SREP-Serie (Teil 3): Beurteilung der Internal Governance und institutsinterner Kontrollen im Rahmen von SREP

Im Rahmen des Supervisory Review and Evaluation Process (SREP) erfolgt eine Betrachtung der Internal Governance der Institute hinsichtlich der Ausrichtung an europäischen Leitlinien. Diese Leitlinien begreifen Internal Governance weniger als die Summe einzelner regulatorischer Anforderungen, sondern vielmehr als Rahmen in dem die instituts- bzw. gruppenspezifische Steuerung erfolgt. Das umfasst beispielsweise auch die Interaktion mit den Aufsichtsgremien und innerhalb der Gruppe.

Die Herausforderung für die Institute besteht in der Erhebung und Verzahnung der vorhandenen Verfahren und Regelungen (z.B. auf Basis der MaRisk) zu einem Gesamtbild, das den Anforderungen der europäischen Leitlinien genügt. Eine frühzeitige Bestandsaufnahme der eigenen Regelungen zur Internal Governance schafft Raum für mögliche Verbesserungen und Adaptionen, sowie eine bessere Ausgangslage bei der Beurteilung durch die Aufsicht.

Die Anforderungen im Einzelnen

Abschnitt 5 der SREP-Richtlinie beschreibt acht Bereiche (vgl. Abbildung), die bei der Beurteilung der Internen Governance und der institutsinternen Kontrollen betrachtet werden. Dabei wird auch bewertet, inwieweit sich das Institut nach europäischen Leitlinien richtet. Das Ergebnis fließt über einen Score-Wert in die Festlegung der zukünftigen Aufsichtsintensität ein.

 SREP Teil 3(zur Vergrößerung bitte auf die Grafik klicken)

Besonders anspruchsvoll für die Institute wird voraussichtlich die Einstellung auf einen sich ändernden Blickwinkel auf die Governance. Der Single Supervisory Mechanism (SSM) und SREP betrachten die Governance von Instituten und Institutsgruppen in einem Top-Down-Ansatz. Sie behandeln diese dabei immer ganzheitlich und beurteilen die Auswirkung von Schwächen direkt auf die Funktions- und Lebensfähigkeit. Dagegen lag in der bisherigen Aufsichtspraxis ein starker Fokus in der Stärkung der drei Verteidigungslinien und somit eher in einem Bottom-Up Blickwinkel, in dem sich durch die Erfüllung von detaillierten Einzelanforderungen eine Gesamtgovernance ergab.

Als einen wesentlichen Maßstab für die Beurteilung der Internal Governance werden von der europäischen Aufsicht die EBA „Guidelines on internal governance“[1] herangezogen. Diese beleuchten beispielsweise auch die Unternehmensstruktur und bestehende übergreifende Regelungen zur Governance. Sie müssen insbesondere angemessen (fit for purpose) sein und auch Auslagerungen einbeziehen[2]. Die Unternehmens- und Risikokultur muss dem Risikoappetit des Instituts ausreichend Rechnung tragen. Leitungsorgane und Aufsichtsgremien stehen hinsichtlich ihrer Zusammensetzung und Arbeitsweise im Fokus[3]. Hervorzuheben sind die persönlichen Anforderungen an die Mitglieder (z.B. Fachexpertise) und die geforderte Einräumung ausreichender Zeit für eine Risikoabwägung.

Die Bewertung der Vergütungspolitik und -praxis richtet sich im Wesentlichen[4] nach der Richtlinie 2013/36/EU, die in Deutschland durch die Institutsvergütungsverordnung umgesetzt wurde. Das Risikomanagement soll anhand von Rahmenwerken zu Risikoappetit, Kapitalausstattung (ICAAP)[5] und Liquiditätsausstattung (ILAAP)[6] sowie der Risikostrategie und den durchgeführten Stresstests bewertet werden. Dabei ist die turnusmäßige Prüfung der Methodik für ICAAP und ILAAP hervorzuheben. Sie lässt eine intensivere Prüfung Bewertungs- und Berechnungsmethoden vermuten.

