Management und Controlling Operationeller Risiken. Version: 1.2. Stand:

Transkript

1 Operationelle Risiken Prüfungsleitfaden Orientierungsleitfaden für Prüfungen der Internen Revision Management und Controlling Operationeller Risiken Hinweis: Dieses Dokument ist keine Veröffentlichung des Instituts, sondern gibt lediglich die Arbeitsergebnisse der im Arbeitskreis vertretenen Teilnehmer wieder. Version: 1.2 Stand: Autor: Bezug: IIR Arbeitskreis Basel II Basel II Prüfungsanforderungen an die Interne Revision (Tz. 5)

2 Inhaltsverzeichnis 1. EINLEITUNG...3 DEFINITION/VERANTWORTUNG...3 PRÜFUNGSVORGEHENSWEISE...3 WEITERE INFORMATIONEN/GRUNDLAGEN HAUPTTEIL RAHMENWERK Rahmenbedingungen/Schriftlich fixierte Ordnung IT-Systeme RISIKOBEWERTUNG: METHODEN UND VERFAHREN Key Risk Indicators Verlustdatensammlung Self-Assessment EIGENKAPITALBERECHNUNG* RISIKOÜBERWACHUNG Ausgestaltung der Überwachungsfunktion Sicherstellung der Datenqualität und -integrität MANAGEMENT/STEUERUNG REPORTING Interne Berichterstattung Externes Meldewesen/Offenlegungspflichten... 14

3 1. Einleitung Definition/Verantwortung Operationelles Risiko ist nach der Definition von Basel II die Gefahr von Verlusten, die in Folge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder in Folge externer Ereignisse eintreten. Diese Definition schließt Rechtsrisiken ein, beinhaltet aber nicht strategische Risiken oder Reputationsrisiken. Das Management und Controlling operationeller Risiken sind funktional und organisatorisch getrennte Aufgaben. Alle Unternehmensbereiche sind für das Risikomanagement und damit für die Implementierung geeigneter Maßnahmen (Vermeiden, Reduzieren, Übertragen, Akzeptieren) zuständig. Das Risikocontrolling ist dafür verantwortlich, dass Mindeststandards für Identifikation, Bewertung, Reporting und Überwachung definiert und eingehalten werden. Prüfungsvorgehensweise Die Prüfung der Wirksamkeit und Angemessenheit des Risikomanagements im Allgemeinen und des internen Kontrollsystems (IKS) im Besonderen ist nach MaRisk Bestandteil der risikoorientierten Prüfungsvorgehensweise. Hiermit ist ein wesentlicher Aspekt des Managements operationeller Risiken bereits durch Prüfungshandlungen abgedeckt; dies ist in den bestehenden Prüfungskonzeptionen und -leitfäden entsprechend verankert. Darüber hinausgehend soll dieser Leitfaden die Prüfung der Rahmenbedingungen, Verfahren und Methoden für das Risikomanagement und -controlling operationeller Risiken nach dem Standard-Ansatz (OpRisk-Prozess) sowie deren Umsetzung in den Unternehmensbereichen, unterstützen. Der Leitfaden ist unabhängig von der Frage einsetzbar, welche Stelle in welchem Konzernbereich welche Aufgabe wahrnimmt. Die notwendigen Funktionstrennungen zwischen den operativen Einheiten sowie den dezentralen und zentralen Risikocontrolling-Bereichen sind gesondert zu beurteilen. Weitere Informationen/Grundlagen Dem Leitfaden liegen die folgenden Richtlinien zugrunde: Sound Practices for the Management and Supervision of Operational Risk (Stand: Februar 2003) Internationale Konvergenz der Kapitalmessung und Eigenkapitalanforderungen (Juni 2004) Mindestanforderungen an das Risikomanagement (MaRisk) vom Verordnung über die angemessene Eigenkapitalausstattung (Solvabilität) von Instituten Solvabilitätsverordnung (SolvV) vom

