BaFin - Navigation & Service

Springe direkt zu:

Erscheinung:13.09.2007 | Thema Eigenmittel Empfehlung des Fachgremiums OpR zur Datensammlung (interne Schadensdaten) im AMA

Empfehlung des Fachgremiums OpR zur Datensammlung (interne Schadensdaten) im AMA

Wichtige Hinweise:CRD IV / CRR

Bitte beachten Sie die Hinweise im Rundschreiben 5/2014 (BA) zur Anwendung von Aussagen zum Grundsatz I, zur SolvV-alt und zur GroMiKV-alt auf CRD IV und CRR.

Rundschreiben 5/2014 (BA) - Anwendung von Aussagen zum Grundsatz I, zur SolvV-alt und zur GroMiKV-alt auf CRD IV und CRR

Vorbemerkung

Das Fachgremium OpR hat sich in seinem Mandat die Aufgabe gestellt, Vorschläge zu erarbeiten, wie die bei der nationalen Umsetzung der Basler und Brüssler Regelungen zum operationellen Risiko bestehenden Gestaltungsspielräume ausgefüllt werden könnten. Die folgende Empfehlung des Fachgremiums stellt eine Anregung zur Datensammlung im AMA dar. Die Empfehlung steht unter dem Vorbehalt der Konsistenz zu Entschließungen auf europäischer Ebene.


§ 286 Solvabilitätsverordnung (Stand 01.01.2007)
Interne Schadensdaten

(1) 1Bei der Bestimmung des Anrechnungsbetrags für das operationelle Risiko muss ein Institut Daten über intern aufgetretene Verluste verwenden, die sich fortlaufend mindestens über die letzten fünf Jahre erstrecken. 2Bei der erstmaligen Zulassung eines fortgeschrittenen Messansatzes ist eine Schadensdatenhistorie von drei Jahren, gerechnet ab Anwendung des fortgeschrittenen Messansatzes zur Bestimmung des Anrechnungsbetrags für das operationelle Risiko, zulässig.

(2) 1Die internen Schadensdaten müssen so umfassend sein, dass sie alle wesentlichen Tätigkeiten und operationellen Risiken institutsweit erfassen. 2Das Institut muss darlegen können, dass nicht erfasste Tätigkeiten und Gefährdungen, sowohl einzeln als auch kombiniert betrachtet, keinen wesentlichen Einfluss auf die Gesamtrisikomessung haben.

(3) Das Institut muss für die Erfassung von Verlusten in der Schadensdatensammlung geeignete Mindestschwellen definieren.

(4) Für jedes erfasste Verlustereignis sind zumindest zu sammeln:

  1. die Schadenshöhe eines eingetretenen Schadens sowie die Art und Höhe von Rückzahlungen und Verlustminderungen,
  2. die Geschäftsbereiche, in denen der Schaden eingetreten ist und die von dem Risikoereignis getroffen werden,
  3. eine Beschreibung der Ursache beziehungsweise Treiber und
  4. das Eintritts- und das Feststellungsdatum des Verlustereignisses.

(5) 1Die fortlaufende Relevanz der verwendeten Schadensdaten ist durch klare interne Regelungen und dokumentierte Verfahren sicherzustellen. 2Alle Änderungen und Anpassungen der Schadensdaten sind nachvollziehbar zu dokumentieren. 3Die Zuständigkeiten für diese Anpassungen, insbesondere wer in welchen Situationen und in welchem Ausmaß dazu berechtigt ist, sind klar zu regeln.


§ 287 Solvabilitätsverordnung (Stand 01.01.2007)
Zuordnung interner Schadensdaten

(1) 1Die internen Schadensdaten müssen den regulatorischen Geschäftsfeldern nach § 273 Abs. 4 sowie den regulatorischen Verlustereigniskategorien nach Absatz 3 zugeordnet und die so gegliederten Daten der Bundesanstalt auf Anfrage zur Verfügung gestellt werden können. 2Das Institut muss über dokumentierte und objektive Kriterien verfügen, nach denen die Schadensdaten den regulatorischen Geschäftsfeldern und Verlustereigniskategorien zugeordnet werden.

