Als Teil des gesamten internen Kontrollsystems sollten die Institute über ein ganzheitliches institutsweites Rahmenwerk für das Risikomanagement verfügen, der sich auf alle Geschäftsbereiche und internen Einheiten, einschließlich der internen Kontrollfunktionen erstreckt, wobei dem wirtschaftlichen Gehalt aller Risikopositionen voll und ganz Rechnung zu tragen ist. Das Rahmenwerk für das Risikomanagement sollte das Institut in die Lage versetzen, fundierte Entscheidungen über das Eingehen von Risiken in Kenntnis der Sachlage zu treffen. Das Rahmenwerk für das Risikomanagement sollte bilanzielle und außerbilanzielle Risiken sowie aktuelle und künftige Risiken, denen das Institut möglicherweise ausgesetzt ist, einschließen. Die Risiken sollten nach dem Bottom-up-Ansatz und dem Top-down-Ansatz, innerhalb der Geschäftsbereiche und geschäftsbereichsübergreifend beurteilt werden, wobei im gesamten Institut sowie auf konsolidierter oder teilkonsolidierter Ebene eine konstistente Terminologie und kompatible Methoden zugrunde gelegt werden sollten. Alle relevanten Risiken sollten von dem Rahmenwerk des Risikomanagements erfasst werden, wobei sowohl finanziellen als auch nicht-finanziellen Risiken, einschließlich Kreditrisiken, Marktrisiken, Liquiditätsrisiken, Konzentrationsrisiken, operationellen Risiken, IT-Risiken, Reputationsrisiken, Rechtsrisiken, Wohlverhaltens-, Compliance und strategischen Risiken, angemessen berücksichtigt werden sollten.
Das Rahmenwerk für das Risikomanagement eines Instituts sollte Richtlinien, Verfahren, Risikolimite und Risikokontrollen enthalten, um so eine angemessene, zeitnahe und laufende Ermittlung, Messung oder Bewertung, Überwachung, Steuerung, Minderung und Berichterstattung über die Risiken auf Ebene der Geschäftsbereiche und des Instituts sowie auf konsolidierter und teilkonsolidierter Ebene sicherzustellen.
Das Rahmenwerk für das Risikomanagement eines Instituts sollte konkrete Orientierungshilfen für die Umsetzung der Strategien des Instituts vorsehen. Mit diesen Orientierungshilfen sollten, soweit erforderlich, interne Grenzen festgelegt und aufrechterhalten werden, die mit dem Risikoappetit des Instituts konsistent sindund dem ordnungsgemäßen Geschäftsbetrieb, der Ertragskraft, Kapitalausstattung und den strategischen Zielen in Einklang stehen. Das Risikoprofil eines Instituts sollte sich innerhalb der festgelegten Limite bewegen. Das Rahmenwerk für das Risikomanagement sollte sicherstellen, dass im Fall der Verletzung der Risikolimite ein definierter Eskalationsprozess zur und Adressierung dieser Verletzung im Rahmen eines angemessenen Mängelbeseitigungsverfahrens besteht.
Das Rahmenwerk für das Risikomanagement sollte einer unabhängigen internen Überprüfung unterzogen werden, beispielsweise durch die interne Revision, und regelmäßig im Hinblick auf den Risikoappetit des Instituts unter Berücksichtigung von Informationen der Risikomanagementfunktion sowie, sofern eingerichtet, des Risikoausschusses überprüft werden. Dabei sollten unter anderem Faktoren wie interne und externe Entwicklungen, einschließlich Bilanz- und Ertragsveränderungen, jegliche Steigerung der Komplexität der Geschäftstätigkeit des Instituts, das Risikoprofil und die operative Struktur, eine geografische Expansion, Fusionen und Übernahmen sowie die Einführung neuer Produkte oder Geschäftsbereiche berücksichtigt werden.
Bei der Ermittlung und Messung oder Beurteilung von Risiken sollte ein Institut geeignete Methoden und Verfahren entwickeln, die sowohl zukunfts- als auch vergangenheitsorientiert ausgestaltet sind. Mit diesen Methoden sollte es möglich sein, sämtliche Risiken geschäftsbereichsübergreifend zu aggregieren und Risikokonzentrationen zu identifizieren. Die Instrumente sollten die Bewertung des tatsächlichen Risikoprofils im Verhältnis zum Risikoappetit des Instituts sowie die Ermittlung und Bewertung potenzieller und angespannter Risikopositionen unter gestressten Bedingungen im Hinblick auf die Risikotragfähigkeit des Instituts umfassen. Die Instrumente sollten Informationen über etwaige eventuell notwendige Anpassungen des Risikoprofils liefern. Die Institute sollten angemessene konservative Annahmen bei der Konzeption von Stressszenarien zugrunde legen.
Die Institute sollten bedenken, dass die Ergebnisse von quantitativen Bewertungsmethoden, einschließlich Stresstests, weitgehend von den Grenzen und Annahmen der verwendeten Modelle abhängen (einschließlich der Schwere und Dauer des Schocks und der zugrunde liegenden Risiken). Weisen beispielsweise Modelle eine sehr hohe ökonomische Kapitalrendite („returns on economic capital“) auf, ist dies möglicherweise auf Schwachstellen in den Modellen (z. B. Ausschluss bestimmter wesentlicher Risiken) selbst und nicht auf eine überlegene Strategie oder eine gelungene Durchführung einer Strategie durch das Institut zurückzuführen. Die Bestimmung, in welcher Höhe Risiken eingegangen werden, sollte daher nicht nur auf quantitativen Informationen oder Ergebnissen von Modellen beruhen, sondern auch qualitative Aspekte einbeziehen (einschließlich Expertenschätzungen und kritischer Analysen). Zudem sollten relevante Veränderungen des wirtschaftlichen Umfelds betrachtet werden, um deren potenzielle Auswirkungen auf die Risikopositionen und Portfolios zu ermitteln.
