Die neuen MaRisk

Umsetzung mit Augenmaß

MaRisk-Novelle 2017 - Herausforderungen und Lösungen

Die MaRisk 6.0 sind da! Am 27. Oktober 2017 veröffentlichte die BaFin- nach ihrem ersten Konsultationsentwurf vom Februar 2016 – die finale Fassung der überarbeiteten Mindestanforderungen an das Risikomanagement (MaRisk neu).

Nach dieser langen Konsultationsphase stellen viele Anpassungen an den MaRisk keine Überraschung mehr dar - häufig handelt es sich um Klarstellungen beziehungsweise Ergänzungen. Einige der Neuerungen haben es jedoch in sich, vor allem in Kombination mit weiteren aktuellen aufsichtlichen Veröffentlichungen, wie etwa zum Zinsänderungsrisiko, zur Risikotragfähigkeit oder zu Auslagerungen. Hier ist eine detaillierte individuelle Analyse und Vorgehensweise erforderlich, um die Neuerungen angemessen in der Aufbau- und Ablauforganisation (schriftlich fixierte Ordnung, Prozesse und Kontrollen) sowie in den Systemen und Anwendungen entsprechend umzusetzen.

ANSPRECHPARTNER

Alexander Nölle

Partner

+49 (0) 173 / 4210 782

TRENDKONFERENZ

6. Trendkonferenz Aufsichtsrecht und Meldewesen

20.02.2018 in Frankfurt am Main

 

Infos & Teilnehmen

Zu den wesentlichen echten Neuerungen in den MaRisk zählen die Regelungen
  • zur effektiven Aggregation von Risikodaten,
  • zur gelebten Risikokultur,
  • zur Einführung eines Verhaltenskodex
sowie zur Verschärfung des Anwendungsbereichs bei Auslagerungssachverhalten, wenn Software eingesetzt wird, die zur Steuerung, Messung oder Überwachung von Risiken eingesetzt wird. Hierauf bezogene Unterstützungsleistungen der Anbieter müssen künftig ebenfalls als Auslagerung im Sinne von AT 9 MaRisk neu klassifiziert und entsprechend behandelt werden.

Wir begleiten Sie seit vielen Jahren bei der zielgerichteten, effizienten Umsetzung neuer regulatorischer Anforderungen

Auch jetzt bieten wir Ihnen kompetente Unterstützung an, um die neuen Anforderungen der MaRisk für Ihr Haus zu bewerten und passgenau umzusetzen - sei es in fachlicher, prozessualer oder technischer Sicht. Sie profitieren dabei von unserem schnittstellenübergreifenden Beratungsansatz, wonach wir stets über den fachlichen Tellerrand hinausschauen, Zusammenhänge aufzeigen und ein ausgewogenes Maß an Fachlichkeit und technischer Umsetzung berücksichtigen.
Sprechen Sie uns an und lassen Sie uns gemeinsam angemessene Lösungen für Ihr Haus umsetzen!

Die Neuerungen und Herausforderungen im Überblick:

AT 4.3.4 Risikodatenaggregation und Datenmanagement

Die BaFin betont in ihrem Anschreiben zur MaRisk-Novelle, dass dieser neu in die MaRisk eingefügte Abschnitt AT 4.3.4 zur Risikodatenaggregation zu den drei wesentlichen Neuerungen gehört. Der Adressatenkreis wurde allerdings eingeschränkt auf global oder anderweitig systemrelevante Institute. Diese Einschränkung deckt sich mit dem BCBS-Papier 239, das quasi als Blaupause für die nationale Umsetzung in den MaRisk angesehen werden kann.

