BankPraktiker 05/2017


Liebe Leserinnen und Leser,

träumen Sie als MaRisk-Compliance-Funktion auch von Fachbereichen, die ein hohes Risikoverständnis besitzen; von Mitarbeitern, die den Hintergrund von Kontrollhandlungen verstehen; Prozessverantwortlichen, die intrinsisch motiviert Vorschläge für risikobasierte Kontrollen unterbreiten?

Mit der Implementierung der durch die neue MaRisk aufsichtsrechtlich geforderten „Risikokultur“ kann Ihr Traum wahr werden! Die inhaltliche Befassung mit der Themenstellung dürfte bei allen Veränderungen in der MaRisk die größte Herausforderung darstellen. Dieses resultiert insbesondere aus dem Umstand, dass regelmäßig noch kein gleichartiges Risikoverständnis im gesamten Kreditinstitut vorhanden ist. Darüber hinaus kann eine Risikokultur nicht verordnet werden.

Insbesondere das Bekenntnis der Geschäftsleitung zu einem angemessenen Risikoumgang, die Vorbildfunktion der Führungskräfte und die Schaffung von einheitlichen Sichtweisen auf die Risiken sind wichtige Triebfedern für eine nachhaltige Implementierung. In Ermangelung einer „passt-überall-Lösung“ sind institutsindividuelle Schritte erforderlich. Hier lohnt eine nähere Betrachtung des aufsichtsrechtlich gewünschten Zielbildes sowie den daraus resultierenden Handlungsoptionen; denn die vollständige Risikoaversion stellt grundsätzlich eine falsch verstandene Deutung der Risikokultur dar.

Vielmehr ist im Entscheidungsprozess ein ausgewogenes Verhältnis zwischen Chancen und Risiken unter Berücksichtigung des hausinternen Risikoappetits erforderlich. Erstaunlicherweise ist zu beobachten, dass nicht alle MaRisk-Compliance-Beauftragte sich als Triebfeder für die Implementierung der Kultur ansehen. Dabei profitiert nicht nur das Kreditinstitut, sondern insbesondere die MaRisk-Compliance-Funktion von der Entwicklung, Förderung und Integration einer ordnungsgemäßen Risikokultur.

Neben der Zusammenarbeit mit den Fachbereichen auf Augenhöhe wird durch die Risikokultur die angemessene Belastung der Risikotragfähigkeit sichergestellt. Sehen Sie daher dieses Editorial über die Risikokultur als Plädoyer für ein hohes Engagement der MaRisk-Compliance-Funktion in dieser Thematik. Nur ein einheitliches Risikoverständnis innerhalb des Kreditinstitutes ermöglicht die Realisierung Ihres Traumes. Zur Unterstützung Ihrer Tätigkeit erscheint im CompRechtsPraktiker ein Beitrag über die Risikokultur. Neben den Grundüberlegungen zur Implementierung wird ein Vorschlag zur Bestimmung des aktuellen Reifegrades der Risikokultur in Ihrem Institut vorgestellt. Dieses Instrument ermöglicht Ihnen eine Schwachstellenanalyse sowie daraus abgeleitet eine effiziente Förderung der Risikokultur.

Kollegiale Grüße und viel Erfolg bei der Umsetzung der Anforderungen.
Pascal Ritz
Abteilungsleiter Beauftragtenwesen, MaRisk-Compliance-Beauftragter, PSD Bank Berlin-Brandenburg eG


 

Anzeige- und Meldewesen: Ausgewählte Aspekte zur Prüfungsplanung

Regulatorische Dynamik sowie gestiegene Anforderungen an Qualität und Quantität von Daten als zentrale Herausforderungen

Das Anzeige- und Meldewesen befindet sich derzeit angesichts von Änderungen bestehender sowie der Einführung komplett neuer Meldepflichten in einer Umbruchphase. Revisionstätigkeiten in diesem Prüffeld müssen sorgfältig vorbereitet werden, um zutreffende und vollständige Prüfungsaussagen zu gewährleisten.

