NFR-Arbeitskreis 30. November 2020
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
NFR-Arbeitskreis 30. November 2020
Agenda
11:00 - Begrüßung und Zielsetzung
11:05
11:05 - Zusammenfassung der Ergebnisse der Umfrage zu
11:25 Themenschwerpunkte sowie Kernfragestellungen
11:25 - Besprechung nächster Schritte der Arbeitsgruppen und
11:45 Herangehensweise/Endprodukte
11:45 - Einteilung Arbeitsgruppen
11:55
11:55 - Abschluss und nächste Schritte
12:00
2Organisation und Governance, Risikoappetit/-toleranz und
Risikokultur würden als Schwerpunktthemen ausgewählt
In der letzten Sitzung würden Risikoappetit/-toleranz und Als 3. Schwerpunktthema würde per E-Mail-
Organisation und Governance als Schwerpunktthemen Umfrage Risikokultur gewählt
gewählt
Verteilung der Stimmen, Prozent Verteilung der Stimmen, Prozent
1 Organisation und Governance 27
3 Risikokultur 56
2 Risikoappetit/-toleranz 31
Risikomessung 22
Risikokultur 25
Resilienz 22
Risikomessbarkeit 16
Industrievergleich 0
3Für die 3 NFR-Themenfelder sind mehrere Kernfragen
definiert worden – 1 Organisation und Governance
Kernfragen (nicht abschließend)
1. Welche Elemente bestehen in dem Management Kreislauf von NFR, z.B.
a)Kombinierbarkeit von NFR und Compliance, da u.a. die MaRisk Compliance Funktion eine
umfassende Beurteilung der Prozess auf Umsetzung der gesetzlichen relevanten Vorgaben
fordert, dies wiederum als Basis für das Kontrollelement des Management Kreislaufs dient
b)Vorgaben aus gesetzlichen Regelungen für das Institut übersetzen und kontrollieren
c) Abgrenzen zur 1st Line
?
2. Welche Governance-Modelle für NFR gibt es und wo liegen ihre Grenzen (Harmonisierung, Welche weitere
Effizienz, Machbarkeit)? Kernfragestellungen
a)Möglichkeiten einer Zentralisierung von NFR sollten untersucht
b)Verankerung in einem oder mehreren Dezernaten (Zusammenspiel und operative werden?
Umsetzung)
3. Welche Verantwortlichkeiten müssen in Bezug auf NFR in dezentralen Funktionen verankert
bleiben (ggf. regulatorisch vorgeschrieben)?
4. Führt eine NFR-Integration tatsächlich zu einer Entlastung der 1st-Line-Einheiten und zu einer
Effizienzsteigerung?
…
4Für die 3 NFR-Themenfelder sind mehrere Kernfragen
definiert worden – 2 Risikoappetit/-toleranz
Kernfragen (nicht abschließend)
1. Was gibt es für unterschiedliche Ansätze und Rahmen in der Bankenindustrie, um Risikoappetit/-toleranz für NFR zu definieren?
2. Könnte das OpRisk Risk Appetite Framework (RAF) auf alle NFR ‚ausgerollt‘ bzw. erweitert werden?
3. In welchem Umfang und wie detailliert soll Risikoappetit/-toleranz definiert werden?
4. Was wären institutsindividuelle Fragestellungen bzw. Schritte, um die Wesentlichkeit der NFR abzuleiten?
?
5. Wie sollte das Statement zu Risikoappetit/-toleranz-Statements aussehen, um
a) Qualitative Aussagen und Metriken zusammenzubringen
b) „Top-of-the-House View“ des NFR-Risikoappetits zu kaskadieren
c) Strikte Konsequenzen bei Verstößen zu ermöglichen?
6. Wie geht man Methodisch vor um Appetit, Toleranzen und KRIs festlegen und zu quantifizieren
a) Wann macht eine quantitative Formulierung des Risikoappetits Sinn? Welche
b) Wie kann man Risikoappetit quantifizieren (KRIs, KPIs, eher 1-2 Indikatoren pro Statement oder mehrere Indikatoren)? weitere
c) Worauf muss man bezüglich der Abhängigkeiten achten, z.B. zu finanziellen Risiken oder eben zu strategischen Überlegungen?
d) Wie geht man mit Risiken um, die man „akzeptieren“ möchte oder muss (z.B. Datenschutz und aktuelles Schrems II Urteil)? Kernfrage-
e) Welche Daten und Datenquellen benötigt man für die Messung der Toleranz? stellungen
f) Wo kann man die Linie zwischen dem Risk Appetite-Statement und der Risikostrategie ziehen?
g) Wie geeignet ist eine „Stressfähigkeit“ eines Risk Appetite-Statements? Wie kann man das effektiv in ein Stress-Testing berücksichtigen? sollten
7. Wie kann ein harmonisierter Steuerungsrahmen auf KPIs/KRIs aussehen? untersucht
8. Wie integriert man Risikoappetit und entsprechende Ansätze in andere Geschäfts- und Risiko-managementprozesse (z.B. strategische Planung)? werden?
