die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen.
Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.
REGULIERUNG ture)
REGULIERUNG ture) in der Version aus dem Jahr 2014 verpflichtete die Unternehmensführung, eine starke Risikomanagement-Kultur zu etablieren und Anreize für professionelles und verantwortungsbewusstes Verhalten zu setzen. In der neuen Version von August 2020 wird es dahingehend geschärft, dass Mitarbeiter angemessene Schulungen hinsichtlich Risikomanagement und Ethik erhalten müssen. Das zweite Prinzip sieht nun vor, dass das Operational Risk Management Framework (ORMF) vollständig in den übergreifenden Risikomanagementprozess der Bank zu integrieren ist. Das siebte Prinzip schreibt zusätzlich vor, dass das Change Management einer Bank inhaltlich umfassend aufgestellt, angemessen ausgestattet und zwischen den relevanten Verteidigungslinien abgestimmt sein muss. Das achte Prinzip stellt in der neuen Version klar, dass „Monitoring und Reporting“ das proaktive Management operationeller Risiken unterstützen sollen. Ein neues und zusätzliches zehntes Prinzip betrifft spezifisch ICT (Information and Communication Technology)-Risiken. Demnach ist eine ICT-Governance zu implementieren, diedie Geschäftstätigkeit der Bank im Einklang mit ihrer Risikostrategie vollständig unterstützt. Es sind Maßnahmen zur Risikoidentifizierung, zum Schutz, zur Reaktionsfähigkeit und zur Wiederherstellung vorgeschrieben, die regelmäßig getestet werden sollen. Das elfte (vormals zehnte) Prinzip betrifft den Bereich Business Continuity Planning. In der ursprünglichen Version wurde hierunter auch die Operational Resilience subsummiert, die nun in einem eigenen Standard detailliert wird (siehe unten). Das zwölfte (vormals elfte) Prinzip „Role of Disclosure“ sieht vor, dass die Offenlegung der Bank Investoren nicht nur einen Einblick in den Ansatz für das Management operationeller Risiken geben soll, sondern zusätzlich auch in das tatsächlich bestehende Risiko. Insgesamt handelt es sich um inkrementelle und situative Schärfungen und Konkretisierungen bestehender Anforderungen. Das ICT- Prinzip ist gänzlich neu. Ebenso verhält es sich mit den Anforderungen an Operational Resilience, die bei den Banken absehbar konkreten Handlungsdruck verursachen werden. Bedeutung und Neuigkeit der Operational Resilience Unter Operational Resilience ist die Fähigkeit zu verstehen, entscheidende unternehmensbezogene Dienstleistungen und Geschäftstätigkeiten auch unter widrigen Umständen ohne Unterbrechung aufrechterhalten zu können. Ein Institut soll sich selbst vor Bedrohungen und potenziellen Ausfällen schützen, auf Störungen und Ereignisse proaktiv reagieren und im Notfall eine schnelle Wiederherstellung seiner operativen Handlungsfähigkeit gewährleisten können. Operational Resilience ist somit vor allem ein Ergebnis des effektiven Managements von operationellen Risiken und setzt voraus, dass Verantwortlichkeiten auf Führungsebene verbindlich geregelt sind und eine klare End-to- End-Sicht auf priorisierte unternehmensbezogene Dienstleistungen das Handeln leitet. Eine solche ganzheitliche Sicht zu etablieren ist herausfordernd, weil die Geschäftstätigkeit im Rahmen granularer, arbeitsteiliger Geschäftsprozesse organisiert ist. Es besteht ein komplexer und vielschichtiger Zusammenhang zwischen Dienstleistungen und Geschäftstätigkeiten einerseits und Geschäftsprozessen, Systemen, Medien und Auslagerungen zu ihrer Erbringung andererseits. Inhaltlich besteht die Herausforderung deshalb darin, Zusammenhänge, Abhängigkeiten und Wechselwirkungen der relevanten Geschäftsprozesse, Systeme und Tätigkeiten systematisch zu erkennen und hinreichend zu entflechten. Operationalisierung der Operational- Resilience-Anforderungen Um ein effektives Business Continuity Management (BCM) zu operationalisieren, sollen messbare Kenngrößen (KPI) und Schwellen- 66 10 // 2020
REGULIERUNG werte festgelegt werden, deren Überschreitung vorbestimmte Maßnahmen auslöst. Die Abhängigkeit von externen oder gruppeninternen Dienstleistern für wesentliche Auslagerungen ist dabei gleichfalls zu berücksichtigen. Dienstleister müssen ihrerseits die Erwartungen ihres Auftraggebers an die Operational Resilience erfüllen. Ein Institut muss sich hiervon überzeugen und Pläne haben, wie es nahtlos auf alternative Dienstleister ausweichen oder entsprechende Leistungen notfalls selbst erbringen kann. Diese Anforderung verschiebt die Kosten-Nutzen-Abwägung deutlich zulasten der Auslagerungsoption und verschärft den Konsolidierungsdruck auf Regionalbanken. Im Hinblick auf die Stabilität des Finanzsystems bedeutet Operational Resilience, dass ein einzelnes Institut Schocks absorbieren kann und sich an sie