MaRisk-Novelle 2016

MaRisk-Novelle 2016
Konsultation zur Überarbeitung der
MaRisk vom 18. Februar 2016
Ausgabe 02 | März 2016
Financial
Services
Regulatory
Update
Überarbeitung der Mindestanforderungen an das Risikomanagement
Am 18. Februar 2016 hat die Bundesanstalt für Finanzdienstleistungsaufsicht
(BaFin) einen Konsultationsentwurf zur MaRisk-Novelle 2016 (Konsultation 2/2016)
veröffentlicht. Bis zum 7. April 2016 besteht die Möglichkeit, zu den geplanten Änderungen Stellung zu nehmen. Das Konsultationspapier wird auch Gegenstand einer
Sitzung des MaRisk Fachgremiums sein.
Auslöser der Novellierung waren insbesondere die Vorgaben des Basler Ausschusses
für Bankenaufsicht zur Risikodatenaggregation und Risikoberichterstattung
(BCBS 239), die gestiegenen Anforderungen an die Risikokultur gemäß dem Papier
des Financial Stability Board (FSB) „Guidance on Supervisory Interaction with financial institutions on Risk Culture“ und die einschlägigen Publikationen der European
Banking Authority (EBA), z.B. „Guidelines on common procedures and methodologies
for the SREP“.
In diesem Beitrag stellen wir die wesentlichen Änderungen im Vergleich zu den aktuell gültigen MaRisk von 2012 vor.
Konkretisierung
Geringfügige Änderung
Andere Begrifflichkeit
Geänderter Verweis
Verschobener Inhalt
Neuer Inhalt
Thema
Geändert durch die Novellierung
Die wesentlichen geplanten Änderungen der MaRisk
Tabelle 1 zeigt eine Übersicht der geplanten Änderungen.
AT 1 Vorbemerkungen
X
X
X
AT 2 Anwendungsbereich
X
X
AT 3 Gesamtverantwortung der Geschäftsleitung
X
X
AT 4.1 Risikotragfähigkeit
X
X
X
AT 4.2 Strategien
X
X
X
AT 4.3.1 Aufbau- und Ablauforganisation
X
X
X
X
AT 4.3.2 Risikosteuerungs- / -controllingprozesse
X
X
X
X
AT 4.3.3 Stresstests
X
X
AT 4 Allgemeine Anforderungen an das Risikomanagement
AT 4.3 Internes Kontrollsystem
AT 4.3.4 Datenmanagement, Datenqualität und Aggregation von
Risikodaten
X
X
Neues Modul (AT 4.3.4)
AT 4.4 Besondere Funktionen
AT 4.4.1 Risikocontrolling-Funktion
X
X
AT 4.4.2 Compliance-Funktion
X
X
AT 4.4.3 Interne Revision
X
X
AT 4.5 Risikomanagement auf Gruppenebene
X
X
AT 5 Organisationsrichtlinien
X
X
AT 6 Dokumentation
X
X
AT 7 Ressourcen
X
X
AT 8 Anpassungsprozesse
X
X
AT 9 Auslagerung
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
BT 1 Besondere Anforderungen an das interne Kontrollsystem
BTO Anforderungen an die Aufbau- und Ablauforganisation
BTO 1 Kreditgeschäft
Financial Services Regulatory Update März 2016 | 2
BTO 2 Handelsgeschäft
X
BTR Anforderungen an die Risikosteuerungs- und
–controllingprozesse
X
BTR 1 Adressenausfallrisiken
X
BTR 2 Marktpreisrisiken
X
BTR 3 Liquiditätsrisiken
X
BTR 4 Operationelle Risiken
X
BT 2 Besondere Anforderungen an die Ausgestaltung der
Internen Revision
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
BT 3 Anforderungen an die Risikoberichterstattung
Neues Modul
BT 3.1 Allgemeine Anforderungen an die Risikoberichte
Neues Modul
BT 3.2 Berichte der Risikocontrolling-Funktion
Neues Modul
BT 3.3 Berichte der Compliance-Funktion
Neues Modul
BT 3.4 Berichte der Markt- und Handelsbereiche
Neues Modul
BT 3.5 Berichte zu Auslagerungen
Neues Modul
Tabelle 1: Übersicht der von den geplanten Änderungen betroffenen Inhalte
Bei dem vorliegenden Entwurf handelt es sich um eine Änderungsversion gegenüber
der derzeit geltenden Fassung vom 14. Dezember 2012. Allerdings sind einige als neu
gekennzeichnete Inhalte nur verschoben worden und stellen somit keine inhaltlichen
Neuerungen dar. Zudem wurden teilweise lediglich Begrifflichkeiten an andere Rechtsvorschriften angepasst und einige neue Begrifflichkeiten (z.B. Forbearance) in die
MaRisk eingeführt.
Einführung der Anforderungen an eine Risikokultur
Basierend auf einschlägigen Papieren der EBA und des FSB sowie dem Erwägungsgrund
54 der CRD IV verlangen die MaRisk künftig den Aufbau einer Risikokultur auf Institutsund Gruppenebene. Als Teil der Gesamtverantwortung für eine ordnungsgemäße Geschäftsorganisation haben die Geschäftsleiter zukünftig auch eine angemessene Risikokultur zu verantworten.
