Detail

5. MaRisk-Novelle – Rundschreiben 09/2017 (BA)

31.10.2017

— News 27.10.2017: Veröffentlichung der Endfassung der 5. MaRisk-Novelle —

Die 5. MaRisk-Novelle liegt seit dem 27.10.2017 in der endgültigen Fassung vor sowie zusätzlich wie gewohnt auch als Erläuterungsversion.

Erste Analysen zeigen, dass sich die Änderungen gegenüber der inoffiziellen Zwischenversion vom 23.06.2016 im Rahmen halten.

Im Anschreiben differenziert die BaFin den Umsetzungszeitraum nach Art der Änderung wie folgt:

  • Änderungen, die lediglich klarstellender Natur sind: Anwendung unmittelbar nach Veröffentlichung
  • Inhaltlich neue Anforderungen: Umsetzung bis 31.10.2018
  • Anforderungen des AT 4.3.4 an Datenmanagement, Datenqualität und Aggregation von Risikodaten (Umsetzung der BCBS239 Anforderungen durch systemrelevante Institute): 3 Jahre Umsetzungsfrist ab Einstufung als systemrelevantes Institut

Unsere Aussagen zu wesentlichen Themenbereichen im folgenden Beitrag behalten daher ihre Gültigkeit. Ergänzungen zur finalen Fassung folgen in Kürze. ——————————————————————————————————————————————————

Das BaFin hat am 18. Februar 2016 die MaRisk Novelle 2016 zur Konsultation veröffentlicht. Stellungnahmen werden bis zum 07.04.2016 erbeten. Wie in der Vergangenheit wurden die Mindestanforderungen wieder als Rundschreiben und nicht wie teilweise im Vorfeld vermutet als Verordnung veröffentlicht. Die bestehende Praxis der Proportionalitätsgrundsätze ist damit erhalten geblieben. Das Zusammenspiel mit den Europäischen Prüfungsrichtlinien für die Aufseher (SREP) wird zu beobachten sein.

Die Novelle übernimmt und konkretisiert wie erwartet u.a. folgende Themen aus europäischen wie auch aus Baseler Regelwerken:

Die beiden Abbildungen stellen die wesentlichen Inhalte der einzelnen Themen sowie die damit verbundenen Zielsetzungen im Überblick dar. Auf die Themen Risikokultur, Risikodatenaggregation und Risikoberichterstattung, IT-Risk sowie Auslagerungsmanagement gehen wir im Folgenden dezidiert ein.

Risikokultur

Beim Thema Risikokultur verdeutlicht die Aufsicht über die Darstellung der Zusammenhänge mit dem Baseler CRD IV Papier (Erwägungsgrund 54 der CRD IV) sowie den EBA Leitlinien für den aufsichtlichen Überprüfungs- und Bewertungsprozess (SREP) die Bedeutung der Anforderung und stellt klar, dass für die Durchsetzung der Risikokultur die oberste Führungsebene verantwortlich ist. Die Risikokultur ist Teil des Risikomanagements. Es werden bekannte Elemente integriert wie die Definition des Risikoappetits (bisher Risikotoleranzen) aber auch neue Anforderungen wie die Einführung eines Verhaltenskodex für alle Mitarbeiter.

Wesentlich im Kontext der Risikokultur sind die folgenden Anforderungen:

  • Die Risikokultur ist in Entscheidungsprozesse so zu integrieren, dass Entscheidungen unter Risikoaspekten ausgewogen sind.
  • Klares Bekenntnis zu risikoangemessenem Verhalten, strikte Beachtung des Risikoappetits
  • Ermöglichung und Förderung eines transparenten und offenen Dialogs zu risikorelevanten Fragen.

