Geschäftsleiter übertragen werden. 32 02 // 2018

REGULIERUNG Auf Gruppenebene sind die Revisionsgrundsätze und Prüfungsstandards zu vereinheitlichen und Prüfungsplanungen aufeinander abzustimmen, damit eine Vergleichbarkeit der Prüfungsergebnisse der Konzernrevison und der Internen Revision gewährleistet ist. Die Konzernrevision hat in angemessenen Abständen, mindestens aber vierteljährlich an die Geschäftsleitung und das Aufsichtsorgan zu berichten. Verhaltenskodex In AT 5 Tz. 3 Buchstabe g werden die Institute verpflichtet, einen Verhaltenskodex für Mitarbeiter vorzuhalten, um genauer festzulegen, welche Risiken und Geschäfte überhaupt eingegangen werden können und welche nicht. Das Risikobewusstsein der Mitarbeiter eines Instituts soll gestärkt werden und sich positiv auf das tägliche Denken, Handeln und Verhalten auswirken. Im Idealfall soll ein offenes und kollegiales Führungskonzept dazu beitragen, sich möglichst innerhalb der festgelegten Risikotoleranzen zu bewegen. Die bewusste Auseinandersetzung mit Risiken im täglichen Geschäft soll mithilfe einer angemessenen Risikokultur in der Unternehmenskultur der Institute verankert werden. Auch der kritische Dialog innerhalb des Instituts soll von den Führungsebenen entsprechend gefördert werden. In einigen Instituten ist sicherlich einiges an Überzeugungsarbeit zu leisten, damit ethisch und ökonomisch wünschenswertes Verhalten nicht nur durch finanzielle Anreize ausgelöst wird. Technisch-organisatorische Ausstattung Die Institute müssen für IT-Risiken gemäß AT 7.2 Tz. 4 angemessene Überwachungs- und Steuerungsprozesse einrichten. Diese Prozesse müssen insbesondere die Festlegung von IT-Risikokriterien, die Identifikation von IT-Risiken, die Festlegung des Schutzbedarfs, daraus abgeleitete Schutzmaßnahmen für den IT-Betrieb sowie die Festlegung entsprechender Maßnahmen zur Risikobehandlung und Risikominderung umfassen. Beim Bezug von Software sind damit verbundene Risiken angemessen zu bewerten. Die Anforderungen an die technisch-organisatorische Ausstattung sind auch beim Einsatz von Individueller Datenverarbeitung (IDV) zu beachten. Die Festlegung von Maßnahmen zur Sicherstellung der Datensicherheit hat sich nach bankaufsichtlichen Vorstellungen am Schutzbedarf der verarbeiteten Daten zu orientieren. Am 3. November 2017 veröffentlichte die BaFin die „Bankaufsichtlichen Anforderungen an die IT“ (BAIT), um den Geschäftsleitungen der Institute ihre Erwartungshaltung hinsichtlich der sicheren Ausgestaltung der IT-Systeme mitzuteilen sowie die dazugehörigen Prozesse und Anforderungen an die IT- Governance transparent zu machen. Darüber hinaus werden Anforderungen an Auslagerungen und sonstige Fremdbezüge von IT-Dienstleistungen gestellt. Soweit auf dezidierte Textziffern der MaRisk referenziert wird, sind diese in einer Gesamtschau mit den einschlägigen Textziffern im BAIT-Rundschreiben anzuwenden. Die übrigen Textziffern der Ma- Risk bleiben unberührt. Anpassungsprozesse Im Rahmen des Neu-Produkt-Prozesses hat das Institut gemäß AT 8.1 Tz. 2 einen Katalog der Produkte und Märkte vorzuhalten, die Gegenstand der Geschäftsaktivitäten sein sollen. Das Institut muss regelmäßig überprüfen, ob diese Produkte noch verwendet werden und Produkte, die länger nicht Gegenstand der Geschäftstätigkeit waren, kennzeichnen. Vor der Wiederaufnahme der Geschäftstätigkeit mit gekennzeichneten Produkten ist eine Bestätigung der für die Arbeitsabläufe zuständigen Organisationseinheit einzuholen, dass die alten Geschäftsprozesse fortbestehen. Ansonsten ist zu prüfen, ob der Neu-Produkt-Prozess erneut durchlaufen werden muss. Eine anlassbezogene Prüfung des Neu-Produkt-Prozesses ist immer dann durchzuführen, wenn er häufiger zu einem nicht sachgerechten Umgang mit neuen Produkten oder mit neuen Märkten geführt hat. Dies ist beispielsweise der Fall, wenn sich die Annahmen und Schätzungen des Risikogehalts der Produkte oder Märkte als unzutreffend erwiesen haben. Auslagerungen Die Anforderungen an das Management von Auslagerungsrisiken – der AT 9 „Outsourcing“ wird in „Auslagerungen“ umbenannt – werden in bestimmten Bereichen konkretisiert und ergänzt, die in der Aufsichtspraxis wiederholt zu Unklarheiten geführt haben. So wird in AT 9 Tz. 1 klargestellt, dass die Frage des Auslagerungstatbestands unabhängig von möglichen zivilrechtlichen Ausgestaltungen zu erfolgen hat. Dies ist seit vielen Jahren gelebte Aufsichtspraxis. Außerdem sind die verstärkten Anforderungen an die Auslagerung etwa von Prozessen, Organisationseinheiten und Dienstleistungen zu nennen, durch die das Management besonderer, mit Auslagerungen verbundener Risiken effektiver ausgestaltet werden soll. Im Fachgremium MaRisk konnte zur Abgrenzung des nicht als Auslagerung angesehenen „sonstigen Fremdbezugs von Leistungen“ – speziell mit Blick auf die eingesetzten Softwarelösungen – ein pragmatischer Lösungsansatz gefunden werden: Softwarelösungen fallen dann in den Anwendungsbereich des AT 9, wenn sie für die Abschätzung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken eingesetzt werden und für die Wahrnehmung bankaufsichtlicher Aufgaben wesentlich sind. Der reine Erwerb von Software stellt hingegen keine Auslagerung dar. Welche ausgelagerten Aktivitäten und Prozesse als wesentliche Auslagerungen zu betrachten sind, muss ein Institut auf der Grundlage einer Risikoanalyse selbst festlegen. Dabei sind neben den Risiken der wesentlichen Auslagerung auch Risikokonzentrationen, Risiken aus Weiterverlagerungen und die Eignung des Auslagerungsunternehmens zu berücksichtigen. Grundsätzlich sind gemäß AT 9 Tz. 4 Aktivitäten und Prozesse auslagerbar, solange die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Abs. 1 KWG nicht beeinträchtigt wird. Die Leitungsaufgaben der Geschäftsleitung sind daher nicht auslagerbar. Die besonde- 02 // 2018 33

die bank