4 2. Hauptteil 2.1. Rahmenwerk Die Grundlagen für die Steuerung und Überwachung von operationellen Risiken gliedern sich in zwei Bereiche: Kontrollsystem auf Instituts- bzw. Konzernebene: Das Risikocontrolling legt hierfür Standards verbindlich fest, die von den Organisationseinheiten zu implementieren sind. Individuelle Kontrollsysteme der einzelnen Organisationseinheiten: Über den konzernweiten Rahmen hinausgehend kann jede Einheit zusätzlich eigene Vorgehensweisen für sich festlegen. Zur Unterstützung stehen üblicherweise die folgenden Instrumente zur Verfügung: Schadensdatenbank Key Risk Indicators Self-Assessment 1 Risikomanagement-Infomations-System Daneben können die einzelnen Organisationseinheiten zusätzlich eigene Tools einsetzen. Prüfungsziel: Prüfen, ob eine schriftlich fixierte Ordnung des zentralen/dezentralen OpRisk-Prozesses umfassend und aktuell vorliegt sowie in Kraft gesetzt und den zuständigen Stellen bekannt ist; dies hat auch die Definition von OpRisk und die Abgrenzung zu anderen Risikoarten (wie z.b. Adressenausfallrisiken) zu umfassen verantwortliche Personen/Stellen schriftlich festgelegt sind; die Organisation des OpRisk-Prozesses der Komplexität, Größe und Entwicklung der Einheit angemessen ist; der OpRisk-Prozess effizient ist und Doppelarbeiten vermieden werden; die eingesetzten Tools und Systeme den OpRisk-Prozess angemessen unterstützen. Dies sollte von Fach- und IT-Prüfern gemeinsam abgedeckt werden. Unterlagen: Risikomanagement-Leitlinie/Risikohandbuch Arbeitsabläufe/-anweisungen, Stellenbeschreibungen, Korrespondenz Bankenaufsicht, Vorstandsbeschlüsse Beschreibung und Dokumentation der genutzten Systeme (einschließlich eigenentwickelter Tools und Spreadsheets) Nutzerhandbücher, Systemanweisungen, Notfallplanung, Berechtigungskonzepte Prüfungsschritte: 1 Kein zwingendes Element des Standard-Ansatzes

5 Rahmenbedingungen/Schriftlich fixierte Ordnung Sind die Rahmenbedingungen für den OpRisk-Prozess (u.a. Definition der Risikobewertungsmethoden und -verfahren, Definiton und Abgrenzung der Risikoarten, zugrunde liegende Annahmen, Beschreibung des Berichtswesens und der Berichtswege, Beschreibung der genutzten Tools/Systeme) ausreichend definiert und schriftlich verankert? Entsprechen die Regelungen den konzernweiten Vorgaben? Sind sie für einen sachverständigen Dritten ausreichend detailliert und verständlich? Wurden die Rahmenbedingungen vom Risikocontrolling (unabhängig) vorgegeben und vom Vorstand in Kraft gesetzt? Ist die Schriftlich fixierte Ordnung aktuell (einschließlich Policies, Beschreibungen von Methoden, Risikomessverfahren, Arbeitsabläufen, Systemdokumentationen u.ä.)? Sind alle relevanten Konzerneinheiten in den OpRisk-Prozess eingebunden? Sind die Verantwortlichkeiten aller am OpRisk-Prozess Beteiligten klar definiert und kommuniziert? Ist die Abgrenzung der Aufgaben zwischen den operativen Einheiten und dem Risikocontrolling geregelt? Sind Schnittstellen-Verantwortlichkeiten klar? Sind die Verantwortlichkeiten für Regelungen und Maßnahmen inkl. Implementierung und Durchführung schriftlich festgehalten? Sind die lokalen Richtlinien mit dem Risikocontrolling abgestimmt bzw. freigegeben? Entsprechen die Regelungen der Tochtergesellschaften den konzernweiten Vorgaben? Sind Ressourcen (quantitativ und qualitativ) für das Management operationeller Risiken vorhanden? Ist die Organisation des Risikomanagements der Komplexität, Größe und Entwicklung der Einheit angemessen? Wurden die verantwortlichen Personen in den Organisationseinheiten hinreichend geschult, so dass die Ziele des OpRisk-Prozesses, die Rollen der beteiligten Stellen und die genutzten Tools verstanden werden? Sind die im Unternehmensbereich implementierten OpRisk-Tools dokumentiert, bekannt und verstanden? Ist eine teilweise Anwendung des Standardansatzes und Basisindikatoransatzes vorgesehen? Falls ja, liegen begründete Ausnahmefälle für dieses Vorgehen vor? Hat die Aufsicht dem Vorgehen zugestimmt? Gibt es einen Zeitplan zur Ausweitung des Standardansatzes? Wie erfolgt die Bildung einer Institutsgruppe? Werden die qualitativen Anforderungen auf der Gruppenebene erfüllt? Wie werden Beteiligungen eingebunden? Erfolgt die Einbindung der Beteiligungen und damit der Umfang der zu erfüllenden qualitativen Anforderungen nach Größe und Risiko des Instituts? IT-Systeme 2 Ermöglichen die eingesetzten IT-Systeme eine vollständige und zeitnahe Steuerung und Überwachung der operationellen Risiken? Wie sind ggf. eigenentwickelte Systeme der Organisationseinheiten in die Gesamtrisikosteuerung und -überwachung eingebunden? Wie wird gewährleistet, dass die Informationen zeitnah in die Systeme des Risikocontrollings übergeleitet werden? Sind die Verantwortlichkeiten für die Überleitung und die Schnittstellen klar geregelt? 2 Weitere Prüfungsschritte zum Internen Kontrollsystem der eingesetzten IT-Systeme finden sich in den FAIT-Leitfäden.

