Am 19. Februar 2016 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den lange erwarteten Konsultationsentwurf (02/2016) der Mindestanforderungen an das Risikomanagement von Kreditinstituten (MaRisk) veröffentlicht, zu dem im Rahmen des Konsultationsverfahrens bis zum 27. April 2016 Stellung genommen werden kann.
Im Vordergrund stehen vor allem die Empfehlungen des Baseler Ausschusses für Bankenaufsicht zur Risikodatenaggregation und zur Risikoberichterstattung (BCBS 239) und der Aufbau einer angemessenen Risikokultur welcher vor allen Dingen durch den Risikokultur Leitfaden des Financial Stability Board (FSB) geartet ist. Ein weiterer Punkt sind die Anforderungen an das Management von Auslagerungsrisiken (AT 9).
Gemäß AT 3 hat die Geschäftsleitung im Rahmen ihrer Gesamtverantwortung, innerhalb des Instituts und der Gruppe, eine angemessene Risikokultur zu entwickeln, zu fördern und zu integrieren. Die Risikokultur soll die Identifizierung und den bewussten Umgang mit Risiken fördern und sicherstellen. Zu den bereits bestehenden Regelungen zur Risikokultur, ist vor allem das klare Bekenntnis der Geschäftsleitung zu risikoangemessenem Verhalten, die strikte Beachtung des durch die Geschäftsleitung kommunizierten Risikoappetits, durch alle Mitarbeiter auf den verschiedenen Ebenen des Instituts, und die Ermöglichung und Förderung eines transparenten und offenen Dialogs innerhalb des Instituts zu risikorelevanten Fragen. Den Mitarbeitern soll dabei vermittelt werden welche Risiken eingegangen werden dürfen und gem. AT 5 Tz.3 im Verhaltenskodex festgehalten werden. Diese Anforderung hat ihren Ursprung im Erwägungsgrund 54 der CRD IV (Capital Requirements Directive IV).
Die Empfehlung des Baseler Ausschusses für Bankenaufsicht zu den Grundsätzen der Aggregation von Risikodaten und Berichterstattung (BCBS239), sind im neuen Modul AT 4.3.4 „Datenmanagement, Datenqualität und Aggregation von Risikodaten“ sowie in BT 3 „Anforderungen an die Risikoberichterstattung“ zu finden. Diese Zielsetzung beruht auf den in der Finanzkrise gemachten Erfahrungen, dass einige Finanzinstitute die Risiken, die sie anhäuften, nicht schnell und akkurat genug aggregieren konnten und diese deshalb nicht effektiv steuern und ihnen vorbeugen konnten. Außerdem hat die Qualität der Risikodaten verhindert, die wahre Größe der Risiken rechtzeitig zu identifizieren. Die Anforderung des Moduls AT 4.3.4 richtet sich an große und komplexe Institute, die in der Regel eine Bilanzsumme von min. 30 Milliarden Euro aufweisen.
Die Berichterstattung soll bei allen Instituten innerhalb eines angemessenen Zeitraums erfolgen und auf vollständigen, genauen und aktuellen Daten beruhen, die flexibel für die Erfordernisse des Risikomanagements aufbereitet und angepasst werden können.
Neben der turnusmäßigen Erstellung von Risikoberichten muss das Institut in der Lage sein, Ad-Hoc-Berichte zu erstellen. Dies wird bei den Instituten zur Verbesserung der IT- Infrastruktur und bei kleineren Instituten zur Qualitätsverbesserung führen.
Weiterhin schreibt das Konsultationspapier u.a. vor, welche Anforderungen für IT-Risiken gelten, wie die sachgerechte Handhabung der individuellen Datenverarbeitung (IDV) auszusehen hat sowie diverse Kontrollen und Verantwortlichkeiten.
Erfahrungen aus der Aufsichtspraxis die wiederholt Unklarheiten und auch Mängel in der Anwendung der aufsichtsrechtlichen Anforderungen bei Auslagerungsverhältnissen zeigen, haben dazu geführt einige Ergänzungen und Konkretisierungen im AT 9 vorzunehmen. Weiterhin besteht die Möglichkeit der Auslagerung des Risikocontrollings, der Compliance und der Internen Revision. Eine Auslagerung ist nur dann möglich, wenn das Institut über fundierte Kenntnisse und Erfahrungen verfügt um die Bereiche auch steuern und überwachen zu können sowie bei Bedarf in der Lage ist eine Rückverlagerung ohne Störungen des Betriebsverlaufs vorzunehmen. Bei Instituten mit umfangreichen Auslagerungslösungen wird ein zentrales Auslagerungsmanagement gefordert um sicherzustellen, dass eine Stelle im Institut einen Gesamtüberblick über die ausgelagerten Prozesse und Aktivitäten hat und so ein möglichst einheitlicher Umgang mit den besonderen Risiken der Auslagerungen und deren Überwachung sichergestellt werden kann.
Weitere Neuerungen betreffen den Produktgenehmigungsprozess.
Gemäß AT 8.1 hat das Institut einen Katalog von Produkten und Märkten vorzuhalten, die Gegenstand der Geschäftsaktivitäten sein soll. Diese sind turnusgemäß zu überprüfen, ob sie noch verwendet werden können. Mindestens einmal jährlich muss überprüft und analysiert werden, ob der Neu-Produkt-Prozess zu einem sachgerechten Umgang mit neuen Produkten oder mit neuen Märkten geführt hat.
Das Proportionalitätsprinzip gilt auch weiterhin. Institute die besonders groß sind oder deren Geschäftsaktivitäten durch eine besondere Komplexität oder Internationalität gekennzeichnet sind, müssen weitergehende Vorkehrungen treffen als kleinere Institute. Die erstgenannten Institute müssen auch die Inhalte einschlägiger Veröffentlichungen zum Risikomanagement, des Baseler Ausschusses für Bankenaufsicht, und des Financial Stability Board (FSB) in eigenverantwortlicher Weise, in ihre Überlegung zur angemessenen Ausgestaltung des Risikomanagements, einbeziehen.
Eine endgültige Fassung der novellierten MaRisk wird für Ende 2016 erwartet.
(Anna Ljubica, Creditreform Compliance Services GmbH)
