Die BaFin veröffentlicht voraussichtlich im zweiten Quartal 2017 eine überarbeitete Fassung ihrer Mindestanforderungen an das Risikomanagement (MaRisk). Am 18. Februar 2016 hat die BaFin den Entwurf zur Konsultation gestellt . Der prinzipienorientierte Charakter als Wesensmerkmal der MaRisk ist darin erhalten geblieben. Damit erhält sich die Aufsicht weiterhin die in der Praxis erforderlichen Umsetzungsspielräume.

Einer der wichtigsten Gründe für die Überarbeitung der MaRisk war die Überführung der BCBS 239, der Anforderungen des BCBS zur Risikodatenaggregation und Risikoberichterstattung¹ in die deutsche Aufsichtspraxis. Nachbesserungsbedarf sahen die BaFin und Bundesbank speziell bei den Vorgaben für die Leistungsfähigkeit von IT-Systemen. Darüber hinaus wollte sie mit der Novellierung eine angemessene Risikokultur etablieren und Auslagerungsanforderungen ergänzen und klarstellen.

Risikodatenaggregation

Das neue Modul AT 4.3.4 der MaRisk setzt die Anforderungen des BCBS zur Risikodatenaggregation um, die eher technischer Natur sind. Das Modul soll helfen, die IT-Infrastruktur großer und komplexer Institute zu verbessern. Es soll gewährleisten, dass die Institute ihre Risiken aktuell und genau auf einer möglichst automatisierten Basis aggregieren.

Konkret wendet sich das neue Modul an global systemrelevante und anderweitig systemrelevante Institute² im Sinne der §§ 10f und 10g des Kreditwesengesetzes (KWG). Ziel ist es, den Entscheidungsträgern dieser Banken wichtige Daten und Informationen über das interne Berichtswesen zur Verfügung zu stellen, damit sie auf Änderungen der Risikolage des Instituts und seines wirtschaftlichen Umfelds umgehend reagieren können. Das kann nur gelingen, wenn die Daten möglichst vollständig, genau und aktuell sind. Die Banken werden ihre Kapazitäten zur Risikodatenaggregation ausbauen und ihre IT-Systeme umbauen müssen, was ihnen sicher einige Anstrengung abverlangt. Die Qualität der Berichterstattung sollte sich dadurch aber deutlich verbessern.

Um die Ansprüche an die Risikoberichterstattung übersichtlicher zu gestalten, hat die BaFin die zuvor schon existierenden Anforderungen an die Berichterstattung in einem neuen Modul BT 3 gebündelt und punktuell um weitere Vorgaben ergänzt. Das Modul richtet sich an alle Institute, stellt aber klar, dass die Umsetzung in proportionaler Art und Weise zu erfolgen hat.

Angemessene Risikokultur

Die Entwicklung, Förderung und Integration einer angemessenen Risikokultur innerhalb eines Instituts, wie sie nun im überarbeiteten Modul AT 3 gefordert wird, geht über die bisherigen Anforderungen der MaRisk an ein angemessenes Risikomanagement hinaus. Diese zielten darauf ab, dass sich Institute strikt im Rahmen des Risikoappetits bewegen, den die Geschäftsleitung definiert hat. Eine angemessene Risikokultur geht aber noch weiter. Orientiert hat sich die Aufsicht bei der Gestaltung des Moduls an internationalen Initiativen, wie der des Finanzstabilitätsrats FSB mit seinen Guidance on Supervisory Interaction with Financial Institutions on Risk Culture vom 7. April 2014 . Eigentlicher Zweck ist es, eine bewusste Auseinandersetzung mit Risiken im täglichen Geschäft zu fördern und eine solche Risikobetrachtung fest in der Unternehmenskultur zu verankern. Es gilt, ein Risikobewusstsein auf allen Ebenen des Instituts zu schaffen, das das tägliche Denken und Handeln aller Beschäftigten und Entscheidungsträger prägt. Damit soll ein Wertesystem aufgebaut werden, das ökonomisch und ethisch wünschenswertes Verhalten fordert und den langfristigen Erfolg des Unternehmens sichert. Das setzt unter anderem voraus, dass ein kritischer Dialog über risikorelevante Themen innerhalb eines Instituts etabliert wird und von den Führungsebenen gefördert wird.

Auslagerungen

Die Erfahrungen aus der Aufsichtspraxis und wiederholte Zweifelsfragen zu Auslagerungen hat die BaFin zum Anlass genommen, die Anforderungen daran im Modul AT 9 der MaRisk klarzustellen und zu ergänzen. Erklärtes Ziel war, die Grenzen der Auslagerung insbesondere für das Risikocontrolling, die Compliance und die Interne Revision deutlicher zu definieren.

Es ist nun nur noch unter engen Voraussetzungen möglich, die Risikocontrolling-Funktion vollständig auszulagern. Nur kleine Institute mit sehr begrenzten Ressourcen dürfen die Compliance-Funktion und die Interne Revision als weitere wichtige Kontrollbereiche vollständig auslagern. Einzelne Tätigkeiten oder Prozesse in den genannten Kontrollbereichen können dagegen weiterhin ausgelagert werden. Neu ist, dass die Aufsicht nun ein zentrales Auslagerungsmanagement verlangt. Das müssen zumindest Institute mit umfangreichen Auslagerungslösungen künftig einrichten. Hinzu kommen weitere Anpassungen, die vorhandene Anforderungen klarstellen, etwa zu Weiterverlagerungen, zur Abgrenzung vom Fremdbezug oder zum Umgang mit unbeabsichtigten Beendigungen von Auslagerungen.

Inkrafttreten

Die neue Fassung der MaRisk tritt mit ihrer Veröffentlichung in Kraft. Um den Instituten eine ausreichende zeitliche Flexibilität einzuräumen, sind lediglich die überarbeiteten alten Anforderungen sofort umzusetzen. Für die neuen Anforderungen haben die Institute ein Jahr Zeit, für die Regelungen des neuen Moduls AT 4.3.4 zur Risikodatenaggregation sogar drei Jahre.

Fußnoten: