Übersicht der von risklytics abgedeckten quantitativen / kaufmännischen Aspekte der MaRisk

Durch unsere Software "risklytics" abgedeckt

Betrifft Anforderungen aus den MaRisk:



Risikotragfähigkeitsrechnung: risklytics stellt die aktuelle Risikotragfähigkeit jederzeit dar. Erfassung von Planzahlen und Soll-Ist-Vergleich mit erforderlicher Genehmigung durch Risiko-Controlling-Funktion.

AT 4.1 Risikotragfähigkeit, insbesondere hier auch Tz 6: Berücksichtigung von Diversifikationseffekten und lange Datenhistorien, um Veränderungen von Diversifikationseffekten in konjunkturellen Auf- und Abschwungphasen widerzuspiegeln und Tz 11: Kapitalplanungsprozess: Mehrjähriger Planungshorizont, Berücksichtigung von adversen Entwicklungen, die von den Erwartungen abweichen.



Limitsystem / Risikofrüherkennungssystem: Jede Datenkategorie wird automatisch überwacht. Jegliche Limitverletzungen aller erfassten Daten, z.B. Risikodeckungsmassen, individuelles Risikokennziffersystem (KPI’s), etc., werden überwacht und in Berichten dokumentiert, inkl. automatischer Email bei Verletzung eines Limits.

 

AT 4.4 Besondere Funktionen / AT 4.4.1 Risikocontrolling-Funktion (Tz 2): Die Risikocontrolling-Funktion hat insbesondere die folgenden Aufgaben: Laufende Überwachung der Risikosituation des Instituts und der Risikotragfähigkeit sowie der Einhaltung der eingerichteten Risikolimite.

 

BTR: Anforderungen an die Risikosteuerungs- und –controllingprozesse: Sicherstellung geeigneter Maßnahmen, dass Risiken und damit verbundene Risikokonzentrationen unter Berücksichtigung der Risikotragfähigkeit überwacht und begrenzt werden / System von Limiten.



Stresstests: Flexible Stresstest-Szenarien können jederzeit ausgeführt und ein fertiger Ergebnisbericht erzeugt werden. Fortschrittliches Stresstest-System in risklytics: Definition mehrerer Szenarien möglich: Simulieren zukünftiger Datenerfassungen und stochastische Schätzungen der Entwicklung. Anschließende automatisierte Auswertung der Ergebnisse (simulierte Risikotragfähigkeit, Limitüberschreitungen, Berichte...). Statistische Analyse unter Berücksichtigung von Abhängigkeiten. Inverse Stresstests durch bestehendes Limitsystem: Durch die Gesamtheit aller Datengraphen und aller Limits ist ein komplexes System von Ungleichungen definiert. risklytics löst dieses System automatisch nach einzelnen Daten-Kategorien und visualisiert den gültigen Bereich.

AT 4.3.3 Stresstests: U.a. Tz 1: “Es sind regelmäßig sowie anlassbezogen angemessene Stresstests für die wesentlichen Risiken durchzuführen, die Art, Umfang, Komplexität und den Risikogehalt der Geschäftsaktivitäten widerspiegeln. Hierfür sind die für die jeweiligen Risiken wesentlichen Risikofaktoren zu identifizieren. Die Stresstests haben sich auch auf die angenommenen Risikokonzentrationen und Diversifikationseffekte innerhalb und zwischen den Risikoarten zu erstrecken.” / Tz 4: Das Institut hat auch sogenannte „inverse Stresstests“ durchzuführen. Die Ausgestaltung und Durchführung ist abhängig von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten und kann qualitativ oder quantitativ erfolgen.



Aggregation von Risikodaten / Aggregation aller Daten auf Gruppenebene / Risikokonzentrationen Klumpenrisiken: Unser System aggregiert, überwacht und analysiert risikorelevante Daten in Echtzeit auch auf Konzernebene.

AT 4.3.4 Datenmanagement, Datenqualität, und Aggregation von Risikodaten, insbesondere Tz 5 und 6: Datenaggregationskapazitäten müssen hinreichend flexibel sein, um Informationen ad hoc nach unterschiedlichen Kategorien ausweisen und analysieren zu können. Dazu gehört auch die Möglichkeit, Risikopositionen auf den unterschiedlichsten Ebenen auszuweisen und zu analysieren. § 25a Abs. 3 KWG (Risikomanagement auf Gruppenebene).



