BaFin - Navigation & Service

Springe direkt zu:

BaFin-Rundschreiben

Inhalt

Beitrag aus dem Jahresbericht 2017 der BaFin

MaRisk-Novelle

Am 27. Oktober 2017 hat die BaFin die überarbeiteten Mindestanforderungen an das Risikomanagement der Banken (MaRisk) veröffentlicht.1) Wesentliche Neuerungen gibt es bei den Punkten Datenaggregation, Risikoberichterstattung, Risikokultur und Auslagerung.2)

Höhere Anforderungen an Datenaggregation

Die BaFin hat die Anforderungen an die Datenaggregation erhöht um sicherzustellen, dass die relevanten Informationen die verantwortlichen Entscheidungsträger schnell erreichen. Das neue Modul AT 4.3.4 gilt ausschließlich für global und anderweitig systemrelevante Institute. Deren IT-Infrastruktur soll eine umfassende und genaue Aggregation der Risikopositionen ermöglichen und dem Berichtswesen der Bank diese Informationen zeitnah zur Verfügung stellen.
Neben der Erfüllung von Anforderungen an instituts- und gruppenweit geltende Grundsätze für das Datenmanagement, die Datenqualität und die Aggregation von Risikodaten haben die Institute für alle Prozessschritte Verantwortlichkeiten festzulegen und Kontrollen einzurichten. Eine von den geschäftsinitiierenden bzw. -abschließenden Organisationseinheiten unabhängige Stelle muss prüfen, ob die Mitarbeiter die institutsinternen Regelungen, Verfahren, Methoden und Prozesse einhalten.

Risikoberichterstattung

Im neuen Modul BT 3 hat die BaFin die schon bestehenden Anforderungen an die Risikoberichterstattung zusammengeführt und um Anforderungen aus den BCBS 239 erweitert. Es richtet sich an alle Institute, wobei selbstverständlich weiterhin das Proportionalitätsprinzip gilt. Alle Institute müssen regelmäßige Risikoberichte erstellen und in der Lage sein, bei Bedarf kurzfristig Risikoinformationen zu generieren. Die Risikoberichterstattung muss nachvollziehbar und aussagefähig sein und die Risikosituation nicht nur darstellen, sondern auch beurteilen.

Unternehmens- und Risikokultur

Die BaFin hat des Weiteren die Unternehmens- und Risikokultur stärker in den aufsichtlichen Fokus gerückt. Grundlage hierfür ist AT 3 MaRisk. Demnach sind die Geschäftsleiter verpflichtet, eine angemessene Risikokultur zu entwickeln, im Institut zu integrieren und zu fördern. Ziel ist es, auf allen Ebenen eines Instituts ein Risikobewusstsein zu schaffen, das das tägliche Denken und Handeln aller Mitarbeiter prägt.

Die Aufsicht setzt voraus, dass die Geschäftsleitung, aber auch andere Führungsebenen klar formulieren, welches Verhalten gewünscht ist und welches nicht. Wesentlich hierfür ist, dass auf allen Ebenen klare Verantwortlichkeiten festgelegt werden und den Mitarbeitern die Konsequenzen möglicher Verstöße bewusst sind. Ein Verhaltenskodex, wie AT 5 ihn fordert, ist eine wichtige Hilfe.

Auslagerung

Die überarbeiteten MaRisk konkretisieren zudem die Anforderungen an die Auslagerung von Prozessen und Tätigkeiten. Die Risikocontrolling- und die Compliance-Funktion sowie die Interne Revision sollen künftig möglichst in den Instituten verbleiben. Eine vollständige Auslagerung der Kontrollfunktionen und der Internen Revision ist nur noch in bestimmten Ausnahmefällen möglich. Die MaRisk stellen außerdem klar, dass das Institut bei Auslagerungen von Aktivitäten und Prozessen in Kontroll- und Kernbankbereichen weiterhin über Kenntnisse und Erfahrungen verfügen muss, die eine wirksame Überwachung der Dienstleistungen des Auslagerungsunternehmens gewährleisten. Die MaRisk fordern zudem von Instituten mit umfangreichen Auslagerungen ein zentrales Auslagerungsmanagement, das die Geschäftsleitung bei der Steuerung und Überwachung der mit Auslagerungen verbundenen Risiken unterstützen kann.

