Nachhaltigkeit im Risikomanagement
Die Richtung zur Berücksichtigung von ESG-Risiken im Risikomanagement hat die BaFin bereits 2019 mit ihrem Merkblatt Nachhaltigkeit vorgegeben. Seitdem hat der BDL einen konstruktiven Dialog mit der Aufsicht geführt und Maßnahmen aufgezeigt, wie Proportionalität gefördert werden kann.
Die 7. MaRisk-Novelle erhöhte den Grad der Verbindlichkeit, ESG-Risiken im Risikomanagement zu berücksichtigen, und erweiterte die bisher weitgehend strategische Sicht um konkrete operative Pflichten zur Bewertung dieser Risiken. Der BDL hat zur Unterstützung seiner Mitglieder im ersten Schritt ein Self Assessment veröffentlicht, das der strukturierten Bestandsaufnahme dient. Im zweiten Schritt wurden die Anwendungshinweise zum ICAAP-Leasing überarbeitet. Ziel ist es, konkrete Hinweise zu geben, wie ESG-Risiken sowohl qualitativ als auch quantitativ in das Risikomanagement integriert werden können.
Dieser Schritt betritt teilweise Neuland, da weder auf gut strukturierte Daten noch auf etablierte Bewertungsverfahren zurückgegriffen werden kann. Dabei gilt es auch zu berücksichtigen, dass ESG-Risiken keine grundsätzlich neue Risikokategorie darstellen, sondern bestehende Risiken durch neue Einflussfaktoren, zum Beispiel physische Umweltrisiken, ergänzen. Diese sollten daher schon immer Teil einer ganzheitlichen Betrachtung der Risikolage gewesen sein.
Die Überarbeitung der Anwendungshinweise erfolgte auf Grundlage der geltenden Anforderungen und der zur Verfügung stehenden Daten und Verfahren. Auch die Neuauflage der Anwendungshinweise wird deshalb nur einen Zwischenstand markieren und kontinuierlich weiterentwickelt werden müssen.
Dr. Christian Glaser, Leiter der BDL-Arbeitsgruppe Regulatorik/Risikomanagement:
Es wurde viel und intensiv – mitunter auch kontrovers – über die Anforderungen zur Nachhaltigkeit diskutiert. Jetzt heißt es: Machen. Dazu ist es erforderlich, pragmatische Lösungen zur Umsetzung zu entwickeln. Darüber hinaus gilt es, die Chancen zu nutzen, die die Transformation für das Geschäftsmodell Leasing bietet.
Frank Schreiber, Leiter der BDL-Arbeitsgruppe Regulatorik/IT:
Die Digitalisierung im Leasing hat durch Data Science und KI noch einen zusätzlichen Impuls erfahren. Das IT-Risiko- und Chancenmanagement sowie die damit verbundene Verantwortung für die Zukunftsfähigkeit des Instituts wird zwangsläufig zur Aufgabe der Geschäftsleitung.
Aufsicht nimmt Cyber-Attacken in die Fokusrisiken 2024 auf
Weltweit nehmen Cyber-Attacken auf Unternehmen, Dienstleister und Infrastrukturen zu. Dadurch steigt auch die Wahrscheinlichkeit für Leasing-Unternehmen, Opfer von Cyber-Attacken zu werden. Die Betroffenheit ergibt sich nicht nur bei einem direkten Angriff, sondern kann auch Folge eines Angriffs auf Dienstleister im Netzwerk einer hochintegrierten Finanzmarktinfrastruktur sein. Anschaulich kommt die Bedrohungslage in der Redewendung zum Ausdruck, dass die Frage nicht darin besteht, ob ein Unternehmen Opfer eines Cyber-Angriffs wird, sondern wann.
Dabei ist nicht nur die Eintrittswahrscheinlichkeit, sondern auch das Schadenspotenzial von Cyber-Attacken als hoch einzustufen. Wenn Teile der IT-Infrastruktur abgeschaltet werden müssen, können Störungen im Neugeschäft, die Umstellung auf manuelle Prozesse, Datenverluste und ein erheblicher Aufwand zur Schadensbehebung die Folge sein. Obwohl es bisher stets erfolgreich gelungen ist, solche Schäden zu begrenzen, führt die Kombination aus hoher Eintrittswahrscheinlichkeit bei gleichzeitig hohem Schadenspotenzial dazu, dass dem Schutz vor Cyber-Attacken hohe Bedeutung beizumessen ist – unabhängig von der Unternehmensgröße.
Auch die Aufsicht hat die Herausforderungen erkannt und Risiken aus Cyber-Attacken in den Katalog der Fokusrisiken 2024 aufgenommen. Ein Schwerpunkt der aufsichtlichen Initiativen lag dabei auf der mittelbaren Überwachung von IKT-Dienstleistern im Rahmen der novellierten Anzeigeverordnung und dem Ausbau der Fachverfahren zur Meldung von Auslagerungen. Obwohl mit den BAIT bereits ein umfassendes aufsichtliches Rahmenwerk für IT-Risken vorliegt, zeichnen sich steigende aufsichtliche Anforderungen auch für Leasing-Unternehmen ab, die darauf zielen, die Widerstandsfähigkeit gegenüber Cyber-Attacken zu fördern. Der BDL begleitet den Prozess, um auf eine sachgerechte und angemessene Regulierung hinzuwirken.