Positionspapier BCBS 239



Ähnliche Dokumente
Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Grundsätze für bankweite Aggregation von Risikodaten und Risiko-Reporting

Optimierung Liefertreue

Mitarbeiterbefragung als PE- und OE-Instrument

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am

Entwicklung des Dentalmarktes in 2010 und Papier versus Plastik.

6.4.5 Compliance-Management-System (CMS)

Die Gesellschaftsformen

Ohne Fehler geht es nicht Doch wie viele Fehler sind erlaubt?

Dr. Heiko Lorson. Talent Management und Risiko Eine Befragung von PwC. *connectedthinking

Anleitung für die Umstellung auf das plus Verfahren mit manueller und optischer Übertragung

CVW-Privatbank AG. Offenlegungsbericht zum zur Vergütungspolitik entsprechend Artikel 450 der Verordnung (EU) Nr.


Eva Douma: Die Vorteile und Nachteile der Ökonomisierung in der Sozialen Arbeit

15 Social-Media-Richtlinien für Unternehmen!

Bürgerhilfe Florstadt

Was meinen die Leute eigentlich mit: Grexit?

Führung im Callcenter. und warum in Callcentern manch moderner Führungsansatz scheitert

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Grundlagen für den erfolgreichen Einstieg in das Business Process Management SHD Professional Service

Finanzierung für den Mittelstand. Leitbild. der Abbildung schankz

Im Folgenden werden einige typische Fallkonstellationen beschrieben, in denen das Gesetz den Betroffenen in der GKV hilft:

ERP / IT Strategieleitfaden Vorgehensmodell zur Entwicklung einer ERP / IT-Strategie

Risikomanagement Gesetzlicher Rahmen SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Information zur Revision der ISO Sehr geehrte Damen und Herren,

The AuditFactory. Copyright by The AuditFactory

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit

Studie zum Management und Controlling von Reputationsrisiken. Kurzzusammenfassung

FritzCall.CoCPit Schnelleinrichtung

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central

Leitlinien. über die bei Sanierungsplänen zugrunde zu legende Bandbreite an Szenarien EBA/GL/2014/ Juli 2014

Die Makler System Club FlowFact Edition

Den Durchblick haben. VOLKSBANK BAD MÜNDER eg. Online aber sicher: Unsere Produkt- und Sicherheitshotline hilft und informiert

Das Leitbild vom Verein WIR

Kostenstellen verwalten. Tipps & Tricks

Kapitel I: Registrierung im Portal

Objektorientierte Programmierung für Anfänger am Beispiel PHP

PLATTFORM PERSONALMANAGEMENT

Zimmertypen. Zimmertypen anlegen

1.3 MDM-Systeme KAPITEL 1 ZAHLEN UND FAKTEN

Konfiguration einer Sparkassen-Chipkarte in StarMoney

How to do? Projekte - Zeiterfassung

1. Einführung. 2. Weitere Konten anlegen

Professionelle Seminare im Bereich MS-Office

Delta Audit - Fragenkatalog ISO 9001:2014 DIS

Quality Assurance Review der IT-Revision (QAR-IT) -Ein Leitfaden -

Ablauf Vorstellungsgespräch

2.1 Erstellung einer Gutschrift über den vollen Rechnungsbetrag

Benutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer.

das usa team Ziegenberger Weg Ober-Mörlen Tel Fax: mail: lohoff@dasusateam.de web:

GPP Projekte gemeinsam zum Erfolg führen

Ihr Mandant möchte einen neuen Gesellschafter aufnehmen. In welcher Höhe wäre eine Vergütung inklusive Tantieme steuerrechtlich zulässig?

Nutzungsbedingungen für 1-Click Trading auf der Next Generation Handelsplattform der CMC Markets UK Plc

EINE PLATTFORM

Weil Mobilität nichts mit Bürokratie zu tun hat. Die Alphabet Führerscheinkontrolle.

