Bundesrecht - tagaktuell konsolidiert - alle Fassungen seit 2006
Vorschriftensuche
 
Achtung: Titel komplett oder überwiegend mit Ablauf des 31.12.2013 aufgehoben
>>> zur aktuellen Fassung/Nachfolgeregelung

Verordnung über die angemessene Eigenmittelausstattung von Instituten, Institutsgruppen, Finanzholding-Gruppen und gemischten Finanzholding-Gruppen (Solvabilitätsverordnung - SolvV)

V. v. 14.12.2006 BGBl. I S. 2926 (Nr. 61); aufgehoben durch § 39 V. v. 06.12.2013 BGBl. I S. 4168
Geltung ab 01.01.2007; FNA: 7610-2-29 Aufsichtsrechtliche Vorschriften
|

Teil 3 Operationelles Risiko

Kapitel 4 Fortgeschrittene Messansätze

Abschnitt 2 Qualitative Anforderungen

§ 279 Risikomanagementsystem und Rahmenwerk



(1) Das Institut muss ein integriertes System zur Identifizierung, Messung, Überwachung, Berichterstattung und Steuerung seines operationellen Risikos eingeführt haben.

(2) Die Geschäftsleiter müssen ein Rahmenwerk in Kraft gesetzt haben, welches die Grundsätze der Identifizierung, Messung, Überwachung, Berichterstattung und Steuerung des operationellen Risikos enthält und die diesbezüglichen Verantwortlichkeiten klar zuordnet.


§ 280 Risikomanagementeinheit und Ressourcen



(1) Das Institut muss über eine unabhängige zentrale Einheit für das Management operationeller Risiken verfügen. Diese Einheit ist für die Entwicklung der Strategien, Grundsätze und Verfahren der Identifizierung, Messung, Überwachung, Berichterstattung des operationellen Risikos sowie für die Entwicklung von Verfahren zur Steuerung des operationellen Risikos einschließlich erforderlicher Anpassungen verantwortlich und sorgt für deren Umsetzung und Anwendung. Sofern Teile dieser Aufgaben von dezentralen Stellen wahrgenommen werden, ist sicherzustellen, dass diese die Vorgaben der zentralen Einheit beachten.

(2) Das Institut muss in der zentralen Einheit für das Management der operationellen Risiken, in den wesentlichen institutsinternen Geschäftsfeldern und in der internen Revision über ausreichende Ressourcen verfügen, um seinen fortgeschrittenen Messansatz zu verwenden.


§ 281 Integration des Risikomesssystems und Berichtswesen



(1) Das Risikomesssystem für operationelle Risiken muss in die laufenden Risikomanagementprozesse des Instituts integriert sein.

(2) Das Institut soll über Methoden zur Allokation von Kapital für operationelle Risiken auf die bedeutenden institutsinternen Geschäftsfelder und zur Schaffung von Anreizen zur Verbesserung des Managements operationeller Risiken im gesamten Institut verfügen. Das System zur Messung des operationellen Risikos soll die Allokation von ökonomischem Kapital zu den institutsinternen Geschäftsfeldern unterstützen.

(3) Das Institut muss über ein angemessenes Berichtswesen verfügen, mit dem die verantwortlichen Stellen im Institut regelmäßig über das bestehende operationelle Risiko sowie über wesentliche operationelle Verlustereignisse informiert werden. Das Institut muss Entscheidungskompetenzen und -wege festlegen, um angemessen auf diese Informationen zu reagieren.


§ 282 Dokumentation und Einhaltung des Risikomanagementsystems



(1) Das System zum Management operationeller Risiken muss angemessen dokumentiert sein.

(2) Das Institut muss über Verfahren verfügen, um die Einhaltung des dokumentierten Systems zum Management operationeller Risiken sicherzustellen. Dazu gehören auch Grundsätze zum Umgang mit Verstößen gegen bankinterne Regelungen.


§ 283 Prüfung



(1) Die interne Revision oder externe Prüfer müssen die Prozesse zum Management und das System zur Messung operationeller Risiken regelmäßig überprüfen. Diese Prüfungen müssen sowohl die diesbezüglichen Aktivitäten der einzelnen institutsinternen Geschäftseinheiten als auch die der unabhängigen Einheit für das Management operationeller Risiken umfassen.

(2) Die Institute müssen sicherstellen, dass die Datenflüsse und Prozesse des Messsystems operationeller Risiken für interne und externe Überprüfungen zeitnah zugänglich sind.