6 2.2. Risikobewertung: Methoden und Verfahren Mit den vom Risikocontrolling entwickelten Methoden und Verfahren wird ein konzernweites Risikoprofil erstellt, das die zeitnahe und adäquate Steuerung der operationellen Risiken ermöglichen soll. Hierfür wurden aufeinander aufbauende Systeme entwickelt, die in ihrer Gesamtheit eine strukturierte, konsistente Erfassung und Bewertung der operationellen Risiken gewährleisten sollen. Dies sind im Einzelnen 3 : Schadensdatenbank Key Risk Indicators Self-Assessment Risikomanagement-Informations-System Die Ergebnisse dieser Risikobewertung müssen in das Risikomanagement einfließen, das die Grundlage für die Steuerung und Überwachung der operationellen Risiken bildet. Dies ist insbesondere von Bedeutung, da der Wertbeitrag des OpRisk-Prozesses für die Bank entscheidend davon abhängt, dass das Management auf Konzern- und Einheitsebene auf Basis der ermittelten Risikowerte sachgerechte Maßnahmen zur Zurückführung von Risiken oder zur Optimierung des Risiko-Ertrags-Verhältnisses der Einheit ergreift und konsequent umsetzt. Prüfungsziel: Prüfen. ob die eingesetzten Methoden und Verfahren zur Risikoerfassung und -bewertung eine strukturierte, konsistente, umfassende und zuverlässige Identifikation, Messung und Steuerung der operationellen Risiken gewährleisten; im Einklang mit den relevanten aufsichtsrechtlichen Anforderungen stehen. Unterlagen: Beschreibung der Bewertungsmethoden und -verfahren für operationelle Risiken Beschreibung der Schadensdatenbank Beschreibung der genutzten Key Risk Indicators sowie der ensprechenden Verfahren Beschreibung des Self-Assessment Prüfungsschritte: Key Risk Indicators Wurden Key Risk Indicators sinnvoll definiert, um ungünstige Entwicklungen in wesentlichen, risikobehafteten Prozessen rechtzeitig anzuzeigen? Wer ist hierfür verantwortlich? War das Risikocontrolling hierin eingebunden? Wie häufig werden die Key Risk Indicators ermittelt/ausgewertet? Lassen sich hieraus konkrete Maßnahmen für das Management operationeller Risiken ableiten? Wer ist für die Auswertung/Überwachung der Key Risk Indicators bzw. die Ableitung/Implementierung von Maßnahmen verantwortlich? Wie ist das Risikocontrolling eingebunden? 3 Weiterführende Informationen enthalten die System-Dokumentationen.

