MaRisk-Novelle 2016 – deutliche Herausforderungen für Kreditinstitute Warum ein frühzeitiger Beginn mit der bankinternen Umsetzung der neuen MaRisk sinnvoll ist

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 19. Februar 2016 das Konsultationspapier (02/2016) zur fünften Novelle der Mindestanforderungen an das Risikomanagement (MaRisk) veröffentlicht. Im Rahmen des Konsultationsverfahrens kann zu diesem nun bis zum 27. April 2016 Stellung genommen werden. Mit der Verabschiedung der Novelle wird noch in 2016 gerechnet.

Aufgrund der Finanzmarktkrise und der damit verbundenen hohen Bedeutung eines hochperformanten Risikomanagements und den Erfahrungen aus dem AQR hat die Aufsicht in dem vorliegenden Entwurf den Fokus auf folgende Themen gelegt: Entwicklung einer Risikokultur, erweiterte Anforderungen an die Risikoberichterstattung der Fachbereiche, Anforderungen an das Datenmanagement, die Datenqualität bei der Aggregation von Risikodaten, umfangreiche Berücksichtigung von IT Risiken und IDVs und IT-Outsourcing im Risikomanagement, Prüfungsplanung und organisatorische Vorgaben zur Vermeidung von Interessenskonflikten. Hierbei werden im Kern wesentliche internationale Regelungen, insbesondere BCBS 239, in nationales Recht übernommen.

Damit gibt die fünfte MaRisk Novelle entscheidende Impulse an die Geschäftsleitung (verstärkte Einbindung und Berichtspflichten), an das Risikomanagement (u. a. Abbildung IT Risiken und Forbearance) sowie CIOs und COOs (Datenmanagement und Datenqualität, IDVs und Outsourcing).

Bisher galten die Anforderungen der BCBS 239 an die Risikodatenaggregation und das Risikoreporting nur für global systemrelevante Institute (G-SIBs). Nunmehr werden diese auch für große und komplexe Institute (D-SIBs), die ab einer Bilanzsumme von 30 Mrd. EUR definiert sind, verbindlich vorgeschrieben. Unter Anwendung des Proportionalitätsprinzips ist davon auszugehen, dass wesentliche Eckpunkte dieser Regelungen zukünftig von allen Instituten zu einem Mindestmaß zu berücksichtigen sind. Die Erfahrung und die Reviewergebnisse der EZB zeigen, dass zur Erfüllung der Anforderungen grundsätzliche strukturelle und komplexe Änderungen auf allen Ebenen der Bank notwendig sind. Dies umfasst die Verankerung der Prinzipien z. B. in der Risikomanagement- und der IT-Strategie sowie die Anpassung von Architektur, Organisation und Prozessen.

Die zentralen Änderungen und Neuanforderungen der Novellierung der MaRisk sind in der folgenden Abbildung zusammengefasst.

Abbildung 1: 5. MaRisk-Novelle – Zusammenfassung der wesentlichen Änderungen

Risikokultur

Nachdem zahlreiche aufsichtliche Veröffentlichungen wie beispielsweise SREP oder die BIS-Guidelines „Corporate governance principles for banks“ das Thema Risikokultur thematisieren, verankern nun die Mindestanforderungen entsprechende Anforderungen aus der CRD IV. Im Wesentlichen wird verlangt, dass die Entwicklung, Förderung und Integration einer angemessenen Risikokultur sowohl in der Gesamtverantwortung der Geschäftsleitung als auch in der Verantwortung eines jeden einzelnen Geschäftsführers liegt.

Unter Risikokultur wird der Umgang eines jeden Mitarbeiters mit Risiken in der täglichen Arbeit verstanden. Dazu gehört sowohl die Identifizierung als auch der bewusste Umgang mit Risiken im Rahmen des von der Geschäftsleitung eingeräumten Risikodeckungspotenzials aufgrund des institutsspezifischen Risikoappetits. Zudem soll die Geschäftsleitung eine offene und transparente Risikokommunikation im Haus ermöglichen und fördern.

