FFinTech

Neufassung der MaRisk: Ein Überblick über die neuen Mindestanforderungen an das Risikomanagement

0
Shares
0
0
0
0
0
0

Es geht weiter mit den regulatorischen Neuerungen: Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 27.10.2017 die Neufassung der Mindestanforderungen an das Risikomanagement, kurz MaRisk, veröffentlicht.

Was sind die MaRisk?

Die MaRisk sind ein Rundschreiben der BaFin. In diesen Verwaltungsanweisungen legt die BaFin ihre Anforderungen an die Ausgestaltung des Risikomanagements der Institute und an das Outsourcing von Aktivitäten und Prozessen von Instituten auf andere Unternehmen nieder.

Die MaRisk sind nicht neu. Es gibt sie schon seit 2005. Seitdem wurden sie mehrfach geändert, wobei ihr Umfang natürlich stets gewachsen ist.

Für wen gelten die MaRisk?

Die MaRisk gelten für Kreditinstitute und Finanzdienstleistungsinstitute mit Sitz in Deutschland.

Für E-Geld-Institute und Zahlungsinstitute wiederum gelten die MaRisk grundsätzlich nicht. Dennoch haben die MaRisk auch für diese Institute Relevanz. Bei der Ausgestaltung ihrer Organisation, Systeme und Prozesse zum Risikomanagement und bei der Ausgestaltung ihrer Outsourcing-Aktivitäten sollten auch sie sich – soweit passend und unter Berücksichtigung des Proportionalitätsgrundsatzes – an den Vorgaben der MaRisk orientieren. Dies gilt, solange die BaFin nicht spezielle, eigens auf E-Geld-Institute und Zahlungsinstitute zugeschnittene MaRisk erlässt.

Was ist neu in den MaRisk?

Die MaRisk wurden an neue europäische und internationale Vorgaben angepasst. Zudem sind Erfahrungen aus der Aufsichtspraxis der BaFin in die Neufassung eingeflossen.

Die neuen MaRisk enthalten folgende wesentliche Änderungen:

  • Die Geschäftsleitung eines Instituts hat künftig eine angemessene Risikokultur innerhalb des Instituts zu entwickeln, zu integrieren und zu fördern (AT 3 Tz. 1 der MaRisk). Einen Beitrag hierzu kann der Verhaltenskodex für Mitarbeiter liefern, der künftig – abhängig von Größe, Komplexität und Risikogehalt der Geschäftsaktivitäten – zu erstellen ist (AT 5 Tz. 3 der MaRisk).
  • Es werden neue Anforderungen an die Aggregation von Risikodaten eingeführt (AT 4.3.4 der MaRisk). Hierunter ist die gesamte Verfahrens- und Prozesskette von der Erhebung und Erfassung von Daten über die Verarbeitung bis hin zur Auswertung nach bestimmten Kriterien und zur Berichterstattung von Risikodaten zu verstehen. Diese neuen Anforderungen gelten allerdings nur für systemrelevante Institute.
  • In dem neuen Modul BT 3 der MaRisk werden die Anforderungen an die Risikoberichterstattung zusammengefasst. Die dort dargestellten Anforderungen gelten grundsätzlich für alle Institute; die inhaltliche Ausgestaltung durch einzelne Institute unterliegt aber wie bisher dem Proportionalitätsprinzip.
  • Auch für das Outsourcing ergeben sich für die Praxis wichtige Änderungen bzw. Klarstellungen (AT 9 der MaRisk):
    • Klargestellt wird nun, dass der isolierte Bezug von Software sowie damit zusammenhängende Unterstützungsleistungen wie Anpassung, Programmierung und Wartung grundsätzlich keine Auslagerung darstellen.
    • Hingegen sind der Bezug von Softwarelösungen für Steuerung, Messung und Überwachung von Risiken oder für die Wahrnehmung bankgeschäftlicher Aufgaben sowie damit zusammenhängende Unterstützungsleistungen als Auslagerung einzustufen und unterfallen damit dem Anwendungsbereich der Outsourcing-Regelungen. Ferner gilt der Betrieb der Software durch einen externen Dritten als Auslagerung.
    • Es werden strengere Anforderungen für die Auslagerung der Risikocontrolling-Funktion, Compliance-Funktion und der Internen Revision etabliert. Eine vollständige Auslagerung dieser Funktionen ist lediglich für kleine Institute sowie für Tochterinstitute innerhalb einer Institutsgruppe zulässig. Dies gilt, sofern das übergeordnete Institut Auslagerungsunternehmen und das Tochterinstitut hinsichtlich Größe und Risikogehalt innerhalb der Gruppe nicht von wesentlicher Bedeutung ist.
    • Größere Institute bzw. Institute mit umfangreichen Auslagerungslösungen haben künftig ein zentrales Auslagerungsmanagement.

