Skip to main content

2021 EU BANKING PACKAGE

2021 EU BANKING PACKAGE. Mit dem EU Banking Package wird der Verordnungsentwurf zur Änderung der Verordnung (EU) Nr. 575/2013 bezüglich dem Kreditrisiko, dem Risiko der Anpassung der Kreditbewertung, dem operationellen Risiko, dem Marktrisiko sowie dem output floor veröffentlicht. Das EU Banking package umfasst drei wichtige Bausteine: #1 Basel III: new rules on internal models A new limit will be introduced to ensure risks are not underestimated when banks use their own calculation models. #2 Better supervision Supervisors will have stronger tools to oversee EU banks, including complex banking groups. Minimum standards will be introduced to supervise third-country branches of banks in the EU. #3 Sustainability Banks will be required to take Environmental, Social and Governance (ESG) risks into account when managing their business.   2021 EU BANKING PACKAGE  

2021 EU BANKING PACKAGE: Output Floor führt zu neuen Eigenkapitalanforderungen.

Durch Änderungen sowohl der CRR als auch der CRD wird ein Output-Floor (OF) für die risikobasierten Eigenkapitalanforderungen eingeführt. Dieser stellt eine der wichtigsten Maßnahmen der Basel-III-Reformen dar und zielt darauf ab, die übermäßige Variabilität der mit internen Modellen berechneten Eigenmittelanforderungen der Institute zu verringern und dadurch die Vergleichbarkeit der Eigenkapitalquoten der Institute zu verbessern. Der Output Floor legt eine Untergrenze für die Eigenkapitalanforderungen fest, die sich aus den internen Modellen der Institute ergeben, und zwar 72,5 % der Eigenmittelanforderungen, die auf der Grundlage von Standardansätzen gelten würden. Die Entscheidung zur Einführung der Output Floor basiert auf einer Analyse, die gezeigt hat, dass die Institute durch die Verwendung interner Modelle dazu neigen, die Risiken und damit die Eigenmittelanforderungen zu unterschätzen. Die Berechnung der gefloorten risikogewichteten Aktiva (RWA) ist in Artikel 92 der CRR festgelegt. Insbesondere wird Artikel 92 Absatz 3 geändert, um festzulegen, welcher Gesamtrisikobetrag – mit oder ohne Flooring – für die Berechnung der Mindesteigenmittelanforderungen (sogenannte „Säule 1“) zu verwenden ist. Artikel 92 wird wie folgt geändert: Die Absätze 3 und 4 werden durch folgende Absätze ersetzt ‘3. Der Gesamtrisikobetrag wird wie folgt berechnet: ein eigenständiges Institut in der EU und für die Zwecke der Einhaltung der Verpflichtungen dieser Verordnung auf der Grundlage seiner konsolidierten Situation gemäß Teil 1, Titel II, Kapitel 2, ein EU-Mutterunternehmen Institut, eine EU-Mutterfinanzholdinggesellschaft und eine gemischte EU-Mutterfinanzholdinggesellschaft berechnen den Gesamtrisikobetrag wie folgt: TREA=max {U-TREA;x∙S-TREA}   Es gilt: TREA = the total risk exposure amount of the entity; U-TREA= the un-floored total risk exposure amount of the entity calculated in accordance with paragraph 4; S-TREA = the standardised total risk exposure amount of the entity calculated in accordance with paragraph 5; x = 72,5 %; für die unter den Ziffern i und ii genannten Zwecke wird der Gesamtrisikobetrag gemäß Absatz 6 berechnet:
    • wenn es sich um ein eigenständiges Tochterinstitut in einem Mitgliedstaat handelt, für die Zwecke der Einhaltung der Verpflichtungen aus dieser Verordnung auf individueller Basis;
    • im Falle eines Mutterinstituts in einem Mitgliedstaat, einer Mutterfinanzholdinggesellschaft in einem Mitgliedstaat oder einer gemischten Mutterfinanzholdinggesellschaft in einem Mitgliedstaat für die Zwecke der Einhaltung der Verpflichtungen aus dieser Verordnung auf der Grundlage ihrer konsolidierten Situation;
Der Gesamtrisikobetrag eines Instituts, das weder ein eigenständiges Institut in der EU noch ein eigenständiges Tochterinstitut in einem Mitgliedstaat ist, ist der nach Absatz 4 berechnete Gesamtrisikobetrag ohne Bodensatz, um den Verpflichtungen dieser Verordnung im Einzelfall nachzukommen. 4. Der Gesamtrisikobetrag ohne Bodensatz wird als die Summe der Buchstaben a bis f dieses Absatzes nach Berücksichtigung von Absatz 7 berechnet:
  • die gemäß Titel II und Artikel 379 berechneten risikogewichteten Forderungsbeträge für das Kreditrisiko, einschließlich des Gegenparteirisikos, und das Verwässerungsrisiko in Bezug auf alle Geschäftstätigkeiten eines Instituts, mit Ausnahme der risikogewichteten Forderungsbeträge für das Gegenparteirisiko aus dem Handelsbuchgeschäft des Instituts;
  • die Eigenmittelanforderungen für das Handelsbuchgeschäft eines Instituts für Folgendes:
    • Marktrisiko, das gemäß Titel IV des vorliegenden Teils berechnet wird;
    • Großkredite, die die in den Artikeln 395 bis 401 genannten Obergrenzen überschreiten, soweit ein Institut diese Obergrenzen nach Maßgabe des Vierten Teils überschreiten darf;
  • die Eigenmittelanforderungen für das Marktrisiko, die gemäß Titel IV dieses Teils für alle Geschäftstätigkeiten berechnet werden, die einem Wechselkursrisiko oder einem Warenrisiko unterliegen;
(ca) die Eigenmittelanforderungen für das Abwicklungsrisiko, die gemäß Titel V dieses Teils, mit Ausnahme von Artikel 379, berechnet werden;
  • die gemäß Titel VI dieses Teils berechneten Eigenmittelanforderungen für das Risiko der Anpassung der Kreditbewertung;
  • die Eigenmittelanforderungen für das operationelle Risiko, die gemäß Titel III dieses Teils berechnet werden;
  • die risikogewichteten Forderungsbeträge für das Gegenparteirisiko aus dem Handelsbuchgeschäft des Instituts für die folgenden Arten von Geschäften und Vereinbarungen, die gemäß Titel II dieses Teils berechnet werden:
    • die in Anhang II aufgeführten Verträge und Kreditderivate;
    • Pensionsgeschäfte, Wertpapier- oder Warenverleih- oder -leihgeschäfte auf der Grundlage von Wertpapieren oder Waren;
    • Margenkreditgeschäfte auf der Basis von Wertpapieren oder Rohstoffen;
    • long settlement transactions“;
  • werden die folgenden Absätze 5, 6 und 7 angefügt:
‘5. Der standardisierte Gesamtrisikobetrag wird als Summe von Absatz 4 Buchstaben a bis f berechnet, wobei Absatz 7 und die folgenden Anforderungen berücksichtigt werden:
  • werden die risikogewichteten Forderungsbeträge für das Kreditrisiko und das Verwässerungsrisiko gemäß Absatz 4 Buchstabe a und für das Gegenparteirisiko aus dem Handelsbuchgeschäft gemäß Buchstabe f desselben Absatzes ohne Anwendung eines der folgenden Ansätze berechnet:
    • der Ansatz der internen Modelle für Netting-Rahmenvereinbarungen gemäß Artikel 221;
    • den auf internen Ratings basierenden Ansatz, der in Kapitel 3 vorgesehen ist;
    • den auf internen Ratings basierenden Ansatz für Verbriefungen (SEC-IRBA) gemäß den Artikeln 258 bis 260 und den auf internen Ratings basierenden Ansatz (IAA) gemäß Artikel 265;
    • das in diesem Teil, Titel II, Kapitel 6, Abschnitt 6 dargelegte Konzept;
  • werden die Eigenmittelanforderungen für das Marktrisiko für das Handelsbuchgeschäft gemäß Absatz 3 Buchstabe b Ziffer i und für alle Geschäftstätigkeiten, die dem Fremdwährungsrisiko oder dem Warenpositionsrisiko gemäß Buchstabe c desselben Absatzes unterliegen, ohne Verwendung des alternativen internen Modellansatzes gemäß Teil 3 Titel IV Kapitel 1b berechnet.
  6.The total risk exposure amount of an entity ‘i’ for the purposes set out in paragraph 3, point (b), shall be calculated as follows: REAi= U- TREAi + DIconso ∗ Contribiconso   Es gilt: i = the index that denotes the entity; TREAi = der Gesamtbetrag der Risikoposition von Unternehmen i; U-TREAi = der gemäß Absatz 4 berechnete Gesamtrisikobetrag der Einheit i ohne Bodensatz; DIconso = jede positive Differenz zwischen dem Gesamtrisikobetrag und dem nicht unterlegten Gesamtrisikobetrag für die konsolidierte Situation des EU-Mutterinstituts, der EU-Mutterfinanzholdinggesellschaft oder der gemischten EU-Mutterfinanzholdinggesellschaft der Gruppe, zu der das Unternehmen i gehört, berechnet wie folgt: DIconso = TREA – U-TREA   Es gilt: U-TREA = der gemäß Absatz 4 für das betreffende EU-Mutterinstitut, die betreffende EU-Mutterfinanzholdinggesellschaft oder die betreffende gemischte EU-Mutterfinanzholdinggesellschaft auf der Grundlage ihrer konsolidierten Lage berechnete Gesamtrisikobetrag ohne Bodensatz; TREA = der gemäß Absatz 3 Buchstabe a für das betreffende EU-Mutterinstitut, die betreffende EU-Mutterfinanzholdinggesellschaft oder die betreffende gemischte EU-Mutterfinanzholdinggesellschaft auf der Grundlage ihrer konsolidierten Situation berechnete Gesamtrisikobetrag. Contrib consoi = der Beitrag der Einheit i, der wie folgt berechnet wird:   2021 EU BANKING PACKAGE   Es gilt: j=der Index, der alle Unternehmen bezeichnet, die Teil derselben Gruppe sind wie Unternehmen i in der konsolidierten Situation des EU-Mutterinstituts, der EU-Mutterfinanzholdinggesellschaft oder der gemischten EU-Mutterfinanzholdinggesellschaft; U-TREAj = der von der Einheit j gemäß Absatz 4 auf der Grundlage ihrer konsolidierten Situation oder, falls es sich bei der Einheit j um ein eigenständiges Tochterinstitut in einem Mitgliedstaat handelt, auf individueller Basis berechnete Gesamtrisikobetrag ohne Bodensatz; F-TREAj = der unterstellte Gesamtrisikobetrag von Unternehmen j, der auf der Grundlage seiner konsolidierten Situation wie folgt berechnet wird: F-TREAj = max (U-TREAj; x ∙ S-TREAj)   Es gilt: F-TREAj = der von der Einheit j auf der Grundlage ihrer konsolidierten Situation oder, falls es sich bei der Einheit j um ein eigenständiges Tochterinstitut in einem Mitgliedstaat handelt, auf individueller Basis berechnete Gesamtrisikobetrag; S-TREAj = der standardisierte Gesamtrisikopositionswert, der gemäß Absatz 5 von der Einheit j auf der Grundlage ihrer konsolidierten Situation oder, falls es sich bei der Einheit j um ein eigenständiges Tochterinstitut in einem Mitgliedstaat handelt, auf ihrer individuellen Basis berechnet wird; x= 72,5 %.   7. Die folgenden Bestimmungen gelten für die Berechnung des gesamten Risikopositionsbetrags ohne Sicherheitsleistung gemäß Absatz 4 und des standardisierten Risikopositionsbetrags gemäß Absatz 5: die in Absatz 4 Buchstaben c und ca genannten Eigenmittelanforderungen, (d) und (e) umfassen die Kosten, die sich aus der gesamten Geschäftstätigkeit eines Instituts ergeben; Die Institute multiplizieren die in Absatz 4 Buchstaben b bis e genannten Eigenmittelanforderungen mit dem Faktor 12,5.“;   Die in Artikel 92 Absatz 5 festgelegte total risk exposure amount (TREA) darf nur von dem EU-Mutterinstitut, der Finanzholdinggesellschaft oder der gemischten Finanzholdinggesellschaft einer Bankengruppe für die Zwecke des Solvabilitätskoeffizienten der Gruppe verwendet werden, der auf der höchsten Konsolidierungsebene in der EU berechnet wird. Im Gegensatz dazu gelten die TREA ohne floor für jedes Unternehmen der Gruppe weiterhin für die Berechnung der Eigenmittelanforderungen auf individueller Ebene, wie in Artikel 92 Absatz 4 näher ausgeführt. Jedes Mutterinstitut, jede Finanzholdinggesellschaft oder gemischte Finanzholdinggesellschaft in einem Mitgliedstaat (der nicht der Sitz des EU-Mutterunternehmens ist) muss seinen Anteil an den für die Eigenmittelanforderung der konsolidierten Gruppe verwendeten unterstellten RWA berechnen, indem er die Eigenmittelanforderung der konsolidierten Gruppe mit dem Anteil multipliziert der unterkonsolidierten RWAs multipliziert wird, die diesem Unternehmen und seinen Tochtergesellschaften in demselben Mitgliedstaat zuzurechnen sind, sofern zutreffend. Die RWA der konsolidierten Gruppe, die einem Unternehmen/Teilkonzern zuzurechnen sind, sind gemäß Artikel 92 Absatz 6 als RWA des Unternehmens/Teilkonzerns zu berechnen, als ob die OF auf dessen TREA anwendbar wäre. Dies würde die Vorteile der Risikodiversifizierung über die Geschäftsmodelle verschiedener Unternehmen innerhalb derselben Bankengruppe hinweg anerkennen. Gleichzeitig müsste ein potenzieller Anstieg der erforderlichen Eigenmittel aufgrund der Anwendung der OF auf konsolidierter Ebene gerecht auf die Teilkonzerne verteilt werden, die in anderen Mitgliedstaaten als die Muttergesellschaft ansässig sind, und zwar entsprechend ihrem Risikoprofil.  

