Unterschiede interner und externer Ratings

Andreas Münster, Analyst Risikotragfähigkeit, VON ESSEN BANK GmbH.

       

Geschichtliche Entwicklung, Funktionsweise und Unterschiede interner und externer (Unternehmens)Ratings.

I. Grundlagen

Spätestens seit der Finanzmarkt- und anschließender Staatsschuldenkrise (Griechenland & Co.) hatte wohl jeder schon einmal Berührung mit dem Thema Rating und den „geheimnisvollen“ Buchstabenkürzeln. Aber was genau steckt hinter der „Black Box“ Rating, wie kommen diese Noten zustande und was sagen sie aus?

Eingeführt wurde das Thema Rating im Jahr 2004 von dem Baseler Ausschuss für Bankenaufsicht (Basle Committee for banking supervision, kurz BCBS). Dieser Ausschuss ist das weltweit bedeutenste Forum für Bankenaufsicht, angesiedelt bei der Bank für internationalen Zahlungsausgleich, kurz BIZ, in Basel (Schweiz).

Im Baseler Ausschuss für Bankenaufsicht, dem aktuell Vertreter der nationalen Zentralbanken und Aufsichtsbehörden aus 28 Jurisdiktionen angehören, wird Europa durch die EU-Kommission,

die EZB, EBA und Deutschland durch die Bundesbank und die BaFin vertreten[1].

Die Baseler Rahmenwerke werden der Einfachheit halber durchnummeriert (Basel I: 1988,

Basel II: 2004, Basel III: 2010, Finalisierung von

Basel III auch tituliert als „Basel IV“: 2017)

Übernahme von Leitlinien der EBA, der ESMA und der EIOPA in die Verwaltungspraxis der Bafin (gilt auch für LSIs)

Michael Helfer, Geschäftsführer, FCH Consult GmbH

In der Kw 19 hat die BaFin das Protokoll der Sitzung des Fachgremiums MaRisk vom 05.11.2018 auf die Homepage der BaFin gestellt: https://www.bundesbank.de/resource/blob/794148/bcea4bae50d844551ad150055d803e86/mL/2018-11-05-marisk-data.pdf. Im Fachgremium MaRisk (Mindestanforderungen an das Risikomanagement) berichten Bundesbank und BaFin über aktuelle Entwicklungen in der Aufsicht, erörtern mit der Finanzbranche Grundsatz- und Auslegungsfragen und stellen Überarbeitungen der MaRisk und des Leitfadens zur aufsichtlichen Beurteilung bankinterner Risikotragfähigkeitskonzepte (Risikotragfähigkeitsleitfaden) zur Konsultation. Die Mitwirkung der Finanzbranche soll die praxisgerechte Weiterentwicklung aufsichtlicher Anforderungen sicherstellen.

In dem Protokoll wird unter anderem ausgeführt, dass „im Regelfall davon ausgegangen werden kann, dass die BaFin die Leitlinien der EBA, der ESMA und der EIOPA in ihre Verwaltungspraxis übernimmt. Soll eine Leitlinie der EU-Behörden ausnahmsweise nicht oder – was in der Praxis eher vorkommt – nicht vollständig (etwa aufgrund von Konflikten mit deutschen gesellschaftsrechtlichen Regelungen) übernommen werden, benennt die BaFin diese Leitlinien auf ihrer Homepage. Im Einzelfall kann für die Übernahme in das deutsche Aufsichtsrecht ein Rechtsakt erforderlich sein (z. B. der Erlass oder die Änderung einer Verordnung). Für den Fall der Umsetzung durch ein Rundschreiben oder die Novellierung eines Rundschreibens müssten die LSIs die hieraus resultierenden Anforderungen aus der Guideline dann in der Tat erst mit der Veröffentlichung des nationalen Rundschreibens anwenden. Auch dann seien die LSIs aber gehalten, sich bereits vorher mit dem Inhalt der betreffenden (und regelmäßig auch in der deutschen Amtssprache vorliegenden) Leitlinien zu befassen und organisatorische Vorkehrungen zu treffen, um die hierin adressierten Anforderungen umzusetzen”.

Daraus folgt, dass nunmehr alle EBA-Guidelines grundsätzlich sofort gelten bzw. organisatorische Vorkehrungen unverzüglich beginnen müssen (so z. B. hinsichtlich der neuen EBA Guidelines on Outsourcing Arrangements!).

 

 

Beitragsnummer: 71791

 

Integrierte Liquiditätsrisikosteuerung mit Meldewesendaten

Wie das Meldewesen mit der Banksteuerung zusammengeführt werden kann.

Dr. Normen Rohde, Spezialist für Liquiditätsrisiko, Berliner Volksbank eG/Lisa-Marie Geray, Consultant Risk Advisory, Deloitte/Rouven Hartmann, Senior Manager Risk Advisory, Deloitte

I. Meldewesendaten – eine Goldgrube an Informationen

Die im Jahr 2007 aufgekommene Finanzmarktkrise führte insbesondere bei den deutschen Regionalbanken zu vergleichsweise geringen Schäden in Folge von atypisch hohen Refinanzierungskosten. Anders verhielt es sich bei Großbanken, welche insbesondere aufgrund ihrer Risiko- und Refinanzierungsprofile ungleich stärker belastet wurden. In Folge einer krisengetriebenen Entwicklung von liquiditätsbezogenen aufsichtlichen Vorgaben entstand eine Vielzahl von neuen, in Teilen inkonsistenten Anforderungen. Dies führte institutsübergreifend zu ansteigenden einmaligen wie auch laufenden Aufwendungen für die erforderliche IT-Infrastruktur sowie dem Aufbau und Erhalt des benötigten Fachwissens der verantwortlichen Mitarbeiter im Bereich des Meldewesens. Insbesondere Regionalbanken wurden aufgrund ihrer begrenzten personellen Möglichkeiten aber auch aufgrund vorhandener Abhängigkeiten (bspw. im IT-Bereich) vor Herausforderungen gestellt. In jüngster Zeit fordert die Aufsicht zudem eine enge Verzahnung zwischen dem Meldewesen (Säule I) sowie dem Risikomanagement (Säule II). Werden in diesem Zusammenhang die Informationen aus der normativen Säule-I-Perspektive sowie der ökonomischen Säule-II-Perspektive zusammengeführt, können sich Synergien ergeben, welche zur Senkung von Kosten beitragen können.

Abbildung 1: Anstieg der zu meldenden ...

Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Auslagerungsmanagement und Risikoanalyse nach AT 9 MaRisk

Aus den Augen, aus dem Sinn?

Katja Hampe, Fachreferentin der Geschäftsführung, Wirtschaftsprüferin, AWADO Deutsche Audit GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft

I. Die Auslagerung – tragende Rolle auf vielen Bühnen

Das Thema Auslagerung spielt schon seit längerer Zeit eine tragende Rolle auf diversen Bühnen. Die erste dieser Bühnen ist die der internationalen Papiere, die zu diesem Thema veröffentlicht wurden. Zu nennen sind hier insbesondere Veröffentlichungen des Joint Forums (Zusammenschluss des Baseler Ausschusses für Bankenaufsicht, der IOSCO[1] und der IAIS[2]), der CEBS[3] und der EBA[4] sowie verschiedene Vorgaben der deutschen Aufsicht im Rahmen der MaRisk und des § 25b KWG[5].

Die zweite Bühne ist die der betriebswirtschaftlich sinnvollen Arbeitsteilung (Schlagwort: “Konzentration auf Kernkompetenzen”) und die dritte Bühne ist die der sehr dynamischen Entwicklung der Kreditwirtschaft in diesem Bereich.

Doch eins nach dem anderen…

II. Die Auslagerung – unser Protagonist

Zunächst eine Vorstellung unseres Protagonisten: die Auslagerung, auch bekannt als Outsourcing.

Outsourcing ist ein Kunstwort, das sich aus den drei englischen Wörtern „Outside“, „Ressource“ und „Using“ zusammensetzt. Wörtlich übersetzt bedeutet es in erster Linie „Nutzung externer Ressourcen“. Und das ist auch genau das, was das deutsche Wort „Auslagerung“ insbesondere im Sprachgebrauch der BaFin meint: Eine Auslagerung liegt dann vor, wenn ein Institut einen Dienstleister mit der Wahrnehmung von Prozessen im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt, die ansonsten vom Institut selbst erbracht würden.

