Henning Riediger, Prüfungsleiter im Referat Bankgeschäftliche Prüfung, Deutsche Bundesbank, Hannover
Change The Bank – Change the Reporting Carefully
Besondere Aufmerksamkeit ist dann angebracht, wenn eingespielte Verfahren und Prozesse geändert werden. Seit der MaRisk-Novelle 2012 gibt es die Anforderungen gemäß AT 8.2, welche sich inhaltlich genau mit solchen Konstellationen auseinandersetzen. Wird nun im Rahmen der Berichterstattung ein neues System, eine neue Infrastruktur, eine neue Darstellungsweise oder auch eine neue Methodik der Risikoermittlung eingesetzt, so ist durch entsprechende Kontrollhandlungen sicherzustellen, dass das Fehlerpotenzial minimiert wird. Übliche Maßnahmen in diesem Zusammenhang sind die Nutzung des Vier-Augen-Prinzips bei der Einstellung von Parametergrößen (z. B. Zinselastizitäten und/oder Ablauffiktionen) und die Verwendung einer Parallelrechnung (z. B. bei neuen oder veränderten Messmethoden) über einen ausreichend langen Zeitraum. Gerade die Parallelrechnungen aus der Umstellung der Überprüfung der Risikotragfähigkeit bieten die Möglichkeit zu überprüfen, wie sich die nunmehr verwendete Steuerungssystematik zur bisher verwendeten Methodik verhält. Besonders veränderte Volatilitäten spielen eine maßgebliche Rolle. Stellen sich beispielsweise vollkommen unterschiedliche Risikowertentwicklungen ein, muss diese Auffälligkeit nicht nur im Risikocontrolling untersucht, sondern auch dem Berichtsempfänger entsprechend deutlich gemacht werden.
Umfang und Tiefe der Darstellung richtet sich nach dem Empfänger
Eine in der Praxis häufig gestellte Frage ist nach der Art und dem Umfang der Darstellung von risikorelevanten Informationen. Hier wird gerade häufig in den berichteten Organisationseinheiten die Auffassung vertreten: umso mehr, desto besser. Grundsätzlich ist eine umfängliche und vollständige Risikodarstellung wünschenswert; aber entscheidend ist es, ob die Berichtsempfänger bei der Vielzahl an Informationen den notwendigen Überblick behalten wird. Auch hier sind auch die Berichtsempfänger in der Pflicht, genau vorzugeben, wie und in welchem Umfang über was berichtet werden soll. Hier kann beispielsweise mit Schwellwerten gearbeitet werden, analog der Vorgehensweise bei der Risikoinventur oder der Ableitung der Risikorelevanzgrenze. Die zeigt sich ebenso bei der Darstellung von erwähnenswerten Kreditengagements und findet die methodische Vollendung in der Ad-hoc-Berichterstattung an Vorstand bzw. Geschäftsleitung und Aufsichtsorgan.
Für den Empfänger muss es möglich sein, die Einhaltung der strategischen Vorgaben zu überprüfen bzw. den Weg zu den gesetzten Zielen erkennen können.
Was bedeutet eigentlich Ad-hoc? Gerade im Bereich der Berichterstattung an das Aufsichtsorgan müssen gewisse Spielregeln eingehalten werden. In diesen kritischen Fällen wird erwartet, dass ohne schuldhaftes Zögern, zumindest der Vorsitzende des Aufsichtsrats oder dessen Vertreter bzw. der Vorsitzende des Risikoausschusses über mögliche Kanäle umgehend informiert wird. Gerade in solch kritischen Situationen muss der Erfüllung von Informationspflichten der Vorrang vor formalen Formulierungsfragen eingeräumt werden. Neben der Zeitkomponente ist zudem darauf zu achten, dass die Informationen entsprechend eingeordnet werden können. Der Empfänger muss sich sein eigenes Bild machen können und sollte nicht durch auffällige Über- oder Untertreibungen in der Beurteilung des relevanten Sachverhalts beeinträchtigt werden.