2021 EU BANKING PACKAGE: Neuregelung des operationellen Risikos führt zu neuen Eigenkapitalanforderungen.

Neuer Standardansatz soll alle bestehenden Ansätze für das operationelle Risiko ersetzen: Der BCBS hat den internationalen Standard für das operationelle Risiko überarbeitet, um Schwachstellen zu beheben, die im Zuge der Finanzkrise 2008-2009 aufgetreten sind. Neben der mangelnden Risikosensitivität der Standardansätze wurde auch ein Mangel an Vergleichbarkeit festgestellt, der sich aus einer Vielzahl interner Modellierungspraktiken im Rahmen der fortgeschrittenen Messansätze (AMA) ergab. Vor diesem Hintergrund und um die Einfachheit des Rahmens zu erhöhen, wurden alle bestehenden Ansätze zur Berechnung der Eigenmittelanforderungen für das operationelle Geschäft durch einen einzigen, nicht modellbasierten Ansatz ersetzt, der von allen Instituten zu verwenden ist. Die Institute können eigene Modelle weiterhin nach eigenem Ermessen für die Zwecke des internen Kapitaladäquanzverfahrens (ICAAP) verwenden. Der neue Standardansatz wird in der Union durch die Ersetzung von Teil 3, Titel III, der CRR umgesetzt. Darüber hinaus werden weitere Anpassungen an mehreren anderen Artikeln der CRR vorgenommen, vor allem um klare und harmonisierte Definitionen für das operationelle Risiko einzuführen (Artikel 4 Absatz 1, Nummern 52a, 52b und 52c).  

