Aufrufe
vor 2 Monaten

die bank 04 // 2022

  • Text
  • Wwwbankverlagde
  • Schwerpunkt
  • Mitarbeiter
  • Risiko
  • Befragten
  • Conduct
  • Markt
  • Auswirkungen
  • Unternehmen
  • Risiken
  • Banken
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

MARKT SCHWERPUNKT

MARKT SCHWERPUNKT OPRISK-FORUM rausforderung hat neue Zwänge, Anreize und Möglichkeiten geschaffen, die zu einer erhöhten Gefährdung durch Verhaltensrisiken führen können. Dazu trägt bei, dass sich die Institute an ein immer volatileres Marktumfeld sowie an Veränderungen in ihrem Betriebsund Kontrollumfeld anpassen müssen, wie etwa bei Mitarbeitern, die nun permanent von zu Hause arbeiten. Wenn nun Institutsmitarbeiter versuchen, die Gegebenheiten einer Pandemie auszunutzen, sind sowohl die Institute selbst als auch deren Kunden einem größeren Risiko ausgesetzt. Dies gilt es daher im Rahmen des institutsbezogenen Stresstests besonders zu adressieren. Wie bereits erwähnt, sind für Verhaltensrisiken insbesondere Schwächen im Überwachungssystem und Prozessdesign relevant. Jedoch ist auch übergeordnet die Unternehmens- bzw. Risikokultur nicht zu vernachlässigen. Ebenso gilt es, Fehlanreize für das vom Unternehmen etablierte Anreizsystem zu vermeiden. Am Beispiel der Geldwäschebekämpfung (Anti Money Laundering, AML) und damit verbunden aufsichtsrechtlichen Sanktionen bei deren Nichterfüllung soll dies verdeutlicht werden. Auch, wenn interessanterweise in diesem Bereich die Geldstrafen im Jahr 2021 gegenüber dem Vorjahr weltweit entscheidend gesunken sind, nämlich von 11,5 Mrd. auf 2,5 Mrd. US-$, konnten sie für einzelne Institute doch erheblich sein. 2 So musste ABN AMRO (ABN) beispielsweise im vergangenen Jahr eine die Strafe über 480 Mio. € für AML-Verstöße hinnehmen. Auf der Grundlage von Untersuchungen der niederländischen Staatsanwaltschaft DPPS stellten sich schwerwiegende Mängel in der ABN zur Bekämpfung der Geldwäsche in den Niederlanden heraus, wie z. B. in den Prozessen für die Annahme von Kunden, die Überwachung von Transaktionen und die Beendigung des Kundenverhältnisses (Client-Lifecycle-Prozess) im Zeitraum zwischen 2014 und 2020, wodurch Kunden der Bank in bestimmten Fällen in der Lage waren, ABN-Konten zu missbrauchen. Dies verdeutlicht auch die Komplexität im Rahmen der Risikozuordnung. Ist hier von einer reinen Prozessschwäche bzw. ungenügenden internen Direktiven auszugehen, oder handelt es sich hier auch um bewusstes Fehlverhalten von Mitarbeitern, etwa um gesetzte Bereichsziele zu erreichen? Gemäß der Kommunikation des Instituts (vgl. die Stellungnahme des Instituts vom 19. April 2021) wäre eher von ersterem auszugehen. Gleichwohl könnte man auch von einem mangelnden Risikoverständnis bzw. -bewusstsein im Sinne von integrem Handeln ausgehen. Darunter versteht man, auch dann das Richtige zu tun, wenn eben nicht die entsprechenden Vorschriften implementiert bzw. vorhanden sind („Do the right thing even when no one is watching“, Aldo Leopold). So war hier sicherlich nicht allein das Fehlen von angemessenen internen Vorschriften und Prozessen ausschlaggebend, sondern auch zum einen das fehlende Risikobewusstsein und im Weiteren angemessene Überwachungssysteme, die das Fehlverhalten hätten aufdecken und ihm entgegenwirken können. Übertragen auf das Szenario einer Pandemie hieße dies, dass sicherlich nicht alle Bereiche, die durch die Pandemie zu Organisations- und Prozessänderungen gezwungen sind, mit entsprechenden Richtlinien bzw. Vorschriften abgedeckt sind. Hierdurch ergeben sich für das Conduct Risk potenzielle Schwachstellen, die über Stresstests identifiziert und quantifiziert werden sollten. 34 04 | 2022

