Am 27. Oktober veröffentlichte die BaFin mit dem Rundschreiben 09/2017 die Neufassung der MaRisk. Die finale Version beschließt den seit Februar 2016 dauernden Konsultationsprozess und tritt mit Veröffentlichung in Kraft. Für neue Anforderungen gilt eine Umsetzungsfrist bis zum 31.10.2018. Hiervon kann in Einzelfällen abgewichen werden, insbesondere im Hinblick auf das neue Modul AT 4.3.4.
Maßgeblichen Einfluss auf die Neufassung hatten die Grundsätze zur Datenaggregation und Risikoberichtserstattung (BCBS 239). Die Themengebiete Risikokultur sowie Auslagerung bilden weitere Schwerpunkte der Anpassungen.
Wesentliche Änderungen
Die wichtigsten Änderungen im Vergleich zur letztgültigen Version aus 2012 und auch im Vergleich zum Konsultationspapier aus 2016 stellen sich wie folgt dar:
Modul AT 3 (Gesamtverantwortung der Geschäftsleitung)
Im Vergleich zum Konsultationsentwurf ergaben sich keine Änderungen. Im Vergleich zur letztgültigen Fassung findet die Verantwortung der Geschäftsleitung für die Entwicklung, Förderung und Integration einer angemessenen Risikokultur explizite Erwähnung.
Modul AT 4.3.4 (Datenmanagement, Datenqualität und Aggregation von Risikodaten)
Im neu hinzugefügten Modul ergaben sich im Vergleich zum Konsultationsentwurf aus 2016 keine signifikanten Änderungen. Das Modul richtet sich an systemrelevante Institute und gruppenangehörige Einzelinstitute. Die sieben Absätze beinhalten grob die folgenden Sachverhalte:
- Geltungsbereich
- Datenstruktur und Hierarchie (bspw. Namenskonventionen, zweifelsfreie Identifikation)
- Datenqualität und Datenvollständigkeit, Automatisierung der Verarbeitung
- Automatische Abgleichprozesse und Plausibilisierungen
- Zeitnahe Aggregation
- Flexible Aggregation
- Governance
Modul AT 9 (Auslagerung)
Im Vergleich zum Konsultationsentwurf ergeben sich punktuelle Anpassungen. Es werden beispielsweise Weiterverlagerungen explizit thematisiert (Tz. 8) und die Trennschärfe zwischen Fremdbezug und Auslagerung erhöht (Tz. 1). Im Vergleich zur letzten Fassung werden Anforderungen an die Auslagerung in Bezug auf „besondere Funktionen“ (Risikocontrolling, Compliance, Revision) konkretisiert und der Umfang der Auslagerungen begrenzt (Tz. 2, 4, 5). Weitere Konkretisierungen werden hinsichtlich der vertraglichen Ausgestaltung im Auslagerungskontext vorgenommen (Tz. 6 – 8). Bei größeren Instituten bzw. Instituten mit umfangreichen Auslagerungslösungen fordert die Aufsicht die Einrichtung eines zentralen Auslagerungsmanagements (Tz. 12).
Modul BT 3 (Anforderungen an die Risikoberichterstattung)
Im neuen Modul zur Risikoberichterstattung, welches die ursprünglichen Anforderungen an Risikoberichte aus AT 4.3.2 und BTR an einer Stelle zusammenführt, sind die Teile BT 3.1 sowie 3.2 ohne signifikante Änderungen im Vergleich zum Konsultationsentwurf berücksichtigt worden.
Modul BT 3.1 (Allgemeine Anforderungen an die Risikoberichte)
Die fünf Absätze aus Modul BT 3.1 beinhalten zusammengefasst:
- Allgemeine Anforderungen (nachvollziehbares und aussagefähiges Reporting; genaue, aktuelle, vollständige Daten)
- Darstellung der Ergebnisse und der Annahmen von Stresstests
- Ad-Hoc Berichte
- Zeitnahe Berichterstattung
- Reporting an das Aufsichtsorgan
Modul BT 3.2 (Berichte der Risikocontrolling-Funktion)
Die sieben Absätze von Modul BT 3.2 bestehen zusammengefasst aus:
- Quartärliches Reporting über wesentliche Risikoarten
- Reportinginhalte (z.B. Stresstests, Konzentrationen, Liquidität, Kapitalausstattung)
- Spezifikationen hinsichtlich Adressausfallrisiken
- Spezifikationen hinsichtlich Marktpreisrisiken
- Spezifikationen hinsichtlich Liquiditätsrisiken
- Spezifikationen hinsichtlich operationeller Risiken
- Spezifikationen hinsichtlich weiterer wesentlicher Risiken
Die Experten von RFC Professionals begleiten seit vielen Jahren erfolgreich aufsichtsrechtliche Veränderungen und hieraus resultierende Anpassungen. Gerne unterstützen wir Sie individuell bei der Bewertung der Auswirkungen, Planung sowie Umsetzung der MaRisk Novellierung.
Volker Oostendorp ist Partner bei
RFC Professionals und Ihr
Ansprechpartner für alle Fragen
rund um das Thema MaRisk.