Zielgerichtetes Prozessmanagement in der Risikosteuerung



Integration von Methoden aus Compliance, Risikomanagement und IKS

Prof. Dr. Ralf Kühn

Wirtschaftsprüfer, Geschäftsführer der Finance Audit GmbH Wirtschaftsprüfungsgesellschaft, Ettlingen

I. Ausgangslage

Das Prozessmanagement wird in vielen Instituten klassisch als Bestandteil der Ablauforganisation und ihrer Ausgestaltung betrachtet – und allzu oft eher formal im Rahmen von Dokumentationspflichten der schriftlich fixierten Ordnung betrieben. Dennoch setzt sich sukzessive die Erkenntnis durch, dass es wenig sinnvoll und faktisch unmöglich ist, von der „Umsetzung digitalen Wandels“ und von der „Digitalisierung von Prozessen“ zu sprechen, wenn es bereits an Transparenz und betriebswirtschaftlicher Effizienz der aktuellen Prozesse mangelt und kulturell nicht akzeptiert und verstanden wurde, dass Digitalisierung von Prozessen erfordert, dass diese klar, eindeutig und granular modelliert und ausgestaltet sind. Schließlich mag zwar irgendwann künstliche Intelligenz auch in der Lage sein, aus einem „Ablaufchaos“ einen effizienten und tatsächlich durch Menschen-Maschine-Interaktion implementierten Prozess zu „zaubern“: Es bleibt aber zu vermuten, dass diese Entwicklungsstufe noch nicht in den nächsten wenigen Jahren des bankbetrieblichen Managements erreicht sein wird.

Richtig ist damit natürlich: Ziel des Prozessmanagements ist auch die Dokumentation von Abläufen im Sinne einer transparenten Ablauforganisation und schriftlich fixierten Ordnung. Diese sind auch Voraussetzung einer ordnungsmäßigen Geschäftsorganisation im Sinne des § ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Wirksame Kündigung von Firmenkundendarlehen durch die Bank



Kündigungsrechte aus Gesetz und AGB-Banken versus Haftung für rechtswidrige Kündigungen

Prof. Dr. Patrick Rösler, Rechtsanwalt, Vorstandsvorsitzender FCH Gruppe AG und Professor für Bankrecht an der Allensbach Hochschule

I. Einführung

Die Kündigung ist das wichtigste rechtliche Mittel zur vorzeitigen Beendigung eines Darlehensvertrages. Der Vertrag könnte auch durch einen Aufhebungsvertrag zwischen Bank und Kunde vorzeitig beendet werden. In diesem Fall müsste der Kunde aber zustimmen, weshalb diese Möglichkeit hier nicht weiter beleuchtet werden soll.

Die Kündigung als empfangsbedürftige Willenserklärung (§ 130 BGB) muss dem Kreditnehmer zu ihrer Wirksamkeit zugehen. Bei mehreren Kreditnehmern muss sie jedem Kreditnehmer zugehen. Sie bedarf nicht der Schriftform, wird aber zu Beweiszwecken regelmäßig zumindest in Textform verfasst. Kündigungen sind bedingungsfeindlich. Sie dürfen also nicht unter einer Bedingung erklärt werden, sonst sind sie nicht wirksam. In der Praxis wird dies gern übersehen.

Die allgemeinen gesetzlichen Kündigungsrechte beim Darlehen sind in §§ 488–490 BGB geregelt. Auch in Nr. 18 und 19 AGB-Banken finden sich konkretisierende Regelungen zum Kündigungsrecht. Dabei muss danach unterscheiden werden, ob die Bank oder der Kunde kündigen will und ob ein befristetes oder ein unbefristetes Darlehen vereinbart ist. Bei unbefristeten Krediten (unten II.) kann die Bank nach § 488 ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Steuerung der Risikotragfähigkeit bei regionalen Instituten



Auswirkungen der proportionalen Ausgestaltungsoptionen.

Sebastian Herrmann, Referent Unternehmenssteuerung, VR Bank Südpfalz

     

Timo Rinck, Abteilungsdirektor Unternehmenssteuerung, VR Bank Südpfalz

 

     

Prof. Dr. Christiane Weiland, Studiengangsleiterin BWL-Bank, Duale Hochschule Baden-Württemberg Karlsruhe

     

 

I. Einleitung

Mit der Veröffentlichung des neuen Risikotragfähigkeits-Leitfadens im Mai 2018 hat die BaFin die Beibehaltung der bestehenden Risikotragfähigkeits-Konzepte in ihrer Anwendung zeitlich begrenzt. Hierdurch ergibt sich für alle Institute die Notwendigkeit, ihre Risikotragfähigkeitskonzeption zumindest mittelfristig anzupassen. Mit der normativen und der ökonomischen Perspektive ist die Risikotragfähigkeit zukünftig aus zwei Sichtweisen zu betrachten. Da die meisten regionalen Institute bislang nach einem GuV-basierten „Going-Concern“-Ansatz steuern, besteht für diese Institute die größte Anpassungsaufgabe in der Einrichtung eines mit der Abbildung einer ökonomischen Perspektive einhergehenden barwertigen Steuerungssystems. Die Aufsicht legt aus Gründen der Proportionalität hierfür drei alternative Konzepte an.

