MaRisk 2017 – Umsetzung 31.10.2018

MaRisk 2017 – Umsetzung 31.10.2018 – Endfassung veröffentlicht. Mit BaFin-Anschreiben vom 27.10.2017 wird nun die Endfassung der MaRisk 2017 veröffentlicht. Im Mittelpunkt des Konsultationsprozesses standen dabei die folgenden Punkte:

• AT 4.3.4 – Risikodatenaggregation
• BT 3 – Risikoberichterstattung
• AT 3, AT 5 – Risikokultur, Verhaltenskodex
• AT 7.2 Technisch-organisatorische Ausgestaltung der IT
• AT 9 – Auslagerungen

MaRisk 2017 – Umsetzung 31.10.2018 – Endfassung veröffentlicht – Die wichtigsten Änderungen auf einen Blick

Im Anschreiben vom 27.10.2017 führt die BaFin folgende Punkte aus:

Haupttreiber der aktuellen Überarbeitung waren vor allem die „Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung“ (BCBS 239) sowie die internationalen Diskussionen rund um das Thema Risikokultur in Banken, das in prominentester Form in dem im Jahr 2014 veröffentlichten Papier „Guidance on Supervisory Interaction with financial institutions on Risk Culture” des Financial Stability Boards (FSB) seinen Niederschlag gefunden hat.

Weiterhin sind auch diesmal Erfahrungen aus der Aufsichtspraxis in die Überarbeitung eingeflossen. Von besonderer Bedeutung sind dabei sicherlich die Anpassungen im Modul AT 9 (Auslagerungen) zu nennen, die neben den oben genannten Themen den dritten großen Baustein der Überarbeitung darstellen.

Bereits in der Vergangenheit wurden in den MaRisk wesentliche Teile der EU-Richtlinienanforderungen zum Risikomanagement, aber auch einschlägige Leitlinien von CEBS bzw. der EBA in die nationale Aufsichtspraxis Überführt. Dies sind insbesondere folgende von CEBS bzw. der EBA veröffentlichten Leitlinien: Zu Liquiditätspuffern (Dezember 2009), zu Stresstests (GL32 – August 2010), zu Risikokonzentrationen (GL31 – September 2010), zu operationellen Risiken in Handelsaktivitäten (Oktober 2010), zur Liquiditätskostenverrechnung (Oktober 2010) sowie wesentliche Teile der Leitlinien zur „Internal Governance“ (GL 44 – September 2011), soweit diese nicht ohnehin durch KWG oder anderweitiges Recht umgesetzt werden.

AT 4.3.4 – Risikodatenaggregation – MaRisk 2017 – Umsetzung 31.10.2018 – Endfassung veröffentlicht

Mit dem neuen Modul AT 4.3.4 werden die Anforderungen an die Datenaggregation näher spezifiziert. Die neuen Anforderungen sollen sicherstellen, dass entscheidungsrelevante Risikoinformationen schnell die verantwortlichen Entscheidungsträger erreichen. Diese Risikoinformationen sollen auf möglichst vollständigen, genauen und zeitnah vorliegenden Daten basieren.

Mit dem neu eingeführten Modul AT 4.3.4 setzt die BaFin die Anforderungen des BCBS 239 um. Dieses Modul richtet sich ausschließlich an global und anderweitig systemrelevante Institute. Dies entspricht ausdrücklich dem Adressatenkreis des BCBS 239. Gerade bei diesen großen, überwiegend komplexen Instituten können Schwächen in der Aggregation von Risikodaten erhebliche negative Folgen nach sich ziehen.

Hierzu führt die BaFin wie folgt aus:

Nicht nur während der Finanzkrise, sondern auch in den darauf folgenden Jahren mussten die Aufsichtsbehörden feststellen, dass einige größere Institute nicht in der Lage waren, Informationen zu Gesamtexposures gegenüber bestimmten Adressen und in bestimmten Produkten innerhalb eines möglichst kurzen Zeitraums zu generieren, so dass sie nicht schnell genug auf kritische Entwicklungen reagieren konnten.

Gerade in krisenhaften Situationen sind jedoch schnelle und fundierte Entscheidungen für das Wohl eines Unternehmens von großer Wichtigkeit, weshalb verlässliche Risikodaten, die möglichst zeitnah zur Verfügung stehen, für die Überlebensfähigkeit eines Unternehmens essenziell sein können.

Mit den neuen Anforderungen soll daher auch die Reaktionsfähigkeit der Institute deutlich verbessert werden.

Die BaFin weist darauf hin, dass natürlich auch für andere Institute eine angemessene Risikodatenaggregation ein wichtiges Thema darstellt. Daher sollten auch Institute, die nicht den Anforderungen des AT 4.3.4 unterliegen, prüfen, ob mit Blick auf die Risikodatenaggregationskapazitäten Optimierungsbedarf besteht.

BT 3 – Risikoberichterstattung – MaRisk 2017 – Umsetzung 31.10.2018 – Endfassung veröffentlicht

Das neue Modul BT 3 (Risikoberichterstattung) richtet sich hingegen an alle Institute. Es führt die bisher schon existierenden Anforderungen an die Risikoberichterstattung zusammen und gewährleistet damit gleichzeitig die Umsetzung einschlägiger Anforderungen des BCBS 239. Die inhaltliche Ausgestaltung unterliegt, wie bisher, dem Proportionalitätsprinzip.

Institute, die nicht in den Anwendungsbereich des AT 4.3.4 fallen, können auch weiterhin die Ausgestaltung ihrer Risikoberichterstattung nach ihren individuellen Bedürfnissen und Notwendigkeiten zuschneiden (unter Beachtung der sonstigen Anforderungen der MaRisk).

Voraussetzung hierfür ist, dass das bisher schon geltende übergeordnete Ziel der nachvollziehbaren und aussagekräftigen Berichterstattung nicht negativ tangiert wird. Die BaFin betont, daß gerade die inhaltlich aussagekräftige Aufbereitung der Informationen im Mittelpunkt stehen muss. Dies beinhaltet ein ein ausgewogenes Verhältnis zwischen quantitativen und qualitativen Informationen beinhaltet.

AT 3, AT 5 – Risikokultur, Verhaltenskodex – MaRisk 2017 – Endfassung veröffentlicht

Mit den MaRisk 2017 soll auch das Thema Risikokultur expliziter in den MaRisk verankert werden. Mit dieser Anforderung „Verankerung einer angemessenen Risikokultur im Institut“ wird kein neuer Risikomanagementansatz gefordert.

Die Erwartungshaltung der BaFin zielt aber darauf ab, daß sich Institute zukünftig stärker mit dieser Thematik auseinandersetzen und für sich definieren, welche Geschäfte, Verhaltensweisen und Praktiken letztlich als wünschenswert angesehen werden und welche nicht.

Weiterhin wird es vor allem an den Führungsebenen in den Instituten sein, die Mitarbeiter auf gemeinsame Werte und Praktiken einzuschwören und den kritischen Dialog über die mit den Geschäften verbundenen Risiken im Institut zu fördern.

Der in AT 5 geforderte Verhaltenskodex kann zwar einen wertvollen Beitrag dazu liefern, dass tatsächlich nur solche Geschäfte abgeschlossen und nur solche Geschäftspraktiken an den Tag gelegt werden, die von der Geschäftsleitung als zulässig bzw. wünschenswert deklariert wurden, dies allein gewährleistet jedoch noch keine angemessene Risikokultur.

Die BaFin führt zum Thema Verhaltenskodex wie folgt aus:

• Das eigene „Vorleben“ dessen, was man als Geschäftsleitung als angemessene Risikokultur definiert hat,
• Mitarbeiter in die Pflicht zu nehmen,
• sich an diesen definierten Werten zu orientieren und
• entsprechende Anreize zu setzen, die beileibe nicht nur monetär sein sollten.

Dies sollen die Aufgaben sein, auf die sich die Institute bei der Stärkung der Risikokultur werden fokussieren müssen. Im Übrigen ist die Anforderung zur Aufstellung eines Verhaltenskodex in AT 5 abhängig von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten.

Dies trägt dem Umstand Rechnung, dass zwar ein solcher Kodex bei größeren Instituten mit weiter verzweigten Geschäftsaktivitäten ein sinnvolles Instrument ist, bei kleineren Instituten jedoch oftmals die persönliche Ansprache der Mitarbeiter durch die Führungskräfte des Instituts das direktere und im Zweifel auch effektivere Mittel ist, die Mitarbeiter auf die gemeinsamen Werte und Ziele einzuschwören.

Bei kleineren Instituten mit weniger komplexen Aktivitäten erscheint ein solcher Kodex daher verzichtbar. Die Tatsache, dass persönliche Ansprache bisweilen als das wirksamere Mittel anzusehen ist, bedeutet jedoch nicht, dass Institute einer besonderen Beweislast ausgesetzt wären, wenn sie zu diesem Instrument greifen und eine entsprechende Dokumentation hierfür gegenüber der Aufsicht vorhalten müssten.

Das Thema Risikokultur ist nur schwer greifbar. Auch muss eine angemessene Risikokultur gelebt werden. Regularien, aber auch dem Instrumentarium der Prüfung sind hier Grenzen gesetzt.

Unabhängig davon will sich die Aufsicht im Laufe der Zeit ein Bild machen, wie es um die Risikokultur in den jeweiligen Instituten bestellt ist, und bei Instituten, bei denen an dieser Stelle Nachholbedarf angezeigt erscheint, das direkte Gespräch mit den Geschäftsleitern suchen.

AT 9 – Auslagerungen – MaRisk 2017 – Umsetzung 31.10.2018 – Endfassung veröffentlicht

In der Aufsichtspraxis wurden von Seiten der BaFin bei Auslagerungsverhältnissen vielfach nicht nur Unklarheiten, sondern auch Mängel in der Anwendung des AT 9 festgestellt.