SCHWERPUNKT OPRISK-FORUM MARKT 1 | Für ein Pandemie-Szenario 3 relevante Risikokategorien Risikokategorie Pandemie-bezogenes Exposure Auslöser Auswirkung Arbeitspraxis und Arbeitsplatzsicherheit Beeinträchtigte Personalverfügbarkeit bzw. des Arbeitsplatzes Generelle Ansteckung Kontamination des Arbeitsplatzes BCM Schaden am physischen Vermögen Eingeschränkter Gebäudezugang Kontamination des Arbeitsplatzes BCM Geschäftsunterbrechung & Systemversagen Prozess & Systemausfälle Cyber-Angriff Zusammenbruch der Kommunikation BCM GuV / Kapital Ausführung, Lieferung & Prozessmanagement Prozessversagen Cyber-Angriffe Personalengpässe und -nichtverfügbarkeit BCM GuV / Kapital Cyber-Risiko Systemausfall bzw. -versagen Cyber-Angriff Datenleck und -verlust BCM GuV / Kapital Compliance-Risiko Informationssicherheit Datenleck und-verlust GuV / Kapital Inadäquate IT-Architektur bzw. -Design Kein oder kein verlässlicher Systemzugang BCM GuV / Kapital ITC-Risiko unzuverlässige Software Überholte Hardware bzw. mangelnde Pflege Kein oder kein verlässlicher Systemzugang Systemversagen BCM Kommunikationsausfall Mangelnde oder keine Verbindungsmöglichkeiten BCM Auslagerungsrisiko Einhaltung der Auslagerungsvereinbarung Auslagerung Ausführung Datenleck und -verlust Inadäquate Auslagerung Prozessversagen BCM GuV / Kapital BCM GuV / Kapital Modellrisiken Modellverzerrungen Inadäquates Modell-Design GuV / Kapital Virtuelles Arbeiten Schwaches Kontrollumfeld Suboptimale Kundenbetreuung Conduct Risk Kommunikation Nutzung von unzulässigen Applikationen, unterlassene Nutzung der Standardapplikationen GuV / Kapital Staatliche Unterstützungs- und Schutzmaßnahmen Vernachlässigung besonderer Bedürfnisse von schutzbedürftigen Kunden. Quelle: Eigene Darstellung. Vorüberlegungen zur Durchführung des NFR-Stresstests unter Einbezug von Conduct Risk Vor der Durchführung des NFR-Stresstests müssen ausreichende Überlegungen zum Pandemie-Szenario selbst und den damit verbundenen institutsbezogenen Risiken angestellt werden. Damit können auch für die betroffenen Unternehmensbereiche die Auswirkungen auf die drei wesentlichen Bereiche, Business Continuity Management (BCM), Gewinn und Verlustrechnung (GuV) sowie Kapitalposition (Kapital), bestimmt werden. In der Tabelle ÿ 1 wird (wenn auch nicht abschließend) ein Überblick über die im Rahmen der NFR-Betrachtung wesentlichen Risikokategorien gegeben sowie das damit verbundene Exposure, die Auslöser und die diesbezüglichen Auswirkungen. Dies dient als Grundlage für die Strukturierung der Überlegungen zum Pandemie-NFR-Stresstest, ebenfalls mit Blick auf die Verhaltensrisiken. Diese Tabelle zeigt, dass einzelne Risikokategorien hinsichtlich der Auslöser und der damit verbundenen Materialisierung stark miteinander korrelieren Die Conduct Risks sind hier insbesondere auch oft als indirektes Risiko anzusehen, und nicht als direktes Exposure aus der Pandemie selbst. Viele Auslöser sind auf das individuelle Verhalten der Mitarbeiter zurückzuführen. Daher gilt es, Schwachstellen frühzeitig zu erkennen, bevor sie zum Tragen kommen. Natürlich werden Stresstests in vielen Instituten für eine solche Identifizierung genutzt. Die entsprechenden Auslöser genau zu bestimmen, bleibt aber weiter eine Herausforderung. Folglich sollten bei Stresstests immer auch die sogenannten Spillover- und Zweit- 04 | 2022 35

die bank

© die bank 2014-2020