Aufrufe
vor 2 Jahren

die bank 04 // 2021

  • Text
  • Vorgaben
  • Wertpapiere
  • Marisk
  • Nutzung
  • Insbesondere
  • Risiken
  • Auslagerungen
  • Unternehmen
  • Anforderungen
  • Banken
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

MANAGEMENT VERZAHNUNG

MANAGEMENT VERZAHNUNG AUFSICHTSRECHT UND EFFIZIENZSTEIGERUNG „Alles hängt mit allem zusammen“ Die Zusammenhänge und Abhängigkeiten zwischen unterschiedlichen aufsichtsrechtlichen Anforderungen an die Second Line of Defense von Banken werden in der Praxis oft verkannt. Eine Verzahnung von Umsetzungserfordernissen über Verantwortungsbereiche hinweg kann zur Freisetzung von Synergie-Effekten beitragen. Im folgenden Beitrag werden Gemeinsamkeiten zwischen unterschiedlichen Aufsichtsthemen identifiziert. Darauf aufbauend beschreiben die Autoren einen praxisorientierten Vorgehensvorschlag, um zusätzliche Potenziale zur Effizienzsteigerung in Banken zu heben. Seit mehr als einem Jahrzehnt befinden sich Banken in einem sich stetig verschärfenden Umfeld aus Niedrigzinsen, sinkenden Margen, Digitalisierung, zunehmendem Wettbewerb sowie kontinuierlich steigenden gesetzlichen und aufsichtlichen Anforderungen. Neben der Erfüllung von geänderten Kundenbedürfnissen, der Erschließung neuer Geschäftsfelder sowie der Optimierung von Geschäftsprozessen gilt es ebenfalls, die Vielzahl von aufsichtsrechtlichen Anforderungen jederzeit einzuhalten und in die Banksteuerung zu integrieren. Mit Blick auf die aufsichtsrechtlichen Rahmenbedingungen besteht die Herausforderung insbesondere darin, alle Anforderungen ganzheitlich zu betrachten. In der Praxis obliegt die Verantwortung für die Umsetzung und Steuerung von Aufsichtsthemen unterschiedlichen Unternehmensbereichen. So kommt es nicht selten vor, dass die zuständigen Experten für Compliance, Geldwäsche, IKS, IT-Risiko, Notfallmanagement oder operationelle Risiken (OpRisk) jeweils Fragebögen mit selbstentwickelten Bewertungsskalen zur Erfüllung ihrer Funktionen an alle Unternehmensbereiche verschicken. Mitunter müssen Mitarbeitende Fragen zu ähnlichen Themen mehrfach beantworten. Die Vergleichbarkeit sowie die Zusammenführung der Ergebnisse einzelner Risiko- Analysen wird durch unterschiedliche Bewertungsvorgaben erschwert. Im Ergebnis führt der klassische Siloblick für ein Aufsichtsthema zu Mehrarbeit und aufwendigen Ergebnisinterpretationen. Unterstützt wird der Siloblick durch partielle und nicht-prozessorientierte Analysen von in- und externen Prüfern. Eine über mehrere Verantwortungsbereiche koordinierte und zusammenhängende Betrachtung von aufsichtsrechtlichen Anforderungen kann die Transparenz sowie das Risikoverständnis erhöhen und gleichzeitig Synergieeffekte freisetzen. „Alles hängt mit allem zusammen“ (Alexander von Humboldt) Die Risiken sowie die damit zusammenhängenden Regulierungsvorgaben für Banken sind vielfältig und erscheinen auf den ersten Blick schwer miteinander kombinierbar. Unter Berücksichtigung des bankinternen Prozesses zur Sicherstellung einer angemessenen Kapitalausstattung (ICAAP) lässt sich der Zusammenhang auf den zweiten Blick jedoch gut darstellen. Die Darstellung ÿ 1 veranschaulicht, dass die wesentlichen Aufsichtsthemen in den ICAAP münden und direkte Auswirkungen auf das nach Abzug aller Risiken verbleibende freie Risikodeckungspotenzial haben. Umso wichtiger ist eine gute und aufeinander abgestimmte Risikoarbeit zwischen den Three Lines of Defense innerhalb des internen Kontrollsystems einer Bank, um etwaige Eigenkapitalbelastungen zu optimieren. Während die erste Verteidigungslinie durch interne und operative Kontrollen geprägt ist, liegt der Fokus der zweiten Verteidigungslinie auf den Kontrolleinheiten für Compliance, Risikomanagement und Informationssicherheit. Diese Kontrolleinheiten verantworten die methodischen Vorgaben und Richtlinien für die Bank und haben dadurch einen maßgeblichen Einfluss auf eine (in-)effiziente Umsetzung derselben. Die Interne Revision rundet das Modell über die dritte Verteidigungslinie ab. 26 04 // 2021