An einigen Stellen wird die schon existierende aufsichtliche Verwaltungspraxis stärker betont, vor allem aber wird die aufsichtliche Sichtweise zu den Grenzen der Auslagerbarkeit deutlicher herausgearbeitet und neu definiert. Die Institute sollen künftig das Management besonderer, mit Auslagerungen verbundener Risiken effektiver gestalten und vor allem möglichen Kontrollverlusten entgegen wirken.

Der BaFin erscheint besonders wichtig, dass die Aufgaben und Tätigkeiten der Kontrollfunktionen, also der Risikocontrolling-Funktion, der Compliance-Funktion und der Internen Revision, nicht vollständig in die Hände Dritter gegeben werden. Damit soll dem Verlust von solcher Expertise vorgebeugt werden, die für die effektive Aufgabenwahrnehmung dieser besonderen Funktionen notwendig ist.

Vor allem kleinere Institute müssen die Möglichkeit haben auf auf Auslagerungsvereinbarungen zurückzugreifen, um in manchen Gebieten spezielle Fachexpertise zu generieren. Daher sind Erleichterungen für kleine Institute vorgesehen; diese können ihre Compliance-Funktion und die Interne Revision weiterhin vollständig auslagern.

Ferner konnten für nicht wesentliche Tochterinstitute innerhalb einer Institutsgruppe mit Blick auf Auslagerungen solcher Funktionen auf das übergeordnete Institut Sonderregelungen gefunden werden, die den Beziehungen innerhalb solcher Gruppen Rechnung tragen. Auslagerungen einzelner Tätigkeiten und Prozesse in den genannten Kontrollfunktionen sind ohnehin weiterhin möglich – nicht nur bei kleinen, sondern auch bei größeren Instituten.

Bei größeren Instituten bzw. Instituten mit umfangreichen Auslagerungslösungen ist ein zentrales Auslagerungsmanagement erforderlich. Damit ist sichergestellt, daß eine Stelle im Institut einen Gesamtüberblick über ausgelagerte Prozesse und Aktivitäten hat und so ein möglichst einheitlicher Umgang mit den besonderen Risiken aus Auslagerungen und deren Überwachung sichergestellt werden kann.

Besonders intensiv waren im Fachgremium MaRisk die Diskussionen um die Abgrenzung des sonstigen Fremdbezugs von Auslagerungen, gerade mit Blick auf eingesetzte Softwarelösungen. Hier konnte folgender Lösungsansatz gefunden werden:

• Der reine Erwerb von Software für sich genommen stellt keine Auslagerung dar.
• Hingegen fallen bei Softwarelösungen, die für die Steuerung, Messung, Überwachung der Risiken eingesetzt werden in den Anwendungsbereich AT 9.
• Die Wahrnehmung bankgeschäftlicher Aufgaben, die oftmals umfangreichen Unterstützungsleistungen der Anbieter erfordern fallen ebenso in den Anwendungsbereich des AT 9.

Entsprechende Klarstellungen hierzu sind nun in AT 9 Tz. 1 -Erläuterung – zu finden.

Die Anpassungen zu Weiterverlagerungen sollen die seit jeher geltende aufsichtliche Sichtweise klarer zum Ausdruck bringen, da auch hier immer wieder Zweifelsfragen und auch Mängel aufgetreten sind. Diese Anpassungen stehen in vollem Einklang mit den geltenden CEBS Leitlinien zu Auslagerungen und sollen gewährleisten, dass bei Beauftragung von Subunternehmen durch das Auslagerungsunternehmen die gleichen Anforderungen und Maßstäbe zur Anwendung kommen wie bei der ursprünglichen Auslagerung.

Übergangsfristen – MaRisk 2017 – Umsetzung 31.10.2018 – Endfassung veröffentlicht

Die neue Fassung der MaRisk tritt mit Veröffentlichung in Kraft.

Konkret bedeutet dies, dass Änderungen, die lediglich klarstellender Natur sind, unmittelbar nach Veröffentlichung von den Instituten anzuwenden sind. Um den Instituten ausreichende Umsetzungszeiträume für Änderungen einzuräumen, die im MaRisk-Kontext neu sind und nicht lediglich Klarstellungen ohnehin schon vorhandener Anforderungen sind, gilt für diese neuen Anforderungen eine Umsetzungsfrist bis zum 31.10.2018.

Davon abweichende Umsetzungsfristen ergeben sich für die Anforderungen des neuen Moduls AT 4.3.4. Instituten, die die Anforderungen des AT 4.3.4 erfüllen müssen, wird – entsprechend der Empfehlungen des Baseler Ausschusses für Bankenaufsicht – für diese Anforderungen eine Umsetzungsfrist von drei Jahren gewährt. Diese gilt grundsätzlich ab dem Zeitpunkt der Einstufung als (anderweitig) systemrelevantes Institut. Klarstellend möchte ich hinzufügen, dass global systemrelevante Institute diese Anforderungen schon seit Januar 2016 zu erfüllen haben; die hier getroffene Übergangsfrist gilt dementsprechend für diese Institute nicht.

Soweit ein Institut erst nach der Veröffentlichung der MaRisk erstmalig als systemrelevant eingestuft wird, gilt die dreijährige Frist ab Zeitpunkt dieser Einstufung.