Ein weiterer Bereich der Governance Beurteilung befasst sich mit dem angemessenen Rahmenwerk zu den internen Kontrollen. Hierbei werden alle drei Verteidigungslinien einer Bewertung unterzogen; stellvertretend seien folgende Anforderungen genannt:

  • Die institutsweite Verankerung des Rahmenwerkes zu internen Kontrollen und der Festlegung von Verantwortlichkeiten.
  • Die Festlegung von Regelungen und Prozessen zur Steuerung von Risiken.
  • Die Etablierung verschiedener Risikofunktionen (z.B. „chief risk officer“ und „compliance function“).
  • Die Schaffung einer internen Revision nach nationalen und internationalen Standards.

Von den IT-Systemen müssen Risikodaten verlässlich und aggregiert über das Institut hinweg in angemessener Zeit bereitgestellt werden. Weiter sind das Business Continuity Management sowie die Notfallkonzepte zu bewerten. Abschließend sind Erkenntnisse und Schwachstellen aus der Prüfung der Sanierungspläne[7] zu berücksichtigen.

Diese Beurteilungsbereiche werden ergänzt um weitere Anforderungen an Institutsgruppen. Hervorzuheben sind dabei:

  • Das Verständnis der Leitungsorgane und Aufsichtsgremien des Mutterinstituts von der Organisation der Unternehmensgruppe sowie den Rollen der einzelnen Unternehmen.
  • Die Schaffung von gruppenweiten Informations- und Berichtssystemen sowie konsistenter Strategien inklusive Rahmenwerk zum Risikoappetit.
  • Die Abdeckung aller bedeutenden Risiken (auch ausgehend von nicht konsolidierten Einheiten)

Der Fokuswechsel

Neben der Umsetzung der oben genannten einzelnen Bestandteile einer Governance ist die europäische Aufsicht vor allem am Zusammenwirken der einzelnen Funktionen bzw. Verfahren interessiert. Dieses sollte daher auch in entsprechenden Rahmenwerken der Institute gewürdigt werden. Im Mindestmaß ist hierzu Sprechfähigkeit zu erzielen.

Daher ist eine frühzeitige Bestandsaufnahme und Adressierung ggf. bestehender Anpassungsbedarfe zu empfehlen. Da aufgrund der einzelnen Anforderungen der MaRisk bereits viele „Bausteine“ der Governance vorhanden sein sollten, können hier durch entsprechende Konsolidierungen von einzelnen in den Instituten bereits etablierten Verfahren mit überschaubarem Aufwand Rahmenwerke geschaffen werden, die dem sich ändernden Fokus der Aufsicht standhalten. Dies ermöglicht darüber hinaus die noch zielgerichtetere Vorbereitung auf entsprechende Aufsichtsgespräche.

Bei Rückfragen stehen wir gerne zur Verfügung.

Michael Maifarth

Telefon     +49 69 9585 2318

Mobil       +49 170 786 5727

michael.maifarth@de.pwc.com

Matthias Eisert

Telefon +49 69 9585 2269

Mobil     +49 160 895 3260

matthias.eisert@de.pwc.com

Alexander Kottmann

Telefon     +49 30 2636 5018

Mobil       +49 170 473 8250

alexander.kottmann@de.pwc.com

Dieter Lienland

Telefon     +49 211 981 4929

Mobil       +49 171 553 2631

dieter.lienland@de.pwc.com

Susanne Schneider

Telefon     +49 40 6378 2953

Mobil       +49 160 533 6785

susanne.schneider@de.pwc.com

 

 

[1] GL 44 of 29.09.2011.

[2] Vgl. CEBS Guidelines on outsourcing, 14.12.2006.

[3] Article 91 (12) of Directive 2013/36/EU und EBA Guidelines the assessment of the suitability of members of the management body and key function holders, 22.11.2012

[4] Siehe ergänzend EBA Guidelines on remuneration policies and practices, 10.12.2010.

[5] Verfahren zur Beurteilung der Angemessenheit der Kapitalausstattung (Internal Capital Adequacy Assessment Process, ICAAP).

[6] Verfahrens zur Beurteilung der Angemessenheit der Liquiditätsausstattung (Internal Liquidity Adequacy Assessment Processes, ILAAP).

[7] Directive 2014/59/EU.

 

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

/* */