7 Mit welchen Tools werden die Key Risk Indicators gemessen/ausgewertet/überwacht? Spiegeln sich die Hinweise aus dem Self-Asessment in den Key Risk Indicators wider? Schadensdatenbank Werden die Schadensdaten von den Organisationseinheiten systematisch und vollständig erfasst? Erfolgt die Erfassung zeitnah nach dem Bekanntwerden des Schadensfalles oder wird sie bis zur vollständigen Aufklärung der Schadensfälle aufgeschoben? Werden die Ursachen zutreffend angegeben (Ereigniskategorien)? Wie wird dies vom Risikocontrolling überwacht? Werden vorgesehene bzw. eingeleitete Maßnahmen zur Schadensbehebung angegeben? Werden die definierten Maßnahmen z.b. durch das zentrale Risikocontrolling plausibilisiert? Erfolgt eine Überwachung der Maßnahmen in den Organisationseinheiten? Welche zentralen Vorgaben gibt es für die Kategorisierung von Schadensfällen? Werden diese Vorgaben bei der Erfassung der Risikoereignisse eingehalten? In welchen Systemen wird erfasst? Sofern die Organisationseinheiten eigenentwickelte Tools nutzen, wie wird gewährleistet, dass die Informationen in das vom Risikocontrolling entwickelte Tool zeitnah überspielt werden? Sind die Verantwortlichkeiten für die Schnittstelle klar geregelt? Wie wird die Konsistenz der verschiedenen Datenbanken sichergestellt? Wie werden die aufgetretenen Schadensfälle den aufsichtsrechtlich vorgegebenen Standard-Geschäftsfeldern zugeordnet? Ist die Zuordnung logisch, konsistent und nachvollziehbar? Wie werden Schadensfälle, die in zentralen Funktionen auftreten, behandelt? Wie werden sie umgelegt? Wie werden sie den aufsichtsrechtlich vorgegebenen Standard Geschäftsfeldern zugeordnet? Sind die Regelungen hierfür konzernweit konsistent und nachvollziehbar? Wie werden Schadensfälle in ausgelagerten Aktivitäten, die mehrere Organisationseinheiten/mehr als ein aufsichtsrechtlich vorgegebenes Standard Geschäftsfeld betreffen, behandelt und zugeordnet? Ist die Zuordnung logisch, konsistent und nachvollziehbar? Wie werden Schadensdaten bei bedeutenden organisatorischen Veränderungen (Fusion, Akquisition neuer Unternehmen, Eröffnung neuer Geschäftsfelder, Ausgliederung von Unternehmensteilen) skaliert? Sind die Regelungen hierfür ausreichend und nachvollziehbar? Ist die Basis der internen Schadensdaten ausreichend (Anzahl, Historie), um valide Risikobewertungen für alle Organisationseinheiten vornehmen zu können? Sind die Kriterien und Verfahren hierfür konsistent und nachvollziehbar? Wie ist das ad-hoc-reporting von bedeutenden Schadensfällen gegenüber der Geschäftsleitung geregelt? Existiert eine Anweisung zur Regelung der Verantwortlichkeiten? Self-Assessment Wie werden die Bewertungskriterien/Fragenblöcke für das Self-Assessment entwickelt? Welche Funktionsbereiche sind hierin eingebunden? Wie ist sichergestellt, dass anhand der Bewertungskriterien alle relevanten Risikoaspekte vollständig und in ausreichender Detailtiefe erfasst werden? Wie ist sichergestellt, dass die Bewertungskriterien/Frageblöcke eine über alle Einheiten hinweg konsistente Risiko-