Die zentrale Herausforderung für viele Institute stellt sicherlich die vollständige und dadurch umfangreiche Verankerung der Risikokultur in allen Prozessen, Dokumentationen sowie auf allen Ebenen dar. Die Nachvollziehbarkeit und der Beweis einer vollständigen Compliance sind dabei ebenso fordernd wie unerlässlich. Hierfür könnte beispielsweise ein erstmaliger Prüfprozess im Rahmen eines strukturierten Self-Assessments durchgeführt werden, der die Verankerung mittels zentraler Risikokulturindikatoren bewertet und einschätzt. Dieser Prozess sollte anschließend in ein laufendes Erfolgscontrolling überführt werden.

Reporting – Anforderungen an die Risikoberichterstattung

Die bislang an unterschiedlichen Stellen der MaRisk formulierten Anforderungen an das Reporting wurden in einen neuen Abschnitt zusammengefasst und erweitert (BT 4.3). Neu gefordert werden direkte Berichterstattungen der Markt- und Handelsbereiche an die Geschäftsführung, wobei der Handelsbereich auf Berichte des Risikocontrollings zurückgreifen darf. Das bedeutet für die Kreditbereiche der Banken, dass Daten ausgewertet, aufbereitet und entsprechende Reportingprozesse zu etablieren sind. Daneben erfolgen aus Sicht der Aufsicht eine Reihe von Klarstellungen, so beispielsweise die Forderung nach quartalsweisen Risikoberichten, die u. a. Angaben zu Stresstests, Risikokonzentrationen sowie der Angemessenheit der Kapitalausstattung umfassen müssen und in Stressphasen auch in kürzeren Zyklen zu erstellen sind. Hier gilt es zu prüfen, ob alle Anforderungen heute bereits von den Instituten umfassend erfüllt werden.

Als wesentliche Neuerung bei den Reportinganforderungen ist die Umsetzung der Prinzipien 7–11 der BCBS 239 zu werten; hierbei wird in der vorliegenden Konsultationsfassung keine Unterscheidung zwischen unterschiedlichen Institutsgrößen vorgenommen. Die Risikoberichte sollen dabei „auf vollständigen, genauen und aktuellen Daten beruhen, die flexibel für die Erfordernisse des Risikomanagements aufbereitet und angepasst werden können“ – zudem wird noch eine Zukunftsorientierung, Verständlichkeit und ein angemessenes Verhältnis von qualitativen und quantitativen Inhalten gefordert. Damit setzen die neuen MaRisk die Anforderungen von BCBS 239 nicht nur vollständig um und erweitern diese in Teilen, sondern erweitern vor allem den Kreis der betroffenen Institute um die „Less significant instituts“ (LSIs). Es erscheint in diesem Zusammenhang fraglich, wie beispielsweise Anforderungen an eine flexible Anpassbarkeit der Berichte und die vom Ad-hoc-Reporting in einem zeitlich angemessenen Rahmen eingehalten werden können, wenn nicht gleichzeitig automatisierte IT-Systeme mit granularer Datenhaltung verfügbar sind – also letztlich die Anforderungen des neuen Abschnitts zur Datenqualität und Datenaggregation weitgehend auch von den LSIs eingehalten wird.

Datenmanagement, Datenqualität und Aggregation von Risikodaten

Die Umsetzung der sog. BCBS 239-Anforderungen in deutsches Recht gilt analog zu ausgewählten Anforderungen im Liquiditätsrisiko nur für große und komplexe Institute, die ab einer Bilanzsumme von 30 Mrd. EUR definiert sind (und damit unter die EZB-Aufsicht fallen). Als Geltungsbereich definieren die MaRisk die Gruppenebene sowie wesentliche gruppenangehörige Einzelinstitute.