InnoFaktor Innovationsstrategien mittelständischer Weltmarktführer im demografischen Wandel

Studie über die Bewertung von Wissen in kleinen und mittleren Unternehmen in Schleswig-Holstein

Bei der Focus Methode handelt es sich um eine Analyse-Methode die der Erkennung und Abstellung von Fehlerzuständen dient.

Dieter Brunner ISO in der betrieblichen Praxis

PIERAU PLANUNG GESELLSCHAFT FÜR UNTERNEHMENSBERATUNG

«Eine Person ist funktional gesund, wenn sie möglichst kompetent mit einem möglichst gesunden Körper an möglichst normalisierten Lebensbereichen

Lernaufgabe Industriekauffrau/Industriekaufmann Angebot und Auftrag: Arbeitsblatt I Auftragsbeschreibung

Outsourcing und Offshoring. Comelio und Offshoring/Outsourcing

Verpasst der Mittelstand den Zug?

Medienwechsel HBCI-Sicherheitsdatei in StarMoney 8.0 und StarMoney Business 5.0

Informationsblatt zu den Seminaren am Lehrstuhl. für Transportsysteme und -logistik

Fragebogen zur Erhebung der Zufriedenheit und Kooperation der Ausbildungsbetriebe mit unserer Schule

Virtual Roundtable: Business Intelligence - Trends

Einrichtung eines -Kontos bei Mac OS X Mail Stand: 03/2011

Änderung der ISO/IEC Anpassung an ISO 9001: 2000

Spotlight 5 Gründe für die Sicherung auf NAS-Geräten

MARSH CYBER-RISIKO-BEFRAGUNG 2015 ERGEBNISSE DEUTSCHLAND SEPTEMBER 2015

Wirtschaftsinformatik

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Anleitung IPSec VPN. Datum: Version: 1.1. Gültig ab: Ablage:

Vorarlberger Standardschulinstallation Anbindung von Android Mobile Devices

Bewertung des Blattes

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Agieren statt Reagieren. Risikomanagement das Werkzeug der Zukunft

Ziel- und Qualitätsorientierung. Fortbildung für die Begutachtung in Verbindung mit dem Gesamtplanverfahren nach 58 SGB XII

ISO 9001:2015 REVISION. Die neue Struktur mit veränderten Schwerpunkten wurde am 23. September 2015 veröffentlicht und ist seit

Nichtfinanzielles Reporting. Der (integrierte) Bericht als Instrument des strategischen Managements

BETTER.SECURITY AWARENESS FÜR INFORMATIONSSICHERHEIT

Risikogrundsätze Version 2, Stand 10/2011

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai Burkhard Kesting

Checkliste. zur Gesprächsvorbereitung Mitarbeitergespräch. Aktivität / Frage Handlungsbedarf erledigt

SEPA-Leitfaden für die VR-Networld Software. SEPA-Überweisung

ÜBERGABE DER OPERATIVEN GESCHÄFTSFÜHRUNG VON MARC BRUNNER AN DOMINIK NYFFENEGGER

IBIS Professional. z Dokumentation zur Dublettenprüfung

Bestimmungen zur Kontrolle externer Lieferanten. BCM (Business Continuity Management)

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

VR-NetWorld Software 5.x - Umstellung auf SEPA-Zahlungsverkehr - Konten / SEPA-Überweisungen -

Projektanleitung zum

Lehrer: Einschreibemethoden

ERGEBNISSE DER CW-MARKTSTUDIE COLLABORATION AUS DER CLOUD IM UNTERNEHMENSEINSATZ IN TABELLARISCHER FORM

Informationssystemanalyse Problemstellung 2 1. Trotz aller Methoden, Techniken usw. zeigen Untersuchungen sehr negative Ergebnisse:

Transkript:

tomoro zeigt Ziele der neuen Risikomanagement-Richtlinie und leitet notwendige Optimierungsansätze bankinterner Instanzen ab Autor: Friedsam, Sebastian; Dahl, Markus Firma: tomoro GmbH Datum: 14. August 2015 Zusammenfassung Aktuell ist die Risikomanagement-Richtlinie BCBS 239 in den IT-Abteilungen der deutschen Banken in aller Munde. Es werden zentrale Datenpools gebaut, mit In- Memory-Datenbanken wie SAP HANA experimentiert um Datenanalysen und -reportings in Echtzeit zu ermöglichen, sowie Kennzahlen gemeinsam mit den Risikocontrollern mit Inhalt gefüllt. Eine Voraussetzung zur Erfüllung der neuen Richtlinie wird jedoch weiterhin vernachlässigt: die Anforderungen an die bankinternen Prozesse / IT-Governance. Die Grundsätze fordern die IT-Infrastruktur, die Datenqualität und die Flexibilität der Risikoberichte. Welche Anforderungen an die internen Prozesse, die Kontrollmechanismen und die Shareholder-Informationskanäle gestellt werden, bleibt bei einer Vielzahl der Veröffentlichungen und Thesenpapiere zu BCBS 239 aber unbeantwortet. Diese Lücke adressieren wir mit diesem Artikel und zeigen abschließend in einem Schaubild konkrete Optimierungsansätze in Bezug auf das Zusammenwirken bankinterner Instanzen.

1. Einleitung: Wieso die Richtlinie BCBS 239 für alle deutschen Banken relevant ist Aufgrund der Wirtschafts- und Bankenkrisen wurden von verschiedenen Institutionen Richtlinien vorgegeben, durch die solcherlei Schieflagen zukünftig früher erkannt werden, abgeschwächt oder gar verhindert werden können. Die Europäische Zentralbank (EZB) versucht beispielsweise durch die Einführung von Meldungen zum Financial Reporting (FinRep), frühzeitig systemweite Risiken zu identifizieren oder durch die Auferlegung von Stresstests die Handlungsfähigkeit von Banken in verschiedenen Krisenszenarien zu überprüfen. Dass nun auch das Risikodatenmanagement und -reporting durch das Basel Committee on Banking Supervision (BCBS) adressiert wird, kann somit keinen verwundern. Das BCBS hat im Januar 2013 mit der 21-seitigen Veröffentlichung Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung 1 zeitgemäße Anforderungen an die IT-Architektur sowie an das Datenmanagement für die Risikoberichterstattung systemrelevanter Banken formuliert. International ist die Deutsche Bank die einzige deutsche Großbank, die als systemrelevant einzustufen ist und doch hat die Richtlinie durch eine bevorstehende Novellierung sehr bald auch direkten Einfluss auf das gesamte deutsche Bankensystem. Die BCBS-Publikation mit der Veröffentlichungsnummer 239 - daher der Name BCBS 239 beschreibt insgesamt 14 Grundsätze, die das Thema Risikodaten in Banken genauer definieren und somit als gemeinsame Basis für Prüfer und Banken ab dem 1. Januar 2016 dienen soll. Aktuell erarbeitet die BaFin die Bankenaufsichtsrechtliche Anforderungen an die IT (BAIT), die bereits in der nächsten MaRisk Novellierung, die noch für das Jahr 2015 geplant ist, Einzug halten dürfte. Sehr wahrscheinlich werden die Grundsätze der BCBS 239 nach unserer Einschätzung ohne nennenswerte Unterschiede aufgenommen, was die Veröffentlichung der Richtlinie BCBS 239 folglich nicht nur für systemrelevante Banken, sondern für die gesamte deutsche Bankenlandschaft relevant werden lässt. 1 http://www.bis.org/publ/bcbs239.pdf Seite 1

