Die fünfte MaRisk-Novelle – MaRisk 2017 – ist veröffentlicht! Mit diesem Blog geben Ihnen die Autoren Henning Heuter und Dr. Markus Rose in drei Teilen einen Überblick über die umfangreichen Neuerungen, Ergänzungen und Klarstellungen der jüngsten Überarbeitung der MaRisk. Dabei fokussieren sie sich auf das Risikomanagement. In den beiden vorangegangenen Teilen dieses Blogs haben wir uns mit der Umsetzungsphase, dem Reporting und Datenaggregation, der Risikotragfähigkeit und den Risikoarten des BTR beschäftigt. Nun schauen wir uns die Auslagerung, die Risikokultur und die Konsequenzen für die Interne Revision genauer an.
Die Aufsicht fordert im Anschreiben zu den MaRisk, dass das Auslagerungsmanagement verbessert werden muss, um möglichen Kontrollverlusten entgegenzuwirken. So wurden die Anforderungen an Auslagerungen im AT 9 zum Teil grundlegend überarbeitet. Neben Anforderungen, welche bereits seit Jahren Standard sind, wurden auch gänzlich neue Aspekte und Ausführungen zum institutsinternen Umgang mit Auslagerungen aufgenommen. An dieser Stelle gehen wir auf einige wesentliche Punkte ein.
Unverändert gilt das Erfordernis, dass ein Institut eigenverantwortlich auf der Grundlage einer Risikoanalyse (Risikokonzentrationen, wesentliche Risiken aus Weiterverlagerungen, Eignung des Auslagerungsunternehmens) festlegen muss, welche Auslagerungen wesentlich sind. Neu ist die Anforderung, diese Risikoanalyse basierend auf instituts- beziehungsweise gruppenweit einheitlichen Rahmenvorgaben regelmäßig und anlassbezogen durchzuführen.
Zu unterscheiden ist hinsichtlich Fremdbezug und Auslagerung gemäß MaRisk. In den MaRisk 2017 wird hervorgehoben, dass ein isolierter Bezug von Software (Achtung: gilt nicht für Kernbankensysteme) als sonstiger Fremdbezug eingestuft werden kann. Als Auslagerung einzustufen sind dagegen Unterstützungsleistungen, die mit dem Bezug, der Anpassung und dem Betrieb der Software verbunden sind. Weitere Beispiele für MaRisk-Auslagerungen sind: Ratingverfahren und -systeme, Work-out-Bearbeitung notleidender Kredite, Risikocontrolling sowie Innenrevision. Grundsätzlich müssen sowohl beim sonstigen Fremdbezug von Leistungen als auch bei nicht wesentlichen Auslagerungen die allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsführung gem. § 25a KWG gewährleistet sein. Das bedeutet, dass ein Fremdbezug sowie jede ausgelagerte Leistung auch institutsintern überwacht werden (risikosensitive Einschätzung, Berichte, Verträge für sämtliche MaRisk-Auslagerungen).
Für Auslagerungen von Aktivitäten und Prozessen in Kontroll- und Kernbankbereichen ergeben sich besondere Maßstäbe. Während bei kleineren Instituten beispielsweise die Compliance-Funktion und auch die Interne Revision ausgelagert werden dürfen, wird klargestellt, dass die Risikocontrolling-Funktion nicht vollständig ausgelagert werden darf.
Abbildung 1: Übersicht – Formen der Auslagerung
Es ist sicherzustellen, dass weiterhin fundierte Kenntnisse und Erfahrungen vorgehalten werden, die es ermöglichen, die Steuerung dieser ausgelagerten Bereiche effektiv wahrzunehmen und bei Bedarf auch eine Rückverlagerung ohne Störungen des Betriebsablaufes gewährleisten.
Die MaRisk 2017 führen weitere wesentliche Anforderungen zu Auslagerungen auf, die hier zusammengefasst dargestellt werden:
Im AT 3 wird in den MaRisk 2017 die Etablierung einer Risikokultur gefordert, die in der Gesamtverantwortung der Geschäftsleitung liegt. Die deutsche Aufsicht folgt damit einer Entwicklung, die sich auf europäischer Ebene beispielsweise in der CDR IV, den SREP-Guidelines des EBA oder in den „Principles for an Effective Risk Appetite Framework“ des Financial Stability Boards zeigt.
Mit der Etablierung einer Risikokultur sind Regeln und Vorgaben verbunden:
Aus den MaRisk 2017 gehen neue und umfangreichere Anforderungen an die Ausgestaltung der Internen Revision hervor. Bisher geltende Grundsätze wie
bleiben weiterhin bestehen. Die MaRisk 2017 vertiefen jedoch auch einige Themen, insbesondere die Prüfungsplanung und -durchführung sowie die Berichtspflicht betreffend. Aus BT 2.3 Tz. 2 geht nun deutlich hervor, dass „Risikobewertungsverfahren der Internen Revision eine Analyse des Risikopotenzials der Aktivitäten und Prozesse unter Berücksichtigung absehbarer Veränderungen zu beinhalten“ haben. „Dabei sind die verschiedenen Risikoquellen und die Manipulationsanfälligkeit der Prozesse durch Mitarbeiter angemessen zu berücksichtigen.“
Abbildung 2: Überblick Prüfungsplanung Interne Revision
Die gemäß BT 2.3 Tz. 3 geforderte Prüfung der Angemessenheit der Prüfungsplanung und -durchführung (vgl. Abbildung 2) bedeutet, dass Veränderungen bei Geschäftsfeldern und in der Risikostruktur bei der Revisionsplanung berücksichtigt werden müssen.
Das im Schaubild dargestellte Element „Bericht“ zeigt, dass das Aufsichtsorgan häufiger und umfassender informiert und ein größerer Schwerpunkt auf das Abarbeiten der Mängel gelegt werden soll. Insbesondere zeigt dies das Erfordernis einer bezogen auf die Inhalte der letzten Prüfungen zusammenfassenden Berichterstattung im Dreimonatsrhythmus1 sowie die darüber hinaus gehende Pflicht zur gesonderten jährlichen Berichterstattung über
Ebenso ist eine unverzügliche Berichterstattung (also „ad hoc“) über besonders schwerwiegende Mängel gefordert. Empfänger sind für alle Berichte jeweils die Geschäftsleitung sowie das Aufsichtsorgan des Instituts. Die MaRisk 2017 verlangen hiermit eine deutlich ausgeweitete Berichtspflicht und geben zusätzlich inhaltliche Strukturvorgaben.
1 Insbesondere über den Sachstand zu als wesentlich oder höher eingestuften Mängeln ist zu berichten.
Teil 1: Inhalte, Umsetzung und Reporting
Teil 2: Risikotragfähigkeit und Risikoarten des BTR
Henning Heuter ist geschäftsführender Partner der 1 PLUS i GmbH, einem spezialisierten Beratungsunternehmen und berät Kreditinstitute im In- und Ausland. Er beschäftigt sich mit Fragen des Risikomanagements, dessen aufsichtsrechtlicher Behandlung und anderer Risikostrategien. Seit vielen Jahren ist er als Dozent für die FS tätig.