5. MaRisk-Novelle in Kraft getreten – deutliche Herausforderungen für Kreditinstitute

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 27. Oktober 2017 die 5. MaRisk-Novelle[1] veröffentlicht. Das seit Februar 2016 laufende Konsultationsverfahren wurde damit finalisiert. Die 5. MaRisk-Novelle tritt direkt mit Veröffentlichung in Kraft. Umsetzungszeiträume werden lediglich für Neuerungen eingeräumt – mit Frist bis zum 31.10.2018.[2]

Ziele der 5. MaRisk-Novelle

Mit der Umsetzung der 5. MaRisk-Novelle überführt die BaFin verschiedene internationale Regulierungsinitiativen in deutsches Recht (u. a. „Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung“[3] sowie Anforderungen zur Risikokultur[4]), erweitert die Anforderungen bei bestehenden Regelungen (u. a. in Bezug auf Auslagerungen, den Umgang mit IT-Risiken, die individuelle Datenverarbeitung (sog. IDV) sowie die Einbettung von Forbearance-Maßnahmen in Risikosteuerungsprozesse) und setzt letztlich – wie bei jeder Novelle – Klarstellungen aus Sicht der Aufsicht um.

Die BaFin führt somit die bisherige Aufsichtspraxis für die Regulierung der Säule-II-Anforderungen fort und schafft gemäß Aussage im Anschreiben zur 5. MaRisk-Novelle ein ganzheitliches Rahmenwerk, in dem die Mindestanforderungen an das Risikomanagement gebündelt sind. Die MaRisk-Novelle richtet sich an alle nationalen Kreditinstitute.

Wesentliche Änderungen und neue Anforderungen

Die zentralen Änderungen und Neuanforderungen der 5. MaRisk-Novelle sind in der nachstehenden Abbildung zusammengefasst und sollen im Folgenden intensiver diskutiert werden.

Abbildung 1: Zentrale Änderungen und Neuanforderungen der 5. MaRisk-Novelle

Risikokultur

Nachdem zahlreiche aufsichtliche Veröffentlichungen, wie beispielsweise SREP, die BIS-Guideline „Corporate governance principles for banks“ oder das FSB-Papier „Guidance on Supervisory Interaction with Financial Institutions on Risk Culture“, das Thema Risikokultur bereits thematisierten, verankern nun die MaRisk in AT 3 „Gesamtverantwortung der Geschäftsleitung“ sowie in AT 5 „Organisationsrichtlinien“ entsprechende Anforderungen in nationalem Recht. Das Ziel der Aufsicht ist es, eine nachhaltige Risikokultur in den Instituten zu festigen. Ein in jedem Institut etabliertes und gelebtes Wertesystem soll jedem Mitarbeiter seine Verantwortlichkeiten klar darlegen und Verstöße gegen diese Verantwortlichkeiten deutlich machen. Dazu ist u. a. ein Verhaltenskodex im Sinne AT 5 zu etablieren.

Risikokultur muss dabei von der Geschäftsleitung vorgelebt werden („Tone from the Top“). Daher liegt die Verantwortung für die Entwicklung, Förderung und Integration einer angemessenen Risikokultur in der Gesamtverantwortung der Geschäftsleitung.

Die zentrale Herausforderung für viele Institute ist sicherlich die Verankerung der Risikokultur in allen Prozessen, Dokumentationen sowie auf allen Ebenen. Die Nachvollziehbarkeit und der Nachweis der erfolgreichen Umsetzung der Anforderungen sind vor dem Hintergrund dieses neuen und qualitativ extrem ausgeprägten Handlungskomplexes ebenso fordernd wie aus Prüfungssicht unerlässlich.