Hintergrund dieser nun auch in den MaRisk verankerten Anforderungen sind die Erfahrungen der letzten Finanzmarktkrise. Banken fiel es damals schwer, risikorelevante Information verlässlich und schnell zur Verfügung zu stellen. Weder die betroffenen Banken noch die Aufsichtsbehörden waren in der Lage, inhaltlich angemessene und gleichzeitig auch zügige Entscheidungen zu treffen, die notwendig gewesen wären, um ein Ausbreiten der Krise soweit wie möglich zu vermeiden beziehunsgweise um zielgerichtete Maßnahmen für die betroffenen Institute zu treffen.

Die BaFin betont in ihrem Begleitschreiben gleichwohl, dass auch andere Institute, die nicht in den Anwendungsbereich des AT 4.3.4 MaRisk neu fallen, im "wohlverstandenen Eigeninteresse" prüfen sollten, ob ihre Aufbau- und Ablauforganisation hinsichtlich ihrer Risikodatenaggregationskapazitäten tatsächlich angemessen ausgestattet ist oder ob nicht auch für sie Optimierungsbedarf besteht.
BT 3 Risikoberichterstattung

Während sich der neue Abschnitt 4.3.4 primär an systemrelevante Institute richtet, sind die neuen Anforderungen zur Risikoberichterstattung an alle Institute gerichtet.

Die Anforderungen zur Risikoberichterstattung an die Geschäftsleitung sind umfassend. Dazu gehört auch, dass die Risikoberichte nicht ausschließlich auf aktuellen beziehungsweise historischen Daten beruhen dürfen, sondern zudem auch zukunftsgerichtete Einschätzungen enthalten müssen und auch Handlungsalternativen zur Risikoreduzierung berücksichtigt werden sollen.

In den Risikoberichten müssen auch die Ergebnisse der Stresstests sowie mögliche Auswirkungen aus Risikokonzentrationen berücksichtigt werden. Die Erstellung und Frequenz der Risikoberichte soll sich dabei auch an der Volatilität der einwirkenden Risiken orientieren.

Für das Aufsichtsorgan unter Risikogesichtspunkten wesentliche Informationen sind von der Geschäftsleitung unverzüglich weiterzuleiten.

Die BaFin betont, dass die Institute die Anforderungen des BT 3 weiterhin nach ihren "individuellen Bedürfnissen und Notwendigkeiten" zuschneiden dürfen. Dabei soll jedoch ein ausgewogenes Verhältnis zwischen quantitativen und qualitativen Informationen gewährleitet werden.
AT 3, AT 5 Risikokultur und Verhaltenskodex

Mit der MaRisk-Novelle stellt die Aufsicht nun klar, dass es auch zum Verantwortungsbereich der Geschäftsleiter gehört, eine angemessene Risikokultur zu etablieren. Als Risikokultur wird dabei die Art und Weise, wie Mitarbeiter des Instituts im Rahmen ihrer Tätigkeit mit Risiken umgehen sollen, definiert. Damit sollen unter Risikogesichtspunkten ausgewogene Entscheidungen gefördert werden. Charakteristisch für eine angemessene Risikokultur soll dabei unter anderem das klare Bekenntnis der Geschäftsleitung zu risikoangemessenem Verhalten sowie die Ermöglichung und Förderung eines transparenten und offenen Dialogs zu risikorelevanten Fragen innerhalb des Instituts sein. Die BaFin nimmt in ihrem Anschreiben zur MaRisk-Novelle insbesondere die Geschäftsleitung in die Pflicht, wonach es maßgeblich von ihr abhängt, die Risikokultur durch "eigenes Vorleben" angemessen zu etablieren. Für die Mitarbeiter sollen dabei ausdrücklich nicht nur monetäre Anreize gesetzt werden.

Korrespondierend zur Etablierung einer angemessenen Risikokultur hat die Aufsicht nun unter AT 5 auch die Schaffung eines angemessenen Verhaltenskodex für die Mitarbeiter zu den Organisationsrichtlinien definiert, dessen Ausgestaltung sich an Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten des Instituts ausrichten soll. Die Aufsicht billigt kleinen Instituten mit weniger komplexen Aktivitäten jedoch zu, dass die persönliche Ansprache der Mitarbeiter mitunter als ausreichend angesehen werden kann und insofern ein umfassender Verhaltenskodex damit nicht immer erforderlich sein soll.

