Einführung
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und die Deutsche Bundesbank haben die Mindestanforderungen an das Risikomanagement der Banken (MaRisk) an neue europäische und internationale Anforderungen angepasst. Nachdem die letzte Novellierung bereits in 2012 erfolgte, war es aus Sicht der BaFin erforderlich, zur Umsetzung der neuen Anforderungen und zur Angleichung an aktuelle Best Practice- Standards eine erneute Überarbeitung vorzunehmen. Die am 27.10.2017 veröffentlichte 5. MaRisk-Novelle enthält eine Vielzahl an Klarstellungen und Ergänzungen, aber auch neue Themenfelder mit weitreichenden Konsequenzen für die Institute. Die wesentlichen Neuerungen, betreffen insbesondere die Themen Risikokultur, Datenaggregation, Auslagerung und Risikoberichterstattung. Die BaFin betont, dass sie Ihre Erfahrungen, die bei der täglichen Aufsicht und bei Prüfungen gemacht wurden, in der Novelle berücksichtigt hat.
Umsetzungsfristen
Hinsichtlich der Umsetzungsfristen differenziert die BaFin zwischen Klarstellungen, Ergänzungen und Neuerungen. Während Klarstellungen unmittelbar mit Veröffentlichung der Endfassung umzusetzen und anzuwenden sind, wird für neue Themenbereiche, eine Umsetzungsfrist bis zum 31. Oktober 2018 berücksichtigt. Für die Neuerungen in AT 4.3.4 zur Risikodatenaggregation wurde gesondert festgelegt, dass die betroffenen Institute grundsätzlich drei Jahre – ab dem Zeitpunkt der Einstufung als (anderweitig) systemrelevantes Institut – Zeit haben, die neuen Vorschriften umzusetzen. Diese Information ist dem Anschreiben zur Veröffentlichung der MaRisk 2017 zu entnehmen.
Gesamtverantwortung der Geschäftsleitung
Die Gesamtverantwortung der Geschäftsleitung bezieht sich auf alle wesentlichen Elemente des Risikomanagements. Die Geschäftsleiter müssen die Risiken beurteilen können und die erforderlichen Maßnahmen zu ihrer Begrenzung treffen. Dazu zählt insbesondere, die Entwicklung, Förderung und Integration einer angemessenen Risikokultur innerhalb des Instituts sowie der Gruppe. Zusätzlich enthalten die neuen MaRisk eine Definition des Begriffs Risikokultur. Die Risikokultur stellt dar, wie Mitarbeiter mit Risiken umgehen sollen. Von Bedeutung für eine adäquate Risikokultur sind neben einem klaren Bekenntnis der Geschäftsleitung zu risikoangemessenem Verhalten, ein transparenter Austausch im Institut zu risikorelevanten Fragen und auch die gewissenhafte Beachtung des vorgegebenen Risikoappetits durch die Mitarbeiter. Es wird festgelegt, dass jeder Geschäftsleiter für die Implementierung angemessener Kontroll- und Überwachungsprozesse in seinem Zuständigkeitsbereich verantwortlich ist.
Datenmanagement, Datenqualität und Aggregation von Risikodaten
Neu aufgenommen werden die Anforderungen an Datenmanagement, Datenqualität und Aggregation von Risikodaten für systemrelevante Institute, die auf Gruppenebene und auf Ebene der wesentlichen gruppenangehörigen Einzelinstitute anzuwenden sind. Darüber hinaus werden die sonstigen Institute in dem Anschreiben der BaFin aufgefordert zu prüfen, ob und wie deren Datenaggregationskapazitäten sukzessiv verbessert und erweitert werden können. Es wird eine Genehmigung und Inkraftsetzung von instituts- und gruppenweit geltenden Grundsätzen für das Datenmanagement, die Datenqualität und die Aggregation von Risikodaten durch die Geschäftsleitung bestimmt. Bezugnehmend auf die Datenstruktur und Datenhierarchie ist sicherzustellen, dass die Daten durch einheitliche Namenskonventionen und Datenkennzeichnungen eindeutig identifiziert, zusammengeführt und ausgewertet werden können.
