(1) Institute, die einen durch operationelle Risiken bedingten jährlichen Verlust gemäß Artikel 316 Absatz 1 berechnen, verfügen über Regelungen, Prozesse und Mechanismen zur Einrichtung und kontinuierlichen Aktualisierung eines Verlustdatensatzes, der für jedes verzeichnete durch operationelle Risiken bedingte Ereignis die Bruttoverlustbeträge, Rückflüsse aus anderen Quellen als Versicherungen, Rückflüsse aus Versicherungen, Bezugspunkte und gruppierte Verluste enthält, einschließlich derjenigen aufgrund von Fehlverhaltensereignissen.
(2) Der Verlustdatensatz des Instituts erfasst alle durch operationelle Risiken bedingten Ereignisse aller in den Konsolidierungskreis nach Teil 1 Titel II Kapitel 2 einbezogenen Unternehmen.
(3) Für die Zwecke des Absatzes 1 verfahren Institute wie folgt:
| a) |
Sie nehmen jedes durch operationelle Risiken bedingte Ereignis in den Verlustdatensatz auf, das im Laufe eines oder mehrerer Geschäftsjahre verzeichnet wurde; |
| b) |
sie verwenden das Bilanzierungsdatum, wenn sie Verluste aufgrund von durch operationelle Risiken bedingten Ereignissen in den Verlustdatensatz aufnehmen; |
| c) |
sie weisen Verluste und Rückflüsse, die mit einem durch gemeinsame operationelle Risiken bedingten Ereignis oder mit zeitlich aufeinanderfolgenden durch operationelle Risiken bedingten Ereignissen verbunden sind und über mehrere Jahre verbucht werden, im Einklang mit ihrer Bilanzierungsmethode den entsprechenden Geschäftsjahren des Verlustdatensatzes zu. |
(4) Darüber hinaus erheben Institute
| a) |
Informationen über die Bezugspunkte von durch operationelle Risiken bedingten Ereignissen, darunter
i) |
das Datum, an dem das durch operationelle Risiken bedingte Ereignis eingetreten ist oder begann ("Eintrittsdatum"), falls verfügbar; |
ii) |
das Datum, an dem das Institut von dem durch operationelle Risiken bedingten Ereignis Kenntnis erlangt hat ("Feststellungdatum"); |
iii) |
das Datum oder die Daten, an dem bzw. denen ein durch operationelle Risiken bedingtes Ereignis einen Verlust oder eine Verlustrücklage oder -rückstellung bewirkt, der bzw. die in der Gewinn- und Verlustrechnung des Instituts erfasst wird ("Bilanzierungsdatum"); |
|
| b) |
Informationen über etwaige Rückflüsse von Bruttoverlustbeträgen sowie deskriptive Informationen über die Auslöser oder Ursachen der Verlustereignisse. |
Der Detailgrad etwaiger deskriptiver Informationen muss der Höhe des Bruttoverlustbetrags angemessen sein.
(5) Durch operationelle Risiken bedingte Ereignisse, die mit dem Kreditrisiko zusammenhängen und beim risikogewichteten Positionsbetrag für das Kreditrisiko berücksichtigt werden, nimmt ein Institut nicht in den Verlustdatensatz auf. Durch operationelle Risiken bedingte Ereignisse, die mit dem Kreditrisiko zusammenhängen, aber nicht beim risikogewichteten Positionsbetrag für das Kreditrisiko berücksichtigt werden, werden in den Verlustdatensatz aufgenommen.
(6) Durch operationelle Risiken bedingte Ereignisse, die mit dem Marktrisiko zusammenhängen, werden als operationelles Risiko behandelt und in den Verlustdatensatz aufgenommen.
(7) Ein Institut muss in der Lage sein, seine historischen internen Verlustdaten auf Verlangen der zuständigen Behörde der betreffenden Ereignisart zuzuordnen.
(8) Für die Zwecke dieses Artikels stellen Institute sicher, dass ihre IT-Systeme und -Infrastruktur über die für die Führung und Aktualisierung des Verlustdatensatzes erforderliche Solidität, Robustheit und Leistungsfähigkeit verfügen, indem sie insbesondere alles Folgende gewährleisten:
| a) |
dass ihre IT-Systeme und -Infrastruktur solide und resilient sind und dass diese Solidität und Resilienz auf Dauer aufrechterhalten werden können; |
| b) |
dass es für ihre IT-Systeme und -Infrastruktur Konfigurationsmanagement-, Änderungsmanagement- und Release-Management-Prozesse gibt; |
| c) |
die Solidität, Robustheit und Leistungsfähigkeit der IT-Systeme und -Infrastruktur im Fall, dass ein Institut Teile der Aufrechterhaltung seiner IT-Systeme und -Infrastruktur auslagert, indem sie zu diesem Zweck zumindest Folgendes bestätigen:
i) |
dass seine IT-Systeme und -Infrastruktur solide und resilient sind und dass diese Solidität und Resilienz auf Dauer aufrechterhalten werden können; |
ii) |
dass der Prozess für die Planung, die Schaffung, das Testen und die Einführung der IT-Systeme und -Infrastruktur im Hinblick auf Projektmanagement, Risikomanagement, Governance, Engineering, Qualitätssicherung und Testplanung, System-Modellierung und -Entwicklung, Qualitätssicherung bei allen Tätigkeiten, einschließlich Code-Reviews und gegebenenfalls Code-Verifikation, und Tests, einschließlich der Akzeptanz der Nutzer, solide und angemessen ist; |
iii) |
dass es für seine IT-Systeme und -Infrastruktur Konfigurationsmanagement-, Änderungsmanagement- und Release-Management-Prozesse gibt; |
iv) |
dass der Prozess für die Planung, die Schaffung, das Testen und die Einführung der IT-Systeme und -Infrastruktur und Notfallplanung vom Leitungsorgan oder der Geschäftsleitung genehmigt wird und dass das Leitu... |
|