Durch die Umstellung auf eine barwertige Steuerung kann in ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Verschärfte Anforderungen für notleidende Kredite in Säule 1 und 2



Einführung der Mindestrisikovorsorge („NPL Prudential Backstop“) in Säule 1 sowie Überarbeitung des Managements von notleidenden Krediten in Säule 2

Tim-Oliver Engelke, Referent Gesamtbanksteuerung und Bankenaufsichtsrecht, Verband der Sparda-Banken e.V.[1]

I. Einführung ins Thema

„Die Behandlung notleidender Kredite steht im Rahmen der europäischen Bankenaufsicht ganz weit oben auf der Agenda und wird dort, davon bin ich fest überzeugt, noch eine Weile bleiben.“

So äußerte sich Felix Hufeld, Präsident der BaFin, in einem Redaktionsgespräch Ende 2018 zur Bedeutung von notleidenden Krediten in Europa. Das Thema hinsichtlich der Gefahr von notleidenden Krediten und deren Behandlung ist längst zum europäischen Politikum geworden. Ein Blick in die aktuellen Arbeitsprogramme bzw. aufsichtlichen Prüfungsschwerpunkte der BaFin, Deutschen Bundesbank und EZB zeigt, dass das Thema Kreditrisiko und die Behandlung notleidender Kredite verstärkt im Fokus der Aufsicht liegen.

Gemäß der EBA lag das Volumen an notleidenden Krediten in der Eurozone im Jahr 2014 bei über 1,1 Bio. €. Banken mit großen NPL-Beständen stellen eine erhebliche Gefahr für die Finanzstabilität und den Erfolg der Bankenunion dar. Notleidende Kredite belasten Ressourcen durch die Bindung von Eigenkapital und beeinträchtigen die Vergabe von Krediten zur Unterstützung der Realwirtschaft. Das politische Ziel in ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Integrierte Liquiditätsrisikosteuerung mit Meldewesendaten



Wie das Meldewesen mit der Banksteuerung zusammengeführt werden kann.

Dr. Normen Rohde, Spezialist für Liquiditätsrisiko, Berliner Volksbank eG/Lisa-Marie Geray, Consultant Risk Advisory, Deloitte/Rouven Hartmann, Senior Manager Risk Advisory, Deloitte

I. Meldewesendaten – eine Goldgrube an Informationen

Die im Jahr 2007 aufgekommene Finanzmarktkrise führte insbesondere bei den deutschen Regionalbanken zu vergleichsweise geringen Schäden in Folge von atypisch hohen Refinanzierungskosten. Anders verhielt es sich bei Großbanken, welche insbesondere aufgrund ihrer Risiko- und Refinanzierungsprofile ungleich stärker belastet wurden. In Folge einer krisengetriebenen Entwicklung von liquiditätsbezogenen aufsichtlichen Vorgaben entstand eine Vielzahl von neuen, in Teilen inkonsistenten Anforderungen. Dies führte institutsübergreifend zu ansteigenden einmaligen wie auch laufenden Aufwendungen für die erforderliche IT-Infrastruktur sowie dem Aufbau und Erhalt des benötigten Fachwissens der verantwortlichen Mitarbeiter im Bereich des Meldewesens. Insbesondere Regionalbanken wurden aufgrund ihrer begrenzten personellen Möglichkeiten aber auch aufgrund vorhandener Abhängigkeiten (bspw. im IT-Bereich) vor Herausforderungen gestellt. In jüngster Zeit fordert die Aufsicht zudem eine enge Verzahnung zwischen dem Meldewesen (Säule I) sowie dem Risikomanagement (Säule II). Werden in diesem Zusammenhang die Informationen aus der normativen Säule-I-Perspektive sowie der ökonomischen Säule-II-Perspektive zusammengeführt, können sich Synergien ergeben, welche zur Senkung von Kosten beitragen können.

Abbildung 1: Anstieg der zu meldenden ...

Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Auslagerungsmanagement und Risikoanalyse nach AT 9 MaRisk

Aus den Augen, aus dem Sinn?