AT 9 Auslagerungen

Die Aufsicht fordert von den Instituten, dass sie das Management besonderer, mit Auslagerungen verbundener Risiken effektiver gestalten und damit möglichen Kontrollverlusten entgegenwirken. Die Auslagerung von Risikocontrollingfunktionen soll daher künftig nur noch eingeschränkt möglich sein. Kleineren Instituten soll jedoch weiterhin eine vollständige Auslagerung der Compliance-Funktion sowie der Innenrevision möglich sein, sofern Art und Umfang der betriebenen Geschäftsaktivitäten dies zulassen.

Bei größeren Instituten beziehungsweise Instituten mit umfangreichen Auslagerungsaktivitäten muss ein zentrales Auslagerungsmanagement eingerichtet werden, um eine ausreichende Überwachung der mit den Auslagerungen verbundenen Risiken sicherzustellen. Bei wesentlichen Auslagerungen soll das Institut bereits bei Vertragsanbahnung festlegen, welchen Grad an Schlechtleistung es akzeptieren möchte.

Eine weitere wesentliche Neuerung im Bereich der Auslagerungen stellt die Erweiterung des Begriffs der Auslagerung dar, wonach bestimmte Software, die zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation von Risiken eingesetzt wird oder die für die Durchführung von bankgeschäftlichen Aufgaben von wesentlicher Bedeutung ist, als Auslagerungstatbestand anzusehen ist.

Bei dieser Art Software sollen zudem auch die Unterstützungsleitungen Dritter als Auslagerung klassifizieren und nicht etwa als sonstiger Fremdbezug von Leistungen (vgl. hierzu die Erläuterungen der Aufsicht zu AT 9 Auslagerungen, MaRisk neu).

AT 4.1, 4.3.3 Risikotragfähigkeit und Stresstests

In den überarbeiteten MaRisk wird gefordert, dass die Verfahren zur Sicherstellung der Risikotragfähigkeit sowohl das Ziel der Fortführung des Instituts als auch den Schutz der Gläubiger vor Verlusten aus ökonomischer Sicht angemessen berücksichtigen müssen. Der jeweils aktuelle Steuerungsansatz muss insoweit angepasst werden, als dass dem jeweils anderen Steuerungsansatz angemessen Rechnung getragen wird. Diese neue Anforderung ist insoweit konform mit dem neuen Leitfaden zur aufsichtlichen Beurteilung bankinterner Risikotragfähigkeit. Die Aufsicht betont im Rahmen ihrer Erläuterungen zu den neuen MaRisk, dass externe Daten im Rahmen der Ableitung der Risikotragfähigkeit nicht unreflektiert übernommen werden dürfen und für das Institut passend sein müssen. Auußerdem muss auf eine angemessene Unabhängigkeit zwischen Methodenentwicklung und Validierung geachtet werden.

BTR 3 Liquididätsrisiken
In den neuen MaRisk wird nun explizit gefordert, auch das untertägige Liquiditätsrisiko angemessen zu steuern und auf eine angemessene Diversifikation der Refinanzierungsquellen zu achten. Auch wird gefordert, dass die Entwicklung der belasteten Vermögenswerte (Assets Encumbered) entsprechend berücksichtigt und auch mit Notfallplänen verknüpft wird. In die Stresstests müssen sowohl institutseigene als auch marktweite Ursachen für Liquiditätsrisiken einbezogen und der voraussichtliche Überlebenshorizont ermittelt werden. Anhand eines internen individuellen Refinanzierungsplanes sollen Institute die Veränderungen der eigenen Geschäftstätigkeit oder der strategischen Ziele sowie Veränderungen des wirtschaftlichen Umfelds auf den Refinanzierungsplan hin beurteilen.
Sonstige neue Regelungen oder Klarstellungen (Ausschnitt)
  • Beim Wechsel von Mitarbeitern der Handels- und Marktbereiche in nachgelagerte Bereiche und Kontrollbereiche sind für Tätigkeiten, die gegen das Verbot der Selbstprüfung und -überprüfung verstoßen, angemessene Übergangsfristen vorzusehen (AT 4.3.1 Aufbau- und Ablauforganisation).

