Aufrufe
vor 5 Jahren

RISIKO MANAGER 01.2019

  • Text
  • Unternehmen
  • Risiken
  • Risikomanagement
  • Bewertung
  • Risiko
  • Banken
  • Basel
  • Risikoanalyse
  • Heft
  • Unternehmens
  • Risikomanager
RISIKO MANAGER ist das führende Medium für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen. Mit Themen aus den Bereichen Kreditrisiko, Marktrisiko, OpRisk, ERM und Regulierung vermittelt RISIKO MANAGER seinen Lesern hochkarätige Einschätzungen und umfassendes Wissen für fortschrittliches Risikomanagement.

22

22 RISIKO MANAGER 01|2019 wichtigste Risikofaktoren identifizieren (vgl. EZB, 2018b). Die EZB hat folgende konkrete Aufsichtsmaßnahmen angekündigt: Im Bereich Kreditrisiko u. a. Nacharbeiten zur NPL Guidance und on-site Prüfungshandlungen zu Immobilienkrediten und Leveraged Finance. Im Bereich Risikomanagement u. a. die Finalisierung des TRIM Guides, Prüfungshandlungen zur Verbesserung des ICAAP & ILAAP der Banken sowie on-site Prüfungen zu IT-Risiken & Fortsetzung des Cyberincident Reporting. Zu beachten ist, dass der jährliche aufsichtliche Stresstest der EZB 2019 mit besonderem Fokus auf das Liquiditätsrisiko durchgeführt wird. Unter dem Schlagwort „Multiple Risk Dimensions“ hat die EZB-Bankenaufsicht zudem die besondere Überwachung der Brexit-Vorbereitungen der ihrer Aufsicht unterstehenden Institute, einen aufsichtlichen Dialog zur Umsetzung der Vorgaben zum Zinsänderungsrisiko im Anlagebuch sowie intensivere Prüfungen zum Handel und Marktrisiko bei einzelnen Instituten avisiert. 2. Umsetzung der neuen Säule II- Vorgaben Leider hat die EZB-Bankenaufsicht die in den vergangenen Jahren jeweils im Dezember veröffentlichte Überblickspublikation zu den Ergebnissen des SREP Stand 15. Januar 2019 noch nicht auf ihrer Internetseite veröffentlicht. Dennoch liegen mittlerweile hinreichende Publikationen der Aufsicht zum Thema Säule II vor. Aus Sicht der Autoren sind die Themen Stresstesting, Zinsänderungsrisiko und Liquiditätsrisiko von besonderer Bedeutung. Hierzu hilfreich als Orientierungshilfen sind die EBA-Leitlinien zum SREP, Zinsänderungsrisiko im Anlagebuch und Stresstesting, die nach ihrer Veröffentlichung am 19. Juli 2018 mittlerweile auch in deutscher Sprache auf der EBA-Homepage vorliegen (vgl. EBA 2018,b,c,d,e). Während die überarbeiteten SREP- und Stresstesting-Leitlinien bereits seit 01. Januar 2019 gültig sind, treten die IRRBB-Leitlinien erst zum 30. Juni 2019 in Kraft. Gerade aufgrund der sich drehenden Konjunktur enthält das mit Inkrafttreten der neuen EBA-Stresstesting-Guidelines geforderte Stresstesting-Programm eine neue Bedeutung: Es ist dringend zu empfehlen, dem Gesamtvorstand entsprechend der Abschnitte 4.1. und 4.2 der neuen EBA-Stresstest-Leitlinien noch im ersten Quartal 2019 die Liste der für 2019 geplanten Stresstests zur Genehmigung vorzulegen. Die Umsetzung zum Stresstesting und Zinsänderungsrisiko sollte mit den Anpassungen der Risikotragfähigkeitskonzeption verbunden werden. Zu beachten sind dabei der 2018 von BaFin und Bundesbank veröffentlichte neue RTF-Leitfaden sowie die im November 2018 von der EZB-Bankenaufsicht veröffentlichten finalen ICAAP- & ILAAP Guides. Diese EZB-Leitfäden sollten auch die Banken unter direkter BaFin-Aufsicht sichten, da darin insbesondere zur Fortentwicklung des ILAAP wertvolle Hinweise enthalten sind. III. Verstärkte Regulierung zu IT-Risiken 1. Neue EBA-Leitlinien zu