Entwurf der MaRisk –Novelle: Die wichtigsten vorgesehenen Änderungen und ihre Auswirkungen auf die implementierten Risikomanagement- und Compliance-Systeme

  1. Home
  2. Blog
  3. Compliance / Risikomanagement
  4. Blog Post
Veröffentlicht am 19.04.2016

Ein Gastbeitrag von Oliver Tiebing, Geschäftsführer RFC Professionals GmbH

Die BaFin hat am 18.02.2016 den Entwurf der MaRisk-Novelle veröffentlicht. Stellungnahmen konnten bis 07. April 2016 abgegeben werden. Einen Termin zur Veröffentlichung der endgültigen Version nennt die BaFin nicht. Es ist aber mit einem Zeitpunkt in 2016 zu rechnen. Aus der Novelle ergeben sich drei Schwerpunktthemen:

  • Risikodatenaggregation und Risikoberichterstattung (AT 4.3.4 und BT 3): Es besteht die gesteigerte Notwendigkeit, schnell Auswertungen hoher Qualität zur Steuerung und zur Berichterstattung liefern zu können. Für systemrelevante Institute sind die Anforderungen des BCBS 239 in die MaRisk aufgenommen worden. Schon im Vorfeld und damit auch für kleinere Institute, war eine Gesamtbanksteuerung zu etablieren, die die wesentlichen Risiken frühzeitig erfasst und darstellt. Diese Anforderung ist für große Institute nun konkretisiert und erhöht worden, was großen Umsetzungsbedarf mit sich bringen dürfte, wie z.B. automatisierte Datenüberleitbarkeit und Datenaggregation, Auswertbarkeit nach verschiedenen Kategorien, Abgleich der Risikodaten innerhalb des Instituts zur Schwachstellenerkennung, den Anforderungen von Abfragen in Stressphasen gewachsene Aggregationskapazitäten, Festlegung von Verantwortlichkeiten und Kontrollen. Die Risikoberichterstattung ist neu, unter Proportionalitätsgesichtspunkten für alle Institute geregelt worden. Auch hier wird auf erhöhte Datenqualität und die Ad-hoc Berichtsfähigkeit abgestellt.
  • Risikokultur (AT 3 und 5): Der Aufbau einer Risikokultur soll im Rahmen der Gesamtverantwortung durch die Geschäftsleitung für die Geschäftsordnung erfolgen. Diese in der höchsten Hierarchie verankerte Aufgabe zeigt, dass die Risikokultur sich in allen Prozessen niederschlagen muss und innerhalb einer Unternehmenskultur langfristig zu verankern ist. Es dürfte ein langer Weg sein, Risikobewusstsein in allen Marktabteilungen zu etablieren. Die Risikokultur ist Bestandteil des SREP-Überprüfungsverfahrens.
  • Auslagerungen (AT 9): Die Voraussetzungen für Auslagerungen werden konkretisiert, vor allem für die Kontrollbereiche Risikocontrolling (keine Voll-Auslagerung möglich), Compliance und Interne Revision (Voll-Auslagerung nur bei kleineren Instituten). Hier und in den Kernbankbereichen muss eine Rückführung der Aufgaben möglich sein. Dazu müssen fundierte Kenntnisse und Erfahrungen weiterhin im Institut selbst vorhanden bleiben. Diese wesentlichen Auslagerungen müssen durch einen Auslagerungsbeauftragten überwacht werden. Es muss immer ein zentrales Auslagerungsmanagement geben, welches für die Kontrolle und Überwachung der internen Anforderungen, wie auch der externen Dienstleister, Dokumentation sowie für die Koordination und Überprüfung der Risikoanalyse der Auslagerungen zuständig ist.

 

Neben diesen Schwerpunkten sind weitere Änderungen mit größeren Prozess- oder Dokumentationsimplikationen vorgesehen. Dies sind vor allem:

  • Cooling-Off (AT 4.3.1): Wechsel vom Markt in die Marktfolge oder die Kontrollfolge ist nur nach angemessener Übergangsfrist möglich.
  • Positionsverantwortung für das Risikocontrolling (AT 4.4.1): Der Geschäftsleiter, der für die Risikocontrollingfunktion verantwortlich ist, darf auch für die Marktfolge zuständig sein. Bei Instituten mit maximal 3 Geschäftsleitern darf der Geschäftsleiter für das Risikocontrolling auch für das nicht-risikorelevante Kreditgeschäft zuständig sein.
  • Produktkatalog (AT 8.1): Die aufgenommenen Produkte müssen regelmäßig überprüft werden, ob sie weiterhin im Neugeschäft in Verwendung sind.
  • Neu-Produkte-Prozess (AT 8.1): Der NPP ist zu überprüfen, ob er einem sachgerechten Umgang gedient hat. Dazu sind die Konzepte zu bewerten, ob in Hinblick auf Risikoeinschätzungen gezogene Konsequenzen richtig waren. Mängel im NPP sowie sachgerechte Handhabungen sind zu überprüfen.
  • Forbearance (BTO 1.2.4): In den Kriterien zur Zuordnung für die Intensivbetreuung sind Zugeständnisse, die an den Schuldner gemacht werden, zu berücksichtigen. Eine institutsindividuelle Festlegung soll angelehnt an die EBA-Kriterien erfolgen.
    Erfassung von Abwicklungserlösen (BTR 1 (7)): Abwicklungserlöse und historische Sicherheitenwerte sind zu messen und in der Adressrisikosteuerung zu berücksichtigen.
  • Liquiditätsrisiko (BTR 3): Es sind erhöhte Anforderungen an die Liquiditätsreserven vorgesehen. Sie müssen so bemessen sein, dass sie auch in Stressphasen ausreichend sind und die Liquiditätslage ist so darzustellen, dass der kurz-, mittel- und langfristige Bereich abgedeckt ist.