Die Anforderungen selbst weisen eine hohe Übereinstimmung mit den Prinzipien 1–6 des Basler Papiers auf, gehen aber in Teilen noch ein Stück darüber hinaus. Wesentliche Anforderungen dieses neuen Abschnitts der MaRisk sind (AT 4.3.4):

  • Ausgestaltung einer Data Governance: Grundsätze für das Datenmanagement, die Datenqualität und die Aggregation von Risikodaten mit eindeutigen Rollen und Verantwortlichkeiten.
  • Anforderung an eine hohe Datenqualität: Sicherstellung der Genauigkeit, Integrität und Vollständigkeit der Daten sowie Überwachung und Reporting der Datenqualität.
  • Einheitliche Datentaxonomien und Datenarchitektur, klare Namenskonventionen und „Single Identifiers“, die die zeitnahe und korrekte Risikodatenaggregation und ‑reporting sicherstellen.
  • Hoher Automatisierungsgrad: Der Einsatz und der Umfang manueller Prozesse und Eingriffe sind zu begründen und zu dokumentieren und auf das inhaltlich notwendige Maß zu beschränken.
  • Fähigkeiten zur schnellen und umfassenden Datenaggregation mit hoher Flexibilität, um Ad-hoc-Informationen und Analysen nach unterschiedlichen Kategorien zu gewährleisten (mindestens nach Geschäftsfeld, Konzerngesellschaft, Art des Vermögenswerts, Branche und Region).

Daneben formulieren die MaRisk analog zum Basler Papier Anforderungen an ein zeitnahes Reporting, insbesondere in Stressphasen, wobei eine konkrete und eindeutige Definition des maximal zulässigen Zeitraums für ein zeitnahes Reporting nicht vorgenommen wird.

Als eine Konkretisierung gegenüber dem Basler Papier ist die explizit geforderte Aggregation von Risikodaten für Kreditrisiken auf Gruppenebene zu bewerten. Als Verschärfung der Basler Prinzipien ist der geforderte Abgleich von Risiko- mit Accountingdaten zu sehen – zudem soll ein Abgleich mit Daten des Meldewesens möglich sein. Eine weitere deutliche Verschärfung und erfahrungsgemäß ein Aufwandstreiber bei Umsetzung der BCBS 239-Anforderungen bildet die Anforderung, dass Ad-hoc-Analysen bis auf Einzelgeschäftsebene möglich sein müssen. Dies erfordert das Vorhalten granularer Daten.

Ein Umsetzungshorizont wird derzeit nicht genannt – die Umsetzungsfrist vom Basler Ausschuss für die GSIBs betrug drei Jahre. Auch wenn kleinere Institute (LSIs) nicht direkt den Anforderungen dieses Moduls unterliegen, steht zu erwarten, dass die Aufsicht auch hier eine gewissen Erwartungshaltung hat bzw. aufbauen wird – diese zeigt sich dann oftmals nur über bankaufsichtliche Prüfungen.

IT-Risiken und IDV

IT-Risiken sind künftig als eigene Risikoart in die Risikosteuerungs- und Controllingprozesse einzubinden. IT-Managementprozesse, die bisher in der Regel isoliert bestanden, müssen somit – nicht nur für OpRisk – künftig mit den Risikosteuerungs- und Controllingprozessen verzahnt werden. Des Weiteren wurden die Anforderungen an selbst entwickelte Anwendungen (IDV) nochmals deutlich verschärft. Sie müssen künftig den bestehenden Anforderungen an IT-Systeme genügen. Dies impliziert insbesondere hohe Anforderungen an die technische und funktionale Ausgestaltung, die Prozesse und die Dokumentation:

Abbildung 2: IT- und IDV-Anforderungen

Besonderes Augenmerk wird seitens der Aufsicht hierbei auf den Schutzbedarf und die Datensicherheit gelegt.

