Walter Gruber Linda Schöche Markus Rose (Hg.)
Prüfungsleitfaden Interne Revision
Praxishandbuch für die Finanzbranche
Bibliografische Information der Deutschen Nationalbibliothek
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Besuchen Sie uns im Internet: http://www.frankfurt-school-verlag.de
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.
Konvertierung in ePub: mediaTEXT Jena GmbH
ISBN (print): 978-3-95647-207-7
ISBN (epub): 978-3-95647-209-1
ISBN (pdf): 978-3-95647-208-4
ISBN (mobi): 978-3-95647-210-7
2., aktualisierte und erweiterte Auflage 2022
Inhaltsverzeichnis
Geleitwort
Vorwort der Herausgeber
Autoren und Herausgeber
1 Risikotragfähigkeit
2 Ratingsysteme
3 Prüfung von auf Internen Ratings basierenden Ansätzen
4 Kreditrisiko
5 Management notleidender (NPE) und gestundeter Risikopositionen (FBE)
6 Regulatorische Kapitalunterlegung der Kontrahentenrisiken aus Derivaten
7 Marktpreisrisiko
8 Liquiditätsrisiken
9 Targeted Review of Internal Models
10 Alternative Investments – Klassifizierung und Risikomodelle
11 Modellrisiko
12 Validierung
13 EMIR und SFTR – Anforderungen aus der European Markets Infrastructure und Securities Financing Transaction Regulation
14 IT-Prüfung
15 Prüfung von Nachhaltigkeitsrisiken
16 Prüfung von Projekten
17 Auslagerungen
Geleitwort
Die Regulierung der Finanzdienstleitungsbranche ist unverändert auf einem Wachstumspfad. Getrieben durch zunehmend komplexe Geschäftsmodelle und Produkte der Kreditinstitute einerseits und durch risikobehaftete Entwicklungen auf gesamtwirtschaftlicher Ebene sowie neue oder mit neuem Gewicht versehene politische und gesellschaftliche Fragen andererseits, entstehen Richtlinien, Verordnungen, Leitlinien und Standards auf Ebene der Europäischen Union (EU), die nicht selten die Einhundertseitengrenze überschreiten. Bestehende Vorgaben werden weiter detailliert und ergänzt und bislang unregulierte Bereiche mit EU-Regulierung versehen. Der deutsche Ansatz der prinzipienorientierten Regulierung stößt bei der Übernahme der EU-Regulierung zunehmend an Grenzen. So wird im Rahmen der siebten Novelle der Mindestanforderungen an das Risikomanagement der Kreditinstitute (MaRisk), die 2022 ansteht, erstmals in größerem Umfang Verweisungstechnik zur Anwendung kommen und auf Leitlinien der European Banking Authority (EBA) verwiesen werden, da sich die dortige Detailregulierung schlichtweg nicht mehr sinnvoll in die MaRisk integrieren lässt. Auch in deutschen Gesetzen ist der Verweis auf EU-Verordnungen bereits Praxis.
Ein aktuelles Beispiel für neue und umfangreiche Regulierung ist das Thema Nachhaltigkeitsrisiken, das in Abschnitt 15 dieses Prüfungsleitfadens von Stephan Bellarz aufgegriffen wird, da hiervon zahlreiche Prüfungsgebiete der Internen Revision betroffen sind. Dies sind vor allem die Geschäftsstrategie und die Governance, die Kapitalmarkt- und die Kreditprozesse, der Vertrieb sowie das Risikomanagement der Kreditinstitute.
Aber auch die Themen Auslagerungen, in Abschnitt 17 von Pascal Ritz dargestellt, sowie Informationstechnologie, von Mubariz Ilyas in Abschnitt 14 behandelt, waren zuletzt Gegenstand von erweiterter Regulierung und in der Folge von Sonderprüfungen der Bankenaufsicht.
Die Prüfer der Bankenaufsicht in Deutschland haben im Lauf der letzten Jahre ein hohes fachliches Qualitätsniveau erreicht. Fachliche Arbeitsteilung bei gleichzeitiger Vernetzung bzw. standortübergreifender Zusammenstellung der Prüfungsteams ermöglicht die Durchführung fachlich anspruchsvoller Sonderprüfungen in unterschiedlichen Themengebieten und fordert die Fachbereiche in den Kreditinstituten zunehmend heraus.
Die Interne Revision ist gefordert, mit dieser Entwicklung Schritt zu halten und ihrerseits fachlich hochwertige Prüfungen zu gewährleisten. Dabei sind Spezialwissen und eine sorgfältige Prüfungsvorbereitung unerlässlich. Die fachliche Aus- und Weiterbildung der Prüfer, aber auch die sorgfältige Analyse der rechtlichen Rahmenbedingungen sowie das Studium der begleitenden Literatur sind dabei wichtige Bestandteile.
Mit dem nunmehr in zweiter Auflage veröffentlichten Handbuch „Prüfungsleitfaden Interne Revision“ liegt ein umfangreiches und nützliches Nachschlagewerk vor, das wesentliche Themen beinhaltet, die Gegenstand von Regulierung und damit auch Pflichtprogramm in den Prüfungen der Internen Revision sind. Aufgrund der Heterogenität und der Komplexität der Themen erscheint der Leitfaden als Aufsatzsammlung. Die Autoren sind erfahrene Praktiker in der Internen Revision sowie langjährige Berater der Firma 1 PLUS i. Die Aufsätze ermöglichen einen Einstieg in das jeweilige Thema, werfen einen Blick auf den regulatorischen Rahmen und beinhalten konkrete Prüfungsfragen, die als Grundlage für das Prüfungsprogramm der Internen Revision verwendet werden können.
Einen Schwerpunkt des Prüfungsleitfadens bilden – mit den ersten zwölf Abschnitten – Themen des Risikomanagements und der Risikotragfähigkeit, die auch einen großen Anteil in den Prüfungsplänen der Internen Revision ausmachen.
Neu hinzugefügt ist das Thema Projektprüfungen (Abschnitt 16 von Arno Kastner), wie auch die bereits erwähnten Themen Nachhaltigkeitsrisiken und Auslagerungen. Letzteres gewinnt, u. a. mit dem Erfolg der Cloud-Service-Provider und Software-as-a-Service-(SaaS)-Anbieter und dem damit einhergehenden Anstieg der Auslagerungsbeziehungen, weiter an Bedeutung. Die diesbezüglichen bankaufsichtlichen Anforderungen wurden 2021 – im Rahmen der 6. MaRisk-Novelle – noch einmal erweitert.
Im Einzelnen werden die folgenden Fachgebiete behandelt:
Risikotragfähigkeit
Ratingsysteme
Auf Internen Ratings basierende Ansätze
Kreditrisiko
Non-Performing Loans
Kontrahentenrisiken aus Derivaten
Marktpreisrisiko
Liquiditätsrisiken
Targeted Review of Internal Models
Alternative Investments – Klassifizierung und Risikomodelle
Modellrisiko
Validierung
EMIR/SFTR inkl. SFT Collateral Management
IT-Prüfung
Nachhaltigkeitsrisiken
Projektprüfungen
Auslagerung
Das Handbuch „Prüfungsleitfaden Interne Revision“ richtet sich in erster Linie an Fach- und Führungskräfte in der Internen Revision, kann aber auch Beratern, externen Prüfern, Wirtschaftsprüfern und Mitarbeitern bzw. Prüfern der Aufsichtsbehörden als Orientierung dienen. Nicht zuletzt können sich auch Mitarbeiter und Führungskräfte der betreffenden Fachbereiche mit der Lektüre über mögliche Inhalte von Prüfungen informieren und entsprechend vorbereiten.
Durch die fundierte und aktuelle Aufbereitung der Themen, die sich vorwiegend im Regulierungsbereich der MaRisk bewegen, bietet das Buch eine wertvolle Hilfestellung für die Prüfungs- und Beratungspraxis und kann erneut uneingeschränkt empfohlen werden.
Frankfurt am Main, im Mai 2022
Jürgen Rohrmann
Leiter Konzernrevision, Union Investment Gruppe
Leiter des DIIR-Arbeitskreises MaRisk
Vorwort der Herausgeber
Seit der Veröffentlichung der ersten Auflage des Handbuchs „Prüfungsleitfaden Interne Revision“ im Juni 2016 sind die Herausforderungen für die Institute in mehrfacher Hinsicht weiter gestiegen:
Im Bereich Bankenaufsicht sollte die Finalisierung von Basel III im Dezember 2017 das Finanzsystem durch seine weltweite Gültigkeit als Ganzes stabiler und sicherer machen. Einige wenige Teile von Basel III sind bereits im Juni 2019 auf europäischer Ebene in die CRR II und CRD V eingeflossen. Zentrale Vorgaben dieses modifizierten internationalen Basler Rahmenwerks werden aber erst mit einer CRR III und CRD VI in der Europäischen Union umgesetzt werden. Seit Oktober 2021 liegen hierzu Legislativentwürfe der EU-Kommission vor.
Die fünfte und sechste MaRisk-Novelle aus den Jahren 2017 und 2021 überführten insbesondere Regulierungsinitiativen auf europäischer Ebene in nationales Recht – u.a. die EBA-Leitlinien zu Auslagerungen, zum Management notleidender und gestundeter Risikopositionen und zum Management von IKT- und Sicherheitsrisiken. Zeitgleich mit den genannten MaRisk-Novellen wurden auch die bankaufsichtlichen Anforderungen an die IT (BAIT) eingeführt bzw. überarbeitet.
Neben der Bankenregulierung hält zudem das veränderte Marktumfeld vielfältige Herausforderungen für die Institute bereit. Beispielhaft seien das anhaltende Niedrigzinsumfeld, der nicht zuletzt mit der Covid-19-Pandemie noch einmal verstärkte Trend zur Digitalisierung und die auch ökonomisch immer stärkere Bedeutung des Themas „Nachhaltigkeit“ genannt.
Diese Entwicklungen und Trends beförderten den in den letzten Jahren stetig zunehmenden Erfolg sogenannter „Alternativer Investments“. Neben ihrer rechtlichen und regulatorischen Behandlung werden die Institute mit Fragen nach der Übertragbarkeit bekannter Bewertungs- und Risikomodelle für die Zwecke des Risikomanagements und -controllings dieser heterogenen Anlageform konfrontiert.
Dieser dynamische Kontext lässt auch die Interne Revision nicht unbeeinflusst. Es bleibt ihre grundsätzliche Aufgabe, im Rahmen eines risikoorientierten Prüfungsansatzes alle Aktivitäten und Prozesse des Instituts auf unerwünschte Risiken zu durchleuchten. Doch darüber hinaus erfährt die Begleitung wesentlicher Projekte im Institut und damit ihre Einbindung in gestalterische Prozesse eine stärkere Akzentuierung – nicht zuletzt aufgrund der eingangs skizzierten Entwicklungen und Trends. Die Interne Revision trägt somit auch zur Wertschöpfung im Institut bei.
Um vor diesem Hintergrund wertvolle Impulse setzen zu können, sind neben aktuellen Kenntnissen aufsichtsrechtlicher Vorgaben auch solche der Methoden zur Risikosteuerung von Instituten unabdingbar. Das gilt angesichts des Stellenwerts der automatisierten, IT-gestützten Bankprozesse ebenso für vertieftes Wissen zur IT-Governance und Informationssicherheit. Die Digitalisierung macht insoweit auch vor der Internen Revision nicht Halt.
