12
MaRisk-Novelle 2016 Konsultation zur Überarbeitung der MaRisk vom 18. Februar 2016 Überarbeitung der Mindestanforderungen an das Risikomanagement Am 18. Februar 2016 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) einen Konsultationsentwurf zur MaRisk-Novelle 2016 (Konsultation 2/2016) veröffentlicht. Bis zum 7. April 2016 besteht die Möglichkeit, zu den geplanten Än- derungen Stellung zu nehmen. Das Konsultationspapier wird auch Gegenstand einer Sitzung des MaRisk Fachgremiums sein. Auslöser der Novellierung waren insbesondere die Vorgaben des Basler Ausschusses für Bankenaufsicht zur Risikodatenaggregation und Risikoberichterstattung (BCBS 239), die gestiegenen Anforderungen an die Risikokultur gemäß dem Papier des Financial Stability Board (FSB) „Guidance on Supervisory Interaction with finan- cial institutions on Risk Culture“ und die einschlägigen Publikationen der European Banking Authority (EBA), z.B. „Guidelines on common procedures and methodologies for the SREP“. In diesem Beitrag stellen wir die wesentlichen Änderungen im Vergleich zu den aktu- ell gültigen MaRisk von 2012 vor. Ausgabe 02 | März 2016 Financial Services Regulatory Update

MaRisk-Novelle 2016 - ey.com · MaRisk-Novelle 2016 Konsultation zur Überarbeitung der MaRisk vom 18. Februar 2016 Überarbeitung der Mindestanforderungen an das Risikomanagement

  • Upload
    lynhu

  • View
    217

  • Download
    0

Embed Size (px)

Citation preview

MaRisk-Novelle 2016

Konsultation zur Überarbeitung der

MaRisk vom 18. Februar 2016

Überarbeitung der Mindestanforderungen an das Risikomanagement

Am 18. Februar 2016 hat die Bundesanstalt für Finanzdienstleistungsaufsicht

(BaFin) einen Konsultationsentwurf zur MaRisk-Novelle 2016 (Konsultation 2/2016)

veröffentlicht. Bis zum 7. April 2016 besteht die Möglichkeit, zu den geplanten Än-

derungen Stellung zu nehmen. Das Konsultationspapier wird auch Gegenstand einer

Sitzung des MaRisk Fachgremiums sein.

Auslöser der Novellierung waren insbesondere die Vorgaben des Basler Ausschusses

für Bankenaufsicht zur Risikodatenaggregation und Risikoberichterstattung

(BCBS 239), die gestiegenen Anforderungen an die Risikokultur gemäß dem Papier

des Financial Stability Board (FSB) „Guidance on Supervisory Interaction with finan-

cial institutions on Risk Culture“ und die einschlägigen Publikationen der European

Banking Authority (EBA), z.B. „Guidelines on common procedures and methodologies

for the SREP“.

In diesem Beitrag stellen wir die wesentlichen Änderungen im Vergleich zu den aktu-

ell gültigen MaRisk von 2012 vor.

Ausgabe 02 | März 2016

Financial Services Regulatory

Update

Financial Services Regulatory Update März 2016 | 2

Die wesentlichen geplanten Änderungen der MaRisk

Tabelle 1 zeigt eine Übersicht der geplanten Änderungen.

Thema

Ge

än

de

rt d

urc

h d

ie N

ovellie

run

g

Ne

ue

r In

halt

Ve

rsch

ob

en

er

Inh

alt

Ge

än

de

rte

r V

erw

eis

An

de

re B

eg

riff

lich

keit

Ge

rin

gfü

gig

e Ä

nd

eru

ng

Ko

nkre

tisi

eru

ng

AT 1 Vorbemerkungen X X X

AT 2 Anwendungsbereich X X

AT 3 Gesamtverantwortung der Geschäftsleitung X X X

AT 4 Allgemeine Anforderungen an das Risikomanagement

AT 4.1 Risikotragfähigkeit X X X

AT 4.2 Strategien X X X

AT 4.3 Internes Kontrollsystem

AT 4.3.1 Aufbau- und Ablauforganisation X X X X

AT 4.3.2 Risikosteuerungs- / -controllingprozesse X X X X X

AT 4.3.3 Stresstests X X

AT 4.3.4 Datenmanagement, Datenqualität und Aggregation von

Risikodaten Neues Modul (AT 4.3.4)

