MaRisk-Novelle

Am 18. Februar 2016 hat die BaFin einen Entwurf zur Überarbeitung der Mindestanforderungen an das Risikomanagement von Banken und Finanzdienstleistungsinstituten (MaRisk) vorgelegt. Voraussichtlich tritt die 5. MaRisk-Novelle noch in diesem Jahr in Kraft.

Zu erwarten ist, dass es sich bei dieser Novelle letztmals um ein Rundschreiben der nationalen Aufsicht handeln wird. Das Abwicklungsmechanismusgesetz enthält eine Ermächtigung des Bundesministeriums der Finanzen (BMF), zukünftig eine Risikomanagementverordnung zu erlassen. Diese wird als Verordnung eine deutlich erhöhte Verpflichtung zur Anwendung inklusive entsprechender Sanktionsmechanismen enthalten. Der Erlass wird im Einvernehmen mit der Deutschen Bundesbank und der Europäischen Zentralbank erfolgen.

Die aktuelle Überarbeitung der MaRisk ist vor allem auf die Umsetzung neuer europäischer und internationaler Regelungen zurückzuführen, hauptsächlich der neuen Standards der Europäischen Bankenaufsichtsbehörde (EBA) sowie des Basler Ausschusses für Bankenaufsicht (BCBS). So wurden die Anforderungen aus BCBS 239 sowie das Risikokulturpapier des Financial Stability Boards in den neuen MaRisk berücksichtigt.

Ein weiterer Schwerpunkt der Überarbeitung sind Auslagerungslösungen: Mit der Novelle gibt die BaFin Grenzen für Auslagerungslösungen vor und stellt die institutsinterne Überwachung von ausgelagerten Aktivitäten und Prozessen in den Vordergrund. Daneben fließen die Erkenntnisse aus der Verwaltungspraxis der vergangenen Jahre in die neuen MaRisk mit ein.

Die wichtigsten inhaltlichen Neuerungen des Entwurfs betreffen insbesondere folgende Themen:

Aggregation der Risikodaten

Die neue MaRisk-Novelle stellt gesteigerte Anforderungen an die Datenqualität und die Datenintegrität (betrifft nur systemrelevante Institute [> 30 Mrd. Euro]):

  • Risikodaten müssen vollständig und nach unterschiedlichen Kategorien auswertbar sein. 
  • Die Datenqualität der Risikodaten ist zu überwachen. 
  • Die Konsistenz der Daten muss einen Abgleich der Risikodaten mit anderen Datenbeständen ermöglichen. 
  • Die zeitnahe Verfügbarkeit relevanter Daten ist auch in Stresssituationen sicherzustellen. 
  • Kapazitäten zur Datenaggregation sind flexibel und leistungsfähig aufzubauen, um Ad-hoc-Berichterstattungen zu ermöglichen. 
  • Schaffung eines Rahmenwerks sowie einer Organisationsstruktur, die nachvollziehbar und transparent dokumentiert werden.

Auslagerungen

  • Schaffung einer zentralen Stelle für das Auslagerungsmanagement. 
  • Auslagerungen in Kernbankbereichen und den Kontrollbereichen können nur dann vorgenommen werden, wenn das auslagernde Institut weiterhin über ausreichende Kenntnisse und Erfahrungen verfügt, sodass die Steuerung dieser ausgelagerten Bereiche und eine mögliche Rückverlagerung gewährleistet sind. 
  • Die Risikocontrolling-Funktion kann nicht voll ausgelagert werden; eine Vollauslagerung der Compliance-Funktion sowie der Internen Revision ist nur bei kleinen Instituten möglich. 
  • Für unbeabsichtigte und unerwartete Beendigungen von Auslagerungen sind Ausstiegsstrategien festzulegen. 
  • Der Einsatz von Software und damit verbundene Dienstleistungen im Risikomanagement oder bei der Durchführung von Kernbankaktivitäten fallen künftig auch unter den Auslagerungstatbestand, wenn die Software und die damit verbundenen Dienstleistungen individuell an die Bedürfnisse des Instituts/mehrere Institute angepasst wurden.

Risikoberichterstattung

  • Risikoberichterstattung ist in nachvollziehbarer, aussagefähiger Art und Weise zu verfassen. Die Risikolage ist zu beurteilen. 
  • Die Risikoberichte sind auf Basis von vollständigen, genauen und aktuellen Daten zu erstellen. 
  • Risikoberichte müssen auch eine zukunftsorientierte Risikoeinschätzung abgeben. 
  • Die Reports sind zeitnah zu erstellen, sodass wirksam gegengesteuert werden kann. 
  • Neben der turnusmäßigen Erstellung von Risikoberichten muss das Institut in der Lage sein, Ad-hoc-Risikoberichte zu erstellen.

Risikokultur

Der Begriff der „Risikokultur“ wird mit der 5. MaRisk-Novelle neu eingeführt. Die Risikokultur soll künftig Teil des Risikomanagements werden.

  • Zur Verankerung der Risikokultur ist zunächst die Festlegung strategischer Ziele und des Risikoappetits notwendig. 
  • Die Festlegung der strategischen Ziele und des Risikoappetits soll umfassend innerhalb des Instituts kommuniziert werden. 
  • Die Risikokultur soll die Identifizierung und den bewussten Umgang mit Risiken fördern. Entsprechende Anreizverfahren sowie ein Verhaltenskodex für Mitarbeiter sind zu entwickeln.

Die neue MaRisk-Novelle stellt die Kreditinstitute vor erhebliche organisatorische Herausforderungen, um die Neuregelungen zeitnah und sachgerecht umzusetzen. Insbesondere hinsichtlich der Anforderungen an das Management von Risikodaten und die Risikoberichterstattung sehen wir einen hohen Anpassungsbedarf. Auch wenn die Anforderungen an die Risikodaten nur von systemrelevanten Banken umzusetzen sind, wird die Aufsicht auch bei kleineren Instituten die Prozesse hinterfragen.

Die mit der Novelle obligatorische Einrichtung eines zentralen Auslagerungsmanagements führt bei den meisten Instituten zu Handlungsbedarf: Ein zentrales Auslagerungscontrolling, das vorwiegend für die Überwachung der ausgelagerten Bereiche verantwortlich ist, muss insbesondere bei zahlreichen kleinen und mittleren Instituten erst implementiert werden.

Downloads

Share