Die Risikokultur soll die Identifizierung und den bewussten Umgang mit Risiken fördern
und dabei sicherstellen, dass Entscheidungsprozesse und damit einhergehende Ergebnisse unter Risikogesichtspunkten ausgewogen sind. Dabei soll eine angemessene Risikokultur insbesondere das klare Bekenntnis der Geschäftsleitung zu risikoangemessenem Verhalten beinhalten, sowie die Förderung eines transparenten und offenen Dialogs zu risikorelevanten Fragen innerhalb des Instituts sicherstellen. Vor diesem Hintergrund soll gemäß AT 5 Tz. 2 Buchstabe g) künftig ein Verhaltenskodex für Mitarbeiter in
die Organisationsrichtlinien aufgenommen werden.
Risikotragfähigkeit
Bei der Festlegung der wesentlichen Risiken ist die Nichtberücksichtigung bestimmter
Risiken weiterhin nachvollziehbar zu begründen und auch nur dann möglich, wenn das
jeweilige Risiko aufgrund seiner Eigenart nicht sinnvoll durch das Risikodeckungspotential begrenzt werden kann (AT 4.1 Tz. 4).
Financial Services Regulatory Update März 2016 | 3
Die angewendeten Methoden
und Verfahren zur Risikoquantifizierung sind bzgl.
ihrer Stabilität und Konsistenz
zu analysieren.
Gem. AT 4.1 Tz. 9 sollen künftig im Rahmen der Überprüfung von angewendeten Methoden und Verfahren zur Risikoquantifizierung nicht nur die damit ermittelten Risiken
bzgl. ihrer Aussagekraft, sondern auch die Methoden und Verfahren bzgl. ihrer Stabilität und Konsistenz kritisch analysiert werden. Hierbei haben die Institute zu jeder Zeit
einen vollständigen und aktuellen Überblick über die zur Risikoquantifizierung eingesetzten Methoden und Verfahren zu bewahren. Außerdem sollen die Institute bei der
jährlichen Validierung der Methoden und Verfahren sowie der zugrunde liegenden Annahmen und der einfließenden Daten eine prozessuale und organisatorische Trennung
zwischen Methodenentwicklung und Validierung gewährleisten. Daraus resultierende
wesentliche Ergebnisse und Vorschläge für Maßnahmen zum Umgang mit den Grenzen
und Beschränkungen der Methoden und Verfahren sollen der Geschäftsleitung anschließend vorgelegt werden (AT 4.1 Tz. 10).
Darüber hinaus soll gem. AT 4.3.2 Tz. 5 der Prüfungsturnus der im Rahmen der Risikosteuerungs- und –controllingprozesse zur Risikoquantifizierung eingesetzten Methoden und Verfahren erhöht werden. Demnach sollen die Methoden und Verfahren künftig
nicht nur bei sich ändernden Bedingungen, sondern regelmäßig überprüft und ggf.
angepasst werden. Hervorgehoben wird hierbei die Plausibilisierung der ermittelten
Ergebnisse und der zugrunde liegenden Daten. Für die Durchführung der Prüfung wird
auf AT 4.1 Tz. 9 verwiesen.
Aufnahme der IT-Risiken in die Regelungen der MaRisk
Nach AT 4.3.2 Tz. 1 sollen künftig auch für IT-Risiken angemessene Risikosteuerungsund –controllingprozesse eingerichtet werden. Diese sollen insbesondere die Feststellung des Schutzbedarfs, die Ableitung von Sicherheitsanforderungen und die Festlegung entsprechender Sicherheitsmaßnahmen umfassen.
Darüber hinaus erstrecken sich die im Bereich der technisch-organisatorischen Ausstattung definierten Anforderungen künftig auch auf von den Fachbereichen selbst entwickelten Anwendungen (sog. individuelle Datenverarbeitung - IDV). Maßnahmen zur
Sicherstellung der Datensicherheit sollen sich hierbei am Schutzbedarf der verarbeiteten Daten orientieren.
Aufnahme des Umgangs mit
IT-Risiken, Risikodatenaggregation und Risikoberichterstattung im Zuge der Umsetzung von BCBS 239
Risikodatenaggregation
Die Umsetzung von BCBS 239 in nationale Regelungen erforderte die Aufnahme eines
neuen Moduls in die MaRisk. In AT 4.3.4 werden, in erster Linie für große und komplexe
Institute, das Datenmanagement, die Datenqualität und die Aggregation von Risikodaten geregelt und standardisiert. Im Folgenden werden die Inhalte des neuen Moduls
stichpunktartig dargestellt.
Tz.
1
Inhalt
•
•
•
•
2
•
Die Anforderungen richten sich an große und komplexe Institute (i.d.R. > 30 Mrd. €
Bilanzsumme)
Geltungsbereich auf Gruppenebene und auf Ebene der wesentlichen gruppenangehörigen Einzelinstitute
Es sollen instituts- und gruppenweit geltende Grundsätze festgelegt werden, die von
der Geschäftsleitung zu genehmigen und in Kraft zu setzen sind
Datenstruktur und –hierarchie sollen zweifelsfreie Identifikation, Zusammenführung,
Auswertung und zeitnahe zur Verfügungsstellung gewährleisten
Sofern möglich, mit Hilfe von Namenskonventionen und Kennzeichnungen
Financial Services Regulatory Update März 2016 | 4
Tz.
