Article

Fünfte MaRisk-Novelle 2017

Was lange währt, wird endlich …

Am 27. Oktober 2017 war es endlich so weit. Die BaFin veröffentlichte, nachdem sie die Konsultation im Februar 2016 gestartet hatte, nunmehr mit dem Rundschreiben 09/2017 (BA) die finale Fassung der Mindestanforderungen an das Risikomanagement (MaRisk).

Die Änderungen beziehen sich – wie bereits im Konsultationsentwurf vorgesehen – im Wesentlichen auf die Themen Risikodatenaggregation/Risikoberichterstattung, Risikokultur/Verhaltenskodex sowie Auslagerung. Die finale Fassung orientiert sich dabei weitgehend an den vorgeschlagenen Inhalten des Zwischenentwurfs aus Juni 2016 und enthält insoweit wenig Überraschendes. Überdies werden mit den neuen MaRisk z.B. auch Änderungen in den Bereichen Risikotragfähigkeit und technisch-organisatorische Ausstattung vorgenommen. Diese stehen dabei in engem Zusammenhang mit anderen Veröffentlichungen der BaFin, beispielsweise dem Diskussionspapier zur Neuausrichtung der aufsichtlichen Beurteilung bankinterner Risikotragfähigkeitskonzepte oder aber den bankaufsichtlichen Anforderungen an die IT (BAIT).

Besonderen Wert legen die neuen MaRisk auf die Implementierung von Grundsätzen für Datenmanagement, -qualität und Aggregation von Risikodaten. Dabei sind Verantwortlichkeiten für alle Prozessschritte festzulegen und prozessabhängige Kontrollen zu implementieren; die regelmäßige Überprüfung der Einhaltung hat durch eine unabhängige Stelle zu erfolgen. Die Anforderungen richten sich – in Entsprechung zu BCBS 239 – grundsätzlich an systemrelevante Institute; die anderen Institute sollen jedoch im Eigeninteresse prüfen, ob mit Blick auf die Risikodatenaggregationskapazitäten Optimierungsbedarf besteht. Zudem fordern die MaRisk von den Instituten die Entwicklung, Förderung und Integration einer angemessenen Risikokultur. Hierdurch soll der bewusste Umgang mit Risiken gefördert und sichergestellt werden, dass Entscheidungsprozesse zu ausgewogenen Ergebnissen führen. Gemäß dem Proportionalitätsprinzip haben größere Institute hierfür einen Verhaltenskodex zu erstellen. Unterstützungsleistungen sowie der Betrieb durch einen externen Dritten sind bei Software, die zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation von Risiken eingesetzt wird bzw. die für die Durchführung von bankgeschäftlichen Aufgaben von wesentlicher Bedeutung ist, zukünftig als Auslagerung anzusehen. Überdies haben Institute mit umfangreichen Auslagerungen ein zentrales Auslagerungsmanagement einzurichten.

Während lediglich klarstellende Regelungen unmittelbar mit dem sofortigen Inkrafttreten der MaRisk anzuwenden sind, ist für neue Anforderungen eine Umsetzungsfrist bis zum 31. Oktober 2018 vorgesehen. Neu als systemrelevant eingestufte Institute haben für die Umsetzung von AT 4.3.4 eine dreijährige Frist. Insgesamt kann nunmehr mit der zeitnahen und in Teilen sicherlich herausfordernden Umsetzung begonnen werden.

Klicken Sie hier um zum Rundschreiben 09/2017 (BA) zu gelangen

Ihre Ansprechpartner

Wilhelm Wolfgarten
Partner | Audit & Assurance
wwolfgarten@deloitte.de

Christian Haas
Partner | Risk Advisory
chaas@deloitte.de

 

Ihre Ansprechpartner

Christian Haas                                                          Wilhelm Wolfgarten
Partner | Risk Advisory                                             Partner | Audit & Assurance
chaas@deloitte.de                                                     wwolfgarten@deloitte.de

Verwandte Themen