PRAXISTIPPS

  • Für das Prüffeld Anzeige- und Meldewesen erscheint angesichts der anhaltenden Dynamik sowie des hohen Bedarfs manueller Eingriffe in die Datenverarbeitung und des damit einhergehenden erhöhten Fehlerrisikos zumindest mittelfristig eine jährliche Prüfung sinnvoll.
  • Eine kontinuierliche fachliche Weiterbildung ist für jeden mit dem Prüffeld Anzeige- und Meldewesen betrauten Revisor unerlässlich. Alternativ ist der Einbezug externer Spezialisten möglich.
  • Systemprüfungen allein gewährleisten bei diesem Prüffeld keine hinreichende Prüfungssicherheit. Die Erkenntnisse aus der Aufbau- und Funktionsprüfung sollten unbedingt durch sinnvoll gewählte Einzelfallprüfungen verplausibilisiert werden.
  • Im Sinne einer risikoorientierten Prüfung sollten Prüfungsschwerpunkte so gewählt werden, dass wesentliche nicht korrekte Meldungen identifiziert werden können. Besonders hohe Fehler- und Kontrollrisiken (und damit auch Prüfrisiken) sind grundsätzlich bei neu eingeführten Meldepflichten zu vermuten, da es sich hier (noch) nicht um Routinetätigkeiten handelt, und auch bei den Meldungen mit hohem Bedarf an manuellen Eingriffen in die Datenverarbeitung.
  • Hinsichtlich anlassbezogener Anzeigen sollte der Fokus auf einem zügigen, ungehinderten Informationsfluss zu den zuständigen Mitarbeitern liegen.
  • Revisoren sollten eine sinnvolle Abgrenzung zu anderen Prüffeldern vornehmen, um redundante oder auch versäumte Prüfungstätigkeiten zu vermeiden. Prüffeldübergreifende Erkenntnisse sollten entsprechend gewürdigt werden.
  • Revisoren sollten zudem im Falle aneinandergrenzender Prüfungszeiträume festlegen, welchem Zeitraum Anzeigen und Meldung per 31.12. zuzuordnen sind, um redundante oder auch versäumte Prüfungstätigkeiten zu vermeiden.

Autor: Christina Geist, Spezialistin Prüfung/Beratung Meldewesen, Audit GmbH Karlsruhe Stuttgart WPG


Non-Financial Risk-Bewertungen: Harmonisierung

Effizienzsteigerung und Konsistenzgewinn durch abgestimmte Bewertungsmethoden und -Prozesse

Non-Financial Risk umfasst eine Vielzahl von Unterkategorien, für die es meist eigenständige Risikobewertungsmethoden gibt. Mangelnde Verzahnung dieser Methoden und der zugrundeliegenden Prozesse führt oft zu inkonsistenten Handlungsimpulsen und verursacht Mehraufwand. Harmonisierte Risikobewertungen können diese Probleme abmildern.

PRAXISTIPPS

  • Vorstandssponsoring – eine umfangreiche Harmonisierung tangiert auch Zuständigkeiten über Bereichsgrenzen hinweg.
  • Entscheidungskompetenz – da die Harmonisierung von Risikoanalysen eine Vielzahl von Bereichen betrifft, ist es empfehlenswert, die Verantwortlichkeiten eindeutig zu definieren sowie eine professionelle Projektstruktur aufzusetzen mit einer neutralen Besetzung der Projektleitung.
  • Gemeinsames Zielbild – jeder Bereich verfolgt vor dem Hintergrund des jeweiligen Aufgaben- und Zuständigkeitsbereichs unterschiedliche Zielsetzungen; daher sollte frühzeitig ein gemeinsames Zielbild entwickelt werden.
  • Einbindung von Experten – Sofern (aufsichts-)rechtliche Vorgaben betroffen sind und Unsicherheit herrscht, inwiefern eine Harmonisierung bei gleichzeitiger Regel-Konformität erfolgen kann, ist die Einbindung von Experten (z. B. Jahresabschlussprüfer, Berater) ratsam.
  • Gemeinsame Sprachregelung – gleichlautende Begriffe sind in verschiedenen Anwendungsfeldern oft unterschiedlich belegt und sollten sehr frühzeitig gefunden werden.
  • Realistische Zielsetzung – nicht alle Risikobewertungsmethoden lassen sich vollständig vereinheitlichen.
  • Empfängerorientierung – Ergebnisse der Risikobewertungen sollen primär zur Risikosteuerung und nicht nur zur Erfüllung aufsichtsrechtlicher Anforderungen dienen.
  • Berücksichtigung von Veränderungen – Aufgrund der Vielzahl an Risikoanalysen erfolgt häufig eine permanente, parallele Weiterentwicklung, die frühzeitig beachtet werden sollte.
  • Fachliche Konzeption vor IT-Umsetzung – Aufgrund der institutsindividuellen Anforderungen an eine harmonisierte Risikoanalyse ist am Markt derzeit kein standardisiertes Tool verfügbar; daher empfiehlt sich zunächst die fachliche Konzeption abzuschließen, bevor eine Entscheidung hinsichtlich der IT-Lösung getroffen wird.
  • Durchführung eines Piloten – Zur Verprobung der Konzeption ist es ratsam, eine Pilotphase einzuplanen bevor eine vollumfängliche Umsetzung erfolgen kann.