(2) Das Institut muss für die Zuordnung von folgenden Schadensdaten besondere Kriterien entwickeln:

  1. Ereignisse in zentralen Bereichen,
  2. Tätigkeiten, die mehr als ein Geschäftsfeld betreffen, und
  3. miteinander verbundene Verlustereignisse, einschließlich zeitlich aufeinander folgender Verlustereignisse.

(3) Folgende Verlustereigniskategorien, nach der Begriffsbestimmung in Anlage 1 Tabelle 30, sind für die Zuordnung nach Absatz 1 zu verwenden:

  1. interner Betrug,
  2. externer Betrug,
  3. Beschäftigungspraxis und Arbeitsplatzsicherheit,
  4. Kunden, Produkte und Geschäftsgepflogenheiten,
  5. Sachschäden,
  6. Geschäftsunterbrechungen und Systemausfälle und
  7. Ausführung, Lieferung und Prozessmanagement.

§ 288 Solvabilitätsverordnung (Stand 01.01.2007)
Verluste im Kreditrisikobereich

1Durch operationelles Risiko verursachte Verluste im Zusammenhang mit dem Kreditrisiko müssen identifiziert, in einer Verlustdatenbank als operationelle Risiken erfasst und dort besonders gekennzeichnet werden. 2Solche Verluste werden nicht zur Bestimmung des Anrechnungsbetrags für das operationelle Risiko herangezogen.


Anlage 1, Tabelle 30 SolvV
(zu § 287 Abs. 3)
Verlustereigniskategorien

Anlage 1, Tabelle 30 SolvV (zu § 287 Abs. 3) Verlustereigniskategorien
Ereigniskategorie Begriffsbestimmungen
Interner Betrug Verluste aufgrund von Handlungen mit betrügerischer Absicht, Veruntreuung von Eigentum, Verstoß gegen oder Umgehung von Verwaltungs-, Rechts- oder internen Vorschriften, mit Ausnahme von Verlusten aufgrund von Diskriminierung auch aufgrund von sozialer und kultureller Verschiedenheit, wenn mindestens eine interne Partei beteiligt ist.
Externer Betrug Verluste aufgrund von Handlungen mit betrügerischer Absicht, Veruntreuung von Eigentum, Verstoß gegen oder Umgehung von Rechtsvorschriften durch einen Dritten.
Beschäftigungspraxis und Arbeitsplatzsicherheit Verluste aufgrund von Handlungen, die gegen Beschäftigungs-, Gesundheitsschutz- oder Sicherheitsvorschriften bzw. -abkommen verstoßen, Verluste aufgrund von Schadenersatzzahlungen wegen Körperverletzung, Verluste aufgrund von Diskriminierung auch aufgrund von sozialer und kultureller Verschiedenheit.
Kunden, Produkte und Geschäftsgepflogenheiten Verluste aufgrund einer unbeabsichtigten oder fahrlässigen Nichterfüllung geschäftlicher Verpflichtungen gegenüber bestimmten Kunden (einschließlich treuhänderischer und auf Angemessenheit beruhender Verpflichtungen), Verluste aufgrund der Art oder Struktur eines Produkts.
Sachschäden Verluste aufgrund von Beschädigungen oder des Verlustes von Sachvermögen durch Naturkatastrophen oder andere Ereignisse.
Geschäftsunterbrechungen und Systemausfälle Verluste aufgrund von Geschäftsunterbrechungen oder Systemausfällen.
Ausführung, Lieferung und Prozessmanagement Verluste aufgrund von Fehlern bei der Geschäftsabwicklung oder im Prozessmanagement, Verluste aus Beziehungen zu Geschäftspartnern, Lieferanten und Anbietern.


Allgemeine Erläuterungen

Ein operationelles Verlustereignis ist ein auf ein operationelles Risiko zurückzuführendes Ereignis, das sich negativ auf die Ertrags- oder Vermögenslage eines Instituts auswirkt. Bei der Prüfung, ob ein OpR-Verlustereignis vorliegt, ist die Definition des operationellen Risikos (§ 269 SolvV) zu beachten. Die Verlustereignisse sind in Anlage 1, Tabelle 30 SolvV definiert.
Die Sammlung interner Schadensdaten ist eine wesentliche Voraussetzung für die Entwicklung und das Funktionieren eines zuverlässigen Messsystems für operationelle Risiken. Interne Schadensdaten sind entscheidend für die Verknüpfung bankeigener Risikoschätzungen mit ihrer tatsächlichen Verlusterfahrung, u. a. durch die Verwendung interner Schadensdaten als Grundlage für empirische Risikoschätzungen und insbesondere als Mittel zur Validierung der Eingangs- und Ausgangsdaten eines bankeigenen Risikomesssystems.

