Telefon: +49(0)69 6435-7225
Telefax: +49(0)69 6435-7227
info@plenum.de

5. MaRisk-Novelle – Rundschreiben 09/2017 (BA)

31.10.2017

Zurück

News 27.10.2017: Veröffentlichung der Endfassung der 5. MaRisk-Novelle

Die 5. MaRisk-Novelle liegt seit dem 27.10.2017 in der endgültigen Fassung vor sowie zusätzlich wie gewohnt auch als Erläuterungsversion.

Erste Analysen zeigen, dass sich die Änderungen gegenüber der inoffiziellen Zwischenversion vom 23.06.2016 im Rahmen halten.

Im Anschreiben differenziert die BaFin den Umsetzungszeitraum nach Art der Änderung wie folgt:

  • Änderungen, die lediglich klarstellender Natur sind: Anwendung unmittelbar nach Veröffentlichung
  • Inhaltlich neue Anforderungen: Umsetzung bis 31.10.2018
  • Anforderungen des AT 4.3.4 an Datenmanagement, Datenqualität und Aggregation von Risikodaten (Umsetzung der BCBS239 Anforderungen durch systemrelevante Institute): Drei Jahre Umsetzungsfrist ab Einstufung als systemrelevantes Institut

Unsere Aussagen zu wesentlichen Themenbereichen im folgenden Beitrag behalten daher ihre Gültigkeit. Ergänzungen zur finalen Fassung folgen in Kürze.

 

———————————————————————————————————————————————————————————————

 

Das BaFin hat am 18.02.2016 die MaRisk Novelle 2016 zur Konsultation veröffentlicht. Stellungnahmen werden bis zum 07.04.2016 erbeten. Wie in der Vergangenheit wurden die Mindestanforderungen wieder als Rundschreiben und nicht wie teilweise im Vorfeld vermutet als Verordnung veröffentlicht. Die bestehende Praxis der Proportionalitätsgrundsätze ist damit erhalten geblieben. Das Zusammenspiel mit den Europäischen Prüfungsrichtlinien für die Aufseher (SREP) wird zu beobachten sein.

Die Novelle übernimmt und konkretisiert wie erwartet u. a. folgende Themen aus europäischen wie auch aus Baseler Regelwerken:

 

 

Die beiden Abbildungen stellen die wesentlichen Inhalte der einzelnen Themen sowie die damit verbundenen Zielsetzungen im Überblick dar. Auf die Themen Risikokultur, Risikodatenaggregation und Risikoberichterstattung, IT-Risk sowie Auslagerungsmanagement gehen wir im Folgenden dezidiert ein.

 

risikokultur

Beim Thema Risikokultur verdeutlicht die Aufsicht über die Darstellung der Zusammenhänge mit dem Baseler CRD IV Papier (Erwägungsgrund 54 der CRD IV) sowie den EBA Leitlinien für den aufsichtlichen Überprüfungs- und Bewertungsprozess (SREP) die Bedeutung der Anforderung und stellt klar, dass für die Durchsetzung der Risikokultur die oberste Führungsebene verantwortlich ist. Die Risikokultur ist Teil des Risikomanagements. Es werden bekannte Elemente integriert wie die Definition des Risikoappetits (bisher Risikotoleranzen) aber auch neue Anforderungen wie die Einführung eines Verhaltenskodex für alle Mitarbeiter.

Wesentlich im Kontext der Risikokultur sind die folgenden Anforderungen:

  • Die Risikokultur ist in Entscheidungsprozesse so zu integrieren, dass Entscheidungen unter Risikoaspekten ausgewogen sind.
  • Klares Bekenntnis zu risikoangemessenem Verhalten, strikte Beachtung des Risikoappetits.
  • Ermöglichung und Förderung eines transparenten und offenen Dialogs zu risikorelevanten Fragen.

 

risikodatenaggregation und risikoberichterstattung

Wie erwartet hat die deutsche Aufsicht die Anforderungen aus dem Baseler Papier BCBS239 in die MaRisk integriert. Die Anforderungen an die Risikodatenaggregation sind im AT 4.3.4 gebündelt und gelten für Banken mit einem Bilanzvolumen > 30 Mrd. €. Für diese in der Regel auch direkt von BCBS 239 betroffenen Institute sind keine Überraschungen enthalten. An alle anderen Instituten wird appelliert, die Erfüllung der Anforderungen zu prüfen und ebenfalls umzusetzen. Dies empfehlen wir ausdrücklich, denn es ist fraglich, inwieweit ohne Investitionen und Maßnahmen in die Datenarchitektur und IT-Infrastruktur die für alle geltenden Anforderungen an die Risikoberichterstattung erfüllt werden können.

Für die Risikoberichterstattung wurde der neue BT3 geschaffen. In diesem Teil wurden die bisher bereits enthaltenen Anforderungen an die Risikoberichterstattung um wesentliche Kernpunkte aus dem BCBS Papier ergänzt. Neben den bekannten Themen Ad-hoc-Berichterstattung und Planungsrechnungen (z. B. für Eigenkapital), ist hier die Aufnahme von Prognosen und auch von den makroökonomischen Planungsgrundlagen zu nennen, deren Systematik auch aus dem SREP Papier bekannt ist. Abgerundet wird das Thema Risikoberichterstattung durch Mindestvorgaben an die Berichtsstruktur. Im Anschreiben stellt die Aufsicht klar, dass für einzelne Risikoberichte Produktionszeiträume von mehreren Wochen nicht mehr hinnehmbar sind. Da aber eindeutige Vorgaben fehlen, haben die Institute hier über Angemessenheitsprüfungen für sich darzulegen, welche Produktionszeiten für welche Risikoberichte angemessen sind.

 

it risk und regelungen zur idv

Das Thema IT Risk stand spätestens seit dem SREP Papier als Teil des OpRisk im Fokus der Aufsicht und findet sich jetzt in den Erläuterungen des AT 4.3.2 wieder. Diese Risikoart ist in den gesamten Risikosteuerungs- und -controllingprozess zu integrieren. Dies umfasst eine Schutzbedarfsanalyse sowie darauf aufbauend die Ableitung von Sicherheitsanforderungen und die Definition von Sicherheitsmaßnahmen.

Im AT 7.2 regelt die Aufsicht erstmals ausdrücklich den Umgang mit IDV-Lösungen. So ist künftig für IDV-Lösungen auch eine Schutzbedarfsanalyse der Daten durchzuführen. Als Grundlage ist eine intelligente Bestandsaufnahme notwendig. Intelligent bedeutet dabei, dass mit Hilfe eines strukturierten Vorgehens die Menge der potentiellen Daten bzw. Anwendungen drastisch reduziert werden kann.

 

auslagerungsmanagement

Wie bereits im Jahresbericht der BaFin für 2014 angekündigt, wird die Rolle eines zentralen Auslagerungsmanagements gefordert und eingeführt. Insgesamt werden Auslagerungen deutlich stringenter und schärfer geregelt, beispielsweise durch folgende Präzisierungen bzw. Ergänzungen:

  • Software zur Durchführung bankgeschäftlicher Aufgaben (Corebankingsysteme) wird immer als Auslagerung gewertet.
  • Versagungstatbestände bzw. Anforderungen bei Auslagerungen bestimmter Funktionen (z. B. Compliance oder Revision) werden konkretisiert.
  • Eine vollständige Auslagerung der Risikocontrollingfunktion ist verboten.
  • Zivilrechtliche Vertragsgestaltungen verhindern nicht die Einstufung als Auslagerung.

Im Rahmen der Risikoberichterstattung ist künftig mindestens jährlich ein Auslagerungsbericht zu erstellen.

Wir verwenden auf unserer Webseite verschiedene Cookies: notwendige Cookies, die für die Nutzung unserer Webseiten zwingend erforderlich sind sowie Performance Cookies, mit denen wir aggregierte Daten zur Webseitennutzung und Statistiken generieren. Wenn Sie auf "zustimmen" klicken, stimmen Sie der Verwendung aller Cookies zu. Unter "cookie-einstellungen" können Sie eine individuelle Auswahl treffen. Aus Anlass der Rechtsprechung des EuGH haben sich die Rechtsgrundlagen der Datenübermittlung für die Nutzung des Analysetools Google Analytics und des Verzeichnisses Google Fonts geändert. Wenn Sie auf "zustimmen" klicken, willigen Sie auch in den Datentransfer in die USA ein. Mehr in unseren Datenschutzregelungen.

ihre einstellungen für diese webseite

Wir verwenden folgende nicht technisch notwendigen Cookies auf unserer Webseite. Mit Setzen des Hakens willigen Sie der Datenverarbeitung des angeklickten Cookies ein. Die Einwilligung ist freiwillig und kann jederzeit mittels der Cookie-Einstellungen widerrufen bzw. angepasst werden. Weitere Informationen dazu und zur Datenverarbeitung mittels Cookies finden Sie in unserer Datenschutzerklärung.