Aufrufe
vor 6 Jahren

RISIKO MANAGER 03.2015

  • Text
  • Institute
  • Banken
  • Positionen
  • Kapitalanforderungen
  • Ausschuss
  • Engagements
  • Unternehmen
  • Verbriefungen
  • Baseler
  • Ermittlung
RISIKO MANAGER ist die führende Fachzeitschrift für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen.

14 Ausgabe 03/2015 [

14 Ausgabe 03/2015 [ buchbesprechung ] Michael Rath/Rainer Sponholz IT-Compliance – Erfolgreiches Management regulatorischer Anforderungen Erich Schmidt Verlag, 2., neu bearbeitete Auflage, Berlin 2014, 305 Seiten, 49,95 Euro, 978-3-503-14458-7 r Da die Informationstechnologie immer stärker ein zentrales und zugleich anfälliges Nervensystem des Unternehmens darstellt, steigt auch die Relevanz einer adäquaten IT-Compliance. Hierfür ist es in einem ersten Schritt wichtig, sich einen Überblick zu verschaffen und die Systematik der relevanten Regelungen sowie deren unterschiedliche Zielrichtungen zu verstehen. Zudem muss eingeschätzt werden, wie „verbindlich“ diese Regeln sind, ob sie also als formelles Gesetz (und ohne Handlungsalternativen) anzusehen sind oder ob aufgrund der relativ generischen Anforderungen nur ein Ermessenspielraum für deren Umsetzung geschaffen wird. Das Buch reiht die unterschiedlichen regulatorischen Anforderungen nicht nur aneinander, sondern versucht, die Herkunft dieser Normen, deren unterschiedliche Zielsetzungen sowie die unterschiedlichen Möglichkeiten der Umsetzung und des Managements von IT-Compliance darzustellen. Das Buch gliedert sich in insgesamt zwölf Kapitel. In einem einführenden Kapitel werden die Ursprünge und Ziele von (IT-)Compliance diskutiert und vorgestellt. Nach Definition und Abgrenzung der unterschiedlichen Begriffe und Bedeutungsinhalte von (IT)-Governance, (IT)-Compliance, Data Governance und Governance- Risk-Compliance (GRC) wird im zweiten Kapitel ein Wirkungsmodell der IT-Sicherheit (das GRC-Wirkungsmodell) entwickelt, welches eine Integration von IT-Revision sowie des IT-Sicherheits-, IT-Risiko- und IT-Compliance-Managements zu einer GRC-Funktion ermöglicht. Regulatorische Anforderungen werden als Pflichtschutzmaßnahmen abgeleitet. Im dritten Kapitel werden die Treiber von IT-Compliance beschrieben und eine Diskussion hinsichtlich der absoluten und relativen Zielvorgaben für Pflichtschutzmaßnahmen der IT- Compliance geführt. Dieses Kapitel soll Verständnis dafür schaffen, woher die vielfältigen Anforderungen der IT-Compliance kommen und wohin die Entwicklung gehen wird. Im vierten Kapitel wird der rechtliche Rahmen der IT-Compliance abgesteckt. Es wird anhand einer Normenpyramide aufgezeigt, welchen Stellenwert Pflichtanforderungen haben, welche Zielsetzungen die Regulatoren verfolgen und wie die Gültigkeitsbereiche aussehen. Im Anschluss wägen die Autoren die absolute gegen