Risk-News Aktuelle Informationen rund ums Risikomanagement

Transkript

1 Enterprise Risk Services 1/2013 Risk-News Aktuelle Informationen rund ums Risikomanagement Liebe Leser, die Folgen der Finanz- und daraus resultierenden Wirtschaftskrise der letzten Jahre haben uns eines bedeutenden Umstandes sehr bewusst werden lassen: Der Bankenund Finanzdienstleistungssektor ist deutlich in das Visier der internationalen und nationalen Aufsichtsbehörden gerückt. Diese haben weltweit eine hinsichtlich des Umfangs beispielslose, national wie auch international getriebene Flut regulatorischer Reformen und Initiativen ins Rollen gebracht, die zusammenfassend vor allem Folgendes zum Ziel hat: die Schaffung von Transparenz, Sicherheit und Vertrauen im bislang undurchsichtigen und bedrohlich anmutende Geflecht der längst nicht mehr lokal begrenzten, sondern grenzüberschreitenden Kapitalmärkte. Der Banken- und Finanzdienstleistungssektor muss sich darüber im Klaren sein, dass die mit einer regulatorisch getriebenen Umsetzungsflut verbundenen finanziellen, operativen und auch technologischen Risiken für ihre Aufbau- und Ablauforganisation nicht wegdiskutiert werden können. Bei der schier immensen Flut an Reformen und Initiativen ist das Risiko, einzelne oder umfassende, nicht immer sofort ersichtliche Interdependenzen zu übersehen, groß. Vielen Lesern werden die aus den entsprechenden Fragestellungen resultierenden Probleme, deren Auswirkung auf die eigene Aufbau- und Ablauforganisation unter dem Spannungsfeld Governance, Risk and Compliance (GRC) und deren trianguläre wechselwirkende Beziehung bekannt sein. Dr. Hans Röhm Einige ausgewählte regulatorische Reformen und Initiativen sowie die damit durchaus auch vorhandenen Chancen, aber auch Risiken für Ihre Aufbau- und Ablauforganisation möchten wir Ihnen, liebe Leser, in der aktuellen Ausgabe der Risk-News näher bringen. Ich hoffe, dass Sie für sich neue Impulse für Ihre Arbeit erhalten, und wünsche Ihnen eine spannende Lektüre. Ihr Hans Röhm

2 EMIR Licht im Schattendasein der OTC- Derivate Heiko Christmann Tel: +49 (0) Abb. 1 Wesentliche Regelungsbereiche von EMIR Clearingpflicht Finanzunternehmen und Nicht-Finanzunternehmen Derivatekategorien Anforderung an zentrale Gegenparteien Erhöhte Anforderungen Prüfungspflicht bei Überschreitung der Schwellenwerte Umfangreiche Pflichten und Anforderungen resultieren aus der stärkeren Regulierung des intransparenten OTC- Derivatemarktes durch die European Market Infrastructure Regulation, kurz EMIR. Die Verordnung richtet sich nicht nur an Unternehmen der Finanzbranche (finanzielle Gegenparteien, FC), sondern vielmehr an alle Marktteilnehmer mit offenen Derivatepositionen. Dadurch sind erstmals auch Unternehmen der Realwirtschaft von der Finanzmarktregulierung betroffen. Unabhängig von den Volumina oder der Stückzahl der abgeschlossenen Derivate kommen auf die betroffenen Unternehmen umfangreiche Neuerungen bezüglich der Ausgestaltung des Risiko- und Sicherheitenmanagements sowie eine Meldepflicht über alle abgeschlossenen Derivatepositionen zu. Die neue Clearingpflicht für OTC-Derivate über zentrale Gegenparteien betrifft dagegen nur Unternehmen der Finanzbranche und nicht-finanzielle Gegenparteien mit sehr hohen offenen Beständen. Durch EMIR wird sich der Handel von OTC-Derivaten für alle Marktteilnehmer grundlegend verändern. In der Praxis zeigt sich, dass insbesondere die Treasury- und Finanzabteilungen der nicht-finanziellen Unternehmen (NFC) unterschiedlich gut auf die umfangreichen Anforderungen vorbereitet sind. Die Notwendigkeit der Anpassung der Prozesse, Strukturen und Systeme wirkt für alle Marktteilnehmer gleichermaßen und muss frühzeitig in Angriff genommen werden, da die Einhaltung der EMIR-Regularien zukünftig in Deutschland einer externen Prüfung unterliegt. EMIR (dt. Ausführungsgesetz) Reporting an Transaktionsregister Geclearte und nicht geclearte OTC-Geschäfte Gegenparteien und CCP Abschluss, Änderung, Beendigung Austausch und Management von Sicherheiten Bewertung Adressenausfallrisiken Bei der Umsetzung der EMIR-Regularien gilt es, keine Zeit zu verlieren. Erste Anforderungen in Bezug auf die Risikominderungstechniken für nicht durch einen zentralen Kontrahenten geclearte OTC-Derivate sowie das Monitoring der Clearingschwelle für NFCs gelten bereits mit dem Inkrafttreten der zugehörigen technischen Regulierungsstandards seit dem 15. März Weitere Anforderungen hinsichtlich der Meldung an Transaktionsregister, der Clearingpflicht sowie des Risikomanagements werden noch in diesem Jahr bzw. Anfang 2014 von den betroffenen Unternehmen umgesetzt werden müssen. Bereits heute können zudem weitere Schritte wie z.b. die Beantragung eines Legal Entity Identifier (LEI) einer eindeutigen Identifizierung juristischer Personen, die im Rahmen der Meldung an die Transaktionsregister benötigt wird, in Angriff genommen werden. Clearingpflicht Ein zentrales Clearing clearingfähiger OTC-Derivate über einen zentralen Kontrahenten ist ausschließlich für Geschäfte zwischen finanziellen Gegenparteien sowie nicht-finanziellen Gegenparteien, sofern deren offene Derivate-Nominalvolumina jeweils vorgegebene Schwellenwerte für bestimmte Derivatekategorien überschreiten, relevant. 1 Während FCs und nicht-finanzielle Gegenparteien oberhalb der Clearingschwelle (NFC+) die Anbindung an einen zentralen Kontrahenten mit den damit verbundenen Vertragsverhandlungen sowie Anpassungen an der System- und Prozesslandschaft sicherstellen müssen, gilt es für nicht-finanzielle Gegenparteien unterhalb der Clearingschwelle (NFC-), einen Prozess zur Überwachung der Clearingschwellenberechnung zu etablieren. In die Berechnung der Clearingschwelle, welche separat für die einzelnen Derivatekategorien durchzuführen ist, sind grundsätzlich die gesamten Bestände an OTC-Derivaten innerhalb eines Konzerns einzubeziehen. Hierbei ist es entscheidend, für jede Klasse von Finanzgeschäften einzeln die Einstufung als OTC-Derivat im Sinne der EMIR zu prüfen. Die Unternehmen können jedoch solche Derivate, die zur Minderung der Risiken aus der Geschäftstätigkeit oder dem Liquiditäts- und Finanzmanagement abgeschlossen werden, aus der Bemessungsgrundlage herausrechnen. Risikomanagement Management von Sicherheiten 1 Die Clearingschwelle beträgt für Kredit- und Aktienderivate 1 Mrd. EUR. Zins- und Währungsderivate unterliegen ebenso wie Derivate auf Rohstoffe und weitere Underlyings ab einem Nominalvolumen von 3 Mrd. EUR der Clearingpflicht. 2

3 Abb. 2 Verfahren zur Berechnung der Clearingschwelle OTC-Bestand (Summe der Einzelunternehmen) Entity 1 Gruppenebene Entity 2 Entity 3 OTC-Bestand A OTC-Bestand B OTC-Bestand C - Gruppeninterne OTC-Derivate zur messbaren Reduzierung von Risiken - OTC-Derivate zur Sicherung der Finanzierung - OTC-Derivate zur Absicherung operativer Finanzrisiken = Bemessungsgrundlage Clearingschwelle Erstmalige Überschreitung der Clearingschwelle einer Assetklasse Meldung an ESMA und BaFin Monitoring Überschreiten gleitende Durchschnittspositionen (30 Tage) den Schwellenwert: Meldung an ESMA und BaFin Aufgrund der in Zukunft ausgeweiteten Anforderungen an das Risiko- und Sicherheitenmanagement für nicht über einen zentralen Kontrahenten gehandelte OTC- Derivate sowie den erwarteten Änderungen aus MiFID II (Entwurf einer Neufassung der EU-Richtlinie über Märkte für Finanzinstrumente) kann es für die betroffenen Unternehmen der Realwirtschaft zudem schon heute überlegenswert sein, ihre Derivatebestände auch im Falle einer Unterschreitung der Clearingschwelle frühzeitig freiwillig zu clearen. Reporting Alle Gegenparteien von Derivaten sind verpflichtet, Einzelheiten ihrer Derivatekontrakte ohne Mehrfachmeldungen (je Derivat darf nur eine Meldung erfolgen) an ein Transaktionsregister zu melden. Der Beginn der Meldepflicht richtet sich nach der Derivatekategorie sowie dem Registrierungs- und Zulassungsprozess der Transaktionsregister. Der aktualisierte Zeitplan der ESMA (European Securities and Markets Authority) vom 13. September 2013 schließt die Registrierung eines ersten Transaktionsregisters vor November 2013 aus. 2 Dementsprechend wird die Meldepflicht für Kreditund Zinsderivate nicht wie ursprünglich vorgesehen dieses Jahr in Kraft treten, sondern zusammen mit der Reportingpflicht für die übrigen Derivatekategorien frühestens zum 12. Februar Die Anforderungen an das Reporting sind vielfältig und stellen gerade die nicht-finanziellen Gegenparteien, welche bislang keine vergleichbaren Pflichten zu erfüllen hatten, vor große Herausforderungen. Im Rahmen einer geschäftspolitischen Entscheidung ist unter Berücksichtigung von Aufwand, Kosten und Abhängigkeiten abzuwägen, ob die Meldepflicht an den Vertragspartner oder einen Dritten delegiert werden soll bzw. die eigenständige Durchführung des Reportings präferiert wird. Die Einrichtung eines Meldeprozesses erfordert in jedem Fall eine sinnvoll strukturierte und ggf. unter Berücksichtigung weiterer Meldeanforderungen als Einheit geplante Datenlandschaft. Frühzeitig sollten die Unternehmen prüfen, welche Angaben bereits im Handelssystem enthalten sind und welche Daten aus anderen Systemen importiert werden müssen. Ergänzend führt EMIR neue, heute noch nicht verfügbare Meldeformate wie den LEI sowie einheitliche Produkt- und mit der Gegenpartei abzustimmende Transaktions-IDs ein. Neben der Notwendigkeit, zusätzliche Datenfelder in die IT-Systeme zu integrieren, resultiert daraus insbesondere ein aufwendiger Abstimmungsprozess mit den jeweiligen Kontrahenten. Risikominderungstechniken Zur Bemessung, Beobachtung und Minderung der operationellen sowie Gegenparteiausfallrisiken sieht EMIR für nicht durch einen zentralen Kontrahenten geclearte OTC-Derivate entsprechende Risikominderungsverfahren vor. Schon heute gilt aus Sicht von nicht-finanziellen Gegenparteien für alle externen sowie insbesondere auch internen Credit Default Swaps und Zinsswaps eine 3