Inhalt
•
•
3
•
•
•
4
•
•
•
5
•
Genauigkeit und Vollständigkeit der Daten sollen gewährleistet werden
Daten sollen nach unterschiedlichen Kategorien (z. B. Risikokategorien, Geschäftsfeld, Branche etc.) auswertbar und automatisiert aggregierbar sein
Manuelle Prozesse und Eingriffe sollen begründet, dokumentiert und auf das inhaltliche Maß beschränkt werden
Datenqualität und –vollständigkeit sollen anhand geeigneter Kriterien überwacht
werden (interne Anforderungen sind hierfür zu formulieren)
Risikodaten sollen mit anderen Informationen (z.B. Daten aus dem Rechnungswesen
und ggf. dem Meldewesen) des Instituts abgeglichen und plausibilisiert werden
Hierfür sollen Verfahren und Prozesse eingerichtet werden, mittels derer Datenfehler
und Schwachstellen der Datenqualität identifiziert werden können
Datenaggregationskapazitäten sollen gewährleisten, dass aggregierte Daten sowohl
unter normalen Umständen als auch in Stressphasen zeitnah zur Verfügung stehen
Unter Berücksichtigung der Häufigkeit von Risikoberichten soll ein zeitlicher Rahmen,
innerhalb dessen die aggregierten Daten vorliegen müssen, definiert werden
Zu den Risikodaten, die in Stressphasen vorliegen sollen, gehören: Kreditrisiko auf
Gesamtbank-/Gruppenebene, aggregiertes Exposure gegenüber großen Unternehmensschuldnern, Kontrahentenrisiken (zusammengefasst und auf einzelne Adressen
aufgeteilt), Marktpreisrisiken, Handelsoptionen und –limite inkl. möglicher Konzentrationen, Indikatoren für mögliche Liquiditätsrisiken/ -engpässe und Indikatoren für
operationelle Risiken
•
Datenaggregationskapazitäten sollen hinreichend flexibel und leistungsfähig sein, um
Ad-hoc-Informationen nach unterschiedlichen Kategorien ausweisen und analysieren
zu können (dazu zählen auch unterschiedliche Ebenen)
•
•
•
Festlegung von Verantwortlichkeiten für alle Prozessschritte
Einrichtung entsprechender prozessabhängiger Kontrollen
Die Einhaltung der institutsinternen Regelungen, Verfahren, Methoden und Prozesse
soll regelmäßig überprüft werden
Die Überprüfung soll von einer von den operativen Geschäftseinheiten unabhängigen
Stelle durchgeführt werden (betraute Mitarbeiter sollen hinreichende Kenntnisse über
IT-Systeme und Berichtswesen haben)
6
7
•
Tabelle 2: Inhalt AT 4.3.4 Datenmanagement, -qualität und Aggregation von Daten
Gemäß AT 5 Tz. 3 wird gefordert, dass die Organisationsrichtlinien von großen und
komplexen Instituten künftig auch Regelungen zu den Verfahren, Methoden und Prozessen der Aggregation von Risikodaten enthalten sollen. Die Anforderungen gemäß
AT 4.3.4 sollen auch bei der geforderten Konzepterstellung vor Übernahmen und Fusionen beachtet werden (AT 8.3 Tz. 1).
Der NPP ist regelmäßig zu
überprüfen, die Inhalte
sind entsprechend zu
aktualisieren.
Neu-Produkt-Prozess
Auch im Rahmen des Neu-Produkt-Prozesses (NPP) haben sich einige Änderungen
ergeben (AT 8). Zum einen soll ein Institut künftig explizit einen Katalog der Produkte
und Märkte, die Gegenstand der Geschäftsaktivitäten sind, vorhalten. Dieser Katalog
soll in angemessenem Turnus überprüft und ggf. angepasst werden, wenn Produkte
oder Märkte über einen längeren Zeitraum nicht Gegenstand der Geschäftsaktivitäten
sind.
Zum anderen wird für den NPP eine mindestens jährlich durchzuführende Prüfung
eingeführt, in welcher analysiert wird, ob der NPP zu einem sachgerechten Umgang mit
neuen Produkten und Märkten führt. Hierbei sollen insb. folgende Inhalte untersucht
werden:
Financial Services Regulatory Update März 2016 | 5
•
•
•
•
Waren die in den Konzepten getroffenen Annahmen und damit verbundenen Analysen des Risikogehaltes der Aktivitäten im Wesentlichen zutreffend?
Waren die in den Konzepten und aus den Testphasen gezogenen Konsequenzen im
Wesentlichen zutreffend?
Waren die gem. AT 8.1 Tz. 7 MaRisk getroffenen Einschätzungen der sachgerechten
Handhabung der Aktivitäten zutreffend?
Weist die Organisation und Durchführung des NPP Mängel auf?
Bei möglichen Mängeln des NPP soll der Prozess künftig unverzüglich angepasst werden.