MANAGEMENT 1 | Zusammenhängendes Risikopotenzial Risikodeckungspotenzial (Summe Vermögenswerte) Risikopotenzial (Summe Risiken) Freies Risikodeckungspotenzial Adressenausfallrisiken Marktpreisrisiken Operationelle Risiken Liquiditätsrisiken Sonstige Risiken Arbeitsumfeldrisiko Auslagerungsrisiko Bearbeitungsrisiko Compliance-Risiko Cyber-Risiko Modellrisiko Personalrisiko Produktrisiko Projektrisiko Prozessrisiko Rechtsrisiko Risiko externer Ereignisse Steuerungsrisiko System- und Technologierisiko Verhaltensrisiko Quelle: Eigene Darstellung. Gemeinsamkeiten aufsichtsrechtlicher Anforderungen erkennen Um die Zusammenhänge und Abhängigkeiten zwischen Aufsichtsthemen der Second Line of Defense zu verzahnen, ist es wichtig, die unterschiedlichen Zielsetzungen und Vorgehensweisen zu verstehen. Im Folgenden wird auf ausgewählte Anforderungen eingegangen. Z Operationelle Risiken: Nach der CRR gilt OpRisk als „das Risiko von Verlusten, die durch die Unangemessenheit oder das Versagen von internen Verfahren, Menschen, Systemen oder durch externe Ereignisse verursacht werden, einschließlich Rechtsrisiken“. Das OpRisk wird über standardisierte normative sowie auch ökonomische Methoden gemessen. Die interne jährliche Messung variiert je Bank und kann auf einer OpRisk-Inventur, Expertenschätzungen, gesammelten Schadensfällen oder Szenario-Analysen basieren. Einheitliche aufsichtsrechtliche Bewertungskriterien sind nicht vorgegeben. Gleichwohl sollen nach der neuen MaRisk- Konsultation „Erkenntnisse aus der IT-Sicherheit, der Compliance, den Anpassungsprozessen sowie den Prozessen des Notfall- und Auslagerungsmanagements“ bei der Risikobewertung berücksichtigt werden. Die sich aus den jeweiligen Risikoanalysen der Kontrolleinheiten ergebenden Bruttorisiken können durch geeignete Maßnahmen in Nettorisiken transformiert und ins OpRisk-Management überführt werden. Z Informationssicherheits-Risikomanagement (ISRM): Mit wachsender Nutzung der Informationstechnik zur Erreichung der strategischen Ziele hat sich die Abhängigkeit von der Verfügbarkeit und der Integrität von verarbeiteten Informationen stetig erhöht. Daraus ergibt sich die Notwendigkeit, Daten vor unzulässiger und unsachgemäßer Verwendung zu schützen. Die Aufgabe des ISRM besteht insofern darin, die mit dem Betrieb der IT verbundenen Risiken sowie deren Auswirkungen auf Geschäftsprozesse so früh wie möglich zu identifizieren, zu bewerten und geeignete Maßnahmen zu ergreifen. Gesetzliche und aufsichtsrechtliche Anforderungen finden sich in der EU-DSGVO, im IT-Sicherheitsgesetz, der Ma- Risk sowie der BAIT und können je nach Art und Umfang des Geschäftsmodells durch gängige Standards des BSI oder der ISO-Norm umgesetzt werden. Die Risiko-Identifizierung kann über eine Risiko-Analyse, basierend auf der Struktur- Analyse des Informationsverbunds sowie der relevanten Unternehmenswerte und einer darauf aufbauenden Schutzbedarfsfeststellung, erfolgen. Für die Bewertungskriterien schlägt die 04 // 2021 27

die bank