Schlagwort: BAIT

Bleiben Sie auf dem laufenden - der BAIT RSS-Feed

MaRisk Novelle 2017: Handlungsbedarf für Leasinginstitute

Am 27. Oktober 2017 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die neuen Mindestanforderungen für das Risikomanagement (MaRisk) bekannt gegeben. Wie erwartet differenziert die BaFin in den MaRisk hinsichtlich der Umsetzungsfristen nach

  • Klarstellungen, die keine neuen Regelungsinhalte mit sich bringen und lediglich die existierende Verwaltungspraxis widerspiegeln bzw. verdeutlichen,
  • Neuerungen, h. alle sonstigen Änderungen und
  • Umsetzungsfristen für den Bereich AT 4.3.4 (Risikodatenaggregationen)

Während Klarstellungen direkt (mit Veröffentlichung der Endfassung) umzusetzen sind, gilt für Neuerungen eine Umsetzungsfrist bis zum 31. Oktober 2018. Zur Ermittlung des aktuellen Handlungsbedarfs ist für Leasinggesellschaften daher die Unterscheidung zwischen Klarstellung und Neuerung von zentaler Bedeutung.

Nachfolgend geben wir Ihnen einen kurzen Überblick über wesentliche Klarstellungen, die von Leasinggesellschaften direkt umzusetzen sind.

Risikotragfähigkeit gemäß AT 4.1

Im Hinblick auf die Angemessenheit der Methoden und Verfahren zur Risikotragfähigkeitsrechnung liegt der Schwerpunkt – in Anlehnung an die BCBS-Anforderungen – auf der Angemessenheit der Annahmen und Datensätze sowie der Modellrisiken. Leasinginstitute müssen mittels eines Inventars oder Katalogs jederzeit einen aktuellen und vollständigen Überblick über ihre zur Risikoquantifizierung verwendeten Methoden und Verfahren gewährleisten. Sofern externe Daten in die Risikorechnung einfließen, darf die Verwendung nicht unreflektiert erfolgen.

Stresstests gemäß AT 4.3.3

In AT 4.3.3 Tz. 2 der MaRisk stellt die BaFin klar, wie sie den Begriff der „Stresstests auf Gesamtinstitutsebene“ auslegt. Der Gesamtinstitutsstresstest fasst institutseigene und marktweite Ursachen zu einem kombinierten Szenario zusammen. Dabei sollen Wechselwirkungen zwischen den einzelnen Risikoarten simuliert werden, um deren Effekte differenziert zu betrachten. Insbesondere kleinere Institute stehen vor der Herausforderung die Anforderungen passend zu ihrer Geschäftstätigkeit sowohl für die Institutsebene als auch für die Gruppenebene umzusetzen. Dies bedeutet für die Institute ggf. eine Neukonzeption der Stresstests.

Risikoberichterstattung gemäß BT 3.1 und BT 3.2

Die Klarstellungen in Bezug auf die Risikoberichterstattung sollen die Qualität der Risikoinformationen sowie die Zeitnähe und Vollständigkeit der Berichtsinhalte an die Unternehmensleitung und den Aufsichtsrat fördern. Erhöhter Anpassungsbedarf besteht ggf. aufgrund der Anforderung, dass die Risikoberichte auch eine zukunftsorientierte Risikoeinschätzung (qualitativ sowie quantitativ) beinhalten und sich nicht ausschließlich auf aktuelle und historische Daten stützen sollen. Darüber hinaus sind Änderungen der wesentlichen Annahmen oder Parameter, die den Verfahren zur Beurteilung der Marktpreisrisiken zugrunde liegen, explizit anzugeben.

Technisch-organisatorische Ausstattung gemäß AT 7.2

Neu aufgenommen in die MaRisk wurden Anforderungen an das IT-Risikomanagement. So fordern die MaRisk in AT 7.2 Tz. 4 angemessene Überwachungs- und Steuerungsprozesse für IT Risiken. Dies gilt gem. AT 7.2 Tz. 5 auch für den Einsatz von selbst entwickelten Anwendungen (sog. Individuelle Datenverarbeitung – „IDV“). Somit sind IT Risiken als eigenständige Risikokategorie zu behandeln und folglich in einem umfassenden IT-Risikomanagement abzubilden. Konkretisierend hat die Aufsicht Anfang November 2017 mit dem RS 10/2017 (BA) „Bankaufsichtliche Anforderungen an die IT (BAIT)“ Ihre Erwartungshaltung klar gestellt. Grundsätzlich gelten für die BAIT und die in diesem Zusammenhang stehenden MaRisk Regelungen keine Umsetzungsfristen, was einige Institute vor Herausforderungen stellen könnte.

Auslagerungen gemäß AT 9

Darüber hinaus wurde der Abschnitt AT 9 angepasst. Nach unserem Verständnis handelt es sich teilweise um redaktionelle Anpassungen bzw. Klarstellungen (u.a. zivilrechtliche Gestaltung, gruppenweite sowie einheitliche Rahmenvorgaben für die Risikoanalyse, Eskalation bei Schlechtleistung, im Auslagerungsvertrag abzudeckende (Mindest-)Regelungen und sonstigen Sicherheitsanforderungen), die sofort gültig sind. Weiterführende Informationen finden Sie im nachfolgenden Blogbeitrag unter https://blogs.pwc.de/leasing-online.