Berechnung der Eigenmittelanforderungen für das operationelle Risiko

Nach den endgültigen Basel-III-Standards kombiniert der neue Standardansatz einen Indikator, der sich auf die
  • Größe der Geschäftstätigkeit eines Instituts stützt (Business Indicator Component oder BIC), und
  • mit einem Indikator, der die Verlusthistorie dieses Instituts berücksichtigt.
Der überarbeitete Basler Standard sieht eine Reihe von Ermessensspielräumen bei der Umsetzung des letztgenannten Indikators vor. Die Länder können historische Verluste bei der Berechnung des operationellen Risikokapitals für alle relevanten Institute außer Acht lassen oder historische Verlustdaten zusätzlich für Institute unterhalb einer bestimmten Unternehmensgröße berücksichtigen. Für die Berechnung der Mindesteigenkapitalanforderungen werden diese Ermessensspielräume auf harmonisierte Weise ausgeübt, indem historische Verlustdaten für alle Institute außer Acht gelassen werden, um gleiche Wettbewerbsbedingungen innerhalb der Union zu gewährleisten und die Berechnung des operationellen Risikokapitals zu vereinfachen. Die Berechnung des BIC wird im neuen Kapitel 1 des Titels III (neue Artikel 312 bis 315) dargelegt. In der Union werden sich die Mindesteigenmittelanforderungen für das operationelle Risiko ausschließlich auf den BIC stützen (Artikel 312). Die Berechnung des BIC, die auf dem so genannten Geschäftsindikator beruht, ist in Artikel 313 dargelegt, während die Bestimmung des Geschäftsindikators, einschließlich seiner Komponenten und möglicher Anpassungen aufgrund von Fusionen, Übernahmen oder Veräußerungen, in den Artikeln 314 und 315 geregelt ist.   Artikel 312 Eigenmittelanforderung Die Eigenmittelanforderung für das operationelle Risiko ist die gemäß Artikel 313 berechnete Komponente des Geschäftsindikators.   Artikel 313 Komponente Geschäftsindikator Die Institute berechnen ihre Geschäftsindikatorenkomponente nach der folgenden Formel:   2021 EU BANKING PACKAGE   Es gilt: BIC         = die Komponente Geschäftsindikator; BI=der gemäß Artikel 314 berechnete Unternehmensindikator, ausgedrückt in Milliarden Euro.   Artikel 314 Wirtschaftlicher Indikator Die Institute berechnen ihren betriebswirtschaftlichen Indikator nach der folgenden Formel: BI = ILDC + SC + FC   Es gilt: BI=der Unternehmensindikator, ausgedrückt in Milliarden Euro; ILDC = die Zins-, Pacht- und Dividendenkomponente, ausgedrückt in Milliarden Euro und berechnet gemäß Absatz 2; SC=die Dienstleistungskomponente, ausgedrückt in Mrd. Euro und berechnet gemäß Absatz 3; FC=die Finanzkomponente, ausgedrückt in Milliarden Euro und berechnet gemäß Absatz 4.   (2) Für die Zwecke des Absatzes 1 wird die Zins-, Pacht- und Dividendenkomponente nach der folgenden Formel berechnet: ILDC = min (IC, 0.0225 * AC) + DC   Es gilt: ILDC = die Zins-, Pacht- und Dividendenkomponente; IC = die Zinskomponente, d. h. die Zinserträge des Instituts aus allen finanziellen Vermögenswerten und sonstigen Zinserträgen, einschließlich Finanzerträgen aus Finanzierungsleasing und Erträgen aus Operating-Leasingverhältnissen und Gewinnen aus Leasinggegenständen, abzüglich der Zinsaufwendungen des Instituts aus allen finanziellen Verbindlichkeiten und sonstigen Zinsaufwendungen, einschließlich Zinsaufwendungen aus Finanzierungsleasing und Operating-Leasingverhältnissen, Abschreibungen und Wertminderungen sowie Verluste aus Operating-Leasingverhältnissen, berechnet als Jahresdurchschnitt der absoluten Werte der Differenz in den letzten drei Geschäftsjahren; AC = die Aktiva-Komponente, d. h. die Summe der gesamten ausstehenden Bruttokredite, Vorschüsse, verzinslichen Wertpapiere, einschließlich Staatsanleihen, und Leasingforderungen des Instituts, berechnet als Jahresdurchschnitt der letzten drei Geschäftsjahre auf der Grundlage der Beträge am Ende jedes der jeweiligen Geschäftsjahre; DC = die Dividendenkomponente, d. h. die Dividendenerträge des Instituts aus Anlagen in Aktien und Fonds, die nicht in den Jahresabschlüssen des Instituts konsolidiert sind, einschließlich der Dividendenerträge von nicht konsolidierten Tochtergesellschaften, assoziierten Unternehmen und Joint Ventures, berechnet als Jahresdurchschnitt der letzten drei Geschäftsjahre.   2. Für die Zwecke des Absatzes 1 wird die Dienstleistungskomponente nach der folgenden Formel berechnet: SC = max (OI, OE) + max (FI, FE)   Es gilt: SC=die Dienstleistungskomponente; OI = die sonstigen betrieblichen Erträge, d. h. der Jahresdurchschnitt der letzten drei Geschäftsjahre der Erträge des Instituts aus dem gewöhnlichen Bankgeschäft, die nicht in anderen Positionen des Geschäftsindikators enthalten sind, aber ähnlicher Art; OE = die sonstigen betrieblichen Aufwendungen, d. h. der Jahresdurchschnitt der letzten drei Geschäftsjahre der Aufwendungen und Verluste des Instituts aus dem gewöhnlichen Bankgeschäft, die nicht in anderen Positionen des Geschäftsindikators enthalten sind, aber ähnlicher Art sind, und aus Ereignissen, die ein operationelles Risiko darstellen; FI = die Komponente Gebühren- und Provisionseinnahmen, die dem Jahresdurchschnitt der letzten drei Geschäftsjahre der Einnahmen des Instituts aus der Erbringung von Beratungs- und Dienstleistungen entspricht, einschließlich der Einnahmen, die das Institut als Outsourcer von Finanzdienstleistungen erhält; FE = die Komponente Gebühren- und Provisionsaufwendungen, die dem Jahresdurchschnitt der letzten drei Geschäftsjahre der Aufwendungen des Instituts für die Inanspruchnahme von Beratungs- und Dienstleistungen entspricht, einschließlich der von dem Institut für die Erbringung von Finanzdienstleistungen gezahlten Auslagerungsgebühren, jedoch ohne die für die Erbringung von Nichtfinanzdienstleistungen gezahlten Auslagerungsgebühren.   (2) Für die Zwecke von Absatz 1 wird die finanzielle Komponente nach der folgenden Formel berechnet: FC = TC + BC   Es gilt: FC = die finanzielle Komponente; TC = die Handelsbuchkomponente, d. h. der Jahresdurchschnitt der absoluten Werte der letzten drei Geschäftsjahre des Nettogewinns bzw. -verlusts aus dem Handelsbuch des Instituts, einschließlich der Handelsaktiva und Handelspassiva, aus der Bilanzierung von Sicherungsgeschäften und aus Wechselkursdifferenzen; BC = die Anlagebuchkomponente, d. h. der Jahresdurchschnitt der absoluten Werte der letzten drei Geschäftsjahre des Nettogewinns bzw. -verlusts aus dem Anlagebuch des Instituts, einschließlich der Gewinne und Verluste aus erfolgswirksam zum beizulegenden Zeitwert bewerteten finanziellen Vermögenswerten und Verbindlichkeiten, aus der Bilanzierung von Sicherungsgeschäften, aus Wechselkursdifferenzen und aus realisierten Gewinnen und Verlusten aus nicht erfolgswirksam zum beizulegenden Zeitwert bewerteten finanziellen Vermögenswerten und Verbindlichkeiten. Die Institute dürfen bei der Berechnung ihres Geschäftsindikators keines der folgenden Elemente verwenden:
  • Erträge und Aufwendungen aus dem Versicherungs- oder Rückversicherungsgeschäft;
  • gezahlte Prämien und erhaltene Zahlungen aus abgeschlossenen Versicherungs- oder Rückversicherungsverträgen;
  • Verwaltungsausgaben, einschließlich Personalausgaben, Outsourcing-Gebühren für die Erbringung von Nicht-Finanzdienstleistungen und andere Verwaltungsausgaben;
  • Wiedereinziehung von Verwaltungskosten, einschließlich der Wiedereinziehung von Zahlungen im Namen von Kunden;
  • Ausgaben für Räumlichkeiten und Sachanlagen, es sei denn, diese Ausgaben ergeben sich aus betrieblichen Schadensfällen;
  • Abschreibung von Sachanlagen und Amortisation von immateriellen Vermögenswerten, mit Ausnahme der Abschreibung von Operating-Leasing-Vermögenswerten, die in den Finanzierungs- und Operating-Leasing-Aufwendungen enthalten sind;
  • Rückstellungen und Auflösungen von Rückstellungen, es sei denn, diese Rückstellungen beziehen sich auf betriebliche Schadensfälle;
  • Kosten aufgrund von auf Verlangen rückzahlbarem Grundkapital;
  • Wertminderung und Wertaufholung;
  • Änderungen des Geschäfts- oder Firmenwerts, die im Ergebnis erfasst werden;
  • Körperschaftssteuer.
 

2021 EU BANKING PACKAGE: Umwelt-, Sozial- und Governance-Risiken (ESG-Risiken)

Die Institutionen spielen eine entscheidende Rolle bei dem Bestreben der Union, einen langfristigen Übergang zu einer nachhaltigen Entwicklung im Allgemeinen zu fördern und insbesondere einen gerechten Übergang zu Netto-Null-Treibhausgasemissionen in der Wirtschaft der Union bis 2050 zu unterstützen. Dieser Übergang bringt neue Risiken mit sich,. Der beschleunigte Übergang zu einer nachhaltigeren Wirtschaft kann erhebliche Auswirkungen auf die Unternehmen haben und die Risiken für die einzelnen Institute und die Finanzstabilität insgesamt erhöhen. Die Auswirkungen menschlichen Verhaltens auf das Klima, wie die Emission von Treibhausgasen oder die Fortsetzung nicht nachhaltiger Wirtschaftspraktiken, sind Treiber physischer Risiken, die die Wahrscheinlichkeit von Umweltgefahren und deren sozioökonomische Auswirkungen potenziell erhöhen. Auch die Institutionen sind diesen physischen Risiken ausgesetzt, die in einem Spannungsverhältnis zu den Übergangsrisiken stehen, da unter sonst gleichen Bedingungen erwartet wird, dass die physischen Risiken abnehmen, wenn die Übergangspolitik umgesetzt wird. Allerdings kann auch das Gegenteil eintreten, wenn keine Maßnahmen ergriffen werden, d. h. wenn das Übergangsrisiko gering ist und die Umsetzung der mit dem Übergang verbundenen Maßnahmen länger dauert, werden die physischen Risiken zunehmen.  

Das könnte dich auch interessieren.

Du suchst ein Update zu den MaRisk für Finanzunternehmen? Welche neuen aufsichtsrechtlichen Verschärfungen musst du beachten? Mit dem Seminar MaRisk update: Risikotragfähigkeit – SREP – ICAAP erlernen die Teilnehmer folgende fachlichen Skills:
  • Neuausrichtung Risikotragfähigkeit – Kapitalplanungsprozess – Aufsichtliche Anforderungen mit ICAAP
  • 2021 EU BANKING PACKAGE
  • Anpassung Limitsystem mit TLAC/MREL
Das Seminar MaRisk update: Risikotragfähigkeit – SREP – ICAAP online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A 06. SREP und ICAAP in der Praxis: SREP steht für den Supervisory Review and Evaluation Process. ICAAP ist der Fachbegriff für Internal Capital Adequacy Assessment Process. Aber um was geht es nun konkret? Nachfolgend erhältst du die wichtigsten Informationen zur Umsetzung der SREP und ICAAP-Anforderungen in der Praxis des Risikomanagements.  

Zielgruppe für das Seminar MaRisk update: Risikotragfähigkeit – SREP – ICAAP – 2021 EU BANKING PACKAGE

  • Vorstände, Geschäftsführer und Führungskräfte bei Banken, Sparkassen und Genossenschaftsbanken
  • Führungskräfte und Spezialisten aus den Bereichen Compliance, Risikomanagement, Gesamtbanksteuerung und Interne Revision
Das Seminar MaRisk update: Risikotragfähigkeit – SREP – ICAAP online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A 06.  