4 Frist von T+5 (für alle anderen Derivatekontrakte gilt T+7) für die Bestätigung des Geschäftsabschlusses möglichst auf elektronischem Wege, d.h. eine Bestätigungsfrist von maximal fünf bzw. sieben Geschäftstagen nach Abschluss des Derivatekontrakts. Diese Fristen werden bis zum 31. August 2014 schrittweise auf T+2 reduziert. Zudem sollen zukünftig die betroffenen Finanz- und Nicht-Finanzunternehmen anhand formalisierter Prozesse mit sämtlichen Gegenparteien schriftlich oder auf elektronischem Wege Bedingungen zur Abstimmung der abgeschlossenen OTC-Derivate sowie zur Feststellung, Aufzeichnung und Überwachung von Streitigkeiten vereinbaren. Während der Portfolioabgleich von NFCmit mehr als 100 OTC-Derivaten quartalsweise durchzuführen ist, genügt es für Unternehmen mit weniger Derivaten, jährlich ihre Derivatebestände abzugleichen. Für finanzielle Gegenparteien sowie NFC+ gelten in Abhängigkeit vom Derivatebestand gegenüber einer anderen Gegenpartei Anforderungen zum täglichen, wöchentlichen bzw. quartalsweisen Portfolioabgleich. Die Abstimmung muss die zentralen Handelsbedingungen sämtlicher Transaktionen abdecken und die aktuelle Marktbewertung beinhalten. Sofern gegenüber einer anderen Gegenpartei mehr als 500 OTC-Kontrakte ausstehend sind, ist mit dem Ziel, das Gegenparteiausfallrisiko zu reduzieren, zudem regelmäßig und mindestens zweimal jährlich eine Portfoliokomprimierung, d.h. falls möglich eine Zusammenfassung einzelner bzw. Auflösung nicht mehr benötigter Derivate, durchzuführen. In der Praxis sollten sich aus Risikogesichtspunkten jedoch auch jene Unternehmen, die deutlich unter der genannten Grenze liegen und damit nicht direkt von dieser Anforderung betroffen sind, Gedanken zur Portfoliokompression machen und zumindest ein Verfahren zur Überwachung des Derivatebestandes mit anderen Gegenparteien einführen. Bedeutung der EMIR für andere Regulierungsvorhaben Aus der Regulierung des OTC-Derivatemarktes durch EMIR resultieren umfangreiche Pflichten, welche das Verhalten der Marktteilnehmer grundlegend beeinflussen werden. Weitere Herausforderungen folgen insbesondere für Finanzunternehmen aus aktuell zu überarbeitenden Kapitalmarktregulierungen wie MiFID II sowie der CRD IV. Von großer Bedeutung und stets im Zusammenhang mit der EMIR zu sehen ist die Eigenkapitalunterlegungspflicht des CVA-Risikos für OTC-Derivate bei Unternehmen des Finanzsektors, da eine solche Eigenkapitalunterlegung die Preise am OTC-Derivatemarkt wesentlich beeinflussen könnte. Unter Bezugnahme auf die Definition finanzieller und nicht-finanzieller Gegenparteien im Sinne der EMIR wurden in den am 27. Juni im Amtsblatt der Europäischen Union veröffentlichten Gesetzestexten der CRD IV Transaktionen mit NFC unabhängig von einer Verwendung als Sicherungsinstrument aus dem Anwendungsbereich einer solchen Eigenkapitalunterlegung ausgenommen. Fazit Ein zentraler Punkt aus Sicht der Unternehmen wird es sein, ein Verständnis für die Wirkungszusammenhänge und Einflüsse auf die Treasury-/Finanzabteilung und letztlich auf das Gesamtunternehmen zu schaffen. Daher ist eine umfangreiche fachliche Analyse notwendig, um einschätzen zu können, ob und welche Schwellenwerte überschritten werden, ob die abgeschlossenen Derivate die Kriterien für Sicherungsgeschäfte erfüllen und welche technischen und vertragliche Anpassungen zeitnah vorgenommen werden müssen. Erschwert wird das Ganze durch den hohen zeitlichen Druck, eine Vielzahl von Anforderungen bereits dieses Jahr umzusetzen. Prüfungspflicht Unabhängig von einer Clearingpflicht ergibt sich gemäß 20 WpHG für Unternehmen ab einem Bestand von insgesamt 100 Mio. EUR bezogen auf die Nennwerte oder bei mehr als 100 abgeschlossenen OTC-Derivaten eine Prüfungspflicht über die Einhaltung der Vorschriften der EMIR. Diese Prüfung ist durch einen Wirtschaftsprüfer oder vereidigten Buchprüfer innerhalb von neun Monaten nach Ablauf des Geschäftsjahres durchzuführen. 4

