ESMA veröffentlicht Leitlinien zu Liquiditäts-Stresstests für Fonds

Kapitalverwaltungsgesellschaften (KVG) müssen nach den Regelungen des Kapitalanlagegesetzbuchs (KAGB) die von ihnen verwalteten Fonds regelmäßig Liquiditäts-Stresstests unterziehen. Damit soll gewährleistet werden, dass die Fonds auch bei außergewöhnlichen Marktumständen über ausreichend Liquidität verfügen und ihre Verbindlichkeiten bedienen können.

Die Europäische Wertpapieraufsichtsbehörde (European Securities and Markets AuthorityESMA) hat am 2. September 2019 ihre finalen Leitlinien für Liquiditätsstresstests von Investmentfonds veröffentlicht. Der Veröffentlichung ging eine Konsultation der Leitlinien vom 5. Februar bis zum 1. April 2019 voraus. Die Leitlinien sollen sowohl für alternative Investmentvermögen (AIF) als auch für Organismen für gemeinsame Anlagen in Wertpapieren (OGAW) (zusammen im folgenden Fonds) gelten und werden am 30. September 2020 in Kraft treten.

Der Beitrag gibt einen Überblick über den Zweck und die rechtlichen Grundlagen von Liquiditäts-Stresstests  sowie den Inhalt der Leitlinien der ESMA.

Liquiditätsmanagement als Bestandteil des Risikomanagements

Das KAGB verpflichtet die KVG, ein Risikomanagementsystem zu errichten, das die für die jeweilige Anlagestrategie des von ihr verwalteten Fonds wesentlichen Risiken jederzeit erfasst, steuert und überwacht. Teil dieses Risikomanagements ist das Liquiditätsmanagement. Das Liquiditätsmanagement identifiziert, überwacht und steuert das Liquiditätsrisiko des verwalteten Fonds. Das Liquiditätsrisiko ist das Risiko, dass eine Position im Portfolio des Fonds nicht innerhalb kurzer Zeit mit begrenzten Kosten veräußert, liquidiert oder geschlossen werden kann und dadurch die Erfüllung von Rückgabeverlangen der Anleger oder von sonstigen Zahlungsverpflichtungen beeinträchtigt wird.

Das Liquiditätsrisiko eines Fonds hängt deshalb von den investierten Assets, der Anlagestrategie, der Laufzeit und den Marktgegebenheiten ab. Die Anlagestrategie eines Fonds z.B. bestimmt über den Grad der  Illiquidität der Vermögensgegenstände, sollten diese zur Gewinnung von Liquidität veräußert werden (müssen). So sind Immobilien bspw. illiquider als Wertpapiere, da der Verkauf einer Immobilie in der Regel mit einem erhöhten zeitlichen Aufwand verbunden ist.

Das Liquiditätsmanagement soll unter Berücksichtigung der jeweiligen Liquiditätsrisiken sicherstellen, dass der Fonds jederzeit seine Verbindlichkeiten, wie z.B. Sach- und Personalkosten, aber vor allem auch Verbindlichkeiten, die sich aus der Möglichkeit der Anteilsrückgabe für die Anleger ergeben, erfüllen kann, er also, auch wenn der Fonds größtenteils in langfristige potentiell illiquide Vermögensgegenstände investiert, kurzfristige Verpflichtungen erfüllen kann (sog. Liquiditätsinkongruenz oder liquidity mismatch). Besonders bedeutsam ist das Liquiditätsmanagement bei offenen Fonds, da aufgrund der Rückgabemöglichkeit der Anleger kurzfristige Zahlungsverpflichtungen des Fonds gegenüber den Anlegern entstehen. 

