„Was lange währt, wird endlich gut!“ Dieser Volksweisheit kann man zumindest in einigen grundlegenden Punkten zustimmen, denn die MaRisk sichern den betroffenen Instituten gewisse Gestaltungsspielräume, um die zahlreichen Neuregelungen zu erfüllen. Spekulationen zur Änderung der Rechtsstellung - weg vom Charakter eines Rundschreibens, hin zur Verordnung - wurden nicht erfüllt. Stattdessen findet das Proportionalitätsprinzip in Abhängigkeit von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten besondere Berücksichtigung für diverse Neuerungen.

Ziel der erneuten Überarbeitung der MaRisk ist eine weitere Stärkung der Unternehmens- und Risikokultur in Instituten.

Mehr Transparenz über Risikosituation

Neue Anforderungen zur Aggregation und Berichterstattung von Risikodaten offenbaren erhebliche Anpassungen für bestehende Systeme und Prozesse, die bisher lediglich auf reinen Kennzahlen und Einzelbetrachtungen ausgerichtet waren. Komplett neue Verfahren zur Plausibilisierung und Verifizierung von Risikodaten - vorzugsweise mit externen Quellen - sind erforderlich, um eine nachhaltige Qualität der Risikoeinschätzung zu erreichen. Es bleibt offen, ob diese zusätzlichen Bemühungen eine wirkliche Erhöhung der Aussagefähigkeit von Risikodaten mit sich bringen oder ob es lediglich der Versuch war, künftige Gefahren und oder gar Krisen vorauszusehen.

Auslagerungsmanagement - effizientes Vorgehen sieht anders aus

Auch eine gruppenweite Standardisierung von Risikoanalyseverfahren und die Steuerung von Auslagerungen erfordern eine zunehmende Harmonisierung zwischen Konzerngesellschaften, aber auch in den Instituten selbst. Dem gegenüber stehen immer noch lokale Vorgaben in den jeweiligen Ländern und immer stärkere Verflechtungen von Kapitalmehrheiten, die ein einheitliches, länderübergreifendes Vorgehen innerhalb einer Institutsgruppe erschweren. Standardisierung bedeutet in diesem Falle, die größtmögliche Abdeckung aller nationalen Normen zu erreichen, um alle aufsichtsrechtlichen Anforderungen abzudecken - effizientes Vorgehen sieht anders aus.

Stärkung der 3rd Line of Defence

Weiterhin kommt mit der fünften Novelle der Internen Revision - der sogenannten "3rd Line of Defence" - eine höhere Bedeutung zu. Strukturelle Schwachstellen und Einzelrisiken, die bisher dem Risikocontrolling und den Compliance-Verantwortlichen verborgen blieben, sollen nunmehr durch interne Prüfungshandlungen aufgedeckt werden. Auch mögliche Mängel in internen (Risiko-)Berichten, so die neuen Vorgaben, sollen zu Tage gebracht werden. Dies alles erfordert ein Umdenken in der bisherigen Stabsfunktion - weg von einem standardisierten Prüfungsansatz hin zu risikofokussierten End-to-End Prozessanalysen.

IT-Security im Fokus der Regulierung

Nicht zuletzt mit den kürzlich erschienenen „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) sind die Regulierungsbestrebungen im IT-Security-Umfeld erkennbar. Gemäß dem erst kürzlich veröffentlichten Lagebericht des BSI zur IT-Sicherheit in Deutschland wurde die Gefährdungslage der IT im Zeitraum zwischen Juli 2016 bis Juli 2017 weiterhin als hoch eingeschätzt. Dieser Einschätzung kann Severn im Rahmen der aktuellen Erfahrungen in einschlägigen IT-Großprojekten von Finanzinstituten nur zustimmen.

Auch mit Neufassung der MaRisk gerät die IT weiter in den Fokus der Regulierung. Dabei werden insbesondere verstärkte Anforderungen an die Steuerung von IT-Risiken, das Identity & Access Management (Berechtigungsmanagement) sowie die Datensicherheit in Abhängigkeit der Schutzbedarfs-Klassifizierung gestellt. Konkrete Feststellungen aus IT-Prüfungen belegen nur allzu häufig den gravierenden Anpassungsbedarf der IT-Organisation, um Marktstandards und Mindestanforderungen zu erfüllen.

Interne Risikokultur gefragt

Die 5. MaRisk-Novelle erhöht die Verbindlichkeit und verpflichtet Geschäftsleiter von Banken, sich kritisch mit der eigenen Unternehmenskultur und der Frage auseinanderzusetzen, welche Risiken das Institut eingehen kann und welche nicht. Die richtigen Maßnahmen zur Förderung einer institutsinternen Risikokultur zu ergreifen und zielgerichtete Incentivierungs- und Sanktionierungsmechanismen zu etablieren, wird künftig eine der wesentlichen Aufgaben des Senior Managements sein. Nur so ist es möglich, nachhaltig ein Risikobewusstsein in der gesamten Organisation zu etablieren. Der Umsetzungsgrad der neuen MaRisk wird ein messbares Indiz für die Aufsicht sein, mit welcher Ernsthaftigkeit Banken diese Herausforderung annehmen.

Auswirkungen der neuen MaRisk verlässlich ermitteln

Um schnell und zuverlässig einen transparenten Überblick über den erforderlichen Anpassungsbedarf aus der 5. MaRisk-Novelle zu erhalten, hat ORO Services für seine Kunden ein Whitepaper sowie eine ausführliche Impact-Analyse erstellt. Darüber hinaus bieten Severn Consultancy/ORO Services mit dem MaRisk Quick-Check zusätzlich einen strukturierten und praxiserprobten Lösungsansatz zur Identifizierung möglicher Gaps im MaRisk-Umfeld.