Risikodatenaggregation und Risikoberichterstattung

Wie erwartet hat die deutsche Aufsicht die Anforderungen aus dem Baseler Papier BCBS239 in die MaRisk integriert. Die Anforderungen an die Risikodatenaggregation sind im AT 4.3.4 gebündelt und gelten für Banken mit einem Bilanzvolumen > 30 Mrd. €. Für diese in der Regel auch direkt von BCBS 239 betroffenen Institute sind keine Überraschungen enthalten. An alle anderen Instituten wird appelliert, die Erfüllung der Anforderungen zu prüfen und ebenfalls umzusetzen. Dies empfehlen wir ausdrücklich, denn es ist fraglich, inwieweit ohne Investitionen und Maßnahmen in die Datenarchitektur und IT-Infrastruktur die für alle geltenden Anforderungen an die Risikoberichterstattung erfüllt werden können.

Für die Risikoberichterstattung wurde der neue BT3 geschaffen. In diesem Teil wurden die bisher bereits enthaltenen Anforderungen an die Risikoberichterstattung um wesentliche Kernpunkte aus dem BCBS Papier ergänzt. Neben den bekannten Themen Ad-hoc-Berichterstattung und Planungsrechnungen (z.B. für Eigenkapital), ist hier die Aufnahme von Prognosen und auch von den makroökonomischen Planungsgrundlagen zu nennen, deren Systematik auch aus dem SREP Papier bekannt ist. Abgerundet wird das Thema Risikoberichterstattung durch Mindestvorgaben an die Berichtsstruktur. Im Anschreiben stellt die Aufsicht klar, dass für einzelne Risikoberichte Produktionszeiträume von mehreren Wochen nicht mehr hinnehmbar sind. Da aber eindeutige Vorgaben fehlen, haben die Institute hier über Angemessenheitsprüfungen für sich darzulegen, welche Produktionszeiten für welche Risikoberichte angemessen sind.

IT Risk und Regelungen zur IDV

Das Thema IT Risk stand spätestens seit dem SREP Papier als Teil des OpRisk im Fokus der Aufsicht und findet sich jetzt in den Erläuterungen des AT 4.3.2 wieder. Diese Risikoart ist in den gesamten Risikosteuerungs- und -controllingprozess zu integrieren. Dies umfasst eine Schutzbedarfsanalyse sowie darauf aufbauend die Ableitung von Sicherheitsanforderungen und die Definition von Sicherheitsmaßnahmen.

Im AT 7.2 regelt die Aufsicht erstmals ausdrücklich den Umgang mit IDV Lösungen. So ist künftig für IDV Lösungen auch eine Schutzbedarfsanalyse der Daten durchzuführen. Als Grundlage ist eine intelligente Bestandsaufnahme notwendig. Intelligent bedeutet dabei, dass mit Hilfe eines strukturierten Vorgehens die Menge der potentiellen Daten bzw. Anwendungen drastisch reduziert werden kann.

Auslagerungsmanagement

Wie bereits im Jahresbericht der BaFin für 2014 angekündigt, wird die Rolle eines zentralen Auslagerungsmanagements gefordert und eingeführt. Insgesamt werden Auslagerungen deutlich stringenter und schärfer geregelt, beispielsweise durch folgende Präzisierungen bzw. Ergänzungen:

  • Software zur Durchführung bankgeschäftlicher Aufgaben (Corebankingsysteme) wird immer als Auslagerung gewertet.
  • Versagungstatbestände bzw. Anforderungen bei Auslagerungen bestimmter Funktionen (z.B. Compliance oder Revision) werden konkretisiert.
  • Eine vollständige Auslagerung der Risikocontrollingfunktion ist verboten.
  • Zivilrechtliche Vertragsgestaltungen verhindern nicht die Einstufung als Auslagerung.

Im Rahmen der Risikoberichterstattung ist künftig mindestens jährlich ein Auslagerungsbericht zu erstellen.

  • PSD2
  • BCBS 239
  • MaRisk
  • Säule 2

Ihr Ansprechpartner

Peter Nuding, Senior Manager

Peter Nuding
Senior Manager

+49 (0)171 4903234
Peter.Nuding@plenum.de

Newsletter
abonnieren