Die Regelungen des KAGB zum Risiko- und Liquiditätsmanagement setzen die Anforderungen der EU-Richtlinie über Verwalter alternativer Investmentvermögen (AIFMD) um und werden sowohl von den Regelungen der  Level 2-Verordnung zur AIFMD, der Kapitalanlage- Verhaltens- und Organisationsverordnung (KAVerOV) als auch von den von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) veröffentlichten Mindestanforderungen an das Risikomanagement von Kapitalverwaltungsgesellschaften (KaMaRisk) konkretisiert.

Liquiditäts-Stresstest als Teil des Liquiditätsmanagements

Teil des Liquiditätsmanagements ist die Verpflichtung der KVG, die von ihr verwalteten Fonds Liquiditäts-Stresstests zu unterziehen. Mittels dieses Stresstests soll, vergleichbar mit den Stresstests für Banken, antizipiert werden, welche Folgen bestimmte, u.U. außergewöhnliche Umstände, auf die Liquiditätslage eines Fonds haben, sodass rechtzeitig Gegenmaßnahmen ergriffen werden können, die sicherstellen, dass Zahlungsverpflichtungen eingehalten werden.

Inhalt der ESMA Leitlinien zu Liquiditäts-Stresstest

Die Leitlinien der ESMA haben das Ziel, eine einheitliche und effiziente Aufsichtspraxis für die Anforderungen und die Durchführung der Liquiditäts-Stresstests durch die jeweiligen national zuständigen Aufsichtsbehörden zu etablieren. Insbesondere verfolgt die ESMA das Ziel, den Standard, die Konsistenz und ggf. auch die Häufigkeit der Liquiditäts-Stresstests zu erhöhen.

Die Leitlinien beinhalten Prinzipien, nach denen sich die Konzeption und Durchführung der Stresstests richten sollte. Die Leitlinien legen u.a. fest, dass

  • Liquiditäts-Stresstest bestimmten Anforderungen genügen müssen und wie sie ordnungsgemäß in die Risikomanagementprozesse integriert werden;
  • eine interne Policy für die Liquiditäts-Stresstests verfasst wird, die die KVG verpflichtet, das Modell für die Stresstests regelmäßig zu überprüfen und, falls erforderlich, anzupassen;
  • die Liquiditäts-Stresstests mindestens einmal jährlich durchgeführt werden müssen, grundsätzlich jedoch eine vierteljährliche Durchführung empfohlen wird und bestimmte Faktoren die Frequenz verringern oder erhöhen;
  • die Stresstests Ergebnisse liefern, die z.B. für die Identifizierung potenzieller Schwachstellen in der Anlagestrategie sowie der Entscheidungsfindung im Rahmen des Risikomanagements wie z.B. der Festlegung von Liquiditätslimits, verwendet werden können;
  • der Stresstest hypothetische und historische Szenarien sowie Reverse Stresstests verwendet; Reverse Stresstests legen zunächst den maximal verkraftbaren Verlust fest und liefern anschließend die dazu führenden Szenarien, während bei normalen Stresstests zuerst die Stressszenarien festgelegt werden und dann die sich daraus ergebenden Verluste ermittelt werden;
  • Stresstests im Laufe des Lebenszyklus eines Fonds je nach Entwicklungsstadium unterschiedlichen Anforderungen genügen müssen;
  • zwischen Anforderungen an Liquiditäts-Stresstests auf Aktivseite (z.B. die Ausgabe von Fondsanteilen an Investoren, Erträge aus dem Fondsvermögen und die Liquidität, die durch die Aufnahme von Krediten erreicht wird) und auf Passivseite (z.B. die erwarteten Zahlungsverpflichtungen eines Fonds, wie bspw. im Falle von Anteilsrückgaben von Investoren, Tilgungs- und Zinszahlungen aus Krediten, Kauf von Vermögensgegenständen oder Verwaltungskosten) unterschieden werden muss und dass aus der Kombination beider Ergebnisse eine umfassendes Feststellung der Liquidität des Fonds getroffen werden kann.