Nachfolgend sind einige Hinweise zur Auslegung der Regelungen bezüglich der Sammlung interner Schadensdaten enthalten. Die Bestimmungen über die Sammlung interner Schadensdaten sind konsistent über alle wesentlichen Geschäftsbereiche und geografischen Standorte anzuwenden.

Zur Sicherstellung der Qualität der internen Verlustdaten sind entsprechende Vorkehrungen vom Institut zu treffen, um die Einhaltung von AT 7.2, Tz. 2, Satz 1-3 der MaRisk sicherzustellen.

Erläuterungen zu § 286 SolvV

Zum Datenumfang (1):
Eine dreijährige Datenhistorie ist auch bei nach dem 1.1.2008 gestellten Zulassungsanträgen für eine erstmalige Anwendung eines AMA zulässig. Nach der Zulassung muss sichergestellt sein, dass mit einer kontinuierlichen und systematischen Datenerfassung fort gefahren wird. Nach den ersten beiden Jahren der Anwendung eines AMA muss eine fünfjährige Datenhistorie aufgebaut sein, diese muss in den AMA einbezogen werden.

Zum Datenumfang (2):
Bei der Datenerhebung sind insbesondere die in den wesentlichen Geschäftsbereichen und geografischen Standorten enthaltenen Aktivitäten, Produkte, Prozesse und Systeme einzubeziehen. Die vollständige Erfassung der Schadensdaten zu allen wesentlichen Verlustereignissen muss durch entsprechende Verfahren, die nachvollziehbar dokumentiert sind, sichergestellt werden. Werden Geschäftsbereiche und geografische Standorte nicht in die Schadensfallerfassung einbezogen, ist dies zu begründen und zu dokumentieren.

Zur Datensammlung (3):
Schadensdaten sind vom Institut erst ab den zu bestimmenden Mindestschwellen zu erfassen. Die Höhe der Mindestschwelle für die Erfassung der Schadensdaten sollte sich an Art, Komplexität und Umfang der Geschäftstätigkeit orientieren. Es können für unterschiedliche Geschäftsfelder bzw. Geschäftstätigkeiten spezifische Mindestschwellen festgelegt werden. Die Höhe der jeweiligen Schwelle ist zu begründen und zu dokumentieren und sollte konsistent angewendet werden. Letzteres ist erforderlich, da inhomogene Daten die Güte des Modells negativ beeinflussen können.

Zur Datensammlung (4):
Der Verordnungsgeber hat darauf verzichtet, den Begriff (Brutto-)Verlust in der SolvV definitorisch festzulegen. Die Institute müssen daher angemessene interne Richtlinien zur Bestimmung des (Brutto-)Verlusts aufstellen.

Bei der Ermittlung des Bruttoverlustes sollten zumindest bilanz- und GuV-wirksame Buchungen, Zahlungen an Dritte, Abschreibungen, Wertberichtigungen und Rückstellungen berücksichtigt werden, die durch ein Verlustereignis begründet wurden. Verlustereignisse, deren Bruttoverlust (noch) nicht genau quantifizierbar ist, sind auf Basis einer sachgerechten Schätzung zu erfassen.

Ein zu bestimmender (Brutto-)Verlust muss nicht in jedem Fall durch seine Auswirkung auf die GuV bestimmt sein, d. h. der Begriff des Verlusts ist nicht allein aus Rechnungslegungssicht zu verstehen. Beispielsweise sollten bei Schäden an Immobilien oder Sachgegenständen, deren Buchwert erheblich vom beizumessenden Wert abweichen kann, grundsätzlich alle Kosten und Aufwendungen zur Wiederherstellung der Ausgangssituation und nicht ausschließlich der Buchverlust erfasst werden.