Die Neuauflage dieses Handbuchs setzt die schon bei seinem ersten Erscheinen verfolgte moderne Sicht auf die Interne Revision konsequent fort. Die einzelnen Artikel greifen neben einer aktualisierten Sicht auf die „klassischen“ Themen, die bereits in der Erstauflage enthalten waren, auch die seit 2016 in den Fokus gerückten, oben erwähnten Entwicklungen auf. Jeder Artikel ist weiterhin so aufgebaut, dass auf die Darlegung des jeweiligen fachlichen Hintergrundes eine Erläuterung der bankaufsichtlichen Anforderungen folgt. Um Ihnen die unmittelbare Anwendung der erläuterten Zusammenhänge zu erleichtern, bildet ein umfangreicher (Prüfungs-)Fragenkatalog den Abschluss jedes Beitrags. Er soll Ihnen als Leitlinie die systematische Abdeckung des jeweiligen Themen- und Prüfungsgebiets ermöglichen und gleichzeitig als Grundlage konkreter Prüfungsfragen dienen.
Alle Autoren dieses Handbuchs sind beruflich in Instituten, Beratungsunternehmen sowie wirtschaftswissenschaftlichen Fakultäten tätig und sind ausgewiesene Kenner der Materie. Sie verfügen über exzellente fachliche Kenntnisse und haben zahlreiche Projekte zu den unterschiedlichsten Aufgabenstellungen des Aufsichtsrechts, des Risikomanagements und der Gesamtbanksteuerung in Kreditinstituten verschiedener Größe und Geschäftsausrichtung erfolgreich durchgeführt. Hinzu kommen umfassende praktische Erfahrungen bei der Begleitung der Internen Revision von Banken, Sparkassen und Finanzdienstleistern. Die Verzahnung der Projekt- und Prüfungserfahrung ermöglicht neben einer verständlichen und fundierten Darlegung der Themenfelder vor allem einen hohen, adressatengerechten Praxisbezug.
Wir möchten Ihnen mit dieser Neuauflage des Handbuchs wieder einen nützlichen Begleiter an die Hand geben, der Sie bei der Vorbereitung und Durchführung künftiger Prüfungen effektiv unterstützt. Insbesondere hoffen wir, Ihnen zahlreiche Anregungen und wertvolle Hinweise für Ihre tägliche Revisionsarbeit mit auf den Weg geben zu können.
Mai 2022
Autoren und Herausgeber
Stephan Bellarz ist Abteilungsdirektor und stellvertretender Bereichsleiter der Internen Revision der DZ Bank AG. Er verantwortet die Prüfungen relevanter Prozesse und Methoden der Banksteuerung und Finanzfunktion. Im Rahmen der Konzernrevision beschäftigt sich Herr Bellarz mit der Einhaltung der internen und externen Vorgaben in den Tochterunternehmen der DZ-Bank-Gruppe. Herr Bellarz unterrichtet am genossenschaftlichen Bankcolleg das Studienfach Gesamtbanksteuerung. Er ist Mitglied des DIIR-Arbeitskreises Risiko- und Kapitalmanagement und Autor zahlreicher Veröffentlichungen im Bereich Bankenaufsicht.
Hendryk Braun ist geschäftsführender Partner bei 1 PLUS i. Der zentrale Schwerpunkt seiner langjährigen Beratertätigkeit liegt in der Optimierung von Handels- und Treasuryprozessen unter Berücksichtigung bankaufsichtsrechtlicher Fragestellungen. In den letzten Jahren beschäftigte er sich hauptsächlich mit diversen Aspekten der EMIR – u.a. dem zentralen Clearing, der Transaktionsregistermeldung und den Techniken zur Risikominderung, MiFID-II- und MiFIR-Vorgaben sowie der SFTR-Implementierung. Aktuelle Beratungsschwerpunkte liegen in handelsnahen regulatorischen Reportinganforderungen im Kontext von Handelssystemkonsolidierungen und Gesamtbanksteuerungssoftwarelösungen. Ein weiterer Themenschwerpunkt liegt im Bereich Sustainable Finance – nachhaltige Finanzindustrie. Zudem ist Hendryk Braun als Seminartrainer im Einsatz, publiziert Fachartikel in Büchern und Zeitschriften und ist u.a. Mitherausgeber des Handbuchs „Treasury“ und des Praktiker-Handbuchs „Asset-Backed-Securities und Kreditderivate“.
Thorsten Gendrisch ist geschäftsführender Partner bei 1 PLUS i und seit mehr als zwanzig Jahren als Berater und Seminartrainer für Institute in den Bereichen Handelsgeschäfte, Risikomanagement und Aufsichtsrecht tätig. Zentrale Themen sind spezifische Fragestellungen, angefangen von aufsichtlichen Anforderungen, deren Umsetzung und Interpretation bis hin zur Umsetzung und dem Meldewesen. Als Autor hat er eine Vielzahl von Publikationen veröffentlicht und ist (Mit-) Herausgeber des Handbuchs Solvabilität, das bereits in der dritten Auflage erhältlich ist.
Dr. Walter Gruber, Diplom-Wirtschaftsmathematiker, ist geschäftsführender Partner bei 1 PLUS i. Zuvor arbeitete er für eine Investmentbank im Bereich Treasury und ALCO-Management. Anschließend war Herr Dr. Gruber als Gruppenleiter bei der Bankenaufsicht im Direktorium der Deutschen Bundesbank für den Bereich Research/Grundsatzfragen in internen Risikomodellen und Standardverfahren verantwortlich, wo er die Bundesbank auch in den verschiedenen internationalen Gremien vertrat (verschiedene Baseler Arbeitskreise, IOSCO). Danach war er als Geschäftsführer bei einer Beratungsgesellschaft für die Bereiche Bankenaufsicht, Risikomanagement und Produktbewertungsverfahren als Berater und Trainer tätig. Herr Dr. Gruber ist Verfasser zahlreicher Veröffentlichungen vor allem in den Bereichen Bankenaufsicht (Basel/CRR/MaRisk), Markt- und Kreditrisikomodelle und derivative Finanzprodukte. Auf diesen Gebieten trat er auch als Herausgeber vieler Standardwerke in Erscheinung.
Matthias Hetmanczyk-Timm, Master of Science Business Mathematics und zertifizierter Kreditrisikomanager mit Schwerpunkt Revision, ist Berater bei 1 PLUS i. Zentrale Themen seiner Tätigkeit bei 1 PLUS i sind die Weiterentwicklung von Systemschnittstellen und die Abbildung von Handelsgeschäften in relationalen und multidimensionalen Datenmodellen. Weitere elementare Themen seiner Beratertätigkeit sind die Entwicklung und Weiterentwicklung von Risikotragfähigkeits- und Reportingsystemen sowie die Integration von Risiken in die Gesamtbanksteuerung. Darunter fallen auch Themen wie die Fachkonzeption von Risikoinventuren, die Fachkonzeption und Parametrisierung von Stresstests in der ökonomischen und normativen Perspektive des ILAAP. Herr Hetmanczyk-Timm hält Seminare zu statistischen und finanzmathematischen Grundlagen, zum SA CCR, der CVA Capital Charge und dem Marktpreisrisiko (FRTB). Herr Hetmanczyk-Timm hat eine Zertifizierung für ABACUS Silver (BearingPoint Software Solutions GmbH) und ist darüber hinaus zertifizierter Meldewesenspezialist.
Henning Heuter, Diplom-Bankbetriebswirt (BA) und Bankkaufmann, ist geschäftsführender Partner bei 1 PLUS i. Zentrale Themen im Rahmen seiner Tätigkeit als Berater und Seminartrainer für Risikosteuerung sind die Entwicklung und Weiterentwicklung von Risikotragfähigkeits- und Reportingsystemen sowie die Integration der wesentlichen Risiken in die Gesamtbanksteuerung. Henning Heuter ist in die Prüfung von Steuerungskonzepten ebenso involviert wie in deren Entwicklung und Weiterentwicklung; seine Tätigkeiten umfassen neben den Fragen des internen Risikomanagements auch die der aufsichtsrechtlichen Behandlung. Zuvor war Henning Heuter bei der Sparkasse Rügen im Bereich Unternehmenssteuerung tätig und als Verhindertenvertreter für die Leitung des Vorstandsreferats verantwortlich.
Mubariz Ilyas, Master of Science Betriebswirtschaftslehre, ist Prüfungsleiter/IT-Auditor bei der Volksbank Darmstadt – Südhessen eG. Er studierte an der Dualen Hochschule Baden-Württemberg in Mannheim Wirtschaftsinformatik in Kooperation mit der Merck KGaA und erlangte den Grad des Bachelor of Science. Daraufhin begann er sein Masterstudium an der Hochschule Darmstadt. Anschließend war Herr Ilyas als IT-Projektmanager im Bereich SAP CRM/SD bei einem Handelskonzern tätig und arbeitete u.a. bei der konzernweiten SAP-Systemeinführung mit. Danach wechselte er zur Volksbank Darmstadt – Südhessen eG. Bei seiner Tätigkeit als Prüfungsleiter liegen die Schwerpunkte seiner Arbeit in den folgenden Themenfeldern: bankaufsichtliche Anforderungen an die IT (BAIT), MaRisk, EBA-Guidelines, KWG, DSGVO, Risikomanagement, Prozessanalyse, Projektbegleitung, Einführung von neuen IT-Systemen. Des Weiteren ist Herr Ilyas als Autor zu den zuvor genannten Themenfeldern tätig.
David Kamm, studierter Unternehmensjurist (LL. B.), Wirtschaftswissenschaftler und zertifizierter Marktpreisrisikomanager, ist Berater bei 1 PLUS i. Er befasst sich im Rahmen dieser Tätigkeit mit Problemstellungen der Regulierung des Derivatehandels (EMIR), der Wertpapierfinanzierungsgeschäfte (SFTR) sowie dem Themenkomplex des zentralen Clearings. Des Weiteren beschäftigt er sich mit den regulatorischen Herausforderungen der Sustainable Finance (SFDR, EU-Taxonomie). David Kamm unterstützt schwerpunktmäßig Banken und Fondsgesellschaften regelmäßig bei der initialen Implementierung bis hin zur Umsetzung spezifischer Anforderungen der Marktinfrastrukturverordnung und deren Novellierungen.
Arno Kastner, Diplom-Kaufmann, Certified Internal Auditor (CIA) und Certification in Risk Management Assurance (CRMA), ist seit 1986 bei einem Kreditinstitut beschäftigt und Inhaber der MTB – Management/Training/Beratung. Bankseitig war er zunächst im Firmenkundenbereich mit Aufgabenschwerpunkt Firmensanierung und Firmenabwicklung beschäftigt, bevor er in den Revisionsbereich wechselte, wo er heute überwiegend in der Prüfung von EU-finanzierten Projekten und Projektabwicklungen tätig ist. Nebenberuflich befasst sich Herr Kastner mit der Finanzierung und Steuerung mittelständischer Unternehmen sowie den damit verbundenen Prüfungshandlungen aus Unternehmens- und Bankensicht (Stichwort: Analyse von Krisenindikatoren, Aufbau von Frühwarnsystemen sowie Vergabe und Prüfung von Bankkrediten). Er ist auf Firmen- und Bankseite als Seminartrainer und Berater tätig, Verfasser zahlreicher Veröffentlichungen vor allem im Bereich der Kreditrevision und der Einhaltung bankaufsichtsrechtlicher Vorgaben, Dozent an verschiedenen Hochschulen und Leiter des Arbeitskreises „Revision des Kreditgeschäftes“ des DIIR – Deutsches Instituts für Interne Revision e.V. in Frankfurt am Main.