8 einschätzung gewährleisten und somit eine Vergleichbarkeit/Aggreggierung ermöglichen? Wird eine Bewertung operationeller Risiken für alle risikorelevanten Geschäftsabläufe und -bereiche durchgeführt? Sind die zugrundeliegenden Prozesse ausreichend detailliert beschrieben, um eine sinnvolle Risikoeinschätzung vornehmen sowie konkrete Maßnahmen für das Management der operativen Risiken ableiten zu können? Wie wird gewährleistet, dass die Bewertung kompetent durchgeführt wird (Auswahl der Assessoren und Approver)? Ist das Risikocontrolling hierin eingebunden? Wie und durch wen werden Plausibilität und Konsistenz des Assessments geprüft? Lassen die Anzahl der beantworteten Fragebogen und die Angaben zur Verlustschätzung den Schluss zu, dass eine plausible, realistische Einschätzung abgegeben wurde (z.b. im Vergleich zu vergangenen Revisionsfeststellungen, Abgleich zu Verlustdaten)? Unter welchen Umständen/aus welchen Gründen werden Risikoeinschätzungen nachträglich korrigiert ( judgement overrides )? Wer darf diese Entscheidungen treffen? Wie oft kam das vor? Ist die getroffene Entscheidung vernünftig und nachvollziehbar? Sofern von den Organisationseinheiten (z.b.: Ausland) zusätzlich eigene Self- Assessments durchgeführt werden, ist das Risikocontrolling hierüber (auch über die Gründe und Ergebnisse) informiert? Wie werden aus den Risikoeinschätzungen Risikobeträge errechnet? Sind die zugrundeliegenden Methoden angemessen und nachvollziehbar? Wie werden risikomindernde Maßnahmen bei der Ermittlung der Risikobeträge berücksichtigt und angerechnet? Welche risikomindernden Maßnahmen sind hierfür zugelassen? Wie werden die zur Risikoberechnung verwendeten Parameter (z.b. loss rates, Risikoindikatoren, scale indicators) validiert? Wer ist hierfür zuständig? Wie oft erfolgt die Validierung? Sind die Methoden für die Validierung nachvollziehbar und ausreichend dokumentiert?

9 2.3. Eigenkapitalberechnung Auf Basis der Bruttoerträge aus den aufsichtsrechtlich vorgegebenen Standard- Geschäftsfeldern wird gemäß den Regelungen der SolvV der aufsichtsrechtliche Eigenkapitalbedarf ermittelt. Prüfungsziel: Prüfen, ob die eingesetzten Methoden und Verfahren eine strukturierte, konsistente und zuverlässige Eigenkapitalermittlung gewährleisten; im Einklang mit den relevanten aufsichtsrechtlichen Anforderungen stehen. Unterlagen: Dokumentation der Modelle und Berechnungsmethoden für die Eigenkapitalermittlung Prüfungsschritte: Wie und wie oft wird das Eigenkapital ermittelt? Erfolgt die Ermittlung nach einem konsistenten und nachvollziehbaren Verfahren? Erfüllen die Methoden zur Eigenkapitalermittlung die aufsichtsrechtlichen Anforderungen? Wie werden risikomindernde Maßnahmen bei der Ermittlung der Risikobeträge berücksichtigt und angerechnet? Welche risikomindernden Maßnahmen sind hierfür zugelassen? Stehen die Verfahren hierfür im Einklang mit den aufsichtsrechtlichen Anforderungen? Sind sie ausreichend und nachvollziehbar dokumentiert? Wurden die Erträge aus den Geschäftsfeldern zutreffend auf die Standard-Buissineslines verteilt? Gibt es hierfür eindeutige, nachvollziehbare Regelungen? Wurde der gesamte Bruttoertrag auf die acht aufsichtlichen Geschäftsfelder aufgeteilt? Werden Aktivitäten, die nicht unmittelbar einem Geschäftsfeld zugeordnet werden können, aber eine Aktivität unterstützen, die einem Geschäftsfeld zugeordnet werden kann, diesem Geschäftsfeld zugeordnet? Wie erfolgt die Ermittlung des relevanten Indikators? Wird ein abweichender Indikator im Standardansatz verwendet? Falls ja, werden die entsprechenden Anforderungen erfüllt?