Auslagerungen
In AT 9 hat es neben der begrifflichen Veränderung von Outsourcing zu Auslagerung
vor allem nachstehend dargestellte wesentliche Änderungen gegeben:
•
Konkretisierung der Auslagerungsdefinition:
Nicht als sonstiger Fremdbezug, sondern als Auslagerung sollen vom Institut bezogene Software und diesbezügliche fachliche Unterstützungsleistungen, die zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken
eingesetzt werden oder für die Durchführung von bankgeschäftlichen Aufgaben von
wesentlicher Bedeutung sind (Kernbanksysteme) eingestuft werden, sofern sie individuell an die Bedürfnisse eines Instituts oder mehrerer Institute angepasst oder mit
entsprechenden Dienstleistungen durch Dritte verbunden sind (AT 9 Tz. 1).
•
Aktualisierung der Risikoanalyse:
Die Risikoanalyse soll auf der Grundlage von institutsweit bzw. gruppenweit einheitlichen Vorgaben sowohl regelmäßig als auch anlassbezogen durchgeführt werden
(AT 9 Tz. 2).
•
Besondere Anforderungen an die Voll- oder Teilauslagerung der Kontrollbereiche,
d.h. der Risikocontrolling-Funktion, der Compliance-Funktion und der Internen Revision, sowie der Kernbankbereiche:
Das Institut soll weiterhin über fundierte Kenntnisse und Erfahrungen verfügen. Zudem soll gewährleistet werden, dass im Falle der Beendigung des Auslagerungsverhältnisses oder der Änderung der Gruppenstruktur der ordnungsmäßige Betrieb in
diesen Bereichen fortgesetzt werden kann. Eine vollständige Auslagerung der Risikocontrolling-Funktion ist nicht zulässig. Eine vollständige Auslagerung der Compliance-Funktion und der Internen Revision soll nur bei kleinen Instituten möglich sein,
sofern deren Einrichtung vor dem Hintergrund der Institutsgröße sowie der Art, des
Umfangs, der Komplexität und des Risikogehalts der betriebenen Geschäftsaktivitäten nicht angemessen erscheint (AT 9 Tz. 5).
•
Erweiterte Anforderungen an wesentliche kritische Auslagerungen:
Entsprechende Ausstiegsstrategien sollen für diese Fälle festgelegt werden. Zudem
sollen die Handlungsoptionen auch formal verabschiedet werden (AT 9 Tz. 6).
•
Konkretisierung der vertraglichen Anforderungen (AT 9 Tz. 7 und 9):
Weiterverlagerungen: Es sollen entweder Zustimmungsvorbehalte des auslagernden
Instituts oder konkrete Voraussetzungen, wann Weiterverlagerungen einzelner Arbeits- und Prozessschritte möglich sind, vereinbart werden. Ferner sollen die vertraglichen Anforderungen bei Weiterverlagerungen auch eine Informationspflicht
des weiterverlagernden Unternehmens an das auslagernde Institut umfassen.
Sicherheitsanforderungen: Es sollen entsprechende Anforderungen vertraglich vereinbart werden. Zu den sonstigen Sicherheitsanforderungen zählen vor allem Zugangsbestimmungen zu Räumen und Gebäuden (z. B. bei Rechenzentren) sowie Zu-
Financial Services Regulatory Update März 2016 | 6
griffsberechtigungen auf Softwarelösungen zum Schutz wesentlicher Daten und Informationen.
Kündigungsrechte – erweiterte Anforderungen: Bereits bei der Vertragsanbahnung
soll das Institut festlegen, welchen Grad einer Schlechtleistung es akzeptieren
möchte. Für den Fall einer dauerhaften Unterschreitung dieser Grenze sollen entsprechende Kündigungsrechte vereinbart werden.
Software zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation von Risiken: Hier soll die Herausgabe aussagekräftiger Informationen zu wesentlichen Annahmen und Parametern und zu Änderungen dieser Annahmen und
Parameter vertraglich vereinbart werden.
•
Zusätzliche Anforderungen
an kapitalmarktorientierte
Institute
Einrichtungspflicht eines zentralen Auslagerungsmanagements für alle Institute:
Das Institut soll ein zentrales Auslagerungsmanagement einrichten. In der MaRiskNovelle werden die konkreten Aufgaben aufgelistet (u.a. die Überprüfung der durch
die zuständigen Bereiche durchgeführten Risikoanalysen). Für Auslagerungen der
Kontrollfunktion soll ein Beauftragter benannt werden (AT 9 Tz. 11). Das zentrale
Auslagerungsmanagement soll mindestens jährlich einen Bericht über die wesentlichen Auslagerungen erstellen und der Geschäftsleitung zur Verfügung stellen.
Liquiditätsrisiken
Die Anpassungen zielen größtenteils auf die Harmonisierung im Hinblick auf entsprechende Vorgaben aus der delegierten Verordnung zur Liquiditätsdeckungsanforderung
(EU) Nr. 2015/61 (delVO), der EBA-Leitlinie zu gemeinsamen Verfahren und Methoden
für den aufsichtlichen Überprüfungs- und Bewertungsprozess (SREP) und einschlägigen
Dokumenten seitens des Basler Ausschusses für Bankenaufsicht ab.