Autoren:
Prof. Dr. Thomas Kaiser, Director Tätigkeitsschwerpunkt: Operational & Reputational Risk Management  Financial Services KPMG AG Wirtschaftsprüfungsgesellschaft, Frankfurt/M.
Susanne Schenk, Manager Tätigkeitsschwerpunkt: Compliance-Beratung  Financial Service KPMG AG Wirtschaftsprüfungsgesellschaft, Hamburg


Management operationeller Risiken: Entwicklungstrends

Vom Platzhalterwert zur integrierten Risikosteuerung

Seit dem 01.01.2007 können Institute zur Berechnung des Eigenmittelbedarfs im Bereich des operationellen Risikos den Basisindikatoransatz oder den Standardansatz anwenden. Seit dem 01.01.2008 ist es zudem möglich, die Berechnung mithilfe fortgeschrittener Messansätze vorzunehmen. Der Baseler Ausschuss für Bankenaufsicht (BCBS) hatte bereits am 04. März 2016 das zweite Konsultationspapier zur Ermittlung der Eigenkapitalanforderungen für operationelle Risiken veröffentlicht (BCBS 355). Zugleich werden im SREP durch die Bewertung der Internen Governance und der Kontrollsysteme unterstellt Steuerungs- und Kontrollmechanismen vorausgesetzt, deren Räder ineinander greifen. Spätestens damit wird deutlich, dass auch im Bereich des Internen Kontrollsystems, für die Risikoorientierung der Compliance- und Revisionseinheiten sowie für den Steuerungskreis der Dienstleistersteuerung integrierten statt siloartigen Steuerungsansätzen die Zukunft gehört.

PRAXISTIPPS

  • Stellen Sie die Steuerungssysteme Ihres Hauses auf den Prüfstand.
  • Nutzen Sie Großprojekte, Fusionen oder andere entsprechende Triggerpunkte für einen grundlegenden Neubau ihrer Steuerungssysteme.
  • Passen Sie für die kommenden Anforderungen an operationelle Risiken Ihre Datenbasis entsprechend an bzw. schaffen Sie die Grundlagen dafür.
  • Simulieren Sie die Auswirkungen der kommenden Anforderungen an die Eigenkapitalunterlegung operationeller Risiken.
  • Nutzen Sie die verschiedensten „Risikoanalysen“, die in Ihrem Haus angefertigt werden, konsistent und an den Erfordernissen der Risikosteuerung ausgerichtet.

Autor: Dr. Ralf Kühn, Wirtschaftsprüfer, Geschäftsführer der Audit GmbH Karlsruhe Stuttgart WPG


Steuerungskreislauf: Regulatorische Anforderungen

Über die Eigenschaften von Steuerungskonzepten, die Existenz eines regulatorischen Steuerungskreises und dem alternativen Umgang mit regulatorischen Vorgaben

Die Integration regulatorischer Anforderungen ist eine wichtige Determinante individueller Steuerungskonzepte. Die Existenz eines konsistenten regulatorischen Steuerungskreislaufs der Säule 2 ist dabei als Trugschluss der Steuerungskonzeption zu interpretieren. Der vorliegende Beitrag kanalisiert die Problematik und stellt einen dualen Lösungsansatz zur konsistenten Berücksichtigung aufsichtlicher Vorgaben vor.

PRAXISTIPPS

  • Integrieren Sie aufsichtliche Anforderungen als strenge Nebenbedingung zu Ihren bestehenden Steuerungskonzepten.
  • Ergänzen Sie Ihren institutseigenen Steuerungskreis um eine Säule 1+ Risikotragfähigkeit.
  • Vermeiden Sie eine Fokussierung eines „regulatorischen Steuerungskreises“.
  • Eine regulatorische Risikotragfähigkeit sollte aufgrund methodischer Inkonsistenzen nicht zu einem regulatorischen Steuerungskreis führen. Grenzen Sie diese Begriffe daher sauber ab.
  • Überprüfen Sie einen Übergang auf die duale Sichtweise des Säule 1+ Ansatzes in Verbindung mit einem Gone-Concern-Risikotragfähigkeitskonzept.
  • Stellen Sie sicher, dass regulatorische Anforderungen umfassend in Ihren bestehenden Steuerungskreisen berücksichtigt werden.