die relative Formulierung von Compliance-Anforderungen ab. In fünften Kapitel werden der Berufsverband ISACA und das IT Governance Institute (ITGI) sowie ihr gemeinsamer Standard CobiT (Control Objectives for Information and Related Technology) beschrieben, der sowohl für Zwecke der IT-Revision als auch der IT-Governance eingesetzt werden kann. Da CobiT als Meta-Standard mit nahezu allen wichtigen IT -Standards verbunden und im Bereich der IT-Compliance – nach Ansicht der Autoren – von sehr großem Nutzen ist, beschreiben die IT-Governance-Experten in diesem Kapitel die Entwicklung des Standards und das Referenzmodell im Detail. Das sechste Kapitel befasst sich mit den Kosten von IT-Compliance sowie einer umfassenden Rentabilitäts- beziehungsweise Kosten-/Nutzenanalyse. Auch die Kosten der Non-IT-Compliance werden erläutert. Dieses Kapitel dient dazu, Informationen über den größten Widerstand gegen (IT)-Compliance zu geben, die Cost of Compliance. Es wird das Ziel der sogenannten wirtschaftlichen Risk-adjusted Comfort Zone aufgestellt, in der weder ineffizienter Unter- noch Überschutz besteht. Die Kapitel sieben bis neun sind dem Management der IT-Compliance gewidmet, wobei in Kapitel sechs allgemeine Gedanken dazu vorgetragen und die Aufbauorganisation sowie weitere Elemente wie Kommunikation, Mitarbeiterprofile, Schulung und Training usw. erläutert werden. Kapitel sieben befasst sich mit dem Compliance-Prozess von der Bestandsaufnahme regulatorischer Anforderungen über die Überwachung bis zur Berichterstattung. Im Anschluss daran wird ein Vorgehensmodell eines Initialprojekts zur Einführung von IT-Compliance dargestellt. Kapitel neun behandelt die Werkzeuge des (IT)-Compliance- Managements, mit dem Einsatz unternehmensübergreifender Standards, Compliance-Management-Software, Benchmarking sowie Ergebnisse aus Benchmark-Studien zur IT-Compliance. Das zehnte Kapitel beschreibt die wesentlichen Maßnahmen von IT-Compliance, die nach verschiedenen Ansätzen ermittelt werden, und zwar aufgrund von Umfragedaten und auf der Basis von empirischen Daten des Unified Compliance Framework (UCF). Das Kapitel enthält weiterhin eine Beschreibung der wesentlichen IT-Sicherheitsmaßnahmen sowie einen Leitfaden zur Gestaltung der IT-Sicherheit. Kapitel 11 behandelt das Sonderthema IT-Compliance und Outsourcing. Es werden verschiedene Aspekte, wie Reifegrad der IT und Auslagerungsfähigkeit, der Umfang der Abhängigkeit und Nachweise der IT-Compliance bei Outsourcing, dargestellt und diskutiert. Das zwölfte Kapitel schließt das Buch mit einem kurzen Fazit ab. Der Anhang enthält unter anderem eine Übersicht zu IT- Compliance-Anforderungen sowie ein umfangreiches Quellenverzeichnis. RISIKO MANAGER Rating: Praxisbezug: qrrrr Inhalt: qqrrr Verständlichkeit: qrrrr Gesamtwertung: qrrrr