Innerhalb der allgemeinen Anforderungen (BTR 3.1) sind folgende Änderungen hervorzuheben:
•
•
•
•
•
•
Diversifikation der Refinanzierungsquellen und der Liquiditätsreserve
Maßnahmen zur Sicherstellung der untertägigen Liquidität
Berücksichtigung von belasteten Vermögenswerten
Erweiterung der Vorgaben hinsichtlich der Erstellung von Liquiditätsübersichten
Durchführung von kombinierten Stresstests
Erstellung eines Refinanzierungsplans
Im Rahmen der Diversifikationsanforderungen (BTR 3.1 Tz. 1) sind in den Ausführungen mögliche Kriterien, die im Rahmen der Diversifikation berücksichtigt werden sollen,
aufgeführt (z. B. Geschäftspartner/Emittenten, Produkte, Laufzeiten und Regionen).
Diese Anforderung findet sich in ihren Grundzügen auch in Art. 8 Abs. 1 delVO (EU)
Nr. 2015/61 wieder.
Ferner sind in Tz. 1 Konkretisierungen hinsichtlich der Sicherstellung der untertägigen
Liquidität aufgeführt. Die Institute sollen Maßnahmen ergreifen, die eine untertägige
Liquidität gewährleisten. In den Erläuterungen wird darauf hingewiesen, dass sich insbesondere im Rahmen der Nutzung von Echtzeit-Abwicklungs- und Zahlungsverkehrssystemen wesentliche untertägige Liquiditätsrisiken ergeben können. Die Erläuterungen für Tz. 2 spezifizieren, dass im Rahmen der Verfahren, die zur frühzeitigen Erkennung von Liquiditätsengpässen verwendet werden, auch belastete Vermögenswerte
(Asset Encumbrance) zu berücksichtigen sind. Die EBA-Leitlinie zum aufsichtlichen
Überprüfungs- und Überwachungsprozess (SREP – Supervisory Review and Evaluation
Process) greift dies in den Tz. 389 und 394 ebenfalls auf.
Financial Services Regulatory Update März 2016 | 7
Für Zwecke der Erstellung von Liquiditätsübersichten wird in Tz. 3 klargestellt, dass
künftig nicht nur die kurzfristige Liquiditätslage, sondern auch die mittel- und langfristige Liquiditätslage dargestellt werden sollen.
Bezüglich der Stresstestszenarien wurde BTR 3.1 Tz. 8 dahingehend erweitert, dass
künftig alle Institute die Kombination von spezifischen und marktweiten Ursachen für
Liquiditätsrisiken im Rahmen ihrer Stresstests berücksichtigen sollen. Diese Vorgabe
müssen aktuell nur kapitalmarktorientierte Institute erfüllen. Die letzte wesentliche
Änderung im Rahmen der allgemeinen Anforderungen liegt in der Einführung eines
Refinanzierungsplans (BTR 3.1 Tz. 12). Dieser soll die Strategien, den Risikoappetit und
das Geschäftsmodell des Instituts widerspiegeln und einen angemessen langen, meist
mehrjährigen Zeitraum umfassen. Dabei sollen mögliche Auswirkungen auf den Refinanzierungsbedarf, die sich durch eine Veränderung der eigenen Geschäftstätigkeit,
der strategischen Ziele oder des wirtschaftlichen Umfeldes ergeben könnten, entsprechend berücksichtigt werden.
Im Bereich der zusätzlichen Anforderungen an kapitalmarktorientierte Institute
(BTR 3.2) ist Tz. 2 hervorzuheben. In den Ausführungen zur Liquidierbarkeit von Vermögensgegenständen wurde nun die Definition „ohne signifikante Wertverluste“ aufgenommen. Kein signifikanter Wertverlust liegt demnach vor, wenn die Vermögensgegenstände auch in Stressphasen an ausreichend tiefen und breiten Märkten liquidierbar
sind und dabei mit hoher Wahrscheinlichkeit eine angemessene Liquiditätswirkung
erzielen. Diese Beschreibung ist in ihren Grundzügen auch in den operativen Anforderungen an liquide Aktiva in Art. 8 delVO (EU) Nr. 2015/61 aufgeführt.
Interne Revision
Wesentliche Änderungen bei den Anforderungen an die Interne Revision haben sich
insbesondere in den Bereichen Prüfungsplanung und –durchführung sowie der Berichtspflicht ergeben (BT 2). Daneben wurden in AT 4.5 Tz. 6 weitergehende Anforderungen an eine Konzernrevision gestellt.
Im Rahmen der risikoorientierten Prüfungsplanung soll künftig das Verlustpotenzial,
welches aus verschiedenen Risikoquellen und der Manipulationsanfälligkeit der Prozesse durch Mitarbeiter resultiert, berücksichtigt werden (BT 2.3 Tz. 2), um so ein aktuelles und zukünftiges Risikopotenzial der Aktivitäten und Prozesse darstellen zu können.