Katja Hampe, Fachreferentin der Geschäftsführung, Wirtschaftsprüferin, AWADO Deutsche Audit GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft

I. Die Auslagerung – tragende Rolle auf vielen Bühnen

Das Thema Auslagerung spielt schon seit längerer Zeit eine tragende Rolle auf diversen Bühnen. Die erste dieser Bühnen ist die der internationalen Papiere, die zu diesem Thema veröffentlicht wurden. Zu nennen sind hier insbesondere Veröffentlichungen des Joint Forums (Zusammenschluss des Baseler Ausschusses für Bankenaufsicht, der IOSCO[1] und der IAIS[2]), der CEBS[3] und der EBA[4] sowie verschiedene Vorgaben der deutschen Aufsicht im Rahmen der MaRisk und des § 25b KWG[5].

Die zweite Bühne ist die der betriebswirtschaftlich sinnvollen Arbeitsteilung (Schlagwort: “Konzentration auf Kernkompetenzen”) und die dritte Bühne ist die der sehr dynamischen Entwicklung der Kreditwirtschaft in diesem Bereich.

Doch eins nach dem anderen…

II. Die Auslagerung – unser Protagonist

Zunächst eine Vorstellung unseres Protagonisten: die Auslagerung, auch bekannt als Outsourcing.

Outsourcing ist ein Kunstwort, das sich aus den drei englischen Wörtern „Outside“, „Ressource“ und „Using“ zusammensetzt. Wörtlich übersetzt bedeutet es in erster Linie „Nutzung externer Ressourcen“. Und das ist auch genau das, was das deutsche Wort „Auslagerung“ insbesondere im Sprachgebrauch der BaFin meint: Eine Auslagerung liegt dann vor, wenn ein Institut einen Dienstleister mit der Wahrnehmung von Prozessen im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt, die ansonsten vom Institut selbst erbracht würden.

 

III. Die Auslagerung – Vielseitigkeit ist ihre Stärke, aber wo Licht ist, da ist auch
Schatten

Schon diese Definition macht deutlich, dass sehr unterschiedliche Auslagerungskonzepte nicht nur denkbar sind, sondern auch genutzt werden. Am einen Ende der Skala werden lediglich einzelne Unterstützungsaufgaben oder Nebentätigkeiten auf Dritte verlagert. Dies ist ganz im Sinne der oben schon erwähnten Konzentration auf Kernkompetenzen. Warum sollte sich eine Bank selbst um Dinge wie Transport zwischen Filialen, Archivierung oder die Mitarbeiterkantine kümmern? Das können andere Anbieter im Zweifel besser und günstiger. Hier überwiegen Vorteile wie Gewinnung von Kosten- und Prozesseffizienzen, Nutzung von Skaleneffekten und Qualitätsverbesserung ganz eindeutig. Zwar dürfen auch solche Aktivitäten und Prozesse nicht ganz aus den Augen verloren werden, stehen aber nicht im Fokus der Aufsichtsbehörden.

Am anderen Ende der Skala findet sich allerdings die Auslagerung ganzer Prozessketten, kompletter bankbezogener Funktionen sowie zentraler Bereiche[6]. Hierfür interessiert sich die Bankenaufsicht naturgemäß sehr wohl. Als Risiko droht nämlich neben Zersplitterung von Prozessen, Verringerung des internen Know-hows oder Unsicherheiten bei der Kostenentwicklung, die Abhängigkeit von einem Drittunternehmen und damit Verlust von Zugriffsmöglichkeiten sowohl für die gesetzlichen Vertreter der auslagernden Bank als auch für die Aufsicht. Deshalb die Botschaft des AT 9 MaRisk: Die Gesamtverantwortung für alle ausgelagerten Prozesse und Aktivitäten verbleibt weiterhin (und nicht delegierbar) bei den gesetzlichen Vertretern des auslagernden Unternehmens. Dies umfasst insbesondere ein angemessenes und wirksames Risikomanagement, welches neben der Implementierung eines eigenen Internen Kontrollsystem (IKS) bezüglich der ausgelagerten Tätigkeit (korrespondierende Kontrollen) auch die Beurteilung des IKS des Dienstleisters beinhaltet.

IV. Das zentrale Auslagerungsmanagement – hier laufen die Fäden zusammen

Bezüglich dieser Implementierung eines eigenen Internen Kontrollsystems bezüglich der ausgelagerten Tätigkeit geht die Aufsicht – zumindest bei größeren Instituten bzw. bei Instituten mit umfangreichen Auslagerungslösungen – davon aus, dass ein zentrales Auslagerungsmanagement eingerichtet ist, so dass eine Stelle in der Bank einen Gesamtüberblick über alle ausgelagerten Aktivitäten und Prozesse hat und so ein möglichst einheitlicher Umgang mit den besonderen Risiken aus Auslagerungen und deren Überwachung sichergestellt wird. AT 9 Tz. 12 nennt als Aufgaben des zentralen Auslagerungsmanagements:

  • Implementierung und Weiterentwicklung eines angemessenen Auslagerungsmanagements und entsprechender Kontroll- und Überwachungsprozesse
  • Erstellung und Pflege einer vollständigen Dokumentation der Auslagerungen (einschließlich Weiterverlagerungen)
  • Unterstützung der Fachbereiche bezüglich der institutsinternen und gesetzlichen Anforderungen bei Auslagerungen
  • Koordination und Überprüfung der durch die zuständigen Bereiche durchgeführten Risikoanalysen

Zudem hat das zentrale Auslagerungsmanagement mindestens einmal im Jahr einen Bericht über die wesentlichen Auslagerungen zu erstellen. Dabei hat der Bericht u. a. darüber eine Aussage zu treffen, „…, ob die erbrachten Dienstleistungen der Auslagerungsunternehmen den vertraglichen Vereinbarungen entsprechen, die ausgelagerten Aktivitäten und Prozesse angemessen gesteuert und überwacht werden und ob weitere risikomindernde Maßnahmen ergriffen werden sollen“ (AT 9 Tz. 13 MaRisk).

Ein so verstandenes Einbeziehen der Auslagerungen in das unternehmensweite Risikomanagement geht über die historische Form des operativen Risikomanagements, dessen Fokus primär auf die Risikovermeidung und -minderung ausgelegt war, hinaus. Hauptziel ist das effiziente und effektive Management der ausgelagerten Bereiche, welches alle wesentlichen Einzelrisiken und deren Abhängigkeiten umfasst. Das risikoorientierte Management der ausgelagerten Bereiche hat das Ziel, eine ausgewogene Sichtweise von Risiken und Wertschöpfung über die gesamte Laufzeit des Auslagerungsverhältnisses hinweg zu etablieren. Ein moderner chancen- und risikoorientierter Auslagerungsmanagementansatz integriert die Organisation, die Aufgaben und die Instrumente in ein ganzheitliches Rahmenwerk.

Und Randnotiz oder Zwischenbemerkung: In der Praxis ergibt sich in vielen Banken ein kompliziertes Geflecht aus Auslagerungen, die eine zentrale Instanz notwendig machen, um den Überblick über die Steuerung von Auslagerungen zu behalten. Denn häufig haben es die Institute nicht mit einfachen 1:1-Beziehungen zu nur einem Dienstleister zu tun, sondern mit 1:n-Beziehungen, weil beauftragte Dienstleister ihrerseits Auslagerungen (Weiterverlagerungen) vornehmen.

V. Die Risikoanalyse – aus den Augen, aber weiterhin fest im Blick

Sofern eine Auslagerung vorliegt (wir erinnern uns: wenn ein Institut einen Dienstleister mit der Wahrnehmung von Prozessen im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt, die ansonsten vom Institut selbst erbracht würden), muss jedes Institut auf der Grundlage einer Risikoanalyse eigenverantwortlich festlegen, welche Auslagerungen von Aktivitäten und Prozessen unter Risikogesichtspunkten wesentlich sind. Wenn wir uns an die oben beschriebenen äußeren Enden einer Skala erinnern, so fällt die Beurteilung der Wesentlichkeit für diese Extreme sicherlich noch relativ leicht. Spannend sind hier eher die Auslagerungen, die sich tendenziell in der Mitte der Skala befinden und sich möglicherweise im Laufe der Zeit durch Vertragsänderungen oder besondere Feststellungen in die eine oder andere Richtung verschieben.

Eine Risikoanalyse ist zunächst für jede neue Auslagerung auf der Grundlage einheitlicher Rahmenvorgaben vor Vertragsabschluss durchzuführen.

Eine erneute Risikoanalyse ist bei Änderungen der Auslagerungsdienstleistung sowie dann erforderlich, wenn dem auslagernden Institut Umstände bekannt werden, die darauf schließen lassen, dass sich die bei der Risikoanalyse verwendeten Risikofaktoren verändert haben (anlassbezogene Risikoanalyse). Praktische Beispiele hierzu sind gesellschaftsrechtliche Veränderungen beim Dienstleister, Veränderungen beim Dienstleistungsumfang, Bekanntwerden wesentlicher Feststellungen im Rahmen von Prüfungen beim Dienstleister etc.

Zudem ist die Risikoanalyse in regelmäßigen Zeitabständen zu erneuern, auch wenn kein Anlass besteht (regelmäßige Risikoanalyse). Auf der Sitzung des Fachgremiums MaRisk am 15.03.2018 hat die Aufsicht einen Zeitraum von einem Jahr bei wesentlichen und von drei Jahren bei unwesentlichen Auslagerungen für angemessen erachtet.