 

III. Die Auslagerung – Vielseitigkeit ist ihre Stärke, aber wo Licht ist, da ist auch
Schatten

Schon diese Definition macht deutlich, dass sehr unterschiedliche Auslagerungskonzepte nicht nur denkbar sind, sondern auch genutzt werden. Am einen Ende der Skala werden lediglich einzelne Unterstützungsaufgaben oder Nebentätigkeiten auf Dritte verlagert. Dies ist ganz im Sinne der oben schon erwähnten Konzentration auf Kernkompetenzen. Warum sollte sich eine Bank selbst um Dinge wie Transport zwischen Filialen, Archivierung oder die Mitarbeiterkantine kümmern? Das können andere Anbieter im Zweifel besser und günstiger. Hier überwiegen Vorteile wie Gewinnung von Kosten- und Prozesseffizienzen, Nutzung von Skaleneffekten und Qualitätsverbesserung ganz eindeutig. Zwar dürfen auch solche Aktivitäten und Prozesse nicht ganz aus den Augen verloren werden, stehen aber nicht im Fokus der Aufsichtsbehörden.

Am anderen Ende der Skala findet sich allerdings die Auslagerung ganzer Prozessketten, kompletter bankbezogener Funktionen sowie zentraler Bereiche[6]. Hierfür interessiert sich die Bankenaufsicht naturgemäß sehr wohl. Als Risiko droht nämlich neben Zersplitterung von Prozessen, Verringerung des internen Know-hows oder Unsicherheiten bei der Kostenentwicklung, die Abhängigkeit von einem Drittunternehmen und damit Verlust von Zugriffsmöglichkeiten sowohl für die gesetzlichen Vertreter der auslagernden Bank als auch für die Aufsicht. Deshalb die Botschaft des AT 9 MaRisk: Die Gesamtverantwortung für alle ausgelagerten Prozesse und Aktivitäten verbleibt weiterhin (und nicht delegierbar) bei den gesetzlichen Vertretern des auslagernden Unternehmens. Dies umfasst insbesondere ein angemessenes und wirksames Risikomanagement, welches neben der Implementierung eines eigenen Internen Kontrollsystem (IKS) bezüglich der ausgelagerten Tätigkeit (korrespondierende Kontrollen) auch die Beurteilung des IKS des Dienstleisters beinhaltet.

IV. Das zentrale Auslagerungsmanagement – hier laufen die Fäden zusammen

Bezüglich dieser Implementierung eines eigenen Internen Kontrollsystems bezüglich der ausgelagerten Tätigkeit geht die Aufsicht – zumindest bei größeren Instituten bzw. bei Instituten mit umfangreichen Auslagerungslösungen – davon aus, dass ein zentrales Auslagerungsmanagement eingerichtet ist, so dass eine Stelle in der Bank einen Gesamtüberblick über alle ausgelagerten Aktivitäten und Prozesse hat und so ein möglichst einheitlicher Umgang mit den besonderen Risiken aus Auslagerungen und deren Überwachung sichergestellt wird. AT 9 Tz. 12 nennt als Aufgaben des zentralen Auslagerungsmanagements:

  • Implementierung und Weiterentwicklung eines angemessenen Auslagerungsmanagements und entsprechender Kontroll- und Überwachungsprozesse
  • Erstellung und Pflege einer vollständigen Dokumentation der Auslagerungen (einschließlich Weiterverlagerungen)
  • Unterstützung der Fachbereiche bezüglich der institutsinternen und gesetzlichen Anforderungen bei Auslagerungen
  • Koordination und Überprüfung der durch die zuständigen Bereiche durchgeführten Risikoanalysen

Zudem hat das zentrale Auslagerungsmanagement mindestens einmal im Jahr einen Bericht über die wesentlichen Auslagerungen zu erstellen. Dabei hat der Bericht u. a. darüber eine Aussage zu treffen, „…, ob die erbrachten Dienstleistungen der Auslagerungsunternehmen den vertraglichen Vereinbarungen entsprechen, die ausgelagerten Aktivitäten und Prozesse angemessen gesteuert und überwacht werden und ob weitere risikomindernde Maßnahmen ergriffen werden sollen“ (AT 9 Tz. 13 MaRisk).

Ein so verstandenes Einbeziehen der Auslagerungen in das unternehmensweite Risikomanagement geht über die historische Form des operativen Risikomanagements, dessen Fokus primär auf die Risikovermeidung und -minderung ausgelegt war, hinaus. Hauptziel ist das effiziente und effektive Management der ausgelagerten Bereiche, welches alle wesentlichen Einzelrisiken und deren Abhängigkeiten umfasst. Das risikoorientierte Management der ausgelagerten Bereiche hat das Ziel, eine ausgewogene Sichtweise von Risiken und Wertschöpfung über die gesamte Laufzeit des Auslagerungsverhältnisses hinweg zu etablieren. Ein moderner chancen- und risikoorientierter Auslagerungsmanagementansatz integriert die Organisation, die Aufgaben und die Instrumente in ein ganzheitliches Rahmenwerk.

Und Randnotiz oder Zwischenbemerkung: In der Praxis ergibt sich in vielen Banken ein kompliziertes Geflecht aus Auslagerungen, die eine zentrale Instanz notwendig machen, um den Überblick über die Steuerung von Auslagerungen zu behalten. Denn häufig haben es die Institute nicht mit einfachen 1:1-Beziehungen zu nur einem Dienstleister zu tun, sondern mit 1:n-Beziehungen, weil beauftragte Dienstleister ihrerseits Auslagerungen (Weiterverlagerungen) vornehmen.

V. Die Risikoanalyse – aus den Augen, aber weiterhin fest im Blick

Sofern eine Auslagerung vorliegt (wir erinnern uns: wenn ein Institut einen Dienstleister mit der Wahrnehmung von Prozessen im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt, die ansonsten vom Institut selbst erbracht würden), muss jedes Institut auf der Grundlage einer Risikoanalyse eigenverantwortlich festlegen, welche Auslagerungen von Aktivitäten und Prozessen unter Risikogesichtspunkten wesentlich sind. Wenn wir uns an die oben beschriebenen äußeren Enden einer Skala erinnern, so fällt die Beurteilung der Wesentlichkeit für diese Extreme sicherlich noch relativ leicht. Spannend sind hier eher die Auslagerungen, die sich tendenziell in der Mitte der Skala befinden und sich möglicherweise im Laufe der Zeit durch Vertragsänderungen oder besondere Feststellungen in die eine oder andere Richtung verschieben.

Eine Risikoanalyse ist zunächst für jede neue Auslagerung auf der Grundlage einheitlicher Rahmenvorgaben vor Vertragsabschluss durchzuführen.

Eine erneute Risikoanalyse ist bei Änderungen der Auslagerungsdienstleistung sowie dann erforderlich, wenn dem auslagernden Institut Umstände bekannt werden, die darauf schließen lassen, dass sich die bei der Risikoanalyse verwendeten Risikofaktoren verändert haben (anlassbezogene Risikoanalyse). Praktische Beispiele hierzu sind gesellschaftsrechtliche Veränderungen beim Dienstleister, Veränderungen beim Dienstleistungsumfang, Bekanntwerden wesentlicher Feststellungen im Rahmen von Prüfungen beim Dienstleister etc.

Zudem ist die Risikoanalyse in regelmäßigen Zeitabständen zu erneuern, auch wenn kein Anlass besteht (regelmäßige Risikoanalyse). Auf der Sitzung des Fachgremiums MaRisk am 15.03.2018 hat die Aufsicht einen Zeitraum von einem Jahr bei wesentlichen und von drei Jahren bei unwesentlichen Auslagerungen für angemessen erachtet.

Jedes Institut hat auf Basis von vorliegenden Informationen bzw. der institutsinternen Bewertung der Dienstleisterqualität der Auslagerungsunternehmen eine Aussage darüber zu treffen, ob die erbrachten Dienstleistungen der Auslagerungsunternehmen den vertraglichen Vereinbarungen entsprechen, die ausgelagerten Aktivitäten und Prozesse angemessen gesteuert und überwacht werden können, um die mit der Auslagerung verbundenen Risiken angemessen zu steuern, bzw. ob weitere risikomindernde Maßnahmen ergriffen werden sollen. Hierzu werden dem auslagernden Unternehmen vom Dienstleistungserbringer Informationen und Berichte im Zusammenhang mit der Dienstleistungserbringung zur Verfügung gestellt. Diese Informationen und Berichte sind auszuwerten.