BAIT: Bankaufsichtliche Anforderungen an die IT

Im November 2017 veröffentlichte die BaFin die „Bankaufsichtlichen Anforderungen an die IT“ (BAIT).3) Die BAIT sind nun ein zentraler Baustein der IT-Aufsicht der BaFin über die Kredit- und Finanzdienstleistungsinstitute in Deutschland. Die Anforderungen richten sich an die Geschäftsleitungen der Unternehmen.4)

Ziel der BAIT ist es, einen verständlichen und flexiblen Rahmen für das Management der IT-Ressourcen, des Informationsrisikos und der Informationssicherheit zu schaffen. Die BAIT sollen dazu beitragen, das unternehmensweite IT-Risikobewusstsein in den Instituten und gegenüber den Auslagerungsunternehmen zu erhöhen. Die Aufsicht hat in den BAIT auch ihre Erwartungen an die Steuerung und Überwachung des IT-Betriebs transparent gemacht.

Interpretation von Aufsichtsnormen

In den BAIT interpretiert die Aufsicht die gesetzlichen Anforderungen des § 25a Absatz 1 Satz 3 Nummern 4 und 5 Kreditwesengesetz (KWG). Sie konkretisiert, was sie unter einer angemessenen technisch-organisatorischen Ausstattung der IT-Systeme versteht, und zwar vor allem mit Blick auf die Informationssicherheit und ein angemessenes Notfallkonzept.

Da die Institute immer mehr IT-Services von Dritten beziehen, interpretieren die BAIT auch den § 25b KWG. Darin wird die Auslagerung von Aktivitäten und Prozessen geregelt.

Die BAIT gehen detailliert auf wichtige Themen ein und sollen auf diese Weise den Instituten helfen, auch in Bezug auf die IT-Infrastruktur und ihre internen und externen Abhängigkeiten eine ordnungsgemäße Geschäftsorganisation sicherzustellen. Die BAIT sind jedoch nicht als vollständiger Anforderungskatalog anzusehen. Die Banken bleiben gemäß AT 7.2 der oben genannten MaRisk in der Pflicht, bei der Umsetzung der BAIT auf gängige Standards abzustellen.
Auch für die BAIT gilt – wie für die MaRisk – uneingeschränkt der Grundsatz der doppelten Proportionalität. Er besagt, dass sowohl die Steuerungsinstrumente einer Bank als auch die Intensität der Aufsicht zu den Risiken des Instituts passen sollen.

IT-Risikobewusstsein schärfen

Ein zentrales Ziel der BAIT ist es, das IT-Risikobewusstsein in den Instituten zu schärfen – vor allem auf den Führungsebenen.

IT-Risiko

Unter dem Begriff IT-Risiko versteht die Aufsicht alle Risiken für die Vermögens- und Ertragslage der Institute, die aufgrund von Mängeln entstehen, die das IT-Management beziehungsweise die IT-Steuerung, die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität der Daten, das interne Kontrollsystem der IT-Organisation, die IT-Strategie, -Leitlinien und -Aspekte der Geschäftsordnung oder den Einsatz von Informationstechnologie betreffen.

IT-Strategie

In Bezug auf die IT-Strategie steht die Anforderung im Vordergrund, dass sich die Geschäftsleitung mit den strategischen Implikationen der verschiedenen Aspekte der IT für die Geschäftsstrategie regelmäßig auseinandersetzt.

IT-Governance

Zudem ist die Geschäftsleitung dafür verantwortlich, dass die Regelungen zur IT-Governance institutsintern und gegenüber Dritten wirksam umgesetzt werden. Sie hat auch dafür Sorge zu tragen, dass insbesondere das Informationsrisiko und das Informationssicherheitsmanagement, der IT-Betrieb und die Anwendungsentwicklung angemessen mit Personal ausgestattet sind. Dies ist aus Sicht der BaFin wichtig, damit das Risiko einer qualitativen oder quantitativen Unterausstattung dieser Bereiche frühzeitig erkannt und möglichst umgehend behoben werden kann.

Informationssicherheitsmanagement

Die Geschäftsleitung ist dafür verantwortlich, unter Berücksichtigung der Risikosituation ihres Instituts eine Informationssicherheitsleitlinie zu beschließen und intern zu veröffentlichen. Die im Rahmen des Informationsrisikomanagements definierten Schutzbedarfe sind durch Informationssicherheitsrichtlinien zu konkretisieren. Der Informationssicherheitsbeauftragte ist die zentrale Instanz für die Einhaltung und Überwachung der Informationssicherheit innerhalb des Instituts und gegenüber Dritten. Diese Funktion ist organisatorisch und prozessual unabhängig auszugestalten.

Weiterentwicklung der BAIT

Die modulare Struktur der BAIT gibt der Aufsicht Spielraum für Anpassungen oder Ergänzungen, falls dies künftig aufgrund neuer internationaler oder nationaler Anforderungen erforderlich werden sollte. Derzeit prüft die BaFin beispielsweise, welche Ergänzungen der BAIT noch notwendig sind, um die „Grundelemente zur Cyber-Sicherheit für den Finanzsektor“, die die G-7–Staaten im Oktober 2016 veröffentlichten, vollständig umzusetzen.