5 Credit Value Adjustments (CVA) CVA bei Industrieunternehmen Kostspielige Bilanzierungspflicht oder Chance und Wegbereiter einer soliden Risikokultur? Die steigende Komplexität in der Bewertung von Derivaten sowie die nun klarer formulierten Rechnungslegungsvorschriften bringen größere Herausforderungen für Industrieunternehmen mit sich. Die Derivatebewertung unter Berücksichtigung von Kontrahentenrisiken auch Credit Valuation Adjustment (CVA) genannt ist für viele Unternehmen im Hinblick auf die vorhandene Infrastruktur und Personalausstattung eine anspruchsvolle Aufgabe. Paradigmenwechsel in der Behandlung und Bewertung von Derivaten Mit dem Ausfall von Lehman Brothers im September 200, als einem der größten Vertragspartner nicht standardisierter Over the Counter -Derivate (OTC-Derivate) haben Messung, Steuerung und Absicherung von Kontrahentenausfallrisiken eine verstärkte Aufmerksamkeit erfahren. So wurde bereits vor der Finanzkrise bei der Bewertung von Kassainstrumenten, wie z.b. Anleihen, das Kontrahentenrisiko in Form eines Credit Spread eingepreist. Dagegen wurde bei den marktüblichen Bewertungsmethoden für OTC-Derivate dieses Risiko regelmäßig vernachlässigt. Ihre Ursache hat die Abkehr vom One-Curve-Ansatz 1 hin zu neuen Multiple-Curves-Ansätzen als eine marktgerechte Bewertungsgrundlage ebenfalls in gestiegenen Adressrisiken der Banken. Das Ziel im Multiple-Curves- Ansatz ist eine adäquate Berücksichtigung beobachtbarer Basis-Spreads, die vor der Finanzkrise als vernachlässigbar galten. Nunmehr steigen die Kreditmargen im Interbankengeldmarkt schon in den kurzen Laufzeiten signifikant, was bei der Bewertung von Derivaten, die auf IBOR-Sätze 2 Bezug nehmen, zu berücksichtigen ist. Der Multiple-Curves-Ansatz und damit die Berücksichtigung der Basis-Spreads garantieren allerdings nicht die Quantifizierung aller Risikoeffekte. Um das eigentliche Kontrahentenausfallrisiko zu erfassen, ist weiterhin die Ermittlung des CVA notwendig. 3 Herausforderung CVA Die CVA-Bewertung erfolgt auf Kontrahentenebene. Hierbei kann zwischen einer unilateralen und einer bilateralen Variante unterschieden werden. Beim bilateralen CVA (BCVA) wird eine Anpassung des Fair Value zur Berücksichtigung erwarteter Verluste, die zum einen aus dem Ausfall des Kontrahenten und zum anderen aus dem eigenen Ausfall des bilanzierenden Unternehmens entstehen, vollzogen. Die Bewertungsanpassung für den eigenen Ausfall des Unternehmens wird Debt Valuation Adjustment (DVA) genannt und entspricht dem CVA aus Sicht des Kontrahenten. Der BCVA ergibt sich folglich als Differenz aus CVA und DVA. Die Einbeziehung des DVA ermöglicht den Parteien eine Einigung bzgl. einer anzusetzenden CVA-/DVA-Prämie bei Vertragsabschluss, die bei einer asymmetrischen Sicht theoretisch nicht erzielbar wäre. Eine adäquate Bewertung erfordert die Berücksichtigung des sich im Zeitablauf ändernden, ausfallrisikofreien Marktwerts des Derivates (sog. Exposure) sowie eine Schätzung der Ausfallwahrscheinlichkeit für beide Parteien. Falls eine Abhängigkeit zwischen diesen beiden stochastischen Risikofaktoren anzunehmen ist (Wrong Way Risk), müsste diese ebenfalls durch Korrelationsannahmen modelliert werden. Geläufige einfachere Ansätze reduzieren das Problem der Quantifizierung auf folgende Größen: Expected Positive Exposure Bestimmung des erwarteten Werts, den die bilanzierende Partei verliert, wenn die Gegenpartei in der Zukunft zahlungsunfähig wird. Hierbei handelt es sich um das gesamte erwartete positive Exposure gegenüber einem Kontrahenten unter Berücksichtigung aller ausstehenden Kontrakte, Besicherungsanhänge (Credit Support Annexes) und Netting-Vereinbarungen 4. Die Quantifizierung des unsicheren zukünftigen Exposure erfordert folglich die Spezifizierung stochastischer Prozesse für die Entwicklung der zugrunde gelegten wertbeeinflussenden Marktvariablen. Simplifizierte Ansätze wie Add-on-Verfahren oder quasi-analytische Approximationen finden insbesondere bei kleineren Banken oder Industrieunternehmen regelmäßig Anwendung. Beim Add-on-Ansatz wird das zukünftige Exposure durch einen Zuschlag (Add-on) zum aktuellen positiven Marktwert (Current Exposure) ermittelt, um so die Unsicherheit zu berücksichtigen. Ein speziell für Zinsswaps geeignetes semi-analytisches Verfahren bietet die Approximation durch ein Portfolio von Swaptions. 5 Dirk Stemmer Tel: +49 (0) dstemmer@deloitte.de Felix Mann Tel: +49 (0) femann@deloitte.de 1 Verwendung derselben Zinsstrukturkurve zur Diskontierung der Cashflows und bspw. zur Projektion des Floating Leg eines Swaps. 2 Interbank offered Rates dienen als Indikatoren für die Kreditnachfrage und das -angebot im Interbankenmarkt. 3 Vgl. Die Berücksichtigung von Basis-Spreads zur fairen Bewertung von Zinsswaps, in: Deloitte White Paper No Netting-Vereinbarungen bzw. Netting-Sets erlauben die Aufrechnung von positiven mit negativen Exposure-Werten mit demselben Kontrahenten. Dies kann zu deutlich reduzierten Gesamt-Exposure-Werten ggü. dem Kontrahenten und somit zu geringeren CVA-Werten führen. 5 Vgl. CVA Credit Valuation Adjustments, in: Deloitte White Paper No

6 Ein zentrales Problem dieser einfachen Approximationen ist u.a., dass Effekte aus Netting und durch Collaterals 6 nur unzureichend Eingang finden können. Umfassendere Ansätze bieten Simulationsmodelle, bei denen die Verteilungen künftiger Exposures etwa durch Monte- Carlo-Simulationen ermittelt werden. Diese stellen für die Exposure-Ermittlung gegenwärtig das Best-Practice- Verfahren dar. Die Exposureverteilung wird für mehrere zukünftige Zeitpunkte, sogenannte Stützstellen, die sich über die relevante Laufzeit des Geschäftes verteilen, geschätzt. An jedem Stützzeitpunkt wird aus der dort geltenden Verteilung das in die CVA-Bewertung eingehende Expected Positive Exposure (EPE) abgeleitet. Weitere Exposuremaße, wie z.b. das häufig für die Limitsteuerung verwendete Potential Future Exposure (PFE), können zusätzlich aus den vorliegenden Verteilungen abgeleitet werden. Abbildung 1 illustriert die Simulation von möglichen zum heutigen Zeitpunkt unbekannten Wertentwicklungspfaden ausgehend von einem aktuellen Marktwert (Mark-to-Market, MtM) von null. An einem festgelegten zukünftigen Bewertungszeitpunkt wird aus den Realisationen der Wertentwicklungspfade in diesem Zeitpunkt die hypothetische Marktwertverteilung abgeleitet. Diese Verteilung ist in Form einer Dichtefunktion dargestellt, um das EPE und das PFE grafisch zu illustrieren. Der grau unterlegte Bereich der Dichtefunktion symbolisiert den für das Kontrahentenrisiko relevanten positiven Wertebereich. Ausfallwahrscheinlichkeiten und Verlustschwere bei Ausfall (Loss Given Default, LGD) Die Schätzung der Wahrscheinlichkeit, dass der Kontrahent im Zeitablauf ausfällt, kann im Idealfall durch die Information aus Spreads der am Markt notierten Credit Default Swaps hergeleitet werden. Hierfür wird ein Bootstrapping-Verfahren angewendet, um die in den CDS- Spreads enthaltenen Überlebenswahrscheinlichkeiten zu extrahieren. Liegen keine CDS-Notierungen auf den jeweiligen Kontrahenten am Markt vor, kann als Alternative etwa auf Bond-Spreads ausgegebener Anleihen des Kontrahenten zurückgegriffen werden. Zu beachten ist hierbei die Liquidität der verwendeten Inputparameter. Möglicherweise müssen illiquide Marktquotierungen zusätzlich um Liquiditätseffekte bereinigt werden. Liegen keine Single-Name-CDS- bzw. Bond-Spreads zur Schätzung der Ausfallwahrscheinlichkeit vor oder weisen diese ein zu niedriges Liquiditätsrating auf, bietet sich ein Mapping-Verfahren an. Hierbei werden die CDS- Quotierungen einer zuvor definierten Peer-Group oder direkt ein Index-CDS verwendet. Die Kalibrierung der Abb. 1 MtM (t) PFE(t) EPE(t) Heute Bewertungszeitpunkt Zeit 6 Als Collaterals werden Sicherheitszahlungen (bspw. in Form von Bargeld oder Anleihen) bezeichnet, die eine Vertragspartei in regelmäßigen Abständen stellen muss, wenn aus ihrer Sicht der Marktwert des Derivats zu diesen Zeitpunkten negativ ist und einen definierten Schwellenwert (Threshold) überschreitet. 6

7 Ausfallwahrscheinlichkeiten basiert somit auf sektorund ratingabhängigen CDS-Spread-Kurven (alternativ Bond-Spread). Die Verwendung marktimpliziter Informationen bietet den Vorteil, dass diese zusätzlich implizite LGD-Informationen umfassen. Alternativ können historische Ausfallraten, abgeleitet aus Ratings 7, zur Ermittlung der Ausfallwahrscheinlichkeiten verwendet und es kann auf Standardannahmen zur LGD-Bestimmung zurückgegriffen werden. IFRS 13 Berücksichtigung von Kontrahentenrisiken in der Rechnungslegung Durch Inkrafttreten von IFRS 13 Bewertung zum beizulegenden Zeitwert für Geschäftsjahre beginnend ab dem 1. Januar 2013 sind sämtliche Unklarheiten hinsichtlich der Berücksichtigung des Kontrahentenrisikos dem Grunde nach im Rahmen der Fair-Value-Bewertung von Derivaten für alle IFRS-Bilanzierer entfallen. So besteht gemäß IFRS und die Notwendigkeit, bei der Fair-Value-Ermittlung von Derivaten sowohl das Kreditausfallrisiko des Kontrahenten (CVA) als auch das eigene Kreditausfallrisiko des bilanzierenden Unternehmens (DVA) zu berücksichtigen. Der Standard gibt hierfür eine dreistufige Fair-Value-Level-Hierarchie vor (IFRS ff.). Durch diese Kategorisierung bewertungsrelevanter Inputfaktoren sollen Konsistenz und Vergleichbarkeit im Rahmen von Bewertung und Anhangangaben erhöht werden. In aktiven Märkten notierte, unangepasste Preise für identische Vermögenswerte und Verbindlichkeiten werden als Level-1-Inputfaktoren klassifiziert. Direkt oder indirekt beobachtbare Inputfaktoren, die nicht Level 1 zuzuordnen sind, werden als Level-2-Inputparameter eingestuft. Hierunter fallen bspw. Spreads, die aus Single-Name-CDS, Bonds, Index-CDS und CDS-Sektorkurven abgeleitet werden, um die relevanten Ausfallwahrscheinlichkeiten zu schätzen. Inputfaktoren, die nicht auf beobachtbaren Marktdaten basieren, wie ratingbasierte bzw. interne Ausfallwahrscheinlichkeiten, die auf Basis historischer Häufigkeiten bzw. unternehmensspezifischer Annahmen ermittelt werden, sind Level 3 zuzuordnen. Aufgrund der Tatsache, dass CDS-Spreads für einige Kontrahenten beobachtbar sind, haben diese Parameter für die Bewertung Vorrang vor nicht beobachtbaren Parametern. Somit sind auch aus Anleihen ableitbare Credit Spreads ebenfalls der Verwendung von historischen Ausfallraten vorzuziehen. Da zusätzlich IFRS 13.B13 auf marktübliche Risikoprämien abstellt, ist der Credit Spread der maßgebliche Inputparameter. Auch die Interpretation des IDW lässt hieran keinen Zweifel. Die Ermittlung der Ausfallwahrscheinlichkeiten sollte soweit verfügbar anhand beobachtbarer Daten, die von Marktteilnehmern berücksichtigt werden würden, erfolgen. 8 Diese Hierarchie der Bewertungsparameter wird durch die Definition des Fair Value als Exit Price (IFRS 13.9) flankiert. Dieser ist definiert als der Preis, den man in einer gewöhnlichen Transaktion zwischen Marktteilnehmern am Bewertungsstichtag beim Verkauf eines Vermögenswerts erhalten würde oder bei der Übertragung einer Schuld zu zahlen hätte. Es wird hier also eine hypothetische Transaktion am Bewertungsstichtag unterstellt, wobei der Prozess der Bildung eines Veräußerungs- bzw. Übertragungspreises (Exit Price) an einem Markt nachempfunden wird. Fazit Vor dem Hintergrund einer angemessenen Risikokultur legen die veränderten Marktbedingungen die Berücksichtigung von Kontrahentenrisiken (CVA) auch in den OTC-Derivateportfolien für Unternehmen der Realwirtschaft nahe. Nach IFRS 13 besteht seit Anfang des Jahres für alle Unternehmen sogar die Pflicht zu einer bilanziellen Abbildung. Dennoch stellt die adäquate Quantifizierung von Kontrahentenrisiken für viele Unternehmen gegenwärtig eine Herausforderung dar, die über eine reine Bewertung von OTC-Derivaten hinausgeht. Bei der Entscheidung, welches Verfahren für eine CVA- und DVA-Bewertung herangezogen werden sollte, muss neben den zu erwartenden Kosten (Implementierungs- und Anwendungsaufwand) auch die Zusammensetzung des Derivateportfolios berücksichtigt werden. 7 Vgl. Moody s Rating Symbols & Definitions, in: Moody`s Investors Service June IDW ERS HFA 47 (102). 7

8 Die Ausrichtung der Geschäfts- und der IT-Strategie an einem gemeinsamen Zielbild Christian Haas Tel: +49 (0) Sebastian Rick Tel: +49 (0) Die aktuell von Kreditinstituten und Finanzdienstleistungsinstituten eingesetzten IT-Anwendungen und IT- Umgebungen zeichnen sich durch ein sehr bestimmendes Merkmal aus: teils unkoordinierte IT-Investments über die letzten 30 Jahre in Verbindung mit aktionistisch getriebenen IT-Implementierungen. Das Resultat sind vielerorts sehr heterogen gewachsene IT-Architekturen, Insellösungen und eine hohe Abhängigkeit der Gesamtbanksteuerung von zum Teil nicht mehr zeitgemäßer sequenzieller Verarbeitung. Durch den zunehmenden regulatorischen und ökonomischen Druck sehen sich nun viele Kreditinstitute und Finanzdienstleistungsinstitute mit der Herausforderung konfrontiert, ihre bestehende IT-Architektur, die IT-gestützten Geschäftsprozesse sowie das meist für den Rechenzentrums- und Netzwerkbetrieb notwendige Sourcing mittels entsprechender Maßnahmen zu restrukturieren. Aktuell wird dieser Druck, je nach Geschäftstätigkeit einer Bank oder eines Finanzdienstleisters, vor allem durch die European Markets Infrastructure Regulation (EMIR), Amendments to the Markets in Financial Instruments Directive (MIFID II) und Basel 2.5 sowie Basel III aufgebaut. Betrachtet man diese Regulierungsbestrebungen aus der Perspektive der IT-Aufbau- und -Ablauforganisation, so werden Kredit- und Finanzdienstleistungsinstitute vor allem durch die darin enthaltenen Transparenz- und Meldepflichten und deren Anforderung an die Datenintegrität sowie die Datenverfügbarkeit und -bereitstellung vor enorme operative Herausforderungen gestellt. Je heterogener die eingesetzte IT-Architektur ist, desto komplexer sowie ressourcen- und kostenintensiver stellt sich die Meisterung dieser Herausforderungen dar. Darüber hinaus ergeben sich für die Betroffenen aus diesen Initiativen u.a. folgende, zusammenfassende Konsequenzen und Abhängigkeiten: Die erweiterten Transparenz- und Meldepflichten schaffen ein dem Handel mit Aktien vergleichbares grundsätzliches Regulierungsniveau. OTC-Derivate, die einer standardisierten und liquiden Kategorie angehören, werden langfristig im Wesentlichen nur noch auf Handelsplätzen gehandelt und über CCPs 1 gecleart. Der Handel mit nicht standardisierten und nicht liquiden OTC-Derivaten wird operativ aufwendiger und teuer. Zusätzlicher operativer Aufwand wie auch Kostensteigerungen ergeben sich darüber hinaus aus der laufenden Umsetzung der Basel-2.5- und -III-Anforde- 1 Central Counter Parties. rungen (z.b. Einführung von Incremental Risk Charge, Stressed-VaR, CVA 2 etc). Gegenparteien werden langfristig erheblich mehr Sicherheiten stellen, als dies der gegenwärtigen Marktpraxis entspricht. Um weiterhin am Markt konform der beschriebenen aufsichtlichen Anforderung agieren zu können, kommen Kredit- und Finanzdienstleistungsinstitute nicht umhin, eine Neuausrichtung und Verzahnung ihrer aktuellen Geschäftsstrategie und der IT-Strategie durchzuführen. Neue regulatorische Vorgaben Um u.a. die mit einem solchen Vorhaben verbundenen Risiken für die Aufbau- und Ablauforganisation der Banken und/oder Finanzdienstleister zu minimieren, hat die Bundesanstalt für Finanzdienstleistung (BaFin) mit dem Rundschreiben 10/2012 (BA) am 14. Dezember 2012 die vierte Novellierung der Mindestanforderungen an das Risikomanagement (MaRisk), die seit Anfang des Jahres in Kraft ist, veröffentlicht. Die Bestimmungen der MaRisk gelten für alle Kredit- und Finanzdienstleistungsinstitute, die unter die Reglementierung des Kreditwesengesetzes (KWG) fallen und im Nachfolgenden als Institute bezeichnet werden. 3 Die BaFin hat im Allgemeinen Teil (AT) 4 Allgemeine Anforderungen an das Risikomanagement im Unterabschnitt AT 4.2. Strategien Absatz 1 der MaRisk formuliert, dass die Geschäftsleitung [ ] eine nachhaltige Geschäftsstrategie festzulegen hat, in der die Ziele des Instituts für jede wesentliche Geschäftsaktivität sowie die Maßnahmen zur Erreichung dieser Ziele dargestellt werden. Bei der Festlegung und Anpassung der Geschäftsstrategie sind sowohl externe Einflussfaktoren (z. B. Marktentwicklung, Wettbewerbssituation, regulatorisches Umfeld) als auch interne Einflussfaktoren (z. B. Risikotragfähigkeit, Liquidität, Ertragslage, personelle und technisch-organisatorische Ressourcen) zu berücksichtigen. Im Hinblick auf die zukünftige Entwicklung der relevanten Einflussfaktoren sind Annahmen zu treffen. Die Annahmen sind einer regelmäßigen und anlassbezogenen Überprüfung zu unterziehen; erforderlichenfalls ist die Geschäftsstrategie anzupassen. Dieser Abschnitt ist in seiner zitierten Form nicht neu. Neu allerdings ist die weiterführende Interpretation dieses Abschnitts durch die Aufsicht. In den herausgegebenen Erläuterungen zu den MaRisk ist im Abschnitt Credit Value Adjustment. 3 Das Rundschreiben gibt u.a. auf der Grundlage des 25a Abs. 1 des Kreditwesengesetzes (KWG) einen flexiblen und praxisnahen Rahmen für die Ausgestaltung des Risikomanagements der Institute vor. 8

9 Strategien Absatz 1 konkretisiert, dass ein Institut aufgrund der Bedeutung für das Funktionieren der Prozesse [ ] in Abhängigkeit von seiner Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten auch Aussagen zur zukünftig geplanten Ausgestaltung der IT-Systeme zu treffen hat. 4 Die Aufsicht forciert damit eine bewusste Verbindung zwischen den Geschäftsprozessen und den eingesetzten IT-Systemen und somit auch der IT-Architektur der Institute. Damit werden zukünftig detailliertere und umfangreichere Abstimmungen zwischen den Fachbereichen und der IT-Organisation hinsichtlich IT-Systemeinführungen, -änderungen und der daraus resultierenden Anpassungen der Geschäftsprozesse notwendig werden. Diese neue und weiterführende Interpretation dieses Abschnitts durch die Aufsicht konkretisiert die zwingende Notwendigkeit eines Gleichlaufs (hohe positive Korrelation 5 ) der Geschäfts- und der IT-Strategie der Institute sowie deren Ausrichtung an einem gemeinsamen Zielbild. Nur bei einem entsprechenden Gleichlauf sowie der Ausrichtung beider Strategien an einem gemeinsamen Zielbild können die Institute zukünftig konform der aufsichtlichen Forderung arbeiten. Ein positiver Nebeneffekt der Ausrichtung beider Strategien an einem gemeinsamen Zielbild ist, dass die bestehende IT-Architektur, die IT-gestützten Geschäftsprozesse und das zugrunde liegende Sourcing sowie die sich daraus ableitenden Themen wie die Informationssicherheit, das Change-Management, das IT-Risikomanagement und das IT-Controlling einer kritischen Betrachtung unterzogen werden können. Dabei kann durch ein opportunistisches Vorgehen Einsparpotenzial lokalisiert, genutzt und in der Konsequenz die bestehende Kostenstruktur verbessert werden. wechsel dazu führen, dass die IT-Strategie die Geschäftsstrategie dominieren muss. Darüber hinaus lassen sich Konstellationen wie etwa regelmäßige Planungs- und Investitionsentscheidungen oder Strategie-Reviews und -Updates erdenken, in denen weder die eine noch die andere Strategie dominiert. Die konkrete Antwort auf die oben gestellte Frage ist institutsspezifisch zu erarbeiten und hängt u.a. von Faktoren wie der Geschäftsausrichtung ab. Definition der IT-Strategie Um die Ausrichtung der Geschäftsstrategie und der IT- Strategie an einem gemeinsamen Zielbild zu erreichen, gilt es zunächst, die IT-Strategie als solche zu definieren. Die IT-Strategie eines Instituts gibt die Rahmenbedingungen für das Management der Informationstechnologie vor und zeigt den Umfang und die Richtung zukünftigen Handelns auf, um langfristige Unternehmensziele zu erreichen. Sie definiert sich in der Regel durch ein IT-Strategiekonzept, das wiederum übergeordnet aus einem IT- Leitbild und einem IT-Strategiedokument besteht. Letzteres stellt die Operationalisierung der Geschäftsstrategie eines Instituts dar, wobei das IT-Leitbild grundsätzliche Zieldimensionen und Verhaltensregeln beinhaltet. Das IT-Strategiedokument dient darüber hinaus als Klammerdokument hinsichtlich der im Folgenden aufgeführten unterschiedlichen Dimensionen. Die IT-Architektur beinhaltet den Bebauungsplan und ggf. geplante Änderungen. Sie definiert somit Leitlinien für Planung und Betrieb. Die IT-gestützten Geschäftsprozesse beschreiben die notwendigen Aktivitäten zum Erreichen der Ziele und definieren die Ablauforganisation der Bank. In der Praxis stellt sich bei solchen Vorhaben oft die Frage, welche Strategie die jeweils andere tatsächlich dominiert (oder dominieren sollte) und somit führend die mittel- bis langfristige strategische Ausrichtung das Zielbild des Instituts definiert. Leider lässt sich diese Frage nicht pauschal beantworten. So können z.b. sowohl inhaltliche Vorgaben aus der Geschäftsstrategie, Kosten- und Margendruck, aber auch Mergers & Acquisitions und Restrukturierungen dazu führen, dass die Geschäftsstrategie die IT-Strategie dominieren kann. Auf der anderen Seite können jedoch Prüfungsvermerke, Auffälligkeiten und Schadensfälle, aber auch Führungs- Abb. 1 Dimensionen eines IT-Strategiekonzepts IT-gestützte Geschäftsprozesse Architektur (IT-Zielbild) IT-Risikomanagement Informationssicherheit Changemanagement Sourcing IT-Controlling 4 Im Falle umfangreicher Auslagerungen sind auch Ausführungen zum Outsourcing erforderlich. 5 Eine Korrelation beschreibt eine Beziehung zwischen zwei oder mehreren Merkmalen, Ereignissen, Zuständen oder Funktionen. IT-Strategiekonzept 9

10 Abb. 2 Dynamischer strategischer Planungsprozess Korrelation Konzeptionierung/ Neuorientierung Initiierung, Planung, Kick-off mit allen beteiligten Stakeholdern Analyse/Standortbestimmung Wo stehen wir heute? Das Sourcing regelt aufgrund der Art, des Umfangs, der Komplexität und des Risikogehalts die Ausgestaltung des Auslagerungsmanagements. Die Informationssicherheit beinhaltet Maßnahmen zur Einhaltung der Ordnungsmäßigkeitsgrundsätze beim Einsatz von Informationssystemen. Das Change-Management regelt die Vorgehensweise bei der Erstellung, Anpassung bzw. Veränderung von IT-Anwendungen und bezieht sich auf Neu- oder Weiterentwicklungen von IT-Systemen sowie deren Wartung und Pflege. Das IT-Risikomanagement umfasst sämtliche Maßnahmen zur systematischen Erkennung, Analyse, Bewertung, Überwachung und Kontrolle von IT-Risiken. Das IT-Controlling beinhaltet die Steuerung und Überwachung der Kosten und Leistungserbringung im IT- Umfeld. Die aus den beschriebenen Dimensionen resultierenden Ergebnistypen definieren insgesamt das IT-Strategiekonzept eines Instituts zur langfristigen Unterstützung der Geschäftsstrategie. Allgemeines Vorgehen Um zu überprüfen, ob Schwachstellen und Risiken in der Aufbau- und Ablauforganisation hinsichtlich der Ausrichtung der Geschäftsstrategie und der IT-Strategie an einem gemeinsamen Zielbild bestehen, muss zunächst eine umfassende Analyse/Standortbestimmung der Aufbau- und Ablauforganisation hinsichtlich der beschriebenen Dimensionen des IT-Strategiekonzeptes durchgeführt werden. Dabei können als geeignetes Mittel z.b. SWOT- und/oder Gap-Analysetechniken Projektstrategie: Wie erreichen wir eine gemeinsame Ausrichtung der Geschäfts- und IT-Strategie? Umsetzung Aus dem Projekt abgeleitete Maßnahmen Zielbild: Wo wollen wir in fünf Jahren sein? eingesetzt werden. Über die im Vorfeld als geeignet definierten Analyse- und Beurteilungsmaßnahmen gilt es dabei festzustellen, ob die aktuelle IT-Strategie festlegt, wie die IT unter Berücksichtigung der Kosten und Risiken zu den strategischen Geschäftszielen der Bank beiträgt, ob messbare (quantitativ wie auch qualitative) Ziele im IT-Strategieplan definiert sind, ob von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten auch Aussagen zur zukünftig geplanten Ausgestaltung der IT-Systeme getroffen werden können, ob die Inhalte eindeutig definiert sind und für ein einheitliches Verständnis unter allen Stakeholdern sorgen und ob der Detaillierungsgrad und die fachliche Vorgaben sowie deren Umsetzung den geforderten Ergebnistypen entsprechen. Sollten die hinsichtlich der beschriebenen Punkte durchgeführten Analyse- und Beurteilungsmaßnahmen zu dem Schluss führen, dass kein(e) entsprechende(r) Gleichlauf/Korrelation und/oder gemeinsames Verständnis hinsichtlich beider Strategien besteht, müssen sofortige Maßnahmen beispielsweise im Rahmen eines entsprechenden Projektes initiiert werden, um die erkannten Schwachstellen zu schließen, den daraus abgeleiteten Risiken grundsätzlich vorzubeugen und/ oder sie zukünftig zu vermeiden. Die Erkenntnisse und Ergebnisse aus der durchgeführten Analyse/Standortbestimmung sollten dann entsprechend der in dem IT-Strategiekonzept beschriebenen und festgelegten Dimension zunächst konzeptionell in Form einer aus der Geschäftsstrategie abgeleiteten Neuorientierung der IT-Strategie und anschließend operativ Rahmen eines Projektes umgesetzt werden. Die Konzeptionierung/Neuorientierung hat zum Ziel, u.a. konkrete Handlungsfelder, strategische Ziele sowie kritische Erfolgsfaktoren eines potenziellen Projektes zu benennen und auch zu quantifizieren (sofern die den Faktoren zugrunde liegende Methodik dies ermöglicht). Nach erfolgreich abgeschlossener Initiierung und Planung sowie einem (oder mehrerer) Kick-off(s) mit allen beteiligten Projekt-Stakeholdern erfolgt die Umsetzung der aus der Konzeptionierung/Neuorientierung abgeleiteten Maßnahmen im Rahmen eines Umsetzungsprojekts. Zeit 10

11 Abschließende Bemerkung Mit ihrer Konkretisierung des Abschnitts 4.2 Strategien Absatz 1 betont die Aufsicht die Notwendigkeit eines Gleichlaufs der Geschäfts- und der IT-Strategie der Institute. Die sich daraus ergebenen institutsspezifischen Fragestellungen sind komplex und herausfordernd. Die Institute kommen nicht umhin, ihre bestehende IT-Strategie (insbesondere die IT-Architektur, die IT-gestützten Geschäftsprozesse sowie das meist für den Rechenzentrums- und Netzwerkbetrieb notwendige Sourcing) einer kritischen Neubetrachtung im Rahmen einer Analyse/ Standortbestimmung zu unterziehen und ggf. Projekte aufzusetzen, um eine Ausrichtung beider Strategien an einem gemeinsamen Zielbild zu erreichen. Deloitte kann Sie bei der Durchführung der Analyse/ Standortbestimmung, der Konzeptionierung/Neuorientierung und/oder Umsetzung im Rahmen entsprechender Projekte unterstützen. Dabei zeigen wir Ihnen Maßnahmen auf, die erforderlich sind, um die erkannten Schwachstellen zu schließen, den daraus abgeleiteten Risiken grundsätzlich vorzubeugen und/oder sie zukünftig zu vermeiden. Hierbei steht neben der fachlichen Korrektheit vor allem die Umsetzung der regulatorischen Anforderungen im Fokus. Für Rückfragen und weitere Informationen stehen Ihnen Christian Haas und Sebastian Rick gerne zur Verfügung. 11