15 Basel III Stressed Leverage Ratio: Die Büchse der Pandora? Die Einführung der Verschuldungsquote (Leverage Ratio, LR) gemäß Artikel 430 CRR stellte Institute in den letzten Monaten vor Herausforderungen. Beispielhaft sei auf Auslegungsfragen, Projekte zur Verbesserung der Datenqualität und Wechselbeziehungen mit anderen Steuerungsgrößen (Liquidity Coverage Ratio, Pre Tax Income). Dennoch galt es „nur“ die Einhaltung detaillierter Regeln sicherzustellen. Artikel 87 (2) CRD IV fordert Behörden und Institute weitergehend auf, zu ermitteln, wie sich die Verschuldungsquote in Krisen verändern kann. Dies wirft eine Vielzahl neuer Fragen auf. Ihre Beantwortung durch die Behörden steht in weiten Teilen aus. Eine Industry Practice ist erst im Entstehen. Ziel des folgenden Beitrags ist es, zentrale Fragen herauszuarbeiten. Hierzu untergliedert sich der Beitrag in drei Teile. Teil I stellt die LR vor. Teil II erläutert sechs Fragenkomplexe, auf die Behörden und Institute im Zuge der Einführung der Stressed Leverage Ratio (SLR) Antworten finden müssen. Der Beitrag schließt in Teil III mit Fazit und Ausblick. Grundlage der Ausführungen bilden unter anderem Gespräche mit Vertretern der Aufsicht, Bankberatern und -mitarbeitern in Großbritannien, der Schweiz und den USA. Leverage Ratio Berechnungsschema des BCBS t Tab. 01 „Die Verschuldungsquote ist ein neues Maß, das die bisherigen Aufsichtsinstrumente ergänzt und nach dem Ermessen der Aufsichtsbehörden auf einzelne Institute angewandt werden kann.” [BaFin 2014]. Ziel ist es, das Risiko einer übermäßigen Verschuldung einzelner Institute durch die Einführung einer Obergrenze zu mindern. Dahinter steht die Überlegung, dass ein abrupter Schuldenabbau (Notverkäufe) das Finanzsystem und die Wirtschaft destabilisieren kann. Zugleich dient die Einführung als „zusätzliche Schutzmaßnahme gegen das Modellrisiko und Messfehler“. Hierzu soll die risikogewichtete Messung um eine „einfache, transparente und unabhängige Messung“ ergänzt werden [BCBS 2010, S. 5]. Die Verschuldungsquote wird in Prozent ausgedrückt. Sie setzt eine Kapitalmessgröße (Zähler) ins Verhältnis zu einer Engagementmessgröße (Nenner). Die Kapitalmessgröße wird über das Kernkapital operationalisiert. Die Engagementmessgröße ist die Summe folgender Posten: a) bilanzwirksame Engagements, b) derivative Engagements, c) Engagements im Rahmen von Wertpapierfinanzierungsgeschäften (securities financing transactions, SFT) und d) sonstige außerbilanzielle Engagements [BCBS 2014, S. 3]. Die Verschuldungsquote unterscheidet sich von der Kernkapitalquote im Nenner. Bei der Berechnung der Kernkapitalquote Posten Bilanzwirksame Engagements 1 Bilanzwirksame Positionen (ohne Derivate und SFT, aber einschl. Sicherheiten) 2 (Bei der Berechnung des Kernkapitals nach Basel III abgezogene Aktivbeträge) 3 4 Derivative Positionen Wiederbeschaffungskosten für alle Derivativgeschäfte (d.h. bereinigt um anrechenbare Ein- und Nachschusszahlungen) 5 Aufschläge für PFE in Bezug auf alle Derivativgeschäfte 6 Hinzugerechneter Betrag von gestellten Sicherheiten für Derivativgeschäfte, wenn diese gemäss den geltenden Rechnungslegungsvorschriften von den Bilanzaktiva abgezogen werden 7 (Abzüge von Forderungen bei geleisteten Nachschüssen in Derivativgeschäften) 8 (Befreiter CCP-Teil von Handelsgeschäften, die vom Kunden selbst abgewickelt werden) 9 Bereinigter effektiver Nominalwert von ausgestellten Kreditderivaten 10 (Bereinigte Aufrechnungen des effektiven Nominalwerts und Zuschlagsabzüge für ausgestellte Kreditderivate) 11 Gesamte derivative Positionen (Summe der Zeilen 4 bis 10) 12 13 Engagements aus Wertpapierfinanzierungsgeschäften (SFT) SFT-Aktiva brutto (ohne Anerkennung von Netting), nach Bereinigung um als Verkauf verbuchte Geschäfte (Aufgerechnete Beträge von Barverbindlichkeiten und -forderungen aus Brutto-SFT- Aktiva) 14 CCR-Engagement aus SFT-Aktiva 15 Engagements aus als Agent getätigten Geschäften 16 Gesamte bilanzwirksame Engagements (ohne Derivate und SFT) (Summe der Zeilen 1 und 2) Gesamte Engagements aus Wertpapierfinanzierungsgeschäften (Summe der Zeilen 12 bis 15) Sonstige ausserbilanzielle Engagements 17 Ausserbilanzielle Engagements zum Bruttonominalwert 18 (Bereinigung um Umwandlung in Kreditäquivalenzbeträge) 19 Ausserbilanzielle Engagements (Summe der Zeilen 17 und 18) 20 Kernkapital Eigenkapital und gesamte Engagements 21 Gesamte Engagements (Summe der Zeilen 3, 11, 16 und 19) 22 Basel-III-Verschuldungsquote Verschuldungsquote Rahmenregelung Höchstverschuldungsquote Quelle: BCBS 2014, S. 14

RISIKO MANAGER

 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.