Validierungsprozess BCBS 239 Framework

Transkript

1 Validierungsprozess BCBS 239 Framework Thomas Landmann Mit der Veröffentlichung der 14 Grundsätze zur Risikodatenaggregation und des Reporting des Baseler Ausschusses für Bankenaufsicht (Januar 2013) wurden aufsichtliche Anforderungen an Governance, Infrastruktur, Datenaggregation und Risikoberichtswesen in Banken formuliert (BCBS 239). Die aufgestellten allgemeingültigen Grundsätze bieten trotz alledem die Möglichkeit einer individuellen Ausgestaltung in den einzelnen Instituten unter Würdigung der vorhandenen Bedingungen. Ein Großteil der Forderungen ist bereits im 25a KWG oder in den MaRisk verankert. Grundsätzlich neu ist der allumfassende Ansatz, der sämtliche Aspekte der o. g. Bereiche berücksichtigt.

2 BCBS 239 Risikoberichterstattung ohne Wenn und Aber IT-Architektur und Datenmanagement sind wesentlich für ein funktionierendes Risikomanagement Die Einhaltung der aufsichtlichen Grundsätze ist regelmäßig hinsichtlich der inhaltlichen Vollständigkeit, Datenqualität und Prozesse (Framework) zu überprüfen; festgestellter Bedarf zur Erweiterung ist an das Management zu adressieren. Die Hauptforderung von BCBS 239 ist die Umsetzung einer empfängerorientierten, exakten, vollständigen, stabilen und vor allem zeitnahen Bereitstellung von Risikoinformationen. Nur so ist gewährleistet, dass Risiken frühzeitig erkannt werden und in die Beurteilung der Risikolage der Bank und den daraus resultierenden Entscheidungen im Sinne der Risikovermeidung und Risikoprävention einfließen können. Die vollständige Einhaltung der Grundsätze gewährleistet eine umfassende und vollständige Abbildung der tatsächlichen Risikosituation der Bank und bildet das Fundament für ein wirksames Risikomanagement, auf dessen Basis die Bank die Risikotragfähigkeit sicherzustellen hat. Die 14 Grundsätze können in vier Themenbereiche gebündelt werden: Governance (Unternehmensführung), Infrastruktur (1-2) Risiko-Daten-Aggregation (3-6) Risikoberichtswesen (7-11) Aufsichtliche Überprüfung (12-14) 1 Die ambitionierte Timeline zur Umsetzung der BCBS-239-Grundsätze erfordert ein prävalentes und pragmatisches Vorgehen. Die etablierte Risikosteuerung muss angepasst, korrigiert und neu strukturiert werden. Abbildung 1: Abdeckung BCBS 239 Die Gewährleistung einer regelmäßigen unabhängigen Validierung ist nicht abschließend geklärt. BCBS 239 Grundsatz (1) Governance fordert eine regelmäßige unabhängige Validierung des (Gesamt-)Frameworks, um zu gewährleisten, dass sämtliche Prozesse der Aggregation von Risikodaten und der Risikoberichterstattung angemessen und vollständig und die Grundsätze vollumfänglich eingehalten werden. Die unabhängige Validierung ist mit den übrigen Maßnahmen der unabhängigen Prüfung zu koordinieren und zu verbinden 2 Es ist vorgesehen, dass die sogenannte zweite Verteidigungslinie (Risiko-Controlling, Compliance-Funktion) als Bestandteil des internen Kontrollsystems einer Bank diese Aufgabe übernimmt. 1 Die Bank - BCBS 239 Regulatorische Anforderung und effiziente Umsetzung, Wilhelm Niehoff, Stefan Hirschmann (Hrsg.), Bank Verlag GmbH Baseler Ausschuss für Bankenaufsicht Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung Januar 2013 /.. Seite 2 von 5