Dr. Jochen Klement, Dipl. Kaufmann und Dipl. Ökonom, ist geschäftsführender Partner von 1 PLUS i. Nach Beendigung des Studiums war er zunächst bei einer mittelständischen Unternehmensberatung als Senior Consultant tätig. Seine Schwerpunkte lagen auf der Darstellung und Bewertung von Derivaten, der Quantifizierung von Vorleistungs- und Abwicklungsrisiken, der Quantifizierung von Zinsänderungsrisiken nach Ertragswert- und Barwertmethode, der aufsichtsrechtlichen Abbildung strukturierter Produkte und der Durchführung von Basel-II-Vorschaurechnungen (Quantitative Impact Studies). Im Jahr 2005 wechselte er zu 1 PLUS i. Zentrale Themen im Rahmen der Beratungstätigkeit sind hierbei alle Fragestellungen des Risikomanagements, der Gesamtbanksteuerung und des Aufsichtsrechts. Die Schwerpunkte der Projektarbeit liegen dabei in den Bereichen Marktrisiken, Liquiditätsrisiken, Adressausfallrisiken, Basel-II-Parameterschätzungen, der ökonomischen Limitsteuerung unter Return-on-Risk-Gesichtspunkten, der Einführung von Handelssystemen und der (prototypischen) Implementierung der erarbeiteten Konzepte. Zudem ist Herr Dr. Klement als Referent zu den oben genannten Themenschwerpunkten tätig.
Prof. Dr. Marcus R. W. Martin, Diplom-Mathematiker, ist freiberuflich für 1 PLUS i tätig. Nach seiner Promotion in Mathematik wechselte er zur Deutschen Bundesbank und war zunächst als Prüfer, später als Prüfungsleiter und Fachgebietsleiter „Risikomodelle und Ratingverfahren“ in der Hauptverwaltung Frankfurt am Main tätig. In dieser Zeit beschäftigte er sich mit bankaufsichtlichen Grundsatzfragen zum Risikomanagement, auf internen Ratings basierten Ansätzen, internen Marktrisikomodellen, Kontrahentenrisikomodellen, Liquiditätsrisikomodellen, Portfolio-Risikomodellen und der Bewertung derivativer Produkte. Danach war er zunächst ab 2008 Professor an der Hochschule Darmstadt und ist seit 2014 als Professor für Finanzmathematik an der Technischen Hochschule Mittelhessen am Campus Friedberg und als Trainer und Berater tätig. Zentrale Themen im Rahmen seiner mehrjährigen Beratertätigkeit sind die quantitative Modellierung von Risiken (Markt-, Kredit-, Kontrahenten-, Liquiditäts- und operationale Risiken, Stresstests), aufsichtliche Anforderungen an die Risikomodellierung, finanzmathematische Bewertungsmodelle für Derivate zur Post-Crisis-Bewertung, Methoden des Machine Learnings und Grundlagen des Quantencomputings.
Jens Norget, Diplom-Kaufmann und Bankkaufmann, ist Direktor bei ifb. Im Rahmen seiner langjährigen Tätigkeit als Berater und Projektleiter auf dem Gebiet des Bankenaufsichtsrechts sind seine fachlichen Schwerpunkte Basel III/IV (CRD, CRR, SolvV) sowie die Strukturen und Prozesse im Kreditgeschäft der Institute. Insbesondere die Sicherstellung der MaRisk-Konformität des Internen Kontrollsystems (IKS) von Kreditinstituten ist hierbei eines seiner zentralen Themenfelder. Herr Norget ist darüber hinaus als Seminarreferent und Autor für die genannten Themen aktiv.
Ronny Rehbein, Diplom-Betriebswirt (BA), ist Fachbereichsspezialist Solvabilität bei der Deutschen Kreditbank AG. Er verantwortet schwerpunktmäßig Projekte im aufsichtsrechtlichen und bilanziellen Kontext mit Fokus auf das Kreditrisiko (IRBA, IFRS 9). Zuvor war er über zehn Jahre bei 1 PLUS i, zuletzt als Partner, tätig. Seine Beratungsschwerpunkte waren LGD- und CCF-Schätzmodelle im IRBA-Kontext, Simulationen aufsichtlicher MaRisk-Prüfungen und ICAAP-Themen. Außerdem war er als Seminartrainer mit den Themen MaRisk und Säule I betraut. Davor war er einige Jahre als Abschlussprüfer von Sparkassen in Brandenburg unterwegs.
Raphael Reinwald, Diplom-Wirtschaftsmathematiker, ist Senior-Berater bei 1 PLUS i. Als langjähriger Berater ist er insbesondere in den Bereichen Risikomanagement, Banksteuerung und aufsichtliches Meldewesen tätig. Schwerpunkte sind hierbei u.a. Abwicklungs- und Sanierungsplanung (inkl. MREL), Kapitalmeldungen- und Risikomeldungen (CoRep), (Kredit-)risikomodelle und Validierung bis in den Bereich alternativer Investments sowie Fragen der Gesamtbanksteuerung. Herr Reinwald ist u. a. zertifizierter Kreditrisikomanager, zertifizierter Data Scientist und Scrum Master. Zudem ist Herr Reinwald als Autor zahlreicher Fachbeiträge zu o.g. Themenbereichen in Erscheinung getreten.
Prof. Dr. Stefan Reitz, Diplom-Mathematiker, ist freiberuflich für 1 PLUS i tätig. Nach seiner Promotion in Mathematik wechselte er zur Deutschen Bundesbank und war zunächst als Prüfer, später als Prüfungsleiter und stellvertretender Abteilungsleiter im Bereich Bankenaufsicht bei der Hauptverwaltung Frankfurt am Main tätig. In dieser Zeit beschäftigte er sich mit bankaufsichtlichen Grundsatzfragen (Portfolio-Risikomodelle, Bewertung derivativer Produkte, Risikomanagement) und war Prüfer und Prüfungsleiter bei Prüfungen der in Frankfurt ansässigen Groß- und Regionalbanken und ihren Auslandsfilialen in London, Nordamerika, Südostasien und Australien. Jetzt ist er hauptberuflich Professor für Wirtschafts- und Finanzmathematik an der Hochschule für Technik in Stuttgart und außerdem als Trainer und Berater tätig. Zentrale Themen im Rahmen seiner mehrjährigen Beratertätigkeit sind die quantitative Modellierung von Risiken (Markt-, Kredit- und operationale Risiken, Stresstests), aufsichtliche Anforderungen an die Risikomodellierung und finanzmathematische Bewertungsmodelle für Derivate.
Pascal Ritz, LL. M., ist Geschäftsführer der Justo Unternehmensberatung GmbH. Die Unternehmensberatung vereinigt Spezialisten für das Compliance Management. Neben der Konzeption und Implementierung von Compliance-Management-Systemen wird die bestehende Expertise bei dem Insourcing von Beauftragtenfunktionen in die Praxis umgesetzt. Hierbei stehen insbesondere die Übernahme des Compliance-, Datenschutz- und Informationssicherheitsbeauftragten im Vordergrund. Neben den rechtswissenschaftlichen Studienabschlüssen wird das Profil von Herrn Ritz durch die Praxiserfahrung als Verbandsprüfer sowie die Abteilungsleitung für Compliance-Funktionen und den Bereich Auslagerungen in einem Kreditinstitut ergänzt.
Dr. Markus Rose, Diplom-Ökonom, ist Partner bei 1 PLUS i. Fragestellungen im Bereich des Risikomanagements und deren aufsichtsrechtliche Behandlung bilden die thematischen Schwerpunkte seiner mehrjährigen Beratertätigkeit. In den genannten Themenfeldern ist er zusätzlich als Seminartrainer und Autor aktiv. Darüber hinaus begleitet er die Innenrevision in methodischen Fragestellungen bei ihrer vom Regulator geforderten Prüfung interner Ratingsysteme. Schon vor seinem Wechsel zu 1 PLUS i befasste sich Herr Dr. Rose als Leiter Risikocontrolling einer Hypothekenbank mit der permanenten Weiterentwicklung der internen Risikosysteme.
Daniel Saathoff, Diplom-Mathematiker, ist Fachbereichsspezialist Risiko-Controlling bei der Deutschen Kreditbank AG. Er verantwortet schwerpunktmäßig Projekte im aufsichtsrechtlichen Kontext mit Fokus auf IRBA-Verfahren. Zuvor war er bei der S Rating und Risikosysteme GmbH tätig. Dort war er zunächst einige Jahre mit dem Kreditrisikoportfoliomodell und verwandten Säule-II-Themen betraut und erwarb sich dann weitere Erfahrung in der Säule I in verschiedenen Rollen, wo er die Rating- und Verlustschätzungsmodelle (IRBA, Säule II) für die Sparkassen, Landesbanken und Landesbausparkassen verantwortete.
Henning Schneider, B. Sc. Volkswirt, ist Berater bei 1 PLUS i. Er studierte an der Hochschule Nürtingen-Geislingen Volkswirtschaftslehre mit den Studienschwerpunkten Außenwirtschaft, Risikomanagement und Controlling. Zentrale Themen im Rahmen seiner Beratertätigkeit sind aufsichtsrechtliche Fragestellungen zu Liquiditätsanforderungen und Marktrisiken. Darüber hinaus beschäftigt sich Herr Schneider mit der Optimierung und Steuerung der Liquiditätsrisikokennziffer der LCR.
Linda Schöche, Diplom-Betriebswirtin (BA), ist Partnerin bei 1 PLUS i. Frau Schöche begleitete zahlreiche Kunden von 1 PLUS i bei Projekten rund um die Spezifikation von Schnittstellen für Risikosysteme, die Behandlung von Adressenrisiken sowie die Anbindung des Geschäftes mit zentralen Kontrahenten. Dabei erwarb sie weitreichende Kenntnisse in der prototypischen Implementierung von Fachanforderungen sowie der Analyse und Konzeption von Datenflüssen in komplexen Infrastrukturen. Neben der Mitwirkung an vielfältigen Umsetzungsprojekten verfügt Frau Schöche über jahrelange Erfahrung mit der Unterstützung von Revisionsprüfungen. Diese umfassten sowohl die Methoden- als auch die Prozessprüfungen der Internen Revision zur angemessenen Umsetzung aufsichtsrechtlicher Vorgaben.
Dr. Christian Stepanek ist Partner bei 1 PLUS i. Zentrale Themen im Rahmen seiner Beratertätigkeit sind u. a. Stresstests, die Entwicklung und Validierung von Risikomessverfahren (insb. Ratingverfahren) und Fragestellungen zur Gesamtbanksteuerung. Das Spektrum seiner Projektarbeit umfasst hierbei die Analyse regulatorischer Anforderungen, die anschließende Fachkonzeption sowie die abschließende technische Umsetzung. Zudem begleitet er seine Kunden durch aufsichtliche Prüfungen und Ad-hoc-Übungen, wie bspw. den EBA-Stresstest. Neben seiner Beratungstätigkeit ist er als Referent und Autor zu den oben genannten Themen tätig. Dr. Stepanek ist Diplom-Physiker und promovierte in empirischer Kapitalmarktforschung und angewandter Ökonometrie.
Alexander Voß, Banking & Finance (B.A.), ist Berater bei 1 PLUS i. Er studierte an der Dualen Hochschule Betriebswirtschaftslehre mit finanzwirtschaftlichem Schwerpunkt. Zentrale Themen im Rahmen seiner Beratertätigkeit sind aufsichtsrechtliche Fragestellungen rund um das Thema Transaktionsreporting im Kontext von Handelssystemkonsolidierungen und Softwareimplementierungen. Dazu zählen schwerpunktmäßig die diversen Aspekte der SFTR und EMIR. Darüber hinaus beschäftigt sich Herr Voß mit den regulatorischen Anforderungen der MiFID II/MiFIR.
Tobias Würtenberger, Diplom-Kaufmann, Master of Business (Major Finance) und zertifizierter Liquiditätsrisikomanager, ist Berater bei 1 PLUS i. Er studierte im Diplomstudiengang an der Universität zu Köln mit den Schwerpunkten Corporate Finance, Bankbetriebslehre und Spezielle Volkswirtschaft und erlangte im Rahmen des Studiums an der Bond University den Abschluss des Master of Business. Zentrale Aufgabenstellungen seiner Beratertätigkeit in zahlreichen Projekten sind die Umsetzung der regulatorischen Vorschriften der LCR nach delegierter Verordnung, NSFR, ALMM, Durchführung des Basel-III-Monitorings, die Optimierung und praktische Umsetzung der Liquiditätsrisikokennzahlen sowie das Projektmanagement. Des Weiteren beschäftigt er sich mit der regulatorischen Behandlung von Fintechs. Herr Würtenberger ist zudem als Autor und Seminartrainer zu den zuvor genannten Themenfeldern tätig.