Autor: Noel Boka, B.A., Spezialist Controlling, PSD Bank Rhein Ruhr eG


Filial-/Immobilienbestand: Optimierungsmöglichkeiten

Mietvertrags- und Immobilienmanagement für den Eigenbestand und gemietete Immobilien

Im Rahmen einer Standort-/Filialanalyse lohnt es sich für Kreditinstitut, ihr Mietvertrags- und Immobilienmanagement für den Eigenbestand sowie für gemietete Immobilien genauestens auf den Prüfstand zu stellen. Dabei kann unter Umständen vorhandenes Potenzial erkannt und ausgeschöpft werden. Bei einer Reduzierung des Filialnetzes oder dem Verkauf von eigengenutzten Immobilien sind verschiedenen Optionen zu evaluieren.

PRAXISTIPPS

  • Stellen Sie sicher, dass es in Ihrem Unternehmen einen Verantwortlichen für Ihre Mietflächen und Ihre eigenen Immobilien gibt.
  • Sorgen Sie dafür, dass der Verantwortliche sich bei den angemieteten Flächen nicht nur kurz vor eventuellen Mietvertragsverlängerungen mit der Immobilie bzw. dem Mietvertrag beschäftigt, sondern das unter Umständen vorhandene Potenzial erkennt und ausschöpft.
  • Versuchen Sie den Immobilienverantwortlichen frühzeitig in die zukünftige Standort-/Filialstrategie einzubinden, um frühzeitig Werte und Kosten beeinflussen zu können, z.B. über einen frühzeitigen Verkauf als Anlageobjekt mit Ihnen als Mieter statt als Teilleerstand oder über eine frühzeitige aktive Steuerung der Restlaufzeit bei einem Mietobjekt.
  • Analysieren Sie vor dem Verkauf von Immobilien, die Sie weiterhin komplett oder teilweise Nutzen/Anmieten, gründlich die Belange Ihres Geschäftsablaufs und der technischen Notwendigkeiten, um diese richtig regeln zu können.
  • Falls Sie keine Personalressourcen haben, um die Prüfung der Nebenkosten in Bezug auf die mietvertraglichen und gesetzlichen Bestimmungen durchzuführen, so können Sie dafür auch einen Dienstleister beauftragen. Am Markt gibt es hier sogar Unternehmen, die solche Analysen auf Erfolgsbasis durchführen.

Autor: Helmut Weber, Geschäftsführer Gläubigerimmobilien Verwertungsgesellschaft mbH und Mitglied der Gewerbeimmobilienpartner


Auslagerungsmanagement: Künftige Anforderungen

Künftige Anforderungen an ein aufsichtsrechtskonformes Auslagerungsmanagement

Der im Jahr 2007 prägende Ursprungsgedanke war die Einbettung einer „angemessenen Sourcing-Governance“. Die Konsultation zeigt, dass die Aufsichtsbehörde die gelebte Praxis in den Kreditinstituten in Bezug auf die ausgelagerten Aktivitäten und Prozesse für unzureichend hält.

PRAXISTIPPS

  • Eine Reduzierung der Komplexität erhöht die Effizienz und mindert Risiken.
  • Die zentrale Koordination von Auslagerungen durch einen Auslagerungsbeauftragten dürfte auch für „kleinere“ Institute sinnvoll sein.
  • Die Auslagerung „Besonderer Funktionen“ stellt im Regelfall keine Option dar.
  • Steuerungs- und Überwachungsimpulse sollten zur Risikominimierung genutzt werden.
  • Die Kommunikation von bestehenden Risiken und das daraus entwickelte Risikoverständnis fördern die Risikokultur.
  • Mehrwerte könnend durch die Beratungsfunktion der MaRisk-Compliance-Funktion generiert werden, wenn eine Personenidentität mit dem Manager für Operationelle Risiken vorliegt.
  • Eine Auslagerung stellt häufig auch ein Fall von AT 8.2 der MaRisk dar.

Autor: Pascal Ritz, Abteilungsleiter Beauftragtenwesen, MaRisk-Compliance-Beauftragter, PSD Bank Berlin-Brandenburg eG


Erschienen im BankPraktiker, Ausgabe 05/2017
Weitere Infos unter http://www.bankpraktiker.de/


 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Comment

Folgende HTML Tags und Attribute können verwendet werden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>