Hier eine mögliche Arbeitshilfe für die Erstellung einer Risikoanalyse:

VI. Der große Rahmen – warum ist der Aufsicht der richtige Umgang mit Auslage-
rungen so wichtig?

Da sich Auslagerungen in vielen Fällen auch auf aufsichtliche Vorgaben beziehen (z. B. die Einhaltung von Vorgaben zur Geschäftsorganisation, bestimmte Entscheidungsprozesse und Berichtswege), spielen Auslagerungen von Banken an Drittanbieter, die i. d. R. keine Banken sind, für die Aufsicht eine bedeutende Rolle. Denn das beaufsichtigte Institut bleibt als Träger der Bankerlaubnis für die sachgerechte Umsetzung der aufsichtlichen Vorgaben letztendlich verantwortlich, auch wenn es Funktionen, Aufgaben und Prozesse auslagert.

Die Regelungen zur Auslagerung sind letztlich Teil der allgemeinen Grundsätze ordnungs-mäßiger Geschäftsführung. Die Spezialregelungen des § 25b KWG ergänzen (hinsichtlich ihrer Stellung im KWG nicht ganz überraschend) die Anforderungen an eine ordnungsgemäße Ge-schäftsorganisation aus § 25a KWG, insbesondere die Anforderungen an ein angemessenes und wirksamen Risikomanagement (§ 25a Abs. 1 Satz 3 KWG). Die Aufsicht sieht ihre Aufgabe darin, der möglichen Gefahr zu begegnen, dass das leistungsbeziehende Institut mit einer Auslagerung die Kontrolle über die ordnungsgemäße Durchführung der Geschäfte und Dienstleistungen und damit über die eigenen Aktivitäten und Prozesse verliert. Kurz: „Aus den Augen, aus dem Sinn” (in der Bedeutung nach wiktionary.org „sofortiges Vergessen einer Angelegenheit, Sache, Person oder dergleichen, sobald sie „außer Sichtweite ist“) soll verhindert werden. Das übrigens auch aus Sicht eines weiteren Akteurs, den wir bisher noch nicht betrachtet haben: des Jahresabschlussprüfers.

 

 

VII. …und darüber hinaus – auch der Jahresabschlussprüfer interessiert sich für
Auslagerungen

Dazu lasen wir mal die Einleitung eines aktuellen Werkes, das sich an Abschlussprüfer richtet[7], auszugsweise zu Wort kommen: „Der Abschlussprüfer wird sich im Hinblick auf seine Prüfungsplanung damit auseinandersetzen müssen, in welchem Umfang und in welchem Ausmaß Auslagerungen stattfinden und welche Fehlerrisiken für die Rechnungslegung darin enthalten sind. Um diesen Fehlerrisiken adäquat zu begegnen, gilt es, bedeutsame Kontrollen auf Seiten des Dienstleisters zu identifizieren und anhand geeigneter Prüfungshandlungen zu beurteilen. Aber oftmals scheitern eigene Prüfungshandlungen an der räumlichen Trennung oder der Größe und Komplexität des Dienstleisters. Natürlich könnte der Abschlussprüfer mangels Prüfbarkeit und Nachweisführung eines angemessenen und wirksamen IKS den Anteil seiner aussagebezogenen Prüfungshandlungen erhöhen. Vor dem Hintergrund automatisierter und aufeinander abgestimmter Prozessabläufe ist dies jedoch eine mühsame und beinahe unmögliche Methode, um die erforderliche Prüfungssicherheit zu erlangen. Möglicherweise gibt es aber auch Nachweise über das IKS beim Dienstleistungsunternehmen, die er verwerten oder gar verwenden kann.“

Da sind wir wieder bei den oben schon erwähnten „Informationen und Berichten im Zusammenhang mit der Dienstleistungserbringung”, die das auslagernde Institut dem Abschlussprüfer (bitte ausgewertet!) zur Verfügung stellt. Genannt seien hier explizit Prüfungsberichte bzw.
-bescheinigungen nach IDW PS 951[8] „Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen”[9]. Und lassen Sie sich von jemandem, der selbst Abschlussprüfer ist, sagen, dass das was hier so scheinbar harmlos daher kommt („… könnte der Abschlussprüfer mangels Prüfbarkeit und Nachweisführung eines angemessenen und wirksamen IKS den Anteil seiner aussagebezogenen Prüfungshandlungen erhöhen.“), erstens (viel) Zeit kostet und Zeit ist Geld (Stichwort „Prüfungskosten“) und zweitens im schlimmsten Fall auch ernste Konsequenzen hat: Wenn der Abschlussprüfer nicht in der Lage ist, ausreichende und angemessene Prüfungsnachweise bezüglich des Dienstleistungsunternehmens zu erlangen, die für die Prüfung des Abschlusses des auslagernden Unternehmens relevant sind, ist das Prüfungsurteil im Bestätigungsvermerk einzuschränken oder gar zu versagen.

Und da sind wir dann ganz schnell wieder bei den „Anforderungen an eine ordnungsgemäße Geschäftsorganisation aus § 25a KWG“ und der nicht delegierbaren Gesamtverantwortung der gesetzlichen Vertreter des auslagernden Unternehmens für alle ausgelagerten Prozesse und Aktivitäten.

VIII. Fazit – „des Pudels Kern“

Kerngedanke des Auslagerungsmanagements ist, dass auch im Falle einer Auslagerung die Funktionsfähigkeit der auslagernden Bank jederzeit gewährleistet sein muss, die Verantwortung des Vorstandes unangetastet bleibt, Kontroll- und Überwachungspflichten unverändert beachtet werden und – last but not least – die Aufsicht weiterhin Zugriff auf die ausgelagerten Teile behält. Also alles andere als „aus den Augen, aus dem Sinn”.

PRAXISTIPPS

  • Denken Sie immer daran, dass Sie als Bank für die ausgelagerte Dienstleistung weiterhin die Gesamtverantwortung tragen, nicht das Dienstleistungsunternehmen; lassen Sie sich bezüglich Informationen und Berichten im Zusammenhang mit der Dienstleistungserbringung nicht mit pauschalen Aussagen (z. B. „weitere Unterlagen wollte noch nie jemand haben“ oder „bei uns hat noch kein Auslagernder selbst vor Ort geprüft“ oder „wir benötigen keine neue Zertifizierung, bei unseren Kontrollen hat sich eh nichts geändert“) „abspeisen“.
  • Die Auswertung der Berichterstattung der Dienstleistungsunternehmen ist zentraler Baustein der Dienstleistersteuerung – aus Sicht der Bankenaufsicht z. B. im Rahmen von § 44- KWG-Sonderprüfungen „ist nur ein ausgewerteter Bericht ein gültiger Bericht“.
  • Gestaltet Sie Ihre (ausgelagerten) Prozesse durch eine zentrale Dienstleistersteuerung effizient.
  • Achten Sie darauf, dass in (neuen oder geänderten) Auslagerungsverträgen die Durchführung von Prüfungshandlungen vor Ort durch Sie als auslagerndes Unternehmen ermöglicht wird; verlassen Sie sich nicht auf das Wohlwollen des Dienstleistungsunternehmens.
  • Stellen Sie sicher, dass Sie Ihrer Pflicht zur Dokumentation von ausgelagerten Prozessen nachkommen können. Fordern Sie also von den Dienstleistern ein, die auf ihn ausgelagerten (Teil-)Prozesse nachvollziehbar zu dokumentieren und an Sie als auslagerndes Unternehmen herauszugeben.
  1. IOSCO: International Organisation of Securities Commissions (internationale Organisation der Wertpapieraufsichtsbehörden).
  2. IAIS: International Association of Insurance Supervisors (internationale Vereinigung der Versicherungsaufsichtsbehörden).
  3. CEBS Committee of European Banking Supervisors (Ausschuss der Europäischen Bankaufsichtsbehörden); bis 2010 Vorgängerinstitution der EBA.
  4. EBA: European Banking Authority (Europäische Bankenaufsichtsbehörde).
  5. Joint Forum: Outsourcing in Financial Services, Februar 2005; CEBS Guidelines on Outsourcing, Dezember 2006, EBA: Guidelines on Internal Governance, September 2017.
  6. Eine vollständige Auslagerung der besonderen Funktionen Risikocontrolling-Funktion, Compliance-Funktion oder Interne Revision ist nur in sehr engen Grenzen möglich (vergl. AT 9 Tz. 5 MaRisk).
  7. Tritschler/Lamm „Jahresabschlussprüfung bei Outsourcing und Cloud-Computing“, IDW Verlag GmbH, 1. Aufl. 2018, S. 10,11
  8. Institut der Wirtschaftsprüfer in Deutschland e.V., Prüfungsstandard IDW PS 951 n.F.
  9. In Abhängigkeit von der Auftragserteilung wird die Berichterstattung nach IDW PS 951 gem. Typ 1 oder Typ 2 durchgeführt. Im Rahmen der Berichterstattung Typ 1 stehen folgende Prüfungsurteile im Fokus:
    – Beschreibung des dienstleistungsbezogenen internen Kontrollsystems