Jedes Institut hat auf Basis von vorliegenden Informationen bzw. der institutsinternen Bewertung der Dienstleisterqualität der Auslagerungsunternehmen eine Aussage darüber zu treffen, ob die erbrachten Dienstleistungen der Auslagerungsunternehmen den vertraglichen Vereinbarungen entsprechen, die ausgelagerten Aktivitäten und Prozesse angemessen gesteuert und überwacht werden können, um die mit der Auslagerung verbundenen Risiken angemessen zu steuern, bzw. ob weitere risikomindernde Maßnahmen ergriffen werden sollen. Hierzu werden dem auslagernden Unternehmen vom Dienstleistungserbringer Informationen und Berichte im Zusammenhang mit der Dienstleistungserbringung zur Verfügung gestellt. Diese Informationen und Berichte sind auszuwerten.

Hier eine mögliche Arbeitshilfe für die Erstellung einer Risikoanalyse:

VI. Der große Rahmen – warum ist der Aufsicht der richtige Umgang mit Auslage-
rungen so wichtig?

Da sich Auslagerungen in vielen Fällen auch auf aufsichtliche Vorgaben beziehen (z. B. die Einhaltung von Vorgaben zur Geschäftsorganisation, bestimmte Entscheidungsprozesse und Berichtswege), spielen Auslagerungen von Banken an Drittanbieter, die i. d. R. keine Banken sind, für die Aufsicht eine bedeutende Rolle. Denn das beaufsichtigte Institut bleibt als Träger der Bankerlaubnis für die sachgerechte Umsetzung der aufsichtlichen Vorgaben letztendlich verantwortlich, auch wenn es Funktionen, Aufgaben und Prozesse auslagert.

Die Regelungen zur Auslagerung sind letztlich Teil der allgemeinen Grundsätze ordnungs-mäßiger Geschäftsführung. Die Spezialregelungen des § 25b KWG ergänzen (hinsichtlich ihrer Stellung im KWG nicht ganz überraschend) die Anforderungen an eine ordnungsgemäße Ge-schäftsorganisation aus § 25a KWG, insbesondere die Anforderungen an ein angemessenes und wirksamen Risikomanagement (§ 25a Abs. 1 Satz 3 KWG). Die Aufsicht sieht ihre Aufgabe darin, der möglichen Gefahr zu begegnen, dass das leistungsbeziehende Institut mit einer Auslagerung die Kontrolle über die ordnungsgemäße Durchführung der Geschäfte und Dienstleistungen und damit über die eigenen Aktivitäten und Prozesse verliert. Kurz: „Aus den Augen, aus dem Sinn” (in der Bedeutung nach wiktionary.org „sofortiges Vergessen einer Angelegenheit, Sache, Person oder dergleichen, sobald sie „außer Sichtweite ist“) soll verhindert werden. Das übrigens auch aus Sicht eines weiteren Akteurs, den wir bisher noch nicht betrachtet haben: des Jahresabschlussprüfers.

 

 

VII. …und darüber hinaus – auch der Jahresabschlussprüfer interessiert sich für
Auslagerungen

Dazu lasen wir mal die Einleitung eines aktuellen Werkes, das sich an Abschlussprüfer richtet[7], auszugsweise zu Wort kommen: „Der Abschlussprüfer wird sich im Hinblick auf seine Prüfungsplanung damit auseinandersetzen müssen, in welchem Umfang und in welchem Ausmaß Auslagerungen stattfinden und welche Fehlerrisiken für die Rechnungslegung darin enthalten sind. Um diesen Fehlerrisiken adäquat zu begegnen, gilt es, bedeutsame Kontrollen auf Seiten des Dienstleisters zu identifizieren und anhand geeigneter Prüfungshandlungen zu beurteilen. Aber oftmals scheitern eigene Prüfungshandlungen an der räumlichen Trennung oder der Größe und Komplexität des Dienstleisters. Natürlich könnte der Abschlussprüfer mangels Prüfbarkeit und Nachweisführung eines angemessenen und wirksamen IKS den Anteil seiner aussagebezogenen Prüfungshandlungen erhöhen. Vor dem Hintergrund automatisierter und aufeinander abgestimmter Prozessabläufe ist dies jedoch eine mühsame und beinahe unmögliche Methode, um die erforderliche Prüfungssicherheit zu erlangen. Möglicherweise gibt es aber auch Nachweise über das IKS beim Dienstleistungsunternehmen, die er verwerten oder gar verwenden kann.“

Da sind wir wieder bei den oben schon erwähnten „Informationen und Berichten im Zusammenhang mit der Dienstleistungserbringung”, die das auslagernde Institut dem Abschlussprüfer (bitte ausgewertet!) zur Verfügung stellt. Genannt seien hier explizit Prüfungsberichte bzw.
-bescheinigungen nach IDW PS 951[8] „Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen”[9]. Und lassen Sie sich von jemandem, der selbst Abschlussprüfer ist, sagen, dass das was hier so scheinbar harmlos daher kommt („… könnte der Abschlussprüfer mangels Prüfbarkeit und Nachweisführung eines angemessenen und wirksamen IKS den Anteil seiner aussagebezogenen Prüfungshandlungen erhöhen.“), erstens (viel) Zeit kostet und Zeit ist Geld (Stichwort „Prüfungskosten“) und zweitens im schlimmsten Fall auch ernste Konsequenzen hat: Wenn der Abschlussprüfer nicht in der Lage ist, ausreichende und angemessene Prüfungsnachweise bezüglich des Dienstleistungsunternehmens zu erlangen, die für die Prüfung des Abschlusses des auslagernden Unternehmens relevant sind, ist das Prüfungsurteil im Bestätigungsvermerk einzuschränken oder gar zu versagen.

Und da sind wir dann ganz schnell wieder bei den „Anforderungen an eine ordnungsgemäße Geschäftsorganisation aus § 25a KWG“ und der nicht delegierbaren Gesamtverantwortung der gesetzlichen Vertreter des auslagernden Unternehmens für alle ausgelagerten Prozesse und Aktivitäten.

VIII. Fazit – „des Pudels Kern“

Kerngedanke des Auslagerungsmanagements ist, dass auch im Falle einer Auslagerung die Funktionsfähigkeit der auslagernden Bank jederzeit gewährleistet sein muss, die Verantwortung des Vorstandes unangetastet bleibt, Kontroll- und Überwachungspflichten unverändert beachtet werden und – last but not least – die Aufsicht weiterhin Zugriff auf die ausgelagerten Teile behält. Also alles andere als „aus den Augen, aus dem Sinn”.

PRAXISTIPPS

  • Denken Sie immer daran, dass Sie als Bank für die ausgelagerte Dienstleistung weiterhin die Gesamtverantwortung tragen, nicht das Dienstleistungsunternehmen; lassen Sie sich bezüglich Informationen und Berichten im Zusammenhang mit der Dienstleistungserbringung nicht mit pauschalen Aussagen (z. B. „weitere Unterlagen wollte noch nie jemand haben“ oder „bei uns hat noch kein Auslagernder selbst vor Ort geprüft“ oder „wir benötigen keine neue Zertifizierung, bei unseren Kontrollen hat sich eh nichts geändert“) „abspeisen“.
  • Die Auswertung der Berichterstattung der Dienstleistungsunternehmen ist zentraler Baustein der Dienstleistersteuerung – aus Sicht der Bankenaufsicht z. B. im Rahmen von § 44- KWG-Sonderprüfungen „ist nur ein ausgewerteter Bericht ein gültiger Bericht“.
  • Gestaltet Sie Ihre (ausgelagerten) Prozesse durch eine zentrale Dienstleistersteuerung effizient.
  • Achten Sie darauf, dass in (neuen oder geänderten) Auslagerungsverträgen die Durchführung von Prüfungshandlungen vor Ort durch Sie als auslagerndes Unternehmen ermöglicht wird; verlassen Sie sich nicht auf das Wohlwollen des Dienstleistungsunternehmens.
  • Stellen Sie sicher, dass Sie Ihrer Pflicht zur Dokumentation von ausgelagerten Prozessen nachkommen können. Fordern Sie also von den Dienstleistern ein, die auf ihn ausgelagerten (Teil-)Prozesse nachvollziehbar zu dokumentieren und an Sie als auslagerndes Unternehmen herauszugeben.
  1. IOSCO: International Organisation of Securities Commissions (internationale Organisation der Wertpapieraufsichtsbehörden).
  2. IAIS: International Association of Insurance Supervisors (internationale Vereinigung der Versicherungsaufsichtsbehörden).
  3. CEBS Committee of European Banking Supervisors (Ausschuss der Europäischen Bankaufsichtsbehörden); bis 2010 Vorgängerinstitution der EBA.
  4. EBA: European Banking Authority (Europäische Bankenaufsichtsbehörde).
  5. Joint Forum: Outsourcing in Financial Services, Februar 2005; CEBS Guidelines on Outsourcing, Dezember 2006, EBA: Guidelines on Internal Governance, September 2017.
  6. Eine vollständige Auslagerung der besonderen Funktionen Risikocontrolling-Funktion, Compliance-Funktion oder Interne Revision ist nur in sehr engen Grenzen möglich (vergl. AT 9 Tz. 5 MaRisk).
  7. Tritschler/Lamm „Jahresabschlussprüfung bei Outsourcing und Cloud-Computing“, IDW Verlag GmbH, 1. Aufl. 2018, S. 10,11
  8. Institut der Wirtschaftsprüfer in Deutschland e.V., Prüfungsstandard IDW PS 951 n.F.
  9. In Abhängigkeit von der Auftragserteilung wird die Berichterstattung nach IDW PS 951 gem. Typ 1 oder Typ 2 durchgeführt. Im Rahmen der Berichterstattung Typ 1 stehen folgende Prüfungsurteile im Fokus:
    – Beschreibung des dienstleistungsbezogenen internen Kontrollsystems