1
Risikotragfähigkeit
Henning Heuter
1.1
Einführung
Die Sicherstellung der Risikotragfähigkeit ist eine zentrale Fragestellung im Risikomanagement der Institute. Da diese Grundidee und die übergreifenden aufsichtsrechtlichen Anforderungen bereits beschrieben wurden,[1] setzt sich dieses Kapitel schwerpunktmäßig mit den konkreten Umsetzungen auseinander, die man typischerweise in normativen und ökonomischen Ansätzen vorfindet. Hinsichtlich der Fragestellungen zu Modellen und zur Parametrisierung ergeben sich naturgemäß Überschneidungen zu anderen Abschnitten dieses Handbuches.
Zunächst werden wichtige Begriffe im Risikotragfähigkeitsprozess motiviert und die aufsichtsrechtlichen Anforderungen zusammengefasst. Den Hauptteil dieses Abschnitts stellen die Prüfungsfragen zu übergreifenden Themen, zum Deckungspotenzial in der ökonomischen und der normativen Perspektive sowie zu den Methoden und Parametern in beiden Sichtweisen dar.
Vereinfacht dargestellt ist die Risikotragfähigkeit gegeben, wenn das Risikodeckungspotenzial die wesentlichen Risiken des Instituts unter Berücksichtigung von Risikokonzentrationen laufend abdeckt.[2]
In der Praxis sind hierzu Prozesse zu schaffen, die dies laufend und dauerhaft sicherstellen. Unter diesem Risikotragfähigkeitsprozess wird dazu ein Prozess verstanden, der die Angemessenheit des internen Kapitals zur Abdeckung der Risiken betrachtet. Ob das interne Kapital angemessen ist, wird dabei aus Richtung der Risikomessung und aus Richtung des Risikodeckungspotenzials bestimmt.[3]
Aus Richtung der Risikomessung ist sicherzustellen, dass alle Risiken erkannt und hinsichtlich ihrer Wesentlichkeit korrekt eingeschätzt werden. Für die im Ergebnis der Risikoinventur wesentlichen Risiken müssen hinreichend genaue Risikomessmethoden entwickelt werden. Für die nicht wesentlichen Risiken sind darüber hinaus Vorkehrungen zu treffen.
Aus Richtung des Risikodeckungspotenzials ist sicherzustellen, dass geeignete Kapital- und Ergebnisbestandteile sowie Reserven dazu eingesetzt werden können, die möglichen Verluste aufzufangen, wenn Risiken schlagend werden. Das Risikodeckungspotenzial muss dafür für die Haltedauer der ökonomischen Sicht und für den Betrachtungshorizont der normativen Perspektive bereitstehen. Dieses Risikodeckungspotenzial wird den Risiken gegenübergestellt.
Durch die laufende Gegenüberstellung der Ergebnisse aus der Risikomessung und dem Risikodeckungspotenzial wird die Frage beantwortet, ob die Risikotragfähigkeit gegeben ist.
Die Frage nach der Angemessenheit der Risikotragfähigkeitsrechnung kann dabei aber nicht allein durch die Subtraktion der Risiken vom Risikodeckungspotenzial beantwortet werden. Daher wird im Fragenkatalog dieses Abschnitts auch die methodische Konsistenz bei der Ermittlung beider Größen behandelt. Für ein konsistentes Vorgehen sind dafür die Begriffe normative oder ökonomische Sicht sowie barwertige oder ergebnisorientierte Risikomessung zu betrachten.
Tabelle 1: Deckungspotenzial und Risikomessung
Grundkonzept und Ableitung Deckungspotenzial
Normativ
Ökonomisch
Methoden und Parameter der Risikomessung
Ergebnisorientiert
barwertig
In der normativen Perspektive werden Risiken nur in dem Umfang eingegangen, dass die regulatorischen Mindestanforderungen aus der Säule 1 nach Capital Requirements Regulation (CRR) noch erfüllt werden können. Hierzu ist eine Zeitraumbetrachtung umzusetzen, d.h. die Erfüllung der regulatorischen Mindestanforderungen ist für mindestens drei Jahre sicherzustellen. Üblicherweise werden intern teils deutlich über den CRR-Vorgaben liegende Werte festgelegt.
In der ökonomischen Sicht wird kein Eigenkapital für die Erfüllung der Säule 1 nach der CRR reserviert; dieses steht voll zur Deckung der Risiken zur Verfügung. Risiken werden mit einem vergleichsweise sehr hohen Konfidenzniveau berechnet; dieses liegt i.d.R. bei 99,9%. Vereinzelt erfolgt die Ableitung des Konfidenzniveaus konsistent zum Zielrating, das aus 100% − PDZielrating (Probability of Default) ermittelt wird.
Neben den Grundsatzfragen zur normativen und ökonomischen Perspektive sind die Methoden und die Parametrisierung der Risikomessung zu betrachten. Hierbei wird zwischen ergebnisorientierten und barwertigen Ansätzen unterschieden.
Barwertige Ansätze betrachten die ökonomischen Wertänderungen eines Geschäfts i.d.R. anhand seiner Cashflows. Die Quelle der Cashflows ist dabei nicht erheblich, so werden Cashflows aus Krediten und Wertpapieren auf der Aktivseite gleichbehandelt. Auch auf der Passivseite wird nicht unterschieden, ob die Zahlungen aus einer Kapitalmarktemission oder einer Retail-Kundeneinlage resultieren. Ziel der Risikomessung ist es, die ökonomische Wertänderung zu messen, die mit einem bestimmten Konfidenzniveau nicht überschritten wird. Barwertige Ansätze sind für die normative Perspektive grundsätzlich nicht zielführend, da bspw. Spread-Verluste aus nicht bewertungspflichtigen Positionen bei einer Dauerhalteabsicht nicht ergebniswirksam werden oder bspw. Kredite nicht abgeschrieben werden, wenn im Falle von steigenden Zinsen Barwertverluste eintreten.
Ergebnisorientierte Ansätze betrachten im Gegensatz dazu, welche Wirkung der Eintritt eines Risikos auf die Gewinn- und Verlust-Rechnung (GuV) hat. Dabei werden Positionen auch in Abhängigkeit davon behandelt, wie sie in der Bilanz verbucht sind. Steigen bspw. die Spreads, so führt das bei einer Position in der Liquiditätsreserve zu GuV-relevanten Verlusten. Dieselbe Position weist keine GuV-relevanten Verluste auf, wenn eine Dauerhalteabsicht besteht und das Institut die Verluste nicht als dauerhaft einschätzt.
Normative Ansätze werden nicht zuletzt auch deshalb mit ergebnisorientierten Risikomessmethoden kombiniert, da das Risikodeckungspotenzial neben regulatorischen Kapitalbestandteilen insbesondere aus geplanten bzw. erwarteten Ergebnissen ermittelt wird.
Neben dem Grundkonzept und der Ableitung des Deckungspotenzials sowie den Methoden und Parametern der Risikomessung ist darüber hinaus der Risikohorizont als Zeitraum von Bedeutung, über den das Risikodeckungspotenzial bereitstehen muss und für den die Risiken kalkuliert werden. Dieser beträgt mindestens drei Jahre.
Barwertige Ansätze nutzen i.d.R. Value-at-Risk-Methoden (VaR) für die Risikomessung. Die Haltedauer etwa für Adressenrisiken und operationelle Risiken ergibt sich auch hier implizit aus den beobachteten Risikoparametern und beträgt modellbedingt ein Jahr. Bei Marktpreisrisiken ist hingegen die Haltedauer zunächst kürzer und liegt bei hoch liquiden Produkten teilweise bei ein bis zehn Tagen. Argumente für diese kurze Periode sind eine schnelle und einfache Absicherungsmöglichkeit oder die Möglichkeit des schnellen Verkaufs der Position. Kurze Haltedauern werden für den Ansatz in der Risikotragfähigkeit jedoch kritisch gesehen, so dass die Skalierung der Haltedauer des Marktrisiko-VaR auf hohe Werte wie 250 Tage erfolgt, etwa unter Zuhilfenahme der Wurzel-t-Regel.
Mit der normativen Perspektive werden die etablierten Umsetzungen für den Kapitalplanungsprozess und die Going-Concern-Betrachtung zusammengeführt. Dabei wird typischerweise ein Zeitraum von drei bis fünf Jahren betrachtet. Ziel ist es zu gewährleisten, dass die Risikotragfähigkeit auch über einen längeren Zeitraum sichergestellt werden kann. Im Gegensatz dazu wird in der ökonomischen Perspektive ein Zeitpunkt betrachtet.
1.2
Bankaufsichtliche Anforderungen
Für den in diesem Kapitel verwendeten Risikotragfähigkeitsprozess wird häufig der Begriff Internal Capital Adequacy Assessment Process (ICAAP) verwendet. In diesem Abschnitt werden zunächst die diesbezüglichen internationalen bzw. europäischen Rahmenwerke kurz vorgestellt. Die für die Prüfung relevanten regulatorischen Anforderungen an den Risikotragfähigkeits- und Kapitalplanungsprozess aus den Mindestanforderungen an das Risikomanagement (MaRisk) und den Guidelines (Supervisory Review and Evaluation Process) der European Banking Authority (EBA)[4] werden ausführlicher dargestellt.
Geprägt wurde der Begriff ICAAP durch den Basler Ausschuss und das Drei-Säulen-Modell. Neben der ersten Säule mit konkreten quantitativen Vorgaben für die Eigenmittelunterlegung des Kreditrisikos, des operationellen Risikos und der Marktpreisrisiken enthält die dritte Säule Anforderungen an die Offenlegung der Institute. Mit der zweiten Säule werden die Anforderungen an das aufsichtsrechtliche Überprüfungsverfahren in Form von Grundsätzen beschrieben. Ziel der Grundsätze ist es, über die Mindestkapitalnormen hinausgehende Anforderungen zu stellen: einerseits hinsichtlich der Risiken, deren Spektrum mit Bezug auf den Begriff „wesentlich“ gegenüber der Säule 1 nicht abschließend definiert ist, andererseits hinsichtlich des internen Risikodeckungspotenzials, für dessen Bestimmung institutsindividuelle Prozesse zu etablieren sind. Für die Säule 1 ist der Kapitalbegriff hingegen genau definiert.
In vier zentralen Grundsätzen wird der Supervisory Review Process (SRP) zusammengefasst. Der erste beschreibt dabei den ICAAP, nach dem die Institute eine angemessene Kapitalausstattung sicherstellen, ihre Risiken beurteilen und umfassend überwachen müssen. Das Spektrum der einbezogenen Risiken ist dabei grundsätzlich weiter gefasst als für die Säule 1 und umfasst alle wesentlichen Risiken. Die Grundsätze zwei bis vier sind als bankaufsichtsrechtlicher Überprüfungsprozess an die Aufsicht adressiert. Darin werden die Anforderungen an die Prüfung der bankinternen Systeme durch die Aufsicht festgelegt. Ziel ist es dafür zu sorgen, dass die Systeme zur Überwachung und Berichterstattung angemessen sind und damit der Geschäftsleitung sowie dem Aufsichtsorgan regelmäßige Informationen zur Beurteilung des Risikoprofils bieten.[5]
Die Anforderungen des Basler Ausschusses sind aus formaler Sicht nur als Empfehlung zu sehen. Daher sind im Weiteren europäische Vorgaben zu betrachten.
