Fünfte MaRisk-Novelle 2017

Die Änderungen beziehen sich – wie bereits im Konsultationsentwurf vorgesehen – im Wesentlichen auf die Themen Risikodatenaggregation/Risikoberichterstattung, Risikokultur/Verhaltenskodex sowie Auslagerung. Die finale Fassung orientiert sich dabei weitgehend an den vorgeschlagenen Inhalten des Zwischenentwurfs aus Juni 2016 und enthält insoweit wenig Überraschendes. Überdies werden mit den neuen MaRisk z.B. auch Änderungen in den Bereichen Risikotragfähigkeit und technisch-organisatorische Ausstattung vorgenommen. Diese stehen dabei in engem Zusammenhang mit anderen Veröffentlichungen der BaFin, beispielsweise dem Diskussionspapier zur Neuausrichtung der aufsichtlichen Beurteilung bankinterner Risikotragfähigkeitskonzepte oder aber den bankaufsichtlichen Anforderungen an die IT (BAIT).

Besonderen Wert legen die neuen MaRisk auf die Implementierung von Grundsätzen für Datenmanagement, -qualität und Aggregation von Risikodaten. Dabei sind Verantwortlichkeiten für alle Prozessschritte festzulegen und prozessabhängige Kontrollen zu implementieren; die regelmäßige Überprüfung der Einhaltung hat durch eine unabhängige Stelle zu erfolgen. Die Anforderungen richten sich – in Entsprechung zu BCBS 239 – grundsätzlich an systemrelevante Institute; die anderen Institute sollen jedoch im Eigeninteresse prüfen, ob mit Blick auf die Risikodatenaggregationskapazitäten Optimierungsbedarf besteht. Zudem fordern die MaRisk von den Instituten die Entwicklung, Förderung und Integration einer angemessenen Risikokultur. Hierdurch soll der bewusste Umgang mit Risiken gefördert und sichergestellt werden, dass Entscheidungsprozesse zu ausgewogenen Ergebnissen führen. Gemäß dem Proportionalitätsprinzip haben größere Institute hierfür einen Verhaltenskodex zu erstellen. Unterstützungsleistungen sowie der Betrieb durch einen externen Dritten sind bei Software, die zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation von Risiken eingesetzt wird bzw. die für die Durchführung von bankgeschäftlichen Aufgaben von wesentlicher Bedeutung ist, zukünftig als Auslagerung anzusehen. Überdies haben Institute mit umfangreichen Auslagerungen ein zentrales Auslagerungsmanagement einzurichten.

Während lediglich klarstellende Regelungen unmittelbar mit dem sofortigen Inkrafttreten der MaRisk anzuwenden sind, ist für neue Anforderungen eine Umsetzungsfrist bis zum 31. Oktober 2018 vorgesehen. Neu als systemrelevant eingestufte Institute haben für die Umsetzung von AT 4.3.4 eine dreijährige Frist. Insgesamt kann nunmehr mit der zeitnahen und in Teilen sicherlich herausfordernden Umsetzung begonnen werden.

Ihre Ansprechpartner

Christian Haas                                                          Wilhelm Wolfgarten
Partner | Risk Advisory                                             Partner | Audit & Assurance
chaas@deloitte.de                                                     wwolfgarten@deloitte.de