Die deutlich gestiegenen Anforderungen an IDV-Anwendungen erfordern eine Erweiterung der bisherigen Governance-Regelungen und die Ausgestaltung neuer Prozesse. Der bisherige Freiraum der Fachbereiche bei der individuellen Entwicklung von Anwendungen wird deutlich eingeschränkt – die Anwendung von Excel- und Access-basierten Lösungen wird vor diesem Hintergrund deutlich eingeschränkt werden müssen.

Methodik der Risikotragfähigkeit (RTF)

Die MaRisk stellen künftig höhere Anforderungen an die Qualität sowie die Transparenz der RTF-Methoden und Verfahren und fordert zudem eine Funktionstrennung bei der Entwicklung sowie Validierung von komplexer Methodik.

Zur Erhöhung der Qualität der eingesetzten RTF-Methoden und Verfahren sollen diese einer jährlich durchzuführenden kritischen Analyse unterzogen werden. Im Rahmen dieser Analyse soll insbesondere die Stabilität und Konsistenz aber auch die Aussagekraft der Risikoermittlung geprüft werden.

Um die Transparenz zu verbessern, sind Banken dazu aufgefordert, jederzeit einen vollständigen und aktuellen Überblick über eingesetzte RTF-Methoden und Verfahren zu gewährleisten. Dies bedingt zum einen, dass Methoden und Verfahren nachvollziehbar dokumentiert sein müssen und zum anderen, das die Dokumentationen regelmäßig mit der gelebten Praxis abgeglichen und ggf. aktualisiert werden müssen.

Die geforderte Funktionstrennung bei Methodenentwicklung und ‑validierung kann entsprechend des Proportionalitätsprinzips unterschiedlich ausgestaltet werden. So kann die Trennung auf Ebene der Entscheidungsträger/Mitarbeiter bei kleineren Banken bereits ausreichend sein. Bei komplexeren Banken sollte die Funktionstrennung hingegen auf Gruppen- bzw. Abteilungsebenen erfolgen.

Diese Neuerung stellt vor allem kleinere Banken aufgrund ihrer geringen personellen Spezialisten-Ressourcen vor große Herausforderungen.

Auslagerung

Auslagerungen sind ein zentrales Thema der überarbeiteten MaRisk. Der Auslagerungsbegriff selbst wurde im Rahmen der Novellierung weiter konkretisiert und die Voraussetzungen für Auslagerungen erweitert:

  • Künftig ist die Verwendung von Drittsoftware ein Auslagerungstatbestand, sofern folgende Bedingungen erfüllt sind:
    • Es handelt sich dabei um Risikomanagementsoftware (inklusive Reporting) oder um ein Kernbanksystem und
    • die Software ist institutsindividuell angepasst.
  • Eine Vollauslagerung der Risikocontrollingfunktion ist nicht mehr gestattet, zudem ist die Möglichkeit zur Auslagerung weiterer Funktionen abhängig von der Größe und Komplexität des Instituts.
  • Die auslagernde Bank muss fundierte Kenntnisse und Erfahrungen bzgl. der ausgelagerten Kernbank- bzw. Kontrollbereiche aufweisen und eine potenzielle reibungslose Rückverlagerung gewährleisten.
  • Die auslagernde Bank muss zudem eine Ausstiegsstrategie formulieren und die Auslagerungen im Rahmen der Notfallplanung berücksichtigen.

Des Weiteren müssen Banken ein Auslagerungsmanagement implementieren, welches einen Gesamtüberblick über die ausgelagerten Aktivitäten sicherstellt, Kontroll- und Überwachungsaufgaben übernimmt und mindestens jährlich einen Bericht an den Vorstand verfasst. Im Rahmen des Auslagerungsmanagements sind zudem regelmäßige und anlassbezogene Risikoanalysen unter Berücksichtigung von Risikokonzentrationen und Weiterverlagerungsrisiken zu erstellen.

Durch die gestiegenen Anforderungen – insbesondere an das Auslagerungsmanagement – wird der mit Auslagerungen einhergehende Aufwand bei den Banken deutlich steigen. Die Behandlung von Drittsoftware, die im Risikomanagement verwendet wird, als Auslagerungstatbestand wird zudem viele Banken vor die Herausforderung stellen, die Voraussetzungen für die Verwendbarkeit der Software nachträglich zu schaffen.