Dein Nutzen mit dem Seminar MaRisk update: Risikotragfähigkeit – SREP – ICAAP – 2021 EU BANKING PACKAGE

  • Neue Anforderungen an die Risikocontrolling-Funktion
  • Zukunftsgerichteter Kapitalplanungsprozess mit SREP und ICAAP
  • Was ändert sich mit 2021 EU BANKING PACKAGE?
  • Agiles Risikomanagement im Kreditgeschäft
 

Dein Vorsprung mit dem Seminar MaRisk update: Risikotragfähigkeit – SREP – ICAAP – 2021 EU BANKING PACKAGE

Jeder Teilnehmer erhält mit dem Seminar MaRisk update: Risikotragfähigkeit – SREP – ICAAP die S+P Tool Box: + S+P Checkliste „Umsetzung der MaRisk 2021‘‘ + S+P Check: Reportingrelevante Anforderungen AT 4.1 und AT 4.2 + S+P Checkliste: 105-Punkte-Check zur Risikotragfähigkeit + S+P Check: MaRisk-Regelungen für das Kreditgeschäft  

MaRisk 2021: Neue Anforderungen an die Risikocontrolling-Funktion

  • Ordnungsgemäße Geschäftsorganisation §25a KWG als Vorgabe für das Interne Risikomanagement
  • Neuerungen bei der aufsichtlichen Beurteilung bankinterner Risikotragfähigkeitskonzepte
  • Erweiterte Verantwortlichkeiten der Risikocontrolling-Funktion
  • Prozessprüfungen bei risikorelevanten Limitgenehmigungen – Identifizierung der relevanten Entscheidungsprozesse
Jeder Teilnehmer erhält:  + S+P Leitfaden: Umsetzung der neuen MaRisk + S+P Check: Reportingrelevante Anforderungen AT 4.1 und AT 4.2  

Zukunftsgerichteter Kapitalplanungsprozess mit SREP und ICAAP

  • Neue Vorgaben für den Kapitalplanungsprozess: Welche Auswirkungen ergeben sich für die Ermittlung der Risikotragfähigkeit?
  • Was ändert sich mit 2021 EU BANKING PACKAGE?
  • Neuerungen in den Bereichen Risikomessung und -begrenzung
  • Ampel- und Warnsysteme: Optimale Verzahnung von Prozess- und Steuerungsimpulsen
  • Aufbau von unterschiedlichen Szenarien im Kapitalplanungsprozess
  • Neue Vorgaben an das Limitsystem mit TLAC/MREL
  Jeder Teilnehmer erhält mit dem Seminar MaRisk update: Risikotragfähigkeit – SREP – ICAAP die S+P Tool Box: + S+P-Tool „Basel III-Simulator‘‘ für die optimale Bilanzstruktur gemäß CRD IV und CRR + S+P Checkliste: 105-Punkte-Check zur Risikotragfähigkeit  

Agiles Risikomanagement im Kreditgeschäft

  • MaRisk BTO 1.2.4: Intensivbetreuung
    • Kriterien für den Übergang in die Intensivbetreuung
    • Berücksichtigung von Zugeständnissen zugunsten des Kreditnehmers („Forbearance“)
  • MaRisk BTO 1.2.5: Behandlung von Problemkrediten
    • Kriterien für den Übergang in die Problemkreditbearbeitung
    • Prüfung nicht-standardisierter Verträge bei Sanierungsfällen
    • Votierung bei Sanierungskrediten und Engagements in Abbauportfolien
  • MaRisk BTO 1.3: Risikofrüherkennung im Kreditgeschäft
    • Interne Informationen aus der Geschäftsbeziehung
    • Gezielter Einsatz von externen Informationsquellen
    • Risikoklassifizierungsverfahren und Früherkennung von Risiken
 

Teilnehmer haben auch folgende Seminare MaRisk + SREP + 2021 EU BANKING PACKAGE gebucht:

Seminare MaRisk + SREP Seminare Depot A Seminare Auslagerungscontrolling Seminar Risikomanagement Compliance  

Wozu benötige ich einen Geschäftsfortführungsplan (BCP)?

Wozu benötige ich einen Geschäftsfortführungsplan (BCP)? Der EBA Leitfaden EBA/GL/2019/04 gibt Leitlinien für das Management von IKT- und Sicherheitsrisiken. Durch die BCPs wird sichergestellt, dass Sie auf potenzielle Ausfallszenarien angemessen reagieren können und in der Lage sind, die Geschäftstätigkeit nach Störungen wiederherzutellen. Der BCP hat folgendes festzulegen: # recovery time objective (RTO): vorgegebene Wiederherstellungszeit und die maximale Zeitspanne, in der ein System oder Prozess nach einem Vorfall hergestellt werden muss; # recovery point objective (RPO): vorgegebener Wiederherstellungspunkt bzw. maximale Zeitspanne, in der ein Datenverlust bei einem Vorfall wiederhergestellt werden muss. Unternehmen sollen bei schwerwiegenden Betriebsunterbrechungen, die spezielle Geschäftsfortführungspläne auslösen, Prioritäten bei den Geschäftsfortführungsmaßnahmen festlegen. Dabei sollen sie einen risikobasierten Ansatz verfolgen, der sich auf die durchgeführten Risikobewertungen stützen kann. Beispielsweise kann dies für Zahlungsdienstleiter die Ermöglichung der weiteren Verarbeitung kritischer Transaktionen bei gleichzeitiger Fortsetzung der Wiederherstellungsbemühungen beinhalten. Das Seminar Wozu benötige ich einen Geschäftsfortführungsplan (BCP)? online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.   Wozu benötige ich einen Geschäftsfortführungsplan (BCP)?

Zielgruppe zum Seminar: Wozu benötige ich einen Geschäftsfortführungsplan (BCP)?

  • Vorstände und Geschäftsführer bei Banken, Finanzdienstleistern, Kapitalanlage- und Fondsgesellschaften, Leasing- und Factoring-Gesellschaften
  • Führungskräfte und Spezialisten aus den Bereichen Notfallmanagement, Auslagerungsmanagement, IT-Compliance, Compliance Beauftragte und Interne Revision.
 

Dein Nutzen mit dem Seminar: Wozu benötige ich einen Geschäftsfortführungsplan (BCP)?

#1 Aufgaben und Pflichten des Business Continuity Managers #2 Business Impact Analysen und Risk Impact Analysen #3 Laufende Überwachungspflichten des Business Continuity Managers  

Dein Vorsprung mit dem Seminar: Wozu benötige ich einen Geschäftsfortführungsplan (BCP)?

Jeder Teilnehmer erhält mit dem Seminar die S+P Tool Box: + Leitfaden für BCM (ca. 30 Seiten) + Muster-Reporting für Business Continuity Manager + S+P Tool Risk Impact Analyse für mehr Prüfungssicherheit    

#1 Aufgaben und Pflichten des Business Continuity Managers

MaRisk AT 7.3: Das deutlich erweiterte Aufgabenspektrum des BCM: o Ziele zum Notfallmanagement und Ableitung eines Notfallmanagementprozess o Notfallkonzept für zeitkritische Aktivitäten und Prozesse o Festlegen von geeigneten Maßnahmen zur Schadensreduzierung Neue Reporting-Pflichten: mindestens quartalsweise Berichterstattung über den Zustand des Notfallmanagements Notfallkonzept mit Geschäftsfortführungs- sowie Wiederherstellungsplänen Schnittstelle Auslagerung: Outsourcer und Insourcer müssen über aufeinander abgestimmte Notfallkonzepte verfügen.  

#2 Business Impact Analysen und Risk Impact Analysen

Verschärfte Anforderungen an Business Impact Analysen: o Beeinträchtigung von Aktivitäten und Prozessen o Art und Umfang des (im-)materiellen Schadens o Zeitpunkt des Ausfalls. Risk Impact Analysen für die identifizierten zeitkritischen Aktivitäten und Prozesse: o Identifizieren und Bewerten von potentiellen Gefährdungen o Durchführung der qualitativ verschärften Risikoanalyse auf Basis einheitlicher Scoring-Kriterien Berücksichtigung von Notfallszenarien o (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung, Ausfall der Zutrittskontrolle) o Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur o Ausfall einer kritischen Anzahl von Mitarbeitern o Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)  

#3 Laufende Überwachungspflichten des Business Continuity Managers

MaRisk + BAIT: Anforderungen an Monitoring- und Kontrollhandlungen Maßstäbe für Steuerungs- und Kontrolltätigkeiten und deren Durchführung Prüfungssichere Bewertung der Auswirkungs- und Risikoanalysen o Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen. o Für zeitkritische Aktivitäten und Prozesse sind die relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen. Überprüfungen des Notfallkonzeptes sind zu protokollieren. o Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren. o Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen. Das Seminar Wozu benötige ich einen Geschäftsfortführungsplan (BCP)? online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.  

Das könnte dich als Business Continuity Manager auch interessieren

MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement. Aus den ICT Guidelines werden Anforderungen zum Notfallmanagement im neu gefassten Abschnitt AT 7.3 umgesetzt. Für alle im Rahmen einer durchzuführenden Auswirkungsanalyse identifizierten zeitkritischen Aktivitäten und Prozesse sind zunächst Risikoanalysen durchzuführen. Im Notfallkonzept muss dargestellt sein, welche Ersatzlösungen im Notfall zeitnah zur Verfügung stehen und wie eine Rückkehr zum Normalbetrieb verlaufen soll. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte). Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen.  

#1 MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

Das Kapitel AT 7.3 Notfallmanagement wurde nun wie folgt gefasst:
  1. Das Institut hat Ziele zum Notfallmanagement zu definieren und hieraus abgeleitet einen Notfallmanagementprozess festzulegen. Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Das Notfallkonzept ist anlassbezogen zu aktualisieren, jährlich auf Aktualität zu überprüfen und angemessen zu kommunizieren. Die Geschäftsleitung hat sich mindestens quartalsweise und anlassbezogen über den Zustand des Notfallmanagements schriftlich berichten zu lassen.
  2. Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederherstellungspläne umfassen. Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Wiederherstellungspläne müssen innerhalb eines angemessenen Zeitraums die Rückkehr zum Normalbetrieb ermöglichen. Bei Notfällen ist eine angemessene interne und externe Kommunikation sicherzustellen. Im Fall der Auslagerung von zeitkritischen Aktivitäten und Prozessen haben das auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzepte zu verfügen.
  3. Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen. Für zeitkritische Aktivitäten und Prozesse ist sie für alle relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen. Überprüfungen des Notfallkonzeptes sind zu protokollieren. Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren. Risiken sind angemessen zu steuern. Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen.
  Die MaRisk geben zu den verschärften Anforderungen an das Notfallmanagement folgende Erläuterungen.