Abschnitt 3 Anforderungen an die Bestimmung des Anrechnungsbetrags für das operationelle Risiko

Unterabschnitt 1 Modellrahmen

§ 284 Güte des Messsystems



(1) Fortgeschrittene Messansätze müssen interne Schadensdaten, externe Daten, Szenario-Analysen sowie institutsspezifische Geschäftsumfeld- und interne Kontrollfaktoren zur Berechnung des Anrechnungsbetrags für das operationelle Risiko verwenden. Ein Institut muss diese vier Elemente in seinem fortgeschrittenen Messansatz angemessen kombinieren und dies dokumentieren. Insbesondere ist sicherzustellen, dass bei der Kombination dieser Elemente Mehrfachzählungen von qualitativen Beurteilungen oder Risikominderungen vermieden werden.

(2) Der mit einem fortgeschrittenen Messansatz ermittelte Anrechnungsbetrag für das operationelle Risiko muss den erwarteten und unerwarteten Verlust umfassen. Sofern das Institut den erwarteten Verlust angemessen bestimmt und nachweist, dass es einen Teil des erwarteten Verlustes in seinen internen Geschäftspraktiken angemessen berücksichtigt, wird die Bundesanstalt die Reduktion des Anrechnungsbetrags für das operationelle Risiko um diesen Teil des erwarteten Verlustes zulassen.

(3) Der fortgeschrittene Messansatz muss die Haupttreiber des operationellen Risikos, welche die Form der Ränder der Verlustverteilungen beeinflussen, erfassen. Der Anrechnungsbetrag für das operationelle Risiko muss insbesondere potenziell schwerwiegende Verlustereignisse am Rande der Verlustverteilung abdecken und hinsichtlich seiner Solidität mit einem 99,9-prozentigen Konfidenzniveau bei einer einjährigen Halteperiode vergleichbar sein.

(4) Das Institut muss angemessene Verfahren bei der Entwicklung eines Modells zur Messung seiner operationellen Risiken und zur Überprüfung dieses Modells anwenden. Die Überprüfungsprozesse, -verfahren und -ergebnisse sind zu dokumentieren.


§ 285 Korrelationen



Einzeln ermittelte Risikomessgrößen für operationelle Risiken dürfen bei der Berechnung des Anrechnungsbetrags für das operationelle Risiko addiert werden. Werden dagegen bei der Berechnung des Anrechnungsbetrags Korrelationen zwischen einzeln ermittelten Risikomessgrößen berücksichtigt, müssen folgende Anforderungen erfüllt sein:

1.
Sämtliche Korrelationsannahmen bei der Bestimmung des Anrechnungsbetrags für das operationelle Risiko müssen plausibel sein und begründet werden.

2.
Die Systeme zur Bestimmung der Korrelationen müssen zuverlässig sein sowie Unsicherheiten berücksichtigen.

3.
Das Institut muss seine Korrelationsannahmen mit quantitativen und qualitativen Verfahren überprüfen und bei Bedarf anpassen.


Unterabschnitt 2 Daten

§ 286 Interne Schadensdaten



(1) Bei der Bestimmung des Anrechnungsbetrags für das operationelle Risiko muss ein Institut Daten über intern aufgetretene Verluste verwenden, die sich fortlaufend mindestens über die letzten fünf Jahre erstrecken. Bei der erstmaligen Zulassung eines fortgeschrittenen Messansatzes ist eine Schadensdatenhistorie von drei Jahren, gerechnet ab Anwendung des fortgeschrittenen Messansatzes zur Bestimmung des Anrechnungsbetrags für das operationelle Risiko, zulässig.

(2) Die internen Schadensdaten müssen so umfassend sein, dass sie alle wesentlichen Tätigkeiten und operationellen Risiken institutsweit erfassen. Das Institut muss darlegen können, dass nicht erfasste Tätigkeiten und Gefährdungen, sowohl einzeln als auch kombiniert betrachtet, keinen wesentlichen Einfluss auf die Gesamtrisikomessung haben.

(3) Das Institut muss für die Erfassung von Verlusten in der Schadensdatensammlung geeignete Mindestschwellen definieren.

(4) Für jedes erfasste Verlustereignis sind zumindest zu sammeln:

1.
die Schadenshöhe eines eingetretenen Schadens sowie die Art und Höhe von Rückzahlungen und Verlustminderungen,

2.
die Geschäftsbereiche, in denen der Schaden eingetreten ist und die von dem Risikoereignis getroffen werden,

3.
eine Beschreibung der Ursache beziehungsweise Treiber und

4.
das Eintritts- und das Feststellungsdatum des Verlustereignisses.