10 2.4. Risikoüberwachung Analog zu Marktpreis- und Kreditrisiken müssen auch operationelle Risiken unabhängig ü- berwacht werden. Neben den Vorgaben der Methoden und Verfahren zur Risikomessung (vgl. 2.2), der neutralen Ermittlung der Risikobeträge (vgl. 2.3) und Berichterstattung (vgl. 2.5) beinhaltet dies die neutrale Überwachung der Umsetzung der OpRisk-Stategie und der Steuerung der operationellen Risiken. Prüfungsziel: Prüfen, ob das Risikoprofil für operationelle Risiken sowie deren Steuerung neutral überwacht wird; die zur Risikoermittlung notwendigen Daten vollständig, in ausreichender Qualität und zeitnah vorliegen; die Methoden und Verfahren zur Risikobewertung regelmäßig auf ihre Angemessenheit überprüft werden. Unterlagen: Beschreibung der Schadensdatenbank Beschreibung der genutzten Key Risk Indicators sowie der entsprechenden Verfahren Datenbankauswertungen Ergebnisse des Self-Assessments Prüfungsschritte: Ausgestaltung der Überwachungsfunktion Wie sind die Überwachungsaufgaben vom Risikocontrolling definiert und ausgestaltet? Wie sind die Verantwortlichkeiten zwischen den Managementebenen der Organisationseinheiten und dem Risikocontrolling abgegrenzt? Werden angemessene Steuerungsmaßnahmen zur Verringerung der Schadenspotentiale, Schadenshäufigkeiten und zur Verbesserung der Qualität der Prozesse zeitnah entwickelt und umgesetzt? Wer ist hierfür verantwortlich? Wie und wann/in welchen Fällen ist das Risikocontrolling in die Entwicklung der Maßnahmen einbezogen? Wie werden die Kosten einer risikoverringernden Maßnahme ermittelt? Sind die getroffenen Entscheidungen (ggf. auch bewusste Entscheidung, keine Maßnahmen einzuleiten) hinsichtlich des Verhältnisses von Risiko(-kosten) und Kosten einer Verringerung plausibel? Wie ist das Risikocontrolling hierin eingebunden? Wird die Umsetzung der Maßnahmen regelmäßig nachgehalten und der Status an das Management der Einheit berichtet? Wie wird dies vom Risikocontrolling überwacht? Welche Eskalationsmechanismen greifen bei Meinungsverschiedenheiten zwischen den Organisationseinheiten und dem Risikocontrolling hinsichtlich Notwendigkeit, Art und Umfang der einzuleitenden risikoverringernden Maßnahmen? Wann/in welchen Fällen nimmt das Risikocontrolling eine eigenständige Bewertung von identifizierten Risikopotenzialen vor? Wie ist die weitere Vorgehensweise, falls dies zu einer abweichenden Beurteilung gegenüber der Einschätzung der jeweiligen Organisationseinheit führt?

11 Wie ist das Risikocontrolling in die Analyse der eingetretenen Verluste sowie der abgeleiteten Maßnahmen eingebunden? Wie ist die weitere Vorgehensweise bei einer abweichenden Beurteilung gegenüber der Einschätzung der jeweiligen Organisationseinheit? In welchen Fällen nimmt das Risikocontrolling eigenständige Untersuchungen vor? Wie erfolgt die Kommunikation der Risikocontrolling-Ergebnisse an die Revision? Werden die Meldevorgaben der SolvV beachtet? Unter welchen Umständen/aus welchen Gründen werden Risikoeinschätzungen oder geplante/eingeleitete Maßnahmen nachträglich korrigiert? Wer darf diese Entscheidungen treffen? Wie oft kam das vor? Ist die getroffene Entscheidung vernünftig und nachvollziehbar? Wie überprüft das Risikocontrolling die Qualität und Funktionsfähigkeit der Reportingprozesse, Kommunikationswege und Informationsweitergabe? Sicherstellung der Datenqualität und -integrität Wie wird sichergestellt, dass alle zur Risikoermittlung notwendigen Daten vollständig, zeitnah und in ausreichender Qualität vorliegen? Wie wird die Vollständigkeit der Schadensdaten überwacht/plausibilisiert? Wann bzw. wie oft wird dies durchgeführt? Lassen sich die in den Schadensdatenbanken erfassten Vorfälle gegen die einschlägigen internen Verlust-Konten verifizieren? Sind die auf einschlägigen internen Schadenskonten gebuchten Vorgänge vollständig erfasst? Welche Maßnahmen werden zur Verbesserung der Datenqualität eingeleitet? Wann bzw. aus welchem Anlass? Sind diese nachvollziehbar dokumentiert? Wie wird deren Wirksamkeit überprüft/nachgehalten? Sofern die Organisationseinheiten eigenentwickelte Tools nutzen, wie wird gewährleistet, dass die Informationen zeitnah in die Systeme des Riosikocontrollings übergeleitet werden? Sind die Verantwortlichkeiten für die Überleitung und die Schnittstellen klar geregelt? Wie wird die Konsistenz der verschiedenen Datenbanken sichergestellt? Wie oft erfolgen entsprechende Abstimmungen? Wer ist hierfür verantwortlich? Wie wird die Richtigkeit der im Self-Assessment gemachten Risikoeinschätzungen überprüft/plausibilisiert? Erfolgt ein regelmäßiges Backtesting gegen die gesammelten Verlustdaten? Erfolgt ein Abgleich gegen Aussagen in den Revisionsberichten oder die Entwicklung der Frühwarnindikatoren? Wird dies für alle Einheiten durchgeführt? Wie werden Diskrepanzen zwischen Self-Assessment und Verlustdaten/ Revisionsfeststellungen/anderen Risikoinformationen behandelt und gelöst? Welche Maßnahmen greifen bei zu optimistischen/ geschönten Risikoeinschätzungen?

12 2.5. Management/Steuerung Ausschlaggebend für den Wertbeitrag des Kontrollsystems für operative Risiken für die Bank ist, dass das Management auf Konzern- und Einheitsebene auf Basis der ermittelten Risikowerte sachgerechte Maßnahmen zur Zurückführung von Risiken konsequent umsetzt (Risikomanagement-Informations-System). Prüfungsziel: Prüfen, ob die Organisationseinheit durch Steuerungsmaßnahmen angemessen auf ermittelte operationelle Risiken reagiert und die Umsetzung von Steuerungsmaßnahmen sowie deren Wirksamkeit angemessen nachverfolgt wird. Prüfungsschritte: Werden die ermittelten Risikowerte von den geeigneten Stellen gründlich, regelmäßig und zeitnah analysiert, Maßnahmen zur Verringerung von Risiken vorgeschlagen, genehmigt und umgesetzt? Wer ist hierfür verantwortlich? Wann/in welchen Fällen wird das Risikocontrolling eingebunden? Wie werden die Kosten einer risikoverringernden Maßnahme ermittelt? Sind die getroffenen Entscheidungen (ggf. auch bewusste Entscheidung, keine Maßnahmen einzuleiten) hinsichtlich des Verhältnisses von Risiko(-kosten) und Kosten einer Verringerung plausibel? Werden angemessene Steuerungsmaßnahmen zur Verringerung der Schadenspotenziale, Schadenshäufigkeiten und zur Verbesserung der Qualität zeitnah ergriffen? Werden ggf. Szenarioanalysen/Worst Case-Betrachtungen durchgeführt? Wie ist die Aufgabenabgrenzung zum Risikocontrolling definiert? War das Risikocontrolling in die Definition der Szenarien eingebunden? Wie fließen die Ergebnisse der Szenarioanalysen in die Steuerung der operativen Risiken ein (z.b. Einleitung von Maßnahmen zur Risikominderung, Berücksichtigung in der Notfallplanung)? Wie und durch wen erfolgt die Maßnahmenüberwachung? Erfolgt eine Überwachung durch das Management der operativen Einheit? Wie sind die Verantwortlichkeiten zwischen den Managementebenen der Organisationseinheit und dem Risikocontrolling abgegrenzt? Wird die Umsetzung der Maßnahmen regelmäßig nachgehalten und der Status an das Management der Einheit berichtet?

