23. Nov 2017

Dr. Daniel Radig

Neue Mindestanforderungen an das Risikomanagement der Banken

Bankaufsichtsrecht/ Compliance

Die BaFin hat mit ihrem Rundschreiben 09/2017 (BA) vom 27.10.2017 die Mindestanforderungen an das Risikomanagement der Banken (kurz „MaRisk“) reformiert. Die neue Fassung der MaRisk, welche die Vorgängerfassung aus Dezember 2012 ablöst, ist sofort in Kraft getreten. Für die Umsetzung gänzlich neuer Anforderungen, die nicht lediglich Konkretisierungen darstellen, gewährt die BaFin den Instituten ein weiteres Jahr Zeit. Die Umsetzungsfrist für die neuen Anforderungen an die Datenaggregation (Modul AT 4.3.4, siehe dazu hier Ziffer 2.) beträgt drei Jahre.

Die MaRisk sind modular strukturiert. Es handelt sich um sogenannte normeninterpretierende Verwaltungsvorschriften. Die wesentlichen Neuerungen der MaRisk sollen im Folgenden kurz skizziert werden:

  1. Risikokultur

In Modul AT 3 hat die BaFin die Risikokultur der Institute stärker in den Blick genommen. Die Geschäftsleiter sind fortan verpflichtet, innerhalb des Instituts für eine angemessene Risikokultur Sorge zu tragen. Die Risikokultur beschreibt dabei die Art und Weise, wie Mitarbeiter des Instituts mit Risiken umgehen sollen. Kennzeichnend für eine angemessene Risikokultur sollen vor allem das klare Bekenntnis der Geschäftsleitung zu risikoangemessenem Verhalten, die strikte Beachtung des durch die Geschäftsleitung kommunizierten Risikoappetits durch alle Mitarbeiter und die Ermöglichung und Förderung eines transparenten und offenen Dialogs innerhalb des Instituts zu risikorelevanten Fragen sein. 

  1. Datenmanagement, Datenqualität und Aggregation von Risikodaten

In Modul AT 4.3.4 hat die BaFin die Anforderungen an die Institute im Hinblick auf die Erhebung risikorelevanter Daten erhöht. Die neuen Vorschriften gelten nur für global und anderweitig systemrelevante Institute. Die IT-Infrastruktur dieser Institute soll eine umfassende und exakte Sammlung risikorelevanter Daten ermöglichen und diese dem Berichtswesen der Bank zeitnah zur Verfügung stellen. Dafür hat das Institut Grundsätze für das Datenmanagement, die Datenqualität und die Aggregation von Risikodaten festzulegen, die von der Geschäftsleitung zu genehmigen und in Kraft zu setzen sind. Datenstruktur und Datenhierarchie müssen gewährleisten, dass die Daten zweifelsfrei identifiziert, zusammengeführt und ausgewertet werden können sowie zeitnah zur Verfügung stehen. Für alle Prozessschritte sind Verantwortlichkeiten festzulegen und entsprechende prozessabhängige Kontrollen einzurichten.

  1. Auslagerungen

Die BaFin konkretisiert ferner die in AT 9 aufgestellten Anforderungen an die Auslagerung von Tätigkeiten (§ 25b KWG).

Sowohl die Risikocontrolling- und die Compliance-Funktion als auch die Interne Revision sollen künftig möglichst in den Instituten verbleiben. Eine vollständige Auslagerung von Risikocontrolling, Compliance oder Interner Revision ist fortan nur noch für Tochterinstitute innerhalb einer Institutsgruppe zulässig, und auch das nur unter bestimmten Voraussetzungen. Erleichterungen sind bei kleineren Instituten vorgesehen. Eine vollständige Auslagerung der Compliance-Funktion oder der Internen Revision ist dort möglich, wo die Einrichtung aufgrund der Institutsgröße sowie der Art, des Umfangs, der Komplexität und des Risikogehalts der betriebenen Geschäftsaktivitäten nicht angemessen erscheint.

Bei der Weiterverlagerung ausgelagerter Tätigkeiten sind möglichst Zustimmungsvorbehalte des auslagernden Instituts oder konkrete Voraussetzungen, wann Weiterverlagerungen einzelner Arbeits- und Prozessschritte möglich sind, im Auslagerungsvertrag zu vereinbaren. Ferner ist vertraglich sicherzustellen, dass die Vereinbarungen des Auslagerungsunternehmens mit Subunternehmen mit den Festlegungen im originären Auslagerungsvertrag im Einklang stehen. Außerdem sollen die Vereinbarungen Informationspflichten des Auslagerungsunternehmens an das auslagernde Institut enthalten.

Darüber hinaus hat das Institut abhängig von der Art, dem Umfang und der Komplexität der Auslagerungsaktivitäten ein zentrales Auslagerungsmanagement einzurichten. Das zentrale Auslagerungsmanagement hat der Geschäftsleitung mindestens einmal jährlich einen Bericht über die wesentlichen Auslagerungen vorzulegen. Schließlich enthält AT 9 einige Klarstellungen zur Abgrenzung von Fremdleistungen und zum Umgang mit unbeabsichtigten Beendigungen von Auslagerungen.

  1. Anforderungen an die Risikoberichterstattung

Im neuen Modul BT 3 sind die für alle Institute geltenden Anforderungen an die Risikoberichterstattung zusammengefasst.

Die Geschäftsleitung hat das Aufsichtsorgan weiterhin mindestens vierteljährlich über die Risikosituation schriftlich zu informieren. Die für das Aufsichtsorgan unter Risikogesichtspunkten wesentlichen Informationen sind von der Geschäftsleitung unverzüglich, also nicht erst zum nächsten regulären Berichtstermin, weiterzuleiten.

In regelmäßigen Abständen, mindestens aber vierteljährlich, müssen der Geschäftsleitung des Instituts folgende Risikoberichte vorgelegt werden:

  • Gesamtrisikobericht über die als wesentlich eingestuften Risikoarten,
  • Risikobericht über Adressenausfallrisiken, in dem die wesentlichen strukturellen Merkmale des Kreditgeschäfts enthalten sind,
  • Risikobericht über die vom Institut insgesamt eingegangenen Marktpreisrisiken einschließlich der Zinsrisiken und
  • Risikobericht über die Liquiditätsrisiken.

Außerdem ist die Geschäftsleitung regelmäßig über bedeutende Schadensfälle und wesentliche operationelle Risiken (mindestens jährlich) und die als wesentlich identifizierten Risiken (mindestens vierteljährlich) zu unterrichten.