Informations- und Kommunikationsrisiken Wie bereits in Unterabschnitt II.1 erläutert wurde, ist sowohl seitens BaFin und Bundesbank als auch seitens der EZB-Bankenaufsicht mit nochmals verstärkten Prüfungshandlungen im Bereich IT zu rechnen. Dies kann neben den üblichen Feststellungen zur Nichterfüllung aufsichtsrechtlicher Vorgaben v. a. zu Kapitalaufschlägen im SREP führen (vgl. Buchmüller/Igl (2019)). Im SREP wird die IT-Ausstattung einerseits unter dem Blickwinkel der Geschäftsmodellanalyse geprüft. Hierunter fällt auch die Prüfung der Digitalisierungsanstrengungen der Institute. Andererseits beurteilt die Aufsicht die IT der Banken und deren Steuerung auch in den übrigen SREP-Prüfungsdimensionen wie Governance & Kontrollsystem, Angemessenheit der Kapitalausstattung in Relation zu den Risiken und Liquiditätsausstattung & -steuerung. Als Bewertungskriterien für die, von der EBA als Informations- und Kommunikationsrisiken (IKT-Risiken) bezeichneten IT-Risiken, sind die bereits gültigen EBA-Leitlinien für die IKT-Risikobewertung im Rahmen des SREP heranzuziehen (vgl. EBA, 2017a). Besonders wichtig sind in 2019 nun die neuen EBA-Leitlinien zu Auslagerungen und IT-Risiken (ICT and Security Risk Management). Die Outsourcing-Leitlinien, deren Entwurf bereits am 22. Juni 2018 veröffentlicht wurde (vgl. EBA 2018f), sollen gemäß der EBA-Jahresplanung noch im ersten Quartal 2019 finalisiert werden. Wir rechnen eher im Laufe des zweiten Quartals mit dem zunächst allein in englischer Sprache vorliegenden finalen Guidelines und empfehlen dann die intensive Sichtung des Textes, der u. a. ein regelmäßiges Reporting zu Auslagerungen an die Aufsicht fordern dürfte. 2 Am 13. Dezember 2018 hat die EBA die englischsprachigen Draft Guidelines on ICT and Security Risk Management veröffentlicht (vgl. EBA 2018g). Die Konsultationsfrist endet am 13. März 2019. Im Konsultationspapier fehlte die Angabe, wann die finalen Guidelines in Kraft treten. Laut EBA-Jahresplanung wird allerdings eine Finalisierung in Q1 2019 angestrebt. Insofern empfehlen wir hier eine frühzeitige Gap-Analyse, da wie bei den Outsourcing Guidelines mit einer Verbindlichkeit für alle deutschen Institute in 2019 gerechnet werden muss. Spätestens 2020 sind Prüfungen der neuen Anforderungen zu erwarten. Diese fordern eine verstärkte Überwachung des Third Party Risk (u. a. durch Meldungen von IT-Sicherheitsvorfällen von Auslagerungsunternehmen an das auslagernde Institut) und eine Einbindung des Vorstands durch explizite Vorlage der IT-Risikobewertungen und des Ad-hoc-Reportings des IT-Sicherheitsbeauftragten. Neu gegenüber den BAIT (bankaufsichtliche Anforderungen an die IT) sind spezifische Anforderungen an Informationssicherheitsrisiko-Szenarien, die sonst nur aus dem Sanierungsplan (auf Gruppenebene) bekannt sind und Vorgaben zur Krisenkommunikation. Zudem werden eine eigene „ICT project management policy“ und spezifische Schulungsmaßnahmen im IT-Risiko gefordert. Zwar wird im Text des Leitlinienentwurfs darauf hingewiesen, dass die Umsetzung proportional sein soll, konkrete Öffnungsklauseln für kleinere Institute sind im Regelungstext bisher aber nicht enthalten. Nach den im letzten Jahr veröffentlichten Aussagen der BaFin (vgl. BaFin 2018b) werden alle EBA-Leitlinien auch ohne weitere rechtliche Umsetzung in Deutschland Gültigkeit besitzen, es sei denn die BaFin trifft anderslautende Entscheidungen im Einzelfall.