Im Rahmen der Berichtspflicht der Internen Revision soll der Turnus der Gesamtberichterstattung erhöht und die Adressaten der Gesamtberichterstattung um das Aufsichtsorgan ergänzt werden (BT 2.4). In Zukunft soll der Geschäftsleitung und dem
Aufsichtsorgan vierteljährlich ein Gesamtbericht vorgelegt werden, in dem über die
wesentlichen Mängel und ergriffenen Maßnahmen der Prüfungen des letzten Quartals
berichtet wird. Gemäß den Erläuterungen zu BT 2.4 Tz. 4 kann die Berichterstattung an
das Aufsichtsorgan jedoch auch über die Geschäftsleitung erfolgen, sofern dadurch
keine nennenswerten Verzögerungen auftreten und die Inhalte deckungsgleich sind.
Des Weiteren ist in den Erläuterungen des BT 2.4 Tz. 4 spezifiziert, dass der vierte
Gesamtbericht in den Jahresbericht der Internen Revision als gesonderter Abschnitt
integriert werden kann.
Des Weiteren wurde AT 4.5 Tz. 6 erweitert. Für die Konzernrevision und die Revisionsstellen der einzelnen gruppenangehörigen Unternehmen sollen die gleichen Revisionsgrundsätze und Prüfungsstandards gelten, um eine Vergleichbarkeit der Prüfungsergebnisse zu ermöglichen. Insbesondere Prüfungsplanung, durchgeführte Prüfungen
und Verfahren zur Abstellung von Mängeln sollen aufeinander abgestimmt werden.
Darüber hinaus soll die Konzernrevision in angemessenen Abständen, mindestens je-
Financial Services Regulatory Update März 2016 | 8
doch vierteljährlich, an die Geschäftsleitung und das Aufsichtsorgan des übergeordneten Instituts der Gruppe berichten.
Anforderungen an die Risikoberichterstattung
Die Anforderungen an die Berichterstattung sollen innerhalb eines neu eingeführten
BT 3 „Anforderungen an die Risikoberichterstattung“ gebündelt dargestellt und um die
relevanten Anforderungen aus BCBS 239 erweitert werden. Ausgenommen hiervon
sind die Anforderungen an die Berichterstattung der Internen Revision, deren Berichtspflichten nach wie vor in BT 2 MaRisk enthalten sind.
BT 3.1 enthält die allgemeinen Anforderungen an die Risikoberichte. Ein Risikobericht
soll:
•
•
•
•
die Beurteilung der Risikosituation enthalten,
auf vollständigen, genauen und aktuellen Daten beruhen,
eine zukunftsorientierte Einschätzung abgeben und sich nicht ausschließlich auf
aktuelle und historische Daten stützen,
die Ergebnisse und die Beschreibung der Stresstests und deren potenzielle Auswirkungen auf die Risikosituation und das Risikodeckungspotenzial, sowie Risikokonzentrationen und die potenziellen Auswirkungen der Risikokonzentrationen beinhalten.
Dabei soll ein Risikobericht nachvollziehbar sein und regelmäßig erstellt werden, um
eine aktive und zeitnahe Steuerung der Risiken zu ermöglichen. Zusätzlich soll die
Geschäftsleitung das Aufsichtsorgan vierteljährlich über die Risikosituation schriftlich
informieren.
In der Folge werden die gesonderten Berichtspflichten der Risikocontrolling-Funktion
(BT 3.2), der Compliance-Funktion (BT 3.3), der Markt- und Handelsbereiche (BT 3.4)
und des zentralen Auslagerungsmanagements (BT 3.5) dargestellt. Die Berichtspflichten der Risikocontrolling-Funktion entsprechen im Wesentlichen den bislang in den
verschiedenen BTR Modulen enthaltenen, risikoartenspezifischen Berichtspflichten und
stellen insoweit keine Neuerung dar. Hervorzuheben ist BT 3.2 Tz. 7, nach der auch
gesondert über die sonstigen und als vom Institut wesentlich eingestuften Risiken zu
berichten ist. Gleiches gilt für die Berichtspflichten der Compliance-Funktion; diese
entsprechen der bisherigen Tz. 6 in AT 4.4.2.
Die in BT 3.4 aufgeführten Berichtspflichten der Markt- und Handelsbereiche finden
sich in dieser Form bislang nicht in den MaRisk. Zwar wurden die an verschiedenen
Stellen in den Modulen BTO 1 und BTO 2 aufgeführten Berichtspflichten z. T. in das
neue Modul BT 3.4 verschoben. Mit der Darstellung der Geschäftssituation in den jeweiligen Bereichen, die es den zuständigen Geschäftsleitern ermöglichen soll, sich einen
umfassenden Überblick über das jeweilige Geschäftsfeld zu verschaffen und der Tatsache, dass diese Berichtspflichten in einem eigenständigen Modul geregelt werden, wird
die Bedeutung der Markt- und Handelsbereiche hervorgehoben.
