Governance Archives - Notizen zum Aufsichtsrecht

Final ESMA Guidelines on cloud outsourcing

Veröffentlicht am 5 Februar 202119 Mai 2021 von Dr. Verena Ritter-Döring and Charlotte Dreisigacker-Sartor

At the end of December 2020, the European Securities and Markets Authority (ESMA) published its final report on its guidelines on outsourcing to cloud service providers (CSP). The purpose of the guidelines is to help firms identify, address and monitor the risks that may arise from their cloud outsourcing arrangements. Since the main risks associated with cloud outsourcing are similar across financial sectors, ESMA has considered the European Banking Authority (EBA) Guidelines on outsourcing arrangements, which have incorporated the EBA Recommendations on outsourcing to cloud services providers and the European Insurance and Occupational Pensions Authority (EIOPA) Guidelines on outsourcing to cloud service providers. This ensures consistency between the three sets of guidelines. The ESMA Guidelines on cloud outscoring apply to MiFID II firms such as investment firms and other financial services providers indirectly but they describe the market standard and set the supervisory framework for the National Competent Authorities (NCAs) in Europe such as the German Federal Financial Supervisory Authority (Bundesanstalt für Finanzdienstleistungsaufsicht – BaFin).

For the German jurisdiction, BaFin published guidance on outsourcing to cloud providers back in 2018. Please note that the amended MaRisk include outsourcing requirements for investment firms and other financial services providers and already reflect the EBA Guidelines on outsourcing, including cloud outsourcing. For more information on the MaRisk amendment, please see our previous Blogpost.

The guidelines in more detail

The following gives a brief overview of the main content of the ESMA cloud outsourcing guidelines.

Guideline 1: Governance, oversight and documentation

Firms should have a defined and up-to date cloud outsourcing strategy which should include, inter alia, a clear assignment of the responsibility for the documentation, management and control of cloud outsourcing arrangements, sufficient resources to ensure compliance with all legal requirements applicable to the firm’s outsourcing arrangements, a cloud outsourcing oversight function directly accountable to the management body and responsible for managing and overseeing the risk of cloud outsourcing arrangements, a (re)assessment of whether the cloud outsourcing arrangements concern critical or important functions as well as an updated register of information on all cloud outsourcing arrangements. For the outsourcing of critical or important functions, the ESMA guidelines include a detailed list of information which should be included in the register.

Guideline 2: Pre-outsourcing analysis and due diligence

ESMA provides information on what is required for the pre-outsourcing analysis (e.g. an assessment if the cloud outsourcing concerns a critical or important function). In the case of outsourcing of critical or important function, firms should conduct a comprehensive risk analysis and take into account benefits and costs of the cloud outsourcing and perform an evaluation of the suitability of the CSP.

Guideline 3: Key contractual elements

The guidelines provide a detailed list of what a written cloud outsourcing agreement should include in case of outsourcing of critical or important functions. Such agreements should include, inter alia, provisions regarding data protection, agreed service levels incident management, business continuity plans, termination rights and access and audit rights for the firm and its competent supervisory authority.

Guideline 4: Information security

Firms should set information security requirements in its internal policies and procedures and within the cloud outsourcing written agreement and monitor compliance with these requirements on an ongoing basis. In case of outsourcing of critical or important functions, additional requirements apply regarding information security organization, identity and access management, encryption and key management, operations and network security, application programming interfaces, business continuity and data location.

Guideline 5: Exit strategies

In case of outsourcing of critical or important functions, firms should develop and maintain exit strategies that ensure that the firm is able to exit the cloud outsourcing arrangement without undue disruption to its business activities and services to its client. Exit strategies should include comprehensive and documented exit plans, the identification of alternative solutions and provisions in the written outsourcing agreements that oblige the CSP to support orderly transfer of the outsourced function from the CSP to another CSP.