    • Eignung der zugrunde gelegten Kriterien und der daraus abgeleiteten Kontrollziele
    • Ausgestaltung der Kontrollen zur Erreichung der in der Beschreibung genannten Kontrollziele

    Im Rahmen der Berichterstattung Typ 2 wird das Prüfungsurteil um die Wirksamkeit der Kontrollen ergänzt. Eine weitgehendere Reduzierung der Einschätzung der Fehleranfälligkeit durch den Auslagernden bzw. den Abschlussprüfer ist dabei nur möglich, wenn eine Berichterstattung vom Typ 2 vorliegt, da hier neben der Aufbau- auch Funktionsprüfungen durchgeführt wurden. Bei Vorliegen einer Berichterstattung vom Typ 1 bedarf es noch weiterer Prüfungshandlungen durch den Verwerter. Dies ist mit zusätzlichem Zeitaufwand respektive höheren Kosten verbunden.

 

Beitragsnummer: 71003

 

Neuausrichtung der Risikotragfähigkeit

Aufsichtliche Erwartungen an die Ausgestaltung der Risikotragfähigkeit in den Instituten.

René Schilling, Referent, Abteilung Risikomanagementsysteme, Tätigkeitsschwerpunkte: Gesamtbanksteuerung und Risikotragfähigkeit, BVR e.V.

Thorsten Schneeloch, Referent, Abteilung Risikomanagementsysteme, Tätigkeitsschwerpunkte: Gesamtbanksteuerung und Risikotragfähigkeit, BVR e.V.

I. Übersicht „neue Welt“

Die deutsche und zeitgleich auch die europäische[1] Bankenaufsicht haben 2018 neue Erwartungen zur Risikotragfähigkeit erarbeitet und veröffentlicht. Der Leitfaden der Deutschen Bundesbank und der BaFin mit dem Titel „Aufsichtliche Beurteilung bankinterner Risikotragfähigkeitskonzepte und deren prozessualer Einbindung in die Gesamtbanksteuerung („ICAAP“) – Neuausrichtung“ ist an die weniger bedeutenden Institute (Less Significant Insitution, LSI) in Deutschland gerichtet und beinhaltet im Fokus den Blick auf das Institut aus zwei komplementären, sich ergänzenden Perspektiven (ökonomisch und normativ).

Den Übergang aus dem in den Instituten häufig verwendeten Going-Concern-Ansatz[2] hat die deutsche Bankenaufsicht über den Annex des Leitfadens gelöst. Hiermit besteht die Möglichkeit, den bisherigen Going-Concern-Ansatz zunächst weiter zu nutzen. Eine Ad-hoc-Umstellung des Risikotragfähigkeitskonzepts ist daher nicht erforderlich. Jedes Institut kann sich kontinuierlich mit den neuen Perspektiven vertraut machen und die erforderlichen Anpassungen im Strategie- sowie Steuerungsprozess vornehmen, um konsistent in das neue Konzept hineinzuwachsen. Sicher ist jedoch, dass der Annex des Leitfadens im Zuge der europäischen Harmonisierung ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Kundenbilanzen zielsicher verstehen und interpretieren

Christoph Hoeren, Senior Risk Manager, KfW DEG Deutsche Investitions- und Entwicklungsgesellschaft mbH.

I. Strukturierter Ansatz als Grundlage

Die Analyse und Rating- bzw. Bonitätsfestlegung anhand von Jahresabschlüssen bei Firmenkunden hat nach wie vor eine hohe Bedeutung. Im Rahmen der Digitalisierung können auch Elemente aus der Unternehmensanalyse automatisiert und effizienter gestaltet werden. Gleichwohl ist bei jeder Implementierung von Digitalisierungs- bzw. Automatisierungsprozessen abzuwägen, bis zu welchem Grad auf eine qualitative manuelle Sichtung und Analyse von Jahresabschlüssen verzichtet werden kann. Ferner sind Leitfäden für eine zielgerichtete Jahresabschlussanalyse auch vor dem Hintergrund von Aufgabenveränderungen für Mitarbeiter in der Kreditabteilung wichtig geworden, um ein möglichst einheitliches Verständnis innerhalb eines Instituts zur Jahresabschlussanalyse sicherzustellen.

Vor diesem Hintergrund kommt es auf die Etablierung bzw. Sicherstellung eines strukturierten Ansatzes an, der sich auf die wesentlichsten Prüfschritte bezieht. Die größte Herausforderung liegt darin, die Vernetzung bzw. Verbindung von bestimmten Prüfungsergebnissen mit anderen Fragestellungen zu erkennen.

II. Qualitative Jahresabschlussanalyse

Idealtypisch könnte sich der Prozess der (qualitativen) Jahresabschlussanalyse wie folgt darstellen:

1. Erfassung der Rechtsform und deren Auswirkungen

Die Klassifizierung nach Kapitalgesellschaft und Personengesellschaft sowie deren Größenklassen nach HGB/PublG sind ganz entscheidend für den Umfang und den Inhalt eines Jahresabschlusses. Es ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Mehr Sicherheit im Zahlungsverkehr

Die PSD2 im Fokus der Internen Revision

Marcus Theil, FINCON Unternehmensberatung GmbH

Fragen Sie doch einmal die Zahlungsverkehrsspezialisten in Ihren Kreditinstituten nach bedeutsamen Terminen in 2019. Ein Datum dürfte dann auf jeden Fall genannt werden, denn zum 14.09.2019 treten die technischen Regulierungsstandards (EBA-RTS) zur starken Kundenauthentifizierung und zu sicheren offenen Kommunikationsstandards in Kraft. Mit den EBA-RTS wird ein wichtiger Bestandteil der zweiten EU-Zahlungsdiensterichtlinie (EU 2366/2015, PSD2) wirksam. Gleichzeitig wird die Sicherheit der Zahlungsverkehrsprozesse noch ein Stück weiter als bisher in den Fokus von europäischer und nationaler Aufsicht gerückt.

Starke Kundenauthentifizierung als (neuer) Grundsatz

Bereits Art. 97 PSD2 sieht vor, dass Zahlungsdienstleister von ihren Nutzern nicht nur beim (Online-)Zugriff auf Zahlungskonten und bei der Auslösung von Transaktionen eine starke Kundenauthentifizierung verlangen. Auch bei allen weiteren Vorgängen, die das Risiko eines Betrugs oder sonstigen strafbaren Handlung bergen, muss diese vom Kunden eingeholt werden.

Die EBA-RTS spezifizieren diese Anforderungen, indem sie festlegen, welchen Anforderungen die starke Kundenauthentifizierung (SCA) genügen muss (vgl. Art. 4-9 EBA-RTS). Dies sind zum Beispiel:

  • die Abfrage von mindestens zwei unabhängig voneinander bestehenden Authentifizierungskriterien aus den Kategorien Wissen (z. B. PIN-Code), Besitz (z. B. Token) oder Inhärenz (biometrische Faktoren, z. B. Fingerabdruck),
  • die dynamische Verknüpfung von Transaktions- und Kontodaten mit dem generierten Authentifizierungscode (z. B. TAN), so dass dieser ausschließlich für den auslösenden Kunden und den jeweiligen Zahlungsbetrag gilt,
  • die Fälschungssicherheit von Authentifizierungscodes und die Unmöglichkeit, aus einem bekannten Code weitere gültige Authentifizierungscodes zu berechnen sowie
  • die Absicherung des Online-Zugangs, z. B. durch die Festlegung einer maximalen Anzahl von fehlgeschlagenen Anmeldeversuchen und der automatischen Abmeldung vom Online-Zugang bei Inaktivität.

Damit dürften die meisten der aktuell gängigen Authentifizierungsverfahren bereits heute den Anforderungen der EBA-RTS genügen. Der Teufel steckt jedoch auch hier – wie meistens – im Detail, so dass sich ein Blick darauf „mit der Revisionsbrille“ durchaus lohnen kann. Bei Instituten, die ihren Kunden jedoch noch ältere Verfahren anbieten (z. B. indizierte TAN-Verfahren), besteht diesbezüglich in jedem Fall Handlungsbedarf.