1.1. Ziele von BCBS 239 Mit den beschriebenen Grundsätzen der Richtlinie sollen folgende Ziele erreicht werden: Erweiterung und Optimierung der Infrastruktur für die Identifizierung und Überwachung wesentlicher Risiken durch die Vorstands- und Führungsebene Verbesserung der Entscheidungsprozesse innerhalb der Bankorganisation Optimierung der Datenerhebung innerhalb des Konzerns als Basis für eine konsolidierte Gesamtsicht Verringerung der Wahrscheinlichkeit und der Höhe von Verlusten, die aus Schwächen des Risikomanagements resultieren Verkürzung der Datenerhebung und somit der Bereitstellung der Risikoreports als Grundlage für zeitnahe Entscheidungen Optimierung der Aufbau- und Ablauforganisation für die Risikomessung neuer Produkte und Services 1.2. Inhaltliche Schwerpunkte BCBS 239 Übergeordnete Anforderungen an die IT-Architektur und das Datenmanagement für die Risikoberichterstattung Grundsätze zur Governance & Infrastruktur Risikodatenerhebung Risikoberichterstattung Aufsichtsrechtlichen Prüfung G1 - Governance für die Datenerhebung und das Risikoreporting G2 Datenarchitektur und IT-Infrastruktur G3 - Qualität, Konsistenz, Integrität G4 - Vollständigkeit G5 - Bereitstellungszeit G6 Anpassungsfähigkeit G7 - Präzision G8 - Umfang G9 - Verständlichkeit und Nutzen G10 - Reportingfrequenz G11 - Berichtswege G12 - Review durch die Prüfer G13 - Sanierung und Prüfungsmaßnahmen G14 - Zusammenarbeit Revision im Konzern Abbi ldu ng 1: inh al tli che Auf tei lun g d er BC BS 2 39 Die Grundsätze der BCBS 239 Richtlinie sind vier Themenbereichen zugeordnet: 1. Governance & Infrastruktur, 2. Risikodatenerhebung, 3. Risikoberichterstattung und 4. Aufsichtsrechtliche Prüfung. Darunter gliedern sich die bereits angesprochenen 14 Grundsätze, in denen die Anforderungen an die IT-Architektur und das Datenmanagement der Risikoberichterstattung beschrieben werden. Seite 2

2. Anforderungen an die internen Unternehmensprozesse Durch die Grundsätze ergeben sich nicht nur technische Anforderungen an Risikodaten und Berichtswege, sondern auch an unternehmensinterne Prozesse. Wir konzentrieren uns in diesem Artikel auf die Grundsätze der BCBS 239, die Anforderungen an Unternehmensprozesse, beziehungsweise an das Führungspersonal stellen. Beispielsweise wird im Grundsatz G1 Governance für die Datenerhebung und das Risikoreporting folgendes formuliert: Der Vorstand sowie die weiteren Führungskräfte müssen regelmäßig den Datenerhebungsprozess dezidiert genehmigen und sicherstellen, dass entsprechende Ressourcen für die Erhebung bereitgestellt werden. Folglich rücken Vorstand und Führungspersonal ab Januar 2016 in den Fokus der Prüfer. Genauso wird bei Übernahme-Vorhaben (M&A) der Prozess zur Risikodatenbereitstellung und -integration in die bestehenden Prozesse des übernehmenden Partners zu einer Prämisse in der Vorbereitung: Bei der Akquisition von juristischen Personen ist im Rahmen der due dilligence 2 die Qualität der Riskiodatenerhebung und aggregation zu bewerten und ein Zielbild für die Integration in die bestehende Prozess und IT-Welt zu entwerfen. Dieser Prozess muss explizit dem Vorstand vorgestellt und im Rahmen einer Akquisition genehmigt werden. Dies zeigt, dass die Risikodatenerhebung und aggregation integraler Bestandteil der IT-Strategie einer Bank werden muss. Ebenso werden im Grundsatz G2 Datenarchitektur und IT-Infrastruktur Anforderungen an das Business Continuity Management gestellt: Risikodatenerhebung und aggregation sowie die Überführung in das Reporting sollten im Business Continuity Prozess berücksichtigt werden, sowie Bestandteil einer Business Impact Analyse sein Gleiches gilt für die Führungskräfte: Die Verantwortlichen, in Zusammenarbeit mit den Risiko-Managern, haben dafür Sorge zu tragen, dass adäquate Kontrollmechanismen über den kompletten Lebenszyklus der Risikodaten unter Berücksichtigung aller Aspekte der (techn.) Infrastruktur existieren. 2 http://wirtschaftslexikon.gabler.de/definition/due-diligence.html Seite 3