Die Letztverantwortung für die Risikobeurteilung liegt einzig und allein beim Institut, das seine Risiken dementsprechend kritisch beurteilen und sich nicht ausschließlich auf externe Beurteilungen verlassen sollte. Ein Institut sollte beispielsweise ein nicht selbst entwickeltes, extern eingekauftes Risikomodell validieren und an seine individuellen Gegebenheiten anpassen, um sicherzustellen, dass mit dem Modell die Risiken genau und umfassend erfasst und analysiert werden.
Die Institute sollten sich der Grenzen von Modellen und Metriken voll und ganz bewusst sein und nicht nur quantitative, sondern auch qualitative Risikobewertungsinstrumente verwenden (einschließlich Expertenschätzungen und kritischer Analysen).
Neben den eigenen Bewertungen der Institute können die Institute auch externe Risikobeurteilungen heranziehen (einschließlich externer Bonitätseinstufungen oder extern erworbener Risikomodelle). Den Instituten sollten der genaue Umfang solcher Bewertungen und ihrer Grenzen vollständig bewusst sein.
Es sollten fortlaufende und transparente Prozesse für die Berichterstattung eingerichtet werden, damit dem Leitungsorgan, seinem Risikoausschuss, sofern eingerichtet, und allen relevanten Einheiten eines Instituts zeitnahe, genaue, präzise, verständliche und aussagekräftige Berichte vorgelegt werden, die wesentliche Informationen über die Ermittlung, Messung oder Beurteilung und Überwachung und Steuerung von Risiken erhalten. Das Rahmenwerk für die Berichterstattung sollte klar definiert und dokumentiert sein.
Eine effektiveKommunikation und Sensibilisierung hinsichtlich der Risiken und der Risikostrategie ist für den gesamten Risikomanagementprozess, einschließlich der Überprüfungs- und Entscheidungsprozesse, von entscheidender Bedeutungund hilft, Entscheidungen zu vermeiden, durch die unwissentlich das Risiko erhöht werden könnte. Eine effektive Risikoberichterstattung setzt eine umfassende interne Würdigung und Kommunikation der Risikostrategie sowie wichtiger Risikodaten (z. B. Risikopositionen und Risikokennzahlen) voraus, sowohl horizontal im gesamten Institut als auch nach oben und unten entlang der gesamten Kette der Unternehmensführung.
Wir benötigen Ihre Zustimmung, bevor Sie unsere Website weiter besuchen können.Wenn Sie unter 16 Jahre alt sind und Ihre Zustimmung zu freiwilligen Diensten geben möchten, müssen Sie Ihre Erziehungsberechtigten um Erlaubnis bitten.Wir verwenden Cookies und andere Technologien auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern.Personenbezogene Daten können verarbeitet werden (z. B. IP-Adressen), z. B. für personalisierte Anzeigen und Inhalte oder Anzeigen- und Inhaltsmessung.Weitere Informationen über die Verwendung Ihrer Daten finden Sie in unserer Datenschutzerklärung.Sie können Ihre Auswahl jederzeit unter Einstellungen widerrufen oder anpassen.Einige Services verarbeiten personenbezogene Daten in den USA. Mit Ihrer Einwilligung zur Nutzung dieser Services stimmen Sie auch der Verarbeitung Ihrer Daten in den USA gemäß Art. 49 (1) lit. a DSGVO zu. Das EuGH stuft die USA als Land mit unzureichendem Datenschutz nach EU-Standards ein. So besteht etwa das Risiko, dass US-Behörden personenbezogene Daten in Überwachungsprogrammen verarbeiten, ohne bestehende Klagemöglichkeit für Europäer.
Wenn Sie unter 16 Jahre alt sind und Ihre Zustimmung zu freiwilligen Diensten geben möchten, müssen Sie Ihre Erziehungsberechtigten um Erlaubnis bitten.Wir verwenden Cookies und andere Technologien auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern.Personenbezogene Daten können verarbeitet werden (z. B. IP-Adressen), z. B. für personalisierte Anzeigen und Inhalte oder Anzeigen- und Inhaltsmessung.Weitere Informationen über die Verwendung Ihrer Daten finden Sie in unserer Datenschutzerklärung.Einige Services verarbeiten personenbezogene Daten in den USA. Mit Ihrer Einwilligung zur Nutzung dieser Services stimmen Sie auch der Verarbeitung Ihrer Daten in den USA gemäß Art. 49 (1) lit. a DSGVO zu. Das EuGH stuft die USA als Land mit unzureichendem Datenschutz nach EU-Standards ein. So besteht etwa das Risiko, dass US-Behörden personenbezogene Daten in Überwachungsprogrammen verarbeiten, ohne bestehende Klagemöglichkeit für Europäer.Hier finden Sie eine Übersicht über alle verwendeten Cookies. Sie können Ihre Einwilligung zu ganzen Kategorien geben oder sich weitere Informationen anzeigen lassen und so nur bestimmte Cookies auswählen.