Darüber hinaus ist kritisch zu hinterfragen, welche Geschäftsvorfälle im Online-Banking angeboten werden und ob diese durch eine SCA abgesichert werden müssen. Denn auch Geschäftsvorfälle, die nicht unmittelbar in einem Zusammenhang mit einer Transaktion stehen, können durchaus mit einem Risiko verbunden sein. Die Veränderung von Online-Banking-Limits durch den Kunden oder der Versand von Textnachrichten an den Kundenberater (die einen konkreten Arbeitsauftrag beinhalten) sind hier gute Beispiele.

TAN-los bezahlen – aber sicher?!

Keine Regel ohne Ausnahme – so ist auch bei der SCA. In den Artikeln 10 bis 18 der EBA-RTS definiert der europäische Gesetzgeber neun Ausnahmetatbestände, bei welchen vom Grundsatz der starken Kundenauthentifizierung abgewichen werden kann. Die erfolgt insbesondere mit dem Ziel, den Bezahlvorgang für den Zahlungsdienstnutzer u. a. bei kleineren Zahlbeträgen zu vereinfachen:

Die Kreditinstitute müssen insbesondere unter strategischen bzw. geschäftspolitischen Gesichtspunkten entscheiden, welche der Ausnahmen gem. Art. 10 bis 18 EBA-RTS für die einzelnen (Online-)Geschäftsvorfälle genutzt werden sollen.

Besonders „attraktiv“ erscheint dabei zunächst die Anwendung der Transaktionsrisikoanalyse gem. Art. 18 EBA-RTS, da diese auf eine Vielzahl von Geschäftsvorfällen anwendbar ist und mit einem Maximalbetrag von 500 € den weitesten Spielraum zum Verzicht auf eine SCA lässt. Gleichwohl gelten für die Nutzung dieser Ausnahme weitere Anforderungen und es ist einiger Implementierungsaufwand damit verbunden:

  • Implementierung eines Verfahrens zur Echtzeitrisikoanalyse von Transaktionen, welches u. a. das bisherige Ausgaben- und Verhaltensmuster, ungewöhnliche Informationen über Zugriff und Zugangsgerät des Auftraggebers (z. B. Manipulationsverdacht), bekannte Betrugsszenarien und risikobehaftete oder ungewöhnliche Aufenthaltsorte des Zahlers berücksichtigt.
  • Quartalsweise Ermittlung der Betrugsrate des Instituts. Die Betrugsrate soll dabei die in Anhang 2 der EBA-RTS definierten Referenzbetrugsraten nicht übersteigen:

  • Bereitstellung einer umfassenden Überwachungsstatistik, welche sowohl betrügerische als auch ordnungsgemäße Zahlungen hinsichtlich der Kriterien geographische Zuordnung (Inlandszahlung, Zahlung in den europäischen Wirtschaftsraum EWR oder darüber hinaus), Art der Kundenauthentifizierung (starke Kundenauthentifizierung oder Nutzung einer Ausnahme gem. Art. 10 bis 18 EBA-RTS) und Art des Betrugs (unautorisierte Zahlung, Veränderung einer Zahlung oder Manipulation des Zahlers) unterscheidet.

Es muss dabei durch geeignete Verfahren sichergestellt werden, dass eine Nutzung der Ausnahme gem. Art. 18 bei Überschreiten der Referenzbetrugsraten in zwei aufeinanderfolgenden Quartalen verhindert wird. Eine erneute Nutzung ist aber zulässig, wenn in einem weiteren Folgequartal die Referenzbetrugsrate wieder unterschritten wird und eine entsprechende Anzeige bei der Bundesanstalt für Finanzdienstleistungsaufsicht erfolgt.

Mehr Transparenz über Betrugsfälle

Aufgrund der Menge an statistischen Daten, die bei der Nutzung der Transaktionsrisikoanalyse zu Steuerungs- und aufsichtsrechtlichen Zwecken bereitgestellt werden müssen, lohnt es sich, gleichzeitig einen Blick auf die EBA-Leitlinien über die Anforderungen zur Meldung von Betrugsfällen zu werfen. Auch hier sind die Zahlungsdienstleister aufgefordert, umfangreiches Zahlenmaterial zu erheben und in einem halbjährlichen Turnus an die Bundesanstalt für Finanzdienstleistungsaufsicht zu melden.

Betroffen sind dabei neben Überweisungen und kartengebundenen Zahlungsvorgängen auch weitere Zahlungsdienste wie z. B. Lastschriften, Bargeldbezug mit Karte, Finanztransfers und über Zahlungsauslösedienste initiierte Zahlungsvorgänge. Auch hier wird eine Differenzierung der statistischen Daten nach Kriterien wie geographischer Zuordnung, Betrugsmethoden und Art der Authentifizierung verlangt.

Um den Umsetzungsaufwand für die Implementierung der Überwachungsstatistiken gem. der EBA-RTS zur starken Kundenauthentifizierung und der o. g. EBA-Leitlinien möglichst gering zu halten, ist eine konsolidierte Betrachtung der jeweiligen Anforderungen und eine gemeinsame Umsetzung ratsam. Gleichzeitig profitieren die Institute von den neu hinzugewonnenen Daten, da auf dieser Basis eine stärker am Risiko ausgerichtete Kontroll- und Überwachungsmaßnahmen ermöglicht werden.

PSD 2 – Schwerpunktthema in 2019

Die Umsetzung der PSD 2 wird das Zahlungsverkehrsjahr 2019 entscheidend prägen. Dabei stehen die Erhöhung der Sicherheit und die Steigerung der Transparenz über die Risiken von Zahlungsverkehrsprozessen im Vordergrund. Darüber hinaus gibt es für die Institute noch mehr zu tun: Zum Beispiel für die erforderliche Anbindung von Kontoinformationsdiensten, Zahlungsauslösediensten und Drittkartenemittenten an ihre Zahlungsverkehrssysteme (Stichwort: Drittdienstleisterschnittstelle) sind weitere Kapazitäten einzuplanen.

Die mit der Umsetzung der PSD2 verbundenen Risiken sollten sich im Rahmen der Jahresplanungen von Informationssicherheits-, Geldwäsche- und Datenschutzbeauftragten und der MaRisk-Compliance-Funktion sowie der risikoorientierten Prüfungsplanung der Internen Revision entsprechend niederschlagen.

PRAXISTIPPS

  • Prüfen Sie Ihre Authentifizierungsverfahren im Kontext der Anforderungen an die starke Kundenauthentifizierung.
  • Analysieren Sie ihre online verfügbaren Geschäftsprozesse hinsichtlich der Erfordernis einer starken Kundenauthentifizierung und inwiefern die Ausnahmen gemäß Art. 10 bis 18 EBA-RTS in Anspruch genommen werden können.
  • Begleiten Sie die Implementierung der Verfahren zur Nutzung der Transaktionsrisikoanalyse gem. Art. 18 EBA-RTS unter Revisionsgesichtspunkten und beurteilen Sie die Ordnungsmäßigkeit der zu ermittelnden Betrugsraten und Statistikdaten.
  • Aktualisieren Sie die Risikobewertung für das Prüffeld „Zahlungsverkehr“ vor dem Hintergrund der Anforderungen aus der PSD 2 und stellen Sie deren risikoadäquate Berücksichtigung im Prüfungsplan 2019 sicher.

SEMINARTIPPS

Praxisprobleme Kontoführung & Zahlungsverkehr, 26.06.2019, Köln.

Digitalisierung im Konten/-Zahlungsverkehr: Praxis&Prüfung, 26.09.2019, Frankfurt/M.

Beitragsnummer: 70946

Schlüsselkontrollen in Kreditprozessen

Gisela Conrads, Leiterin Interne Revision, Münchener Hypothekenbank eG

Die Definition der Schlüsselkontrolle beschränkte sich lange Zeit im Wesentlichen auf die Beurteilung der Wirksamkeit des IKS für die Rechnungslegung. Aufgrund erweiterter aufsichtsrechtlicher und gesetzlicher Anforderungen (u. a. MaRisk AT 4.4 und BT 2; § 25a Abs. 1 KWG, EBA Guidelines) erlangte die „Schlüsselkontrolle“ in den letzten Jahren eine neue Bedeutung für die Überwachung des gesamten Unternehmens und hielt Einzug in den Sprachgebrauch aller Internen Kontrollsysteme. Die in § 25a KWG geregelten organisatorischen Pflichten betonen, dass die Geschäftsleitung des Instituts für die ordnungsgemäße Geschäftsorganisation verantwortlich ist. Hierzu zählen ein angemessenes und wirksames Risikomanagement sowie die Einrichtung Interner Kontrollverfahren.

Kontrollen sind i. d. R.:

  • 4-Augen-Prinzip (z. B. Kompetenzen)
  • Einzelkontrollen (z. B. Stichproben)
  • Systemkontrollen (z. B. Plausibilitätskontrollen).

Wenn man der Frage nachgeht, um welche Kontrolle es sich bei der Schlüsselkontrolle handelt, wird man schnell feststellen, dass es sich nicht um eine neue Art der Kontrolle handelt.

Die Schlüsselkontrolle definiert Kontrollziele für einzelne Risiken (inkl. der operativen Strategieeinhaltung) und erfüllt aufsichtsrechtliche bzw. gesetzliche Anforderungen, ohne dass aktuell eine einheitliche Definition des Begriffs „Schlüsselkontrolle“ im Gesetz oder Aufsichtsrecht vorgegeben wird. Schlüsselkontrollen zeichnen sich daher durch ihre besondere Rolle innerhalb eines Prozesses aus und sollen dazu beitragen, unter Kosten-Nutzen-Aspekten wesentliche Risiken zu vermeiden, vermindern oder aufdecken. Dabei können der maßgeblichen Schlüsselkontrolle auch mehrere Einzelkontrollen vorausgehen. Schlüsselkontrollen sind individuell für jedes Geschäftsmodell festzulegen und in strukturierter Form zu überwachen.

Um entsprechende Schlüsselkontrollen implementieren zu können, ist eine Zerlegung aller Geschäftsprozesse in Teilprozesse sowie eine Bewertung der einzelnen Prozesse erforderlich. Die Bewertung der Prozesse und möglicher Kontrollen sollte dabei unternehmensabhängig in Einklang mit den erwarteten Risiken und den für die Kontrollen entstehenden Kosten stehen. Nicht jede teure Kontrolle vermindert auch hohe Risiken.

Auch aus den Anforderungen der „Leitlinien zum einheitlichen Überprüfungs- und Bewertungsprozesses (SREP)“ geht das Erfordernis, Schlüsselkontrollen zu implementieren, hervor. Die demnach erwartete Re-Kalibrierung des Internen Kontrollsystems auf Basis von Schlüsselkontrollen, wonach das Interne Kontrollsystem auf das ganze Institut auszuweiten und die Prozesse entsprechend zu überwachen sind, betrifft auch die Überwachung der „Risikokultur“. Eine nicht vorhandene oder nicht gelebte Risikokultur kann zu strategisch nicht gewünschten Risikobeiträgen, hohen Kosten bzw. Verlusten führen. Nach Ansicht der Autorin sollten die Institute daher auch „Schlüsselkontrollen“ zur Überwachung einer Risikokultur implementieren, um einen angemessenen Nachweis über die zugrunde liegenden Faktoren und deren Wirksamkeit erbringen zu können. Nur so kann sichergestellt werden, dass die Geschäftsleitung die eingangs erwähnte Verantwortung für die ordnungsgemäße Geschäftsorganisation ernst nimmt.

 

 

 

SEMINARTIPPS

Schlüsselkontrollen Spezial: Kreditprozesse, 09.10.2019, Berlin.
IKS-Prüfungen durch die Bundesbank, 06.11.2019, Hamburg.

IKS Kompakt: Aufbau & Prüfung von Schlüsselkontrollen, 20.11.2019, Berlin.
Prozessorientierte Schlüsselkontrollen im Fokus der Aufsicht, 03.12.2019, Frankfurt/M.

Zunächst muss sichergestellt werden, dass unter Wirtschaftlichkeitsgesichtspunkten erforderliche Kontrollen nicht nur vorhanden sind, sondern in die bestehenden Prozesse integriert wurden und in der Organisation bekannt sind. Die Funktionsfähigkeit dieser Kontrollen ist durch die Interne Revision regelmäßig zu überprüfen. Da die Prüfung der Schlüsselkontrollen eine neue Prüfungsmethodik darstellt, bedeutet dies für die Interne Revision des Unternehmens eine Anpassung der risikoorientierten Prüfungsplanung sowie der Prüfungsansätze.

PRAXISTIPPS

  • Grundlage für funktionsfähige Schlüsselkontrollen ist die Schaffung eines einheitlichen Grundverständnisses für die Themen “Prozess” und “Detailtiefe der Prozessschritte”.
  • Klare Schnittstellen und Service Level Agreements sind als Grundlage verlässlicher (erwarteter) Qualität erforderlich.
  • Kommunikation von „Schlüsselkontrollen“.
  • So viel wie nötig, so wenig wie möglich – die Kontrollergebnisse müssen auch beachtet werden.
  • Bei der Implementierung der Schlüsselkontrollen ist der Kosten-Nutzeneffekt zu beachten.
  • Die Implementierung einer angemessen Risikokultur kann mittels entsprechender „Schlüsselkontrollen“ nachgewiesen werden.

 

Beitragsnummer: 70925

Neufassung des Zinsrisiko-Rundschreibens 2019

Würdigung der Konsultation und Formulierung erster Handlungsimpulse[1]

Prof. Dr. Svend Reuse, MBA, Mitglied des Vorstandes, Kreissparkasse Düsseldorf. Zudem Honorarprofessor an der FOM Hochschule für Oekonomie und Management, Fachbeirat im isf – Institute for Strategic Finance.

1. Zielsetzung dieses Beitrages

Schon mit der Veröffentlichung des Zinsrisiko-Rundschreibens 09/2018 war klar, dass bald eine weitere Neufassung im Hinblick auf die europäischen Papiere BCBS 368 und die EBA/GL/2018/02 erfolgen würde. Seit Ende 2018 ist die Neufassung des Zinsrisiko-Rundschreibens, welches beide Papiere in deutsches Recht umsetzen soll, in Arbeit. Seit dem 29.03.2019 befindet es sich offiziell in Konsultation. Die Konsultationsphase endet am 30.04.2019. Dieser Beitrag analysiert die Neuerungen des Rundschreibens und gibt erste Handlungsimplikationen für die Institute.

BUCHTIPP

 

Reuse (Hrsg.), Zinsrisikomanagement 3. Aufl. 2019.

 

2. Neuerungen des Zinsrisiko-Rundschreibens 2019

Das Rundschreiben weist gegenüber dem aktuell gültigen Rundschreiben fünf Neuerungen auf (vgl. auch Picker/Franke/Kreitlein (2019)).

  • Einführung eines Frühwarnindikators: So ist im ersten Schritt die Einführung eines Frühwarnindikators zu nennen. In Ergänzung zu den Parallelschocks werden vier weitere Zinsszenarien definiert, mit denen der Barwert des Instituts berechnet wird. Im Gegensatz zum Zinsschock wird der Bartwertverlust jedoch nicht in Relation zu den Eigenmitteln berechnet, sondern ins Verhältnis zum Kernkapital gesetzt. Die Grenze liegt hier auch nicht bei 20 %, sondern bei 15 %.
  • Berücksichtigung notleidender Forderungen: Neu ist, dass nunmehr auch notleidende Forderungen in die Modellierung der Cashflows einbezogen werden müssen, wenn diese 2 % in Bezug auf den gesamten Kreditbestand übersteigen. Diese Darlehen müssen „als allgemeine zinssensitive Instrumente [einbezogen werden], deren Modellierung die Höhe der erwarteten Cashflows und deren zeitliches Auftreten widerspiegeln sollte (BaFin (2019.03b), S. 3)“. Bereits gebildete Wertberichtigungen sind bei der Modellierung der Cashflows zu berücksichtigen.
  • Einlagen von Finanzinstituten: Im Entwurf des Rundschreibens heißt es knapp: „Einlagen von Finanzinstituten sind als sofort fällig anzunehmen. (BaFin (2019.03b), S. 4)“. Eine trägere Modellierung, die bis jetzt in der Methodenfreiheit der Institute lag, ist folglich nicht mehr möglich. Im Rahmen der Konsultation sollte klargestellt werden, dass sich diese Modellierung nur auf täglich fällige Einlagen und nicht auf solche mit einer festen Zinsbindung bezieht.
  • Erleichterung bei Fremdwährungspositionen: Die bisherige Vorgehensweise sah vor, dass immer das Maximum aus +200 und -200 BP zu ermitteln ist und dann über alle Währungen zu addieren ist. Die Neufassung des Rundschreibens konkretisiert und modifiziert dies. Es wird klar eine Materialitätsschwelle von 5 % pro Währung benannt. Darunter muss dies nicht einbezogen werden. Wenn die so berücksichtigten Positionen weniger als 90 % der Vermögenswerte ausmachen, so sind auch Währungen unter der 5 % Marke einzubeziehen. Des Weiteren erfolgt die Addition nicht mehr über die Berechnung des Maximums, sondern konsistent über die Szenarien. Hat ein Institut bei +200 BP z. B. belastende Effekte in USD aber entlastende Effekte in GBP, so darf der letzte Effekt zu 50 % angesetzt werden.
  • Einführung einer Zinsuntergrenze: Es wird analog der EBA GL/2018/02 eine Zinsuntergrenze eingezogen, die bei -1,00 % im Geldmarktbereich beginnt, mit -0,95 % im 1-Jahres-Bereich fortgesetzt wird und dann pro Laufzeitjahr um weitere 0,05 % steigt, bis im Jahr 20 eine Untergrenze von 0,00 % erreicht ist. Dies ist im aktuellen Rundschreiben 9/2018 noch anders: negative Zinsen blieben negativ, führte ein Zinsszenario zu einem Zins unter 0 %, so wurde bei 0 % gekappt.

SEMINARTIPPS

Neue RTF-Praxis:(un)sachgerechte adverse Szenarien als Herausforderung, 24.10.2019, Frankfurt/M.

Barwert(nahe) Steuerung im neuen RTF-Leitfaden für Praxis & Prüfung, 06.11.2019, Hamburg.

Update 2019: BaFin-Rundschreiben zum Zinsänderungsrisiko im                                                               Anlagebuch, 07.11.2019, Hamburg.

                                              Depot A-Risiken: Wirksame Frühwarnverfahren & Stresstests                                                                    (-Szenarien), 14.11.2019, Frankfurt/M.

3. Kritische Würdigung der Neuerungen

Abbildung 1 fasst die Neuerungen zusammen und würdigt diese kritisch aus Sicht eines deutschen LSI. Zudem werden erste Handlungsimplikationen für die Praxis gegeben.

Abbildung 1: Würdigung der Neuerungen des Rundschreiben-Entwurfes sowie erste Handlungsimplikationen

In Summe sind die Neuerungen neutral zu werten. Das Rundschreiben ist eine konsistente Umsetzung der Anforderungen der EBA GL/2018/02. Einige Kritikpunkte verbleiben jedoch, wie Abbildung 1 zeigt. Gleichwohl muss angemerkt werden, dass sich diese eher auf die EBA GL/2018/02 beziehen – die BaFin hat wenig Spielraum, von diesen abzuweichen.

4. Fazit und Ausblick auf die Zukunft

Der Entwurf des BaFin Rundschreibens setzt weite Teile der EBA GL/2018/02 in deutsches Recht um. Es ist positiv zu sehen, dass die EBA GL/2018/02 nicht einfach 1:1 in Kraft gesetzt werden, wie es oftmals schon geschieht, sondern dass diese an die deutschen Gegebenheiten angepasst wurden. So wird z. B. das Thema der Credit Spreads, welche in den EBA GL/2018/02 schon erwähnt werden, hier explizit ausgeklammert. Auch die Aspekte der EBA GL/2018/02, die sich mit der Schwankung der Nettozinserträge beschäftigen, werden im Rundschreiben-Entwurf nicht behandelt. Vermutlich lässt sich dies damit begründen, dass weite Teile über die MaRisk und den neuen Risikotragfähigkeitsleitfaden abgedeckt sind.

Negativ zu sehen ist die Einführung des Frühwarnindikators und deren schärfere Berechnung in Bezug auf das Kernkapital. Den deutschlandspezifischen Besonderheiten der § 340 f HGB Reserven wird hierdurch nicht Rechnung getragen und es besteht die Gefahr, dass das Zinsänderungsrisiko weiter begrenzt wird. Es bleibt zu hoffen, dass die Aufsicht diesen Aspekt im Rahmen der Konsultation aufgreift. Zudem ist zu hoffen, dass sie hier mit Augenmaß agieren wird und Institute nicht aufgrund eines methodisch eher groben Frühwarnindikators unnötigerweise in der Ausprägung des Zinsänderungsrisikos begrenzt.

PRAXISTIPPS

  • Setzen Sie die EBA-Zinsszenarien schon heute in Ihrer Steuerung um. Betrachten Sie auch die Effekte der ungekappten Zinsszenarien.
  • Überlegen Sie strategisch, wie das Verhältnis Kernkapital zu Eigenmitteln sein soll.
  • Machen Sie sich frühzeitig Gedanken zur Modellierung der notleidenden Kredite.
  • Prüfen Sie die Modellierung Ihrer Finanzanlagen schon jetzt.
  • Prüfen Sie, ob die Änderung in der Modellierung von Fremdwährungsrisiken Auswirkungen auf Ihr Institut hat.
  • Überdenken Sie, ob Sie im Kontext von SREP den Frühwarnindikator reißen wollen oder nicht.

LITERATURHINWEISE
BaFin (2018.05a): Anschreiben zum Rundschreiben 9/2018 – Zinsänderungsrisiken im Anlagebuch, GZ: BA 55-FR 2232-2017/0001, 24.05.2018.

BaFin (2018.05b): Rundschreiben 9/2018 (BA) – Zinsänderungsrisiken im Anlagebuch. GZ: BA 55-FR 2232-2017/0001, 24.05.2018.

BaFin (2018.12): Diskussionspapier Rundschreiben N.N./2019 Zinsänderungsrisiken im Anlagebuch, GZ: BA 55-FR 2232-2019/0001, 28.12.2018.

BaFin (2019.03a): Anschreiben zur Konsultation 06/2019 – Zinsänderungsrisiken im Anlagebuch, Entwurf der Neufassung des Rundschreibens 9/2018 (BA) für Zinsänderungsrisiken im Anlagebuch, GZ: BA 55-FR 2232-2019/0001, 29.03.2019, erhältlich auf: https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Konsultation/2019/kon_06_19_Rundschreiben_ZAER.html, Abfrage vom 20.04.2019.

BaFin (2019.03b): Rundschreiben N.N./2019 – Zinsänderungsrisiken im Anlagebuch, GZ: BA 55-FR 2232-2019/0001, 29.03.2019, erhältlich auf: https://www.bafin.de/SharedDocs/Downloads/DE/Konsultation/2019/dl_kon_19_06_RS_ZAER.pdf?__blob=publicationFile&v=4, Abfrage vom 20.04.2019.

BCBS (2016): Standards – Interest rate risk in the banking book, BCBS 368, April 2016, erhältlich auf: http://www.bis.org/bcbs/publ/d368.pdf, Abfrage vom 30.11.2018.

EBA (2018): Leitlinien zur Steuerung des Zinsänderungsrisikos bei Geschäften des Anlagebuchs, EBA/GL/2018/02, 19.07.2018, erhältlich auf: https://eba.europa.eu/documents/10180/2537150/Guidelines+on+the+management+of+IRRBB+%28EBA-GL-2018-02%29_COR_DE.pdf, Abfrage vom 20.04.2019.

Picker, M./Franke, T./Kreitlein, S. (2019): Update des BaFin-Rundschreibens zum Zinsänderungsrisiko Angleichung der BaFin-Anforderungen zur Berechnung des Ausreißertests an das neue Regelwerk der EBA (EBA/GL/2018/02), erhältlich auf: https://bankinghub.de/banking/steuerung/update-bafin-rundschreiben-zinsaenderungsrisiko, Abfrage vom 19.04.2019.

Reuse, S. (2019, Hrsg.): Zinsrisikomanagement, 3. Auflage, Heidelberg 2019.

  1. Stand 27.04.2019. Der Artikel stellt die persönliche Meinung des Verfassers dar, die nicht notwendigerweise mit der des Arbeitgebers übereinstimmen muss.