Risikodatenaggregation

Nach eigenen Angaben mussten die Aufsichtbehörden „nicht nur während der Finanzkrise, sondern auch in den darauf folgenden Jahren […] feststellen, dass einige größere Institute nicht in der Lage waren, Informationen zu Gesamtexposures gegenüber bestimmten Adressen und in bestimmten Produkten innerhalb eines möglichst kurzen Zeitraums zu generieren, so dass sie nicht schnell genug auf kritische Entwicklungen reagieren konnten.“[5]

Das neu eingeführte Modul AT 4.3.4, mit dem die BaFin bei Einräumung einer dreijährigen Umsetzungsfrist die entsprechenden Anforderungen des BCBS #239 in nationales Recht überträgt, wendet sich ausschließlich an global und anderweitig systemrelevante Institute. Gleichwohl appeliert die BaFin auch an die anderen Institute „im wohlverstandenen Eigeninteresse [zu] prüfen, ob mit Blick auf die Risikodatenaggregationskapazitäten Optimierungsbedarf besteht.“[6]

Die formulierten Anforderungen weisen eine hohe Übereinstimmung mit den Prinzipien 1 bis 6 des Basler Papiers auf, gehen aber in Teilen noch ein Stück darüber hinaus:

  • Ausgestaltung einer Data Governance: Grundsätze für das Datenmanagement, die Datenqualität und die Aggregation von Risikodaten mit eindeutigen Rollen und Verantwortlichkeiten; für alle Prozessschritte sind Verantwortlichkeiten und Kontrollen zu etablieren.
  • Anforderung an eine hohe Datenqualität: Sicherstellung der Genauigkeit, Integrität und Vollständigkeit der Daten sowie Überwachung und Reporting der Datenqualität.
  • Einheitliche Datentaxonomien und Datenarchitektur, klare Namenskonventionen und „Single Identifiers“, die die zeitnahe und korrekte Risikodatenaggregation und das Reporting sicherstellen.
  • Hoher Automatisierungsgrad: Einsatz und Umfang manueller Prozesse und Eingriffe sind zu begründen und zu dokumentieren und auf das inhaltlich notwendige Maß zu beschränken.
  • Fähigkeiten zur schnellen und umfassenden Datenaggregation mit hoher Flexibilität, um Ad-hoc-Informationen und Analysen nach unterschiedlichen Kategorien zu gewährleisten.

Die Erfahrungen aus bisherigen Umsetzungskonzepten zeigen, dass die mehrjährigen Umsetzungsprojekte aus fachlicher und technischer Sicht extrem komplex sind und ein hohes Risiko der zwischenzeitlichen Neustrukturierung aufweisen. Ein holistisches Zielbild und eine konsequente Projektsteuerung sind gemäß einer zeb-Benchmarkstudie zu BCBS #239-Projekten wesentliche Faktoren für erfolgreiche Umsetzungsprojekte. Da die Aufsicht nun explizit einen Abgleich und eine Plausibilisierung der Risikodaten mit Daten aus dem Rechnungswesen und ggf. dem Meldewesen nennt, erweitert sich zumindest für einige Institute der Scope der laufenden fachlichen Harmonisierung.

MaRisk
MaRisk-Novelle 2016 - deutliche Herausforderungen für Kreditinstitute
Die Novellierung der MaRisk erhöht den Handlungsdruck auf Institute. Warum ein frühzeitiger Beginn mit der bankinternen Umsetzung sinnvoll ist.
Weiterlesen »

Reporting

Die bislang an unterschiedlichen Stellen der MaRisk formulierten Anforderungen an das Reporting wurden in einem neuen Abschnitt zusammengefasst (BT 3) und erweitert (u. a. die Forderung nach Risikoberichten pro Quartal, die z. B. Angaben zu Stresstests, Risikokonzentrationen sowie der Angemessenheit der Kapitalausstattung umfassen müssen).

Die wesentliche Änderung ist jedoch die verschärft aufgenommene Formulierung in BT 3.1, Textziffer 1, dass die Risikodaten für die Risikoberichterstattung vollständig, genau und aktuell sein müssen. Die Aufsicht betont in ihrem Anschreiben zur 5. MaRisk-Novelle, dass hiermit nicht die BCBS #239-Anforderungen für LSIs durch die „Hintertür“ eingeführt werden sollen. Jedoch auch ohne konkreten Bezug zum AT 4.3.4 ist die Anforderung hinsichtlich vollständiger, genauer und aktueller Risikodaten ein neuer und verschärfter Bestandteil der 5. MaRisk-Novelle.

Die Risikoberichterstattung muss zudem ausreichend flexibel ausgestaltet sein, um auf aktuelle Situationen am Markt zeitnah reagieren zu können. Diese Anforderung umfasst Stresstestings wie auch Ad-hoc-Reportings. Aus diesen Gründen ist fraglich, wie Institute diese Anforderung ohne eine wirklich gut funktionierende Risikodatenaggregationsfähigkeit erfüllen können. Dies beinhaltet eine angemessene IT-Infrastruktur mit granularer Datenhaltung sowie eine hohe Datenqualität.

Parallel beobachten wir in Häusern aller Größenordnungen, dass die Aufsichtsbehörden vermehrt Feststellungen zur Datenqualität, Datenkonsistenz, Risikodatenaggregationsfähigkeit sowie Risikoberichterstattung treffen. Somit kann davon ausgegangen werden, dass wenngleich nicht die strenge Umsetzung der BCBS #239-Anforderungen für LSIs gefordert wird, so doch in künftigen Aufsichtsprüfungen sehr wohl die Qualität der Risikoberichterstattung u. a. anhand von Datenqualität, Aktualität oder Konsistenz eingehend geprüft werden wird.

Abbildung 2: Geänderte Anforderungen an die Risikoberichterstattung

IT-Anforderungen

Während die Risiken im IT-Betrieb bisher in der Regel implizit innerhalb der operationellen Risiken betrachtet und gesteuert wurden, fordern die MaRisk nun für diese Risikoart eigene, angemessene Überwachungs- und Controllingsprozesse einzurichten. Betrachtet man das Thema aus Sicht der IT, bedeutet dies umgekehrt, dass IT-Managementprozesse künftig enger mit den Gesamtbankrisikosteuerungs- und -controllingprozessen der Bank verzahnt werden müssen.

Zahnräder als Metapher für MaRisk
MaRisk-Konformität in Fusionsprozessen
Fusionsprozesse stehen zunehmend stärker im Fokus der Aufsicht - insbesondere MaRisk Vorgaben zu beachten.
Weiterlesen »

Dazu gehören insbesondere die Festlegung von IT-Risikokriterien, die Identifikation von IT-Risiken, die Festlegung des Schutzbedarfs, daraus abgeleitete Schutzmaßnahmen für den IT-Betrieb sowie die Festlegung entsprechender Maßnahmen zur Risikobehandlung und -minderung. Beim Bezug von Software sind die damit verbundenen Risiken zu bewerten und je nach Art und Einsatzgebiet mitigierende Maßnahmen zu ergreifen.

Da in allen Instituten in den Fachbereichen selbst entwickelte Anwendungen (Individuelle Datenverarbeitung – IDV, End-user Computing – EUC) zum Einsatz kommen (insbesondere MS Excel und MS Access), ist die explizite Erwähnung solcher Software im Modul AT 7.2 besonders zu beachten. Denn hier betont die Aufsicht, dass je nach Kritikalität der unterstützten Geschäftsprozesse und der Bedeutung der IDV für diese Prozesse diese Anwendungen die gleichen Anforderungen erfüllen müssen wie bisher schon zentral bereitgestellte IT-Systeme (EDV).[7]

Daraus ergibt sich für einige Häuser noch Handlungsbedarf, von der vollumfänglichen Inventarisierung[8] und Schutzbedarfsfeststellung für die IDV über die adäquate Dokumentation und Berechtigungsvergabe bis hin zu getrennten Umgebungen für Entwicklung, Test und Produktion sowie entsprechenden Anpassungen der Governance.

Im Umgang mit diesen verschärften – oder zumindest konkretisierten Anforderungen – an IDV gibt es grundsätzlich 3 Strategien:

  1. Ablösung der IDV zugunsten von zentral und formal gemanagten EDV-Anwendungen
  2. Eine schriftliche IDV-Richtlinie ergänzt um manuelle Kontrollschritte
  3. Der Einsatz von „spreadsheet management software“ von z. B Cimcon, Finsbury Solutions oder Stromwerken

Während heute die meisten Häuser Strategie 2 bevorzugen, erwarten wir eine fortschreitende Entwicklung in Richtung „Ablösung durch EDV“ – und falls dies nicht wirtschaftlich sinnvoll erscheint, einen verstärkten Einsatz von IDV-Monitoring- und -Steuerungstools.

Risikotragfähigkeit/Validierung

Mit der 5. Novellierung der MaRisk gehen gesteigerte Anforderungen an die Qualität sowie die Transparenz der Methoden und Verfahren zur Risikotragfähigkeit (RTF) einher. Zudem fordert die Novelle, dass Entwicklung und Validierung bei komplexer Methodik unabhängig erfolgen und jährlich validiert werden.

Um die Transparenz zu verbessern, müssen Banken jederzeit einen vollständigen und aktuellen Überblick über eingesetzte RTF-Methoden und -Verfahren gewährleisten. Zusätzlich werden durch das neue RTF-Konzept der Aufsicht („Aufsichtliche Beurteilung bankinterner Risikotragfähigkeitskonzepte und deren prozessualer Einbindung in die Gesamtbanksteuerung („ICAAP“) – Neuausrichtung“) deutliche Anpassungen in der RTF-Methodik und in deren Dokumentation erforderlich.[9]

Die geforderte Unabhängigkeit bei der Methodenentwicklung und ‑validierung kann unter Berücksichtigung des Proportionalitätsprinzips unterschiedlich ausgestaltet werden. Eine Trennung auf der Ebene der Entscheidungsträger/Mitarbeiter kann bei kleineren Banken bereits ausreichend sein. Bei größeren und komplexeren Banken ist eine Funktionstrennung auf Gruppen- bzw. Abteilungsebenen notwendig.

Auslagerungen

Die vorgenommenen Überarbeitungen hinsichtlich Auslagerungen (vormals Outsourcing genannt) sind eine zentrale Erweiterung der neuen MaRisk. Die Aufsicht hat mit den Änderungen in Modul AT 9 eine Klarstellung der aufsichtlichen Praxis geschaffen, aber auch Grenzen der Auslagerbarkeit verdeutlicht. Erleichterungen für kleine Institute und Tochterunternehmen einer Institutsgruppe wurden hierbei berücksichtigt. Der Auslagerungsbegriff selbst wurde weiter konkretisiert, insbesondere im Hinblick auf die Verwendung von Software: Der isolierte Bezug von Software, einschließlich zugehöriger Unterstützungsleistungen, ist regelmäßig als sonstiger Fremdbezug zu klassifizieren. Dies gilt nicht für Software zum Risikomanagement und für Software mit wesentlicher Bedeutung für bankgeschäftliche Aufgaben; hier sind Unterstützungsleistungen in der Regel als Auslagerung anzusehen. Gleiches gilt für den Betrieb dieser Software durch Dritte.[10]

Ein zweiter Schwerpunkt des Moduls AT 9 der neuen MaRisk ist das Management der mit einer Auslagerung verbundenen Risiken sowie das Verhindern des Verlusts von Kontroll- und Durchgriffsrechten im Zuge der Auslagerung. Eine vollständige Auslagerung des Risikocontrollings, der Compliancefunktion, oder der internen Revision ist daher nur bei nicht wesentlichen Tochterunternehmen einer Institutsgruppe und bei kleinen Instituten möglich. Unabhängig davon ist auf jede mögliche Auslagerung das Proportionalitätsprinzip bei der Analyse von Art, Umfang, Komplexität und Risikogehalt der auszulagernden Funktion anzuwenden. Die Aufsicht betont zudem, dass eine wirksame Überwachung der Auslagerung, einschließlich Weiterverlagerungen, jederzeit gewährleistet sein muss. Dies beinhaltet nicht nur spezifische Festlegungen im Auslagerungsvertrag, sondern auch das Vorhalten von Kenntnissen und Erfahrungen im auslagernden Institut.

Fusion von Banken und MaRisk-Anforderungen
Steigende aufsichtsrechtliche Anforderungen erhöhen auch erforderliche Professionalität im Rahmen von Fusionsprozessen.
Weiterlesen »

Auch an die mögliche Beendigung einer wesentlichen Auslagerung und die damit verbundenen Abläufe stellen die neuen MaRisk konkrete Anforderungen. Für eine reguläre Beendigung sind Vorkehrungen zur Sicherstellung von Kontinuität und Qualität von Aktivitäten und Prozessen zu gewährleisten, für eine irreguläre Beendigung sind Ausstiegsprozesse und Handlungsoptionen oder Notfallplanungen festzulegen.

Die adäquate Steuerung und Überwachung aller mit einer Auslagerung verbundenen Risiken sind wesentlicher Bestandteil der MaRisk. Klare Verantwortlichkeiten sind hierfür zu definieren. Bei größeren Instituten oder bei umfangreichen Auslagerungen muss ein zentrales Auslagerungsmanagement eingerichtet werden, welches gegenüber der Geschäftsleitung mindestens jährlich berichtspflichtig ist.

Durch die gestiegenen Anforderungen der überarbeiteten MaRisk, insbesondere in Bezug auf das Auslagerungsmanagement, wird der mit Auslagerungen einhergehende Aufwand in den Instituten steigen. Die Behandlung von im Risikomanagement verwendeter Drittsoftware als Auslagerungstatbestand wird zudem viele Banken vor die Herausforderung stellen, die Voraussetzungen für die Verwendbarkeit der Software zu schaffen; gleiches gilt im Übrigen aufgrund der neuen BAIT für alle IT-Dienstleistungen.[11]

Weitere Änderungen im Rahmen der Novellierung

Aufbau- und Ablauforganisation

Die erweiterten Anforderungen an die Aufbau- und Ablauforganisation konkretisieren weitestgehend Fragestellungen zur organisatorischen Trennung der Risikocontrolling- und Compliancefunktion, die in der Vergangenheit häufig bilateral zwischen Instituten und der Aufsicht geklärt wurden (i. d. R. im Rahmen von aufsichtlichen Prüfungen).

Kreditprozess

Im Kreditprozess ergeben sich vor allem Änderungen in der Vorgehensweise zur Sicherheitenbewertung und zur Ermittlung der Kapitaldienstfähigkeit. Neben der Nutzung gängiger Wertermittlungsverfahren wird bei Objekt- und Projektfinanzierungen, deren Sicherheiten/Cashflows sich maßgeblich aus dem Objekt selbst ergeben, eine verstärkte Überprüfung der Objekte bereits während der Entstehungsphase gefordert (Bautenstandskontrolle). Dies gilt auch für die weitere Kreditbearbeitung, bei der anhand institutsspezifischer Grenzen eine regelmäßige Überprüfung der Werthaltigkeit der Sicherheiten durchzuführen ist. Dabei dürfen für Immobilinsicherheiten auch weiterhin Marktschwankungskonzepte als Indikator für eine Überprüfung eingesetzt werden – der alleinige Einsatz eines Marktschwankungskonzepts zur Überprüfung der Werthalitigkeit von Immobiliensicherheiten wird allerdings als nicht geeinget eingestuft.

In Bezug auf die Kapitaldienstfähigkeit betonen die MaRisk die Relevanz der Zukunftsperspektive. So sind die zukünftige Vermögens- und Liquiditätssituation inklusive wahrscheinlicher Einkommensschwankungen des Kreditnehmers bei der Prüfung der Kapitaldienstfähigkeit zu berücksichtigen.

Forbearance

Die MaRisk fordern erstmals die Berücksichtigung von Zugeständnissen bzgl. Rückzahlungsmodalitäten zugunsten eines Kreditnehmers („Forbearance“) im Rahmen des Risikomanagements. So sind Forbearance-Kriterien künftig auch bei der Entscheidung zur Intensivbetreuung, Sanierung und Abwicklung von Konten zu berücksichtigen. Sie sollen sowohl in die Risikofrüherkennung als auch in die Risikoklassifizierungsverfahren eingebunden werden und bei der Bildung der Risikovorsorge Eingang finden. Die Definition von Forbearance wird seitens der MaRisk nicht vorgegeben und kann institutsindividuell ausgestaltet werden. Da Forbearance jedoch auch im Rahmen von FinRep und AnaCredit relevant ist, sollten bei der institutsinternen Definition die bestehenden aufsichtlichen Anforderungen berücksichtigt und soweit wie möglich harmonisiert werden. Für Banken, die nach IFRS bilanzieren, ist es bei der Definition von Forbearance ebenfalls empfehlenswert, die Spezifika von IFRS 9 in Bezug auf Forbearance zu berücksichtigen.

Liquiditätsrisiken

Im Rahmen der Liquiditätssteuerung sind künftig belastete Vermögenswerte („Asset Encumbrance“) zeitnah zu identifizieren und bei der Beurteilung der Liquidität sowie im Notfallplan zu berücksichtigen. Neu ist ebenso die Anforderung, einen internen Refinanzierungsplan aufzustellen. Dieser soll für einen mehrjährigen Zeitraum erstellt werden und die Strategie, den Risikoappetit und das Geschäftsmodell der Bank widerspiegeln. Im Refinanzierungsplan sollen zudem mögliche Veränderungen (im wirtschaftlichen Umfeld und der eigenen Geschäftstätigkeit) oder negative Entwicklungen berücksichtigt werden.

Die verschärften Anforderungen in Bezug auf die Steuerung des Intraday-Liquiditätsrisikos stellen insbesondere die großen und komplexen Institute vor nicht zu unterschätzende Herausforderungen.

Fazit

Die 5. MaRisk-Novelle bringt eine Vielzahl von Neuerungen und Änderungen mit sich – die Veränderungen gegenüber dem zweiten inoffziellen Zwischenentwurf von Juni 2016 sind eher marginal und betreffen vor allem Fragen der Proportionalität. Darüber hinaus sind weitergehende Regulierungsinitiaitven, wie z. B. die BAIT, ebenfalls einzuwerten und zu beachten. In besonderem Maße sind kleinere und mittlere nationale Institute betroffen.

Vor dem Hintergrund des aktuellen Kostendrucks wird für alle Institute die zentrale Herausforderung sein, angemesse, prüfungssichere und institutsspezifische Lösungen für die relevanten Handlungsfelder zu finden. Im Hinblick auf die zum Teil extrem qualitativ ausgeprägten Anforderungen, wie z.B. in Bezug auf die Risikokultur, wird dies eine anspruchsvolle Aufgabe werden.

[1] BaFin/Deutsche Bundesbank: Aufsichtliche Beurteilung bankinterner Risikotragfähigkeitskonzepte und deren prozessualer Einbindung in die Gesamtbanksteuerung („ICAAP“) – Neuausrichtung, vom 24.05.2018.

[2] Abkürzung „Risikotragfähigkeit“ = RTF.

[3] BaFin: Aufsichtliche Beurteilung bankinterner Risikotragfähigkeitskonzepte, Dezember 2011.

[4] EZB: Leitfaden der EZB für den internen Prozess zur Beurteilung der Angemessenheit des Kapitals (Internal Capital Adequacy Assessment Process – ICAAP), Konsultationsversion von März 2018; finale Version ist für Sommer/Anfang Herbst 2018 avisiert.

[5] Abkürzung „weniger signifikante Institute“ = LSI, in Analogie zur Terminologie des Supervisory Review and Evaluation Process („SREP“).

[6] zeb.BankingHub (Bröker, Morgenstern, Uhlig): Risikotragfähigkeitskonzept im Umbruch, Februar 2017.

[7] Sämtliche Säule-I-Kennzahlen inkl. Höchstverschuldungsquote und Großkreditgrenzen.

[8] Darüber hinausgehende Stresstests sind ergänzend durchzuführen.

[9] Näheres zu den Kapitaldefinitionen, wie z. B. Eigenmittelzielkennziffer, siehe Deutsche Bundesbank, Monatsbericht Oktober 2017.

[10] Siehe Vortrag der BaFin, Neufassung des RTF-Leitfadens – Normative Perspektive, Bonn, den 29. Mai 2018.

[11] Vereinfachend: RoRaC = Ergebnisbeitrag/Kapitalbedarf.

Sprechen Sie uns gerne an!

Ulf Morgenstern / Autor BankingHub

Dr. Ulf Morgenstern

Senior Manager Office Münster

Dr. Fedor-Immanuel Rahn

Senior Manager Office Frankfurt

Stephan Sahm

Senior Manager Office Frankfurt
Christian Witte/ Autor BankingHub

Christian Witte

Senior Manager Office Münster

Nicole Nowacka

Manager Office München

Artikel teilen

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

BankingHub-Newsletter

Analysen, Artikel sowie Interviews rund um Trends und Innovationen
im Banking alle 2 Wochen direkt in Ihr Postfach