    • Eignung der zugrunde gelegten Kriterien und der daraus abgeleiteten Kontrollziele
    • Ausgestaltung der Kontrollen zur Erreichung der in der Beschreibung genannten Kontrollziele

    Im Rahmen der Berichterstattung Typ 2 wird das Prüfungsurteil um die Wirksamkeit der Kontrollen ergänzt. Eine weitgehendere Reduzierung der Einschätzung der Fehleranfälligkeit durch den Auslagernden bzw. den Abschlussprüfer ist dabei nur möglich, wenn eine Berichterstattung vom Typ 2 vorliegt, da hier neben der Aufbau- auch Funktionsprüfungen durchgeführt wurden. Bei Vorliegen einer Berichterstattung vom Typ 1 bedarf es noch weiterer Prüfungshandlungen durch den Verwerter. Dies ist mit zusätzlichem Zeitaufwand respektive höheren Kosten verbunden.

 

Beitragsnummer: 71003

 

Auftragsverarbeitung, Risiko im Datenschutz?



Ulrike Seip, Senior Referentin Datenschutz, DZ BANK AG Deutsche Zentral-Genossenschaftsbank

Definition von Auftragsverarbeitung

Maßgeblich für das Vorliegen einer Auftragsverarbeitung i. S. d. Art. 28 der Datenschutzgrundverordnung (DSGVO) ist, dass:

  • die Verarbeitung der personenbezogenen Daten den Mittelpunkt und Zweck des Auftragsverhältnisses darstellt
  • der Auftragnehmer an die Weisungen des Auftraggebers gebunden ist. Dies bedeutet, dass die Entscheidungsfreiheitsgrade für den Auftragnehmer bei der Art und Weise der Durchführung des Auftrags begrenzt sind.

Eine datenschutzrechtliche Auftragsverarbeitung liegt vor, wenn beide oben genannten Kriterien erfüllt werden. Die Weisungsgebundenheit spiegelt sich auch in Art. 29 DSGVO (Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters) wider. Die Dauer der Verarbeitung spielt dabei keine Rolle. Ebenfalls keine Rolle spielt, ob der Auftragnehmer ein Unternehmen des gleichen Konzerns ist. Wenn ein rechtlich selbstständiges Unternehmen innerhalb einer Unternehmensgruppe oder eines Konzerns bei der Verarbeitung personenbezogener Daten Auftragnehmer ist, kann auch von einer Auftragsverarbeitung ausgegangen werden.

Für jede Auftragsverarbeitung ist ein dem Art. 28 DSGVO entsprechender Vertrag zu schließen, Verantwortlichkeiten sind klar zu regeln und dem Risikogehalt der Datenverarbeitung angemessene Datenschutzmaßnahmen müssen bestehen.

Typisches Beispiel für die Beauftragung der Verarbeitung von personenbezogenen Daten ist die Einschaltung eines Dienstleisters, welcher ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Individuelle Datenverarbeitung mit Excel – Best Practice



Test- und Freigabeverfahren standardisieren und erfolgreich einsetzen[1]

Annika Rüder, M. Sc., Spezialistin Risikocontrolling, comdirect bank AG

Noel Boka, M. Sc., Abteilungsleiter Controlling, VR Bank Niederbayern-Oberpfalz eG[2]

I. Einleitende Worte

Erscheinen die Anforderungen der MaRisk und der BAIT zum Management von IDV-Dateien in der Institutspraxis angekommen zu sein, so stellt sich unmittelbar hierauf aufbauend die Frage der Standardisierung und der Übertragbarkeit eines Best-Practice-Ansatzes. Sei die formale Integration in den Risikomanagement-Kreislauf als abgeschlossen zu beurteilen[3], stellt sich gleichwohl die Frage, ob auch für die Test- und Freigabeverfahren Standards und Qualitätsvorgaben bestehen. Der nachfolgende Beitrag greift diesen Gedanken auf und stellt verschiedene Wege zu Test- und Freigabeverfahren vor. Es soll als Ziel formuliert werden, eine Best Practice-Standardisierung aufzuzeigen und hiermit den Grundstein einer effizienten, betriebswirtschaftlich sinnvollen und ressourcenschonenden Vorgehensweise beizutragen.