Nicht zu berücksichtigen sind Kosten und Aufwendungen der Qualitätssicherung, zur Verbesserung interner Kontrollen, Investitionen in neue Systeme und andere präventive Maßnahmen. Weiterhin nicht einzubeziehen sind Kosten und Aufwendungen, die ausschließlich im Rahmen einer internen Leistungsverrechnung zwischen Organisationseinheiten eines Instituts verbucht werden.

Beinahverluste (near misses), d. h. Schadensfälle, die nicht zu einem Verlust, geführt haben, können berücksichtigt werden. Ebenso können entgangene Gewinne berücksichtigt werden. Beide letztgenannten Ausprägungen sind jedoch nicht in die Modellierung einzubeziehen.

Sofern Verluste innerhalb einer sehr kurzen Zeit (maximal drei Bankarbeitstage) vollständig kompensiert werden ("valutagerechte Rückbuchung"), können diese unberücksichtigt bleiben, es sei denn, dass der Verlust nur zufällig zurückerlangt worden ist.

Schäden, in denen die nachholende Korrektur einen Zinsverlust oder einen anderen buchungswirksamen Verlust verursacht, sind jedoch in Höhe dieser Beträge zu berücksichtigen.

Neben Informationen über den Bruttobetrag des Verlustes, sind mindestens Informationen zum Datum des Verlustereignisses, zu eventuellen Verlustminderungen sowie Beschreibungen zu den Treibern bzw. Ursachen des Verlustereignisses zu erfassen. Der Umfang der Beschreibung der Treiber bzw. Ursachen sollte sich an der Bedeutung des Verlustereignisses ausrichten.

Operationelle Verluste, die mit Marktrisiken zusammenhängen, werden für die Ermittlung des OpR-Anrechnungsbetrages wie operationelle Risiken behandelt.

Zur Datensammlung (5):
Historische Schadensdaten dürfen in der Verlustdatenbank nicht verändert werden. Ausgenommen ist eine Aktualisierung der Daten wegen neuer Informationen zu den einzelnen Schadenfällen (z.B. die Ersetzung der ursprünglichen Verlusthöhenschätzung durch den mittlerweile abschließend genau festgestellten Verlustbetrag). Anpassungen der historischen Schadensdaten im Rahmen der Modellierung sind zulässig, müssen aber nachvollziehbar dokumentiert werden. Sofern das zugrunde liegende Risiko weiterhin besteht und sich andere Faktoren geändert haben, die sich wesentlich auf die Höhe des Risikos auswirken, kann dies z. B. durch eine Szenarioanalyse in das Modell einbezogen werden.

Erläuterungen zu § 287 SolvV

Zur Zuordnung von Schadensdaten (1):
Eine konsistente Kategorisierung der Verlustdaten nach objektiven Kriterien ist Grundvoraussetzung für die Qualität der internen Verlusthistorie. Die Institute müssen Grundsätze und nachvollziehbare und sachlich begründete Kriterien für die Kategorisierung der Schadensdaten entwickeln und sicherstellen, dass diese bei der Datensammlung eingehalten werden. Die Grundsätze und Kriterien für die Kategorisierung der Schadensdaten sind zu dokumentieren.

Die Schadensdaten müssen für aufsichtliche Zwecke der ersten Ebene der regulatorischen Geschäftsfelder und regulatorischen Verlustereigniskategorien nach objektiven Kriterien zugeordnet und kategorisiert werden. Daneben können die Institute die Schadensdaten entsprechend der internen Geschäftsstruktur und den internen Ereigniskategorien zuordnen. Dabei muss eine vollständige und nachvollziehbare Zuordnung auf die regulatorischen Kategorien sichergestellt sein.

Das Institut muss in der Lage sein, auf Anfrage der Aufsicht die Schadensdaten gemäß den regulatorischen Kategorien zu melden. Können operationelle Schadensdaten keiner der regulatorischen Ereigniskategorien direkt zugeordnet werden, ist eine Ereigniskategorie auszuwählen, die den Vorgang so gut wie möglich beschreibt, der unmittelbar zu dem Schadensfall geführt hat.

Sofern Verlustereignisse das gesamte Institut betreffen ist eine Zuordnung zu einem oder mehreren der regulatorischen Geschäftsfelder für die Modellierung oder Steuerung des operationellen Risikos nicht sinnvoll. Die Mitglieder des Fachgremiums halten die Verwendung eines "neunten Geschäftsfeldes" zur Erfassung von Verlusten, welche das gesamte Institut betreffen, für geeigneter, als solche Verluste auf die acht regulatorischen Geschäftsfelder aufzuspalten. Ein solches neuntes Geschäftsfeld "Corporate Items" wird bereits von einigen Datenkonsortien verwendet.

Solange die entsprechenden Regelungen der Richtlinie 2006/48/EG und der SolvV nicht angepasst werden, muss das Institut dennoch eine vollständige Zuordnung der Schadensdaten auf die acht regulatorischen Geschäftsfelder sicherstellen können. Für interne Zwecke kann das Institut ein separates Geschäftsfeld für solche Schadensdaten einführen und diese Klassifikation grundsätzlich auch bei der Bestimmung des OpR-Anrechnungsbetrages im AMA verwenden. Es muss jedoch sichergestellt werden, dass für eine aufsichtliche Meldung eine vollständige Zuordnung auf die regulatorischen Geschäftsfelder durchgeführt werden kann.

Aus Sicht des Fachgremiums sollten die regulatorischen Geschäftsfelder und Verlustereigniskategorien in Zukunft angepasst werden. Die Aufsicht hält eine schnelle Anpassung der Baseler Rahmenvereinbarung und der RL 2006/48/EG gegenwärtig nicht für praktikabel. Aus Sicht der Aufsicht sollten Änderungen bei der Klassifizierung nach Geschäftsfeldern erst nach der Sammlung von Implementierungserfahrungen erfolgen und möglichst gemeinsam mit weiteren zukünftig zu erwartenden Änderungen (z. B. hinsichtlich der Beta-Faktoren im Standardansatz) durchgeführt werden.

Zur Zuordnung von Schadensdaten (2):
Das Institut kann für interne Zwecke ein separates Geschäftsfeld für Verlustereignisse einführen, die in zentralen Bereichen des Instituts auftreten. Es muss jedoch sichergestellt werden, dass für die aufsichtliche Meldung eine vollständige Zuordnung auf die regulatorischen Geschäftsfelder durchgeführt wird. Aus Sicht des Fachgremiums sollten die regulatorischen Geschäftsfelder und Verlustereigniskategorien in Zukunft angepasst werden, sobald ein Industriestandard bei der Klassifikation von Schadensdaten erkennbar ist.

Erläuterungen zu § 288 SolvV

Zu Verlusten im Kreditrisikobereich:
Zur Identifizierung der operationellen Verluste im Zusammenhang mit dem Kreditrisiko, können Institute geeignete Materialitätsgrenzen festlegen, oberhalb derer Verluste im Zusammenhang mit Kreditrisiken auf das Vorhandensein operationeller Risiken zu untersuchen und als solche zu erfassen sind. Sonstige Schäden im Kreditgeschäft, die nicht im Zusammenhang mit Kreditrisiken stehen, sind als operationelles Risiko zu behandeln. Z. B. ist ein zu leistender Schadenersatz aufgrund eines zu spät ausgezahlten Kredites als OpR in der Datenbank zu erfassen und in die Modellierung einzubeziehen.

Die Verlustdatenbank, in der alle durch operationelles Risiko verursachten Verluste erfasst werden müssen, kann sich aus mehreren einzelnen Datenbanken zusammensetzen. Die Erfassung und besondere Kennzeichnung der durch operationelles Risiko verursachten Kreditabschreibungen und -wertberichtigungen in einer Kreditrisikodatenbank ist hinreichend, solange eine für die Steuerung des operationellen Risikos und für etwaige Meldung der Verlustdaten gemäß den regulatorischen Kategorien an die Aufsicht hinreichende Verbindung dieser Daten mit den restlichen erfassten Schadensdaten sichergestellt wird.

Zusatzinformationen

Fanden Sie den Beitrag hilfreich?

Wir freuen uns über Ihr Feedback

Es hilft uns, die Webseite kontinuierlich zu verbessern und aktuell zu halten. Bei Fragen, für deren Beantwortung wir Sie kontaktieren sollen, nutzen Sie bitte unser Kontaktformular. Hinweise auf tatsächliche oder mögliche Verstöße gegen aufsichtsrechtliche Vorschriften richten Sie bitte an unsere Hinweisgeberstelle.

Wir freuen uns über Ihr Feedback