9. Wie kann Risikoappetit in der Festlegung der Geschäftsstrategie einfließen, wenn die Risikostrategie den Risikoappetit erst formuliert? Welche
Geschäftsentscheidungen übersetzen sich in Risikoappetit und welche Risikoappetitsentscheidungen übersetzen sich in Geschäftsstrategie?
10. In welcher Form kann/sollte der Risikoappetit für (bestimmte) NFR(-Risikoarten) in die Steuerung der Vertriebsaktivitäten einbezogen werden?
11. Wie kann/sollte der Risikoappetit für NFR im Rahmen der Risikotragfähigkeit des Instituts diskutiert/berücksichtigt werden? Was ist die
Verbindung zwischen das Risk and Control Self Assessment (RCSA) und Risikoappetit/-toleranz?
12. Wie könnte die Maßnahmenüberwachung im Rahmen des regelmäßigen Reportings, Überwachung der Maßnahmen per KRIs und
Auswirkungen von Maßnahmen auf Risikotoleranz und Risikoappetit erfolgen?
13. Was sind die typischen Rollen und Verantwortlichkeiten im Zusammenhang mit Risikoappetit?
5Für die 3 NFR-Themenfelder sind mehrere Kernfragen
definiert worden – 3 Risikokultur
Kernfragen (nicht abschließend)
1. Welche sinnvollen Ansätze zur Messung der Risikokultur gibt es und wie kann man die
Wirksamkeit von Verbesserungsmaßnahmen bestimmen?
2. Mit welchen Mitteln kann man die Risikokultur eines Unternehmens beeinflussen?
3. Wie kann man weiche Werte in harte Anreize umsetzen?
4. Wer ist für das Thema Risikokultur verantwortlich und wie wird die 1st Line im
Risikokulturprozess eingebunden bzw. welche 2. Line übernimmt die Kontrollfunktion?
?
5. Wie hat sich die Risikokultur durch COVID-19 (und damit verbundene organisatorische Welche weitere
Änderungen) verändert? Kernfragestellungen
6. Welche Sichtweisen / Erfahrungen gibt es in der FIRM NFR Gruppe, z.B.
sollten untersucht
- Umsetzung regulatorischer Anforderungen oder regulatorischer Erwartungen in den werden?
einzelnen Instituten
- Interne Kulturprogramme und Herangehensweisen (qualitativ, welche Anreize)
- Verwendete Metriken / Messbarkeit
- …
6Zur Diskussion: Potentielle nächste Schritte für die
Arbeitsgruppen sowie Herangehensweise/Endprodukte
1 2 3
Organisation und Governance Risikoappetit/-toleranz Risikokultur
• Erarbeitung eines • Präsentationen der Sichtweisen / • Präsentationen der Sichtweisen
Fragebogens zu Erfahrungen in der FIRM NFR Gruppe / Erfahrungen in der FIRM NFR
Organisations- und zu Risikoappetit/-toleranz Gruppe zu Risikokultur
Governance-Benchmarking • Sammeln Risikotaxonomien der • Erstellung eines
entlang Kernfragestellungen Banken zum Vergleich in Fragenkatalogs/ Benchmarking
• Vergleich der Organisations- Kerndimensionen (z.B. Art der der bisherigen Ansätze zu
und Komiteestrukturen der Taxonomie, Anzahl der Stufen, Risikokultur
Banken Risikotypen) • Literaturanalyse zu
• Rechtsvergleich verschie- • Analyse der Arbeiten von Risikokultur/Kulturwandel (z.B.