Die Änderungen der neuen MaRisk gegenüber der Vorgängerversion können im Einzelnen der Anlage 2 zu den neuen MaRisk entnommen werden.

Ab wann gelten die neuen MaRisk?

Die neue Fassung der MaRisk gilt grundsätzlich seit 27.10.2017. Änderungen, die lediglich klarstellender Natur sind, sind ab dem vorgenannten Datum anwendbar. Für neue Anforderungen gilt grundsätzlich eine Umsetzungsfrist bis 31.10.2018. Eine Umsetzungsfrist von drei Jahren (berechnet ab dem Zeitpunkt ihrer Einstufung als systemrelevantes Institut) wird den Instituten eingeräumt, welche die neuen Anforderungen zur Aggregation von Risikodaten (AT 4.3.4 der MaRisk) erfüllen müssen.

Wir werden hier auf PayTechLaw über Einzelheiten der Änderungen in den neuen MaRisk weiter berichten.

 

0
0

Peter ist seit 2002 als Anwalt tätig. Der Rechtsanwalt und Partner der Kanzlei Annerton am Standort München berät schwerpunktmäßig und umfassend im Bank- und Bankaufsichtsrecht, im Zahlungsverkehrsrecht sowie im Bereich Asset Management.



Indem Sie fortfahren, akzeptieren Sie unsere Datenschutzerklärung.
You May Also Like
PPayment
Ist bei E-Geld ein Vertrag zwischen dem E-Geld-Herausgeber und der Akzeptanzstelle erforderlich? Is a contract between the e-money issuer and the merchant required for e-money?
Weiterlesen
  • 8 Minuten

Ist bei E-Geld ein Vertrag zwischen dem E-Geld-Herausgeber und der Akzeptanzstelle erforderlich?

Der Beitrag analysiert die umstrittene Interpretation von Art. 11 Abs. 7 EMD2 durch die Europäische Kommission im Zusammenhang mit der Definition von E-Geld. Im Mittelpunkt steht die Frage, ob für die Akzeptanz von E-Geld zwingend eine vertragliche Beziehung zwischen E-Geld-Emittent und Akzeptanzstelle erforderlich ist. Der Artikel kommt zu dem Ergebnis, dass sich aus Art. 11 Abs. 7 EMD2 keine generelle Vertragspflicht für die Akzeptanz von E-Geld ableiten lässt.
Weiterlesen
BBanking
Governance unter der 9. MaRisk-Novelle: Weniger Formalismus, mehr Verantwortung 1
Weiterlesen
  • 4 Minuten

Governance unter der 9. MaRisk-Novelle: Weniger Formalismus, mehr Verantwortung

Mit der 9. MaRisk-Novelle rückt das Thema Governance erneut in den Fokus der Aufsicht. Im Vordergrund steht jedoch keine grundlegende Neuregulierung, sondern eine gezielte Weiterentwicklung des bestehenden Rahmens. Die BaFin reduziert punktuell Detailtiefe und verlagert den Schwerpunkt auf Prinzipienorientierung, tatsächliche Wirksamkeit und institutsspezifische Ausgestaltung.
Weiterlesen
BBanking
CCD2-Umsetzung fix: Die neuen Spielregeln für die Kreditbranche | ALLES LEGAL #133 2
Weiterlesen
  • 3 Minuten

CCD2-Umsetzung fix: Die neuen Spielregeln für die Kreditbranche | ALLES LEGAL #133

Deutschland hat die EU-Verbraucherkreditrichtlinie (CCD2) endlich umgesetzt – und das mit einigen überraschenden Wendungen. In dieser Folge von „Alles Legal“ spricht Dana Wondra mit Dr. Florian Lörsch darüber, welche Änderungen es im finalen Gesetz im Vergleich zum Regierungsentwurf gibt und was Unternehmen jetzt konkret tun müssen.
Weiterlesen