MaRisk-Novelle – was rollt da auf uns zu?


Nachdem die letzte Novelle der Mindestanforderungen an das Risikomanagement (MaRisk) der Bundesanstalt für Finanzdienstleitungsaufsicht (BaFin) mehr als drei Jahre zurückliegt, sind jüngst Konsultationen einer Novellierung gemeinsam mit der Deutschen Bundesbank beendet worden. Damit wird eine neue Verwaltungsanweisung für die bereits in zahlreichen Bereichen herausfordernden Umsetzungsprojekte befindlichen Marktteilnehmer aus der Finanz- und Versicherungsbranche immer wahrscheinlicher. Erste Tendenzen sind bereits jetzt absehbar und lassen die Marktteilnehmer aufhorchen.

Vermehrt finden internationale Papiere Eingang in die MaRisk. Dies sind insbesondere:

  • „Grundsätze der Risikoaggregation von Risikodaten und Risikoberichterstattung“ des Baseler Komitees für Bankenaufsicht (BCBS 239)“
  • Supervisory Review and Evaluation Process (SREP)
  • Risikokulturpapier des Financial Stability Board (FSB)
Pfeil von einem Kompass zeigt auf Risikomanagement Konzept

Das Kreditwesengesetz § 25a (KWG) stellt die Basis für die MaRisk dar. Die MaRisk weist dabei Leitplanken auf, innerhalb derer sich die Marktteilnehmer bewegen. Eine konkrete Ausgestaltung, analog angelsächsischer Gesetzgebung, wird hierbei bewusst vermieden. Aus diesem Grund haben Novellen Seltenheitscharakter. Im Jahr 2007 standen Regelungen zum Outsourcing im Focus, im Jahr 2009 folgten als Reaktion auf die Finanzmarktkrise Konkretisierungen an die Vergütungssysteme sowie aufsichtsrechtliche Anforderungen zum Stresstest, zum Liquiditätsrisiko und zu Risikokonzentrationen. Bei den vor wenigen Tagen abgeschlossenen Konsultationen zur Novellierung deuten einige Zeichen auf einen Schwerpunkt beim Risikomanagement hin. Aus dem Blickwinkel der Aufsicht sind einige Themenfelder hierzu bisher nicht bzw. nicht explizit in den MaRisk geregelt. Dies soll sich offenbar künftig ändern. Neben einigen sprachlichen Klarstellungen bzw. konkreteren Beschreibungen stehen folgende wesentliche Neuerungen an:

  • Management von Risikodaten
    Systemrelevante Institute müssen Risikodaten angemessen managen: Daten müssen identifiziert, zusammengeführt und ausgewertet werden können. Die Risikodaten müssen vollständig und nach unterschiedlichen Kategorien auswertbar sein sowie die Datenqualität überwacht und mit anderen Informationen plausibilisiert werden. Darüber hinaus müssen die Institute über relevante Daten auch in Stresssituationen zeitnah verfügen können. Diese Regelungen sind den BCBS 239 entnommen und führen zu umfassenden Änderungen in der IT.
  • Liquiditätsübersichten, Liquiditätsreserven und Survival Period
    Die Liquiditätsübersichten müssen geeignet sein, um die Liquiditätslage im kurz-, mittel- und langfristigen Bereich darzustellen. Liquiditätsreserven müssen den Liquiditätsbedarf auch im Stressfall vollständig abdecken. Ferner ist ein Überlebenshorizont zu ermitteln. Die Anforderungen an die Liquiditätssteuerung werden so deutlich verschärft und könnten zu Ertragseinbußen führen.
  • Liquiditätsplanungsprozess
    Die Institute haben einen Refinanzierungsplan aufzustellen, der die Strategien, den Risikoappetit und das Geschäftsmodell angemessen wiederspiegelt. Der Planungshorizont hat einen mehrjährigen Zeitraum zu umfassen. Dabei ist zu berücksichtigen, wie sich Veränderungen der Geschäftstätigkeit oder der strategischen Ziele sowie Veränderungen des wirtschaftlichen Umfeldes auf den Refinanzierungsbedarf auswirken. Da diese Regelungen für alle Finanzinstitute gelten wird, dürfte dies insbesondere bei kleineren Häusern zu deutlichen Herausforderungen führen.
  • Auslagerungen
    Konkret sollen hierbei Regelungen zur Auslagerung von Aktivitäten und Prozessen betroffen sein, mit denen die Unternehmen der Finanz- und Versicherungsbranche in der Vergangenheit andere Unternehmen beauftragt haben. Damit sind insbesondere Tätigkeiten rund um Software-Entwicklungen und deren Anpassungen betroffen. Was sich auf den ersten Blick trivial anhört, könnte im Detail zu Überraschungen führen. Bliebe es beim jetzigen Entwurf, soll zwischen einer Auslagerung und einem sonstigen Fremdbezug unterschieden werden, das sowohl die Banken als IT-Beratungsunternehmen vor Herausforderungen stellen dürfte. Ferner wird erwähnt, dass die Auslagerung des Risikocontrollings auch künftig nicht auslagerungsfähig sein wird, die Auslagerung von Compliance und Revision nur bei kleineren Instituten. Wichtig ist der BaFin, dass die Steuerungsinstrumente nicht vollständig in die Hände Dritter gelegt werden soll. Zudem ist geplant, ein zentrales Auslagerungsmanagement zu installieren.

Auf jeden Fall dürfte es sich lohnen, die Diskussionen rund um die MaRisk-Novelle weiter zu verfolgen.