Im Sinne des o.g. Säulenansatzes dient die Capital Requirements Regulation II (CRR) der Umsetzung von Säule 1 und 3. Die CRR erfordert durch ihren Rechtscharakter als Verordnung keinen gesonderten nationalen Rechtsakt und ist direkt gültig. Da die CRR nur wenige nationale Wahlrechte enthält, spricht man in diesem Zusammenhang vom Grundsatz der Maximalharmonisierung. Für den Risikotragfähigkeits- und Kapitalplanungsprozess finden sich hierin aber keine konkreten Regelungen.
Die zweite Säule ist mit der Capital Requirements Directive V (CRD) umgesetzt. Sie beschreibt sehr allgemeine Grundsätze an das Risikomanagement und folgt damit dem Grundsatz der Minimalharmonisierung. Die CRD V erfordert als Richtlinie eine nationale Umsetzung; in Deutschland dienen hierfür die MaRisk.
Für die grundlegenden Anforderungen an den Risikomanagementprozess aus den MaRisk wird auf die Literatur[6] verwiesen. Die für die Prüfung des Risikotragfähigkeits- und Kapitalplanungsprozesses einschlägigen Regelungen finden sich im Allgemeinen Teil AT 4.1 der MaRisk.
Nach Tz. 1 ist sicherzustellen, „dass die wesentlichen Risiken des Kreditinstituts durch das Risikodeckungspotenzial, gegebenenfalls unter Berücksichtigung von Risikokonzentrationen, laufend abgedeckt sind und damit die Risikotragfähigkeit gegeben ist.“
Der Regulator konkretisiert hierbei nicht, wie die Ableitung des Deckungspotenzials erfolgen soll und mit welchen Methoden bzw. mit welchen Parametern für die Risikomessung Risiken zu messen sind. Vielmehr wird mit den MaRisk ein Rahmen für die individuell angemessene Lösung vorgegeben:
Nach Tz. 2 hat das Institut „einen internen Prozess zur Sicherstellung der Risikotragfähigkeit einzurichten. Die hierzu eingesetzten Verfahren haben sowohl das Ziel der Fortführung des Instituts als auch den Schutz der Gläubiger vor Verlusten aus ökonomischer Sicht angemessen zu berücksichtigen. Zur Erfüllung dieser Ziele sind Verfahren zur Sicherstellung der Risikotragfähigkeit zum einen aus der normativen Perspektive und zum anderen aus der ökonomischen Perspektive einzurichten.“
Tz. 3 legt fest, dass die „Risikotragfähigkeit bei der Festlegung der Strategien (AT 4.2) sowie bei deren Anpassung zu berücksichtigen ist. Zur Umsetzung der Strategien beziehungsweise zur Gewährleistung der Risikotragfähigkeit sind ferner geeignete Risikosteuerungs- und -controllingprozesse (AT 4.3.2) einzurichten.“
Deutlich wird diese Verbindung auch bei der Bestimmung des Anteils des gesamten Risikodeckungspotenzials, der für das Eingehen der Risiken bereitgestellt wird. Je kleiner dieser ist, desto geringer ist der Risikoappetit, desto geringer fallen die Limite aus, die insgesamt vergeben werden können und desto größer ist der Puffer für die Risiken, die nicht im Risikotragfähigkeitskonzept berücksichtigt werden.
Die Tzn. 6 und 7 stellen hohe Anforderungen, „soweit ein Institut innerhalb oder zwischen Risikoarten risikomindernde Diversifikationseffekte im Risikotragfähigkeitskonzept berücksichtigt“.
Die diesbezüglichen Fragestellungen in diesem Kapitel beschäftigen sich mit der Aggregation der Einzelrisiken zu einem Gesamtrisiko. Bedeutsam ist dieses Thema aber auch in Bezug auf die zur Risikomessung eingesetzten Modelle, so dass auf die weiteren Abschnitte in diesem Handbuch verwiesen werden kann. In der Praxis werden risikoartenübergreifend nur selten Diversifikationseffekte berücksichtigt.
Der oben beschriebene wichtige Grundsatz der Minimalharmonisierung und der Methodenfreiheit wird besonders deutlich in der Tz. 8, nach der „die Wahl der Methoden und Verfahren zur Beurteilung der Risikotragfähigkeit […] in der Verantwortung des Instituts [liegt]“.
Aus diesem Grund sind Prüfungsfragen zum Risikotragfähigkeitsprozess kaum auf eine einfache Antwort „falsch“ oder „richtig“ zu reduzieren. Vielmehr geht es hierbei um die Angemessenheit, die auch im Fokus des Fragenkatalogs steht.
Über den in der Institutspraxis üblichen einjährigen Risikohorizont hinaus erfordern die MaRisk die Implementierung eines Kapitalplanungsprozesses.
Tz. 11 bestimmt: „Jedes Institut muss über einen Prozess zur Planung des zukünftigen Kapitalbedarfs und des zur Deckung dieses Kapitalbedarfs verfügbaren Kapitals verfügen. Der Planungshorizont muss einen angemessen langen, mehrjährigen Zeitraum umfassen. Dabei ist zu berücksichtigen, wie sich in diesem Zeitraum Veränderungen der eigenen Geschäftstätigkeit oder der strategischen Ziele sowie Veränderungen des wirtschaftlichen Umfelds auf den Kapitalbedarf und auf den Kapitalbestand auswirken. Möglichen adversen Entwicklungen, die von den Erwartungen abweichen, ist bei der Planung angemessen Rechnung zu tragen.“
Weitere Anforderungen im Kontext des Risikotragfähigkeits- und Kapitalplanungsprozesses sind in AT 4.3 der MaRisk zu finden. Dieser Abschnitt der MaRisk enthält neben Anforderungen an die Aufbau- und Ablauforganisation mit den Risikosteuerungs- und -Controlling-Prozessen einen wichtigen Rahmen für den gesamten Risikomanagementprozess. Die Prozessschritte Identifizierung, Beurteilung, Steuerung sowie Überwachung und Kommunikation der Risiken haben direkten Bezug zum Risikotragfähigkeitsprozess. Weiterhin wird hier gefordert, dass „das Institut geeignete Indikatoren für die frühzeitige Identifizierung von Risiken“ abzuleiten hat. Hintergrund dieser Anforderungen ist, dass über die i.d.R. monatliche Ermittlung des Risikos und des Deckungspotenzials hinauslaufend Indikatoren überwacht werden sollen, um für die Risikotragfähigkeit rechtzeitig bzw. frühzeitig ungünstige Entwicklungen zu erkennen.
Neben den MaRisk besteht mit den Guidelines der EBA ein weiteres wichtiges Dokument im Kontext der Prüfung des Risikotragfähigkeits- und Kapitalplanungsprozesses. So wie die MaRisk aus formaljuristischer Sicht eine Verwaltungsvorschrift der Aufsicht zur Prüfung der Institute darstellen, richten sich auch die Guidelines an die Aufsichtsprüfer und sind ebenso keine Vorschrift, die sich direkt an die Institute wendet.
Im Gegensatz zu den MaRisk sind die Guidelines der EBA deutlich umfangreicher. In den Titeln 6 und 7 beschäftigt sich das Dokument mit der Bewertung der Kapitalrisiken und der SREP-Kapitalbewertung.
Dazu werden Anforderungen an das Kredit- und Gegenparteiausfallrisiko, das Marktrisiko, das operationelle Risiko und das Zinsänderungsrisiko im Anlagebuch beschrieben. Diese umfassen die Abgrenzung und die Einordnung der relevanten Unterarten, Vorgaben für die Bewertung und die Analyse von Art und Zusammensetzung der Portfolien und deren Qualität. Im Sinne der Guidelines muss die Ermittlung, Messung, Überwachung und Meldung der Risiken geprüft werden. Wesentlich sind darüber hinaus aussagekräftige Dokumentationen, Aussagen zur Strategie und zum Risikoappetit.
Die Bewertung der Risiken erfolgt mittels eines internen Scoring-Verfahrens. Score-Noten werden dabei zunächst für jede Risikoart bestimmt, es erfolgt eine Aggregation auf Kapitalrisiken, das Ergebnis fließt in den Gesamt-Score-Wert des Instituts ein.
Im Rahmen der Kapitalbewertung erfolgt die Bestimmung der zusätzlichen Eigenmittelanforderungen, die Abstimmung mit Kapitalpufferanforderungen und makroprudenziellen Anforderungen, die Bestimmung der SREP-Gesamtkapitalanforderung, die Festlegung der Eigenmittelanforderungen und die Bewertung des Risikos einer übermäßigen Verschuldung.
Die Guidelines unterscheiden sich neben dem Detaillierungsgrad insbesondere hinsichtlich der Auswirkungen aus der Bewertung von den MaRisk. Die ermittelten Score-Noten münden in einen individuellen Kapitalaufschlag für jedes Institut. Nicht zuletzt das motiviert viele Institute, sich mit den Guidelines dezidiert auseinanderzusetzen.
1.3
Fragenkatalog
Dieser Katalog soll die wichtigsten Ausgangsfragen für eine Revisionsprüfung des Risikotragfähigkeitsprozesses darstellen. Die Prüfungsschwerpunkte werden für jedes Institut anders ausfallen. Einige Themen werden weniger relevant sein, andere müssen durch Nachfragen vertieft werden.
1.3.1
Übergreifende Fragestellungen
Wie wird mit wesentlichen Risiken umgegangen, die nicht im Risikotragfähigkeitskonzept berücksichtigt sind?
Gibt es Szenarioberechnungen oder nur einen pauschalen Ansatz?
Ist der Wertansatz verglichen mit den anderen Risikoarten geeignet, wenn die Risikotragfähigkeit grundsätzlich mit einem Konfidenzniveau von 99,9% ausgedrückt wird?
Wie wird mit nicht wesentlichen Risiken umgegangen, die nicht im Risikotragfähigkeitskonzept berücksichtigt sind?
Gibt es einen pauschalen Ansatz mittels eines Puffers? Wie wird die Höhe des Puffers motiviert, wie häufig wird die Höhe des Puffers überprüft?
Welche über die pauschale Berücksichtigung im Puffer hinausgehenden angemessenen Vorkehrungen werden für die nicht wesentlichen Risiken getroffen?
Wie wird zwischen der Nicht-Wesentlichkeit einzelner Risikoarten und der Gesamtbetrachtung der betroffenen Risikoarten unterschieden?
Gibt es Unterschiede hinsichtlich der im Risikotragfähigkeitskonzept berücksichtigten Risiken zwischen der normativen und der ökonomischen Sichtweise?
Ist bspw. das Geschäftsrisiko in der ökonomischen Sichtweise ausgenommen? Wird dieses zumindest in der normativen Perspektive berücksichtigt?
Wird bspw. das Refinanzierungsrisiko unterschiedlich behandelt, in dem dieses hinsichtlich der zu schließenden Cashflows in der ökonomischen Sicht nur bis zum Ende des Risikohorizonts berücksichtigt wird und in der normativen Sicht Cashflows für einen längeren Zeitraum von bspw. drei oder fünf Jahren betrachtet werden?
Folgen beide Sichtweisen einem Fortführungsansatz? Sind insbesondere Nachrangmittel und AT2-Positionen in der Bestimmung der ökonomischen Deckungsmasse ausgeschlossen, da diese regelmäßig nur im Liquidationsfall eingesetzt werden können?
Wie häufig werden Berechnungen für die Risikotragfähigkeit durchgeführt?
Wie häufig erfolgt die vollständige Berechnung der Risiken und der Risikodeckungspotenziale?
Werden einzelne Risikoarten in kürzeren Abständen ermittelt, bspw. die Marktpreisrisiken? Ist in diesem Fall sichergestellt, dass die Berechnungsmethoden identisch sind, so dass auch bei kürzeren Berechnungsintervallen eine Aussage zur Risikotragfähigkeit getroffen werden kann?
Wie wird gewährleistet, dass die Risikotragfähigkeit auch zwischen den Berechnungstagen laufend sichergestellt ist?