Darüber hinaus ist eine zeitnahe Lieferung der Daten auch in Stressphasen von hoher Bedeutung. Das Institut hat zusätzlich sicherzustellen, dass Risikodaten genau und vollständig sind und hat dies anhand geeigneter Kriterien zu überwachen. Hierzu hat das Institut schriftliche interne Anforderungen an die Genauigkeit und Vollständigkeit der Daten festzulegen. Des Weiteren ist es unerlässlich, dass die Daten nach unterschiedlichen Kriterien auszuwerten sind, dies gilt auch im Fall von Ad-hoc- Informationen. Nach Möglichkeit sollten diese auch automatisiert aggregiert werden können. Wesentliche Kategorien sollten, soweit möglich, bis auf Einzelgeschäftsebene aufgegliedert werden können. Werden manuelle Prozesse und Eingriffe notwendig, sind die Gründe hierfür sowie die erforderlichen Prozessschritte zu dokumentieren.
Die Risikodaten sind mit anderen im Institut vorhandenen Informationen abzugleichen und zu plausibilisieren. Unter Berücksichtigung der Risikoberichterstattungshäufigkeit hat das Institut den zeitlichen Rahmen zu definieren, in dem die aggregierten Risikodaten vorgelegt werden müssen. Die Mindestanforderungen an die Daten, die zeitnah zur Verfügung stehen müssen, sind den Erläuterungen zu entnehmen. Die Verantwortlichkeiten für die Prozessschritte sind zu bestimmen, entsprechende prozessabhängige Kontrollen zu implementieren und regelmäßige Prüfungen vorzunehmen.
Auslagerung
Die MaRisk stellen zunächst klar, dass zivilrechtliche Gestaltungen bzw. Vereinbarungen das Vorliegen einer Auslagerung nicht ausschließen können. Software und entsprechende fachliche Unterstützungsleistungen, die von einem Institut in Anspruch genommen werden, sind unter bestimmten Voraussetzungen nicht als sonstiger Fremdbezug, sondern als Auslagerung einzustufen. Von dieser Regelung betroffen sind vom Institut bezogene Softwarelösungen, die zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken eingesetzt werden oder für die Durchführung von bankgeschäftlichen Aufgaben wesentlich sind.
Darüber hinaus ist auch der Betrieb einer Software durch einen externen Dritten als Auslagerung anzusehen. Regelmäßig als Fremdbezug einzustufen ist der isolierte Bezug von Software, der u.a. auch Softwareanpassungen an die Institutsbedürfnisse, die Programmierung von Änderungswünschen, Softwaretests, -freigaben und – implementierungen sowie Wartungsleistungen umfasst. Die institutsspezifische Risikoanalyse, die zur Identifizierung wesentlicher Auslagerungen vorzunehmen ist, ist gemäß der neuen MaRisk sowohl regelmäßig als auch anlassbezogen durchzuführen.
Institutsweite bzw. gruppenweite einheitliche Rahmenvorgaben bilden die Grundlage für die Risikoanalyse. Relevante Punkte der Risikoanalyse sind die wesentlichen Risiken der Auslagerung, mögliche Risikokonzentrationen und Risiken aus Weiterverlagerungen. Als Auslagerungen von erheblicher Tragweite sind die vollständige oder teilweise Auslagerung der besonderen Funktionen Risikocontrolling-Funktion, Compliance-Funk- tion, Interne Revision oder von Kernbankbereichen definiert. Für diese gelten allenfalls auch besondere Maßstäbe. Eine Auslagerung von Aktivitäten und Prozessen in Kontrollbereichen und Kernbankbereichen darf in einem Umfang erfolgen, der sicherstellt, dass das Institut weiterhin über fundierte Kenntnisse und Erfahrungen verfügt und ggf. der ordnungsmäßige Betrieb in diesen Bereichen z.B. bei Beendigung des Auslagerungsverhältnisses fortgesetzt werden kann.
Die besonderen Funktionen Risikocontrolling-Funktion, Compliance-Funktion und Interne Revision dürfen grundsätzlich nicht vollständig ausgelagert werden. Es besteht allerdings unter bestimmten Bedingungen eine Ausnahmeregelung für Tochterinstitute innerhalb einer Institutsgruppe. Darüber hinaus ist eine vollständige Auslagerung der Compliance- Funktion oder der Internen Revision nur bei kleinen Instituten möglich. Das Institut muss eine Durchführbarkeitsprüfung mit möglichen Handlungsoptionen für den Fall einer unbeabsichtigten oder unerwarteten Beendigung der Auslagerung vornehmen. Die 5. MaRisk-Novelle fügt hinzu, dass diese Handlungsoptionen zu verabschieden und entsprechende Ausstiegsprozesse zu definieren sind. Weiterhin sind diese Handlungsoptionen regelmäßig und anlassbezogen zu kontrollieren. Bei gruppen- und verbundinternen Auslagerungen kann auf die Erstellung der Ausstiegsprozesse verzichtet werden. Sofern keine Handlungsoptionen vorliegen, wird eine angemessene Berücksichtigung in der Notfallplanung notwendig. Ein weiterer neuer Punkt der MaRisk ist die Definition von Mindestinhalten in den Auslagerungsverträgen.
Darüber hinaus erfolgt eine Erläuterung die Anforderungen an einen Auslagerungsvertrag in Bezug auf die Festlegung eskalationsauslösender Schlechtleistung und sonstige Sicherheitsanforderungen. Des Weiteren werden die Anforderungen an eine Weiterverlagerung, die durch die 5. MaRisk-Novelle eingeführt wird, sowie die aufsichtsrechtliche Sichtweise hierzu, klargestellt. Ein Auslagerungsvertrag soll mindestens gewährleisten, dass die Vereinbarungen des Auslagerungsunternehmens mit Subunternehmen im Einklang mit den vertraglichen Vereinbarungen des originären Auslagerungsvertrags stehen und eine Informationspflicht des Auslagerungsunternehmens an das auslagernde Institut vorsehen. Ein besonders wichtiger Punkt ist, dass im Falle einer Weiterverlagerung auf ein Subunternehmen das Auslagerungsunternehmen gegenüber dem auslagernden Institut weiterhin berichtspflichtig bleibt.
Ein Zustimmungsvorbehalt des auslagernden Instituts oder konkrete Voraussetzungen für eine Weiterverlagerung sollten vertraglich geregelt werden. Die Verantwortlichkeiten für die Steuerung und Überwachung der wesentlichen Auslagerungen sind vom Institut eindeutig zu definieren. Soweit eine Auslagerung besonderer Funktionen durchführt wird, ist ein Beauftragter durch die Geschäftsleitung zu benennen, der für die Durchführung der entsprechenden Aufgaben verantwortlich ist. Bis zur Veröffentlichung der neuen MaRisk wurde die Benennung eines Beauftragten nur auf die Auslagerung der Internen Revision beschränkt.
In diesem Zusammenhang kommt auf die Institute die Verpflichtung zu, evtl.
ein zentrales Auslagerungsmanagement zu implementieren und die wesentlichen Aufgaben des Auslagerungsmanagements zu definieren. Sofern ein zentrales Auslagerungsmanagement einzurichten ist, regeln die neuen MaRisk die konkreten
Berichtspflichten. Der mindestens jährlich an die Geschäftsleitung adressierte Bericht soll auch eine Aussage über die vertragskonforme Qualität der Dienstleistungserbringung enthalten.