Im Einzelnen müssen die Markt- und Handelsbereiche (BT 3.4) berichten über:
Markt- und Handelsbereiche
Adressat
Turnus
Inhalt
•
•
•
Zuständige Geschäftsleiter
Regelmäßig (siehe unten)
Berichte der Marktbereiche im Kreditgeschäft, des Handelsbereichs, des
Liquiditätsrisikomanagements und des Treasury
Financial Services Regulatory Update März 2016 | 9
Marktbereiche im Kreditgeschäft
Turnus
Inhalt
•
•
•
•
Monatlich
Relevante Informationen, um einen umfassenden Überblick über den Aufbau
von Steuerungsmaßnahmen zu gewinnen
Überblick über die Engagements der Intensivbetreuung
Sanierungs- und Abwicklungsengagement
Handelsbereich
Turnus
Inhalt
•
•
•
am nächsten Geschäftstag
Gesamtrisikoposition
Ergebnisse und Limitauslastungen im Handel
Liquiditätsrisikomanagement
Turnus
•
am nächsten Geschäftstag beim Vorliegen von wesentlichen untertägigen
Liquiditätsrisiken
Inhalt
•
Ergebnisse der täglich zu ermittelnden Liquiditätssituation
Turnus
•
monatlich, wöchentlich oder ggf. täglich in Abhängigkeit von der Bedeutung
des Treasury für die Gesamtbanksteuerung
Inhalt
•
•
Aktiv-Passiv-Management
Mandat, Positionen, Laufzeiten und damit verbundene Risiken
Treasury
Tabelle 3: Berichtspflichten Markt- und Handelsbereiche
BT 3.5 beinhaltet Einzelheiten zu den Berichten zu Auslagerungen:
Auslagerungen
Adressat
Zuständigkeit
Turnus
Inhalt
•
•
•
•
•
•
Geschäftsleitung
Auslagerungsmanagement
Mindestens jährlich
Wesentliche Auslagerungen
Ergebnisse der Analyse der von den Auslagerungsunternehmen eingereichten Berichte
Aussage darüber, ob die erbrachten Leistungen der Auslagerungsunternehmen den vertraglichen Vereinbarungen entsprechen, ob die ausgelagerten
Aktivitäten und Prozesse angemessen überwacht und gesteuert werden können und ob weitere risikomindernde Maßnahmen ergriffen werden sollen
Tabelle 4: Berichtspflichten betreffend Auslagerungen
Weitere relevante
Änderungen
Sonstige Änderungen
Zusätzlich zu oben genannten Änderungen enthält der Konsultationsentwurf im Wesentlichen folgende geplante Neuerungen:
•
•
•
Die Geschäftsstrategie muss Aussagen zum Risikoappetit der Geschäftsleitung
enthalten und große und komplexe Institute müssen zudem Angaben zur Verbesserung und zum Ausbau der Aggregationskapazitäten für Risikodaten machen
(AT 4.2).
Eine Cooling-Off-Periode soll eingeführt werden, um sicherzustellen, dass bei einem
Wechsel von Mitarbeitern der Handels- und Vertriebsbereiche in Kontrollbereiche
nicht gegen das Verbot der Selbstprüfung und –überprüfung verstoßen wird
(AT 4.3.1 Tz. 1).
In AT 4.3.3 werden in Tz. 2 nunmehr die Anforderungen an regelmäßige und anlassbezogene Stresstests für das Gesamtrisikoprofil (risikoartenübergreifende
Stresstests) detailliert dargelegt.
Financial Services Regulatory Update März 2016 | 10
•
•
•
•
•
•
In AT 4.4.1 Tz. 5 wird klargestellt, dass bei großen und komplexen Instituten (i.d.R.
Bilanzsumme > 30 Mrd. €) der „Chief Risk Officer“ - CRO weder zugleich für den
Bereich Finanzen/Rechnungswesen, noch für den Bereich Organisation/IT verantwortlich sein darf.
Die Compliance-Funktion (AT 4.4.2) soll grundsätzlich in einem von den Bereichen
Markt und Handel unabhängigen Bereich angesiedelt werden und bei großen und
komplexen Instituten als eine eigenständige Organisationseinheit unmittelbar unterhalb der Geschäftsleiterebene eingerichtet werden.
Institute sollen bei einem Wechsel in der Leitung der Risikocontrolling- und der
Compliance-Funktionen sowie der Internen Revision künftig rechtzeitig vorab und
unter Angabe von Gründen das Aufsichtsorgan informieren.
In AT 7.2 Tz. 4 wird geregelt, dass die Anforderungen an die technischorganisatorische Ausstattung aus Modul 7.2 auch beim Einsatz von durch die Fachbereiche selbst entwickelten IDV Anwendungen entsprechend zu beachten sind.
Bei Wohnimmobilienkrediten sind zukünftige, als wahrscheinlich anzusehende Einkommensschwankungen in die Beurteilung der Kapitaldienstfähigkeit einzubeziehen. Ferner sind alle für die Kreditgewährung relevanten Informationen vollständig
zu dokumentieren und über die Kreditlaufzeit aufzubewahren (BTO 1.2.1 Tz. 2).
Bei der Intensivbetreuung sollen auch die Zugeständnisse zugunsten des Kreditnehmers (Forbearance) berücksichtigt werden (BTO 1.2.4).
Handlungsbedarf
Die Auswirkungen der geplanten Änderungen der MaRisk sind in wesentlichen Teilen
von der Größe des Instituts abhängig. Das gilt insbesondere für die Anforderungen an
das Datenmanagement, die Datenqualität und die Datenaggregation in AT 4.3.4, aber
auch für bestimmte aufbauorganisatorische und funktionsbezogene Anforderungen.