Im Grundsatz G3 Qualität, Konsistenz und Integrität wird eine Erwartungshaltung der Prüfer formuliert, sodass hier direkt Prüfpositionen abzuleiten sind: Prüfer erwarten von Banken die Messung und Überwachung der Datenvalidität, die Entwicklung angemessener Eskalationsstufen (-pfade) und Aktionsplänen zur Behebung schlechter Datenqualität Im Grundsatz G7 Präzision wird ebenfalls das Führungspersonal adressiert: Prüfer erwarten von den Führungskräften die Etablierung von Anforderungen an Sorgfalt und Genauigkeit für sowohl das normale als auch das Stress- / Krisenreporting. Dies beinhaltet Berichte über kritische Positionen und Exposure- / Gefährdungsinformationen. Diese Anforderungen sollten die Kritikalität der Entscheidungen wiedergeben, deren Grundlage die ermittelten Informationen sind. Auch in Grundsatz G8 Umfang wird das Board und Senior Management angehalten, eine zukunftsorientierte Bewertung von Risiken in den Ihnen zur Verfügung gestellten Reports zu erarbeiten: Prüfer erwarten in Risikomanagementreports die an das Board und Senior Management gehen eine zukunftsorientierte Bewertung von Risiken. Diese sollten sich nicht ausschließlich auf aktuellen bzw. historischen Daten beziehen. Sie sollten Vorhersagen oder Szenarien für zentrale Marktvariablen und deren Effekte für die Bank beinhalten, so dass das Board und das Senior Management über die wahrscheinliche Auswirkung auf das zukünftige Eigenkapital und das Risikoprofil der Bank informiert ist. Weiterhin wird der Vorstand beispielsweise im Grundsatz G9 Verständlichkeit und Nutzen in mehreren Punkten in die Verantwortung genommen: Als einer der Kernadressaten von Risikomanagement-Reports ist der Vorstand einer Bank für die Definition der eigenen Risiko-Reporting-Anforderungen und die Einhaltung der eigenen Verpflichtungen verantwortlich. Dies schließt andere relevante Stakeholder ein. Der Vorstand sollte sicherstellen, dass er nach relevanten und entscheidungskritischen Informationen fragt und diese zur Erfüllung der Vorstandsfunktion auch erhält,. Dies ermöglicht dem Vorstand eine Handlungsausrichtung der Bank im Rahmen ihrer Risikoaffinität / -aversion. Der Vorstand sollte die zuständige Führungsebene darüber informieren, wenn Risikoreports nicht die definierten Anforderungen einhalten. Genauso gilt dies, wenn die Berichte nicht das richtige Aggregationslevel und die not- Seite 4

wendigen Informationen, die eine Überwachung der definierten Risikotoleranz ermöglichen. Der Vorstand sollte proaktiv darauf hinweisen, ob die Risikoreports das notwendige Maß an Details beinhalten und ob das Verhältnis von quantitativen / qualitativen Informationen adäquat ist. Die weitere Führungsebene ist ebenfalls ein wesentlicher Empfänger von Risikoreports und ist für die Definition der eigenen Anforderungen an den Risikoreport verantwortlich. Die Bereichsleitung muss sicherstellen, dass der Bericht diejenigen Informationen erhält, die es ihr erlaubt, ihre Steuerungsfunktion in Bezug auf die Bank und dem jeweiligen Risiko, dem die Bank ausgesetzt ist, auszuüben. Auch die Zustellung von Berichten an die Stakeholder rückt nun in den Fokus der Prüfer, da diese von Banken eine periodische Bestätigung erwarten, dass alle relevanten Adressaten ihre Reports auch zeitnah erhalten haben. 3. tomoro zeigt notwendige Optimierungsansätze Aus diesen und weiteren Anforderungen der Grundsätze der Risikomanagement-Richtlinie BCBS 239 ergibt sich folgendes Schaubild. Nach Einschätzung der tomoro werden notwendige Optimierungsansätze in Bezug auf das Zusammenwirken der bankinternen Instanzen aufgezeigt. Seite 5

Abbi ldu ng 2: eig en e D arst ell ung to mor o Seite 6

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback