Praxisbericht:
In Anbetracht der 8. MaRisk-Novelle, der neuen ESG-Richtlinien der Europäischen Bankenaufsichtsbehörde (EBA) und der Anforderungen des Digital Operational Resilience Act (DORA) an die Cyber-Sicherheit stehen Finanzinstitute wie Banken, Versicherungsgesellschaften und Investmentfirmen vor neuen Herausforderungen. Um die Vorschriften weiterhin zu erfüllen und ihre Arbeitsabläufe effizient zu halten, müssen sie die richtigen Daten beschaffen und analysieren, neue Regeln festlegen, Prozesse anpassen und das Management von Risiken durch Dritte mit den vorhandenen Ressourcen auf neue Bereiche ausweiten. Dies erfordert neue, intelligente Wege, um mit den Anforderungen Schritt zu halten.
Wir haben den Branchenexperten Tom Würfel, Solution Sales Director bei Dun & Bradstreet, gefragt, wie es Unternehmen gelingt, die neuen Anforderungen umzusetzen.
Herr Würfel, Sie arbeiten seit mehr als 15 Jahren mit dutzenden von Risiko- und Compliance-Beauftragten von Finanzinstituten aller Größen zusammen. Sie haben sie bei allen aktuellen regulatorischen Änderungen begleitet, die die Umsetzung neuer Standards erforderlich machen. Was können Sie über die neuesten Vorschriften zu ESG und Cyberrisiken sagen?
Eines kann man, so glaube ich, mit Sicherheit sagen: Die neuen regulatorischen Anforderungen für Risiko- und Compliance-Teams im Finanzsektor gehören zu ihrem Alltag. Nun müssen sie sich aber in Bereichen bewegen, die nicht vollständig klar sind. Damit meine ich, dass es darum geht, neue Arten von Daten zu erforschen und zu verstehen, die in die Untersuchungen mit einbezogen werden müssen. Genau das ist in den Bereichen ESG und Cyberrisiken der Fall. Alle, die für Analysen von Geschäftspartnern verantwortlich sind, müssen lernen, wie sie an verlässliche Informationen kommen und die resultierenden Risiken verstehen können. Darüber hinaus müssen sie dieses Wissen in Prinzipien übersetzen und auf diesen basierende Prozesse entwickeln.
Es sieht so aus, als würden die Compliance-Teams einiges an Investitionen und neuen Ressourcen benötigen?
Leider wird von Compliance-Abteilungen meist erwartet, dass sie neue Anforderungen mit den ihnen zur Verfügung stehenden Ressourcen bewältigen. Dazu möchte ich anmerken, dass Finanzunternehmen verpflichtet waren, die Anforderungen der 7. MaRisk-Novelle bis Ende 2023 umzusetzen. Und nun ist bereits die die nächste, die 8. Novelle, da! Darüber hinaus berät die EBA derzeit zu Leitlinien zum Umgang mit ESG-Risiken. Als wäre das alles nicht genug, tritt in wenigen Monaten auch noch die DORA-Verordnung in Kraft.
Hat die Einführung der 7. MaRisk- Novelle Unternehmen vor Probleme gestellt?
Die 7. MaRisk-Novelle, die im vergangenen Jahr eingeführt wurde, brachte umfassende Anforderungen an die Kreditvergabe und -überwachung in das deutsche Aufsichtsrecht und in die Aufsicht der BaFin ein. Es gab noch eine zweite wesentliche Änderung betreffend die Anforderungen an den Umgang mit Nachhaltigkeitsrisiken, Immobilienrisiken und die Steuerung von Modellrisiken. Was Finanzunternehmen besondere Sorge bereitet, ist der ESG-Teil einschließlich der Übergangs- und Auswirkungsszenarien. Diese Daten sind schwer zugänglich und ihre Zuverlässigkeit ist schwer zu überprüfen. Zudem steigt der Druck seitens der Regulierungsbehörden, diesen Risikobereich zu untersuchen und einzudämmen.
Sie sagten, die ESG-Daten seien ein wichtiges Thema für die Unternehmen. Die MaRisk sind nicht die einzige Regulierung, die das ESG-Risiko in den Vordergrund rückt. Wie gehen die Unternehmen mit diesem Thema um? Gibt es bewährte Herangehensweisen?
Das Hauptproblem bei ESG-Daten ist die Schwierigkeit, in großem Umfang zuverlässige Informationen über Unternehmen zu erhalten. Daten sind teuer und in der Regel für die meisten Geschäftspartner nicht verfügbar. Die andere Schwierigkeit besteht darin, dass es, sobald man die relevanten Informationen hat, nicht einfach ist, die Messungen anzuwenden und das Risiko richtig einzuschätzen. Außerdem werden oft „zertifizierte“ Daten verlangt, die auf Standards wie PCAF (Partnership for Carbon Accounting Financials) oder dem GHG Protocol basieren.
Die Compliance-Teams sind dann bestrebt, pragmatisch zu bleiben und die Herausforderungen bei der ESG-Risikobewertung zu akzeptieren. Die meisten von ihnen haben bereits erkannt, dass es keine einfache Lösung gibt, um alle ESG-Anforderungen zu erfüllen. Daher versuchen sie, die Schwachstellen zu identifizieren und diese mit verschiedenen Lösungen zu beheben. In Summe erreichen sie damit eine deutliche Verbesserung.
Können Sie ein Beispiel nennen?
Wir haben kürzlich mit einem Finanzunternehmen mit einem breiten Kundenportfolio gearbeitet. Ziel war es, das ESG-Risiko für die gesamte Kundengruppe zu bewerten und die Bewertungsprozesse für neu hinzugekommene Kunden umzusetzen. Das Unternehmen führte eine intelligente Portfolioanalyse durch und definierte die Kundensegmente anhand von unterschiedlichen Risikoprofilen. Da es keine Universallösung gibt, setzte das Unternehmen eine Kombination verschiedener Lösungen um und entwickelte drei einfache Schritte, um unterschiedliche Datenmengen bereitzustellen.
Was waren diese Schritte?
Im ersten Schritt wurde eine Vorabprüfung des größten Kundensegments mit geringem Risiko durchgeführt. Dazu wurden fertige, kostengünstige ESG-Rankings mit verfügbaren Daten für Scope 1, 2 und 3 Treibhausgasemissionen verwendet und die Geschäftspartner mit höheren physischen und transitorischen Risiken identifiziert, die weitere Untersuchungen erforderten. In einem zweiten Schritt wurde eine detailliertere Analyse der Unternehmen mit höherem Risiko durchgeführt, die auch diejenigen beinhaltete, die im ersten Schritt ermittelt worden waren. Auf diese Weise ließ sich das Risiko für die meisten Kunden einschätzen. Für den verbleibenden Teil der Geschäftspartner, für den keine Daten verfügbar waren, wurde der dritte Schritt angewendet – die ESG-Selbstauskunft, d. h. ein direktes Gespräch mit dem Kunden. Wichtig ist, dass der dritte, ressourcenintensivste Teil nur für 5 Prozent der Kunden erforderlich war, der zweite Schritt für 10 Prozent und dass der Rest der Kunden bereits im ersten Schritt überprüft werden konnte. Diese intelligente Kombination erleichtert das gesamte ESG-Risikomanagement und führt zu erheblichen Einsparungen.
Dieses Vorgehen wäre auch mit den Richtlinien der EBA (Europäische Bankenaufsichtsbehörde) zum Management von ESG-Risiken konfom, richtig?
Genau. Die Leitlinien der EBA im aktuellen Entwurf besagen nämlich wörtlich, dass Institutionen auf der Grundlage regelmäßiger und umfassender Wesentlichkeitsbewertungen von ESG-Risiken sicherstellen sollen, dass sie in der Lage sind, ESG-Risiken durch solide Datenprozesse und eine Kombination von expositionsbasierten, portfoliobasierten und szenariobasierten Methoden richtig zu identifizieren und zu messen. Man kann sagen, dass der „intelligente Weg“ unseres Klienten dem entspricht, was die EBA empfiehlt und bis Ende des Jahres umzusetzen beabsichtigt.
Die 8. MaRisk-Novelle steht kurz vor der Umsetzung. Worum geht es darin schwerpunktmäßig?
Die 8. MaRisk-Novelle unterstreicht die Bedeutung der Risikokultur für Banken und Finanzdienstleistungsunternehmen. Der Basler Ausschuss für Bankenaufsicht (BCBS) definiert Risikokultur als „die Gesamtheit der Normen, Einstellungen und Verhaltensweisen einer Bank in Bezug auf Risikobewusstsein, Risikobereitschaft und Risikomanagement sowie Kontrollen, die Risikoentscheidungen gestalten”. Die Risikokultur wirkt sich darauf aus, wie Mitarbeitende und Führungskräfte bei ihrer täglichen Arbeit Entscheidungen treffen und wie viel Risiko sie eingehen. Kurz gesagt, es geht darum, ein Umfeld zu entwickeln, das die erwartete Risikokultur unterstützt.
Was bedeutet das in der Praxis?
Auf der einen Seite geht es darum, Vorschriften für die Mitarbeitenden festzulegen und Richtlinien einzuführen. Andererseits – und das ist möglicherweise schwieriger – werden Prozesse zur Risikominderung definiert, Checklisten eingeführt, z. B. im Risikomanagement für Dritte, und die erforderlichen Tools zur Unterstützung des Prozesses bereitgestellt. Die Regulierungsbehörde verlangt, dass die Unternehmen mit den erforderlichen Prozessen, Tools und Lösungen ausgestattet werden.
Wie bereiten sich die Unternehmen darauf vor?
Da die Risikokultur im gesamten Unternehmen funktionieren muss, versuchen die Unternehmen, die unterstützenden Werkzeuge und Lösungen auf die wichtigsten ERP-/CRM- oder Kernbankensysteme anzuwenden, um sie allen an dem Prozess Beteiligten zugänglich zu machen. So kann beispielsweise der gesamte Prozess der Risikobewertung von Geschäftspartnern in einem einzigen System durchgeführt werden, auch wenn er sich auf fünf verschiedene Einheiten erstreckt. Eine gut funktionierende Risikokultur kann im Marketing (Pre-Screening von Marketing-Leads) beginnen und dann auf den Vertrieb (Erstprüfung der Datensätze in der Vertriebskette), den Vertriebssupport (Identifizierung und Authentifizierung), das Compliance-Team (AML/pKYC-Analyse) und die Finanzabteilung (finanzielles Risiko) übergehen.
Klingt einfach, wo ist der Haken?
Reife Unternehmen, die ihre Hausaufgaben gemacht haben, haben bereits erkannt, dass es eine Bedingung gibt, die erfüllt werden muss. Die richtigen Unternehmensdaten müssen in das System integriert werden, und alle Einheiten müssen an den verschiedenen Elementen desselben angereicherten Datensatzes (dem sogenannten „Golden Record“) arbeiten. Dann kann er für mehrere Anwendungsfälle und zur Optimierung verschiedener Prozesse genutzt werden.
Es gibt eine weitere Verordnung, die die Finanzinstitute gerade prüfen: DORA, die sich mit Cyberrisiko-Problemen befasst.
Diese Verordnung muss ab 2025 von 3.600 Unternehmen in Deutschland und über 20.000 in Europa (geschätzt) eingehalten werden. Das bedeutet, dass sie schon heute auf dem Radar der Compliance-Teams ist. Die Verordnung zielt darauf ab, den Finanzsektor besser vor Cyberbedrohungen zu schützen und es ihm zu ermöglichen, seine Prozesse auch während oder nach einer Störung aufrechtzuerhalten. Einer der Schwerpunkte von DORA sind die potenziellen Gefahren, die damit verbunden sind, dass Finanzunternehmen Dienstleistungen von Drittanbietern nutzen.
Wie ist die Stimmung dazu auf dem Markt? Wie gehen die Unternehmen mit dieser Anforderung um?
Im ersten Schritt streben sie eine ordnungsgemäße, sorgfältige Risikobewertung an, bevor sie Verträge mit Dritten unterzeichnen. Finanzinstitute müssen sich Gedanken darüber machen, wie abhängig sie von einem bestimmten IKT-Drittanbieter sind und welche Risiken mit der vertraglichen Vereinbarung verbunden sind. Die Einheiten, die verpflichtet sind, den neuen Bereich der Risikobewertung einzuführen, müssen lernen, Daten zu Cyberrisiken zu erhalten, zu analysieren und zu verstehen. Ergänzend können sie eine fertige Cyber-Risikobewertung nutzen, die den Compliance-Teams wichtige Einblicke in die Cybersicherheitsfähigkeiten von Lieferanten liefert und eine kontinuierliche Überwachung ermöglicht. So können sie fundierte Entscheidungen treffen, bevor es zu Störungen kommt. Dazu kommen vor allem melderechtliche Verpflichtungen, die ein solides Management der Lieferantenstammdaten erfordern. Hierzu hat die European Securities and Markets Authority (ESMA) bereits verbindliche Standards vorgegeben.
Können Sie diesen Überblick mit einigen Tipps für Finanzunternehmen ergänzen?
Lassen Sie sich von einem Mitglied unseres Expertenteams erläutern, wie diese Lösungen in Ihrem Unternehmen eingesetzt werden können!