MaRisk Novelle 2017: Diese Neuerungen – Klarstellungen – sind sofort umzusetzen

Am 27. Oktober 2017 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die neuen Mindestanforderungen für das Risikomanagement (MaRisk) bekannt gegeben. In diesem Zusammenhang haben wir bereits über die wesentlichen Neuerungen am 27. Oktober 2017 berichtet (vgl. unseren Blogbeitrag Finale MaRisk 2017). Wie erwartet differenziert die BaFin in den MaRisk hinsichtlich der Umsetzungsfristen nach

  • Klarstellungen, die keine neuen Regelungsinhalte mit sich bringen und lediglich die existierende Verwaltungspraxis widerspiegeln bzw. verdeutlichen,
  • Umsetzungsfristen für den Bereich AT 4.3.4 (Risikodatenaggregationen) und
  • Neuerungen, d.h. alle sonstigen Änderungen.

Während Klarstellungen direkt (mit Veröffentlichung der Endfassung) umzusetzen sind, gilt für Neuerungen eine Umsetzungsfrist bis zum 31. Oktober 2018. Für Institute, die in den Anwendungsbereich des AT 4.3.4 fallen, gilt eine Umsetzungsfrist von drei Jahren ab dem Zeitpunkt der Einstufung als (anderweitig) systemrelevantes Institut. Global systemrelevante Institute haben diese Anforderungen bereits seit Januar 2016 zu erfüllen.

Nach unserer Einschätzung existieren in allen Bereichen eine Vielzahl an Klarstellungen (insgesamt weit mehr als 50!), die somit direkt umzusetzen sind.

 

Nachfolgend geben wir Ihnen einen Überblick über die wesentlichen Klarstellungen:

Risikotragfähigkeit gemäß AT 4.1

Im Hinblick auf die Angemessenheit der Methoden und Verfahren zur Risikotragfähigkeitsrechnung liegt der Schwerpunkt – in Anlehnung an die BCBS-Anforderungen – auf der Angemessenheit der Annahmen und Datensätze sowie der Modellrisiken. Institute müssen mittels eines Inventars oder Katalogs jederzeit einen aktuellen und vollständigen Überblick über ihre zur Risikoquantifizierung verwendeten Methoden und Verfahren gewährleisten. Dazu gehört auch, dass die Institute ihre Modelle auf mögliche Modellrisiken hin analysieren und bei der Beurteilung der Risikotragfähigkeit einbeziehen. Jegliche Annahmen, die Eingang in die Quantifizierungsmodelle finden, sind plausibel darzulegen. Sofern externe Daten in die Risikorechnung einfließen, darf die Verwendung nicht unreflektiert erfolgen. Vielmehr ist nachzuweisen, inwieweit die externen Daten zu den Parametern des institutsindividuellen Geschäftes passen. Explizit wird ein Verzicht auf den Nachweis der inhaltlichen Richtigkeit bei öffentlich zugänglichen Marktinformationen (Zinssätze, Marktpreise, Renditen, etc.) ausgesprochen. Dennoch ergeben sich erhöhte Dokumentationsanforderungen in diesen Bereichen und insgesamt eine erhöhte Erwartungshaltung an die Validierungsaktivitäten der Institute.

 

Stresstests gemäß AT 4.3.3

In AT 4.3.3 Tz. 2 der MaRisk stellt die BaFin klar, wie sie den Begriff der „Stresstests auf Gesamtinstitutsebene“ auslegt. Der Gesamtbankstresstest fasst institutseigene und marktweite Ursachen zu einem kombinierten Szenario zusammen. Dabei sollen Wechselwirkungen zwischen den einzelnen Risikoarten simuliert werden, um deren Effekte differenziert zu betrachten. Insbesondere kleinere Institute stehen vor der Herausforderung die Anforderungen passend zu ihrer Geschäftstätigkeit sowohl für die Institutsebene als auch für die Gruppenebene umzusetzen. Dies bedeutet für die Institute ggf. eine Neukonzeption der Stresstests. Im Zuge der Überarbeitung der Stresstests sollten idealerweise die neuen Anforderung an Stresstests für Liquiditätsrisiken gemäß BTR 3.1 Tz. 8 berücksichtigt werden, für die jedoch eine längere Umsetzungsfrist gilt.