Natürlich kann nicht erwartet werden, dass alle möglichen Ereignisse vorab in Organisationsrichtlinien erfasst werden, um entsprechende Handlungsmaßnahmen festzulegen. Aber es kann erwartet werden, dass bestimmte relevante Größenordnungen definiert sind, die eine Ad-hoc-Berichtspflicht auslösen. Als einfaches Beispiel dient hier der Eintritt eines Verlusts aus Kreditausfall ab einer festgelegten Größenordnung. Bei der Beurteilung von Ereignissen können solche Größenordnungen eine wichtige Rolle spielen und dem Berichtenden die Möglichkeit bieten, sich auf das Wesentliche zu konzentrieren. Explizite Vorgaben der Aufsicht gibt es in der Praxis nicht. Die notwendigen Regelungen haben sich nach Art, Umfang, Risikogehalt und Komplexität auszurichten. Demnach ist insbesondere darauf zu achten, dass für die wesentlichen Risikoarten entsprechende berichtsrelevante Kriterien definiert sind. Bei der Wahl der Kriterien ist darauf zu achten, dass diese objektiv überprüfbar sind und unabhängig von der handelnden bzw. berichtenden Person sind. Das heißt für die Praxis, es kann ergebnisbezogen egal sein, ob der tatsächliche jeweilige Stelleninhaber berichtet oder sein Vertreter den Prozess ausführt.
Einsatz angemessener Systeme und Infrastruktur
In der Praxis verwenden Banken und Sparkassen völlig unterschiedliche Systeme und Infrastrukturen für ihr jeweiliges Berichtswesen. Wichtig ist es dem Institut bei Berichtsvorgängen ein Mindestmaß an Standardisierung zu gewährleisten. Dies betrifft spezielle Software wie ebenso die weithin im Berichtswesen vorkommende Datenverarbeitung auf Individual-Software (z. B. Excel, Access oder Lotus Notes). Während in der Praxis verbundweite (Software-)Lösungen in der Darstellung die Institute insbesondere bei der Kommentierung stark einschränken, bieten natürlich Excel- und Access-Anwendungen eine Vielzahl an Möglichkeiten. Diese Möglichkeiten können selbstverständlich genutzt werden, aber auch hier ist eine gewisse Disziplin der berichtenden Einheiten zwingend erforderlich. Wiederholt vorkommende Standardprozesse oder -abfragen sollten ein geordnetes Test- und Freigabeverfahren durchlaufen haben. Dies reduziert die Fehleranfälligkeit signifikant. Handelt es sich um gezielte Einzelauswertungen, wie beispielsweise gezielte Stresstests. Für Einmalauswertungen muss nicht das ganze Procedere durchlaufen werden, so-fern sichergestellt ist, dass der gesunde Menschenverstand eingeschaltet war und die der Weg zu den Ergebnissen für einen sachkundigen Dritten ohne weiteres nachvollziehbar und überprüfbar sein muss. Also auch hier gilt es, die relevanten Unterlagen angemessen aufzubewahren und inhaltlich so auf zubereiteten, dass die Anforderungen des AT 6 der MaRisk eingehalten sind.
Wichtig ist, dass sichergestellt ist, dass neben der fachlichen Abnahme auch eine technische Freigabe erfolgt. Fragen Sie Ihren ITler im Haus, wieweit man mit sehr geringen Mitteln in einer Excel- oder Access-Datei Schaden im Laufwerk anrichten kann?! Am Ende kommen Sie auch beim Einsatz von Software auf Trägersystem nicht um die Einhaltung des Schutzbedarfs herum. Folglich sollte im Institut bekannt sein, welche Anwendungen für die Berichtsprozesse relevant sind und wie der Grad an Sicherheit für die verarbeiteten Daten in dieser Anwendung ausgeprägt ist.
PRAXISTIPPS
- Beziehen Sie den Berichtsprozess unter Qualitätssicherungsgesichtspunkten in Kontrollen mit ein.
- Gleichen Sie im Berichtswesen immer die aktuelle Situation mit den Zielen der Strategie ab.
- Stimmen Sie mit den Berichtsempfängern die Mindestinhalte und Relevanzgrößen ab.
- Implementieren Sie einen sinnvollen Ad-hoc-Berichtsweg.
- Stellen Sie sicher, dass die angestrebten Schutzziele für die Daten erreicht werden; identifizieren Sie Abweichungen und versuchen Sie diese zu beseitigen.
Beitragsnummer: 22385