#2 Zeitkritische Aktivitäten und Prozesse

Zeitkritisch sind grundsätzlich jene Aktivitäten und Prozesse, bei deren Beeinträchtigung für definierte Zeiträume ein nicht mehr akzeptabler Schaden für das Institut zu erwarten ist. Zur Identifikation von zeitkritischen Aktivitäten und Prozessen sowie von unterstützenden Aktivitäten und Prozessen, hierfür notwendigen IT-Systemen und sonstigen notwendigen Ressourcen sowie den potentiellen Gefährdungen führt das Institut Auswirkungsanalysen und Risikoanalysen durch. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte).  

#3 Auswirkungsanalysen – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

In Auswirkungsanalysen (Business Impact Analysen) wird über abgestufte Zeiträume betrachtet, welche Folgen eine Beeinträchtigung von Aktivitäten und Prozessen für den Geschäftsbetrieb haben kann. Die Auswirkungsanalysen sollten u. a. folgende Aspekte berücksichtigen: – Art und Umfang des (im-)materiellen Schadens – Auswirkung des Zeitpunkts des Ausfalls auf den Schaden (z. B. Ausfall des Zahlungsverkehrs zu Hauptgeschäftszeiten)  

#4 Risikoanalysen – Business Continuity Manager: Aufgaben und Pflichten

In Risikoanalysen (Risk Impact Analysen) für die identifizierten zeitkritischen Aktivitäten und Prozesse werden potentielle Gefährdungen identifiziert und bewertet, welche eine Beeinträchtigung der zeitkritischen Geschäftsprozesse verursachen können.  

#5 Notfallkonzept – Aufgaben und Pflichten des Business Continuity Managers

Im Notfallkonzept werden Verantwortlichkeiten, Ziele und Maßnahmen zur Fortführung bzw. Wiederherstellung von zeitkritischen Aktivitäten und Prozessen bestimmt und Kriterien für die Einstufung sowie für das Auslösen der Pläne definiert.  

#6 Notfallszenarien – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

Hierbei werden mindestens folgende Szenarien berücksichtigt: – (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung,Ausfall der Zutrittskontrolle) – Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur (z. B. aufgrund von Fehlern oder Angriffen) – Ausfall einer kritischen Anzahl von Mitarbeitern (z. B. bei Pandemie, Lebensmittelvergiftung, Streik) – Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)  

#7 Überprüfungen des Notfallkonzeptes – Aufgaben und Pflichten des Business Continuity Managers

Die Häufigkeit und der Umfang der Überprüfungen soll sich grundsätzlich an der Gefährdungslage orientieren. Dienstleister sind angemessen einzubinden. Überprüfungen beinhalten u. a.: – Test der technischen Vorsorgemaßnahmen – Kommunikations-, Krisenstabs- und Alarmierungsübungen – Ernstfall- oder Vollübungen.  

#8 Welche Umsetzungsfristen gelten für die Neuen MaRisk 6.0?

Die neue Fassung der MaRisk tritt mit Veröffentlichung in Kraft. Es gilt eine Übergangsfrist bis zum 31.12.2021. Dies gilt für die auf das Auslagerungsregister bezogene Dokumentationsanforderung in AT 9 Tz. 14 MaRisk nur insoweit, als auch die Pflicht zum Vorhalten eines Auslagerungsregisters mit dem Inkrafttreten des FISG bereits zum 01.01.2022 gilt. Andernfalls richtet sich der erstmalige Geltungstag auch für die Konkretisierung dieser Anforderung in den MaRisk nach dem Gesetz. Davon abweichende Umsetzungsfristen ergeben sich für die Anpassung von bereits bestehenden oder in Verhandlung befindlichen Auslagerungsverträgen. Hierfür wird eine gesonderte Umsetzungsfrist bis zum 31.12.2022 eingeräumt. Eine Anpassung von Vertragsverhältnissen, die auf der Grundlage eines öffentlichen Vergabeverfahrens abgeschlossen wurden, kann wegen der besonderen rechtlichen Probleme unterbleiben, soweit diese Verträge befristet sind und innerhalb der nächsten fünf Jahre neu vergeben werden müssen. Die BaFin geht davon aus, dass bei Vergabeverfahren, die ab dem 01.01.2022 initiiert werden, bereits die neuen Anforderungen ausreichend berücksichtigt werden. Institute mit hohem NPL-Bestand haben die Anforderungen aus den NPE Guidelines bereits unmittelbar nach Ablauf der Übergangsfrist am 31.12.2021 einzuhalten, sofern diese Institute an den zwei vorhergehenden Quartalsstichtagen (30.09.2021 und 31.12.2021) eine NPL-Quote größer 5 % aufweisen. Der erste, für die Einstufung als Institut mit hohem NPL-Bestand relevante Quartalsstichtag ist daher der 30.09.2021.  

Teilnehmer haben auch folgende Compliance Seminare gebucht:

Seminare Compliance Finanzunternehmen Seminare Compliance Nicht-Finanzunternehmen Seminare Auslagerung

Was ist ein Geschäftsfortführungsplan (BCP)?

Was ist ein Geschäftsfortführungsplan (BCP)? Der Geschäftsfortführungsplan (BCP) dient zur Gewährleistung der Kontinuität des Geschäftsbetriebes. Der BCP sollte von den Leitungsorganen genehmigt und dokumentiert werden. Hierbei sollten insbesondere Risiken berücksichtigt werden, die sich dysfunktional auf IKT-Systeme und IKT-Dienste auswirken können. Der BCP sollte den Schutz und gegebenfalls die Wiederherstellung des Vertrauens, der Integrität und der Verfügbarkeit der Unternehmensfunktion, Unterstützungsprozesse und IT-Assets fördern. Grundsätzlich sollten Unternehmen sich bei der Erstellung dieser Pläne mit den relevanten internen und externen Akteuren abstimmen.   Das Seminar Was ist ein Geschäftsfortführungsplan (BCP)? online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.   Was ist ein Geschäftsfortführungsplan (BCP)?

Zielgruppe zum Seminar: Was ist ein Geschäftsfortführungsplan (BCP)?

  • Vorstände und Geschäftsführer bei Banken, Finanzdienstleistern, Kapitalanlage- und Fondsgesellschaften, Leasing- und Factoring-Gesellschaften
  • Führungskräfte und Spezialisten aus den Bereichen Notfallmanagement, Auslagerungsmanagement, IT-Compliance, Compliance Beauftragte und Interne Revision.
 

Dein Nutzen mit dem Seminar:  Was ist ein Geschäftsfortführungsplan (BCP)?

#1 Aufgaben und Pflichten des Business Continuity Managers #2 Business Impact Analysen und Risk Impact Analysen #3 Laufende Überwachungspflichten des Business Continuity Managers  

Dein Vorsprung mit dem Seminar: Was ist ein Geschäftsfortführungsplan (BCP)?

Jeder Teilnehmer erhält mit dem Seminar die S+P Tool Box: + Leitfaden für BCM (ca. 30 Seiten) + Muster-Reporting für Business Continuity Manager + S+P Tool Risk Impact Analyse für mehr Prüfungssicherheit    

#1 Aufgaben und Pflichten des Business Continuity Managers

MaRisk AT 7.3: Das deutlich erweiterte Aufgabenspektrum des BCM: o Ziele zum Notfallmanagement und Ableitung eines Notfallmanagementprozess o Notfallkonzept für zeitkritische Aktivitäten und Prozesse o Festlegen von geeigneten Maßnahmen zur Schadensreduzierung Neue Reporting-Pflichten: mindestens quartalsweise Berichterstattung über den Zustand des Notfallmanagements Notfallkonzept mit Geschäftsfortführungs- sowie Wiederherstellungsplänen Schnittstelle Auslagerung: Outsourcer und Insourcer müssen über aufeinander abgestimmte Notfallkonzepte verfügen.  

#2 Business Impact Analysen und Risk Impact Analysen

Verschärfte Anforderungen an Business Impact Analysen: o Beeinträchtigung von Aktivitäten und Prozessen o Art und Umfang des (im-)materiellen Schadens o Zeitpunkt des Ausfalls. Risk Impact Analysen für die identifizierten zeitkritischen Aktivitäten und Prozesse: o Identifizieren und Bewerten von potentiellen Gefährdungen o Durchführung der qualitativ verschärften Risikoanalyse auf Basis einheitlicher Scoring-Kriterien Berücksichtigung von Notfallszenarien o (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung, Ausfall der Zutrittskontrolle) o Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur o Ausfall einer kritischen Anzahl von Mitarbeitern o Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)  

#3 Laufende Überwachungspflichten des Business Continuity Managers

MaRisk + BAIT: Anforderungen an Monitoring- und Kontrollhandlungen Maßstäbe für Steuerungs- und Kontrolltätigkeiten und deren Durchführung Prüfungssichere Bewertung der Auswirkungs- und Risikoanalysen o Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen. o Für zeitkritische Aktivitäten und Prozesse sind die relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen. Überprüfungen des Notfallkonzeptes sind zu protokollieren. o Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren. o Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen. Das Seminar Was ein Geschäftsfortführungsplan (BCP)? online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.  