3 Diese Forderung an sich, aber insbesondere die Art und Weise, eine solche unabhängige Validierungsfunktion einzurichten und mit adäquaten Kompetenzen auszustatten, wird derzeit in den Banken ergebnisoffen diskutiert. Grundsätzlich besteht derzeit die Tendenz, diese Funktion an das Risiko-Controlling zu koppeln. Ein Großteil der BCBS-239-Forderungen ist im 25a KWG und in den MaRisk verankert. Die MaRisk sind somit im eigentlichen Sinne die verbindliche Auslegung des 25a Abs. 1 KWG. Gemäß MaRisk AT1 Z1 umfasst das interne Kontrollsystem die Regelungen zur Aufbau- und Ablauforganisation, die Prozesse zur Identifizierung, Beurteilung, Steuerung, Überwachung sowie der Kommunikation der Risiken (Risikosteuerungs- und -controllingprozesse), eine Risikocontrolling-Funktion und eine Compliance-Funktion. Internes Kontrollsystem (IKS) praxiserprobt und funktionsfähig Das Interne Kontrollsystem (IKS) 3 ist in diesem Kontext ein wirksames und funktionsfähiges Instrument, um die vollständige Einhaltung der BCBS-239-Grundsätze zu prüfen und zu kontrollieren. Der sog. IKS-Regelkreis wird permanent justiert und stellt sicher, dass die aktuellen gesetzlichen oder sonstigen regulatorischen Bestimmungen beachtet werden. Die Validierung des BCBS-239- (Gesamt-)Frameworks könnte im IKS- Regelkreis durch Definition entsprechender Schlüsselkontrollen berücksichtigt und verankert werden. Da der IKS-Regelkreis jährlich durchlaufen wird, ist er ein geeignetes Instrument, um die notwendige Transparenz in Bezug auf die vollständige Erfüllung der BCBS-239- Grundsätze zu schaffen. Die dokumentierten Ergebnisse werden regelmäßig in den Gremien - u. a. Aufsichtsrat, Prüfungsausschuss, Vorstand - vorgestellt und verabschiedet. Zunehmende Verantwortung des Abschlussprüfers Gleichzeitig ist in 11 Prüfungsberichtsverordnung (PrüfbV) geregelt, dass der Abschlussprüfer die Angemessenheit und Wirksamkeit des Risikomanagements und die Ordnungsmäßigkeit der Geschäftsorganisation gemäß 25a Absatz 1 Satz 3 des Kreditwesengesetzes sowie die weiteren Anforderungen an die Ordnungsmäßigkeit der Geschäftsorganisation gemäß 25a Absatz 1 Satz 6 Nummer 1 des Kreditwesengesetzes unter Berücksichtigung der Komplexität und des Risikogehaltes der betriebenen Geschäfte zu beurteilen hat. 4 D. h., die Einhaltung der MaRisk wird stets vom Abschlussprüfer im Rahmen der Jahresabschlussprüfung geprüft und ist weiterhin Gegenstand von Sonderprüfungen nach 44 Abs. 1 KWG. Insofern ist die Prüfung und Wertung der dokumentierten Ergebnisse des IKS-Regelkreises unmittelbarer Bestandteil der Prüfungshandlungen des Abschlussprüfers und des Abschlussberichts, welcher durch das oberste Verwaltungsorgan und die Geschäftsleitung der Bank verabschiedet wird. 3 Das Interne Kontrollsystem (IKS) umfasst die Prüfung und Kontrolle der Organisation sowie die Gesamtheit aller aufeinander abgestimmten innerbetrieblichen Grundsätze, Verfahren und Maßnahmen im Unternehmen. 4 Konsultation 09/ Entwurf der neuen Prüfungsberichtsverordnung (PrüfbV 11) /.. Seite 3 von 5

4 Auf dieser Basis werden institutseigene Ziele des internen Kontrollsystems formuliert und definiert (u. a. Effektivität- und Effizienz- Prozesse, Erfüllung der gültigen Gesetze und Vorschriften, Verlässlichkeit, etc.). Abbildung 2: Ablaufschema Validierung BCBS 239 im IKS-Regelkreis Bereits heute ist es gängige Praxis, das IKS mit dem in der Bank etablierten Risikomanagementsystem zur Sicherstellung einer ordnungsgemäßen Finanzberichterstattung eng zu verbinden. Dadurch wird möglichen Risiken mit gefährdender Wirkung auf die Finanzberichterstattung frühzeitig entgegengewirkt. Viele Banken gestalten das interne Kontrollsystem auf der Grundlage des vom Committee of Sponsoring Organizations of the Treadway Commission (COSO) entwickelten und international gültigen Rahmenwerks. Die Erweiterung des IKS zur Gewährleistung der Ordnungsmäßigkeit, Korrektheit und Vollständigkeit der Umsetzung der BCBS 239 wäre ein Schritt in die richtige Richtung, um die Risiko- und Finanzberichterstattung zu harmonisieren. Bestehende Prozessabläufe optimieren versus Strukturen kostenintensiv erweitern Diese Vorgehensweise ist schlank in bestehende Prozesslandschaften (IKS) implementierbar. Insofern wird eine kostenintensive Strukturerweiterung der Risiko-Controlling- Funktion vermieden. Des Weiteren können Prozess-, Kontrollmanagement und Compliance noch besser aufeinander abgestimmt und gesteuert sowie gleichzeitig die Nachhaltigkeit der Business-Performance verbessert werden. Abbildung 3: COSO-Würfel: Grundgerüst für das Konzept /.. Seite 4 von 5

5 Links zu den zitierten Papieren: BCBS 239, Principles for effective risk data aggregation and risk reporting, Januar Konsultation - Entwurf der neuen Prüfungsberichtsverordnung (PrüfbV 11), September chungen/de/konsultation/2014/kon_0914_kapru efberv_as.html Kreditwesengesetz (KWG) cht/de/gesetz/kwg_ba.html Mindestanforderungen an das Risikomanagement - MaRisk gen/de/konsultation/2014/kon_0914 Ihre Ansprechpartner: Dr. Selvam Dhamotharan Senior Manager Thomas Landmann Managing Consultant Wilhelm-Leuschner-Straße Frankfurt Telefon: Mobil: selvam.dhamotharan@ppi.de Wilhelm-Leuschner-Straße Frankfurt Telefon: Mobil: thomas.landmann@ppi.de PPI AG Die PPI AG ist seit 1984 erfolgreich für die Finanzbranche tätig in den Geschäftsfeldern Consulting, Software Factory und Electronic-Banking- Produkte. Im ebanking bietet PPI wirtschaftliche Standardprodukte für die sichere Kommunikation zwischen Kunde und Bank. Das Consulting umfasst strategische, bankfachliche und IT-Beratung. In der Software Factory stellt PPI durch professionelle Vorgehensweise eine hohe Qualität und absolute Budgettreue sicher. Kontaktinformationen PPI AG Moorfuhrtweg 13 D Hamburg Tel.: Fax: info@ppi.de Seite 5 von 5