Weitere Änderungen im Rahmen der Novellierung

Interne Revision

Auch die Anforderungen an die die interne Revision unterliegen einer deutlichen Weiterentwicklung und Veränderung. Das Aufsichtsorgan ist künftig frühzeitig und unter Angaben der Gründe über den Wechsel des Leiters der Internen Revision zu informieren. Zudem bestehen für Mitarbeiter, die in die Revision wechseln, ein Selbstprüfungsverbot (Cooling-off-Periode) für einen Zeitraum von mindestens einem Jahr, innerhalb derer sie keine vorherigen Tätigkeiten aus ihrer ursprünglichen Organisationseinheit prüfen dürfen. Ein neuer Prüfungsschwerpunkt ist dabei die Analyse des zukünftigen Risikopotenzials von Aktivitäten und Prozessen im Rahmen jeder Prüfung.

Die wesentlichen Herausforderungen werden künftig in dem erweiterten Prüfprozess liegen. Insbesondere die zukunftsorientierte Risikoeinschätzung muss zur Erfüllung der neuen Anforderungen anhand von nachvollziehbaren und somit prüfungssicheren Kriterien und Kennzahlen erfolgen.

Aufbau- und Ablauforganisation

Die erweiterten Anforderungen an die Aufbau- und Ablauforganisation konkretisieren weitestgehend Fragestellungen zu der organisatorischen Trennung der Risikocontrolling- und Compliance-Funktion, die in der Vergangenheit häufig bilateral zwischen Instituten und der Aufsicht geklärt wurden (i.d.R. in Rahmen von aufsichtlichen Prüfungen).

Kreditprozess

Für die Ermittlung von Sicherheitenwerten legen die MaRisk verschärfte Vorgaben fest, zudem werden die Anforderungen an die Bestimmung der Kapitaldienstfähigkeit eines Kreditnehmers konkretisiert.

Bei der Sicherheitenbewertung ist künftig auf gängige Wertermittlungsverfahren (z. B. bei Immobiliensicherheiten: Substanzwert-, Ertragswert- und Vergleichswertverfahren) abzustellen. Marktschwankungskonzepte zählen nicht dazu und dürfen nur als Indikator nicht aber als Wertermittlungsverfahren selbst eingesetzt werden. Dies wird voraussichtlich insbesondere bei Anbietern von Baufinanzierungen zu einem deutlichen Mehraufwand bei der Sicherheitenbewertung führen, da diese derzeit oft auf Marktschwankungskonzepte zurückgreifen.

Bei Immobilienfinanzierungen sind ab einer von der Bank festzulegenden Grenze Objektbesichtigungen durchzuführen. Bei Objekt- und Projektfinanzierungen werden außerdem Baustandskontrollen in regelmäßigen Abständen gefordert und erhöhen ebenfalls den Aufwand bei der Bewertung der Immobiliensicherheit.

In Bezug auf die Kapitaldienstfähigkeit betonen die MaRisk die Relevanz der Zukunftsperspektive. So sind die zukünftige Vermögens- und Liquiditätssituation inklusive wahrscheinlicher Einkommensschwankungen des Kreditnehmers bei der Prüfung der Kapitaldienstfähigkeit zu berücksichtigen.

Forbearance

Die MaRisk fordern erstmals die Berücksichtigung von Zugeständnissen bzgl. Rückzahlungsmodalitäten zugunsten eines Kreditnehmers („Forbearance“) im Rahmen des Risikomanagements. So sind Forbearance-Kriterien künftig auch bei der Entscheidung zur Intensivbetreuung, Sanierung und Abwicklung von Konten zu berücksichtigen. Sie sollen in die Risikofrüherkennung als auch in die Risikoklassifizierungsverfahren eingebunden werden und bei der Bildung der Risikovorsorge Eingang finden. Die Definition von Forbearance wird seitens der MaRisk nicht vorgegeben und kann institutsindividuell ausgestaltet werden. Da Forbearance jedoch auch bereits im Rahmen von FinRep und AnaCredit relevant ist, sollten bei der institutsinternen Definition die bestehenden aufsichtlichen Anforderungen berücksichtigt werden.

