Artikel 317 CRR (VO (EU) 2013/575)

(1) Institute, die einen durch operationelle Risiken bedingten jährlichen Verlust gemäß Artikel 316 Absatz 1 berechnen, verfügen über Regelungen, Prozesse und Mechanismen zur Einrichtung und kontinuierlichen Aktualisierung eines Verlustdatensatzes, der für jedes verzeichnete durch operationelle Risiken bedingte Ereignis die Bruttoverlustbeträge, Rückflüsse aus anderen Quellen als Versicherungen, Rückflüsse aus Versicherungen, Bezugspunkte und gruppierte Verluste enthält, einschließlich derjenigen aufgrund von Fehlverhaltensereignissen.

(2) Der Verlustdatensatz des Instituts erfasst alle durch operationelle Risiken bedingten Ereignisse aller in den Konsolidierungskreis nach Teil 1 Titel II Kapitel 2 einbezogenen Unternehmen.

(3) Für die Zwecke des Absatzes 1 verfahren Institute wie folgt:

a)

Sie nehmen jedes durch operationelle Risiken bedingte Ereignis in den Verlustdatensatz auf, das im Laufe eines oder mehrerer Geschäftsjahre verzeichnet wurde;

b)

sie verwenden das Bilanzierungsdatum, wenn sie Verluste aufgrund von durch operationelle Risiken bedingten Ereignissen in den Verlustdatensatz aufnehmen;

c)

sie weisen Verluste und Rückflüsse, die mit einem durch gemeinsame operationelle Risiken bedingten Ereignis oder mit zeitlich aufeinanderfolgenden durch operationelle Risiken bedingten Ereignissen verbunden sind und über mehrere Jahre verbucht werden, im Einklang mit ihrer Bilanzierungsmethode den entsprechenden Geschäftsjahren des Verlustdatensatzes zu.

(4) Darüber hinaus erheben Institute

a)

Informationen über die Bezugspunkte von durch operationelle Risiken bedingten Ereignissen, darunter

i)

das Datum, an dem das durch operationelle Risiken bedingte Ereignis eingetreten ist oder begann ( „Eintrittsdatum” ), falls verfügbar;

ii)

das Datum, an dem das Institut von dem durch operationelle Risiken bedingten Ereignis Kenntnis erlangt hat ( „Feststellungdatum” );

iii)

das Datum oder die Daten, an dem bzw. denen ein durch operationelle Risiken bedingtes Ereignis einen Verlust oder eine Verlustrücklage oder -rückstellung bewirkt, der bzw. die in der Gewinn- und Verlustrechnung des Instituts erfasst wird ( „Bilanzierungsdatum” );

b)

Informationen über etwaige Rückflüsse von Bruttoverlustbeträgen sowie deskriptive Informationen über die Auslöser oder Ursachen der Verlustereignisse.

Der Detailgrad etwaiger deskriptiver Informationen muss der Höhe des Bruttoverlustbetrags angemessen sein.

(5) Durch operationelle Risiken bedingte Ereignisse, die mit dem Kreditrisiko zusammenhängen und beim risikogewichteten Positionsbetrag für das Kreditrisiko berücksichtigt werden, nimmt ein Institut nicht in den Verlustdatensatz auf. Durch operationelle Risiken bedingte Ereignisse, die mit dem Kreditrisiko zusammenhängen, aber nicht beim risikogewichteten Positionsbetrag für das Kreditrisiko berücksichtigt werden, werden in den Verlustdatensatz aufgenommen.

(6) Durch operationelle Risiken bedingte Ereignisse, die mit dem Marktrisiko zusammenhängen, werden als operationelles Risiko behandelt und in den Verlustdatensatz aufgenommen.

(7) Ein Institut muss in der Lage sein, seine historischen internen Verlustdaten auf Verlangen der zuständigen Behörde der betreffenden Ereignisart zuzuordnen.

(8) Für die Zwecke dieses Artikels stellen Institute sicher, dass ihre IT-Systeme und -Infrastruktur über die für die Führung und Aktualisierung des Verlustdatensatzes erforderliche Solidität, Robustheit und Leistungsfähigkeit verfügen, indem sie insbesondere alles Folgende gewährleisten:

a)

dass ihre IT-Systeme und -Infrastruktur solide und resilient sind und dass diese Solidität und Resilienz auf Dauer aufrechterhalten werden können;

b)

dass es für ihre IT-Systeme und -Infrastruktur Konfigurationsmanagement-, Änderungsmanagement- und Release-Management-Prozesse gibt;

c)

die Solidität, Robustheit und Leistungsfähigkeit der IT-Systeme und -Infrastruktur im Fall, dass ein Institut Teile der Aufrechterhaltung seiner IT-Systeme und -Infrastruktur auslagert, indem sie zu diesem Zweck zumindest Folgendes bestätigen:

i)

dass seine IT-Systeme und -Infrastruktur solide und resilient sind und dass diese Solidität und Resilienz auf Dauer aufrechterhalten werden können;

ii)

dass der Prozess für die Planung, die Schaffung, das Testen und die Einführung der IT-Systeme und -Infrastruktur im Hinblick auf Projektmanagement, Risikomanagement, Governance, Engineering, Qualitätssicherung und Testplanung, System-Modellierung und -Entwicklung, Qualitätssicherung bei allen Tätigkeiten, einschließlich Code-Reviews und gegebenenfalls Code-Verifikation, und Tests, einschließlich der Akzeptanz der Nutzer, solide und angemessen ist;

iii)

dass es für seine IT-Systeme und -Infrastruktur Konfigurationsmanagement-, Änderungsmanagement- und Release-Management-Prozesse gibt;

iv)

dass der Prozess für die Planung, die Schaffung, das Testen und die Einführung der IT-Systeme und -Infrastruktur und Notfallplanung vom Leitungsorgan oder der Geschäftsleitung genehmigt wird und dass das Leitungsorgan und die Geschäftsleitung regelmäßig über die Leistungsfähigkeit der IT-Systeme und -Infrastruktur informiert werden.

(9) Für die Zwecke des Absatzes 7 arbeitet die EBA Entwürfe technischer Regulierungsstandards aus, in denen eine mit internationalen Standards im Einklang stehende Risikotaxonomie für operationelle Risiken sowie eine Methode festgelegt werden, anhand deren ausgehend von dieser Risikotaxonomie eine Einstufung der im Verlustdatensatz enthaltenen Verlustereignisse vorgenommen wird.

Die EBA übermittelt der Kommission diese Entwürfe technischer Regulierungsstandards bis zum 10. Januar 2026.

Der Kommission wird die Befugnis übertragen, diese Verordnung durch Erlass der in Unterabsatz 1 dieses Absatzes genannten technischen Regulierungsstandards gemäß den Artikeln 10 bis 14 der Verordnung (EU) Nr. 1093/2010 zu ergänzen.

(10) Für die Zwecke des Absatzes 8 gibt die EBA im Einklang mit Artikel 16 der Verordnung (EU) Nr. 1093/2010 Leitlinien heraus, in denen sie die technischen Elemente erläutert, die zur Gewährleistung der Solidität, Robustheit und Leistungsfähigkeit der Governance-Regelungen zur Führung des Verlustdatensatzes erforderlich sind, wobei sie einen besonderen Schwerpunkt auf IT-Systeme und -Infrastruktur legt.