Rundschreiben Zinsänderungsrisiko

Die BaFin hat das Rundschreiben 11/2011 (BA) zu Zinsänderungsrisiken im Anlagebuch von 2011 überarbeitet und die geplante Novelle im vierten Quartal 2017 zur Konsultation gestellt. Ziel der Überarbeitung war es, die Leitlinien der EBA zur Steuerung des Zinsänderungsrisikos vom Mai 2015 in die deutsche Verwaltungspraxis zu überführen, sofern dies nicht bereits mit der Veröffentlichung der Mindestanforderungen an das Risikomanagement (MaRisk) vom 27. Oktober 2017 (Abschnitt BTR 2.3) erfolgt war. Die Deutsche Kreditwirtschaft hat das Rundschreiben umfassend kommentiert und einzelne Änderungsvorschläge eingebracht, insbesondere auch zur Vermeidung von Doppelmeldungen. Zum Redaktionsschluss stand noch nicht fest, ob diese Anpassungen des Rundschreibens vorgenommen werden können, ohne die Umsetzung der Leitlinien der EBA zu beeinträchtigen.

Zu den wesentlichen Änderungen zählen die Berücksichtigung negativer Zinsen, die Abschaffung des Ausweichverfahrens für Banken ohne barwertige Zinsrisikomessung, die Einbeziehung der unmittelbaren Pensionsverpflichtungen und der Währungsaggregation sowie die Möglichkeit, Margen entsprechend der internen Steuerung abzubilden. Künftig können die Institute bei der Berechnung des Zinsänderungsrisikos auf die Cashflows ohne Margen abstellen, also auf Basis des Innenzinssatzes bzw. des laufzeitadäquaten Geld- und Kapitalmarktzinssatzes. Voraussetzung: Sie tragen dem aus Margen resultierenden Risiko in der internen Risikosteuerung Rechnung, etwa bei der Steuerung des Geschäftsrisikos.

Die Zulassung eines Ausweichverfahrens, das Banken ohne barwertige Zinsrisikomessung eine approximative Ermittlung der Risiken ermöglichen sollte, wird entbehrlich, da die neuen MaRisk die Institute nun verpflichten, ihre Zinsänderungsrisiken sowohl barwertig als auch ertragsorientiert zu messen. Entsprechend müssen Banken künftig beide Steuerungsperspektiven berücksichtigen.

Baseler Regeln nicht vorweggenommen

Die geplante Anpassung des Rundschreibens zum Zinsänderungsrisiko soll die künftigen Baseler Regeln zur Messung und Steuerung von Zinsänderungsrisiken im Anlagebuch nicht vorwegnehmen, da diese erst noch auf europäischer Ebene zu kodifizieren sind. Es beschränkt sich daher weiterhin insbesondere auf die Vorgaben zur Ermittlung der Auswirkungen einer Parallelverschiebung der Zinsstrukturkurve um 200 Basispunkte nach oben und nach unten. Regelungen für die vier übrigen barwertigen Baseler Schockszenarien werden noch nicht getroffen. Davon abgesehen, will die Aufsicht bei der Implementierung der aktuellen EBA-Leitlinien vorhersehbare Anpassungen im europäischen Gesetzgebungsverfahren teilweise antizipieren, um den erneuten Umstellungsaufwand für die Institute gering zu halten.

Auf die im Konsultationsverfahren eingereichten Stellungnahmen hat die Bankenaufsicht mit einzelnen Änderungen am Entwurf reagiert. Hierdurch werden unter anderem Doppelmeldungen der systemrelevanten Institute an die Europäische Zentralbank (EZB) und die nationalen Aufsichtsbehörden vermieden und Definitionen geschärft, zum Beispiel, was die einzubeziehenden Pensionsverpflichtungen und die aufsichtlichen Maßnahmen bei bestimmten Schwellenwerten für die Ausprägung des Zinsänderungsrisikos angeht.

Fußnoten:

  1. 1) www.bafin.de/dok/10149454
  2. 2) Vgl. BaFinJournal November 2017, Seite 19 f.
  3. 3) Vgl. BaFinJournal Januar 2018, Seite 17 f.
  4. 4) Vgl. hierzu auch Kapitel I 2.

Fanden Sie den Beitrag hilfreich?

Wir freuen uns über Ihr Feedback

Es hilft uns, die Webseite kontinuierlich zu verbessern und aktuell zu halten. Bei Fragen, für deren Beantwortung wir Sie kontaktieren sollen, nutzen Sie bitte unser Kontaktformular. Hinweise auf tatsächliche oder mögliche Verstöße gegen aufsichtsrechtliche Vorschriften richten Sie bitte an unsere Hinweisgeberstelle.

Wir freuen uns über Ihr Feedback