12 Der UK Bribery Act Herausforderung für Management und Aufsichtsgremien Andreas Herzig Tel: +49 (0) Sonja Remschel Tel: +49 (0) Die Anforderungen des UK Bribery Act verschärfen die Pflichten in Bezug auf die Vermeidung von Compliance und Korruption. Das Thema sollte eigentlich bekannt sein aber trotz der umfassenden Diskussionen vor der Inkraftsetzung des Gesetzesentwurfs zum 1. Juli 2011 haben wenige deutsche Unternehmen Vorkehrungen in Bezug auf den UK Bribery Act (UKBA) getroffen. Dies lässt nur den Schluss zu, dass die Tragweite des UK Bribery Act weitläufig noch nicht bekannt ist und bezüglich erforderlicher Maßnahmen Unsicherheit herrscht. Dabei ist die Umsetzung von Maßnahmen für den UK Bribery Act viel transparenter und daher vermeintlich einfacher als zum Beispiel beim amerikanischen Antikorruptionsgesetz FCPA, da der UKBA erforderliche Maßnahmen (sog. 6 Principles) vorgibt. Rechtlicher Hintergrund Der UKBA gilt seit seiner Einführung im Juli 2011 als eine der weltweit stringentesten Regulierungen zum Thema Antikorruption und erlegt den betroffenen Unternehmen umfassende Sorgfaltspflichten auf. Betroffen sind die Unternehmen, für deren Geschäftstätigkeit sich ein Bezug zum Vereinigten Königreich, zu dort ansässigen Unternehmen oder dessen Staatsbürgern herstellen lässt; es genügt, wenn das Unternehmen eine Niederlassung oder eine Tochtergesellschaft in UK betreibt. Für die Anwendung des UKBA spielt es keine Rolle, ob die Straftat selbst in UK stattgefunden hat. Die Unternehmen werden bei Verstößen gegen den UKBA von hohen Strafzahlungen (eine Höchstgrenze ist nicht vorgesehen) bedroht. Für die handelnden Personen sind ebenso Strafzahlungen oder Gefängnisstrafen von bis zu zehn Jahren vorgesehen. Anwalts- und Untersuchungskosten können die Strafzahlungen oft noch deutlich übersteigen. Für die Einhaltung der Regulierungen des UKBA ist in erster Linie die Unternehmensleitung verantwortlich, in zweiter Linie durch ihre Überwachungspflichten auch die installierten Aufsichtsgremien. Der UKBA ersetzt die bislang in UK gültigen Antikorruptionsgesetze, die wegen ihrer geringen Wirksamkeit oft kritisiert wurden. Im Zentrum der neuen Gesetzgebung steht die sog. Unternehmensstraftat (corporate offence), die neben den natürlichen auch die juristischen Personen in die Verantwortung nimmt. Dadurch richtet sich der Fokus britischer Strafverfolgungsbehörden deutlich auf die strafrechtliche Verfolgung kommerzieller Organisationen und deren verantwortlicher Organe. Folgende vier Muster von Straftaten werden im UKBA unterschieden: Versprechen oder Gewähren eines finanziellen oder sonstigen Vorteils (aktive Bestechung) Zustimmung zum Erhalt oder die Annahme eines finanziellen oder sonstigen Vorteils (passive Bestechung) Bestechung eines (ausländischen) Amtsträgers Bestechung durch Personen, die im Namen des Unternehmens handeln (Angestellte, Agenten sogenannte Associated Persons) oder Versäumnis des Unternehmens, dem durch entsprechend gestaltete Prozesse vorzubeugen Die sechs Grundsätze des UK Bribery Act Das englische Justizministerium hat sechs Grundsätze (die 6 Principles ) veröffentlicht, um Unternehmen Leitlinien bei der Umsetzung der Anforderungen des UKBA zu geben: 1. Angemessene Maßnahmen (Proportionate Procedures): Kontrollen, Freigabeprozesse und Richtlinien zur Korruptionsprävention 2. Verpflichtung des Managements (Top Level Commitment): Durchgreifen bei auftretenden Korruptionsfällen; Schaffen einer Kultur, die keine Korruption akzeptiert 3. Risikobewertung (Risk Assessment): Einschätzung der Geschäftsprozesse hinsichtlich ihrer Anfälligkeit für Korruption als Basis für die gezielte Einleitung von Gegenmaßnahmen 4. Überprüfung von Geschäftspartnern (Due Diligence): sorgfältige Auswahl von Geschäftspartnern Abb. 1 Prinzipien des UK Bribery Act UK Ministry of Justice Guidance: Six Principles Proportionate Procedures Top Level Commitment Risk Assessment Due Diligence Communication Monitoring & Review 12

13 5. Kommunikation (Communication [incl. Training]): Bekanntmachung von Richtlinien und Verhaltensanweisungen; Durchführung von entsprechenden Trainings 6. Überwachung und Verbesserung (Monitoring & Review): permanente Überwachung und ggf. Verbesserung der getroffenen Maßnahmen Unternehmen können sich durch die Einhaltung der sechs o.g. Grundsätze gegen den Vorwurf, keine ausreichenden Maßnahmen zur Vermeidung der Korruption getroffen zu haben, schützen. Nachfolgend wird ein Ansatz erläutert, wie eine effiziente Umsetzung dieser Grundsätze erfolgen kann. Maßnahmen zur Umsetzung Der Einstieg in die Umsetzung des UKBA erfolgt im Idealfall über die Durchführung eines Risk Assessment. Dieses ist ohnehin Bestandteil der sechs Grundsätze und eine wichtige Voraussetzung zur gezielten Umsetzung weiterer Maßnahmen, wie Trainings und Prozesskontrollen. Mit der Durchführung des initialen Risk Assessment wird zudem sichergestellt, dass der Firmenleitung und den Aufsichtsgremien keine Versäumnisse in der Umsetzung der sechs Grundsätze vorzuwerfen sind. Bei zwischenzeitlichem Auftreten von Korruptions- oder Bestechungsfällen kann nachgewiesen werden, dass die Verantwortlichen bereits die notwendigen Maßnahmen eingeleitet haben. Abb. 2 Beispielhafte Zuordnung von Frageblöcken zu COSO-Kategorien COSO- Kategorie Strategic Operations Financial Beispielfragen Arbeiten Sie mit Joint-Venture-Partnern zusammen? Führt Ihr Joint-Venture-Partner regelmäßig Risk Assessments in Bezug auf den UKBA durch? Etc. In welchen Ländern sind Sie tätig (in Prozent)? Haben Sie staatliche Kunden (in Prozent)? Sind Ihnen folgende Anweisungen/Policies bekannt: (Geschenke, Reisen, etc.) Etc. Erfolgen Zahlungen ausschließlich nach dem 4-Augen-Prinzip? Wie viel Prozent Ihrer Zahlungen sind Barzahlungen? Etc. Aus Sicht von Deloitte hat sich für das Risk Assessment der Einsatz eines Online-Fragebogens bewährt, da hierdurch ein umfassender Überblick über die bestehende Risikosituation in kurzer Zeit und mit vergleichsweise geringem Aufwand erreicht werden kann. Der Fragebogen ist dabei idealerweise nach den bekannten COSO 1 -Kategorien aufgebaut und wird jeweils um unternehmensspezifische Aspekte, wie Branche, Organisationsstruktur, Komplexität und regionale Ausdehnung, sowie vorhandene Richtlinien und Schulungsmaßnahmen erweitert. Der Fragebogen ist zur Abdeckung aller relevanten Themen für den UKBA (Korruptions- und Bestechungsdelikte sowie die Vorkehrungen zur Vermeidung dieser Delikte) vorstrukturiert. Dabei werden nicht alle COSO- Kategorien (Strategic, Operational, Financial, Compliance) für mögliche Risiko-Fragen vollständig abgedeckt; der Schwerpunkt liegt auf der Kategorie Compliance. Aus den anderen Kategorien werden einzelne Themen gezielt selektiert. Optional können Fragen zu bereits vorhandenen Maßnahmen gegen Korruption und Bestechung aufgenommen werden, um deren Wirksamkeit zu bewerten (Abb. 2). Der Fragebogen sollte durch das operative Management und prozessverantwortliche Mitarbeiter ausgefüllt werden. Um eine zu hohe Anzahl von Teilnehmern zu vermeiden (die Range reicht hier von unter hundert bis zu mehreren tausend Teilnehmern), sollten bewusst Schwerpunkte in der Auswahl der Teilnehmer gesetzt werden. Diese Schwerpunkte beziehen sich auf die Auswahl relevanter Prozesse wie Einkauf, Vertrieb, Logistik, Zölle und Steuern sowie Bereiche, die sich mit dem Erwerb oder der Verwaltung von Grundstücken und Gebäuden oder mit Baumaßnahmen beschäftigen. Zudem sollte in Regionen mit bekanntermaßen höherem Korruptions- und Bestechungsrisiko eine höhere Befragungsdichte gewählt werden als in anderen Regionen. Hilfreich ist in diesen Fällen der CPI 2 von Transparency International. Der Fragebogen sollte das Thema Associated Persons (Agenten, Vermittler, Vertreter, Subunternehmer etc.) in ausreichendem Maße abdecken, da diesbezügliche Anforderungen einen wesentlichen Baustein des UK Bribery Act darstellen. Compliance Gibt es in Ihrem Bereich Job Rotation (turnusmäßiger Arbeitsplatzwechsel)? Ist eine Whistle-Blower-Hotline installiert? Etc. 1 COSO (Committee of Sponsoring Organizations of the Treadway Commission) Rahmenwerk für interne Kontrollsysteme und Risikomanagement. 2 Corruption Perception Index. 13

