BaFin veröffentlicht Neue MaRisk | Erste Analyse Prüfungsschwerpunkte 2018

Die neuen MaRisk sind ENDLICH live GZ: BA 54-FR 2210-2017/0002 und wurden heute am 27. Oktober 2017 veröffentlicht. Damit wird ein neues Kapitel in der Finanzdienstleistungsaufsicht aufgeschlagen. Seit Februar 2016 läuft das Konsultationsverfahren. Das finale Konsultationsverfahren hat nochmals einige Änderungen insbesondere im Rahmen des aufsichtsrechtlichen Prinzips der doppelten Proportionalität (MaRisk AT 1) hervorgebracht. Hierbei bekommen gerade kleine Kreditinstitute Erleichterungen. Zwei Kerntreiber für die Überarbeitung der MaRisk waren im Ursprung vor allem die „Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung“ (BCBS 239) sowie die internationalen Diskussionen rund um das Thema Risikokultur in Banken. Hierzu wurde in prominenter Form im Jahr 2014 das FSB Papier „Guidance on Supervisory Interaction with financial institutions on Risk Culture” des Financial Stability Boards (FSB) veröffentlicht. Insbesondere führten unterschiedliche Erkenntnisse im SREP Überwachungsprozess bzw. bei aufsichtsrechtlichen Prüfungen im Bereich Outsourcing zu Änderungen des Modul AT 9 (Auslagerungen). Darüber hinaus hatten auf die aktuellen Veränderungen in den MaRisk folgende von CEBS bzw. der EBA veröffentlichte Leitlinien massgeblichen Einfluss: Zu Liquiditätspuffern (Dezember 2009), zu Stresstests (GL32 – August 2010), zu Risikokonzentrationen (GL31 – September 2010), zu operationellen Risiken in Handelsaktivitäten (Oktober 2010), zur Liquiditätskostenverrechnung (Oktober 2010) sowie wesentliche Teile der Leitlinien zur „Internal Governance“ (GL 44 – September 2011).

Kurz-Fazit: Im positiven Sinne sind die lang erwarteten neuen MaRisk nun veröffentlicht. Damit kann jedes Kreditinstitut nun konkrete Maßnahmen einleiten. Dabei gilt es gerade zur aktuellen Prüfungsplanungszeit vorausschauend für 2018 die richtigen Prüfungsthemen je nach Konfiguration des Geschäftsmodells des einzelnen Instituts und der Risikosituation zu definieren. Dabei sollten gerade die Themen Prüfung der Risikokultur und erweiterte Outsourcing Prüfung einen Schwerpunkt in 2018 bilden. Sehen Sie dazu untenstehend erste Impulse zu abgeleiteten Prüfungsschwerpunkten…

Wesentliche Änderungen:

• AT 4.3.4 und BT 3 Risikodatenaggregation und Risikoberichterstattung
• AT 3, AT 5 Risikokultur, Verhaltenskodex
• AT 9 Auslagerungen

Umsetzungszeiträume: Die neue Fassung der MaRisk tritt mit Veröffentlichung vom 27.10.2017. umgehend in Kraft. Die BaFin räumt den Instituten ausreichende Umsetzungszeiträume für Änderungen ein. Für Regelungen, die im MaRisk-Kontext neu sind und nicht lediglich Klarstellungen ohnehin schon vorhandener Anforderungen sind, gilt für diese neuen Anforderungen eine Umsetzungsfrist bis zum 31.10.2018. Eine davon abweichende Umsetzungsfrist ergibt sich für die neuen Module AT 4.3.4 Datenmanagement, Datenqualität und Aggregation von Risikodaten. Diese sind für global systemrelevante Institute (MaRisk AT 1) entsprechend der Empfehlungen des Baseler Ausschusses für Bankenaufsicht bereits seit Januar 2016 umzusetzen. Individuelle Fahrpläne sind umgehend mit der BaFin abzustimmen.

Kurz-Fazit: Im positiven Sinne sind die lang erwarteten neuen MaRisk nun veröffentlicht. Damit kann jedes Kreditinstitut nun konkrete Maßnahmen einleiten. Dabei gilt es gerade zur aktuellen Prüfungsplanungszeit vorausschauend für 2018 die richtigen Prüfungsthemen je nach Konfiguration des Geschäftsmodells des einzelnen Instituts und der Risikosituation zu definieren. Dabei sollten gerade die Themen Prüfung der Risikokultur und erweiterte Outsourcing Prüfung einen Schwerpunkt in 2018 bilden. Sehen Sie dazu untenstehend erste Impulse zu abgeleiteten Prüfungsschwerpunkten…

Blitzlicht abgeleitete Prüfungsschwerpunkte aus den neuen MaRisk:

• AT 4.3.4 und BT 3 Risikodatenaggregation und Risikoberichterstattung Eine verbesserte Management Informations- und Entscheidungsbasis ist das Ziel. Dabei ist einerseits die Datenqualität und -aggregation eine Grundvoraussetzung, die andererseits in time-to-market Management Informationssystemen auch umgesetzt werden muss. Gerade der zweit genannte Punkt tangiert neben den global agierenden Kreditinstituten über den BT 3 Risikoberichterstattung „alle“ Kreditinstitute. Daher ist in 2018 sicherlich ein verschärfter Prüfungsschwerpunkt die Qualität der Risikoberichterstattung.
• AT 3, AT 5 – Risikokultur, Verhaltenskodex Die BaFin fordert, dass die Banken Ihr Produktportfolio analysieren und dabei definieren, welche Verhaltensweisen und Praktiken für das Institut tolerierbar oder nicht tolerierbar sind. Darüber hinaus stehen die 4 Säulen des FSB Papier sowie der Baseler Grundsätze im Mittelpunkt, Implementierung einer:

1. Adäquaten Leitungskultur (Tone from the Top),
2. Klarer Verantwortlichkeiten der Mitarbeiter (Accountability),
3. Offene Kommunikation und kritischer Dialog (Effective Communication and Challenge) sowie
4. Angemessene Anreizstrukturen (Incentives).

Darüber hinaus fordern die MaRisk AT 5 die Erstellung eines Verhaltenskodes. Hierbei wird betont, dass jedoch die praktische Umsetzung im Fokus steht. Das bedeutet keine Hochglanzbroschüren, sondern die Verknüpfung der institutsspezifischen Verhaltensgrundsätze im täglichen Doing mit Kunden und der Durchführung einzelner Geschäftstätigkeiten.

• AT 9 Auslagerungen Neben der Klarstellung welche Funktionen in welcher Institutsgröße auslagerbar sind und unter welchen Umständen stellt die BaFin klar, dass das Best-Practice ein „zentrales“ Auslagerungsmanagement ist. Dabei stehen einheitliche Auslagerungsgrundsätze, Verträge, Service-Level-Monitoring und mehr im Vordergrund. Dazu veröffentlichte die BaFin bereits Ihre Perspektive und Best-Practices Ansichten im BaFin Journal Ausgabe August 2013. Hierbei ist es das klare Ziel eine Stelle im Institut zu schaffen, die einen Gesamtüberblick über ausgelagerte Prozesse und Aktivitäten hat. Somit soll ein möglichst einheitlicher Umgang mit den besonderen Risiken aus Auslagerungen und deren Überwachung sichergestellt werden.

…to be continued! Be part of it, Audit Challenge! Ihnen allen ein schönes Wochenende

Ihr Audit Research Center Team – Forethought For You.