 

Kreditgeschäft gemäß BTO 1.2.1, 1.2.2 und 1.2.5

Für die Prozesse im Kreditgeschäft ergeben sich ebenfalls zahlreiche Klarstellungen – insbesondere in den folgenden Bereichen:

  • Objekt-/Projektfinanzierungen: Die Definition der Objekt-/Projektfinanzierungen wurde konkretisiert. Während der Entwicklungsphase eines Projektes/Objektes sind regelmäßige Besichtigungen und Bautenstandskontrollen durchzuführen. Der Turnus ist unter Risikogesichtspunkten institutsindividuell festzulegen.
  • Kapitaldienstfähigkeit: In die Analyse sind auch Risiken für die zukünftige Vermögens- und Liquiditätslage des Kreditnehmers einzubeziehen, dies gilt insbesondere bei Immobiliar-Verbraucherdarlehen für zukünftige, als wahrscheinlich anzusehende Einkommensschwankungen. Alle für die Kreditgewährung relevanten Informationen sind vollständig zu dokumentieren und über die Laufzeit des Kredites aufzubewahren.
  • Sicherheitenbewertung bei Kreditgewährung: Der Wertansatz muss hinsichtlich wertbeeinflussender Umstände nachvollziehbar und in den Annahmen und Parametern begründet sein. Für die Überprüfung der Werthaltigkeit einer Sicherheit ist je nach Sicherheitenart eine institutseigene Grenze für Objektbesichtigungen festzulegen.
  • Sicherheitenbewertung bei Immobilienkrediten: Der alleinige Einsatz von Marktschwankungskonzepten zur Überprüfung der Werthaltigkeit von Immobiliensicherheiten ist nicht (mehr) ausreichend. Auch hier ist eine institutsindividuelle Grenze zu bestimmen, um Risiken für die Werthaltigkeit der Sicherheit angemessen zu identifizieren und zu steuern.
  • Behandlung von Problemkrediten: Die Klarstellungen grenzen den Übergang von Intensivbetreuung in Sanierung/Abwicklung sowie zu Sanierungsfällen ab.

Zusammenfassend sind die Konkretisierungen im Bereich Kreditgeschäft zahlreich. Allerdings werden sie in der Praxis häufig schon gelebt. Der Anpassungsbedarf sollte für diese Institute die Dokumentation bzw. die Anpassung der internen Regelungen betreffen. Für einzelne Institute könnte jedoch auch darüber hinaus Handlungsbedarf bestehen.

 

Marktpreisrisiken des Anlagebuches gemäß BTR 2.3

Eine weitere Konkretisierung der Erwartungshaltung der Aufsicht wurde im Bereich der Zinsänderungsrisiken im Anlagebuch vorgenommen. Es wird weiterhin erwartet im Rahmen der Messung und Steuerung des Zinsänderungsrisikos beide Steuerungsperspektiven (barwertig und GuV-orientiert) zu berücksichtigen. Allerdings reicht das alleinige „im Blick behalten“ nicht aus. Institute müssen sich für einen Primäransatz entscheiden und beide Perspektiven angemessen berücksichtigen und somit auch rechnen. Dies kann für einige Institute eine Anpassung der bestehenden Praxis notwendig machen und Umsetzungsaufwand bedeuten.

 

Steuerung der Liquiditätsrisiken gemäß BTR 3.1

Neben einigen redaktionellen Anpassungen (u.a. Diversifikation der Refinanzierungsquellen und Liquiditätspuffer) wurde insbesondere die Steuerung der untertägigen Liquidität gem. BTR 3.1 Tz. 1 betont. Es wird nicht mehr von einer bloßen Sicherstellung der untertägigen Liquidität, sondern von einer Steuerung der untertägige Liquidität gesprochen. Dies setzt voraus, dass Institute ihre aktuelle Liquidität und den Bedarf untertägig, d.h. in angemessen kurzen Zeitintervallen, messen können, diesen steuern und überwachen. Für einige Institute kann das einen erheblichen Umsetzungs-aufwand bedeuten.