Das könnte dich als Business Continuity Manager auch interessieren

MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement. Aus den ICT Guidelines werden Anforderungen zum Notfallmanagement im neu gefassten Abschnitt AT 7.3 umgesetzt. Für alle im Rahmen einer durchzuführenden Auswirkungsanalyse identifizierten zeitkritischen Aktivitäten und Prozesse sind zunächst Risikoanalysen durchzuführen. Im Notfallkonzept muss dargestellt sein, welche Ersatzlösungen im Notfall zeitnah zur Verfügung stehen und wie eine Rückkehr zum Normalbetrieb verlaufen soll. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte). Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen.  

#1 MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

Das Kapitel AT 7.3 Notfallmanagement wurde nun wie folgt gefasst:
  1. Das Institut hat Ziele zum Notfallmanagement zu definieren und hieraus abgeleitet einen Notfallmanagementprozess festzulegen. Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Das Notfallkonzept ist anlassbezogen zu aktualisieren, jährlich auf Aktualität zu überprüfen und angemessen zu kommunizieren. Die Geschäftsleitung hat sich mindestens quartalsweise und anlassbezogen über den Zustand des Notfallmanagements schriftlich berichten zu lassen.
  2. Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederherstellungspläne umfassen. Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Wiederherstellungspläne müssen innerhalb eines angemessenen Zeitraums die Rückkehr zum Normalbetrieb ermöglichen. Bei Notfällen ist eine angemessene interne und externe Kommunikation sicherzustellen. Im Fall der Auslagerung von zeitkritischen Aktivitäten und Prozessen haben das auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzepte zu verfügen.
  3. Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen. Für zeitkritische Aktivitäten und Prozesse ist sie für alle relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen. Überprüfungen des Notfallkonzeptes sind zu protokollieren. Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren. Risiken sind angemessen zu steuern. Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen.
  Die MaRisk geben zu den verschärften Anforderungen an das Notfallmanagement folgende Erläuterungen.

#2 Zeitkritische Aktivitäten und Prozesse

Zeitkritisch sind grundsätzlich jene Aktivitäten und Prozesse, bei deren Beeinträchtigung für definierte Zeiträume ein nicht mehr akzeptabler Schaden für das Institut zu erwarten ist. Zur Identifikation von zeitkritischen Aktivitäten und Prozessen sowie von unterstützenden Aktivitäten und Prozessen, hierfür notwendigen IT-Systemen und sonstigen notwendigen Ressourcen sowie den potentiellen Gefährdungen führt das Institut Auswirkungsanalysen und Risikoanalysen durch. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte).  

#3 Auswirkungsanalysen – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

In Auswirkungsanalysen (Business Impact Analysen) wird über abgestufte Zeiträume betrachtet, welche Folgen eine Beeinträchtigung von Aktivitäten und Prozessen für den Geschäftsbetrieb haben kann. Die Auswirkungsanalysen sollten u. a. folgende Aspekte berücksichtigen: – Art und Umfang des (im-)materiellen Schadens – Auswirkung des Zeitpunkts des Ausfalls auf den Schaden (z. B. Ausfall des Zahlungsverkehrs zu Hauptgeschäftszeiten)  

#4 Risikoanalysen – Business Continuity Manager: Aufgaben und Pflichten

In Risikoanalysen (Risk Impact Analysen) für die identifizierten zeitkritischen Aktivitäten und Prozesse werden potentielle Gefährdungen identifiziert und bewertet, welche eine Beeinträchtigung der zeitkritischen Geschäftsprozesse verursachen können.  

#5 Notfallkonzept – Aufgaben und Pflichten des Business Continuity Managers

Im Notfallkonzept werden Verantwortlichkeiten, Ziele und Maßnahmen zur Fortführung bzw. Wiederherstellung von zeitkritischen Aktivitäten und Prozessen bestimmt und Kriterien für die Einstufung sowie für das Auslösen der Pläne definiert.  

#6 Notfallszenarien – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

Hierbei werden mindestens folgende Szenarien berücksichtigt: – (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung,Ausfall der Zutrittskontrolle) – Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur (z. B. aufgrund von Fehlern oder Angriffen) – Ausfall einer kritischen Anzahl von Mitarbeitern (z. B. bei Pandemie, Lebensmittelvergiftung, Streik) – Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)  

#7 Überprüfungen des Notfallkonzeptes – Aufgaben und Pflichten des Business Continuity Managers

Die Häufigkeit und der Umfang der Überprüfungen soll sich grundsätzlich an der Gefährdungslage orientieren. Dienstleister sind angemessen einzubinden. Überprüfungen beinhalten u. a.: – Test der technischen Vorsorgemaßnahmen – Kommunikations-, Krisenstabs- und Alarmierungsübungen – Ernstfall- oder Vollübungen.  

#8 Welche Umsetzungsfristen gelten für die Neuen MaRisk 6.0?

Die neue Fassung der MaRisk tritt mit Veröffentlichung in Kraft. Es gilt eine Übergangsfrist bis zum 31.12.2021. Dies gilt für die auf das Auslagerungsregister bezogene Dokumentationsanforderung in AT 9 Tz. 14 MaRisk nur insoweit, als auch die Pflicht zum Vorhalten eines Auslagerungsregisters mit dem Inkrafttreten des FISG bereits zum 01.01.2022 gilt. Andernfalls richtet sich der erstmalige Geltungstag auch für die Konkretisierung dieser Anforderung in den MaRisk nach dem Gesetz. Davon abweichende Umsetzungsfristen ergeben sich für die Anpassung von bereits bestehenden oder in Verhandlung befindlichen Auslagerungsverträgen. Hierfür wird eine gesonderte Umsetzungsfrist bis zum 31.12.2022 eingeräumt. Eine Anpassung von Vertragsverhältnissen, die auf der Grundlage eines öffentlichen Vergabeverfahrens abgeschlossen wurden, kann wegen der besonderen rechtlichen Probleme unterbleiben, soweit diese Verträge befristet sind und innerhalb der nächsten fünf Jahre neu vergeben werden müssen. Die BaFin geht davon aus, dass bei Vergabeverfahren, die ab dem 01.01.2022 initiiert werden, bereits die neuen Anforderungen ausreichend berücksichtigt werden. Institute mit hohem NPL-Bestand haben die Anforderungen aus den NPE Guidelines bereits unmittelbar nach Ablauf der Übergangsfrist am 31.12.2021 einzuhalten, sofern diese Institute an den zwei vorhergehenden Quartalsstichtagen (30.09.2021 und 31.12.2021) eine NPL-Quote größer 5 % aufweisen. Der erste, für die Einstufung als Institut mit hohem NPL-Bestand relevante Quartalsstichtag ist daher der 30.09.2021.  

Teilnehmer haben auch folgende Seminare MaRisk + SREP + Depot A gebucht:

Seminare MaRisk + SREP Seminare Depot A Seminare Auslagerungscontrolling Seminar Risikomanagement Compliance

Was ist eine Business-Impact-Analyse (BIA)?

Was ist eine Business-Impact-Analyse (BIA)? Der EBA Leitfaden EBA/GL/2019/04 gibt Leitlinien für das Management von IKT- und Sicherheitsrisiken. Bei der Business Impact Analyse werden schwerwiegende Betriebsunterbrechungen analysiert und deren potenzielle Auswirkungen (einschließlich der Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit) quantitativ und qualitativ bewertet. Dabei sollen sie interne und/ oder externe Daten (z.B. für den Geschäftsprozess relevante Daten von Drittanbietern oder öffentlich verfügbare Daten, die für die BIA relevant sein können) und Szenarioanalysen verwenden. Durch die BIA soll auch die Kritikalität der festgestellten und klassifizierten Geschäftsfunktionen, der Unterstützungsprozesse, von Dritten und der IT-Assets sowie deren Abhängigkeiten berücksichtigt werden. Die IKT-Systeme und IKT-Dienste sollen so konzipiert und auf Ihre BIA abgestimmt sein, dass diese beispielweise bestimmte kritische Komponenten redundant ausgelegt sind, um Störungen durch Ereignisse mit Auswirkungen auf die Bestandteile zu verhindern.   Das Seminar Was ist eine Business-Impact-Analyse (BIA)? online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.   Was ist eine Business-Impact-Analyse (BIA)?

Zielgruppe zum Seminar Was ist eine Business-Impact-Analyse (BIA)?

  • Vorstände und Geschäftsführer bei Banken, Finanzdienstleistern, Kapitalanlage- und Fondsgesellschaften, Leasing- und Factoring-Gesellschaften
  • Führungskräfte und Spezialisten aus den Bereichen Notfallmanagement, Auslagerungsmanagement, IT-Compliance, Compliance Beauftragte und Interne Revision.
 

Dein Nutzen mit dem Seminar Was ist eine Business-Impact-Analyse (BIA)?

#1 Aufgaben und Pflichten des Business Continuity Managers #2 Business Impact Analysen und Risk Impact Analysen #3 Laufende Überwachungspflichten des Business Continuity Managers  

Dein Vorsprung mit dem Seminar Was ist eine Business-Impact-Analyse (BIA)?