Risikoberichte mit allen erforderlichen Inhalten können auf Knopfdruck (quantitativ) tagesaktuell erzeugt werden.

Neben beliebigen RTF-Tabellen sind alle Datenkategorien per Platzhalter darstellbar, sowie Auflistungen

  • aller Limits,
  • aller Limitverletzungen,
  • aller Limitänderungen mit Begründung,
  • aller Soll-Ist-Abweichungen,
  • aller Stresstests,
  • des zeitlichen Verlaufs beliebiger Datenkategorien.

BT 3 Anforderung an die Risikoberichterstattung: Die Berichte müssen auf vollständigen, genauen und aktuellen Daten beruhen. Die Risikoberichte müssen auch eine zukunftsorientierte Risikoeinschätzung abgeben und sich nicht ausschließlich auf aktuelle und historische Daten stützen. In den Risikoberichten sind insbesondere auch die Ergebnisse der Stresstests und deren potenzielle Auswirkungen auf die Risikosituation und das Risikodeckungspotenzial darzustellen. Ebenfalls darzustellen sind die den Stresstests zugrunde liegenden wesentlichen Annahmen. Darüber hinaus ist auch auf Risikokonzentrationen und deren potenzielle Auswirkungen gesondert einzugehen (Tz 2). Neben der turnusmäßigen Erstellung von Risikoberichten (Gesamtrisikobericht, Berichte über einzelne Risikoarten) muss das Institut in der Lage sein, ad hoc Risikoinformationen zu generieren, sofern dies aufgrund der aktuellen Risikosituation des Instituts oder der aktuellen Situation der Märkte, auf denen das Institut tätig ist, geboten erscheint (Tz 3).



Protokollierung inkl. Begründung: Alle Änderungen am System sowie jegliche Dateneingaben werden protokolliert. Konfigurationsänderungen können im Moment der Änderung sofort mit einer Begründung versehen werden, die im Bericht direkt mit angezeigt wird. 

Sicherstellung der Aktualität durch Delegationssystem mit Erinnerungs- und Eskalationsprinzip, das sicherstellt, dass Daten innerhalb eines definierten Zeithorizonts übermittelt werden, bzw. Vorgesetzte informiert werden.

AT 6 Dokumentation: Aktualität von Zahlen in allen Berichten und Handbüchern wird sichergestellt und die für die Einhaltung der MaRisk wesentlichen Handlungen und Festlegungen (z.B. Änderungen von Limitgrenzen) werden in risklytics nachvollziehbar dokumentiert.



Automatische Plausibilitätsprüfungen: Im Moment der Datenerfassung wird jedes neue Datum mit den bestehenden verglichen und im Falle einer Abweichung der Nutzer im Interface, bzw. im Falle einer großen Abweichung (mehr als 10 Standardabweichungen vom Mittelwert) per Email informiert.

Plausibilitätsprüfungen sind omnipräsent in den MaRisk: z.B. BTR 2.1 Allgemeine Anforderungen Tz 4; AT 4.3.2 Risikosteuerungs- und -controllingprozesse Tz 5, etc.



Benutzerverwaltung und Nutzerrollen: Nutzerverwaltung mit fein-granuliertem Berechtigungssystem

Umfangreiche Protokollierung aller Datenerfassungen, Konfigurationsänderungen, Limitverletzungen, etc. 

Manipulationssicherheit durch kryptographische Signatur jedes erfassten Datums auf Datenbankebene.

AT 7.2 Technisch-organisatorische Ausstattung



Internes Kontrollsystem: Automatisierte Kontrolle und Erinnerung  von Pflichten (Datenerfassungen, Meldepflichten, etc. …); risklytics unterstützt die sachgerechte Wahrnehmung der Überwachungsfunktionen des Risikocontrollers / Geschäftsführers (Vorstand) / Aufsichtsorgan; (IKS mit Definition von regelmäßigen Aufgaben mit Erinnerungsfunktion und Dokumentation der Erfüllung ab Frühjahr 2019).

AT 1 Vorbemerkung / AT 4.3 Internes Kontrollsystem