(5) Die fortlaufende Relevanz der verwendeten Schadensdaten ist durch klare interne Regelungen und dokumentierte Verfahren sicherzustellen. Alle Änderungen und Anpassungen der Schadensdaten sind nachvollziehbar zu dokumentieren. Die Zuständigkeiten für diese Anpassungen, insbesondere wer in welchen Situationen und in welchem Ausmaß dazu berechtigt ist, sind klar zu regeln.


§ 287 Zuordnung interner Schadensdaten



(1) 1Die internen Schadensdaten müssen den regulatorischen Geschäftsfeldern nach § 273 Abs. 4 sowie den regulatorischen Verlustereigniskategorien nach Absatz 3 zugeordnet und die so gegliederten Daten der Bundesanstalt auf Anfrage zur Verfügung gestellt werden können. 2Interne Schadensdaten, die das gesamte Institut betreffen, können im Falle außergewöhnlicher Sachverhalte dem in Anlage 1 Tabelle 29a bestimmten regulatorischen Geschäftsfeld „Gesamtinstitut" zugeordnet werden. 3Das Institut muss über dokumentierte und objektive Kriterien verfügen, nach denen die Schadensdaten den regulatorischen Geschäftsfeldern und Verlustereigniskategorien zugeordnet werden.

(2) Das Institut muss für die Zuordnung von folgenden Schadensdaten besondere Kriterien entwickeln:

1.
Ereignisse in zentralen Bereichen,

2.
Tätigkeiten, die mehr als ein Geschäftsfeld betreffen, und

3.
miteinander verbundene Verlustereignisse, einschließlich zeitlich aufeinander folgender Verlustereignisse.

(3) Folgende Verlustereigniskategorien, nach der Begriffsbestimmung in Anlage 1 Tabelle 30, sind für die Zuordnung nach Absatz 1 zu verwenden:

1.
interner Betrug,

2.
externer Betrug,

3.
Beschäftigungspraxis und Arbeitsplatzsicherheit,

4.
Kunden, Produkte und Geschäftsgepflogenheiten,

5.
Sachschäden,

6.
Geschäftsunterbrechungen und Systemausfälle und

7.
Ausführung, Lieferung und Prozessmanagement.




§ 288 Verluste im Kreditrisikobereich



Durch operationelles Risiko verursachte Verluste im Zusammenhang mit dem Kreditrisiko müssen identifiziert, in einer Verlustdatenbank als operationelle Risiken erfasst und dort besonders gekennzeichnet werden. Solche Verluste werden nicht zur Bestimmung des Anrechnungsbetrags für das operationelle Risiko herangezogen.


§ 289 Externe Daten



(1) Bei der Bestimmung des Anrechnungsbetrags für das operationelle Risiko müssen relevante externe Daten verwendet werden. Dabei dürfen nur Daten verwendet werden, die nicht personenbezogen oder, soweit personenbezogen, anonymisiert sind.

(2) Ein Institut muss in einem systematischen Prozess solche Situationen bestimmen, in denen externe Daten genutzt werden, sowie Methoden festlegen, wie diese Daten in das Messsystem einbezogen werden. Die Bedingungen und Verfahren zur Nutzung externer Daten müssen dokumentiert, bei Bedarf angepasst und regelmäßig von einer unabhängigen Stelle überprüft werden.


Unterabschnitt 3 Szenario-Analysen, Geschäftsumfeld und internes Kontrollsystem

§ 290 Szenario-Analysen



Bei der Bestimmung des Anrechnungsbetrags für das operationelle Risiko müssen Szenario-Analysen verwendet werden, die auf Expertenmeinungen und externen Daten basieren, um Gefährdungen durch schwerwiegende Risikoereignisse zu beurteilen. Im Zeitablauf muss das Institut die Ergebnisse dieser Szenario-Analysen überprüfen und diese im Hinblick auf aktuelle Verlusterfahrungen anpassen, um ihre Plausibilität sicherzustellen.