Anforderungen an die Risikoberichterstattung
Allgemeine Anforderungen an die Risikoberichte
Die neuen MaRisk ergänzen Anforderungen an die Daten für die Risikoberichterstattung. Die Daten, die die Grundlage für die Berichte darstellen, müssen vollständig, genau und aktuell sein. Darüber hinaus dürfen die Risikoberichte nicht nur auf aktuellen und historischen Daten basieren, sondern sind zusätzlich mit Daten anzureichern, die eine zukunftsorientierte Risikoeinschätzung enthalten.
Quantitative Informationen und qualitative Beurteilungen wesentlicher Positionen, die in einem angemessenen Verhältnis stehen, bilden die Basis für eine nachvollziehbar und aussagefähig Risikoberichterstattung. Wenn es sich empfiehlt muss das Institut ad hoc Risikoinformationen generieren können. Zur Sicherstellung einer aktiven und zeitnahen Risikosteuerung, muss die Erstellung der Risikoberichte in einem zeitlich angemessenen Rahmen, der auch von der Art und Volatilität der Risiken abhängt, erfolgen. Über die Risikosituation ist das Aufsichtsorgan mindestens vierteljährlich in angemessener Weise schriftlich zu informieren.
Berichte der Risikocontrolling-Funktion
Der Geschäftsleitung ist mindestens vierteljährlich einen Gesamtrisikobericht über die als wesentlich eingestuften Risikoarten, den die Risikocontrolling-Funktion erstellt hat, vorzulegen. Je nach Risikoart kann eine häufigere, sogar eine tägliche, Berichterstattung über einzelne Risikoarten erforderlich werden. Insbesondere in Stressphasen ist institutsspezifisch zu entscheiden, ob der Berichtsturnus zu erhöhen ist.
Die neuen MaRisk definieren die Mindestangaben des Gesamtrisikoberichts. Hier werden z.B. wesentliche Informationen zu den einzelnen als wesentlich eingestuften Risikoarten, Stresstestergebnisse, Informationen zu den Risikokonzentrationen, Angaben zur Kapitalausstattung, zu den aktuellen Kapital- und Liquiditätskennzahlen und zu Refinanzierungspositionen, genannt. Es wurde entschieden, dass eine mindestens vierteljährliche Berichtspflicht an die Geschäftsleitung zu erfolgen hat, die diese über Liquiditätsrisiken und die gesamte Liquiditätssituation informiert. Der Bericht hat auch explizit Informationen über die Liquiditätsrisiken aus verschiedenen Fremdwährungen und die untertägigen Liquiditätsrisiken zu enthalten.
Für systemrelevante Institute sowie kapitalmarktorientierte Institute gilt eine monatliche Risikoberichtspflicht. Als zusätzliche Angaben in den Berichten dieser Institute werden Höhe, Qualität und Zusammensetzung der Liquiditätspuffer gefordert. Zusätzlich muss die Geschäftsleitung mindestens einmal im Jahr über bedeutende Schadensfälle und wesentliche operationelle Risiken unterrichtet werden. Darüber hinaus ist die Geschäftsleitung mindestens vierteljährlich über die sonstigen als wesentlich eingestuften Risiken zu informieren.
Fazit
Neben den wesentlichen Themenbereichen Datenaggregation und Risikoberichterstattung, Risikokultur und Auslagerung, definieren die MaRisk weitere Anpassungs- und Änderungsanforderungen. Diese neuen Anforderungen zeigen, dass auf die Institute ein nicht unerheblicher Umsetzungsaufwand zukommt. Zu beachten ist natürlich, dass dieser Aufwand in Abhängigkeit von der jeweiligen Institutsgröße, Komplexität und dem Risikogehalt des Geschäftsmodells von Institut zu Institut
differenzieren wird. Eine kurzfristige Adressierung der einzelnen Themenstellungen empfiehlt sich trotzdem in jedem Institut, um auf Basis der Endfassung zeitnah konkreten Handlungs- und Anpassungsbedarf zu identifizieren und die Umsetzung der 5. MaRisk- Novelle strukturiert zu planen und durchzuführen.
(Kristin Kramer, Fachreferentin Compliance und Geldwäscheprävention, Creditreform Compliance Services GmbH