Kaufmännische Aspekte KWG / MaRisk in risklytics:

Durch die Software "risklytics" abgedeckt:

Betrifft Anforderungen aus den MaRisk:


Risikotragfähigkeitsrechnung: risklytics stellt die aktuelle Risikotragfähigkeit - sowohl mit aktuellen Daten Ihrer operativen Software als auch mit den Live-Daten aus Ihrer Finanzbuchhaltung - jederzeit dar. Erfassung von Planzahlen und Soll-Ist-Vergleich mit erforderlicher Genehmigung durch Risiko-Controlling-Funktion.

AT 4.1 Risikotragfähigkeit, insbesondere hier auch Tz 6: Berücksichtigung von Diversifikationseffekten und lange Datenhistorien, um Veränderungen von Diversifikationseffekten in konjunkturellen Auf- und Abschwungphasen widerzuspiegeln und Tz 11: Kapitalplanungsprozess: Mehrjähriger Planungshorizont, Berücksichtigung von adversen Entwicklungen, die von den Erwartungen abweichen.


Limitsystem / Risikofrüherkennungssystem: Jede Datenkategorie wird automatisch überwacht. Jegliche Limitverletzungen aller erfassten Daten, z.B. Risikodeckungsmassen, individuelles Risikokennziffersystem (KPI’s), etc., werden überwacht und in Berichten dokumentiert, inkl. automatischer Email bei Verletzung eines Limits.

Durch eine flexible Übersicht der unplausibelsten Wertübermittlungen kann sich der Risikocontroller ohne Aufwand die Daten ansehen die aktuell seine Aufmerksamkeit erfordern und auch riesige Datenbestände beherrschbar machen. Der Indikator vergleicht jeden neu übermittelten Wert mit den vorherigen Werten der gleichen Datenkategorie (Umsatz, Erlöse, Ratenzahlungen, Barwerte, etc. ..) und gewichtet die Abweichung vom Durchschnitt mit der Streuung.

Über die Einzel-Plausibilitätsprüfung hinaus, kann unser Trendänderungsmodul auch aus “plausiblen” Werten negative Entwicklungen erkennen. Durch den Vergleich des kurzfristigen Entwicklungstrends eines Wertes mit seinem langfristigen Trend, kann z.B. das Ende des Umsatzwachstums frühzeitig erkannt werden. risklytics überwacht die Trendänderung aller Daten und stellt auf Mausklick die X größten Änderungen dar.  

AT 4.4 Besondere Funktionen / AT 4.4.1 Risikocontrolling-Funktion (Tz 2): Die Risikocontrolling-Funktion hat insbesondere die folgenden Aufgaben: Laufende Überwachung der Risikosituation des Instituts und der Risikotragfähigkeit sowie der Einhaltung der eingerichteten Risikolimite.

 

BTR: Anforderungen an die Risikosteuerungs- und –controllingprozesse: Sicherstellung geeigneter Maßnahmen, dass Risiken und damit verbundene Risikokonzentrationen unter Berücksichtigung der Risikotragfähigkeit überwacht und begrenzt werden / System von Limiten.

 

BTO 1.3 Verfahren zur Früherkennung von Risiken ; AT 4.4.1 Risikocontrolling-Funktion (Tz 2): Einrichtung und Weiterentwicklung eines Systems von Risikokennzahlen

und eines Risikofrüherkennungsverfahrens.


Risikoinventur: Ein Risiko kann in risklytics als eine Sammlung aller wichtigen Eckdaten des betreffenden Risikos beschrieben werden, also eine textuelle Beschreibung und Minderungsstrategie mit Eintrittswahrscheinlichkeiten und Auswirkungshöhen. Zu jedem Risiko kann eine Brutto-Auswirkungshöhe und Eintrittswahrscheinlichkeit (vor Gegenmaßnahmen) sowie eine Netto-Auswirkungshöhe (nach erfolgten Gegenmaßnahmen) erfasst werden. Es kann eine Hierarchie von Risiken in risklytics abgebildet werden. Jedes Einzelrisiko kann als “wesentlich” klassifiziert und einer Risiko-Kategorie zugeordnet werden. Die Risikokategorien selbst können hierarchisch angelegt werden. Risklytics erstellt automatisch aus allen wesentlichen Risiken eine Tabelle in der Risikotragfähigkeitsrechnung. 

AT 2.2 Risiken (Tz 1): Die Anforderungen des Rundschreibens beziehen sich auf das Management der für das Institut wesentlichen Risiken. Zur Beurteilung der Wesentlichkeit hat sich die Geschäftsleitung regelmäßig und anlassbezogen im Rahmen einer Risikoinventur einen Überblick über die Risiken des Instituts zu verschaffen (Gesamtrisikoprofil) ; AT 2.2 Risiken (Tz 2): Das Institut hat im Rahmen der Risikoinventur zu prüfen, welche Risiken die Vermögenslage, die Ertragslage oder die

Liquiditätslage wesentlich beeinträchtigen können. Die Risikoinventur darf sich dabei nicht ausschließlich an den Auswirkungen in der Rechnungslegung sowie an formalrechtlichen Ausgestaltungen orientieren ; AT 4.4.1 Risikocontrolling-Funktion (Tz 2): Die Risikocontrolling-Funktion hat insbesondere die folgenden Aufgaben: - Durchführung der Risikoinventur und Erstellung des Gesamtrisikoprofils.


Stresstests: Flexible Stresstest-Szenarien können jederzeit ausgeführt und ein fertiger Ergebnisbericht erzeugt werden. Fortschrittliches Stresstest-System in risklytics: Definition mehrerer Szenarien möglich: Simulieren zukünftiger Datenerfassungen und stochastische Schätzungen der Entwicklung. Anschließende automatisierte Auswertung der Ergebnisse (simulierte Risikotragfähigkeit, Limitüberschreitungen, Berichte...). Statistische Analyse unter Berücksichtigung von Abhängigkeiten. Inverse Stresstests durch bestehendes Limitsystem: Durch die Gesamtheit aller Datengraphen und aller Limits ist ein komplexes System von Ungleichungen definiert. risklytics löst dieses System automatisch nach einzelnen Daten-Kategorien und visualisiert den gültigen Bereich.

AT 4.3.3 Stresstests: U.a. Tz 1: “Es sind regelmäßig sowie anlassbezogen angemessene Stresstests für die wesentlichen Risiken durchzuführen, die Art, Umfang, Komplexität und den Risikogehalt der Geschäftsaktivitäten widerspiegeln. Hierfür sind die für die jeweiligen Risiken wesentlichen Risikofaktoren zu identifizieren. Die Stresstests haben sich auch auf die angenommenen Risikokonzentrationen und Diversifikationseffekte innerhalb und zwischen den Risikoarten zu erstrecken.” / Tz 4: Das Institut hat auch sogenannte „inverse Stresstests“ durchzuführen. Die Ausgestaltung und Durchführung ist abhängig von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten und kann qualitativ oder quantitativ erfolgen.


Aggregation von Risikodaten / Aggregation aller Daten auf Gruppenebene / Risikokonzentrationen Klumpenrisiken: Unser System aggregiert, überwacht und analysiert risikorelevante Daten in Echtzeit auch auf Konzernebene.

AT 4.3.4 Datenmanagement, Datenqualität, und Aggregation von Risikodaten, insbesondere Tz 5 und 6: Datenaggregationskapazitäten müssen hinreichend flexibel sein, um Informationen ad hoc nach unterschiedlichen Kategorien ausweisen und analysieren zu können. Dazu gehört auch die Möglichkeit, Risikopositionen auf den unterschiedlichsten Ebenen auszuweisen und zu analysieren. § 25a Abs. 3 KWG (Risikomanagement auf Gruppenebene).


Risikoberichte mit allen erforderlichen Inhalten können individuell definierte Berichte auf Knopfdruck tagesaktuell erzeugt werden. Klassische Inhalte:

  • Management Summary
  • Risikoinventur mit Definition aller Risiken
  • Risikotragfähigkeitsrechnung
  • Limits, Limitverletzungen, Limitänderungen mit Begründung
  • Soll-Ist-Abweichungen (GuV)
  • Risikofrüherkennungssystem
  • (Inverse) Stresstests
  • Schadensfalldatenbank
  • Internes Kontrollsystem
  • Substanzwertverlauf
  • Kapitalplanung
  • Sonstige individuelle Charts und Analysen

BT 3 Anforderung an die Risikoberichterstattung: Die Berichte müssen auf vollständigen, genauen und aktuellen Daten beruhen. Die Risikoberichte müssen auch eine zukunftsorientierte Risikoeinschätzung abgeben und sich nicht ausschließlich auf aktuelle und historische Daten stützen. In den Risikoberichten sind insbesondere auch die Ergebnisse der Stresstests und deren potenzielle Auswirkungen auf die Risikosituation und das Risikodeckungspotenzial darzustellen. Ebenfalls darzustellen sind die den Stresstests zugrunde liegenden wesentlichen Annahmen. Darüber hinaus ist auch auf Risikokonzentrationen und deren potenzielle Auswirkungen gesondert einzugehen (Tz 2). Neben der turnusmäßigen Erstellung von Risikoberichten (Gesamtrisikobericht, Berichte über einzelne Risikoarten) muss das Institut in der Lage sein, ad hoc Risikoinformationen zu generieren, sofern dies aufgrund der aktuellen Risikosituation des Instituts oder der aktuellen Situation der Märkte, auf denen das Institut tätig ist, geboten erscheint (Tz 3).


Protokollierung inkl. Begründung: Alle Änderungen am System sowie jegliche Dateneingaben werden protokolliert. Konfigurationsänderungen können im Moment der Änderung sofort mit einer Begründung versehen werden, die im Bericht direkt mit angezeigt wird. 

Sicherstellung der Aktualität durch Delegationssystem mit Erinnerungs- und Eskalationsprinzip, das sicherstellt, dass Daten innerhalb eines definierten Zeithorizonts übermittelt werden, bzw. Vorgesetzte informiert werden.

AT 6 Dokumentation: Aktualität von Zahlen in allen Berichten und Handbüchern wird sichergestellt und die für die Einhaltung der MaRisk wesentlichen Handlungen und Festlegungen (z.B. Änderungen von Limitgrenzen) werden in risklytics nachvollziehbar dokumentiert.


Automatische Plausibilitätsprüfungen: Im Moment der Datenerfassung wird jedes neue Datum mit den bestehenden verglichen und im Falle einer Abweichung der Nutzer im Interface, bzw. im Falle einer großen Abweichung (mehr als 10 Standardabweichungen vom Mittelwert) per Email informiert.

Plausibilitätsprüfungen sind omnipräsent in den MaRisk: z.B. BTR 2.1 Allgemeine Anforderungen Tz 4; AT 4.3.2 Risikosteuerungs- und -controllingprozesse Tz 5, etc.


Benutzerverwaltung und Nutzerrollen: Nutzerverwaltung mit fein-granuliertem Berechtigungssystem

Umfangreiche Protokollierung aller Datenerfassungen, Konfigurationsänderungen, Limitverletzungen, etc. 

Manipulationssicherheit durch kryptographische Signatur jedes erfassten Datums auf Datenbankebene.

AT 7.2 Technisch-organisatorische Ausstattung


Internes Kontrollsystem: IKS mit Definition von regelmäßigen Aufgaben mit Erinnerungsfunktion und Dokumentation der Erfüllung: Automatisierte Kontrolle und Erinnerung von Pflichten (Datenerfassungen, Meldepflichten, etc. …); risklytics unterstützt die sachgerechte Wahrnehmung der Überwachungsfunktionen des Risikocontrollers / Geschäftsführers (Vorstand) / Aufsichtsorgan

AT 1 Vorbemerkung / AT 4.3 Internes Kontrollsystem / AT 4.4.2 Compliance-Funktion


Online-Präsentation