Freitag, 13. August 2021

ICAAP IKS – Herausforderungen bei der Umsetzung

Erfahrungen aus der Beratungspraxis zur Einbindung des ICAAP in die Gesamtbanksteuerungsprozesse mit Fokus auf dem Internen Kontrollsystem (IKS)

Daniel Storch, Senior Consultant Risikomanagement, Team Risikomanagement und Meldewesen, ADVISORI FTC GmbH

 

Einleitung

Ziel des Beitrags ist eine Einführung in die Thematik des ICAAP-IKS. Der Fokus liegt dabei auf der Auseinandersetzung mit den maßgeblichen Herausforderungen und Empfehlungen für eine angemessene Umsetzung.

 

Für Less Significant Institutions (LSI) ist mit der Veröffentlichung des neuen ICAAP-Leitfadens der BaFin im Mai 2018 ein Verfallsdatum für die Nutzung des Going-Concern-Ansatzes aktiviert worden. Untermauert wird dies mit der neuen per 16.08.2021 veröffentlichten MaRisk-Novelle. In AT 4.1 Tz. 2 wird die Umsetzung einer ökonomischen und einer normativen Perspektive gefordert und hinsichtlich deren Ausgestaltung auf den o. g. ICAAP-Leitfaden der BaFin verwiesen.

 

Bei der An- bzw. Einbindung des ICAAP in die bestehende Prozesslandschaft sind neben den rein fachlich-methodischen Anforderungen diverse weitere Vorgaben zu beachten. U. a. Anforderungen an das Interne Kontrollsystem gemäß AT 4.3 MaRisk sowie die Anforderungen aus den BAIT, insbesondere bezüglich der technischen Realisierung. Hierbei sind vor allem die prozessualen und technischen Aspekte bei der Realisierung von Bedeutung.

 

Der ICAAP bildet zudem einen wesentlichen Bestandteil des Supervisory Review and Evaluation Process (SREP) bei der Bewertung der Institute durch die Aufsicht. Hier liegt der Fokus auf der Beurteilung der Angemessenheit der SREP-Bausteine Governance, Risikomanagement und Kapitaladäquanz.

 

Einführung eines ICAAP-IKS

Anhand der regulatorischen Entwicklungen der letzten Jahre ist eine zunehmende Bedeutung des ICAAP seitens der Aufsicht festzustellen. Um dieser gerecht zu werden und eine nachhaltige Angemessenheit des ICAAP zu gewährleisten, sollten auch die mit dem ICAAP einhergehenden Vorgaben zum IKS beachtet und umgesetzt werden. Mit ICAAP-IKS ist die Gesamtheit aller Vorkehrungen, Handlungen und Maßnahmen zur Vermeidung künftiger bzw. Aufdeckung und Behebung bereits eingetretener Fehler im Zusammenhang mit dem ICAAP und seinen Bestandteilen zu verstehen. Ziel ist es, neben einer angemessenen Erfüllung der relevanten regulatorischen Anforderungen, eine hohe Qualität bei der Generierung der Ergebnisse des ICAAP zu gewährleisten, um eine fundierte und konsistente Entscheidungsfindung im Rahmen der Gesamtbanksteuerung zu ermöglichen.

 

Für die Definition des ICAAP-IKS empfiehlt sich eine Orientierung an den Vorgaben des AT 4.3 MaRisk, wobei die gemäß AT 4.3.3 durchzuführenden Stresstests Bestandteil des ICAAP selbst und nicht deren IKS sind. In Anlehnung an den ICAAP-Leitfaden besteht der ICAAP aus der Risikoinventur, der normativen und ökonomischen Perspektive sowie den Stresstests. Folgende Elemente können zum ICAAP-IKS gezählt werden:

  • schriftlich fixierte Ordnung inklusive der definierten Prozesse und Kontrollhandlungen rund um den ICAAP,
  • Validierung/Modell Validierung,
  • Datenqualitätsmanagement.

 

Die Einbeziehung des Themas Validierung resultiert aus der Anforderung der Tz. 5 des AT 4.3.2: „Die […] zur Risikoquantifizierung eingesetzten Methoden und Verfahren sind […] auf ihre Angemessenheit zu überprüfen und ggf. anzupassen. Dies betrifft insbesondere auch die Plausibilisierung der ermittelten Ergebnisse und der zugrunde liegenden Daten. AT 4.1 Tz. 9 ist entsprechend anzuwenden.