Diese Anforderungen gelten i.d.R. für Institute und Institutsgruppen mit einer Bilanzsumme ab 30 Mrd. €, sog. große und komplexe Institute. Auch wenn bei diesen Instituten die Anforderungen von BCBS 239 bereits in Umsetzung sind, bedarf es eines Abgleichs der Anforderungen. Unabhängig von Modul AT 4.3.4 bekommt das Thema Datenmanagement, Datenqualität und Datenaggregation aber entsprechendes Gewicht
durch das neue Modul BT 3 bezüglich der Risikoberichte. Diese müssen auf vollständigen, genauen und aktuellen Daten beruhen, die flexibel für die Erfordernisse des Risikomanagements aufbereiten und angepasst werden müssen. BT 3 ist von allen Instituten und Institutsgruppen anzuwenden, unter Berücksichtigung des allgemeinen Proportionalitätsgrundsatzes.
Auch wenn es sich noch um ein Konsultationspapier handelt, ist doch klar ersichtlich, in
welchen Bereichen größerer Umsetzungsbedarf besteht. Insbesondere bei den oben
dargestellten, z. T. neuen oder zumindest geänderten Mindestanforderungen ist nicht
davon auszugehen, dass es durch die Konsultation zu größeren Anpassungen kommen
wird, beruhen diese doch i. d. R. auf Vorgaben des Basler Ausschusses oder auf Leitlinien der europäischen Aufsichtsbehörden. Insoweit sollte bereits auf Basis des Konsultationspapiers mit einer Betroffenheitsanalyse begonnen werden. Dabei ist zu beachten, dass auch kleinere Ergänzungen oder Änderungen in Begrifflichkeiten, Anpassungsbedarf auslösen.
Financial Services Regulatory Update März 2016 | 11
Ansprechpartner
Claus-Peter Wagner
Managing Partner Financial
Services Germany
+49 6196 996 26512
[email protected]
Martina Dombek
Quality and Risk Management/
Professional Practice FSO
+49 6196 996 26446
[email protected]
Dr. Max Weber
Regulatory Advisory
+49 711 9881 15494
[email protected]
Dr. Milena Marinova
Advisory
+49 6196 996 14773
[email protected]
Jürgen Siegl
Advisory
+49 89 14331 18832
jü[email protected]
Dr. Elma Sefer Periškić
Advisory
+49 711 9881 17008
[email protected]
EY Assurance | Tax | Transactions | Advisory
Wenn Sie unser Regulatory Update in
Zukunft nicht mehr erhalten wollen, Sie
nicht mit der für den Versand notwendigen Speicherung und Verarbeitung Ihrer persönlichen Daten
einverstanden sind oder sich Ihre Kontaktdaten geändert haben, senden Sie
uns bitte eine E-Mail an
[email protected]
Die globale EY-Organisation im Überblick
Die globale EY-Organisation ist einer der
Marktführer in der Wirtschaftsprüfung,
Steuerberatung, Transaktionsberatung
und Managementberatung. Mit unserer
Erfahrung, unserem Wissen und unseren
Leistungen stärken wir weltweit das Vertrauen in die Wirtschaft und die Finanzmärkte. Dafür sind wir bestens gerüstet:
mit hervorragend ausgebildeten Mitarbeitern, starken Teams, exzellenten Leistungen und einem sprichwörtlichen Kundenservice. Unser Ziel ist es, Dinge voranzubringen und entscheidend besser zu machen – für unsere Mitarbeiter, unsere
Mandanten und die Gesellschaft, in der
wir leben. Dafür steht unser weltweiter
Anspruch „Building a better working
world“.
Die globale EY-Organisation besteht aus
den Mitgliedsunternehmen von Ernst &
Young Global Limited (EYG). Jedes EYGMitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht
für das Handeln und Unterlassen der
jeweils anderen Mitgliedsunternehmen.
Ernst & Young Global Limited ist eine
Gesellschaft mit beschränkter Haftung
nach englischem Recht und erbringt keine
Leistungen für Mandanten. Weitere Informationen finden Sie unter
www.ey.com.
In Deutschland ist EY an 22 Standorten
präsent. „EY“ und „wir“ beziehen sich in
dieser Publikation auf alle deutschen
Mitgliedsunternehmen von Ernst & Young
Global Limited.
© 2016 Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft
All Rights Reserved.
ED None
Diese Publikation ist lediglich als allgemeine, unverbindliche
Information gedacht und kann daher nicht als Ersatz für eine
detaillierte Recherche oder eine fachkundige Beratung oder
Auskunft dienen. Obwohl sie mit größtmöglicher Sorgfalt
erstellt wurde, besteht kein Anspruch auf sachliche Richtigkeit,
Vollständigkeit und/oder Aktualität; insbesondere kann diese
Publikation nicht den besonderen Umständen des Einzelfalls
Rechnung tragen. Eine Verwendung liegt damit in der eigenen
Verantwortung des Lesers. Jegliche Haftung seitens der Ernst
& Young GmbH Wirtschaftsprüfungsgesellschaft und/oder
anderer Mitgliedsunternehmen der globalen EY-Organisation
wird ausgeschlossen. Bei jedem spezifischen Anliegen sollte
ein geeigneter Berater zurate gezogen werden.
www.de.ey.com