Liquiditätsrisiken

Im Rahmen der Liquiditätssteuerung sind künftig belastete Vermögenswerte („Asset Encumbrance“) zeitnah zu identifizieren und bei der Beurteilung der Liquidität sowie im Notfallplan zu berücksichtigen. Neu ist ebenso die Anforderung, einen Refinanzierungsplan aufzustellen. Dieser soll für einen mehrjährigen Zeitraum erstellt werden und die Strategie, den Risikoappetit und das Geschäftsmodell der Bank widerspiegeln. Im Refinanzierungsplan sollen zudem mögliche Veränderungen (im wirtschaftlichen Umfeld und der eigenen Geschäftstätigkeit) oder negative Entwicklungen berücksichtigt werden.

Neben diesen Neuanforderungen wurden einige Konkretisierungen formuliert. So sind bei den Liquiditätsstresstests institutsinterne und marktweite Ursachen nicht nur separat, sondern auch kombiniert zu betrachten und der Überlebenszeithorizont der Bank zu bestimmen. Zudem wurden konkrete Maßnahmen zur Sicherstellung der Intra-day-Liquidität formuliert.

Die verschärften Anforderungen, insbesondere die Sicherstellung und das Reporting der Intra-day-Liquidität stellen Banken vor nicht zu unterschätzende Herausforderungen.

Fazit

Die Novellierung der MaRisk enthält weitgehend die bereits im Vorfeld diskutieren Änderungen. Ihre Änderungen und Neuanforderungen waren aufgrund der Entwicklung der Regelungen auf EU-Ebene zu erwarten und decken daher zentrale Forderungen dieser Initiativen ab. In Ergänzung hierzu sind weitere Inhalte aus nationalen Veröffentlichungen (beispielsweise BaFin-Schreiben) eingeflossen. Grundsätzlich wurde die lange Zeit zwischen dieser und der letztmaligen Anpassung genutzt, um an vielen Stellen notwendige Veränderungen und Aktualisierungen vorzunehmen. In Summe betreffen die Neuerungen eine Vielzahl von Themen, die einen hohen Umsetzungsaufwand implizieren. Dies und die in der Regel kurze Umsetzungsfrist der Anforderungen erhöhen den Handlungsdruck auf die Institute.

Auch wenn der MaRisk-Entwurf noch bis Ende April in Konsultation ist, zeigt die Erfahrung der vergangenen Novellierungen, dass keine wesentlichen Änderungen des Entwurfs zu erwarten sind. Ein frühzeitiger Beginn mit der bankinternen Umsetzung der neuen MaRisk ist daher sinnvoll.

Mit BankingHub keinen Trend verpassen

Einfach E-Mail-Adresse eingeben, und Sie erhalten alle 2 Wochen die neuesten Analysen und Berichte unserer Banking-Experten – direkt in Ihr Postfach.

Senden Sie mir den BankingHub Newsletter zu. Ich bin ausdrücklich damit einverstanden, den Newsletter zu erhalten und weiß, dass ich mich jederzeit problemlos wieder abmelden kann.

Dr. Ulf Morgenstern

Senior Manager Office Münster

Nicole Nowacka

Manager Office München

Gina Paské

Manager Office Luxemburg

Autoren

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Mit BankingHub immer auf dem Laufenden!

Einfach E-Mail-Adresse eingeben, und Sie erhalten alle 2 Wochen die neuesten Analysen und Berichte unserer Banking-Experten – direkt in Ihr Postfach. Ich weiß, dass ich den Newsletter jederzeit wieder kündigen kann.