 


Grundsätzlich sind die Anforderungen an Datenqualität und Datenmanagement gemäß AT 4.3.4 derzeit nur von systemrelevanten Instituten umzusetzen. Aus den Vorgaben an die Angemessenheit von Methoden und Verfahren (vgl. AT 4.1 Tz. 9: „[…] Im Rahmen der Überprüfung ist den Grenzen und Beschränkungen, die sich aus den eingesetzten Methoden und Verfahren, den ihnen zugrunde liegenden Annahmen und den in die Risikoquantifizierung einfließenden Daten ergeben, hinreichend Rechnung zu tragen […]“) sowie zum Management von IT-Risiken (vgl. BAIT Modul 3 sowie AT 7.2 Tz. 2 MaRisk) und nicht zuletzt aufgrund der Vorgaben zur Steuerung operationeller Risiken (mit Fokus auf fehlerhafte Erfassung, Verarbeitung und eingeschränkte Verfügbarkeit von Daten als mögliche Schadensursachen) ergibt sich aber auch eine indirekte Anforderung an LSI, die Vorgaben an ein Datenqualitätsmanagement zu erfüllen.

 

Die Qualität von Entscheidungen korreliert grundsätzlich mit der Qualität der verwendeten Input-Daten. Folglich sollte der Anspruch an eine hohe Datenqualität sowie Qualität der Datenverarbeitung selbstverständlich sein, da diese die Basis bilden für die Entscheidungsfindungsprozesse in der Gesamtbanksteuerung.

 

Überblick über Herausforderungen

In den 20er Jahren des 21. Jahrhunderts trifft man bei der Umsetzung des ICAAP teilweise immer noch auf eher heterogene, historisch gewachsene Lösungen, welche sich durch eine hohe Anzahl verschiedener Datenquellen und Schnittstellen sowie den damit einhergehenden Anbindungs- bzw. Kompatibilitätsproblemen und einer Vielzahl selbstentwickelter Anwendungen auszeichnen. Damit einher gehen oftmals viele kleinteilige, manuelle Prozessschritte, die ein zunehmend überproportionales Fehlerpotenzial in sich bergen. Darüber hinaus stellt sich bei derartigen komplizierten Lösungen die Integration neuer oder geänderter fachlicher Anforderungen oftmals als große Herausforderung dar. Ursachen dafür sind neben einer hohen Abhängigkeit von den internen Know-how-Trägern, die die jeweiligen Applikationen programmiert haben, bzw. die Betreuung der Programme durchführen, oftmals eine nicht vorhandene, nicht vollständige oder nicht mehr aktuelle Dokumentation.


PRAXISTIPPS


  • Klare Definition von Verantwortlichkeiten und Zuständigkeiten für das ICAAP IKS.
  • Einführung eines Datenqualitätsmanagements bzw. Prüfung der Angemessenheit des vorhanden Datenqualitätsmanagements, vor allem in Bezug auf den ICAAP.
  • Einführung eines Validierungshandbuchs sowie von Validierungskonzepten für alle Bestandteile des ICAAP bzw. Prüfung der Angemessenheit der vorhandenen Vorgaben an die Validierungshandlungen.
  • Kritische Auseinandersetzung mit den im Einsatz befindlichen Modellen hinsichtlich deren Grenzen und Schwachstellen.
  • Überprüfung und ggf. Aktualisierung der schriftlich fixierten Ordnung rund um den ICAAP.
  • Erarbeitung einer stringenten, aber flexiblen auf etwaige Anpassungen ausgerichteten Aufbau- und Ablauforganisation sowie der damit einhergehenden Dokumentations- und Aktualisierungsstandards.

Beitragsnummer: 18305

Beitrag teilen:

Beiträge zum Thema:

Beitragsicon
Die Behandlung von Nachhaltigkeitsrisiken in den neuen MaRisk

Die neuen MaRisk sorgen in vielen Fällen für mehr Klarheit bezüglich der Behandlung von Nachhaltigkeitsrisiken in der Gesamtbanksteuerung.

26.01.2024

Beitragsicon
Zukunft der Revision: Neue Global Internal Audit Standards ab 2025

Ein Blick auf die EBA/GL/2021/05 & die Global Internal Audit Standards 2024. Wie relevant sind sie wirklich ?

09.02.2024

Beitragsicon
HR-Prozesse in der Prüfung

Die Personalarbeit rückt weiter in den Fokus der Aufsicht. Die Mitarbeitenden sind u.a. die Grundlage für ein wirksames IKS.

04.03.2024

Beitragsicon
Normative Perspektive der Risikotragfähigkeit – Prüfungserfahrungen

Kernelemente der normativen Sicht zeigen der Bankpraxis wiederholt Schwächen auf. In der „neuen RTF-Welt“ rechtzeitig die möglichen Schwächen identifizieren.

16.01.2024

Beitragsicon
MaRisk 8.0 – Umsetzungshinweise und Folgen für die Banksteuerung

Auswirkungen der MaRisk 8.0 auf die Banksteuerung

12.09.2023

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.