  • Intragruppenforderungen müssen in den Risikosteuerungs- und -controllingprozessen angemessen abgebildet werden (AT 4.3.2 Risikosteuerungs- controllingprozesse).

  • Regelmäßige und gegebenenfalls anlassbezogene Stresstests müssen auch für das Gesamtrisikoprofil des Instituts durchgeführt werden (AT 4.3.3 Stresstests, AT 4.5 Risikomanagement auf Gruppenebene).

  • Grundsätzlich ist die Compliance-Funktion unmittelbar der Geschäftsleitung unterstellt und berichtspflichtig. Sie kann auch an andere Kontrolleinheiten angebunden werden, sofern eine direkte Berichtslinie zur Geschäftsleistung existiert (AT 4.4.2 Compliance-Funktion).

  • Es ist sicherzustellen, dass für die Konzernrevision und die Internen Revisionen der gruppenangehörigen Unternehmen Revisionsgrundsätze und Prüfungsstandards gelten, die eine Vergleichbarkeit der Prüfungsergebnisse gewährleisten (AT 4.5 Risikomanagement auf Gruppenebene).

  • Die Anforderungen aus AT 7.2 (Technisch-organisatorische Ausstattung) müssen auch beim Einsatz von durch die Fachbereiche selbstentwickelten Anwendungen (Individuelle Datenverarbeitung - IDV) entsprechend der Kritikalität der unterstützten Geschäftsprozesse und der Bedeutung der Anwendungen für diese Prozesse beachtet werden.

  • Treten im Neu-Produkt-Prozess Häufungen von Unstimmigkeiten beziehungsweise Fehler bei getroffenen Einschätzungen auf, muss eine anlassbezogene Prüfung des Neu-Produkt-Prozesses durchgeführt werden. Bei Mängeln muss der Prozess unverzüglich angepasst werden (AT 8.1 Neu-Produkt-Prozess).

  • Eine vollständige Auslagerung der Compliance-Funktion oder der Internen Revision ist ferner nur bei kleinen Instituten möglich, sofern deren Einrichtung vor dem Hintergrund der Institutsgröße sowie der Art, des Umfangs, der Komplexität und des Risikogehalts der betriebenen Geschäftsaktivitäten nicht angemessen erscheint (AT 9 Auslagerung).

  • Das Institut muss abhängig von der Art, dem Umfang und der Komplexität der Auslagerungsaktivitäten ein zentrales Auslagerungsmanagement einrichten (AT 9 Auslagerung).

  • Im Rahmen der Kreditgewährung und gegebenenfalls auch der Kreditweiterbearbeitung beinhaltet die Überprüfung der Werthaltigkeit einer Sicherheit in Abhängigkeit von der Sicherheitenart ab einer vom Institut unter Risikogesichtspunkten festzulegenden Grenze eine Objektbesichtigung (BTO 1.2.1 Kreditgewährung).

  • Da Marktschwankungskonzepte lediglich eine erste Indikation für allgemeine Geschehnisse im jeweiligen Marktsegment liefern können, ist ihr alleiniger Einsatz zur Überprüfung der Werthaltigkeit von Immobiliensicherheiten nicht geeignet (BTO 1.2.2 Kreditweiterbearbeitung).