Sind hierfür Puffer festgelegt worden? Ist die Höhe der Puffer motiviert, etwa durch historische Schwankungen der Risikowerte?
Werden Frühwarnindikatoren verwendet? Sind diese geeignet, um Auswirkungen auf die Risikotragfähigkeit frühzeitig anzuzeigen? Sind seit der letzten Prüfung Frühwarnindikatoren ausgelöst worden?
Fragen zu den Risikomodellen, die für die Risiken eingesetzt werden, finden sich in den anderen Abschnitten dieses Handbuches. Übergeordnet sollten zusätzlich folgende Fragen im Rahmen einer Prüfung betrachtet werden:
Sind die im Risikotragfähigkeitskonzept eingesetzten Berechnungsmethoden für die Risikoarten insgesamt konsistent zueinander?
Sind die Berechnungen über alle Risikoarten hinweg barwertig (wenn das Risikotragfähigkeitskonzept in der ökonomischen Sicht barwertig ist)?
Kann im Falle der normativen Betrachtung mit den barwertigen/ökonomischen Methoden der ergebniswirksame Teil der Risiken ermittelt werden?
Werden die verschiedenen Risiken alle mit demselben Konfidenzniveau und dem gleichen methodischen Ansatz gerechnet?[7]
Sind die Risikomodelle grundsätzlich geeignet?
Ist das Modell für das Portfolio der Bank angemessen? Ist eine nachvollziehbare Abwägung zwischen einfachen und komplexen Modellen vorgenommen worden?
Kann die methodische Komplexität durch die dafür fachlich verantwortlichen Mitarbeiterinnen und Mitarbeiter vertreten werden?
Decken die Modelle alle relevanten Aspekte ab; werden bspw. erwartete (typischerweise im Rahmen der Risikodeckungsmassenableitung) und unerwartete Verluste abgedeckt?
Werden die Methoden und Verfahren der Risikomessung zeitnah an sich ändernde Bedingungen angepasst? Wie wird das überprüft und nachweisbar dokumentiert?
Werden die Modelle für die Ermittlung der Risiken im Rahmen des Risikotragfähigkeitskonzepts als komplex eingeschätzt? Falls ja, welche Konsequenzen hat das im Vergleich zu den Modellen, die nicht als komplex eingeschätzt wurden?
Gibt es für das Risikotragfähigkeitskonzept eine übergeordnete Validierung?
Kann die Validierung der Modelle auch für die Validierung des Risikotragfähigkeitskonzepts herangezogen werden?
Gibt es in den Validierungsberichten zu den Modellen Aussagen hinsichtlich der Risikotragfähigkeit?
Werden neben den Modellen auch die Risikodeckungspotenziale validiert; werden die Ergebnisse dokumentiert und kommuniziert?
1.3.2
Deckungspotenzial in der normativen Perspektive
Ist im übergeordneten Rahmenwerk für die interne Risikotragfähigkeitsberechnung die Berechnung beschrieben? Ist motiviert, inwieweit die Deckungspotenziale geeignet sind, die gegenübergestellten Risiken zu tragen?
Welcher Risikohorizont liegt dem Konzept zugrunde?
Steht das Risikodeckungspotenzial bei einer rollierenden Betrachtung für den vollständigen Risikohorizont zur Verfügung?
Ist bei einer Stichtagsbetrachtung nachvollziehbar, welcher Anteil der Risikodeckungspotenziale der aktuellen und den folgenden Perioden zugerechnet ist?
Aus welchen Bestandteilen ist das Risikodeckungspotenzial zusammengesetzt?
Welche Bestandteile werden neben dem regulatorischen Kapital noch berücksichtigt?
Erfolgt für alle Bestandteile des Risikodeckungspotenzials zu jedem Stichtag eine Neuberechnung?
Werden einzelne Bestandteile fortgeschrieben? Falls ja, ist das plausibel und führt die Vereinfachung nicht zu einer Überschätzung des Risikodeckungspotenzials?
Werden Planergebnisse berücksichtigt?
Ist der angesetzte Wert nachhaltig?
Ist die Ableitung plausibel? Sind historische Planabweichungen untersucht worden, um die Stabilität der Größe zu untersuchen?
Berücksichtigt die Berechnung mögliche Einflüsse aus Strategieänderungen, die eine Ergebnisrelevanz aufweisen?
Ist mit Hinblick auf die Strategie berücksichtigt, dass ein Ausschüttungsbetrag möglicherweise nicht als Bestandteil des Risikodeckungspotenzials zur Verfügung steht?
Werden Reserven aus Wertpapieren berücksichtigt?
Ist sichergestellt, dass der angesetzte Wert für den Risikohorizont zur Verfügung steht, da sich bspw. durch die Restlaufzeitverkürzung eine Verringerung der Reserven ergibt?
Wie wird dem Umstand Rechnung getragen, dass sich die Höhe der Reserven zwischen den Stichtagen bei der Berechnung der Risikotragfähigkeit verringern kann? Werden Abschläge für mögliche Schwankungen berücksichtigt? Falls ja, wie werden die Abschläge ermittelt?
Werden die Reserven aus Papieren der Liquiditätsreserve bzw. der Klasse „Available for Sale“ anders behandelt als die Reserven aus Papieren des Anlagevermögens bzw. der Klasse „Held to Maturity“?
Wird berücksichtigt, dass durch die Hebung stiller Reserven Verringerungen im Zinsüberschuss auftreten können und dadurch das Planergebnis niedriger ausfallen kann?
Wie wird das Eigenkapital berücksichtigt?
Ist die Abgrenzung von bilanziellem und regulatorischem Kapital vorgenommen worden?
Ist das Vorgehen konform mit der Risikostrategie bzw. mit dem Risikoappetit?
Ist sichergestellt, dass die berücksichtigten Kapitalbestandteile über den gesamten Risikohorizont zur Verfügung stehen?
Ist festgelegt, welcher Anteil des Eigenkapitals angesetzt werden darf?
Auf welcher Basis wird das verfügbare Eigenkapital ermittelt, das als Risikodeckungspotenzial angesetzt werden kann? Werden Daten zum jeweiligen Stichtag der Berechnung aus dem Meldewesen herangezogen oder wird die Veränderung des Eigenkapitals innerhalb des Risikohorizonts berücksichtigt? Wird ein Abschlag vom freien Eigenkapital berücksichtigt, falls das Kapital vereinfachend zum jeweiligen Stichtag der Berechnung herangezogen wird?
Wird ein Wert oberhalb der regulatorischen Mindestkapitalanforderung angesetzt? Falls ja, wie ist der motiviert?
Werden der antizyklische und der Kapitalerhaltungspuffer berücksichtigt? Wie wird mit weiteren Puffern umgegangen?
Ist die Reihenfolge bestimmt, nach der die einzelnen Bestandteile des Risikodeckungspotenzials in Ansatz gebracht werden? Ist das Vorgehen strategiekonform?
Ist mit Bezug auf die Risikostrategie motiviert, welcher Anteil der verfügbaren Risikodeckungspotenziale auf Risiken allokiert werden darf?
1.3.3
Methoden und Parameter in der normativen Perspektive
Gibt es übergreifende Festlegungen zu den Parametern, mit denen die Risiken in der normativen Perspektive in Ansatz gebracht werden?
Erfolgt die Risikomessung grundsätzlich ergebnisorientiert oder werden vereinfacht barwertige Methoden zugrunde gelegt, die für die ökonomische Perspektive verwendet werden? Erfolgt gemäß Risikotragfähigkeitskonzeption die Abspaltung eines ergebniswirksamen Anteils bspw. aus dem VaR für das Marktpreisrisiko, falls ökonomische Methoden genutzt werden? Ist das Verfahren nachvollziehbar?
Gibt es bei der Gesamtbetrachtung aller im Risikotragfähigkeitskonzept berücksichtigten Risiken grundlegende Unterschiede hinsichtlich der Methoden?
Werden für alle Risiken wahrscheinlichkeitsgetriebene Aussagen mit einem bestimmten Konfidenzniveau getroffen?
Gibt es szenariobasierte Werte? Wie wird in diesem Fall die Konsistenz zu den anderen Risiken und zur Gesamtaussage sichergestellt?
Erfolgt die Berücksichtigung der Marktpreisrisiken sachgerecht?
Sind alle gemäß Risikoinventur als wesentlich bestimmten Risiken berücksichtigt (neben dem allgemeinen Zinsrisiko insbesondere die Spread-Risiken, Optionsrisiken, Basisrisiken und Fremdwährungsrisiken)?
Wie sind Marktpreisrisiken definiert bzw. zu den anderen Risikoarten abgegrenzt, insbesondere vor dem Hintergrund der EBA-Guidelines zum SREP[8]? Gibt es für den Fall einer Abweichung eine Zuordnung von SREP auf die interne Definition?
Werden die Zinsänderungsrisiken des Anlagebuches als Bestandteil des gesamten Marktpreisrisikos behandelt oder erfolgt ein separater Ausweis dieser Kategorie?
Sind die Verfahren für die verschiedenen Ausprägungen des Marktpreisrisikos konsistent zueinander?
Sind bestimmten Ausprägungen der Zinsrisiken in der normativen Perspektive ausgenommen, bspw. Zinsrisiken aus Positionen mit Dauerhalteabsicht?
Wie werden in Anlehnung an die vorhergehende Frage Spread-Risiken behandelt? Werden Spread-Risiken von Positionen mit Dauerhalteabsicht generell ausgenommen oder gibt es bspw. bonitätsabhängige Bedingungen hierfür?
Ist die Marktdatenhistorie adäquat für die Abbildung der Risikotragfähigkeit in der normativen Perspektive?
Welche Vereinfachungen werden hinsichtlich der verwendeten Marktdaten genutzt? Werden bspw. die Spread-Risiken nur mit wenigen Spread-Kurven gemessen, auf die die Bestände gemappt werden, oder werden Basisrisiken nur vereinfacht berücksichtigt?
Werden aus den Marktdaten tägliche Wertveränderungen für die Risikomessung herangezogen oder über einen längeren Zeitraum? Falls keine täglichen Veränderungen herangezogen werden: Erfolgt eine überlappende Betrachtung, bei der Autokorrelationen auftreten?
Wie erfolgt die Skalierung der Marktdatenveränderungen auf den Risikohorizont der Risikotragfähigkeitsberechnung? Ist die mathematische Annahme unabhängiger Ereignisse belegt worden, falls mittels der Wurzel-t-Formel skaliert wird?
Erfolgt die Berücksichtigung der Adressenausfallrisiken sachgerecht?
Sind die Definition der Adressenausfallrisiken und die Abgrenzung zu den anderen Risikoarten eindeutig? Wo werden bspw. Spread-Risiken oder Migrationsrisiken berücksichtigt?
Ist das CVA-Risiko (Credit Valuation Adjustment) wesentlich und falls ja, ist es in der Risikotragfähigkeitsrechnung berücksichtigt?
Ist in der Risikotragfähigkeitskonzeption nachvollziehbar dokumentiert, wenn bestimmte Ausprägungen des Adressenausfallrisikos in der normativen Perspektive nicht berücksichtigt werden, bspw. Migrationsrisiken oder bestimmte Spread-Risiken (falls diese nicht den Marktpreisrisiken, sondern den Adressenausfallrisiken zugeordnet werden)?
Ist sichergestellt, dass die im Modell verwendeten Parameter wie bspw. Korrelationen zwischen Branchen für das Portfolio geeignet sind?
Wird ein Verfahren in Anlehnung an BFA7[9] verwendet?
Berücksichtigt der Risikobetrag den unerwarteten Verlust in ausreichendem Maße, falls vergleichsweise einfache Szenarioberechnungen genutzten werden und kein Kreditrisikomodell eingesetzt wird?
