Es geht weiter mit den regulatorischen Neuerungen: Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 27.10.2017 die Neufassung der Mindestanforderungen an das Risikomanagement, kurz MaRisk, veröffentlicht.
Was sind die MaRisk?
Die MaRisk sind ein Rundschreiben der BaFin. In diesen Verwaltungsanweisungen legt die BaFin ihre Anforderungen an die Ausgestaltung des Risikomanagements der Institute und an das Outsourcing von Aktivitäten und Prozessen von Instituten auf andere Unternehmen nieder.
Die MaRisk sind nicht neu. Es gibt sie schon seit 2005. Seitdem wurden sie mehrfach geändert, wobei ihr Umfang natürlich stets gewachsen ist.
Für wen gelten die MaRisk?
Die MaRisk gelten für Kreditinstitute und Finanzdienstleistungsinstitute mit Sitz in Deutschland.
Für E-Geld-Institute und Zahlungsinstitute wiederum gelten die MaRisk grundsätzlich nicht. Dennoch haben die MaRisk auch für diese Institute Relevanz. Bei der Ausgestaltung ihrer Organisation, Systeme und Prozesse zum Risikomanagement und bei der Ausgestaltung ihrer Outsourcing-Aktivitäten sollten auch sie sich – soweit passend und unter Berücksichtigung des Proportionalitätsgrundsatzes – an den Vorgaben der MaRisk orientieren. Dies gilt, solange die BaFin nicht spezielle, eigens auf E-Geld-Institute und Zahlungsinstitute zugeschnittene MaRisk erlässt.
Was ist neu in den MaRisk?
Die MaRisk wurden an neue europäische und internationale Vorgaben angepasst. Zudem sind Erfahrungen aus der Aufsichtspraxis der BaFin in die Neufassung eingeflossen.
Die neuen MaRisk enthalten folgende wesentliche Änderungen:
- Die Geschäftsleitung eines Instituts hat künftig eine angemessene Risikokultur innerhalb des Instituts zu entwickeln, zu integrieren und zu fördern (AT 3 Tz. 1 der MaRisk). Einen Beitrag hierzu kann der Verhaltenskodex für Mitarbeiter liefern, der künftig – abhängig von Größe, Komplexität und Risikogehalt der Geschäftsaktivitäten – zu erstellen ist (AT 5 Tz. 3 der MaRisk).
- Es werden neue Anforderungen an die Aggregation von Risikodaten eingeführt (AT 4.3.4 der MaRisk). Hierunter ist die gesamte Verfahrens- und Prozesskette von der Erhebung und Erfassung von Daten über die Verarbeitung bis hin zur Auswertung nach bestimmten Kriterien und zur Berichterstattung von Risikodaten zu verstehen. Diese neuen Anforderungen gelten allerdings nur für systemrelevante Institute.
- In dem neuen Modul BT 3 der MaRisk werden die Anforderungen an die Risikoberichterstattung zusammengefasst. Die dort dargestellten Anforderungen gelten grundsätzlich für alle Institute; die inhaltliche Ausgestaltung durch einzelne Institute unterliegt aber wie bisher dem Proportionalitätsprinzip.
- Auch für das Outsourcing ergeben sich für die Praxis wichtige Änderungen bzw. Klarstellungen (AT 9 der MaRisk):
- Klargestellt wird nun, dass der isolierte Bezug von Software sowie damit zusammenhängende Unterstützungsleistungen wie Anpassung, Programmierung und Wartung grundsätzlich keine Auslagerung darstellen.
- Hingegen sind der Bezug von Softwarelösungen für Steuerung, Messung und Überwachung von Risiken oder für die Wahrnehmung bankgeschäftlicher Aufgaben sowie damit zusammenhängende Unterstützungsleistungen als Auslagerung einzustufen und unterfallen damit dem Anwendungsbereich der Outsourcing-Regelungen. Ferner gilt der Betrieb der Software durch einen externen Dritten als Auslagerung.
- Es werden strengere Anforderungen für die Auslagerung der Risikocontrolling-Funktion, Compliance-Funktion und der Internen Revision etabliert. Eine vollständige Auslagerung dieser Funktionen ist lediglich für kleine Institute sowie für Tochterinstitute innerhalb einer Institutsgruppe zulässig. Dies gilt, sofern das übergeordnete Institut Auslagerungsunternehmen und das Tochterinstitut hinsichtlich Größe und Risikogehalt innerhalb der Gruppe nicht von wesentlicher Bedeutung ist.
- Größere Institute bzw. Institute mit umfangreichen Auslagerungslösungen haben künftig ein zentrales Auslagerungsmanagement.
Die Änderungen der neuen MaRisk gegenüber der Vorgängerversion können im Einzelnen der Anlage 2 zu den neuen MaRisk entnommen werden.
Ab wann gelten die neuen MaRisk?
Die neue Fassung der MaRisk gilt grundsätzlich seit 27.10.2017. Änderungen, die lediglich klarstellender Natur sind, sind ab dem vorgenannten Datum anwendbar. Für neue Anforderungen gilt grundsätzlich eine Umsetzungsfrist bis 31.10.2018. Eine Umsetzungsfrist von drei Jahren (berechnet ab dem Zeitpunkt ihrer Einstufung als systemrelevantes Institut) wird den Instituten eingeräumt, welche die neuen Anforderungen zur Aggregation von Risikodaten (AT 4.3.4 der MaRisk) erfüllen müssen.
Wir werden hier auf PayTechLaw über Einzelheiten der Änderungen in den neuen MaRisk weiter berichten.