§ 291 Geschäftsumfeld und internes Kontrollsystem



Das Messsystem für operationelle Risiken muss die wesentlichen Faktoren des Geschäftsumfeldes und des internen Kontrollsystems einbeziehen, welche das operationelle Risiko beeinflussen. Folgende Anforderungen müssen erfüllt werden:

1.
die ausgewählten Faktoren müssen bedeutende Risikotreiber sein, deren Auswahl durch Erfahrungen und Einbeziehung der Expertise der betroffenen internen Geschäftsfelder begründet sein muss,

2.
die Sensitivität der Risikoschätzungen gegenüber Veränderungen der Faktoren und die relative Gewichtung dieser Faktoren müssen hinreichend begründet sein, insbesondere müssen Risikoänderungen aufgrund von Veränderungen des internen Kontrollsystems, aufgrund geänderter Komplexität der Tätigkeiten oder aufgrund eines veränderten Geschäftsumfangs berücksichtigt werden,

3.
im Zeitablauf müssen die Auswahl und Anwendung der internen Kontroll- und Geschäftsumfeldfaktoren sowie deren Einfluss auf das Messsystem durch empirische Verfahren, insbesondere durch Vergleich mit internen Verlustdaten sowie relevanten externen Daten, überprüft und bei Bedarf angepasst werden und

4.
die Auswahl und Anwendung der internen Kontroll- und Geschäftsumfeldfaktoren müssen dokumentiert und durch eine unabhängige Stelle überprüft werden.


Unterabschnitt 4 Instrumente zur Risikoverlagerung

§ 292 Versicherungen und andere Instrumente zur Risikoverlagerung



(1) Bei der Bestimmung des Anrechnungsbetrags für das operationelle Risiko dürfen Versicherungen und andere Instrumente zur Risikoverlagerung berücksichtigt werden. Durch die Berücksichtigung von Instrumenten zur Risikoverlagerung darf sich der Anrechnungsbetrag für das operationelle Risiko maximal um 20 Prozent gegenüber seiner Höhe ohne die Berücksichtigung von Instrumenten zur Risikoverlagerung reduzieren.

(2) Versicherungen können nur berücksichtigt werden, wenn sämtliche nachfolgenden Anforderungen erfüllt sind:

1.
der Versicherer besitzt die Zulassung zum Versicherungs- bzw. Rückversicherungsgeschäft,

2.
der Versicherer verfügt über eine angemessene Bonität,

3.
der Versicherungsvertrag besitzt bei Abschluss eine Laufzeit von mindestens einem Jahr,

4.
wenn eine Kündigungsfrist im Versicherungsvertrag vorgesehen ist, beträgt diese mindestens 90 Kalendertage,

5.
der Versicherungsvertrag beinhaltet keine Ausschlussklauseln oder Einschränkungen des Versicherungsschutzes im Falle aufsichtlicher Maßnahmen,

6.
der Versicherungsvertrag beinhaltet keine Ausschlussklauseln oder Einschränkungen des Versicherungsschutzes, die bei Insolvenz des Instituts eine Erstattung verhindern,

7.
der Versicherungsschutz wird nachvollziehbar und konsistent zur Verlustwahrscheinlichkeit und -höhe, die der Ermittlung des Anrechnungsbetrags für das operationelle Risiko zugrunde liegen, berücksichtigt,

8.
die Versicherung wurde von einer nicht in die Kapitalkonsolidierung einbezogenen Gesellschaft gewährt oder das versicherte Risiko wurde an eine unabhängige dritte Stelle, die die an die Anerkennung von Versicherungen bestehenden Anforderungen erfüllt, durch Rückversicherung oder andere Maßnahmen übertragen und

9.
die Verfahren zur Berücksichtigung von Versicherungen sind hinreichend begründet und dokumentiert.

Von der Anforderung in Satz 1 Nr. 6 ausgenommen sind Ereignisse, die nach Eröffnung des Insolvenzverfahrens oder des Liquidationsverfahrens eingetreten sind. Versicherungen nach Satz 1 dürfen keine Erstattung von Bußgeldern und sonstigen Strafen vorsehen, die aufgrund eines bankaufsichtlichen Eingreifens vom Institut zu leisten sind.

(3) Bei der Berücksichtigung von Versicherungen sind für Versicherungsverträge mit Kündigungsfristen oder Restlaufzeiten von weniger als einem Jahr und für die Zahlungsunsicherheit sowie Inkongruenzen in der Deckung der Versicherungsverträge geeignete Abschläge vorzunehmen. Versicherungsverträge mit einer Restlaufzeit von weniger als 90 Tagen dürfen nicht mehr risikomindernd berücksichtigt werden.

(4) Die Berücksichtigung anderer Instrumente zur Risikoverlagerung ist zulässig, wenn das Institut nachweisen kann, dass diese zu einer erkennbaren und verlässlichen Minderung des operationellen Risikos führen.