AT 4.4 Besondere Funktionen

AT 4.4.1 Risikocontrolling-Funktion X X X

AT 4.4.2 Compliance-Funktion X X X X

AT 4.4.3 Interne Revision X X

AT 4.5 Risikomanagement auf Gruppenebene X X X X

AT 5 Organisationsrichtlinien X X

AT 6 Dokumentation X X

AT 7 Ressourcen X X

AT 8 Anpassungsprozesse X X X

AT 9 Auslagerung X X X X X

BT 1 Besondere Anforderungen an das interne Kontrollsystem

BTO Anforderungen an die Aufbau- und Ablauforganisation

BTO 1 Kreditgeschäft X X X X

Financial Services Regulatory Update März 2016 | 3

BTO 2 Handelsgeschäft X X

BTR Anforderungen an die Risikosteuerungs- und

–controllingprozesse X X

BTR 1 Adressenausfallrisiken X X X X

BTR 2 Marktpreisrisiken X X X

BTR 3 Liquiditätsrisiken X X X X X

BTR 4 Operationelle Risiken X X X X

BT 2 Besondere Anforderungen an die Ausgestaltung der

Internen Revision X X

X X

BT 3 Anforderungen an die Risikoberichterstattung Neues Modul

BT 3.1 Allgemeine Anforderungen an die Risikoberichte Neues Modul

BT 3.2 Berichte der Risikocontrolling-Funktion Neues Modul

BT 3.3 Berichte der Compliance-Funktion Neues Modul

BT 3.4 Berichte der Markt- und Handelsbereiche Neues Modul

BT 3.5 Berichte zu Auslagerungen Neues Modul

Tabelle 1: Übersicht der von den geplanten Änderungen betroffenen Inhalte

Bei dem vorliegenden Entwurf handelt es sich um eine Änderungsversion gegenüber

der derzeit geltenden Fassung vom 14. Dezember 2012. Allerdings sind einige als neu

gekennzeichnete Inhalte nur verschoben worden und stellen somit keine inhaltlichen

Neuerungen dar. Zudem wurden teilweise lediglich Begrifflichkeiten an andere Rechts-

vorschriften angepasst und einige neue Begrifflichkeiten (z.B. Forbearance) in die

MaRisk eingeführt.

Einführung der Anforderungen an eine Risikokultur

Basierend auf einschlägigen Papieren der EBA und des FSB sowie dem Erwägungsgrund

54 der CRD IV verlangen die MaRisk künftig den Aufbau einer Risikokultur auf Instituts-

und Gruppenebene. Als Teil der Gesamtverantwortung für eine ordnungsgemäße Ge-

schäftsorganisation haben die Geschäftsleiter zukünftig auch eine angemessene Risi-

kokultur zu verantworten.

Die Risikokultur soll die Identifizierung und den bewussten Umgang mit Risiken fördern

und dabei sicherstellen, dass Entscheidungsprozesse und damit einhergehende Ergeb-

nisse unter Risikogesichtspunkten ausgewogen sind. Dabei soll eine angemessene Risi-

kokultur insbesondere das klare Bekenntnis der Geschäftsleitung zu risikoangemesse-

nem Verhalten beinhalten, sowie die Förderung eines transparenten und offenen Dia-

logs zu risikorelevanten Fragen innerhalb des Instituts sicherstellen. Vor diesem Hinter-

grund soll gemäß AT 5 Tz. 2 Buchstabe g) künftig ein Verhaltenskodex für Mitarbeiter in

die Organisationsrichtlinien aufgenommen werden.

Risikotragfähigkeit

Bei der Festlegung der wesentlichen Risiken ist die Nichtberücksichtigung bestimmter

Risiken weiterhin nachvollziehbar zu begründen und auch nur dann möglich, wenn das

jeweilige Risiko aufgrund seiner Eigenart nicht sinnvoll durch das Risikodeckungspoten-

tial begrenzt werden kann (AT 4.1 Tz. 4).

Financial Services Regulatory Update März 2016 | 4

Gem. AT 4.1 Tz. 9 sollen künftig im Rahmen der Überprüfung von angewendeten Me-

thoden und Verfahren zur Risikoquantifizierung nicht nur die damit ermittelten Risiken

bzgl. ihrer Aussagekraft, sondern auch die Methoden und Verfahren bzgl. ihrer Stabili-

tät und Konsistenz kritisch analysiert werden. Hierbei haben die Institute zu jeder Zeit

einen vollständigen und aktuellen Überblick über die zur Risikoquantifizierung einge-

setzten Methoden und Verfahren zu bewahren. Außerdem sollen die Institute bei der

jährlichen Validierung der Methoden und Verfahren sowie der zugrunde liegenden An-

nahmen und der einfließenden Daten eine prozessuale und organisatorische Trennung

zwischen Methodenentwicklung und Validierung gewährleisten. Daraus resultierende

wesentliche Ergebnisse und Vorschläge für Maßnahmen zum Umgang mit den Grenzen

und Beschränkungen der Methoden und Verfahren sollen der Geschäftsleitung an-

schließend vorgelegt werden (AT 4.1 Tz. 10).

Darüber hinaus soll gem. AT 4.3.2 Tz. 5 der Prüfungsturnus der im Rahmen der Risi-

kosteuerungs- und –controllingprozesse zur Risikoquantifizierung eingesetzten Metho-

den und Verfahren erhöht werden. Demnach sollen die Methoden und Verfahren künftig

nicht nur bei sich ändernden Bedingungen, sondern regelmäßig überprüft und ggf.

angepasst werden. Hervorgehoben wird hierbei die Plausibilisierung der ermittelten

Ergebnisse und der zugrunde liegenden Daten. Für die Durchführung der Prüfung wird

auf AT 4.1 Tz. 9 verwiesen.

Aufnahme der IT-Risiken in die Regelungen der MaRisk

Nach AT 4.3.2 Tz. 1 sollen künftig auch für IT-Risiken angemessene Risikosteuerungs-

und –controllingprozesse eingerichtet werden. Diese sollen insbesondere die Feststel-

lung des Schutzbedarfs, die Ableitung von Sicherheitsanforderungen und die Festle-

gung entsprechender Sicherheitsmaßnahmen umfassen.

Darüber hinaus erstrecken sich die im Bereich der technisch-organisatorischen Ausstat-

tung definierten Anforderungen künftig auch auf von den Fachbereichen selbst entwi-

ckelten Anwendungen (sog. individuelle Datenverarbeitung - IDV). Maßnahmen zur

Sicherstellung der Datensicherheit sollen sich hierbei am Schutzbedarf der verarbeite-

ten Daten orientieren.

Risikodatenaggregation

Die Umsetzung von BCBS 239 in nationale Regelungen erforderte die Aufnahme eines

neuen Moduls in die MaRisk. In AT 4.3.4 werden, in erster Linie für große und komplexe

Institute, das Datenmanagement, die Datenqualität und die Aggregation von Risikoda-

ten geregelt und standardisiert. Im Folgenden werden die Inhalte des neuen Moduls

stichpunktartig dargestellt.

Tz. Inhalt

1 • Die Anforderungen richten sich an große und komplexe Institute (i.d.R. > 30 Mrd. €

Bilanzsumme)

• Geltungsbereich auf Gruppenebene und auf Ebene der wesentlichen gruppenangehö-

rigen Einzelinstitute

• Es sollen instituts- und gruppenweit geltende Grundsätze festgelegt werden, die von

der Geschäftsleitung zu genehmigen und in Kraft zu setzen sind

2

• Datenstruktur und –hierarchie sollen zweifelsfreie Identifikation, Zusammenführung,

Auswertung und zeitnahe zur Verfügungsstellung gewährleisten

• Sofern möglich, mit Hilfe von Namenskonventionen und Kennzeichnungen

Die angewendeten Methoden

und Verfahren zur Risiko-

quantifizierung sind bzgl.

ihrer Stabilität und Konsistenz

zu analysieren.

Aufnahme des Umgangs mit

IT-Risiken, Risikodatenaggre-

gation und Risikoberichter-

stattung im Zuge der Umset-

zung von BCBS 239

Financial Services Regulatory Update März 2016 | 5

Tz. Inhalt

3

• Genauigkeit und Vollständigkeit der Daten sollen gewährleistet werden

• Daten sollen nach unterschiedlichen Kategorien (z. B. Risikokategorien, Geschäfts-

feld, Branche etc.) auswertbar und automatisiert aggregierbar sein

• Manuelle Prozesse und Eingriffe sollen begründet, dokumentiert und auf das inhaltli-

che Maß beschränkt werden

• Datenqualität und –vollständigkeit sollen anhand geeigneter Kriterien überwacht

werden (interne Anforderungen sind hierfür zu formulieren)

4

• Risikodaten sollen mit anderen Informationen (z.B. Daten aus dem Rechnungswesen

und ggf. dem Meldewesen) des Instituts abgeglichen und plausibilisiert werden

• Hierfür sollen Verfahren und Prozesse eingerichtet werden, mittels derer Datenfehler

und Schwachstellen der Datenqualität identifiziert werden können

5

• Datenaggregationskapazitäten sollen gewährleisten, dass aggregierte Daten sowohl

unter normalen Umständen als auch in Stressphasen zeitnah zur Verfügung stehen

• Unter Berücksichtigung der Häufigkeit von Risikoberichten soll ein zeitlicher Rahmen,

innerhalb dessen die aggregierten Daten vorliegen müssen, definiert werden

• Zu den Risikodaten, die in Stressphasen vorliegen sollen, gehören: Kreditrisiko auf

Gesamtbank-/Gruppenebene, aggregiertes Exposure gegenüber großen Unterneh-

mensschuldnern, Kontrahentenrisiken (zusammengefasst und auf einzelne Adressen

aufgeteilt), Marktpreisrisiken, Handelsoptionen und –limite inkl. möglicher Konzentra-

tionen, Indikatoren für mögliche Liquiditätsrisiken/ -engpässe und Indikatoren für

operationelle Risiken

6

• Datenaggregationskapazitäten sollen hinreichend flexibel und leistungsfähig sein, um

Ad-hoc-Informationen nach unterschiedlichen Kategorien ausweisen und analysieren

zu können (dazu zählen auch unterschiedliche Ebenen)

7

• Festlegung von Verantwortlichkeiten für alle Prozessschritte

• Einrichtung entsprechender prozessabhängiger Kontrollen

• Die Einhaltung der institutsinternen Regelungen, Verfahren, Methoden und Prozesse

soll regelmäßig überprüft werden

• Die Überprüfung soll von einer von den operativen Geschäftseinheiten unabhängigen

Stelle durchgeführt werden (betraute Mitarbeiter sollen hinreichende Kenntnisse über

IT-Systeme und Berichtswesen haben)

Tabelle 2: Inhalt AT 4.3.4 Datenmanagement, -qualität und Aggregation von Daten

Gemäß AT 5 Tz. 3 wird gefordert, dass die Organisationsrichtlinien von großen und

komplexen Instituten künftig auch Regelungen zu den Verfahren, Methoden und Pro-

zessen der Aggregation von Risikodaten enthalten sollen. Die Anforderungen gemäß

AT 4.3.4 sollen auch bei der geforderten Konzepterstellung vor Übernahmen und Fusi-

onen beachtet werden (AT 8.3 Tz. 1).

Neu-Produkt-Prozess

Auch im Rahmen des Neu-Produkt-Prozesses (NPP) haben sich einige Änderungen

ergeben (AT 8). Zum einen soll ein Institut künftig explizit einen Katalog der Produkte

und Märkte, die Gegenstand der Geschäftsaktivitäten sind, vorhalten. Dieser Katalog

soll in angemessenem Turnus überprüft und ggf. angepasst werden, wenn Produkte

oder Märkte über einen längeren Zeitraum nicht Gegenstand der Geschäftsaktivitäten

sind.

Zum anderen wird für den NPP eine mindestens jährlich durchzuführende Prüfung

eingeführt, in welcher analysiert wird, ob der NPP zu einem sachgerechten Umgang mit

neuen Produkten und Märkten führt. Hierbei sollen insb. folgende Inhalte untersucht

werden:

Der NPP ist regelmäßig zu

überprüfen, die Inhalte

sind entsprechend zu

aktualisieren.

Financial Services Regulatory Update März 2016 | 6

• Waren die in den Konzepten getroffenen Annahmen und damit verbundenen Analy-

sen des Risikogehaltes der Aktivitäten im Wesentlichen zutreffend?

• Waren die in den Konzepten und aus den Testphasen gezogenen Konsequenzen im

Wesentlichen zutreffend?

• Waren die gem. AT 8.1 Tz. 7 MaRisk getroffenen Einschätzungen der sachgerechten

Handhabung der Aktivitäten zutreffend?

• Weist die Organisation und Durchführung des NPP Mängel auf?

Bei möglichen Mängeln des NPP soll der Prozess künftig unverzüglich angepasst wer-

den.

Auslagerungen

In AT 9 hat es neben der begrifflichen Veränderung von Outsourcing zu Auslagerung

vor allem nachstehend dargestellte wesentliche Änderungen gegeben:

• Konkretisierung der Auslagerungsdefinition:

Nicht als sonstiger Fremdbezug, sondern als Auslagerung sollen vom Institut bezo-

gene Software und diesbezügliche fachliche Unterstützungsleistungen, die zur Iden-

tifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken

eingesetzt werden oder für die Durchführung von bankgeschäftlichen Aufgaben von

wesentlicher Bedeutung sind (Kernbanksysteme) eingestuft werden, sofern sie indi-

viduell an die Bedürfnisse eines Instituts oder mehrerer Institute angepasst oder mit

entsprechenden Dienstleistungen durch Dritte verbunden sind (AT 9 Tz. 1).

• Aktualisierung der Risikoanalyse:

Die Risikoanalyse soll auf der Grundlage von institutsweit bzw. gruppenweit einheit-

lichen Vorgaben sowohl regelmäßig als auch anlassbezogen durchgeführt werden

(AT 9 Tz. 2).

• Besondere Anforderungen an die Voll- oder Teilauslagerung der Kontrollbereiche,

d.h. der Risikocontrolling-Funktion, der Compliance-Funktion und der Internen Revi-

sion, sowie der Kernbankbereiche:

Das Institut soll weiterhin über fundierte Kenntnisse und Erfahrungen verfügen. Zu-

dem soll gewährleistet werden, dass im Falle der Beendigung des Auslagerungsver-

hältnisses oder der Änderung der Gruppenstruktur der ordnungsmäßige Betrieb in

diesen Bereichen fortgesetzt werden kann. Eine vollständige Auslagerung der Risi-

kocontrolling-Funktion ist nicht zulässig. Eine vollständige Auslagerung der Compli-

ance-Funktion und der Internen Revision soll nur bei kleinen Instituten möglich sein,

sofern deren Einrichtung vor dem Hintergrund der Institutsgröße sowie der Art, des

Umfangs, der Komplexität und des Risikogehalts der betriebenen Geschäftsaktivitä-

ten nicht angemessen erscheint (AT 9 Tz. 5).

• Erweiterte Anforderungen an wesentliche kritische Auslagerungen:

Entsprechende Ausstiegsstrategien sollen für diese Fälle festgelegt werden. Zudem

sollen die Handlungsoptionen auch formal verabschiedet werden (AT 9 Tz. 6).

• Konkretisierung der vertraglichen Anforderungen (AT 9 Tz. 7 und 9):

Weiterverlagerungen: Es sollen entweder Zustimmungsvorbehalte des auslagernden

Instituts oder konkrete Voraussetzungen, wann Weiterverlagerungen einzelner Ar-

beits- und Prozessschritte möglich sind, vereinbart werden. Ferner sollen die ver-

traglichen Anforderungen bei Weiterverlagerungen auch eine Informationspflicht

des weiterverlagernden Unternehmens an das auslagernde Institut umfassen.

Sicherheitsanforderungen: Es sollen entsprechende Anforderungen vertraglich ver-

einbart werden. Zu den sonstigen Sicherheitsanforderungen zählen vor allem Zu-

gangsbestimmungen zu Räumen und Gebäuden (z. B. bei Rechenzentren) sowie Zu-

Financial Services Regulatory Update März 2016 | 7

griffsberechtigungen auf Softwarelösungen zum Schutz wesentlicher Daten und In-

formationen.

Kündigungsrechte – erweiterte Anforderungen: Bereits bei der Vertragsanbahnung

soll das Institut festlegen, welchen Grad einer Schlechtleistung es akzeptieren

möchte. Für den Fall einer dauerhaften Unterschreitung dieser Grenze sollen ent-

sprechende Kündigungsrechte vereinbart werden.

Software zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommuni-

kation von Risiken: Hier soll die Herausgabe aussagekräftiger Informationen zu we-

sentlichen Annahmen und Parametern und zu Änderungen dieser Annahmen und

Parameter vertraglich vereinbart werden.

• Einrichtungspflicht eines zentralen Auslagerungsmanagements für alle Institute:

Das Institut soll ein zentrales Auslagerungsmanagement einrichten. In der MaRisk-

Novelle werden die konkreten Aufgaben aufgelistet (u.a. die Überprüfung der durch

die zuständigen Bereiche durchgeführten Risikoanalysen). Für Auslagerungen der

Kontrollfunktion soll ein Beauftragter benannt werden (AT 9 Tz. 11). Das zentrale

Auslagerungsmanagement soll mindestens jährlich einen Bericht über die wesentli-

chen Auslagerungen erstellen und der Geschäftsleitung zur Verfügung stellen.

Liquiditätsrisiken

Die Anpassungen zielen größtenteils auf die Harmonisierung im Hinblick auf entspre-

chende Vorgaben aus der delegierten Verordnung zur Liquiditätsdeckungsanforderung

(EU) Nr. 2015/61 (delVO), der EBA-Leitlinie zu gemeinsamen Verfahren und Methoden

für den aufsichtlichen Überprüfungs- und Bewertungsprozess (SREP) und einschlägigen

Dokumenten seitens des Basler Ausschusses für Bankenaufsicht ab.

Innerhalb der allgemeinen Anforderungen (BTR 3.1) sind folgende Änderungen hervor-

zuheben:

• Diversifikation der Refinanzierungsquellen und der Liquiditätsreserve

• Maßnahmen zur Sicherstellung der untertägigen Liquidität

• Berücksichtigung von belasteten Vermögenswerten

• Erweiterung der Vorgaben hinsichtlich der Erstellung von Liquiditätsübersichten

• Durchführung von kombinierten Stresstests

• Erstellung eines Refinanzierungsplans

Im Rahmen der Diversifikationsanforderungen (BTR 3.1 Tz. 1) sind in den Ausführun-

gen mögliche Kriterien, die im Rahmen der Diversifikation berücksichtigt werden sollen,

aufgeführt (z. B. Geschäftspartner/Emittenten, Produkte, Laufzeiten und Regionen).

Diese Anforderung findet sich in ihren Grundzügen auch in Art. 8 Abs. 1 delVO (EU)

Nr. 2015/61 wieder.

Ferner sind in Tz. 1 Konkretisierungen hinsichtlich der Sicherstellung der untertägigen

Liquidität aufgeführt. Die Institute sollen Maßnahmen ergreifen, die eine untertägige

Liquidität gewährleisten. In den Erläuterungen wird darauf hingewiesen, dass sich ins-

besondere im Rahmen der Nutzung von Echtzeit-Abwicklungs- und Zahlungsverkehrs-

systemen wesentliche untertägige Liquiditätsrisiken ergeben können. Die Erläuterun-

gen für Tz. 2 spezifizieren, dass im Rahmen der Verfahren, die zur frühzeitigen Erken-

nung von Liquiditätsengpässen verwendet werden, auch belastete Vermögenswerte

(Asset Encumbrance) zu berücksichtigen sind. Die EBA-Leitlinie zum aufsichtlichen

Überprüfungs- und Überwachungsprozess (SREP – Supervisory Review and Evaluation

Process) greift dies in den Tz. 389 und 394 ebenfalls auf.

Zusätzliche Anforderungen

an kapitalmarktorientierte

Institute

Financial Services Regulatory Update März 2016 | 8

Für Zwecke der Erstellung von Liquiditätsübersichten wird in Tz. 3 klargestellt, dass

künftig nicht nur die kurzfristige Liquiditätslage, sondern auch die mittel- und langfris-

tige Liquiditätslage dargestellt werden sollen.

Bezüglich der Stresstestszenarien wurde BTR 3.1 Tz. 8 dahingehend erweitert, dass

künftig alle Institute die Kombination von spezifischen und marktweiten Ursachen für

Liquiditätsrisiken im Rahmen ihrer Stresstests berücksichtigen sollen. Diese Vorgabe

müssen aktuell nur kapitalmarktorientierte Institute erfüllen. Die letzte wesentliche

Änderung im Rahmen der allgemeinen Anforderungen liegt in der Einführung eines

Refinanzierungsplans (BTR 3.1 Tz. 12). Dieser soll die Strategien, den Risikoappetit und

das Geschäftsmodell des Instituts widerspiegeln und einen angemessen langen, meist

mehrjährigen Zeitraum umfassen. Dabei sollen mögliche Auswirkungen auf den Refi-

nanzierungsbedarf, die sich durch eine Veränderung der eigenen Geschäftstätigkeit,

der strategischen Ziele oder des wirtschaftlichen Umfeldes ergeben könnten, entspre-

chend berücksichtigt werden.

Im Bereich der zusätzlichen Anforderungen an kapitalmarktorientierte Institute

(BTR 3.2) ist Tz. 2 hervorzuheben. In den Ausführungen zur Liquidierbarkeit von Ver-

mögensgegenständen wurde nun die Definition „ohne signifikante Wertverluste“ aufge-

nommen. Kein signifikanter Wertverlust liegt demnach vor, wenn die Vermögensgegen-

stände auch in Stressphasen an ausreichend tiefen und breiten Märkten liquidierbar

sind und dabei mit hoher Wahrscheinlichkeit eine angemessene Liquiditätswirkung

erzielen. Diese Beschreibung ist in ihren Grundzügen auch in den operativen Anforde-

rungen an liquide Aktiva in Art. 8 delVO (EU) Nr. 2015/61 aufgeführt.

Interne Revision

Wesentliche Änderungen bei den Anforderungen an die Interne Revision haben sich

insbesondere in den Bereichen Prüfungsplanung und –durchführung sowie der Be-

richtspflicht ergeben (BT 2). Daneben wurden in AT 4.5 Tz. 6 weitergehende Anforde-

rungen an eine Konzernrevision gestellt.

Im Rahmen der risikoorientierten Prüfungsplanung soll künftig das Verlustpotenzial,

welches aus verschiedenen Risikoquellen und der Manipulationsanfälligkeit der Prozes-

se durch Mitarbeiter resultiert, berücksichtigt werden (BT 2.3 Tz. 2), um so ein aktuel-

les und zukünftiges Risikopotenzial der Aktivitäten und Prozesse darstellen zu können.

Im Rahmen der Berichtspflicht der Internen Revision soll der Turnus der Gesamtbe-

richterstattung erhöht und die Adressaten der Gesamtberichterstattung um das Auf-

sichtsorgan ergänzt werden (BT 2.4). In Zukunft soll der Geschäftsleitung und dem

Aufsichtsorgan vierteljährlich ein Gesamtbericht vorgelegt werden, in dem über die

wesentlichen Mängel und ergriffenen Maßnahmen der Prüfungen des letzten Quartals

berichtet wird. Gemäß den Erläuterungen zu BT 2.4 Tz. 4 kann die Berichterstattung an

das Aufsichtsorgan jedoch auch über die Geschäftsleitung erfolgen, sofern dadurch

keine nennenswerten Verzögerungen auftreten und die Inhalte deckungsgleich sind.

Des Weiteren ist in den Erläuterungen des BT 2.4 Tz. 4 spezifiziert, dass der vierte

Gesamtbericht in den Jahresbericht der Internen Revision als gesonderter Abschnitt

integriert werden kann.

Des Weiteren wurde AT 4.5 Tz. 6 erweitert. Für die Konzernrevision und die Revisions-

stellen der einzelnen gruppenangehörigen Unternehmen sollen die gleichen Revisions-

grundsätze und Prüfungsstandards gelten, um eine Vergleichbarkeit der Prüfungser-

gebnisse zu ermöglichen. Insbesondere Prüfungsplanung, durchgeführte Prüfungen

und Verfahren zur Abstellung von Mängeln sollen aufeinander abgestimmt werden.

Darüber hinaus soll die Konzernrevision in angemessenen Abständen, mindestens je-

Financial Services Regulatory Update März 2016 | 9

doch vierteljährlich, an die Geschäftsleitung und das Aufsichtsorgan des übergeordne-

ten Instituts der Gruppe berichten.

Anforderungen an die Risikoberichterstattung

Die Anforderungen an die Berichterstattung sollen innerhalb eines neu eingeführten

BT 3 „Anforderungen an die Risikoberichterstattung“ gebündelt dargestellt und um die

relevanten Anforderungen aus BCBS 239 erweitert werden. Ausgenommen hiervon

sind die Anforderungen an die Berichterstattung der Internen Revision, deren Berichts-

pflichten nach wie vor in BT 2 MaRisk enthalten sind.

BT 3.1 enthält die allgemeinen Anforderungen an die Risikoberichte. Ein Risikobericht

soll:

• die Beurteilung der Risikosituation enthalten,

• auf vollständigen, genauen und aktuellen Daten beruhen,

• eine zukunftsorientierte Einschätzung abgeben und sich nicht ausschließlich auf

aktuelle und historische Daten stützen,

• die Ergebnisse und die Beschreibung der Stresstests und deren potenzielle Auswir-

kungen auf die Risikosituation und das Risikodeckungspotenzial, sowie Risikokon-

zentrationen und die potenziellen Auswirkungen der Risikokonzentrationen beinhal-

ten.

Dabei soll ein Risikobericht nachvollziehbar sein und regelmäßig erstellt werden, um

eine aktive und zeitnahe Steuerung der Risiken zu ermöglichen. Zusätzlich soll die

Geschäftsleitung das Aufsichtsorgan vierteljährlich über die Risikosituation schriftlich

informieren.

In der Folge werden die gesonderten Berichtspflichten der Risikocontrolling-Funktion

(BT 3.2), der Compliance-Funktion (BT 3.3), der Markt- und Handelsbereiche (BT 3.4)

und des zentralen Auslagerungsmanagements (BT 3.5) dargestellt. Die Berichtspflich-

ten der Risikocontrolling-Funktion entsprechen im Wesentlichen den bislang in den

verschiedenen BTR Modulen enthaltenen, risikoartenspezifischen Berichtspflichten und

stellen insoweit keine Neuerung dar. Hervorzuheben ist BT 3.2 Tz. 7, nach der auch

gesondert über die sonstigen und als vom Institut wesentlich eingestuften Risiken zu

berichten ist. Gleiches gilt für die Berichtspflichten der Compliance-Funktion; diese

entsprechen der bisherigen Tz. 6 in AT 4.4.2.

Die in BT 3.4 aufgeführten Berichtspflichten der Markt- und Handelsbereiche finden

sich in dieser Form bislang nicht in den MaRisk. Zwar wurden die an verschiedenen

Stellen in den Modulen BTO 1 und BTO 2 aufgeführten Berichtspflichten z. T. in das

neue Modul BT 3.4 verschoben. Mit der Darstellung der Geschäftssituation in den jewei-

ligen Bereichen, die es den zuständigen Geschäftsleitern ermöglichen soll, sich einen

umfassenden Überblick über das jeweilige Geschäftsfeld zu verschaffen und der Tatsa-

che, dass diese Berichtspflichten in einem eigenständigen Modul geregelt werden, wird

die Bedeutung der Markt- und Handelsbereiche hervorgehoben.