Fazit

Die finalen Leitlinien über Liquiditäts-Stresstests für AIF und OGAW stellen keine grundsätzlich neuen rechtlichen Anforderungen an die Durchführung von Liquiditäts-Stresstests, die von Fondsmanagern durchzuführen sind. Sie ergänzen aber die bestehenden Regelungen der AIFMD Level-2 VO sowie der KAVerOV und der KaMaRisk und enthalten wertvolle Erläuterungen, Detailangaben und Beispiele, die etwa über die der KAVerOV oder der KaMaRisk hinausgehen und können dadurch eine hilfreiche Richtschnur für Fondsmanager darstellen.

KAIT: Anforderungen an die IT von Kapitalverwaltungsgesellschaften

Einer der Aufsichtsschwerpunkte der BaFin für 2019 ist die IT-Infrastruktur der regulierten Unternehmen. Denn aufgrund der zunehmenden Digitalisierung der Finanzindustrie werden IT-Systeme und IT-Infrastruktur für Finanzinstitute immer wichtiger. Daher ist es für Institute von entscheidender Bedeutung, dass ihre IT-Systeme eine robuste Struktur aufweisen und sie sich der Risiken bewusst sind, die sich aus der Nutzung der IT ergeben können sowie dass sie für eventuelle Störfälle entsprechend vorbereitet sind. Denn nur so kann sichergestellt werden, dass das Unternehmen die Finanzdienstleistung dauerhaft und zuverlässig erbringen kann.

Zu diesem Zweck hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) am 08. April 2019 eine Konsultation zum Entwurf des Rundschreibens Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT) veröffentlicht. Das Rundschreiben enthält Hinweise zur Auslegung der nationalen und europarechtlichen Vorschriften über die Geschäftsorganisation, soweit sie sich auf die technisch-organisatorische Ausstattung (und damit auch auf die IT-Systeme) der Kapitalverwaltungsgesellschaften (KVGen) beziehen. Die BaFin verfolgt das Ziel, die IT-Sicherheit im Markt zu erhöhen und das IT-Risikobewusstsein in den KVGen zu schärfen und gibt dem Management mit dem Rundschreiben einen Rahmen für die technisch-organisatorische Ausstattung der IT, insbesondere auch für das Management der IT-Ressourcen und für das IT-Risikomanagement. Da immer mehr Unternehmen IT-Dienstleistungen von Dritten in Anspruch nehmen, regelt das Rundschreiben auch den Umgang mit Auslagerungen von IT-Aktivitäten und IT-Prozessen und holt so auch nicht-regulierte IT-Anbieter in ihr Aufsichtsspektrum. Der Entwurf steht bis zum 15. Mai 2019 zur Konsultation.

Im Einzelnen regelt das Rundschreiben:

  1. Die Verpflichtung der KVG, eine IT-Strategie vorzuhalten sowie u.a. Mindestinhalte dieser Strategie. Aufzunehmen ist z.B. die strategische Entwicklung der IT-Aufbau- und IT-Ablauforganisation der KVG, die Auslagerung von IT-Dienstleistungen, Aussagen zum Notfallmanagement und Aussagen zu in den Fachbereichen selbst betriebenen oder entwickelten IT-Systemen.
  2. Die Implementierung einer IT-Governance, also einer Struktur zur Steuerung sowie Überwachung des Betriebs und der Weiterentwicklung der IT-Systeme einschließlich der dazugehörigen IT-Prozesse auf Basis der IT-Strategie. Die KVG muss insbesondere Bereiche wie das Informationsrisikomanagement, den IT-Betrieb und die Anwendungsentwicklung mit quantitativ und qualitativ angemessenem Personal ausstatten, für IT-Risiken angemessene Überwachungs- und Steuerungsprozesse einrichten, sicherstellen, dass IT-bezogenen Geschäftsaktivitäten auf der Grundlage von Organisationsrichtlinien betrieben werden und im Störungsfall geeignete Notfallmaßnahmen ergriffen werden.
  3. Die internen Prozesse zum Informationsrisikomanagement. Die KVG hat die mit dem Management verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen und Kommunikationswege klar zu definieren und aufeinander abzustimmen. Sie hat angemessene Überwachungs- und Steuerungsprozesse einzurichten. Dabei ist besonders auf IT-Risikokriterien, die Identifikation von IT-Risiken und die Festlegung des Schutzbedarfs für den IT-Betrieb einzugehen.
  4. Vorgaben zum Informationssicherheitsmanagement. Dies macht Vorgaben zur Informationssicherheit, definiert Prozesse, steuert deren Umsetzung und folgt einem fortlaufenden Prozess, der die Phasen Planung, Umsetzung, Erfolgskontrolle sowie Optimierung und Verbesserung umfasst. Die KVG muss zudem z.B. eine Informationssicherheitsleitlinie beschließen und die Funktion eines Informationssicherheitsbeauftragten einrichten.
  5. Die Implementierung eines Benutzerberechtigungsmanagement, das sicherstellt, dass den Benutzern eingeräumte Berechtigungen so ausgestaltet sind und genutzt werden, wie es den organisatorischen und fachlichen Vorgaben der KVG entspricht. Das Rundschreiben enthält detaillierte Vorgaben, z.B. dass die Vergabe von Berechtigungen an Benutzer nach dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) zu erfolgen hat.
  6. Die Regelungen für IT-Projekte und die Anwendungsentwicklung. So sind IT-Projekte und Veränderungen der IT-Systeme vor ihrer Übernahme in den produktiven Betrieb zu testen und von den fachlich sowie auch von den technisch zuständigen Mitarbeitern abzunehmen. Produktions-und Testumgebung sind dabei grundsätzlich von einander zu trennen. Für die Entwicklung neuer IT-Funktionen sind angemessene Prozesse festzulegen, die Vorgaben zur Anforderungsentwicklung, zum Entwicklungsziel, zur technischen Umsetzung, zur Qualitätssicherung, sowie zu Test, Abnahme und Freigabe enthalten.
  7. Vorgaben zum konkreten IT-Betrieb. So sind beim Betrieb der IT-Systeme etwa Risiken aus veralteten Systemen zu berücksichtigen. Zudem sind alle Komponenten der IT-Systeme sowie deren Beziehung zueinander in geeigneter Weise zu verwalten und die hierzu erfassten Bestandsangaben regelmäßig sowie anlassbezogen zu aktualisieren.
  8. Konkretisierungen der Anforderungen an die Auslagerung und den sonstigen Fremdbezug von IT-Dienstleistungen. So werden z.B. Sachverhalte aufgezählt, die die BaFin als Auslagerung von IT-Dienstleistungen ansieht, wie z.B. die Anpassung von Software an die Erfordernisse der KVG (Customising).

Fazit

Der Entwurf des Rundschreibens KAIT konkretisiert die Regelungen der Mindestanforderungen an das Risikomanagement von Kapitalverwaltungsgesellschaften (KAMaRisk), die Vorgaben des KAGB und der Delegierten Verordnung zu der Geschäftsorganisation einer KVG. Die BaFin legt damit ihre Verwaltungspraxis offen. KVGen bekommen dadurch detailliertere Vorgaben zu den aufsichtsrechtlichen Anforderungen, die ihre IT-Systeme und ihre IT-Infrastruktur erfüllen muss, was wiederum zu mehr Rechtssicherheit führt. Die Vorgaben sind prinzipienorientiert und lassen damit Raum für eine Aufsichtspraxis, die die Größe und die individuellen Geschäftsmodelle der KVGen berücksichtigt. Dem Investor kommen die aufsichtsrechtlichen Anforderungen an die IT wiederum deshalb zugute, da diese letztendlich eine kontinuierliche und störungsfreie Erbringung der Dienstleistung sicherstellen sollen.