Jeder Teilnehmer erhält mit dem Seminar die S+P Tool Box: + Leitfaden für BCM (ca. 30 Seiten) + Muster-Reporting für Business Continuity Manager + S+P Tool Risk Impact Analyse für mehr Prüfungssicherheit    

#1 Aufgaben und Pflichten des Business Continuity Managers

MaRisk AT 7.3: Das deutlich erweiterte Aufgabenspektrum des BCM: o Ziele zum Notfallmanagement und Ableitung eines Notfallmanagementprozess o Notfallkonzept für zeitkritische Aktivitäten und Prozesse o Festlegen von geeigneten Maßnahmen zur Schadensreduzierung Neue Reporting-Pflichten: mindestens quartalsweise Berichterstattung über den Zustand des Notfallmanagements Notfallkonzept mit Geschäftsfortführungs- sowie Wiederherstellungsplänen Schnittstelle Auslagerung: Outsourcer und Insourcer müssen über aufeinander abgestimmte Notfallkonzepte verfügen.  

#2 Business Impact Analysen und Risk Impact Analysen

Verschärfte Anforderungen an Business Impact Analysen: o Beeinträchtigung von Aktivitäten und Prozessen o Art und Umfang des (im-)materiellen Schadens o Zeitpunkt des Ausfalls. Risk Impact Analysen für die identifizierten zeitkritischen Aktivitäten und Prozesse: o Identifizieren und Bewerten von potentiellen Gefährdungen o Durchführung der qualitativ verschärften Risikoanalyse auf Basis einheitlicher Scoring-Kriterien Berücksichtigung von Notfallszenarien o (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung, Ausfall der Zutrittskontrolle) o Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur o Ausfall einer kritischen Anzahl von Mitarbeitern o Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)  

#3 Laufende Überwachungspflichten des Business Continuity Managers

MaRisk + BAIT: Anforderungen an Monitoring- und Kontrollhandlungen Maßstäbe für Steuerungs- und Kontrolltätigkeiten und deren Durchführung Prüfungssichere Bewertung der Auswirkungs- und Risikoanalysen o Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen. o Für zeitkritische Aktivitäten und Prozesse sind die relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen. Überprüfungen des Notfallkonzeptes sind zu protokollieren. o Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren. o Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen. Das Seminar Was ist eine Business-Impact-Analyse (BIA)? online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.  

Das könnte dich als Business Continuity Manager auch interessieren

MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement. Aus den ICT Guidelines werden Anforderungen zum Notfallmanagement im neu gefassten Abschnitt AT 7.3 umgesetzt. Für alle im Rahmen einer durchzuführenden Auswirkungsanalyse identifizierten zeitkritischen Aktivitäten und Prozesse sind zunächst Risikoanalysen durchzuführen. Im Notfallkonzept muss dargestellt sein, welche Ersatzlösungen im Notfall zeitnah zur Verfügung stehen und wie eine Rückkehr zum Normalbetrieb verlaufen soll. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte). Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen.  

#1 MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

Das Kapitel AT 7.3 Notfallmanagement wurde nun wie folgt gefasst:
  1. Das Institut hat Ziele zum Notfallmanagement zu definieren und hieraus abgeleitet einen Notfallmanagementprozess festzulegen. Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Das Notfallkonzept ist anlassbezogen zu aktualisieren, jährlich auf Aktualität zu überprüfen und angemessen zu kommunizieren. Die Geschäftsleitung hat sich mindestens quartalsweise und anlassbezogen über den Zustand des Notfallmanagements schriftlich berichten zu lassen.
  2. Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederherstellungspläne umfassen. Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Wiederherstellungspläne müssen innerhalb eines angemessenen Zeitraums die Rückkehr zum Normalbetrieb ermöglichen. Bei Notfällen ist eine angemessene interne und externe Kommunikation sicherzustellen. Im Fall der Auslagerung von zeitkritischen Aktivitäten und Prozessen haben das auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzepte zu verfügen.
  3. Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen. Für zeitkritische Aktivitäten und Prozesse ist sie für alle relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen. Überprüfungen des Notfallkonzeptes sind zu protokollieren. Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren. Risiken sind angemessen zu steuern. Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen.
  Die MaRisk geben zu den verschärften Anforderungen an das Notfallmanagement folgende Erläuterungen.

#2 Zeitkritische Aktivitäten und Prozesse

Zeitkritisch sind grundsätzlich jene Aktivitäten und Prozesse, bei deren Beeinträchtigung für definierte Zeiträume ein nicht mehr akzeptabler Schaden für das Institut zu erwarten ist. Zur Identifikation von zeitkritischen Aktivitäten und Prozessen sowie von unterstützenden Aktivitäten und Prozessen, hierfür notwendigen IT-Systemen und sonstigen notwendigen Ressourcen sowie den potentiellen Gefährdungen führt das Institut Auswirkungsanalysen und Risikoanalysen durch. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte).  

#3 Auswirkungsanalysen – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

In Auswirkungsanalysen (Business Impact Analysen) wird über abgestufte Zeiträume betrachtet, welche Folgen eine Beeinträchtigung von Aktivitäten und Prozessen für den Geschäftsbetrieb haben kann. Die Auswirkungsanalysen sollten u. a. folgende Aspekte berücksichtigen: – Art und Umfang des (im-)materiellen Schadens – Auswirkung des Zeitpunkts des Ausfalls auf den Schaden (z. B. Ausfall des Zahlungsverkehrs zu Hauptgeschäftszeiten)  

#4 Risikoanalysen – Business Continuity Manager: Aufgaben und Pflichten

In Risikoanalysen (Risk Impact Analysen) für die identifizierten zeitkritischen Aktivitäten und Prozesse werden potentielle Gefährdungen identifiziert und bewertet, welche eine Beeinträchtigung der zeitkritischen Geschäftsprozesse verursachen können.  

#5 Notfallkonzept – Aufgaben und Pflichten des Business Continuity Managers

Im Notfallkonzept werden Verantwortlichkeiten, Ziele und Maßnahmen zur Fortführung bzw. Wiederherstellung von zeitkritischen Aktivitäten und Prozessen bestimmt und Kriterien für die Einstufung sowie für das Auslösen der Pläne definiert.  

#6 Notfallszenarien – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

Hierbei werden mindestens folgende Szenarien berücksichtigt: – (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung,Ausfall der Zutrittskontrolle) – Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur (z. B. aufgrund von Fehlern oder Angriffen) – Ausfall einer kritischen Anzahl von Mitarbeitern (z. B. bei Pandemie, Lebensmittelvergiftung, Streik) – Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)  

#7 Überprüfungen des Notfallkonzeptes – Aufgaben und Pflichten des Business Continuity Managers

Die Häufigkeit und der Umfang der Überprüfungen soll sich grundsätzlich an der Gefährdungslage orientieren. Dienstleister sind angemessen einzubinden. Überprüfungen beinhalten u. a.: – Test der technischen Vorsorgemaßnahmen – Kommunikations-, Krisenstabs- und Alarmierungsübungen – Ernstfall- oder Vollübungen.  

#8 Welche Umsetzungsfristen gelten für die Neuen MaRisk 6.0?

Die neue Fassung der MaRisk tritt mit Veröffentlichung in Kraft. Es gilt eine Übergangsfrist bis zum 31.12.2021. Dies gilt für die auf das Auslagerungsregister bezogene Dokumentationsanforderung in AT 9 Tz. 14 MaRisk nur insoweit, als auch die Pflicht zum Vorhalten eines Auslagerungsregisters mit dem Inkrafttreten des FISG bereits zum 01.01.2022 gilt. Andernfalls richtet sich der erstmalige Geltungstag auch für die Konkretisierung dieser Anforderung in den MaRisk nach dem Gesetz. Davon abweichende Umsetzungsfristen ergeben sich für die Anpassung von bereits bestehenden oder in Verhandlung befindlichen Auslagerungsverträgen. Hierfür wird eine gesonderte Umsetzungsfrist bis zum 31.12.2022 eingeräumt. Eine Anpassung von Vertragsverhältnissen, die auf der Grundlage eines öffentlichen Vergabeverfahrens abgeschlossen wurden, kann wegen der besonderen rechtlichen Probleme unterbleiben, soweit diese Verträge befristet sind und innerhalb der nächsten fünf Jahre neu vergeben werden müssen. Die BaFin geht davon aus, dass bei Vergabeverfahren, die ab dem 01.01.2022 initiiert werden, bereits die neuen Anforderungen ausreichend berücksichtigt werden. Institute mit hohem NPL-Bestand haben die Anforderungen aus den NPE Guidelines bereits unmittelbar nach Ablauf der Übergangsfrist am 31.12.2021 einzuhalten, sofern diese Institute an den zwei vorhergehenden Quartalsstichtagen (30.09.2021 und 31.12.2021) eine NPL-Quote größer 5 % aufweisen. Der erste, für die Einstufung als Institut mit hohem NPL-Bestand relevante Quartalsstichtag ist daher der 30.09.2021.  

Teilnehmer haben auch folgende Seminare MaRisk + SREP + Depot A gebucht:

Seminare MaRisk + SREP Seminare Depot A Seminare Auslagerungscontrolling Seminar Risikomanagement Compliance

Wozu dient das Business Continuity Management?

Wozu dient das Business Continuity Management? Der EBA Leitfaden EBA/GL/2019/04 gibt Leitlinien für das Management von IKT- und Sicherheitsrisiken. Unternehmen sollen ein solides Notfallmanagement (BCM) einrichten, um ihre Fähigkeit zu kontinuierlicher Erbringung von Dienstleistung zu maximieren und Verluste im Falle einer Betriebsunterbrechung zu begrenzen.   Das Seminar Wozu dient das Business Continuity Management? online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.   Wozu dient das Business Continuity Management?

Zielgruppe zum Seminar Wozu dient das Business Continuity Management?

  • Vorstände und Geschäftsführer bei Banken, Finanzdienstleistern, Kapitalanlage- und Fondsgesellschaften, Leasing- und Factoring-Gesellschaften
  • Führungskräfte und Spezialisten aus den Bereichen Notfallmanagement, Auslagerungsmanagement, IT-Compliance, Compliance Beauftragte und Interne Revision.
 

Dein Nutzen mit dem Seminar Wozu dient das Business Continuity Management?

#1 Aufgaben und Pflichten des Business Continuity Managers #2 Business Impact Analysen und Risk Impact Analysen #3 Laufende Überwachungspflichten des Business Continuity Managers  

Dein Vorsprung mit dem Seminar Wozu dient das Business Continuity Management?

Jeder Teilnehmer erhält mit dem Seminar die S+P Tool Box: + Leitfaden für BCM (ca. 30 Seiten) + Muster-Reporting für Business Continuity Manager + S+P Tool Risk Impact Analyse für mehr Prüfungssicherheit    

#1 Aufgaben und Pflichten des Business Continuity Managers

MaRisk AT 7.3: Das deutlich erweiterte Aufgabenspektrum des BCM: o Ziele zum Notfallmanagement und Ableitung eines Notfallmanagementprozess o Notfallkonzept für zeitkritische Aktivitäten und Prozesse o Festlegen von geeigneten Maßnahmen zur Schadensreduzierung Neue Reporting-Pflichten: mindestens quartalsweise Berichterstattung über den Zustand des Notfallmanagements Notfallkonzept mit Geschäftsfortführungs- sowie Wiederherstellungsplänen Schnittstelle Auslagerung: Outsourcer und Insourcer müssen über aufeinander abgestimmte Notfallkonzepte verfügen.  

#2 Business Impact Analysen und Risk Impact Analysen

Verschärfte Anforderungen an Business Impact Analysen: o Beeinträchtigung von Aktivitäten und Prozessen o Art und Umfang des (im-)materiellen Schadens o Zeitpunkt des Ausfalls. Risk Impact Analysen für die identifizierten zeitkritischen Aktivitäten und Prozesse: o Identifizieren und Bewerten von potentiellen Gefährdungen o Durchführung der qualitativ verschärften Risikoanalyse auf Basis einheitlicher Scoring-Kriterien Berücksichtigung von Notfallszenarien o (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung, Ausfall der Zutrittskontrolle) o Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur o Ausfall einer kritischen Anzahl von Mitarbeitern o Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)  

#3 Laufende Überwachungspflichten des Business Continuity Managers

MaRisk + BAIT: Anforderungen an Monitoring- und Kontrollhandlungen Maßstäbe für Steuerungs- und Kontrolltätigkeiten und deren Durchführung Prüfungssichere Bewertung der Auswirkungs- und Risikoanalysen o Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen. o Für zeitkritische Aktivitäten und Prozesse sind die relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen. Überprüfungen des Notfallkonzeptes sind zu protokollieren. o Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren. o Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen. Das Seminar Wozu dient das Business Continuity Management? online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.  

Das könnte dich als Business Continuity Manager auch interessieren

MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement. Aus den ICT Guidelines werden Anforderungen zum Notfallmanagement im neu gefassten Abschnitt AT 7.3 umgesetzt. Für alle im Rahmen einer durchzuführenden Auswirkungsanalyse identifizierten zeitkritischen Aktivitäten und Prozesse sind zunächst Risikoanalysen durchzuführen. Im Notfallkonzept muss dargestellt sein, welche Ersatzlösungen im Notfall zeitnah zur Verfügung stehen und wie eine Rückkehr zum Normalbetrieb verlaufen soll. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte). Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen.  

#1 MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

Das Kapitel AT 7.3 Notfallmanagement wurde nun wie folgt gefasst:
  1. Das Institut hat Ziele zum Notfallmanagement zu definieren und hieraus abgeleitet einen Notfallmanagementprozess festzulegen. Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Das Notfallkonzept ist anlassbezogen zu aktualisieren, jährlich auf Aktualität zu überprüfen und angemessen zu kommunizieren. Die Geschäftsleitung hat sich mindestens quartalsweise und anlassbezogen über den Zustand des Notfallmanagements schriftlich berichten zu lassen.
  2. Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederherstellungspläne umfassen. Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Wiederherstellungspläne müssen innerhalb eines angemessenen Zeitraums die Rückkehr zum Normalbetrieb ermöglichen. Bei Notfällen ist eine angemessene interne und externe Kommunikation sicherzustellen. Im Fall der Auslagerung von zeitkritischen Aktivitäten und Prozessen haben das auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzepte zu verfügen.
  3. Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen. Für zeitkritische Aktivitäten und Prozesse ist sie für alle relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen. Überprüfungen des Notfallkonzeptes sind zu protokollieren. Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren. Risiken sind angemessen zu steuern. Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen.
  Die MaRisk geben zu den verschärften Anforderungen an das Notfallmanagement folgende Erläuterungen.

#2 Zeitkritische Aktivitäten und Prozesse

Zeitkritisch sind grundsätzlich jene Aktivitäten und Prozesse, bei deren Beeinträchtigung für definierte Zeiträume ein nicht mehr akzeptabler Schaden für das Institut zu erwarten ist. Zur Identifikation von zeitkritischen Aktivitäten und Prozessen sowie von unterstützenden Aktivitäten und Prozessen, hierfür notwendigen IT-Systemen und sonstigen notwendigen Ressourcen sowie den potentiellen Gefährdungen führt das Institut Auswirkungsanalysen und Risikoanalysen durch. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte).  

#3 Auswirkungsanalysen – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

In Auswirkungsanalysen (Business Impact Analysen) wird über abgestufte Zeiträume betrachtet, welche Folgen eine Beeinträchtigung von Aktivitäten und Prozessen für den Geschäftsbetrieb haben kann. Die Auswirkungsanalysen sollten u. a. folgende Aspekte berücksichtigen: – Art und Umfang des (im-)materiellen Schadens – Auswirkung des Zeitpunkts des Ausfalls auf den Schaden (z. B. Ausfall des Zahlungsverkehrs zu Hauptgeschäftszeiten)  

#4 Risikoanalysen – Business Continuity Manager: Aufgaben und Pflichten

In Risikoanalysen (Risk Impact Analysen) für die identifizierten zeitkritischen Aktivitäten und Prozesse werden potentielle Gefährdungen identifiziert und bewertet, welche eine Beeinträchtigung der zeitkritischen Geschäftsprozesse verursachen können.  

#5 Notfallkonzept – Aufgaben und Pflichten des Business Continuity Managers

Im Notfallkonzept werden Verantwortlichkeiten, Ziele und Maßnahmen zur Fortführung bzw. Wiederherstellung von zeitkritischen Aktivitäten und Prozessen bestimmt und Kriterien für die Einstufung sowie für das Auslösen der Pläne definiert.  

#6 Notfallszenarien – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement

Hierbei werden mindestens folgende Szenarien berücksichtigt: – (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung,Ausfall der Zutrittskontrolle) – Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur (z. B. aufgrund von Fehlern oder Angriffen) – Ausfall einer kritischen Anzahl von Mitarbeitern (z. B. bei Pandemie, Lebensmittelvergiftung, Streik) – Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)  

#7 Überprüfungen des Notfallkonzeptes – Aufgaben und Pflichten des Business Continuity Managers

Die Häufigkeit und der Umfang der Überprüfungen soll sich grundsätzlich an der Gefährdungslage orientieren. Dienstleister sind angemessen einzubinden. Überprüfungen beinhalten u. a.: – Test der technischen Vorsorgemaßnahmen – Kommunikations-, Krisenstabs- und Alarmierungsübungen – Ernstfall- oder Vollübungen.  

#8 Welche Umsetzungsfristen gelten für die Neuen MaRisk 6.0?

Die neue Fassung der MaRisk tritt mit Veröffentlichung in Kraft. Es gilt eine Übergangsfrist bis zum 31.12.2021. Dies gilt für die auf das Auslagerungsregister bezogene Dokumentationsanforderung in AT 9 Tz. 14 MaRisk nur insoweit, als auch die Pflicht zum Vorhalten eines Auslagerungsregisters mit dem Inkrafttreten des FISG bereits zum 01.01.2022 gilt. Andernfalls richtet sich der erstmalige Geltungstag auch für die Konkretisierung dieser Anforderung in den MaRisk nach dem Gesetz. Davon abweichende Umsetzungsfristen ergeben sich für die Anpassung von bereits bestehenden oder in Verhandlung befindlichen Auslagerungsverträgen. Hierfür wird eine gesonderte Umsetzungsfrist bis zum 31.12.2022 eingeräumt. Eine Anpassung von Vertragsverhältnissen, die auf der Grundlage eines öffentlichen Vergabeverfahrens abgeschlossen wurden, kann wegen der besonderen rechtlichen Probleme unterbleiben, soweit diese Verträge befristet sind und innerhalb der nächsten fünf Jahre neu vergeben werden müssen. Die BaFin geht davon aus, dass bei Vergabeverfahren, die ab dem 01.01.2022 initiiert werden, bereits die neuen Anforderungen ausreichend berücksichtigt werden. Institute mit hohem NPL-Bestand haben die Anforderungen aus den NPE Guidelines bereits unmittelbar nach Ablauf der Übergangsfrist am 31.12.2021 einzuhalten, sofern diese Institute an den zwei vorhergehenden Quartalsstichtagen (30.09.2021 und 31.12.2021) eine NPL-Quote größer 5 % aufweisen. Der erste, für die Einstufung als Institut mit hohem NPL-Bestand relevante Quartalsstichtag ist daher der 30.09.2021.  

Teilnehmer haben auch folgende Seminare MaRisk + SREP + Depot A gebucht:

Seminare MaRisk + SREP Seminare Depot A Seminare Auslagerungscontrolling Seminar Risikomanagement Compliance
Chaticon