Die fünfte MaRisk-Novelle – MaRisk 2017 – ist veröffentlicht! Mit diesem Blog geben Ihnen die Autoren Henning Heuter und Dr. Markus Rose in drei Teilen einen Überblick über die umfangreichen Neuerungen, Ergänzungen und Klarstellungen der jüngsten Überarbeitung der MaRisk. Dabei fokussieren sie sich auf das Risikomanagement. Der Blog erscheint im 14tägigen Rhythmus.
Die MaRisk werden grundsätzlich durch weitere Vorgaben der CRD IV für Deutschland sowie spezifische Feinjustierungen im Kontext der SREP-Guidelines komplettiert. Die herausragenden Schwerpunkte der neuen Anforderungen bilden die Themenfelder
Weiterhin werden in den MaRisk 2017 Vorgaben hinsichtlich systemrelevanter und nicht-systemrelevanter Institute detailliert dargestellt.
Dieser Beitrag gibt einen prägnanten Überblick über die wesentlichen Inhalte aus den MaRisk 2017 mit folgenden Themen, die in den nächsten Wochen vervollständigt werden:
Zwischenzeitlich waren zwar verschiedene Umsetzungsfristen in Abhängigkeit von den jeweiligen Themenschwerpunkten im Gespräch, für die finalen Mindestanforderungen wird aber für im MaRisk-Kontext neue Änderungen die Umsetzungsfrist auf den 31.10.2018 festgelegt. Für die umfangreichen Neuerungen aus der Umsetzung von BCBS 239 zur Risikodatenaggregation (vgl. AT 4.3.4) gilt eine Umsetzungsfrist von drei Jahren ab dem Zeitpunkt der Einstufung als systemrelevantes Institut.
Der neue Besondere Teil BT 3 „Anforderungen an die Risikoberichterstattung“ umfasst nicht nur die bisher unter den Spezialthemen verteilten Anforderungen zum Berichtswesen. Neben einer Verlagerung aller Vorgaben zum Kreditrisiko-, Liquiditätsrisiko-, Marktpreisrisiko- und OpRisk-Bericht finden sich Anforderungen an weitere wesentliche sonstige Risiken im neu zusammengestellten Abschnitt BT 3; ferner enthält dieser darüber hinaus detaillierte Anforderungen an die Risikoberichterstattung basierend auf dem Baseler Papier BCBS 239 zur Risikodatenaggregation und Risikoberichterstattung. So wurden Aspekte zur Nachvollziehbarkeit und Aussagefähigkeit der Risikoberichte verschoben, die Einbettung von Stresstest-Ergebnissen oder Anforderungen an die Produktionszeit aufgenommen.
Dabei sind keine inhaltlichen Änderungen bei der Berichterstattung über das Kredit- und Marktpreisrisiko sowie über das operationelle Risiko (Risikoarten nach AT 2.2 Tz. 1, Liquiditätsrisiko) vorgesehen. Allerdings ist bezüglich der Berichterstattung durch die Risikocontrolling-Funktion (BT 3.2 Tz. 1) mit der Forderung eines Gesamtrisikoberichtes, welcher mindestens quartalsweise und je nach Sensitivität der Risikoart auch monatlich, wöchentlich oder täglich bereit zu stellen ist, eine Ausweitung der Anforderung erfolgt. Genannter Gesamtrisikobericht bezieht sich auf sämtliche Risikoarten, die gemäß Risikoinventur als wesentlich eingestuft werden (gegebenenfalls Immobilienrisiko, Pensionsrisiko).
Hinsichtlich der Berichterstattung wurden weitere inhaltliche Vorgaben aufgenommen, beispielsweise sind die Säule 1-Kapital- und Liquiditätskennzahlen in die Risikoberichterstattung zu integrieren. Neu ist darüber hinaus die Betonung des Zukunftsaspektes; diese Einschätzung sollte gegebenenfalls auch qualitativ erfolgen können, z.B. bei den operationellen Risiken.
Eine integrierte Sicht von Ergebnissen und Planungswerten ist im Risikoreporting ab sofort nicht mehr zu umgehen. Darzustellen sind insbesondere folgende Aspekte:
Die stärkere Verzahnung der beiden Baseler Säulen im Rahmen des Reportings zeigt sich daran, dass die Aufsicht eine Berichterstattung über haftende Eigenmittel, Risikodeckungsmasse und ökonomisches Kapital verlangt.
Der Umfang der Risikoberichterstattung erhöht sich auf alle derzeitigen Kapital- und Liquiditätskennzahlen bezüglich ihrer Entwicklung – ein Beleg für eine insgesamt geforderte höhere Transparenz. Turnus, Umfang (Inhalte) und Verantwortlichkeiten, welche die Risikoberichterstattung betreffen, sind in der schriftlich fixierten Ordnung festzuhalten. Regelungen zu den einzelnen Risiken sind ab sofort unter dem Modul „BT 3.2 Berichte der Risikocontrolling-Funktion“ zusammengefasst.
Der „BT 3 Anforderungen an die Risikoberichterstattung“ gilt für alle Institute, es besteht keine Einschränkung auf systemrelevante Institute. Die hingegen im neuen Modul AT 4.3.4 zusammengefassten Anforderungen an die Datenaggregation, mit denen BCBS 239 umgesetzt wird, gelten ausschließlich für global und anderweitig systemrelevante Institute. Aber auch alle anderen Institute sollten hohe Maßstäbe an die Datenstruktur, die Datenqualität sowie die Fähigkeit zur Aggregation und Auswertung von Risikoinformationen setzen.
Teil 2 – Risikotragfähigkeit und Risikoarten des BTR
Teil 3 – Auslagerung, Risikokultur und Revision
Henning Heuter ist geschäftsführender Partner der 1 PLUS i GmbH, einem spezialisierten Beratungsunternehmen und berät Kreditinstitute im In- und Ausland. Er beschäftigt sich mit Fragen des Risikomanagements, dessen aufsichtsrechtlicher Behandlung und anderer Risikostrategien. Seit vielen Jahren ist er als Dozent für die FS tätig.