Wie sind Adressenausfallrisiken definiert bzw. zu den anderen Risikoarten abgegrenzt, insbesondere vor dem Hintergrund der EBA-Guidelines zum SREP?[10] Gibt es für den Fall einer Abweichung, bspw. durch die Zuordnung der CVA-Risiken zu den Adressenausfallrisiken, eine Zuordnung von SREP auf die interne Definition?
Ist mit Bezug auf die Risikostrategie motiviert, wie das Risikodeckungspotenzial auf die Risiken verteilt wird?
Gibt es in der Strategie Aussagen dazu, welcher Anteil des insgesamt verfügbaren Risikodeckungspotenzials eingesetzt werden darf?
Gibt es Aussagen dazu, welcher Anteil für die einzelnen Risikoarten zur Verfügung steht?
Wie werden die Einzelrisiken zu einem Gesamtrisiko aggregiert? Werden die Risikobeträge aufaddiert oder werden Diversifikationseffekte zwischen den Risikoarten berücksichtigt?
Liegt eine nachvollziehbare Dokumentation für die Nutzung der Diversifikationseffekte vor, falls diese berücksichtigt werden? Ist die überprüft worden?
Werden Diversifikationseffekte konsistent sowohl bei der Aggregation der Risiken als auch bei der Disaggregation der Limite in Ansatz gebracht, falls diese berücksichtigt werden?
1.3.4
Mehrjährige Sicht in der normativen Perspektive
Ist die mehrjährige Sicht in die normativen Perspektive integriert worden? Wird dadurch die Grundidee einer mittelfristigen Sicht auf die Risikotragfähigkeit verfolgt?
Welchen Fokus hat die mehrjährige Sicht?
Liegt der Schwerpunkt auf dem regulatorischen Kapital, also der externen Sicht?
Wird das interne Kapital, also die Risikotragfähigkeit, ausreichend berücksichtigt?
Ist der zeitliche Horizont des Modells angemessen? Werden zu jedem Zeitpunkt der Betrachtung mindestens drei Jahre abgedeckt?
Welche Szenarien sind definiert? Werden neben Standard- auch adverse und Stressszenarien verwendet?
Sind die Szenarien insgesamt plausibel, sind sie ggf. nicht konservativ genug, insbesondere das adverse Szenario?
Woran orientieren sich die Szenarien? An der Unternehmensplanung? Welche weiteren Quellen werden herangezogen?
Wie werden mögliche adverse Entwicklungen bestimmt? Ist mit den Szenarien ein deutlicher Effekt betreffend Eigenkapital sichergestellt?
Ist die Projektion des Risikodeckungspotenzials sachgerecht?
Wird bei der Entwicklung des Eigenkapitals die eigene Planung berücksichtigt, insbesondere im Falle eines RWA-Wachstums (Risk-Weighted Assets)?
Sind die verschiedenen Kapitalpuffer berücksichtigt?
Werden mögliche weitere Entwicklungen im Aufsichtsrecht konservativ abgebildet?
Ist die Projektion des Risikopotenzials auf den Horizont der mehrjährigen Sichtweise sachgerecht?
Werden alle Risiken berücksichtigt, die aus normativer Sicht relevant sind? Sind mögliche Unterschiede plausibel?
Gibt es Unterschiede zwischen der mehrjährigen Sicht und dem laufenden normativen Risikotragfähigkeitskonzept hinsichtlich der Methoden? Falls ja, kann das plausibel erläutert werden?
Werden bspw. die VaR-Ergebnisse aus dem Kreditrisiko vereinfacht in die Zukunft fortgeschrieben oder wird der vollständige Neubestand im Modell abgebildet?
Wird im Falle eines RWA-Wachstums der VaR vereinfacht hochgerechnet oder erfolgt eine Neusimulation? Welche Annahmen werden im Falle einer Neusimulation hinsichtlich der Zusammensetzung des neuen Portfolios getroffen?
Sind die Annahmen für die künftige Zusammensetzung des Marktpreisrisikos plausibel, insbesondere hinsichtlich der Laufzeitstruktur und der relevanten Spread-Risiken?
Wie häufig werden die Berechnungen durchgeführt?
Erfolgt vierteljährlich eine vollständige normative Simulation über einen Zeitraum von mindestens drei Jahren?
Wird vierteljährlich nur ein Jahr betrachtet? Sind für diesen Fall Trigger festgelegt, in welchem Fall eine vollständige Berechnung erforderlich ist?
Welche Bedeutung hat die mehrjährige Betrachtung im Risikomanagement des Instituts?
Werden die Ergebnisse aussagekräftig zusammengefasst? Wie erfolgt das Berichtswesen?
Welche Auswirkungen haben die Ergebnisse auf die Steuerung? Gab es in der Vergangenheit Konsequenzen aus den Ergebnissen? Welche Handlungsmaßnahmen wurden durchgeführt?
Sind die Ergebnisse interner Diskussionen des Managements nachvollziehbar?
1.3.5
Deckungspotenzial in der ökonomischen Perspektive
Ist im übergeordneten Rahmenwerk für die interne Risikotragfähigkeitsberechnung die Berechnung der ökonomischen Perspektive beschrieben? Ist motiviert, inwieweit die Deckungspotenziale geeignet sind, die gegenübergestellten Risiken zu tragen?
Sind alle Bestandteile des Risikodeckungspotenzials barwertig ermittelt?
Gibt es für einzelne Positionen Abweichungen zur barwertigen Ermittlung? Falls ja, ist das vertretbar und ist der vereinfachte Wertansatz plausibel?
Wie häufig wird das barwertige Deckungspotenzial ermittelt? Wie wird dem Umstand Rechnung getragen, dass sich die Höhe des barwertigen Deckungspotenzials zwischen den Stichtagen der Berechnung der Risikotragfähigkeit verringern kann? Werden Abschläge berücksichtigt? Falls ja, wie werden die Abschläge ermittelt?
Erfolgt zu jedem Stichtag der Risikotragfähigkeitsberechnung eine Neuberechnung aller Bestandteile? Falls nein, ist die Vereinfachung vertretbar?
Ist sichergestellt, dass im Barwert nur Bestandsgeschäft berücksichtigt wird und kein Neugeschäft enthalten ist?
Beträgt der Risikohorizont ein Jahr?
Wie werden die Barwerte von Aktivpositionen ermittelt?
Liegen für Wertpapiere und andere handelbare Positionen Marktwerte vor oder erfolgt die Ermittlung Mark-to-Model?
Wie werden Kredite behandelt? Erfolgt die Berücksichtigung des Expected Loss (EL) und erfolgt dies durch den EL over Lifetime?
Ist insgesamt plausibel, inwiefern durch den Abschlag vom Barwert oder die Diskontierung unter Berücksichtigung entsprechender Spreads erwartete Verluste adäquat abgebildet sind?
Werden für bestimmte Positionen Vereinfachungen angenommen, bspw. für Beteiligungen?
Sind die aus den Positionen ermittelten barwertigen Reserven aus dem Buchwert-Barwert-Vergleich plausibel? Gibt es bei Positionen, die mit eigenen Mark-to-Modell-Bewertungen einfließen, vergleichsweise hohe barwertige Reserven, etwa bei eigenen Immobilien oder Beteiligungen?
Wie werden die Barwerte von Passivpositionen ermittelt?
Wird eine einheitliche risikolose Zinskurve für die Diskontierung herangezogen? Ist die Festlegung plausibel?
Wird das Eigenkapital berücksichtigt?
Werden Sachkosten, die dem Bestandsgeschäft zugeordnet werden, im Gesamtbarwert angemessen berücksichtigt?
Ist aus dem Ausweis des gesamten Barwertes des Vermögens erkennbar, durch welche Positionen dieser maßgeblich bestimmt wird?
Resultiert der Barwert maßgeblich aus Reserven, die Mark-to-Market ermittelt wurden?
Sind die Mark-to-Model ermittelten Barwerte wertbestimmend für den Barwert des Vermögens?
Sind im Falle von Mark-to-Model-Bewertungen die zugrundeliegenden Cashflows im Wesentlichen deterministisch oder stochastisch? Ist die Ableitung im Fall von stochastischen Cashflows plausibel hergeleitet, bspw. bei Spareinlagen oder Tagesgeldern?
Wird die Ermittlung des ökonomischen Vermögens mit den Berechnungen zur verlustfreien Bewertung des Zinsbuches verglichen und sind die Unterschiede plausibel?
Welcher Anteil des barwertigen Deckungspotenzials wird im Rahmen der Risikotragfähigkeitsberechnung angesetzt?
Ist das Vorgehen konform mit der Risikostrategie bzw. mit dem Risikoappetit?
Liegt der Bestimmung des Anteils eine quantitative Methode zugrunde? Falls ja, ist die Anwendung sachgerecht?
1.3.6
Methoden und Parameter in der ökonomischen Perspektive
Hinsichtlich der Fragen zur Parametrisierung der ökonomischen Perspektive kann grundsätzlich auf den Abschnitt zur normativen Perspektive verwiesen werden. Viele der Fragen gelten sinngemäß auch hier. Darüber hinaus ergeben sich weitere Fragen, die sich mit den spezifischen Anforderungen dieses Ansatzes beschäftigen.
Erfolgt in der Gesamtbetrachtung aller im Risikotragfähigkeitskonzept berücksichtigten Risiken ein barwertiger Ansatz?
Gibt es übergreifende Festlegungen zu den Parametern, mit denen die Risiken in der ökonomischen Perspektive in Ansatz gebracht werden?
Gibt es ein einheitliches Konfidenzniveau von 99,9%?
Falls abweichend von 99,9%: Wie ist das Konfidenzniveau bestimmt worden; entspricht dies dem Zielrating des Instituts?
Gibt es eine einheitliche Haltedauer?
Sind die Abweichungen zur normativen Perspektive insgesamt nachvollziehbar und stehen sie im Einklang mit der Risikostrategie?
Werden wie in der normativen Perspektive bestimmte Risikoarten von der Berücksichtigung ausgenommen, bspw. die Credit-Spread-Risiken des Anlagebuches?
Ist dies akzeptabel? Werden Unterschiede in der Behandlung ausreichend motiviert?
Erfolgt die Berücksichtigung der einzelnen Risikoarten sachgerecht?
Sind wie in der normativen Perspektive bestimmte Ausprägungen der Zinsrisiken auch in der ökonomischen Sichtweise ausgenommen, bspw. Zinsrisiken aus Positionen mit Dauerhalteabsicht? Falls ja, ist dies plausibel? Welche sachlichen Gründe liegen hierfür vor?
Sind die Marktdatenhistorie und die Historie zu den Ausfällen adäquat für die Abbildung der Risikotragfähigkeit in der ökonomischen Sicht?
Werden alle Aspekte des Adressenausfallrisikos berücksichtigt? Falls es Ausnahmen bspw. für Migrationsrisiken gibt, wie können diese begründet werden?
Zusätzlich gelten die Fragen zu den Marktdaten sowie die Fragen zum Adressenausfallrisiko aus dem Abschnitt Methoden und Parameter in der normativen Perspektive auch für die Prüfung des ökonomischen Ansatzes.
Ist mit Bezug auf die Risikostrategie motiviert, wie das Risikodeckungspotenzial auf die Risiken verteilt wird?
Wie werden die Einzelrisiken zu einem Gesamtrisiko aggregiert? Werden die Risikobeträge aufaddiert oder werden Diversifikationseffekte zwischen den Risikoarten berücksichtigt?
Literatur
Bafin (16.08.2021), Bundesanstalt für Finanzdienstleistungsaufsicht: Rundschreiben 10/2021 (BA), geändert am 05.11.2021, Mindestanforderungen an das Risikomanagement – MaRisk, https://www.bafin.de/dok/16502162 (03.03.2022).