ERM 23 Abb. 02 Instrument Kernergebnisse des EZB Thematic Review zu Risikodatenaggregation und Risikoreporting Wesentliche Schwachstellen Governance und IT-Infrastruktur Rollen und Verantwortlichkeiten: » Unzureichende Zuordnung von Rollen und Verantwortlichkeiten für Datenqualität » Fehlende Verantwortlichkeiten („Ownership“) für Datenqualität in Fach-, IT- und überwachenden Einheiten Umsetzungsprojekte: » Keine klare Definition von Scope und Roadmaps der Umsetzungsprojekte von BCBS 239 » Nicht alle relevanten Konzernbereiche sind Teil des Projekts » Unzureichende Aufmerksamkeit auf Executive- und Senior-Management-Ebene Interne Prüfung des Umsetzungsstands: » Mangelnde Unabhängigkeit und Ressourcenausstattung der Prüfeinheiten Qualität der umgesetzten Lösungen: » Unzureichende Integration der IT-Systeme für Datenaggregation und Reporterstellung » Keine homogene und integrierte Datentaxonomie auf Konzernebene » Manuelle Prozessbrüche, die teilweise nicht ausreichend dokumentiert sind oder überwacht werden » Keine Eskalationsprozesse bei fehlerhaften Daten » Lückenhaftes Business-Continuity-Management der betroffenen IT-Systeme » Unzureichende Drill-Down-Fähigkeiten Wesentliche Best Practices Rollen und Verantwortlichkeiten: » Etablierung eines „Data Governance Office“ als „Second Line of Defence“ mit Verantwortlichkeiten wie z. B. Datenrichtlinien, Klassifizierung von Kernrisikodaten, Überwachung des Datenqualitätsprozesses » Netzwerk von dezentralen „Data Ownern“ als „First Line of Defence“ Umsetzungsprojekte: » Etablierung konzernweiter Steering Committees mit der Verantwortung, für eine einheitliche Umsetzung der BCBS-239-Vorgaben in allen Konzerneinheiten zu sorgen Interne Prüfung des Umsetzungsstands: » Regelmäßige Überprüfung der Umsetzungsqualität inkl. ausgelagerter Bereiche durch unabhängige Instanzen » Etablierung eigener Einheiten, die für eine Konsistenz der Policies und Verfahren konzernweit verantwortlich sind » Entwicklung von Datenqualitäts-Repositories für den Gesamtkonzern » Einrichtung eigener operativer Budgettöpfe für die Umsetzung von BCBS-239-Vorgaben Qualität der umgesetzten Lösungen: » Nutzung einer einheitlichen Datenquelle für das Risiko- und Finanzreporting sowie das Meldewesen » Alle manuellen Eingriffe in die Daten (inkl. IDV-Lösungen) werden erfasst und nach Kriterien wie Komplexität und Relevanz eingestuft » Etablierung automatisierter Konsistenzchecks vom Frontoffice- bis zum Reportingsystem sowie zwischen verschiedenen Datenquellen (z. B. Risiko- und Finanzdaten) » Etablierung eines kontinuierlichen Verbesserungsprozesses für die permanente Weiterentwicklung der Datenqualität » Nutzung des Legal Entity Identifier oder eines institutseigenen einheitlichen Kundenschlüssels, um Exposures vollständig und richtig zu aggregieren Risikodatenaggregation » Unvollständige oder nicht abgenommene Datenqualitätsrichtlinien » Unzureichende Key Quality Indicators (z. B. unzureichende Abdeckung, nicht nachvollziehbares Setzen von Toleranzgrenzen) » Keine nachvollziehbare Dokumentation bei der Anpassung von Daten » Hoher manueller Aufwand führt zu verspäteter Bereitstellung der aggregierten Daten für das Reporting oder Adhoc-Anfragen » Schwierigkeiten insbesondere bei der Aggregation von Risikodaten von Tochtergesellschaften, Niederlassungen oder Business Lines » Verfügbarkeit von Daten häufig in unstrukturierter Form (z. B. Ausdrucke, gescannte Dokumente) » Regelmäßiger Review von Datenqualitätsrichtlinien » Etablierung eines Datenqualitätszertifizierungsprozesses für die „golden source“ » Logging von Datenveränderungen » Definition von Metriken, die in Stresssituationen bereitgestellt werden müssen » Schaffen von Voraussetzungen, dass diese Metriken in Stresssituationen auf wöchent licher oder Tagesbasis bereitgestellt werden können Risikoreporting » Unzureichende Plausibilitäts- und Konsistenzchecks der Reports » Unzureichende Möglichkeiten der Datenrückverfolgung („Data Lineage“) aufgrund manueller Prozesse und infolgedessen auch unzureichende Kommentierung der Daten » Abstimmungsfehler insbesondere bei regulatorischem Kapital aufgrund manueller Prozesse » Intensive Nutzung von fehleranfälligen und komplexen IDV-Lösungen » Fehlende Policies für den Umgang mit nicht verarbeiteten Daten » Ineffektive Kontrollprozesse auf Konzernebene » Probleme im Standard-Risikoreporting, vorausschauende Aspekte zu berücksichtigen (z. B. Stresstesting, Szenarioanalyse) » Probleme beim Herunterbrechen von Risikodaten in Unterkategorien » Fehlende formale Feedbackschleifen des Senior Managements zum Risikoreporting » Fehlerhafte Interpretation der Risikoreports aufseiten des Managements aufgrund fehlender einheitlicher Definitionen » Kein adressatengerechtes Reporting (Reporting zu komplex, zu technisch etc.) » Keine Dokumentation des Adressatenkreises der Reports sowie der Vertraulichkeit der Informationen » Keine automatisierte Verteilung der Reports » Dokumentation von Datenqualitätsanforderungen und aller Datenqualitätschecks » Berücksichtigung ökonomischer Vorhersagen für die wichtigsten Volkswirtschaften und Regionen im Risikoreport (makroökonomische Daten wie Zinskurven) » Einführung von Zufriedenheitsumfragen für Risikoreports sowie einer Arbeitsgruppe zur Verbesserung von Risikoreports » Risikoreports enthalten eine Zusammenfassung wesentlicher Risiken sowie qualitative Aussagen » Bereitstellung von internen Daten-Lexika zur Sicherstellung einer einheitlichen Nutzung und Interpretation von Fachbegriffen » Etablierung von konzernweit einheitlichen Vorgaben für die Dokumentation » Vorgaben werden von Leitungsgremien beschlossen und durchgesetzt » Formale Definition aller Reportempfänger und automatisierte Verteilung » Etablierung von Policies, in denen für jeden Report das „need to know“ definiert wird » Bereitstellung der Reports über eine zentrale IT-Plattform mit sicheren Zugangs mechanismen Quelle: Buchmüller/Mährle, www.marisk.academy.

RISIKO MANAGER

 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.