Im Einzelnen müssen die Markt- und Handelsbereiche (BT 3.4) berichten über:

Markt- und Handelsbereiche

Adressat • Zuständige Geschäftsleiter

Turnus • Regelmäßig (siehe unten)

Inhalt • Berichte der Marktbereiche im Kreditgeschäft, des Handelsbereichs, des

Liquiditätsrisikomanagements und des Treasury

Financial Services Regulatory Update März 2016 | 10

Marktbereiche im Kreditgeschäft

Turnus • Monatlich

Inhalt • Relevante Informationen, um einen umfassenden Überblick über den Aufbau

von Steuerungsmaßnahmen zu gewinnen

• Überblick über die Engagements der Intensivbetreuung

• Sanierungs- und Abwicklungsengagement

Handelsbereich

Turnus • am nächsten Geschäftstag

Inhalt • Gesamtrisikoposition

• Ergebnisse und Limitauslastungen im Handel

Liquiditätsrisikomanagement

Turnus • am nächsten Geschäftstag beim Vorliegen von wesentlichen untertägigen

Liquiditätsrisiken

Inhalt • Ergebnisse der täglich zu ermittelnden Liquiditätssituation

Treasury

Turnus • monatlich, wöchentlich oder ggf. täglich in Abhängigkeit von der Bedeutung

des Treasury für die Gesamtbanksteuerung

Inhalt • Aktiv-Passiv-Management

• Mandat, Positionen, Laufzeiten und damit verbundene Risiken

Tabelle 3: Berichtspflichten Markt- und Handelsbereiche

BT 3.5 beinhaltet Einzelheiten zu den Berichten zu Auslagerungen:

Auslagerungen

Adressat • Geschäftsleitung

Zuständigkeit • Auslagerungsmanagement

Turnus • Mindestens jährlich

Inhalt • Wesentliche Auslagerungen

• Ergebnisse der Analyse der von den Auslagerungsunternehmen eingereich-

ten Berichte

• Aussage darüber, ob die erbrachten Leistungen der Auslagerungsunterneh-

men den vertraglichen Vereinbarungen entsprechen, ob die ausgelagerten

Aktivitäten und Prozesse angemessen überwacht und gesteuert werden kön-

nen und ob weitere risikomindernde Maßnahmen ergriffen werden sollen

Tabelle 4: Berichtspflichten betreffend Auslagerungen

Sonstige Änderungen

Zusätzlich zu oben genannten Änderungen enthält der Konsultationsentwurf im We-

sentlichen folgende geplante Neuerungen:

• Die Geschäftsstrategie muss Aussagen zum Risikoappetit der Geschäftsleitung

enthalten und große und komplexe Institute müssen zudem Angaben zur Verbesse-

rung und zum Ausbau der Aggregationskapazitäten für Risikodaten machen

(AT 4.2).

• Eine Cooling-Off-Periode soll eingeführt werden, um sicherzustellen, dass bei einem

Wechsel von Mitarbeitern der Handels- und Vertriebsbereiche in Kontrollbereiche

nicht gegen das Verbot der Selbstprüfung und –überprüfung verstoßen wird

(AT 4.3.1 Tz. 1).

• In AT 4.3.3 werden in Tz. 2 nunmehr die Anforderungen an regelmäßige und an-

lassbezogene Stresstests für das Gesamtrisikoprofil (risikoartenübergreifende

Stresstests) detailliert dargelegt.

Weitere relevante

Änderungen

Financial Services Regulatory Update März 2016 | 11

• In AT 4.4.1 Tz. 5 wird klargestellt, dass bei großen und komplexen Instituten (i.d.R.

Bilanzsumme > 30 Mrd. €) der „Chief Risk Officer“ - CRO weder zugleich für den

Bereich Finanzen/Rechnungswesen, noch für den Bereich Organisation/IT verant-

wortlich sein darf.

• Die Compliance-Funktion (AT 4.4.2) soll grundsätzlich in einem von den Bereichen

Markt und Handel unabhängigen Bereich angesiedelt werden und bei großen und

komplexen Instituten als eine eigenständige Organisationseinheit unmittelbar un-

terhalb der Geschäftsleiterebene eingerichtet werden.

• Institute sollen bei einem Wechsel in der Leitung der Risikocontrolling- und der

Compliance-Funktionen sowie der Internen Revision künftig rechtzeitig vorab und

unter Angabe von Gründen das Aufsichtsorgan informieren.

• In AT 7.2 Tz. 4 wird geregelt, dass die Anforderungen an die technisch-

organisatorische Ausstattung aus Modul 7.2 auch beim Einsatz von durch die Fach-

bereiche selbst entwickelten IDV Anwendungen entsprechend zu beachten sind.

• Bei Wohnimmobilienkrediten sind zukünftige, als wahrscheinlich anzusehende Ein-

kommensschwankungen in die Beurteilung der Kapitaldienstfähigkeit einzubezie-

hen. Ferner sind alle für die Kreditgewährung relevanten Informationen vollständig

zu dokumentieren und über die Kreditlaufzeit aufzubewahren (BTO 1.2.1 Tz. 2).

• Bei der Intensivbetreuung sollen auch die Zugeständnisse zugunsten des Kredit-

nehmers (Forbearance) berücksichtigt werden (BTO 1.2.4).