13 2.6. Reporting Die interne Berichterstattung zu operationellen Risiken soll gewährleisten, dass das Management bis einschließlich des Vorstands über operationelle Risiken zeitnah informiert ist, um rechtzeitig und adäquat reagieren zu können. Daneben sind Angaben zum Eigenkapital an die Aufsichtsbehörden (v.a. BaFin) zu berichten sowie im Einklang mit den durch Basel II definierten Anforderungen qualitative und quantitative Angaben zu den genutzten Methoden und Verfahren im OpRisk-Prozess offenzulegen. Prüfungsziel: Prüfen, ob eine angemessene, unabhängige Berichterstattung über operationelle Risiken an die verschiedenen Managementebenen erfolgt; externe Berichts- und Offenlegungspflichten eingehalten werden. Unterlagen: Regelmäßige Berichte über operationelle Risiken an die Organisationseinheiten sowie den Vorstand - Berichte über eingetretene Schadensfälle - Berichte zu Key Risk Indicators - Berichte über das gebundene Eigenkapital Ad hoc-berichte zu neu aufgetretenen gravierenden Schadenspotenzialen Definition der Eskalationsstufen Externes Berichtswesen Angaben zum OpRisk-Prozess im Geschäftsbericht (Offenlegungspflichten) Prüfungsschritte: Interne Berichterstattung Gibt es eine in Umfang, Aussagekraft und Häufigkeit angemessene Berichterstattung an die Organisationseinheiten, den Vorstand und den Aufsichtsrat? Welche Berichte werden erstellt? Bestehen unterschiedliche Betrags-/Relevanzgrenzen für die einzelnen Berichtsempfänger? Wie zeitnah werden die Berichte erstellt/verteilt? Auf welchen Daten beruhen die Berichte? Wie ist die inhaltliche Richtigkeit der Berichte sichergestellt (z.b. Vier-Augen-Prinzip)? Wie ist sichergestellt, dass das Risikocontrolling zeitnah die für eine sinnvolle Berichterstattung notwendigen Informationen aus den Organisationseinheiten erhält? Sind hierfür über die Datenerfassung in den OpRisk-Tools hinausgehende Informationen/Berichte erforderlich? Wird regelmäßig über bereits ergriffene bzw. geplante Maßnahmen zur Reduktion operationeller Risiken und den jeweiligen Status an das Risikocontrolling berichtet? Ermöglichen die Berichte den verantwortlichen Stellen rechtzeitig Risikopotenziale bzw. Schadenshöhe und Ursachen zu erkennen? Können hieraus sinnvoll Maßnahmen für die

14 Steuerung der operativen Risiken abgeleitet werden? Wird die Risikoauswertung und Schwachstellenanalyse regelmäßig durchgeführt und mit dem Management diskutiert? Werden die Berichtsempfänger zeitnah über hohe operationelle Risiken informiert, um noch rechtzeitig reagieren zu können? Welche Betragsgrenzen/Eskalationsstufen sind hierfür definiert? Sind die vorgegebenen Eskalationsstufen angemessen? Werden sie eingehalten, was wird tatsächlich berichtet? Wird die Revision informiert? Werden die Berichtsempfänger zeitnah über eingetretene Schadensfälle informiert? Welche Betragsgrenzen/Eskalationsstufen sind hierfür definiert? Sind die vorgegebenen Eskalationsstufen angemessen? Werden sie eingehalten, was wird tatsächlich berichtet? Wird die Revision informiert, falls erforderlich? Wird der zuständige Geschäftsleiter unverzüglich über besondere gravierende Vorkommnisse informiert, zumindest über wiederholte oder gravierende Verletzungen (aufsichts-)rechtlicher Anforderungen oder interner Anweisungen sowie über besondere marktbezogene Ereignisse? Wer erhält die Berichte zum gebundenen Eigenkapital? Wie häufig werden diese Berichte erstellt? Sind alle Organisationseinheiten im Berichtswesen enthalten/abgedeckt? Sind die verschiedenen Berichte inhaltlich konsistent? Externes Meldewesen/Offenlegungspflichten Wer ist für das externe Meldewesen verantwortlich? Wie ist der Informationsfluss zwischen den Einheiten geregelt, um eine zeitnahe Berichterstattung/Einhaltung der gesetzten Fristen zu gewährleisten? Werden die extern erforderlichen Meldungen (z.b. zum ermittelten regulatorischen Eigenkapital) zeitnah/zu den geforderten Terminen erstellt? Wie ist die inhaltliche Richtigkeit der Meldungen sichergestellt?