II. Regulatorisches

Insbesondere durch die neuste MaRisk- und BAIT-Novelle hat die Bank bei der Anwendungsentwicklung Rahmenbedingungen zu schaffen, die betreffend

  • der Auswahl und Beschaffung,
  • der Entwicklung und Pflege,
  • der Test- und Freigabeverfahren, sowie
  • der Verfahrensdokumentation und Archivierung

geeignete Regelungen enthalten[4]. Dies umschließt auch Mustervorgehen und harmonisierte Antrags- und Zulassungsverfahren. Weitergehend kann eine Unterscheidung ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Neuausrichtung der Risikotragfähigkeit



Aufsichtliche Erwartungen an die Ausgestaltung der Risikotragfähigkeit in den Instituten.

René Schilling, Referent, Abteilung Risikomanagementsysteme, Tätigkeitsschwerpunkte: Gesamtbanksteuerung und Risikotragfähigkeit, BVR e.V.

Thorsten Schneeloch, Referent, Abteilung Risikomanagementsysteme, Tätigkeitsschwerpunkte: Gesamtbanksteuerung und Risikotragfähigkeit, BVR e.V.

I. Übersicht „neue Welt“

Die deutsche und zeitgleich auch die europäische[1] Bankenaufsicht haben 2018 neue Erwartungen zur Risikotragfähigkeit erarbeitet und veröffentlicht. Der Leitfaden der Deutschen Bundesbank und der BaFin mit dem Titel „Aufsichtliche Beurteilung bankinterner Risikotragfähigkeitskonzepte und deren prozessualer Einbindung in die Gesamtbanksteuerung („ICAAP“) – Neuausrichtung“ ist an die weniger bedeutenden Institute (Less Significant Insitution, LSI) in Deutschland gerichtet und beinhaltet im Fokus den Blick auf das Institut aus zwei komplementären, sich ergänzenden Perspektiven (ökonomisch und normativ).

Den Übergang aus dem in den Instituten häufig verwendeten Going-Concern-Ansatz[2] hat die deutsche Bankenaufsicht über den Annex des Leitfadens gelöst. Hiermit besteht die Möglichkeit, den bisherigen Going-Concern-Ansatz zunächst weiter zu nutzen. Eine Ad-hoc-Umstellung des Risikotragfähigkeitskonzepts ist daher nicht erforderlich. Jedes Institut kann sich kontinuierlich mit den neuen Perspektiven vertraut machen und die erforderlichen Anpassungen im Strategie- sowie Steuerungsprozess vornehmen, um konsistent in das neue Konzept hineinzuwachsen. Sicher ist jedoch, dass der Annex des Leitfadens im Zuge der europäischen Harmonisierung ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Warum sich Zinsfristentransformation weiter lohnt



Dr. Gunnar Jansen, Leiter Marktrisiko/Bewertungsmethoden, NORD/LB, Norddeutsche Landesbank Girozentrale[1]/

Prof. Dr. Wolfgang Portisch, Leiter Bereich Bank- und Finanzmanagement, Hochschule Emden/Leer

I. Einleitung

Das Steuern von Zinsänderungsrisiken im Anlagebuch ist für einen Großteil der deutschen Kreditinstitute eine essentielle Aufgabe und gleichzeitig über die gewählte Zinsfristentransformationsstrategie eine wichtige Ertragsquelle. Aufgrund der anhaltenden Niedrigzinsphase und der steigenden regulatorischen Anforderungen stellt sich für viele Institute zunehmend die Frage, ob sich Zinsfristentransformation weiter lohnt oder ob mittlerweile die Risiken, die aufsichtlichen Anforderungen und der damit verbundene Aufwand überwiegen. Der Beitrag widmet sich diesem Thema über eine aktuelle Analyse des regulatorischen und ökonomischen Umfelds sowie essentiellen analytischen Überlegungen zur Ertragssituation von Banken. Die Entscheidung zu Gunsten oder zu Ungunsten einer Zinsfristentransformationsstrategie im Anlagebuch, die in allen Kreditinstituten unweigerlich getroffen werden muss, ist von immenser ökonomischer Bedeutung, so dass die Darstellung gezielt auf wesentliche Kernaussagen ausgelegt ist.

II. Aufsichtsrecht zur Zinssteuerung im Wandel

Der aufsichtsrechtliche Rahmen für Zinsänderungsrisiken im Bankbuch, auch „Interest Rate Risk arising from the Banking Book“ (IRRBB) genannt, befindet sich aktuell stark im Wandel. Auch wenn die europäische Bankenaufsicht bereits vor einigen Jahren vergleichsweise klare Standards wie die duale barwertige und ertragsorientierte Sichtweise auf ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.