Guideline 6: Access and audit rights

Firms should ensure that the cloud outsourcing written agreement does not limit the firm´s and competent authority´s effective exercise of the access and audit rights on the CSP (see also Guideline 3). However, the Guideline also includes provisions aimed at reducing the organizational burden on the CSP and its clients when exercising access and audit rights: firm may use e.g. third-party certifications and external or internal audit reports made available by the CSP. However, in case of outsourcing of critical or important functions, the guidelines stipulate additional requirements that must be met in order to be able to rely on third party certifications or assessments.

Guideline 7: Sub-outsourcing

In case of sub-outsourcing, the firm should ensure that the CSP appropriately oversees the sub-outsourcer. In addition, ESMA provides information on the provisions that should be included in the written outsourcing agreement between the firm and the CSP in the case of sub-outsourcing critical or important function. This includes the remaining accountability of the CSP, a notification requirement for the CSP in case of any intended sub-outsourcing allowing the firm sufficient time to carry out a risk assessment of the proposed sub-outsourcer, the firm´s right to object to the intended sub-outsourcing and termination rights in case of such objection.

Guideline 8: Written notification to competent authorities

Firms should notify in writing its competent authority in a timely manner of planned cloud outsourcing arrangement that concern critical or important functions. The notification should include, inter alia, a description of the outsourced functions, a brief summary of the reasons why the outsourced function is considered critical or important and the individual or decision-making body in the firm that approved the cloud outsourcing arrangement.

What´s next?

In a next step, the guidelines will be translated in the official EU languages and published on the ESMA´s website. The publication of the translation will trigger a two-month period during which the national competent authorities must notify ESMA whether they comply or intend to comply with the guidelines (comply or explain mechanism). For the German jurisdiction, it is to be expected that BaFin will comply with the ESMA guidelines.

Der Entwurf des neuen WpFG ist da! – Teil 2

Veröffentlicht am 24 September 202019 Mai 2021 von Dr. Verena Ritter-Döring and Charlotte Dreisigacker-Sartor

Ende Juli 2020 hat das Bundesfinanzministerium den Entwurf des neuen Gesetzes zur Beaufsichtigung von Wertpapierfirmen (Wertpapierfirmengesetz – WpFG) veröffentlicht. Mit dem WpFG werden die Regelungen der neuen EU-Richtlinie über die Beaufsichtigung von Wertpapierfirmen (IFD) in nationales Recht umgesetzt. Flankiert wird das WpFG von den Detailregelungen der EU-Verordnung über die Aufsichtsanforderungen an Wertpapierfirmen (IFR), die als europäische Verordnung unmittelbar in jedem Mitgliedstaat Anwendung findet.

Im vorherigen Teil 1 haben wir beleuchtet, wie das WpFG die Struktur des bestehenden Aufsichtsregime verändern wird und welche Anforderungen an das Anfangskapital und die sonstigen Eigenmittel für Wertpapierfirmen zukünftig gelten. In diesem Teil 2 werden wir nun die besonderen aufsichtsrechtlichen Anforderungen des WpFG an Wertpapierfirmen (sog. Solvenzaufsicht) sowie die diesbezüglichen besonderen Aufsichtsbefugnisse der BaFin näher betrachten.

Anforderungen und Aufsichtsbefugnisse zur Solvenz von Wertpapierfirmen

Risikotragfähigkeit
Wertpapierfirmen müssen laufend ihre Risikotragfähigkeit sicherstellen. Das bedeutet, dass sie stets genug Eigenmittel vorhalten müssen, um ihre spezifischen Risiken abzusichern. Um dies überprüfen zu können, müssen sie entsprechende interne Verfahren implementieren, die die bestehenden Risiken und die vorhandenen Eigenmittel stetig abgleichen.

Governance
Das WpFG stellt konkrete Anforderungen an die interne Unternehmensführung von Wertpapierfirmen. Sie müssen klare Organisationsstrukturen und Berichtslinien, ein Risikomanagement und interne Kontrollmechanismen sowie geschlechtsneutrale Vergütungssysteme vorhalten. Eine entsprechende interne Unternehmensstruktur ist der Grundstein für aufsichtsrechtliche Compliance von Wertpapierfirmen.

Risikosteuerung
Die Risikosteuerung ist Teil des Risikomanagements. Wertpapierfirmen müssen Strategien und Verfahren zur Risikosteuerung einrichten, mittels derer eine Identifikation, Beurteilung und Steuerung der Risiken einer Wertpapierfirma gewährleistet wird. Nur wenn die Wertpapierfirma ihre Risiken kennt und steuern kann, kann sie entsprechend agieren, Risiken begrenzen und schlussendlich im Rahmen der Risikotragfähigkeit sicherstellen, dass ausreichend Eigenmittel vorgehalten werden.

Vergütungsregelungen
Das WpFG stellt Anforderungen an das interne Vergütungssystem von Wertpapierfirmen. So muss es bspw. ein angemessenes und transparentes Vergütungssystem für Geschäftsleiter und sonstige leitende Angestellte, wie z.B. dem Leiter der Compliance Funktion, verfügen. Zudem muss ein angemessenes Verhältnis zwischen fixer und variabler Vergütung vorhanden sein.

Geschäftsleiter und Aufsichtsorgan im Rahmen des Risikomanagements
Geschäftsleiter von Wertpapierfirmen tragen die Gesamtverantwortung für die Risikostrategie und den Umgang mit Risiken. Das Aufsichtsorgan der Wertpapierfirma (je nach gesellschaftsrechtlichen Ausgestaltung z.B. der Aufsichtsrat) überwacht die Risikostrategie, die internen Verfahren zum Umgang mit diesen Risiken sowie die Vergütungssystem. Bestimmte „große“ Mittlere Wertpapierfirmen müssen zudem auf Ebene des Aufsichtsorgans einen Risikoausschuss und einen Vergütungskontrollausschuss einrichten. Die Ausschüsse unterstützen das Aufsichtsorgan in seinen jeweiligen Überwachungsfunktionen.

Besondere Aufsichtsbefugnisse der BaFin
Zur Sicherstellung der Solvenz von Wertpapierfirmen werden der BaFin im WpFG besondere Aufsichtsbefugnisse verliehen. Insbesondere kann sie anordnen, dass Wertpapierfirmen zusätzliche Eigenmittel vorhalten, die über die Mindesteigenmittelanforderungen des WpFG hinausgehen. Auch die Zusammensetzung der zusätzlichen Eigenmittel ordnet die BaFin an. Diese Anordnungsbefugnis soll letztlich die Risikotragfähigkeit der Wertpapierfirmen sicherstellen.

Das neue WpFG: Fazit

Durch die Einführung des WpFG wird ein separates Aufsichtsregime für Wertpapierfirmen geschaffen. Damit wird anerkannt, dass der Tätigkeit von Wertpapierfirmen ein anderes Risikoprofil innewohnt als denen klassischer Banken. Das spiegelt sich insbesondere in den neuen Anforderungen an das Anfangskapital und die sonstigen Eigenmittelanforderungen wieder. Zukünftig werden Wertpapierfirmen somit passgenauer als bislang reguliert.

EZB goes ESG – Ein Leitfaden zu Klima- und Umweltrisiken Teil 2

Veröffentlicht am 20 August 202019 Mai 2021 von Dr. Verena Ritter-Döring and Charlotte Dreisigacker-Sartor

Ende Mai hat die Europäische Zentralbank (EZB) einen Leitfaden veröffentlicht, in dem sie darlegt, wie Klima- und Umweltrisiken gemäß dem derzeitigen Aufsichtsrahmen gesteuert und mehr Transparenz durch eine verbesserte Offenlegung von Informationen zu Klima- und Umweltrisiken erreicht werden kann. Die EZB hat den Leitfaden in Zusammenarbeit mit den zuständigen nationalen Aufsichtsbehörden entworfen. Im Rahmen der öffentlichen Konsultation können bis Ende September Stellungnahmen abgegeben werden.

Nachdem Teil 1 der Beitragsreihe sich mit dem Geltungsbereich des EZB Leitfadens sowie den inhaltlichen Anforderungen der EZB an die Institute hinsichtlich der Benennung und Überwachung von Klima- und Umweltrisiken im Rahmen ihrer Geschäftsstrategie und ihres Risikoappetits befasst hat, beleuchtet Teil 2 die Risikomanagement- und Offenlegungsanforderungen an die Institute.

Anforderungen an das Risikomanagement

Klima- und Umweltrisiken als Bestimmungsfaktoren etablierter Risikokategorien
Institute sollten eingehend untersuchen, auf welche Weise Klima- und Umweltrisiken auf die verschiedenen bestehenden Risikobereiche wie z.B. das Kredit-, das Markt- und das operationelle Risiko durchschlagen. Das ermöglicht ihnen ein ganzheitliches Verständnis der Auswirkungen von Klima- und Umweltrisiken.Dazu gehört z.B. dass Institute zu Beginn einer Kundenbeziehung ordnungsgemäße Due-Diligence Prüfungen zu Klima- und Umweltrisiken durchführen. Das würde dem Institut z.B. bei der Bestimmung des Kreditrisikos dieses Kunden helfen, insbesondere wenn der Kunde seinen Sitz in einer klimagestressten Region hat und häufig von Starkwetterereignissen betroffen ist, was letztendlich zu seinem Ausfall führen kann.

Berücksichtigung von Klima- und Umweltrisiken im Kreditgewährungsprozess
Im Rahmen des Kreditgewährungsprozesses sollten Institute bspw. angemessene Risikoindikatoren- und Ratings für ihre Geschäftspartner definieren; dabei ist auch Klima- und Umweltrisiken Rechnung zu tragen. Auch sollten Institute Klima- und Umweltrisiken bei der Bewertung von Sicherheiten berücksichtigen (z.B. Energieeffizienz der Immobilien). Auch in der Preisgestaltung der Kredite sollten sich Klima- und Umweltrisiken widerspiegeln; so könnten z.B. Immobilienkredite für energieeffiziente Immobilien günstiger ausgestaltet sein, also solche für weniger energieeffiziente Immobilien.

Aufrechterhaltung des Geschäftsbetriebs und Reputationsrisiken
Institute sollten ermitteln und überwachen, inwiefern sich Klima- und Umweltrisiken als operationelle Risiken auswirken können. Bspw. sind bei einer Auslagerung von (IT)-Dienstleistungen an Anbieter mit Sitz an Standorten, die häufig extremen Wetterereignissen ausgesetzt sind, entsprechende Vorkehrungen für einen Ausfall der Dienstleister zu treffen.Institute sollten zudem im Rahmen ihres Risikomanagements generell überprüfen, inwieweit sie Reputationsschäden aufgrund von Klimarisiken ausgesetzt sein können. Dreht sich bspw. die Stimmung am Markt in Bezug auf Klima- und Umweltrisiken können sich solche rasch verwirklichen. Man erinnere sich nur an die Kontroversen, mit denen sich Siemens seinerzeit bzgl. seiner Lieferungen für ein australisches Kohlebergwerk konfrontiert sah.

Überwachung der Auswirkungen von Klimarisiken auf Marktrisikopositionen
Klima- und Umweltrisiken können sich auch im Rahmen des Marktrisikos niederschlagen, da sie die Verfügbarkeit von und die Nachfrage nach bestimmten Finanzinstrumenten, Produkten oder Dienstleistungen verändern können, was sich dann in deren Wert entsprechend niederschlagen würde. So könnten zukünftig bspw. „grüne Anleihen“ stärker als andere Produkte nachgefragt werden.

Durchführung von Szenarioanalysen und Stresstests
Stresstestszenarien sollten alle wesentlichen Risiken beinhalten, die eine substanzielle Verringerung des internen Kapitals bewirken oder Auswirkungen auf die aufsichtsrechtlichen Kapitalquoten haben könnten. Die von den Instituten durchzuführende Stresstests sollten auch Klima- und Umweltrisiken und deren kurz-, mittel- und langfristige Auswirkungen berücksichtigen.

Steuerung des Liquiditätsrisikos
Institute sollten beurteilen, ob wesentliche Klima- und Umweltrisiken zu Nettozahlungsmittelabflüssen oder zu massiven Abbau von Liquiditätspuffern führen könnte. Das könnte z.B. der Fall sein, wenn Klima- und Umweltrisiken den Wert nationaler Währungen, die Teil des Liquiditätspuffers sind, beeinflussen. Wenn das der Fall ist, sollten sie diese Risiken in die Steuerung ihres Liquiditätsrisikos und der Kalibrierung der Liquiditätspuffer einbeziehen.

Anforderungen an die Offenlegung

Klima- und Umweltrisiken als Teil der regulatorischen Offenlegung
Institute müssen Richtlinien zur Offenlegung von Informationen haben. Diese sollten umfassen, wie Institute bei der Beurteilung der Wesentlichkeit von Klima- und Umweltrisiken vorgehen. Erachtet ein Institut Klima- und Umweltrisiken nicht als wesentlich, sollte es die Informationen offenlegen, auf denen diese Einschätzung beruht. Beides dient einer größeren Transparenz im Finanzmarkt.

Fazit

Mit dem Leitfaden zu Klima- und Umweltrisiken legt die EZB erstmals ausführlich dar, was sie von den von ihr beaufsichtigten Instituten in Sachen Berücksichtigung und Bewertung von Klima- und Umweltrisiken konkret erwarten. Auch die Institute, die unter der Aufsicht der nationalen Aufsichtsbehörden stehen, sollten ihn aufmerksam lesen, da seine Grundgedanken und Kernpunkte auch auf sie Anwendung finden werden.

Durch den Leitfaden wird deutlich, dass das Thema Nachhaltigkeit und Klimarisiken vor keiner Branche haltmacht. Auch Finanzinstitute müssen sich (spätestens jetzt) Gedanken machen, wie Klimarisiken sie selbst und ihre Geschäftspartner beeinflussen können und werden und welche Risiken daraus entstehen. Angesichts erheblicher und langfristiger Klimarisiken wird es sich für die Institute lohnen, darauf vorbereitet zu sein.

EZB goes ESG – Ein Leitfaden zu Klima- und Umweltrisiken

Veröffentlicht am 6 August 202019 Mai 2021 von Dr. Verena Ritter-Döring and Charlotte Dreisigacker-Sartor

Teil 1

Nach unserer Sommerpause melden wir uns mit einem der derzeit aktuellsten Themen zurück: die Nachhaltigkeit in der Finanzbranche. Ende Mai hat die Europäische Zentralbank (EZB) einen Leitfaden veröffentlicht, in dem sie darlegt, wie Klima- und Umweltrisiken gemäß dem derzeitigen Aufsichtsrahmen gesteuert und mehr Transparenz durch eine verbesserte Offenlegung von Informationen zu Klima- und Umweltrisiken erreicht werden kann. Die EZB hat den Leitfaden in Zusammenarbeit mit den zuständigen nationalen Aufsichtsbehörden entworfen. Im Rahmen der öffentlichen Konsultation können bis Ende September Stellungnahmen abgegeben werden.

In einem zweiteiligen Beitrag gehen wir der Frage nach, ob der Leitfaden rechtlich verbindlich werden wird, für wen er gilt und welche inhaltlichen Schwerpunkte er setzt.

Der EZB Leitfaden im regulatorischen Gefüge

Der Leitfaden ist rechtlich nicht bindend für die Institute. Vielmehr soll er die Grundlage für einen aufsichtlichen Dialog darstellen. Die EZB beabsichtigt, ihren in dem Leitfaden formulierten aufsichtlichen Ansatz zur Steuerung und Offenlegung von Klima- und Umweltrisiken im Laufe der Zeit weiterzuentwickeln und dabei regulatorische Entwicklungen einfließen zu lassen. Wie immer allerdings, wenn eine europäische Aufsichtsbehörde formaljuristisch nicht bindende Verlautbarungen, Erwartungen oder ähnliches veröffentlicht, sind die Institute in der Regeln dennoch gut beraten, die darin formulierten regulatorischen Anforderungen wahrzunehmen und umzusetzen. Das gilt allein schon im Interesse eines guten Verhältnisses mit der Aufsichtsbehörde.

Für welche Institute gilt der Leitfaden?

Die EZB erwartet, dass bedeutende Institute (SI) den Leitfaden nutzen. Beginnend mit dem Jahresende 2020 sind diese von der EZB deshalb aufgefordert, sie über jegliche Abweichungen ihrer Vorgehensweise von der in dem Leitfaden beschriebenen aufsichtlichen Erwartungen in Kenntnis zu setzen.

Im Hinblick auf weniger bedeutende Institute (LSI) empfiehlt die EZB den nationalen Aufsichtsbehörden, die Kernpunkte des Leitfaden ebenfalls anzuwenden; dabei ist allerdings dem jeweiligen Geschäftsmodell der Institute Rechnung zu tragen. Insoweit ist davon auszugehen, dass auch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die inhaltlichen Kernpunkte in ihre Aufsichtspraxis übernehmen wird. Abhängig vom jeweiligen Geschäftsmodell werden deshalb wohl vor allem kleinere Institute, entsprechend dem Proportionalitätsgrundsatz, geringere Erwartungen an das interne Set-up zur Überwachung der Klima- und Umweltrisiken erfüllen müssen.

Welche Erwartungen hat die EZB?

Ihre Erwartungen an die Institute in Bezug auf deren Umgang mit Klima- und Umweltrisiken formuliert die EZB in den vier Kernbereichen (i) Geschäftsmodell und Geschäftsstrategie, (ii) Governance und Risikoappetit, (iii) Risikomanagement und (iv) Offenlegung.

Dieser Teil 1 der Beitragsreihe wird die Erwartungen der EZB in Bezug auf das Geschäftsmodell, die Geschäftsstrategie sowie bzgl. Governance und Risikoappetit in den Blick nehmen. Teil 2 wird sich dann im Anschluss mit den Anforderungen bzgl. des Risikomanagements und der Offenlegung beschäftigen.

Anforderungen an das Geschäftsmodell und die Geschäftsstrategie

Verständnis der Auswirkungen von Klima- und Umweltrisiken auf das Geschäftsmodell

Die EZB erwartet, dass Institute derzeitige und künftige Auswirkungen von Klima- und Umweltrisiken auf das jeweilige Geschäftsmodell ermitteln, verstehen und überwachen. Nur so kann sichergestellt werden, dass das Geschäftsmodell auch in Zukunft trag- und widerstandsfähig ist. Konkret erwartet die EZB u.a., dass Klima- und Umweltrisiken z.B. auf Ebene geographischer Gebiete und angebotener Produkte und Dienstleistungen ermittelt und dokumentiert werden.

Einbeziehung von Klima- und Umweltrisiken in die Geschäftsstrategie

Die Institute müssen festzulegen, welche Klimarisiken kurz-, mittel- und langfristig wesentlich für ihre Geschäftsstrategie sind. Dazu können sie z.B. Szenarioanalysen entwickeln, die die Widerstandsfähigkeit ihres Geschäftsmodells testen. Bei der Umsetzung der Geschäftsstrategie sollten Key Performance Indicators (KPIs) verwendet und diese auf die einzelnen Geschäftsfelder und Portfolios anwendet werden, um Klima- und Umweltrisiken Rechnung zu tragen.

Bspw. können Institute KPIs wie den CO₂-Fußabdruck ihrer Vermögenswerte oder die Anzahl der Immobilien, deren Energieetikett sich dank der Finanzierung des Instituts verbessert hat verwenden und diese dann auf die verschiedenen Geschäftsbereiche wie z.B. Privatkundengeschäft und Corporate Banking anwenden. Durch Vergleich der Kennzahlen im Zeitverlauf kann der Fortschritt gemessen und überprüft werden.

Anforderungen an Governance und Risikoappetit

Überwachung von Klima- und Umweltrisiken durch das Leitungsorgan

Das Leitungsorgan des Instituts ist im Rahmen seiner Gesamtverantwortung auch für die Überwachung von Klima- und Umweltrisiken verantwortlich. Das Leitungsorgan sollte dafür Sorge tragen, dass Klima- und Umweltrisiken nicht nur in die allgemeine Geschäftsstrategie, sondern auch in das Risikomanagementrahmenwerk mit einbezogen werden. Dafür muss es Rollen und Zuständigkeiten im Hinblick auf Klimarisiken innerhalb des Instituts, z.B. im Rahmen von bestehenden oder neu einzurichtenden Ausschüssen, klar verteilen.

Aufnahme von Klima- und Umweltrisiken in das Rahmenwerk für den Risikoappetit

Die Risikostrategie und der Risikoappetit von Instituten sollte alle bestehenden wesentliche Risiken berücksichtigen und Risikolimits festlegen. Das schließt Klima- und Umweltrisiken mit ein. Insbesondere sollten Institute mittel- und langfristige Klimarisiken aufnehmen und ihnen zwecks Risikoüberwachung entsprechende Kennzahlen zuweisen, die den langfristigen Charakter des Klimawandels berücksichtigen. Dadurch werden Institute in die Lage versetzt, ihre Widerstandsfähigkeit zu stärken und Risiken besser zu steuern.

Zuständigkeiten für die Steuerung von Klima- und Umweltrisiken innerhalb der drei Verteidigungslinien

Innerhalb der drei Verteidigungslinien eines Instituts (Interne Kontrolle/Operatives Management – Compliance und Risikomanagement – Interne Revision) sind Aufgaben und Zuständigkeiten bzgl. Klima- und Umweltrisiken zu verteilen. Im Rahmen der ersten Verteidigungslinie erwartet die EZB bspw., dass alle für die Kreditwürdigkeit eines Kunden relevanten Klima- und Umweltrisiken ermittelt, bewertet und überwacht werden. Im Rahmen des Risikomanagementsystems als Teil der zweiten Verteidigungslinie sind Klima- und Umweltrisiken als Bestimmungsfaktoren bestehender Risikoarten aufzunehmen. Diese Systeme sind im Rahmen der dritten Verteidigungslinie regelmäßig im Hinblick darauf zu überprüfen, inwieweit das Institut für die Steuerung von Klima- und Umweltrisiken gerüstet ist.

Aufnahme von Risikodaten in die interne Berichterstattung

Die interne Berichterstattung der Institute sollte aggregierte Risikodaten melden, die Auskunft darüber geben, inwieweit das Institut Klima- und Umweltrisiken ausgesetzt ist. Das ist erforderlich, um der Führungsebene eine fundierte Entscheidungsgrundlage zu schaffen und eine wirksame Überwachung sowie Verringerung von Klima- und Umweltrisiken zu erreichen.

Ausblick auf Teil 2

Welche regulatorischen Anforderungen die EZB hinsichtlich der Berücksichtigung von Klima- und Umweltrisiken im Rahmen des Risikomanagements und der Offenlegung von Klimarisikodaten an die Institute stellt, werden wir in Teil 2 der Beitragsreihe näher beleuchten. Stay tuned!