Finale MaRisk 2017

Die finale Fassung der Mindestanforderungen an das Risikomanagement (MaRisk) wurde am 27. Oktober 2017 von der BaFin veröffentlicht. Nachdem die letzte Novellierung bereits in 2012 erfolgte, war es aus Sicht der Aufsicht erforderlich, zur Umsetzung internationaler Anforderungen und zur Angleichung an die aktuelle Best Practice eine Überarbeitung vorzunehmen (vgl. unseren Blogbeitrag vom 22. Februar 2016 Neue Herausforderungen durch die MaRisk-Novelle 2016 – PwC Risk Blog).

Die MaRisk 2017 beinhalten zahlreiche Klarstellungen und Ergänzungen, aber auch neue Themenfelder mit weitreichenden Konsequenzen für die Institute. Die Umsetzungsfristen reichen wie in der Vergangenheit – themenbezogen – von „unmittelbar verpflichtend“ bis zu drei Jahre.

Nachfolgend geben wir einen zusammenfassenden Überblick über zentrale Veränderungen im Vergleich zu den MaRisk 2012, die erwarteten Umsetzungsfristen und den erforderlichen Handlungsbedarf.

Überblick inhaltliche Veränderungen

Folgende Graphik gibt einen Überblick über die MaRisk-Bausteine und wesentliche Änderungen:

Themen im Fokus

Gemäß dem Anschreiben der Aufsicht vom 27. Oktober 2017 handelt es sich bei den nachfolgenden Themenblöcken um die Schwerpunktthemen:

  • Risikodatenaggregation und Risikoberichterstattung
  • Risikokultur
  • Auslagerungen

Grundlegend neu ist der AT 4.3.4 „Datenmanagement, Datenqualität und Aggregation von Risikodaten“. Er greift die internationalen Regelungen aus BCBS 239 auf und stellt die Genauigkeit und Vollständigkeit von Risikodaten in den Vordergrund. Der AT 4.3.4 gilt jedoch nur für systemrelevante Institute, die in AT 1 definiert sind (vgl. unseren Blogbeitrag vom 3. Mai 2016). In diesem Zusammenhang sind auch weitere Klarstellungen in AT 7 der MaRisk zu IT-Risiken, Maßnahmen des IT-Risikomanagements und zu den Anforderungen an die IDV (Individuelle Datenverarbeitung) hervorzuheben.

Mit dem neuen BT 3 „Anforderungen an die Risikoberichterstattung“ werden die inhaltlichen und prozessualen Anforderungen an die Risikoberichterstattung in den MaRisk zusammengeführt. Die Berichte müssen auf vollständigen, genauen und aktuellen Daten beruhen und in einem zeitlich angemessenen Rahmen erstellt werden, der eine aktive und zeitnahe Steuerung der Risiken auf der Basis der Berichte ermöglicht. Diese grundlegenden Anforderungen gelten für alle Institute in Deutschland (vgl. unseren Blog vom 9. März 2016). Für diese Anforderungen wird im Anschreiben der BaFin betont, dass sie keine Umsetzung des AT 4.3.4 für alle Institute erfordern.

Neue Anforderungen an die Entwicklung, Förderung und Integration einer angemessenen Risikokultur wurden in AT 3 “Gesamtverantwortung der Geschäftsleitung” der MaRisk integriert, ergänzt durch das Erfordernis eines Verhaltenskodexes für Mitarbeiter gemäß AT 5 Tz. 3 g. Damit verdeutlicht die Aufsicht, dass sie Risikokultur als einen wesentlichen Bestandteil eines wirksamen Risikomanagements ansieht (vgl. hierzu unseren Beitrag vom 1. März 2016).

In AT 9 „Auslagerung“ der MaRisk wurde der Begriff der Auslagerung stärker gegenüber dem „sonstigen Fremdbezug von Leistungen“ abgegrenzt. Darüber hinaus wurden verschiedene neue Anforderungen an das Auslagerungsmanagement, Exit-Prozesse und die Weiterverlagerungen aufgenommen (vgl. unseren Blogbeitrag vom 18. März 2016).

In den „Allgemeinen Anforderungen“ in AT 4 der MaRisk sind verschiedene Änderungen vorgenommen worden:

  • So ist in AT 4.1 explizit formuliert worden, dass die Verfahren zur Bestimmung der Risikotragfähigkeit sowohl dem Fortführungsziel als auch dem Gläubigerschutz Rechnung tragen sollen. Hierbei ist jedoch zu beachten, dass die BaFin derzeit auch den neuen Leitfaden zur Risikotragfähigkeit (vgl. unseren Blogbeitrag vom 7. September 2017) konsultiert.
  • Hinsichtlich der Methoden und Verfahren zur Risikomessung wurden Anforderungen an Externe Daten konkretisiert und Unabhängigkeitsanforderungen für die Validierung der internen Risikomodelle eingefügt.
  • Anforderungen an die Funktionstrennung in AT 4.3.1 wurden ergänzt um Aspekte bei Mitarbeiterwechseln zwischen Markt- und Kontrollbereichen sowie auch das in diesem Zusammenhang stehende Selbstprüfungsverbot der Internen Revision.

Weitere Neuerungen

Für die Prozesse im Kreditgeschäft wurden ergänzende Anforderungen bei der Wertermittlung von Sicherheiten und die Prüfung der Kapitaldienstfähigkeit in BTO 1 der MaRisk aufgenommen. Darüber hinaus wurden neue Regelungen zur Berücksichtigung von Forbearance und – in BTR 1 MaRisk – zur Einführung einer Erlösquotensammlung eingefügt.

Das Management von Liquiditätsrisiken i.S.d. BTR 3 der MaRisk wurde um die Aspekte untertägige Überwachung des Liquiditätsrisikos, die angemessene Berücksichtigung der Asset Encumbrance, die Einführung einer langfristigen Liquiditätsablaufbilanz sowie die interne Refinanzierungsplanung ergänzt.

Um die Messung und Steuerung der Operationellen Risiken nach BTR 4 zu verbessern, sollen die Institute zukünftig ihre Definition der operationellen Risiken schärfen und stärker gegen andere („sonstige“) Risikoarten abgrenzen. Darüber hinaus sollen zusätzliche Aspekte wie „boundary events“ und Beinaheverluste bei der Erfassung von Schadensfällen berücksichtigt werden.

Umsetzungsfristen

Wie in der Vergangenheit differenziert die BaFin in den MaRisk hinsichtlich der Umsetzungsfristen nach bloßen Klarstellungen, Ergänzungen und Neuerungen. Während reine Klarstellungen direkt (mit Veröffentlichung der Endfassung) umzusetzen sind, ist für Themen, die neu sind, eine Umsetzungsfrist bis zum 31. Oktober 2018 vorgesehen.

Für die Neuerungen in AT 4.3.4 zur Risikodatenaggregation ist im Anschreiben zur Veröffentlichung der MaRisk 2017 separat geregelt, dass die betroffenen Institute grundsätzlich drei Jahre – ab dem Zeitpunkt der Einstufung als (anderweitig) systemrelevantes Institut – Zeit haben, die Anforderungen umzusetzen.

Fazit

Allein dieser kurze Abriss der wesentlichen Änderungen zeigt, dass auf die Institute ein nicht unerheblicher Umsetzungsaufwand zukommt. Auch wenn dieser Aufwand in Abhängigkeit von Institutsgröße und Komplexität des Geschäftsmodells unterschiedlich hoch ist, ist eine zeitnahe Adressierung der einzelnen Themenstellungen anzuraten.

Nun gilt es für die Institute auf Basis der Endfassung sowie von (ggf. bereits erfolgten) Gap-Analysen zeitnah den konkreten Handlungsbedarf zu identifizieren und die Umsetzung der MaRisk 2017 strukturiert anzugehen. Mit Hilfe unseres praxiserprobten PwC-Tools „Checkpoint“ können wir Sie bei der Analyse der Gaps, der Identifikation des Handlungsbedarfs und der strukturierten Planung der Umsetzung unterstützen.

Soweit Sie Ihren Handlungsbedarf schon kennen, unterstützen wir Sie auch gern bei der konkreten praktischen Umsetzung der zahlreichen neuen Anforderungen. Dabei profitieren Sie von unserem breiten Benchmark-Wissen.

Bitte sprechen Sie uns an.

WP StB Michael Maifarth

Telefon    +49 69 9585 2318
Mobil       +49 170 786 5727

michael.maifarth@pwc.com

WP Matthias Eisert

Telefon    +49 69 9585 2269
Mobil       +49 160 895 3260

matthias.eisert@pwc.com

WP Andreas Fuchs

Telefon    +49 89 5790 5280
Mobil       +49 151 14282711

andreas.fuchs@pwc.com

WP Dieter Lienland

Telefon    +49 211 981 4929
Mobil       +49 171 553 2631

dieter.lienland@pwc.com

 

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

/* */