Handlungsbedarf

Die Auswirkungen der geplanten Änderungen der MaRisk sind in wesentlichen Teilen

von der Größe des Instituts abhängig. Das gilt insbesondere für die Anforderungen an

das Datenmanagement, die Datenqualität und die Datenaggregation in AT 4.3.4, aber

auch für bestimmte aufbauorganisatorische und funktionsbezogene Anforderungen.

Diese Anforderungen gelten i.d.R. für Institute und Institutsgruppen mit einer Bilanz-

summe ab 30 Mrd. €, sog. große und komplexe Institute. Auch wenn bei diesen Institu-

ten die Anforderungen von BCBS 239 bereits in Umsetzung sind, bedarf es eines Ab-

gleichs der Anforderungen. Unabhängig von Modul AT 4.3.4 bekommt das Thema Da-

tenmanagement, Datenqualität und Datenaggregation aber entsprechendes Gewicht

durch das neue Modul BT 3 bezüglich der Risikoberichte. Diese müssen auf vollständi-

gen, genauen und aktuellen Daten beruhen, die flexibel für die Erfordernisse des Risi-

komanagements aufbereiten und angepasst werden müssen. BT 3 ist von allen Institu-

ten und Institutsgruppen anzuwenden, unter Berücksichtigung des allgemeinen Propor-

tionalitätsgrundsatzes.

Auch wenn es sich noch um ein Konsultationspapier handelt, ist doch klar ersichtlich, in

welchen Bereichen größerer Umsetzungsbedarf besteht. Insbesondere bei den oben

dargestellten, z. T. neuen oder zumindest geänderten Mindestanforderungen ist nicht

davon auszugehen, dass es durch die Konsultation zu größeren Anpassungen kommen

wird, beruhen diese doch i. d. R. auf Vorgaben des Basler Ausschusses oder auf Leitli-

nien der europäischen Aufsichtsbehörden. Insoweit sollte bereits auf Basis des Konsul-

tationspapiers mit einer Betroffenheitsanalyse begonnen werden. Dabei ist zu beach-

ten, dass auch kleinere Ergänzungen oder Änderungen in Begrifflichkeiten, Anpas-

sungsbedarf auslösen.

Claus-Peter Wagner

Managing Partner Financial

Services Germany

+49 6196 996 26512

[email protected]

Martina Dombek

Quality and Risk Management/

Professional Practice FSO

+49 6196 996 26446

[email protected]

Dr. Max Weber

Regulatory Advisory

+49 711 9881 15494

[email protected]

Dr. Milena Marinova Advisory +49 6196 996 14773

[email protected]

Jürgen Siegl Advisory +49 89 14331 18832

[email protected]

Dr. Elma Sefer Periškić Advisory

+49 711 9881 17008

[email protected]

Wenn Sie unser Regulatory Update in Zukunft nicht mehr erhalten wollen, Sie nicht mit der für den Versand not-wendigen Speicherung und Ver-arbeitung Ihrer persönlichen Daten einverstanden sind oder sich Ihre Kon-taktdaten geändert haben, senden Sie uns bitte eine E-Mail an

[email protected]

EY Assurance | Tax | Transactions | Advisory

Die globale EY-Organisation im Überblick

Die globale EY-Organisation ist einer der Marktführer in der Wirtschaftsprüfung, Steuerberatung, Transaktionsberatung und Managementberatung. Mit unserer Erfahrung, unserem Wissen und unseren Leistungen stärken wir weltweit das Ver-trauen in die Wirtschaft und die Finanz-märkte. Dafür sind wir bestens gerüstet: mit hervorragend ausgebildeten Mitarbei-tern, starken Teams, exzellenten Leistun-gen und einem sprichwörtlichen Kunden-service. Unser Ziel ist es, Dinge voranzu-bringen und entscheidend besser zu ma-chen – für unsere Mitarbeiter, unsere Mandanten und die Gesellschaft, in der wir leben. Dafür steht unser weltweiter Anspruch „Building a better working world“. Die globale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbst-ständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Mandanten. Weitere In-formationen finden Sie unter www.ey.com. In Deutschland ist EY an 22 Standorten präsent. „EY“ und „wir“ beziehen sich in dieser Publikation auf alle deutschen Mitgliedsunternehmen von Ernst & Young Global Limited. © 2016 Ernst & Young GmbH Wirt-schaftsprüfungsgesellschaft All Rights Reserved. ED None

Diese Publikation ist lediglich als allgemeine, unverbindliche

Information gedacht und kann daher nicht als Ersatz für eine

detaillierte Recherche oder eine fachkundige Beratung oder

Auskunft dienen. Obwohl sie mit größtmöglicher Sorgfalt

erstellt wurde, besteht kein Anspruch auf sachliche Richtigkeit,

Vollständigkeit und/oder Aktualität; insbesondere kann diese

Publikation nicht den besonderen Umständen des Einzelfalls

Rechnung tragen. Eine Verwendung liegt damit in der eigenen

Verantwortung des Lesers. Jegliche Haftung seitens der Ernst

& Young GmbH Wirtschaftsprüfungsgesellschaft und/oder

anderer Mitgliedsunternehmen der globalen EY-Organisation

wird ausgeschlossen. Bei jedem spezifischen Anliegen sollte

ein geeigneter Berater zurate gezogen werden.

www.de.ey.com

Ansprechpartner