14 In der Regel sind in das Risk Assessment alle Gesellschaften einzubeziehen, bei denen eine Mehrheitsbeteiligung besteht oder bei denen auch ohne Mehrheitsbeteiligung eine unternehmerische Führung durch den Anteilseigner besteht. Vor der Befragung werden die ausgewählten Mitarbeiter in einem Informationsschreiben von der Befragung und deren Wichtigkeit informiert. Dieses Schreiben sollte von der Geschäftsführung/dem Vorstand kommen. Ein Termin für den Rücklauf sollte zwei bis drei Wochen nach Versand des Fragebogens bzw. des Links zum Online-Portal gesetzt werden. Um die Akzeptanz des Fragebogens sicherzustellen und eine hohe Rücklaufquote zu erreichen, sollten die Fragen einfach gehalten und mit vorstrukturierten Antwortmöglichkeiten (Ausfüllen mit der Maus statt mit der Tastatur) versehen werden. Für den von Deloitte eingesetzten Fragebogen findet vor der Bearbeitung durch die Teilnehmer eine automatisierte Selektion von Fragen je nach Position und Fachgebiet des Teilnehmers statt. So werden überflüssige Fragen vermieden. Zudem sollte während der Befragungsphase die Möglichkeit gegeben sein, per oder bei einer Hotline Fragen zu stellen. Datenschutz und betriebliche Mitbestimmung bei solchen Befragungen sind wichtige Themen, die vorab zu klären sind. Für das von Deloitte genutzte Online- Portal ist ein Security-Zertifikat (ISO 27001) verfügbar und die Fragen sind nicht darauf ausgelegt, eine Leistungskontrolle oder -überwachung einzelner Mitarbeiter auszuüben. Die Namen der Teilnehmer sind vom Dienstleister streng vertraulich zu behandeln. Über das Online-Portal von Deloitte werden die Antworten in einer Datenbank gesammelt und können so nach allen erdenklichen Kriterien ausgewertet werden. Um ein möglichst aussagekräftiges Ergebnis der Risikoanalyse sicherzustellen, sind die Fragen des Fragebogens sowie die möglichen Antworten mit einem Risikowert unterlegt, den Deloitte aus Erfahrungswerten ermittelt hat. Zusätzlich werden bei einigen Fragen eigene Risiko-Einschätzungen der Teilnehmer verlangt, die aus einer erläuterten Skala von 1 bis 6 ausgewählt werden können. Dadurch werden eindeutige Aussagen und Priorisierungen zu den Handlungsfeldern im Bereich Korruption und Bestechung möglich. Weitere Maßnahmen können sehr gezielt eingeleitet werden. Abb. 3 Darstellungsbeispiel für Auswertungen des Fragebogens Häufigkeit/Nennungen pro Risiko Risiko 4 Risiko 2 Risiko 3 Risiko Bedeutung des Risikos Fazit Die kontinuierliche Anwendung bzw. die Implementierung des oben beschriebenen Ansatzes zum UK Bribery Act gibt Ihnen, Ihren Mitarbeitern und Ihrem Unternehmen die Sicherheit, alle gem. UK Bribery Act erforderlichen Maßnahmen (z.b. Trainings, Kontrollen, Umgang mit Associated Persons) umgesetzt zu haben bzw. rasch und zielgerichtet umsetzen zu können. Dabei ist es entscheidend, dass die im Rahmen des Risk Assessment ermittelten Handlungserfordernisse ernstgenommen und aufgegriffen werden. Schon die Durchführung des Risk Assessment und die anschließende Veranlassung von Maßnahmen zeigen das gem. UKBA geforderte Top Level Commitment. Eine regelmäßige Durchführung der Fragebogenaktion (ggf. auch mit verringertem/verändertem Umfang) ist ein wichtiger Beitrag zum geforderten Monitoring. Wichtig ist die offene Kommunikation von (zusammengefassten) Ergebnissen und daraus resultierenden Maßnahmen im Unternehmen. Dadurch wird die durch den Fragebogen bereits erzielte erzieherische Wirkung noch einmal deutlich verstärkt. 14

15 CA/CM als Teil der operativen GRC Bilanzskandale, Umgehung von internen und externen Regeln, öffentlichkeitswirksame Datenschutzskandale, Korruptions- und Betrugsaffären sind Auslöser für die Gesetzgebung, die regulatorischen Vorgaben wie Gesetze und Richtlinien zu verschärfen. Hierdurch steigt vermehrt die Bedeutung von Governance, Risk and Compliance (GRC). Es zeigt sich aber, dass die operative Umsetzung einer GRC-Strategie in Unternehmen momentan überwiegend manuell durchgeführt wird. Automatisierungstechniken wie Continuous Auditing (CA) und Continuous Monitoring (CM) zur effektiven Umsetzung von GRC-Prozessen werden aktuell nur vereinzelt angewandt. Continuous Monitoring ermöglicht dem Management eine kontinuierliche und automatische Überwachung der Performance und der Funktionsfähigkeit des unternehmensweiten internen Kontrollsystems, wohingegen Continuous Auditing der Internen Revision ermöglicht, eine effiziente kontinuierliche und automatische Effektivitätsprüfung der implementierten Kontrollen ausgewählter Prozesse durchzuführen. In einer durch Deloitte durchgeführten Befragung ausgewählter Unternehmen in Deutschland zum Entwicklungsstand von Continuous Auditing und Continuous Monitoring zeigte sich, dass CA für viele Revisionsabteilungen zukünftig eine große Rolle spielen wird (Abb. 1). Die Ergebnisse der Befragung nach dem Nutzen einer CA-Lösung spiegeln die hohe Bedeutung von CA und CM für das operative GRC wieder. Der höchste Nutzen für das Unternehmen wird in einer höheren Kontrollsicherheit, einer besseren Compliance, der Verbesserung der Prozesse und in einer Verbesserung der Risikosituation gesehen (Abb. 2). Alexander Thoma Tel: +49 (0) Abb. 1 Wie schätzen Sie die Bedeutung von Continuous Auditing in der Revisionsfunktion ein? Aktuell 22% 44% 34% Prof. Dr. Sigurd Schacht Tel: +49 (0) sschacht@deloitte.de Zukünftig 64% 33% 3% 0% 20% 40% 60% 80% 100% Hohe Bedeutung Geringe Bedeutung Keine Bedeutung Abb. 2 Welchen Nutzen erwarten Sie für Ihr Unternehmen durch die Einführung eines Continuous Auditing? Höhere Kontrollsicherheit 84% 1 Bessere Compliance 52% 8% Verbesserung der Prozesse 48% 21% Verbesserung der Risikosituation 48% 36% Kosteneinsparung bzw. Ertragssteigerung 28% 41% Höhere Verlässlichkeit der Quartals-/Halbjahres-/ Jahresabschlüsse 15% 46% Weitere 3% 53% Kein oder wenig Nutzen 10% 59% 0% 20% 40% 60% 80% 100% 15

16 Von Datenanalyse zu Continuous Monitoring Die Befragung zeigte ebenfalls, dass eine Implementierung einer ganzheitlichen GRC-Lösung auf Basis von Continuous Monitoring einer evolutionären Entwicklung unterliegt. Viele Unternehmen wenden schon heute Datenanalyse in ihrer Internen Revision zur Erhöhung der Prüfungsabdeckung sowie zur Steigerung der Effizienz durch automatische Tests an. In der evolutionären Weiterentwicklung werden diese Prüfungshandlungen in einer Continuous-Auditing- Lösung in wiederholbare automatische Prüfungshandlungen überführt. Auf diese Weise lösen sich diese Prüfungen von der projektorientierten Prüfungsplanung und werden kontinuierlich durchgeführt. Effektivitätssteigerung sowie permanente Sicherstellung einer definierten Prozessqualität sorgen dafür, dass die Vorteile von Continuous-Auditing-Lösungen in den Fachbereichen und im Management gesehen werden. Der Wunsch, die automatische Unterstützung auch aus Sicht der Prozess-Owner nutzen zu können, führt zu einer Erweiterung der Continuous-Auditing-Lösung in Richtung Continuous-Monitoring-Lösung, die abteilungsübergreifend das Unternehmen in der Einhaltung der regulatorischen Anforderungen unterstützt. Das Management und die Interne Revision haben nun einen transparenten und zeitnahen Überblick über die Funktionsfähigkeit der implementierten Prozesse und Kontrollen (Abb. 3). Chancen und Herausforderungen Aus Sicht von Deloitte liegt die größte Chance von Continuous-Auditing- und Continuous-Monitoring-Projekten darin, eine Optimierung der Geschäftsprozesse in Bezug auf Risiko und Qualität zu erreichen. Dies wird erreicht, da durch eine systematisierte und automatisierte Vorgehensweise in den Projekten die vorhandenen Geschäftsprozesse bezüglich manueller und automatisierter Kontrollaktivitäten überdacht werden und so nicht nur eine Effizienzsteigerung in der Revision, sondern ebenfalls in den Geschäftsprozessen erreicht werden kann. In vielen Einführungsprojekten zeigte sich, dass durch ein CA-/CM-Projekt sehr oft mehrere manuelle Kontrollaktivitäten durch wenige automatisierte Kontrollen ersetzt werden konnten. Es gilt jedoch zu beachten, dass CA-/CM-Lösungen nicht in kurzfristigen Projekten umgesetzt werden sollten, sondern vielmehr eines Commitment zu einem neuen, systematisierten Ansatz bedürfen. Eine fundamentale Änderung der Prüfungs- und Überwachungsmethodik muss langsam und bedacht vorgenommen werden, denn neben den Chancen und Möglichkeiten können auch Herausforderungen und Hindernisse die kurzfristigen Erfolge einer CA-/CM-Lösung behindern. Zu den Hindernissen für eine erfolgreiche Einführung zählen vor allem die Anwendbarkeit von CA-/CM- Lösungen im Unternehmen, interne Kämpfe um Budget bzw. Ressourcen und mangelndes Know-how im Unternehmen. Abb. 3 Evolutionäre Implementierung von Continuous Monitoring Continuous Monitoring Continuous Auditing Datenanalyse Höherer Prüfungsumfang im Vergleich zu Stichproben Durchführung nach Bedarf Automatisierte und wiederholende Prüfung in festgelegten Intervallen Adressat: Interne Revision Losgelöst von definierten Prüfungsprojekten der Internen Revision Prozess- und prüfungsübergreifende Vorgehensweise Automatisierte und wiederholende Überwachung der Kontrollen, die im Verantwortungsbereich der Fachbereiche liegen Abteilungsübergreifend Zentralisiertes Reporting Erhöhte Transparenz Wird periodisch von der Internen Revision auf Effektivität geprüft 16