anzupassen vermag, anstatt dazu beizutragen. Die Top- Down-Sichten sowohl der Aufsicht als Hüter der Systemstabilität als auch des Bankmanagements rücken somit noch stärker in den Fokus als bei den bisherigen Anforderungen. Aufbauend auf den etablierten Funktionen für das Management von operationellen Risiken ist der Vorstand der Bank dafür verantwortlich, die Anforderungen an die Operational Resilience zu überprüfen und unter Berücksichtigung von allgemeinem Risikoappetit und individuellem Risikoprofil des Instituts festzulegen. Der zweiten Führungsebene obliegt die Umsetzungsverantwortung, und sie muss dem Vorstand hierzu besonders im Krisenfall berichten. Während die meisten Anforderungen allgemein formuliert sind, geht das Baseler Komitee in diesem Kontext spezifisch auf IT- und Cyber-Risiken ein. Diesbezügliche Notfallpläne müssen Schutz, Erkennung, Reaktion und Wiederherstellung abdecken, also alle Aspekte des Störungsmanagements. Beim Zugriff auf IT-Ressourcen entsteht ein Zielkonflikt zwischen weitgehenden Zugriffsmöglichkeiten von außerhalb der Betriebsgebäude, um Arbeitsfähigkeit beispielsweise während des Corona-Lockdowns zu gewährleisten, und den daraus resultierenden Angriffsmöglichkeiten für Cyber-Kriminelle. War die Möglichkeit zur Fernarbeit früher eher ein Zugeständnis an Mitarbeiter, spielt sie nun zunehmend eine wichtige Rolle im Business Continuity Management. Eigenmittelanforderungen für operationelle Risiken Die Berechnungsgrundlage für die derzeit noch aktuellen Basisindikator- und Standardansätze ist der Dreijahresdurchschnitt des sogenannten maßgeblichen Indikators. Dieser bestimmt sich aus Posten der Gewinn- und Verlustrechnung und kann inhaltlich als Maß für den Rohertrag im Kerngeschäft aufgefasst werden. Die Eigenmittelanforderung ergibt sich durch die pauschale Gewichtung des maßgeblichen Indikators mit 15 Prozent. Ein solcher Ansatz ist erkennbar nicht risikosensitiv. Realisierte Schäden, die den Rohertrag schmälern, führen paradoxerweise zu nominell niedrigeren Eigenmittelanforderungen in den Folgejahren, wenngleich die Aufsicht in solchen Fällen typischerweise im Rahmen des SREP manuell gegensteuert. Vom BCBS ist ein neuer Standardansatz (Calculation of RWA for Operational Risk – Standardised approach) geplant, der sowohl den Basisindikatoransatz als auch den bisherigen Standardansatz ablösen soll. Dessen Einführung wurde aufgrund der Corona-Krise um ein Jahr auf Anfang 2023 verschoben. Der neue Ansatz basiert auf einem neuen Geschäftsindikator (Business Indicator, BI), der aus Finanz-, Service- und Zins-Komponenten besteht. Anhand der Höhe des BI werden Banken in Kategorien eingeordnet, deren BI multipliziert mit gestaffelten Prozentsätzen die Geschäftsindikator-Komponente (Business Indicator Component, BIC) ergibt. Diese BIC ist als Bemessungsgrundlage für das Eigenmittelerfordernis zunächst ebenso starr wie der maßgebliche Indikator im derzeitigen Basisindikatoransatz. In einem nächsten Schritt kann die BIC allerdings mit einem Verlust-Skalierungsfaktor (Internal Loss Multiplier, ILM) multipliziert werden, der sich aus dem Verhältnis der tatsächlichen historischen Verluste eines Instituts zu seiner BIC bestimmt. Dieses Vorgehen soll eine systematische Risikosensitivität ermöglichen. Die Berechnung des ILM erfordert eine mindestens zehnjährige Schadenfallhistorie, an deren Datenqualität hohe Anforderungen gestellt werden. Für alle Banken, die einen BI von weniger als 1 Mrd. € haben, ist die Berechnung eines ILM optional. Dies trifft auf so gut wie alle deutschen Regionalbanken zu. Regionalbanken dürfen den ILM zwar freiwillig berechnen, doch voraussichtlich werden die Institute von dieser Möglichkeit kaum Gebrauch machen. Grund ist, dass der operative Aufwand hierfür deutlich schwerer wiegt als die möglicherweise erzielbaren Vorteile hinsichtlich Eigenmittelentlastung und Risikosensitivität. Handlungsdruck und Vorgehensmodell Der Trend zu immer engerer und anspruchsvollerer Regulierung setzt sich auch in den beschriebenen Standards zum operationellen Risiko und zur Operational Resilience fort. Das Management von operationellen Risiken ist gerade bei Regionalbanken vielfach noch eher rudimentär ausgeprägt und erfolgt reaktiv unterhalb der ersten Führungsebene; Ausnahmen hiervon gibt es vor allem bei Instituten, die bereits wesentliche Schadensereignisse aufarbeiten mussten. Ob zusätzlicher Regulierungsdruck tatsächlich nennenswerte Verbesserungen in der Breite erbringen kann, bleibt abzuwarten. Eine Überforderung der Banken mit unwirtschaftlichen und teils unpraktikablen Anforderungen ist längst erkennbar. Dieser Aspekt spielt in den Überlegungen des Komitees nach wie vor keine erkennbare Rolle. 10 // 2020 67