EBA (19.07.2018), European Banking Authority: Guidelines on the revised common procedures and methodologies for the supervisory review and evaluation process (SREP) and supervisory stress testing, EBA/GL/2018/03, https://www.eba.europa.eu/sites/default/documents/files/documents/10180/2282666/6c2e3962-6b95-4753-a7dc-68070a5ba662/Revised%20Guidelines%20on%20SREP%20%28EBA-GL-2018-03%29.pdf?retry=1 (03.03.2022).
Heuter, H. (2015): Einordnung des ICAAP in die Gesamtbank und Überblick über die aktuellen aufsichtsrechtlichen Anforderungen, in: Heuter, H./Igl, A., Handbuch ICAAP.
Heuter, H. (2008): Perspektiven für Risikodeckungsmittel und Limite, in: Becker, A./Gehrmann, V./Schulte-Mattler, H., Handbuch Ökonomisches Kapital.
Heuter, H. (2019): Steuerungsaspekte unter normativer und ökonomischer Perspektive, in: Igl, A./Heuter, H., Methodenhandbuch ICAAP.
Rose, M./Heuter, H. (2016): Der Risikomanagement-Prozess, in: Gruber, W./Schöche, L./Rose, M., Prüfungsleitfaden Interne Revision, Frankfurt am Main.
Fußnoten:
[1]Vgl. Rose/Heuter (2016).
[2]Vgl. Rose/Heuter (2016).
[3]Vgl. Heuter (2015).
[4]Vgl. EBA (19.07.2018).
[5]Vgl. Heuter (2019).
[6]Vgl. Rose/Heuter (2016).
[7]So sollten bspw. Risiken grundsätzlich nicht teilweise VaR-basiert und teilweise szenarioorientiert gerechnet werden.
[8]Vgl. EBA (19.07.2018).
[9]Vgl. Pauschalwertberichtigungen bei Kreditinstituten: IDW RS BFA 7.
[10]Vgl. EBA (19.07.2018).
2
Ratingsysteme
Jochen Klement/Christian Stepanek
2.1
Einführung
2.1.1
Übergreifende Aspekte zu Ratingsystemen
Das Eingehen von Kreditrisiken ist Bestandteil aller gängigen Geschäftsmodelle von Banken. In diesem Zusammenhang spielen Ratingsysteme bzw. Risikoklassifizierungsverfahren eine zentrale Rolle bei der Beurteilung der Kredit- bzw. Adressenausfallrisiken. Die hiermit erstellten Ratings bzw. Einstufungen in Risikoklassen sind zentraler Baustein der Kreditprozesse sowie der Risikomessung und -steuerung. Im Fokus der Einstufung stehen insbesondere die Kreditwürdigkeit einzelner Kunden bzw. Emittenten, einzelne Geschäfte bzw. Emissionen oder Projektfinanzierungen.
Ratings finden neben weiteren Kriterien und geschäftspolitischen Vorgaben Eingang in die Kreditentscheidung (Antragsrating). Hierbei richten sich in der Regel auch die Kreditkonditionen (vor allem der angebotene Zinssatz) nach der Ratingnote. Im Rahmen der Kreditweiterbearbeitung werden regelmäßig (mindestens jährlich) oder anlassbezogen Adressausfallrisiken neu durch die Erstellung eines Bestandsratings beurteilt. Die Ratingnote ist in diesem Zusammenhang häufig ein Kriterium für den Übergang eines Kredits in die Intensivbetreuung oder die Sanierung und Abwicklung. Demnach ist auch die Ausfalldefinition mit den Ratingnoten verbunden. Ebenso können die Ergebnisse der Ratingsysteme (z.B. Ausfallwahrscheinlichkeiten) bei der Ermittlung des Adressenausfallrisikos und von Wertberichtigungen herangezogen werden.
Die Institute haben gemäß MaRisk[1] Risikoklassifizierungsverfahren zur Beurteilung von Adressenausfallrisiken anzuwenden (BTO 1.4 Tz. 1 MaRisk). Hierzu erfolgt eine Einstufung der bewerteten Kreditnehmer in Risiko- bzw. Ratingklassen. Bonitätsratings werden anhand einer vorgegebenen Skala vergeben, der so genannten Ratingskala oder auch Masterskala. Üblicherweise werden diesen Klassen anschließend Ausfallwahrscheinlichkeiten (Probability of Default/PD) zugeordnet, die anschließend z.B. zur Risikoquantifizierung in der Risikotragfähigkeitsrechnung herangezogen werden können. Die Quantifizierung des Adressenausfallrisikos erfordert darüber hinaus in der Regel auch eine Ermittlung der Verlustquote bei Ausfall (Loss Given Default/LGD) und eines Kreditkonversionsfaktors (Credit Conversion Factor/CCF) im Rahmen der Ermittlung des zum prognostizierten Ausfallzeitpunkt vorliegenden Exposures (Exposure at Default/EaD).[2] LGDs und CCFs werden (je nach Komplexität des Verfahrens) in einzelnen Stufen oder Pools eingeteilt. Jeder Stufe bzw. jedem Pool wird dann eine spezifische Quote zugewiesen.
Zu Zwecken der Eigenmittelunterlegung im Kreditrisiko besteht die Möglichkeit, die Risikogewichte auf Basis interner Ratings zu ermitteln (IRB-Ansatz/Internal Ratings Based Approach). In Art. 142 Abs. 1 Nr. 1 Capital Requirements Regulation (CRR)[3] werden Beurteilungs- bzw. Ratingsysteme als die Gesamtheit aller „[…] Methoden, Prozesse, Kontrollen, Datenerhebungs- und IT-Systeme, die zur Beurteilung von Kreditrisiken, zur Zuordnung von Risikopositionen zu Bonitätsstufen oder -pools sowie zur Quantifizierung von Ausfall- und Verlustschätzungen für eine bestimmte Risikopositionsart dienen […]“ definiert. Regulatorisch darf im IRB-Basisansatz für die Eigenkapitalunterlegung nur die PD eines Kreditnehmers durch das Institut selbst geschätzt werden. Im fortgeschrittenen IRB-Ansatz können zudem die Parameter effektive Restlaufzeit, EaD bzw. CCF und die LGD selbst ermittelt werden. LGD und CCF werden im Sinn der CRR auch durch Ratingsysteme ermittelt, weshalb sie ebenfalls hier Erwähnung finden. Der im Folgenden verwendete Begriff des Ratingsystems umfasst daher sowohl die Risikoklassifizierungsverfahren gemäß MaRisk als auch die Modelle zur Ermittlung von PD, LGD und CCF.
Zentrales Element aller Ratingsysteme ist die Ausfalldefinition. Diese ist sowohl Grundlage für die Ermittlung als auch Gegenstand der Prognose von PD, LGD und CCF. Hierzu wird die Ausfalldefinition nach Art. 178 Abs. 1 CRR angewendet. Nach dieser gilt ein Schuldner als ausgefallen, wenn die vollständige Rückzahlung einer Verbindlichkeit als unwahrscheinlich gilt (Buchstabe a) oder eine wesentliche Verbindlichkeit mehr als 90 Tage überfällig ist (Buchstabe b). Neben der Ausfalldefinition wird in Abs. 5 dieses Artikels zudem geregelt, ab wann ein ausgefallener Schuldner als wieder gesundet gelten kann.
Neben den zuvor geschilderten internen Ratings werden externe Ratings von Ratingagenturen, wie beispielsweise Standard & Poor's, erstellt. Rechtlich wird der Begriff Rating in diesem Zusammenhang nach Art. 3 Abs. 1 a) der Verordnung 1060/2009 (Ratingverordnung)[4] definiert als „ein Bonitätsurteil in Bezug auf ein Unternehmen, einen Schuldtitel oder eine finanzielle Verbindlichkeit, eine Schuldverschreibung, eine Vorzugsaktie oder ein anderes Finanzinstrument oder den Emittenten derartiger Schuldtitel, finanzieller Verbindlichkeiten, Schuldverschreibungen, Vorzugsaktien oder anderer Finanzinstrumente, das anhand eines festgelegten und definierten Einstufungsverfahrens für Ratingkategorien abgegeben wird.“
Zu unterscheiden sind die Kreditratings zudem von Nachhaltigkeits-, Branchen- oder Fondsratings. Diese können zwar im Einzelfall Bestandteil des Kreditratings sein, zielen jedoch nicht auf das Adressenausfallrisiko ab. Der vorliegende Artikel widmet sich den in den Banken intern verwendeten Ratingsystemen zur Beurteilung der Kreditrisiken.
2.1.2
Struktur des Artikels und Abgrenzung zu anderen Abschnitten des Buchs
Im Verlauf dieses Kapitels wird zunächst der Aufbau von Ratingsystemen veranschaulicht. Im darauffolgenden Kapitel werden die einschlägigen regulatorischen Vorgaben aus den MaRisk, der CRR sowie weitere Anforderungen an den IRB dargestellt. Abschließend werden in einem Fragenkatalog mögliche Ansatzpunkte für Revisionsprüfungen von Ratingsystemen bereitgestellt.
Der vorliegende Abschnitt ist auf die Ratingmethodik und die Modellierung fokussiert, wohingegen der Abschnitt 3 Prüfung von auf Internen Ratings basierenden Ansätzen die weiteren regulatorischen Anforderungen zur Verwendung der Modelle und deren Umsetzung beschreibt. Weiterhin besteht Bezug zum Abschnitt 12 Validierungen, da sowohl bei der Entwicklung eines Ratingsystems als auch bei seiner Anwendung Validierungshandlungen erforderlich sind. Für die Darstellung der Validierung von Ratingsystemen wird auf den spezialisierten Abschnitt verwiesen. Im Rahmen der Quantifizierung von Adressrisiken wird auf Kreditportfoliomodelle zurückgegriffen. Diese setzen auf den mit den Ratingsystemen ermittelten PDs, LGDs und CCFs auf. Den Kreditportfoliomodellen ist ebenso ein separater Beitrag in diesem Buch gewidmet (Abschnitt 4, Kredtitrisiko).
2.1.3
Aufbau von Ratingsystemen
Nachfolgend wird der Aufbau von Ratingsystemen erläutert. Hierbei wird auf die kreditnehmer- bzw. geschäftsspezifische Erstellung von Ratings sowie die Unterscheidung zwischen standardisiertem Basisrating und optionalen Ratingbestandteilen wie Überschreibungen oder Gruppenzugehörigkeiten eingegangen. Weiterhin werden die Zuordnung von PDs zu Ratingstufen sowie die Vorgehensweisen zur Ermittlung von LGDs und CCFs erläutert.
2.1.3.1
Differenzierung nach Kreditnehmer- bzw. Geschäftsmerkmalen
Das Anwendungsfeld von Ratingsystemen ist in der Bankpraxis sehr breit und umfasst sowohl Retailgeschäfte als auch großvolumige Finanzierungen. Demzufolge müssen beispielsweise Privatkunden, Unternehmenskunden, Kreditinstitute, Projektfinanzierungen, verschiedene Gebietskörperschaften und staatliche Organisationen bewertet werden. Je nach Ratingobjekt sind unterschiedliche Informationen, Kennzahlen und Kriterien für die Ratingerstellung relevant bzw. verfügbar. Daher werden in den Instituten üblicherweise mehrere Ratingsysteme zur Ermittlung von Bonitätsratings angewendet, die für die entsprechende Kundengruppe bzw. Finanzierungsform maßgeschneidert sind.
Innerhalb einzelner Segmente kann zudem eine weitere Unterscheidung nötig sein. Bei Unternehmen wird beispielsweise nach der Größe (z.B. Umsatz oder Bilanzsumme), der Kredithöhe oder dem Vorliegen eines Jahresabschlusses nach HGB, IFRS oder US-GAAP differenziert. Die Zuordnung der zu bewertenden Kreditnehmer zu einzelnen Ratingsystemen muss stets eindeutig und durch entsprechende Kriterien nachvollziehbar ableitbar sein.
2.1.3.2
Ermittlung Basisrating