17 Die Unterstützung der implementierten Prozesse durch die IT-Systeme spielt bei Continuous Auditing/ Continuous Monitoring eine tragende Rolle. Um den geforderten Automatisierungsgrad umsetzen zu können, muss einerseits in den zu prüfenden Prozessen eine gewisse Durchdringung an IT-Systemen vorhanden sein und andererseits muss das für Continuous Auditing/ Continuous Monitoring ausgewählte Werkzeug die automatisierte Extraktion, Analyse und vor allem Berichterstattung ermöglichen. Richtig aufgesetzt und angewendet bietet Continuous Auditing/Continuous Monitoring ein enormes Potenzial und auch eine neue Art und Weise, wie Kontrollsicherheit im Unternehmen geschaffen werden kann. Abschließende Beurteilung Durch die Befragung zum Entwicklungsstand von Continuous Auditing und Continuous Monitoring ausgewählter Unternehmen in Deutschland zeigt sich, dass Continuous Auditing/Continuous Monitoring in den nächsten Jahren verstärkt in den Unternehmen Einzug nehmen wird. Entscheidend aus Sicht von Deloitte ist, dass einerseits der nachhaltige Nutzen von CA-/CM-Projekten aufgezeigt wird und andererseits ein Projektteam gebildet werden muss, das fachübergreifend sowohl die technischen Aspekte der automatisierten Analyse von großen Datenbeständen als auch die betriebswirtschaftlichen Fachkenntnisse zur Generierung aussagekräftiger Analyseregeln sowie eine adressatengerechte Berichterstattung abdecken kann. Für Rückfragen und weitere Informationen stehen Ihnen Alexander Thoma und Prof. Dr. Sigurd Schacht gerne zur Verfügung. Vertiefte Informationen zu dem Thema Continuous Auditing/Continuous Monitoring in Deutschland finden Sie auch in unserer Veröffentlichung Entwicklungsstand von Continuous Monitoring und Continuous Auditing in Deutschland Eine systematische Befragung ausgewählter Unternehmen. 17

18 Expertenbarometer Compliance 2013 erste Ergebnisse Dr. Hans-Rudolf Röhm Partner Deloitte Tel: +49 (0) Alexander Buhl Deloitte Tel: +49 (0) Zunehmende Regulierung und entsprechende Haftungsrisiken für Unternehmen und Organisationsmitglieder drohen Unternehmen zu ersticken. Betroffene Führungskräfte und Aufsichtsräte empfinden die Compliance- Management-Systeme häufig als Zwangsjacke, nicht als Schutzweste. Vor diesem Hintergrund ist es Ziel des Expertenbarometers Compliance, ein aktuelles Meinungsbild dieses Span nungsfeldes aus Aufwand und Nutzen für die Beteiligten und ihre entsprechende Organisationen zu erlangen. Hierzu haben wir bislang 125 Compliance-Fachvertreter aus Wirtschaft und Finanzwirtschaft befragt. Die hier dargestellten Ergeb nisse des Expertenbarometers Compliance 2013 sind als erste Trendaussagen zu werten. Überwiegt für Sie eher Aufwand oder Nutzen eines Compliance-Managements? Als zentrale Aussage lässt sich bereits festhalten, dass für knapp die Hälfte der Befragten der Nutzen des Compliance-Managements den Aufwand deutlich überwiegt. Insgesamt 44,9% der Befragten sind dieser Meinung. Für 28,6% rechnet sich der Aufwand eines Compliance- Management-Systems nicht, für 26,5% halten sich Aufwand und Nutzen die Waage. An wen berichtet der Chief Compliance Officer in Ihrem Unternehmen? Für die Beurteilung der Stellung des Compliance-Beauftragten im Unternehmen ist die hierarchische Unterstellung besonders bedeutsam und ein Indikator für die Umset zungseffizienz von Compliance-Maßnahmen. Für 45 Prozent der befragten Unternehmen ist das Thema Compliance Chefsache mit direkter Berichtslinie des CCO an den CEO. Welche Bedeutung messen Sie einzelnen Compliance-Aspekten bei? Die Teilnehmer der Befragung werden zu ihrer Einschätzung von 17 Einzel-Compliance-Aspekten befragt. Interessenkonflikte, Datenschutz, Betrug und Geldwäsche erachten die Befragten für sehr bedeutsam, wohingegen Erpressung für kaum einen der Befragten eine bedeutsame Rolle spielt. Dabei ist anzumerken, dass die Compliance-Risiken abhängig von Branche, Unternehmensgröße, -struktur und regulatorischem Umfeld zu bewerten sind. Für ein noch umfassenderes Bild haben wir das Expertenbarometer inhaltlich erweitert. In Kooperation mit dem Max-Planck-Institut für ausländisches und internationales Strafrecht führen wir die Umfrage bis 20. September 2013 weiter und analysieren Verbreitung, Inhalt und Auswirkungen von Compliance-Programmen. Über Ihre Teilnahme oder Teilnahmeempfehlungen freuen wir uns. Verfolgen Sie die Ergebnisse auf: Aus welchen Gründen beschäftigen Sie sich (als Unternehmen) mit Compliance? Gesetzliche Notwendigkeit 30% Gute Unternehmensführung 26% Risikominimierung 25% Gesellschaftliche Forderung 9% Kundenanforderungen 8% Unternehmenswachstum 2% 0% 5% 10% 15% 20% 25% 30% n=49; Mehrfachnennungen möglich 18

19 Das könnte Sie auch interessieren Global FSI Risk Management Survey Corporate Governance Forum 2/2013 Für mehr Informationen Andreas Herzig Tel: +49 (0) Hinweis Bitte schicken Sie eine an wenn Sie Fragen zum Inhalt haben, wenn dieser Newsletter an andere oder weitere Adressen geschickt werden soll oder Sie ihn nicht mehr erhalten wollen. Für weitere Informationen besuchen Sie unsere Webseite auf Diese Veröffentlichung enthält ausschließlich allgemeine Informationen und weder die Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft noch Deloitte Touche Tohmatsu Limited ( DTTL ), noch eines der Mitgliedsunternehmen von DTTL oder ihre verbundenen Unternehmen (insgesamt das Deloitte Netzwerk ) erbringen mittels dieser Veröffentlichung professionelle Beratungs- oder Dienstleistungen. Bevor Sie eine Entscheidung treffen oder Handlung vornehmen, die Auswirkungen auf Ihre Finanzen oder Ihre geschäftlichen Aktivitäten haben könnte, sollten Sie einen qualifizierten Berater aufsuchen. Keines der Mitgliedsunternehmen des Deloitte Netzwerks ist verantwortlich für Verluste jedweder Art, die irgendjemand im Vertrauen auf diese Veröffentlichung erlitten hat. Deloitte erbringt Dienstleistungen aus den Bereichen Wirtschaftsprüfung, Steuerberatung, Consulting und Corporate Finance für Unternehmen und Institutionen aus allen Wirtschaftszweigen. Mit einem weltweiten Netzwerk von Mitgliedsgesellschaften in mehr als 150 Ländern verbindet Deloitte herausragende Kompetenz mit erstklassigen Leistungen und steht Kunden so bei der Bewältigung ihrer komplexen unternehmerischen Herausforderungen zur Seite. To be the Standard of Excellence für rund Mitarbeiter von Deloitte ist dies gemeinsame Vision und individueller Anspruch zugleich. Deloitte bezieht sich auf Deloitte Touche Tohmatsu Limited, eine private company limited by guarantee (Gesellschaft mit beschränkter Haftung nach britischem Recht), und/oder ihr Netzwerk von Mitgliedsunternehmen. Jedes dieser Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig. Eine detaillierte Beschreibung der rechtlichen Struktur von Deloitte Touche Tohmatsu Limited und ihrer Mitgliedsunternehmen finden Sie auf Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft Stand 08/2013