MaRisk Novelle rückt BCBS 239 in den Fokus
Die Übernahme der Inhalte des Baseler Papiers BCBS 239 zur Risikodatenaggregation und zur Risikoberichterstattung in die deutsche Aufsichtspraxis ist wie erwartet ein wesentliches Schwerpunktthema der MaRisk Novelle (Entwurf vom 18.02.2016).

Um Banken besser auf künftige Krisenfälle vorzubereiten, hatte der Basler Ausschuss für Bankenaufsicht im Januar 2013 vierzehn Grundsätze hinsichtlich Risikodatenaggregation und Risikoberichterstattung veröffentlicht, die von den global systemrelevanten Banken bereits bis Ende 2015 umzusetzen waren. Ziel ist die Verbesserung der IT-Infrastruktur der Institute in Bezug auf eine umfassende, genaue und aktuelle Aggregation der Risikopositionen und die zeitnahe Verfügbarkeit dieser Informationen für das Berichtswesen. Im Einzelnen werden die 14 Grundsätze von BCBS 239 vier verschiedenen Oberbegriffen zugeordnet:
1. Gesamtunternehmensführung und Infrastruktur (Grundsatz 1 und 2)
2. Risikodaten-Aggregationskapazitäten (Grundsatz 3-6)
3. Risikoberichterstattung (Grundsatz 7-11)
4. Aufsichtliche Überprüfungen, Instrumente und Zusammenarbeit (Grundsatz 12-14).

Die wesentlichen Aussagen der Grundsätze sind nun in der MaRisk Novelle wiederzufinden. Dabei sind die ersten beiden Themenblöcke „Gesamtunternehmensführung und Infrastruktur“ sowie „Risikodaten-Aggregationskapazitäten“ in AT 4.3.4 „Datenmanagement, Datenqualität und Aggregation von Risikodaten“ zusammengefasst. Dieses Modul richtet sich lediglich an große und komplexe Institute mit einer Bilanzsumme größer als 30 Mrd. Euro. Die Anforderungen beziehen sich u.a. auf Data-Governance, einheitliche Namenskonventionen, Datenqualität und -vollständigkeit, Datenabgleich von Risiko mit Rechnungswesen und Meldewesen, Datenaktualität (auch in Stressphasen) sowie die Anpassungsfähigkeit der Datenaggregationen (Ad-hoc Informationen, Auswertungen nach unterschiedlichen Kategorien, Drilldown bis hinunter zur Einzelgeschäftsebene). Aus dem Modul resultiert ein massiver Anpassungsbedarf der in vielen Banken durch Datensilos und manuelle Reporting-Prozesse gekennzeichneten IT-Landschaften.

Der dritte Themenblock „Risikoberichterstattung“ ist in das Modul BT 3 „Anforderungen an die Risikoberichterstattung“ eingeflossen und gilt für alle Institute. Risikoberichte müssen demnach nachvollziehbar und aussagefähig sein, d.h. sie müssen u.a. ein inhaltlich angemessenes Verhältnis zwischen quantitativen Informationen und qualitativer Beurteilung, zukunftsorientierte Risikoeinschätzungen, Aussagen über Risikokonzentrationen und Ergebnisse aus Stresstests beinhalten. Sie sollen auf vollständigen, genauen und aktuellen Daten beruhen, sind im zeitlich angemessenen Rahmen zu erstellen und müssen Ad-hoc Auswertungen flexibel ermöglichen.

Banken sollten sich also spätestens jetzt im Rahmen einer Gap-Analyse mit den Auswirkungen von BCBS 239 auf die Organisationsstruktur, Reporting-Prozesse und IT-Architektur ihres Hauses auseinandersetzen und eine Umsetzungsstrategie entwickeln. In vielen großen Häusern sind dazu bereits Programme aufgesetzt und gestartet worden. Auch wenn sich das Modul AT 4.3.4 „Datenmanagement, Datenqualität und Aggregation von Risikodaten“ explizit auf große und komplexe Institute bezieht, werden auch kleinere Banken nicht umhin können, ihre Reporting-Prozesse zu automatisieren, die Produktionszeiten zu verringern und die Datenaggregationskapazitäten zu modernisieren. Anders wird eine Umsetzung von BT 3 nur schwer möglich sein. So betont der Baseler Ausschuss immer wieder die Interdependenzen zwischen der Risikoberichterstattung und dem Datenmanagement. Und auch die Bafin weist explizit darauf hin, dass die Themen Risikodatenaggregation und der Ausbau der Aggregationskapazitäten nicht nur große, systemrelevante Institute betreffen.

Die Änderungsvorschläge der BaFin zur MaRisk-Novelle 2016 finden Sie hier.

Oliver Tiebing, RFC Professionals
Oliver Tiebing ist Geschäfstführer des noch jungen Beratungshauses RFC Professionals GmbH. Das Unternehmen wurde im Jahr 2012 gegründet und 2014 mit dem Gründerpreis der Region Wiesbaden prämiert. Mit ihren aktuell 25 Mitarbeiter/ -innen konzentriert sich das Beratungshaus auf die Themen Risikomanagement, Finanzen und Controlling und bewegt sich in den drei Steuerungssichten der ökonomischen, bilanziellen und regulatorischen Steuerung (RFC Themenfokus).
Das Team besteht aus erfahrenen Beratern / -innen, die grundsätzlich über mehr als 10 Jahre Berufs- / Beratungserfahrung verfügen. In Verbindung mit der eigens entwickelten “RFC Beratungsmethode” werden die Kunden in die Lage versetzt, ihre Vision und Strategie nachhaltig und mit hoher Qualität umzusetzen.

Tags