Feedback

Gepostet am 16. September 2020 von  Norman Nehls, Partner bei Severn Consultancy GmbH und Tom Steyer, Senior Consultant ORO Services GmbH in IT-Sicherheit Compliance/Riskmanagement Regularien

BaFin setzt europäische Regelungen um - 6. MaRisk Novelle rollt auf Banken zu

Die BaFin arbeitet bereits mit Hochdruck an der neuen Fassung der MaRisk, eine Konsultation wird in den nächsten Wochen erwartet. Da sich die Aufsicht zur nationalen Umsetzung der europäischen Leitlinien der EBA verpflichtet hat („comply“-Erklärung der BaFin), ergeben sich neue Anforderungen insbesondere bzgl. des Umgangs mit notleidenden Risikopositionen (EBA/GL/2018/06), zum Auslagerungsmanagement  (EBA/GL/2019/02) und sog. IKT- und Sicherheitsrisiken (EBA/GL/2019/04). Weiterhin setzt die BaFin ihre Erwartungen aus der laufenden Prüfungspraxis in erweiterten Anforderungen um.

Notleidende und gestundete Kredite

Zukünftig ist eine Strategie zum Umgang mit notleidenden und gestundeten Krediten für die Institute vorgesehen. Die BaFin macht hier von ihrem Proportionalitätsprinzip Gebrauch und macht die Strategie zur Pflicht für alle Institute mit einer erhöhten Quote an notleidenden Krediten (NPE-Quote > 5%). Damit einhergehend erhöhen sich die Anforderungen an die Messung und Überwachung dieser Risikopositionen. Zuletzt führt ein „hoher NPE-Bestand“ dazu, dass Institute eine dezidierte Einheit für die NPE-Abwicklung einrichten müssen. Die Einheit ist unabhängig und nicht im Bereich Markt anzusiedeln. Unbenommen des Proportionalitätsansatzes behält sich die Aufsichtsbehörde vor, die Erstellung einer Strategie anzuordnen, auch wenn die 5%-Quote noch nicht überschritten wird.

Auslagerungsmanagement

Neben erhöhten Anforderungen an die Dokumentation, auch von nicht-wesentlichen Auslagerungen, sind künftig Risikoanalysen für Auslagerungen nun durch Szenarioanalysen zu ergänzen. Den Verträgen zu Auslagerungen kommt eine besondere Bedeutung zu, insbesondere sind Notfallvereinbarungen sowie Informations-, Prüfungs- und Kündigungsrechte wie auch der Standort der Datenspeicherung umfassend zu vereinbaren. Auch für Auslagerungen, die heute nicht wesentlich sind, bei denen dies aber abzusehen ist, sind diese Aspekte im Vertrag bereits heute zu berücksichtigen.

Die neuen Regelungen sehen ein zentrales Auslagerungsregister vor. Dieses soll standardisiert und automatisiert auswertbar sein. Zudem ist neu ein regelmäßiger Bericht an die Aufsicht vorgesehen – wie auch bereits in anderen Ländern üblich.

IT und Notfallmanagement

Auch aus den Lehren der aktuellen Situation, schärft die Aufsicht ihre Erwartungen an das Notfallmanagement von Finanzinstituten. Die europäischen Leitlinien sehen insbesondere vor, alle zeitkritischen Prozessen für alle relevanten Szenarien mindestens jährlich zu testen. In diese Notfalltests sind ebenso Auslagerungspartner einzubinden – selbst dies wird eine erhebliche Herausforderung für Institute und deren Dienstleister mit sich bringen.

Weitere Anforderungen an das Management von Risiken aus der Informations- und Kommunikationstechnologie (ITK) sowie der Informationssicherheit sind mit der Neufassung der MaRisk zu erwarten.

Weitere Neuregelungen

Risikotragfähigkeit: Die BaFin stellt nun auch in der MaRisk klar, dass Risiken auch in ihrer Zusammenfassung betrachtet werden müssen. So ist durch die Institute zu prüfen, ob einzelne nicht wesentliche Risiken in ihrer Zusammenfassung wesentlich sein könnten.

Weitere kleine, vor allem klarstellende Änderungen sind im Handelsgeschäft und bei den operationellen Risiken zu erwarten.

Zeitplan

Ein Entwurf wurde bereits mit Vertretern der Kreditwirtschaft im Fachgremium „MaRisk“ erörtert – damit ist eine Konsultationsfassung in den nächsten Wochen absehbar. Die Veröffentlichung wird bereits im ersten Quartal 2021 erwartet. Etwaige Übergangsfristen für die Neuerungen sind noch zu definieren – erfahrungsgemäß trifft dies aber nicht auf Konkretisierungen oder Anforderungen zu, die auch heute schon Prüfungspraxis darstellen.

Sprechen Sie uns an!

Aus den abzusehenden Änderungen an der MaRisk ergibt sich für viele Institute ein Handlungsbedarf. Wir beraten Sie gerne zu Ihrer individuellen Situation und begleiten Sie mit fundierten Erfahrungen bei der anschließenden Umsetzung.

Login 

Passwort vergessen?

Newsletter abonnieren


















Captcha*

Bitte beachten Sie, dass Sie zur Anmeldung eine dienstliche E-Mail benötigen. Außerdem können wir Anmeldungen von Branchendienstleistern nicht berücksichtigen.