16.11.2017: MaRisk Novelle 2017: Neue Mindestanforderungen an das Risikomanagement für Kreditinstitute

Lupe und Kursverlauf

Das Warten hat ein Ende! Am 27. Oktober 2017 veröffentlichte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die finale Fassung der Mindestanforderungen an das Risikomanagement (MaRisk) 6.0 und beendete somit das seit Februar 2016 bestehende Konsultationsverfahren. Schwerpunkte der MaRisk-Novelle sind vor allem die Überarbeitung der „Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung“ (BCBS 239) sowie die internationalen Diskussionen rund um das Thema Risikokultur in Banken. Als dritten großen Baustein sind die Anpassungen im Modul AT 9 (Auslagerungen) zu nennen.

Das neue Modul AT 4.3.4 - Risikodatenaggregation übernimmt die Anforderungen an die Datenaggregation aus BCBS 239 in die MaRisk, welche sich ausschließlich an systemrelevante Institute richten. Das Datenmanagement verlangt eine vollständig nach Kategorien auswertbare Datenqualität, die einer ständigen Überwachung bedürfen. So soll eine schnelle und flexible Ad hoc Berichterstattung in Stresssituationen gewährleistet werden. Das neu eingeführte Modul BT 3 - Risikoberichterstattung richtet sich hingegen an alle Institute unter Wahrung des Proportionalitätsprinzips und ist eng mit der Datenaggregation verbunden. Gefordert wird vor allem eine nachvollziehbare und aussagekräftige Risikoberichterstattung, besonders in Stressphasen.

Auch wenn die Anforderungen des AT 4.3.4 auf den ersten Blick nur für systemrelevante Institute gelten, so sind die Auswirkungen für die Risikoberichterstattung im BT 3 indirekt „durch die Hintertür“ spürbar. Demnach sind auch weniger systemrelevante Institute gut beraten, wenn sie sich mit der Umsetzung befassen.

Mit dem Modul AT 3 – Risikokultur verlangt die MaRisk die Einführung und Verankerung einer gemeinsamen Risikokultur im Unternehmen. Das soll vor allem der Sensibilisierung der Mitarbeiter dienen. Die Entwicklung, Förderung und Integration einer angemessenen Risikokultur wird somit in den Verantwortungsbereich der Geschäftsleitung aufgenommen und soll ein ordnungsgemäßes, angemessenes und wirksames Risikomanagement gewährleisten. Die Überwachung und Kontrolle obliegt ebenfalls der Geschäftsführung.

Auch im Modul AT 9 – Auslagerungen wurden Neuerungen und Klarstellungen vorgenommen. So ist die Risikocontrolling-Funktion nicht vollständig auslagerbar. Dagegen dürfen kleinere Institute die Compliance-Funktion sowie die interne Revision auslagern. Die vollständige Auslagerung aller drei Funktionen ist lediglich für nicht wesentliche Tochterunternehmen innerhalb einer Institutsgruppe zulässig. Zusätzlich besteht die Forderung eines zentralen Auslagerungsmanagements mit Koordinations- und Überwachungsfunktion. Bei Softwarelösungen, die für die Steuerung, Messung und Überwachung von Risiken eingesetzt werden, wurde nun festgelegt, dass der Bezug von Software, die damit verbundenen Unterstützungsleistungen sowie der Betrieb durch Dritte eine Auslagerung darstellen. Lediglich die Software, die nicht zur Risikosteuerung verwendet wird, gilt als Fremdbezug. Schließlich müssen die wesentlichen Auslagerungen in einem jährlichen Bericht zusammengefasst werden.

Die neuen Anforderungen der MaRisk 6.0 sind bis zum 31. Oktober 2018 umzusetzen. Davon abweichend verlängert sich für Institute, die die Anforderungen des AT 4.3.4 erfüllen müssen, die Umsetzungsfrist für diesen Teil auf drei Jahre.

Unser impavidi Team unterstützt Ihr Kreditinstitut bei der Analyse der individuellen Anforderungen der MaRisk 6.0 sowie deren Umsetzung und gewährleistet optimierte Strukturen im Risikomanagement und in der Risikostruktur Ihres Institutes.


 

Zurück