  • Bei der Festlegung der Kriterien muss das Institut auch die Engagements hinsichtlich eines Übergangs in die Intensivbetreuung angemessen berücksichtigen, bei denen Zugeständnisse hinsichtlich der Rückzahlungsmodalitäten zugunsten des Kreditnehmers gemacht wurden (Forbearance). Entsprechendes gilt für die Kriterien, die für den Übergang in die Sanierung beziehungsweise Abwicklung maßgeblich sind (BTO 1.2.4 Intensivbetreuung).

  • Die Erkenntnisse aus der Erlösquotensammlung müssen bei der Steuerung der Adressenausfallrisiken angemessen berücksichtigt werden (BTR 1 Adressenausfallrisiken).

  • Die Prozesse zum Management operationeller Risiken sollten auch den Umgang mit nicht eindeutig zuordenbaren Schadensfällen (boundary events), Beinaheverlusten und zusammenhängenden Ereignissen umfassen. Größere Institute sollten hierfür eine Ereignisdatenbank für Schadensfälle einrichten, bei der die vollständige Erfassung aller Schadensereignisse oberhalb angemessener Schwellenwerte sichergestellt ist (BTR 4 Operationelle Risiken).

  • Beim Wechsel von Mitarbeitern anderer Organisationseinheiten zur internen Revision sind angemessene Übergangsfristen von in der Regel mindestens einem Jahr vorzusehen, innerhalb derer diese Mitarbeiter keine Tätigkeiten prüfen dürfen, die gegen das Verbot der Selbstprüfung und -überprüfung verstoßen BT 2.2 Grundsätze für die Interne Revision).

  • Die interne Revision muss außerdem über die im Jahresablauf festgestellten schwerwiegenden sowie über die noch nicht behobenen wesentlichen Mängel in inhaltlich prägnanter Form an die Geschäftsleitung und das Aufsichtsorgan berichten (Jahresbericht). Dabei müssen die aufgedeckten schwerwiegenden Mängel, die beschlossenen Maßnahmen sowie der Status dieser Maßnahmen besonders hervorgehoben werden. Über besonders schwerwiegende Mängel muss die interne Revision unverzüglich berichten (BT 2.4 Berichtspflicht).

Umsetzungsfristen

Die neue Fassung der MaRisk tritt mit Veröffentlichung in Kraft. Um den Instituten ausreichende Umsetzungszeiträume für Änderungen einzuräumen, die im MaRisk-Kontext neu und nicht lediglich Klarstellungen schon vorhandener Anforderungen sind, gilt für diese neuen Anforderungen eine Umsetzungsfrist bis zum 31.10.2018.

Die neuen MaRisk - warum msgGillardon?

  • Wir bieten Ihnen interdisziplinär aufgestellte Teams (Risikomanagement, Aufsichtsrecht und Business IT-Alignement), die sowohl über den einschlägigen fachlichen als auch technischen Sachverstand verfügen und somit eine effiziente Umsetzung sicherstellen.

  • Unsere Teammitglieder verfügen über umfassende aufsichtsrechtliche und prüferische Expertise, so dass sie die Angemessenheit von Dokumenten, Prozessen und Systemen adäquat einschätzen und sicherstellen können.

  • Durch unsere langjährige Erfahrung aus zahlreichen regulatorischen Umsetzungsprojekten wissen wir, wie die Aufsicht tickt. Spielräume bei der Umsetzung können wir so angemessen berücksichtigen.

  • Wir vermeiden ein Over-Engineering und stellen damit sicher, dass Umsetzungen in Ihrem Hause sowohl kosteneffizient aber auch passgenau und jederzeit nachvollziehbar sind.

Business Consulting - Ihre Ansprechpartner

Aufsichtsrecht

 

Alexander Nölle

Partner

 +49 (0) 173 / 4210 782

Risikomanagement

 

Andreas von Heymann

Executive Partner

+49 (0) 172 / 6036 956

Business IT-Alignment

 

Christoph Prellwitz

Executive Partner

+49 (0) 175 / 2262 888

SUCHE

Sparkassen-Finanzgruppe

Unsere Lösungen für Sie

mehr erfahren