Darüber hinaus wurde klargestellt, dass Institute über einen geeigneten Zeitraum eine oder mehrere aussagekräftige Liquiditätsübersichten zu erstellen haben, in denen die voraussichtlichen Mittelzuflüsse den voraussichtlichen Mittelabflüssen gegenübergestellt werden. Hierbei sind alle Fristigkeiten abzudecken. Erwartet werden geeignete Liquiditätsübersichten zur Beurteilung und Steuerung der Liquiditätslage im kurz-, mittel- und langfristigen Bereich. Das Liquiditätssystem muss in der Lage sein die Liquiditätsübersichten auf Basis der vertraglichen Cash-Flows, der erwarteten Cash-Flows in einem normalen Marktumfeld sowie der erwarteten Cash-Flows gemäß den institutsintern zu definierenden Stress-Szenarien abzubilden. Diese sind entsprechend in der Liquiditätssteuerung zu berücksichtigen und zu überwachen.

Teilweise werden diese Regelungen bereits in der Praxis umgesetzt und gelebt; teilweise jedoch noch nicht vollumfänglich. Sofern letzteres der Fall ist, sollten alle betroffenen Institute unverzüglich mit der Umsetzung und Analyse Ihrer Lösungsmöglichkeiten beginnen.

Im Zuge der Überarbeitung des Managements der Liquiditätsrisiken sollten idealerweise die neuen Anforderung an die Stress-Szenarien selbst (u.a. unterschiedlich lange Zeithorizonte, Ermittlung des voraussichtlichen Überlebenshorizonts im Stress, Berücksichtigung von marktweiten und institutsindividuellen Ursachen in kombinierten Stress-Szenarien, Berücksichtigung von belasteten Vermögenswerten) sowie die Anforderungen an die internen Refinanzierungspläne berücksichtigt werden. Hierfür haben Institute jedoch bis zum 31. Oktober 2018 Zeit.

 

Risikoberichterstattung gemäß BT 3.1 und BT 3.2

Der Besondere Teil zur Berichterstattung sollte in weiten Teilen bekannt und umgesetzt sein, da die Anforderungen an die Risikoberichterstattung zu den einzelnen Risikoarten in diesem Teil vor allem gebündelt wurden. Die Klarstellungen sollen die Qualität der Risikoinformationen sowie die Zeitnähe und Vollständigkeit der Berichtsinhalte an Vorstand und Aufsichtsrat fördern.

Erhöhter Anpassungsbedarf besteht ggf. aufgrund der Anforderung, dass die Risikoberichte auch eine zukunftsorientierte Risikoeinschätzung (qualitativ sowie quantitativ) beinhalten sollen und sich nicht ausschließlich auf aktuelle und historische Daten stützen sollen. Ein möglicher Ansatzpunkt könnten Szenarioanalysen oder die mehrjährige Kapitalplanung sein.

Darüber hinaus sind Änderungen der wesentlichen Annahmen oder Parameter, die den Verfahren zur Beurteilung der Marktpreisrisiken zugrunde liegen, explizit anzugeben.

In Bezug auf das Liquiditätsrisiko gilt für systemrelevante Institute sowie kapitalmarktorientierte Institute, dass der Risikobericht über die Liquiditätsrisiken und die Liquiditätssituation mindestens monatlich zu erstellen ist.

Zum Adressenausfallrisiko und zum operationellen Risiko ergeben sich keine Änderungen.