 

Beitragsnummer: 70656

 

Nutzung von Parametern aus der Verlustschätzung als Querschnittsaufgabe

Eine Herausforderung für KSA-Institute

Dr. Konstantin Glombek, Senior Referent Adressrisikosteuerung, Bereich Betriebswirtschaft und Regulatorik, Bank für Sozialwirtschaft AG

Verlustdatenbanken als Kommunikationsaufgabe

Nicht zuletzt durch die aktuelle MaRisk-Novelle ist die methodische und prozessuale Ausgestaltung von Datenbanken zur systematischen Erfassung von Ergebnissen aus der Abwicklung und der Verwertung auch in den Fokus kleinerer Institute gerückt. Häufig kollidieren dabei verschiedene Interessen: Während die Abwicklungsabteilung an schlanken Abläufen interessiert ist, möchte das Risikocontrolling eine möglichst exakte Erfassung von Zahlungen gewährleistet wissen. Für die Auflösung solcher Konflikte ist es hilfreich, wenn bei allen beteiligten Abteilungen (neben den bereits genannten auch eine Prozess- und eine IT-Instanz) ein grundsätzliches Verständnis sowohl über die möglichen Erfassungen in der Abwicklung als auch die Parameterschätzungen für das Risikocontrolling gewährleistet ist. Die Eignung der Datenbank und ihrer Daten selbst muss dabei stets Gegenstand einer regelmäßigen Validierung sein, deren Ergebnisse allen Beteiligten offen zu legen sind. Als weiterer Bestandteil ist der Nutzen einer Verlustdank klar zu kommunizieren: Valide Quoten zu Einbringungen sowie Rückflüssen aus Sicherheiten erlauben sowohl eine konkurrenzfähige Darlehensbepreisung auf einer risiko-adjustierten Basis als auch eine nicht zu konservative Adressrisikomessung in einem Kreditportfoliomodell.

Nutzen externer Dienstleister

Ein weiterer Pfeiler bei der Analyse von Verlustdaten sind Vergleiche mit den Ergebnissen aus Datenpools, welche in der Regel über einen externen Dienstleister erhalten werden können. Solche Vergleiche erlauben Aussagen über die angemessene Verwendung von Pool-Parametern, aber auch die Identifikation von eigenen prozessualen Besonderheiten (z. B. Nutzung von abweichenden Bagatellgrenzen). Für die Einordnung von Institutseigenen Parametern sind solche Analysen von großer Bedeutung, um nicht zuletzt Ergebnisse aus geringen Fallzahlen angemessen würdigen zu können.

Entscheidet man sich dabei für die Nutzung von Pool-Parametern, steht stets die Frage nach der Repräsentativität dieser Parameter für das eigene Haus im Vordergrund. Die Beantwortung dieser Frage kann in der Regel nicht nur nach strengen quantitativen Analysen, sondern auch nach qualitativen Aspekten erfolgen. Grundsätzlich ist dabei zu begründen, warum die Prozesse zur Entstehung der Pooldaten (z. B. die Ausfallerkennung oder das Beitreibungsniveau) vergleichbar mit denjenigen des eigenen Hauses sind. Hier geben die Validierungsberichte der Dienstleister oftmals wertvolle Analysen, welche man mit entsprechenden eigenen Ergebnissen vergleichen kann. Weiter sind die eigenen Erfassungsprozesse zu Ausfällen und Verwertungen auf die Vorgaben des Dienstleisters abzustimmen. Die Auswertung von Datenqualitätsberichten und begleitenden Dokumenten des Dienstleisters können so insgesamt zu einem angemessenen Nachweis der Repräsentativität führen.

Analyse der Validierungsergebnisse von Verlust-Parametern

Die Entscheidung über die Verwendung bestimmter Parameter (Verwertungs- und Einbringungsquoten) bedingt auch Kenntnisse über deren Validierung. Dabei sind oftmals Ergebnisse bzgl. Pool- und institutseigener Parameter gegenüber zu stellen. Folgende Fragen können dabei von Interesse sein:

  • Wie stabil sind die jeweiligen Quoten geschätzt? Welche Sicherheitsabschläge sind in der Quotenbestimmung enthalten, um etwaigen Schätzunsicherheiten begegnen zu können?
  • Gibt es Verzerrungen in den Quoten (z. B. eine überproportional große Menge von Fällen mit kürzeren Verwertungsdauern oder besondere konjunkturelle Einflüsse)?
  • Wie trennscharf sind die Quoten segmentiert? Wie sinnvoll sind entsprechende Risikofaktoren gewählt?

Diese Punkte sollen nur einen Überblick geben und stellen keine abschließende Aufzählung dar.

 

 

 

Die ersten beiden Fragen zielen auf die Genauigkeit der Schätzung von Quoten ab. Ausreißer in den Daten sind hier oftmals zu analysieren und in der Regel über erhöhte Standardabweichungen oder größere Konfidenzintervalle der Quotenschätzung festzustellen. Ausreißer sind dabei nicht kategorisch auszusteuern, sondern durch eine geeignete Segmentierung gesondert zu betrachten.

Weiter ist immer der Prozess der Datenentstehung mit der Realität im Institut abzugleichen. Hierbei ist zunächst auf die vollumfängliche Abbildung eines Konjunkturzyklus zu achten. Die Analyse von Quoten auf Jahresbasis kann hier Unterschiede in den Quoten nach unterschiedlichen Konjunktur-Phasen aufzeigen. Zu untersuchen ist dann, ob ein Mittelwert über den gesamten Datenbestand auch unter schlechteren Konjunkturbedingungen angemessen ist. Gegebenenfalls sind hier geeignete Abschläge für Rezessionsjahre festzulegen.

Ein wesentlicher Punkt bei Verwertungen sind Fälle mit kürzeren Verwertungsdauern (d. h. weniger als zwei Jahre). Solche Fälle zeichnen sich oft durch höhere Quoten als Fälle mit längeren Verwertungsdauern aus. Zu klären ist somit, ob es auch ausreichend Fälle mit längeren Verwertungsdauern im Datenbestand der zu verwendenden Quoten gibt. Dies kann durch Vergleiche mit Pooldaten erfolgen, welche im Gegensatz zu Institutsdaten über ausreichend viele solcher Fälle verfügen können.

Die letzte Frage zielt auf die gezielte Unterscheidung von Quoten nach bestimmten Segmenten ab. Eine wohlbekannte Unterscheidung in KSA-Instituten ist die Aufteilung von Beleihungssätzen nach wohnwirtschaftlichen und gewerblichen Immobilien. Solche Differenzierungen können im Kontext von Verwertungs- und Einbringungsquoten eine deutliche Verfeinerung erfahren und durch geeignete Trennschärfe-Untersuchungen analysiert werden.

FAZIT UND PRAXISTIPPS

  • Kommunizieren Sie das Datenmodell Ihrer Verlustdatenbank ausreichend an alle beteiligten Abteilungen!
  • Verlieren Sie bei der Erfassung von Verwertungen und Abwicklungen nicht den Blick auf das Wesentliche. Nicht jeder Fall kann sinnvoll erfasst werden. Allerdings muss das verwendete Datenmodell alle vorkommenden wesentlichen Fälle erfassen können, was in einer regelmäßigen Validierung zu untersuchen ist.
  • Kleinere Institute sollten die Ergebnisse externer Dienstleister (z. B. diejenigen des eigenen Verbandes) nutzen. Eigene Schätzungen sind oftmals nur indikativ und nicht stabil. Externe Dienstleister verfügen oftmals über das bessere methodische Wissen und über die Ressourcen, aufsichtliche Anforderungen umsetzen zu können.
  • Die angemessene Wahl von Verwertungs- und Einbringungsquoten ist eine umfangreiche Aufgabe und mindestens jährlich zu validieren. Nehmen Sie sich Zeit für alle wesentlichen Analysen und dokumentieren Sie diese ausreichend.
  • Die EBA hat jüngst für IRBA-Institute (EBA/GL/2017/16, „Leitlinien für die PD-Schätzung, die LGD-Schätzung und die Behandlung von ausgefallenen Risikopositionen“) die aufsichtlichen Anforderungen an Verlustdatenbanken konkretisiert. Auch KSA-Institute sollten sich mit diesen Anforderungen vertraut machen, da diese entsprechend auf kleinere Institute ausstrahlen können.

SEMINARTIPPS

Kreditrisikosteuerung Aktuell, 23.09.2019, Frankfurt/M.

Schlanke § 18 KWG-Prozesse, 24.09.2019, Frankfurt/M.

OpRisk: MaRisk-Vorgaben und neuer Standardansatz, 25.09.2019, Frankfurt/M.

Auf-/Ausbau hauseigener Verwertungsdatenbanken & Erlösquotensammlungen, 26.09.2019, Frankfurt/M.

Prüfung Frühwarnverfahren, 08.10.2019, Frankfurt/M.

 

Beitragsnummer: 70543