Fazit

Die dargestellten Klarstellungen zeigen auf, dass auch für die Leasinginstitute durchaus auch kurzfristig ein erhöhter Anpassungsbedarf bestehen kann.

Da sich der Aufwand je nach Institutsgröße und Komplexität des Geschäftsmodells unterscheidet, kann der aktuelle MaRisk-Umsetzungsstand des Weiteren Anlass zu Diskussionen in den derzeit laufenden Jahresabschlussprüfungen geben. Ebenfalls wird er zum Gegenstand der nächsten Gespräche mit der Aufsicht werden. Bereiten Sie sich zeitnah darauf vor und schließen Sie bestehende Lücken möglichst frühzeitig.

CIO Forum 2017 – IT-Entscheider diskutieren aktuelle Trends in der Finanzbranche

Die IT-Abteilungen von Leasinggesellschaften stehen heute vor komplexen Herausforderungen, da sie nicht nur funktionale, strategische, wirtschaftliche und regulatorische Anforderungen unter einen Hut bringen müssen, sondern zu diesem Zweck auch die neuen technologischen Möglichkeiten sicher und effizient einsetzen sollen.

Aus diesem Grund möchten wir Sie, nicht zuletzt wegen den vor kurzen veröffentlichten bankaufsichtlichen Anforderungen an die IT (MaRisk, BAIT), über die neuesten regulatorischen Entwicklungen informieren und Ihnen anhand von Praxisbeispielen aufzeigen, wie sich technologische und sicherheitstechnische Herausforderungen, etwa bei der Nutzung von Cloud Services, bewältigen lassen.

Unser diesjähriges CIO Forum „IT-Entscheider diskutieren Markttrends in der Finanzbranche“ findet im November und Dezember 2017 bundesweit an drei Standorten statt (jeweils von 16:00 – ca. 20:00 Uhr):

 

28. November 2017: Frankfurt a. M.

05. Dezember 2017: Düsseldorf

11. Dezember 2017: München

 

Weiteren Informationen zur Veranstaltung sowie die Möglichkeit zur Anmeldung (kostenfreie Teilnahme) finden Sie unter:

http://www.pwc-events.com/cioforum2017

Bankaufsichtsrechtliche Anforderungen an die IT – Herausforderungen für Leasinggesellschaften

Das Thema IT ist bei Leasinggesellschaften aufgrund seiner wachsenden Bedeutung weiter in den aufsichtsrechtlichen Fokus gerückt. Mit der Festlegung von IT-Prüfungsschwerpunkten bei Leasinggesellschaften hat die Aufsicht dies bereits in 2016 unterstrichen. Ein weiterer wesentlicher Schritt ergibt sich aus den „Bankaufsichtlichen Anforderungen an die IT“ (BAIT), welche derzeit zur Konsultation stehen und von Leasinggesellschaften – unter Berücksichtigung der Proportionalität – analog anzuwenden sind.

Mehr dazu erfahren Sie von unseren Kollegen aus FS Risk Assurance Solutions (RAS).

 

 

Bankaufsichtliche Anforderungen an die IT (BAIT) – Neue Herausforderungen für Leasinggesellschaften

Als Finanzdienstleistungsinstitute müssen Leasinggesellschaften umfangreiche aufsichtsrechtliche Anforderungen erfüllen. Mit den BAIT verschärft die Aufsicht ihren Fokus auf den Bereich IT – neben den Anforderungen aus der erwarteten MaRisk Novelle 2016 – weiter.

Was sind die BAIT?

Mit den BAIT will die BaFin die MaRisk um spezifischere Anforderungen mit Bezug zur IT konkretisieren. Speziell betrifft das die im allgemeinen Teil 7.2 der MaRisk „Technisch-organisatorische Ausstattung“ noch nicht oder noch nicht abschließend geregelten Sachverhalte. Diese sollen detaillierter aufgegriffen und damit die Erwartungshaltung der Aufsicht transparenter dargestellt werden.

Welche Inhalte sind zu erwarten?

Bereits jetzt ist erkennbar, dass mit den Anforderungen das unternehmensweite IT-Risikobewusstsein im Institut und gegenüber seinen Auslagerungsunternehmen erhöht werden soll. Die BAIT definiert Anforderungen u. a. in den Themenbereichen IT-Strategie, Informationssicherheitsmanagement, Informationsrisikomanagement und Berechtigungsmanagement.

Wann kommen die BAIT?

Die Übersendung der Konsultationsentwürfe erfolgt voraussichtlich Anfang 2017. Das Datum der finalen Veröffentlichung ist heute noch nicht bekannt, wird jedoch für das Jahr 2017 erwartet.

Gibt es Erleichterungen?

Für Leasing-Gesellschaften gelten diese Anforderungen dann gemäß dem bereits bekannten Proportionalitätsprinzip.

Fazit:

Der aufsichtsrechtliche Regulierungsdruck für Leasinggesellschaften im Bereich IT wird sich neben der MaRisk Novelle 2016 auch durch diese BAIT kurzfristig weiter erhöhen. (Finanzdienstleistungs-)Institute sollten sich daher frühzeitig mit den neuen Anforderungen vertraut machen und noch bestehende Schwachstellen identifizieren.

/* */