 

Darüber hinaus ergeben sich weitere Klarstellungen in den folgenden zentralen Bereichen der MaRisk:

Technisch-organisatorische Ausstattung gemäß AT 7.2

Neu aufgenommen in die MaRisk wurden Anforderungen an das IT-Risikomanagement. So fordern die MaRisk in AT 7.2 Tz. 4 angemessene Überwachungs- und Steuerungsprozesse für IT Risiken. Dies gilt gem. AT 7.2 Tz. 5 auch für den Einsatz von selbst entwickelten Anwendungen (sog. Individuelle Datenverarbeitung – „IDV“). Somit sind IT Risiken als eigenständige Risikokategorie zu behandeln und folglich in einem umfassenden IT-Risikomanagement abzubilden. Konkretisierend hat die Aufsicht Anfang November 2017 mit dem RS 10/2017 (BA) „Bankaufsichtliche Anforderungen an die IT (BAIT)“ Ihre Erwartungshaltung klar gestellt. Grundsätzlich gelten für die BAIT und die in diesem Zusammenhang stehenden MaRisk Regelungen keine Umsetzungsfristen. Dies kann einige Institute vor Herausforderungen stellen.

 

Auslagerungen gemäß AT 9

Darüber hinaus wurde der Abschnitt AT 9 angepasst. Nach unserem Verständnis handelt es sich teilweise um redaktionelle Anpassungen bzw. Klarstellungen (u.a. zivilrechtliche Gestaltung, gruppenweite sowie einheitliche Rahmenvorgaben für die Risikoanalyse, Eskalation bei Schlechtleistung, im Auslagerungsvertrag abzudeckende (Mindest-)Regelungen und sonstigen Sicherheitsanforderungen), die sofort gültig sind. Dies kann das ein oder andere Institut vor größere Herausforderungen stellen.

Darüber hinaus werden einige Neuerungen (z.B. Festlegung von Handlungsoptionen und Ausstiegsprozessen, erweiterte Anforderungen an Weiterverlagerungen, Anforderungen bei vollständiger Auslagerungen von wesentlichen Funktionen, Anforderungen an ein zentrales Auslagerungsmanagement, jährliche Berichterstattung) aufgenommen, die sich Institute im Rahmen der Überarbeitung ihres Auslagerungsmanagements anschauen und entsprechend weiter entwickeln sollten.

 

Fazit

Die dargestellten Klarstellungen zeigen auf, dass für die Institute durchaus auch kurzfristig ein erhöhter Anpassungsbedarf bestehen kann. Es sei denn,

  • Institute haben bereits die Konsultationsfassung vom Juni 2016 vollumfänglich umgesetzt,
  • (systemrelevante) Institute haben bereits bestehende europäische Regelungen (u.a. EBA-Leitlinien) vollumfänglich umgesetzt oder
  • Institute wurden bereits aufgrund von Erkenntnissen aus aufsichtsrechtlichen Prüfungen zu den entsprechenden Änderungen veranlasst.

Allerdings ist hiervon nicht in allen Fällen auszugehen, so dass in der Praxis häufig Handlungsbedarf besteht. Da sich der Aufwand je nach Institutsgröße und Komplexität des Geschäftsmodells unterscheidet, kann der aktuelle MaRisk-Umsetzungsstand des Weiteren Anlass zu Diskussionen in den derzeit laufenden Jahresabschlussprüfungen geben. Ebenfalls wird er zum Gegenstand der nächsten Gespräche mit der Aufsicht werden. Bereiten Sie sich zeitnah darauf vor und schließen Sie bestehende Lücken möglichst frühzeitig.

 

Bei Fragen wenden Sie sich gerne an uns:

WP StB Michael Maifarth

Telefon    +49 69 9585 2318
Mobil       +49 170 786 5727

michael.maifarth@pwc.com

WP Matthias Eisert

Telefon    +49 69 9585 2269
Mobil       +49 160 895 3260

matthias.eisert@pwc.com

WP Andreas Fuchs

Telefon    +49 89 5790 5280
Mobil       +49 151 14282711

andreas.fuchs@pwc.com

WP Dieter Lienland

Telefon    +49 211 981 4929
Mobil       +49 171 553 2631

dieter.lienland@pwc.com

 

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

/* */