dener Regulierungen zu NFR- Regulatoren in z.B. Niederlande, ausgehend von den Arbeiten
Organisation und - Australien der DNB und der
Governance (z.B. SSM, • Erstellung eines Fragenkatalogs/ Anwendbarkeit im Bankbereich)
Schweiz, Schweden) Benchmarking der bisherigen Ansätze • …
• … zu Risikoappetit entlang der
Kernfragestellungen
• …
7Übersicht Arbeitsgruppen Fett = Vorschlag
koordinierender Rolle
1 2 3
Organisation und Governance Risikoappetit/-toleranz Risikokultur
Müller (KfW) Mietzner (BayernLB) Lehmann (Deutsche Bank)
Hammerschmidt (Helaba) August (DKB) Einhaus (IKB)
Reinhardt (LBBW) Schmidt (DZ Bank) Kaiser (Wissenschaft)
Franke (FIRM) Schneider und Nilsson (McKinsey) Poppensieker und Nilsson (McKinsey)
Abenthum-Feil (BearingPoint) Jeuck (d-fine)
Gittfried (BCG)
Arbeitskreismitglieder noch nicht zugeteilt
• Doebke (NORD/LB)
• Quick (KPMG)
• Lehr (FIRM)
• Ivell (Oliver Wyman)
• Schröder (ifb Group)
8Vorschlag für Schwerpunktthemen und Arbeitskreis-
sitzungen in 2021
Vorschlag Arbeitskreissitzungen 2021
2021
Q1 Q2 Q3 Q4
Jan Feb März April Mai Juni Juli Aug Sep Okt Nov Dez
1 Organisation und Governance
Ansatz Ergebnisse
Analyse
2 Risikoappetit/-toleranz
Ansatz Ergebnisse
Analyse
3 Risikokultur
Ansatz Ergebnisse
9AK NFR Sondersitzung zu Konsultationsentwurf MaRisk Zielsetzung und Agenda 17. Dezember 2020 CONFIDENTIAL AND PROPRIETARY Any use of this material without specific permission of McKinsey & Company is strictly prohibited
Fokus der FIRM Sondersitzung liegt auf den geplanten Änderungen
der Compliance-Funktion aus der aktuellen MA Risk Konsulation
Erforderliche
Zielsetzung Agenda Vorbereitungen
Gemeinsame Diskussion MA 1. Kontext und Hintergrund (Frau Mietzner, Erarbeitung von 3-5
Risk Konsultationspapier von BayernLB) wesentlichen Pain Points
Oktober 2020 mit Fokus auf 2. Diskussion Pain Points MA Risk Konsultation zur MA Risk Konsultation in
Artikel "AT 4.4.2 Compliance (im Plenum) Bezug auf Compliance-
Funktion" in Kombination mit Funktion
EZB Artikel "Strengthening 3. Diskussion organisatorische
Grundprinzipien für Ausgestaltung der Ausarbeitung von ca. 10
banks’ compliance frameworks" organisatorischen
vom Februar 2020 Compliance-Funktion (im Plenum)
Grundprinzipien für die
Abstimmung Vorgehen und 4. Abgleich mit MA Risk Konsultation und Ausgestaltung der
wesentliche Inhalte für ein Ableitung von (In)-Konsistenzen anhand Compliance-Funktion
Positionspapier als Basis für eine von Beispielen (im Plenum) (unabhängig von der
Diskussion mit der Aufsicht im 5. Abstimmung weiteres Vorgehen, inkl. Regulatorik)
Februar 2021 Zeitplan und Inhalte Positionspapier (Frau
Mietzner, BayernLB)
6. Wrap-up (Frau Mietzner, BayernLB)
Moderation erfolgt durch McKinsey
McKinsey & Company 2Anhang
McKinsey & Company 3Ausschnitt aus MA Risk Konsultation "Strengthening banks’
compliance frameworks" vom 26. Oktober 2020
AT 4.4.2 Compliance-Funktion
Systemrelevante Große und komplexe Institute haben für die Compliance-Funktion eine eigenständige
Organisationseinheit einzurichten.
Eigenständige Compliance-Einheit
"
In der eigenständigen Einheit für die Compliance-Funktion dürfen auch weitere, Compliance-nahe Bereiche
angesiedelt sein (z. B. WpHG-Compliance, Geldwäschebeauftragter, Datenschutz). Andere Bereiche (z. B.
Auslagerungsbeauftragter und -management, Informationssicherheitsbeauftragter und -management,
Business Continuity Management), insbesondere Bereiche, die dem Risikocontrolling zuzuordnen sind,
dürfen nicht in der Compliance-Einheit angesiedelt werden.
"
Quelle: Konsultation 14/2020: Entwurf der MaRisk in der Fassung vom 26.10.2020 (Stand 09/2020) McKinsey & Company 4Ausschnitt aus EZB-Artikel "Strengthening banks’ compliance
frameworks" vom 12. Februar 2020
Since the start of European banking supervision, JSTs have seen banks improve the governance and stature
of the compliance function. In almost all cases, compliance units now have formal direct access to the
management body in its supervisory function, as required by the EBA Guidelines on internal governance.
Hierarchical reporting lines ensure, to varying degrees, that the Chief Compliance Officer is more
"
independent and has a higher stature.
However, in some banks, the Chief Compliance Officer also has another role (for instance, as head of
the legal department or non-financial risks department). This is not in line with the EBA Guidelines –
except in the case of the smallest banks, where proportionality can apply. As an overarching principle, the
Chief Compliance Officer needs to devote sufficient attention to compliance and should therefore be
dedicated to the role on a full-time basis.
"
Quelle: https://www.bankingsupervision.europa.eu/press/publications/newsletter/2020/html/ssm.nl200212_1.en.html McKinsey & Company 5Sie können auch lesen
