MaRisk-Novelle der BaFin final veröffentlicht
KEY FACTS
- Konkretisierung der Anforderungen an die Risikoberichterstattung für alle Institute und Integration der Anforderungen aus BCBS 239 an systemrelevante Institute in die MaRisk
- Konkretisierung der Anforderungen an eine institutsspezifische Risikokultur
- Weitere Konkretisierung der bisherigen Anforderungen an das Risikomanagement, insb. im Hinblick auf IT-Risikomanagement
- Detaillierung der Organisations- und Management-Anforderungen an Auslagerungen
- MaRisk-Novelle tritt mit Veröffentlichung in Kraft
I. Konkretisierung der Anforderungen an das Risikomanagement
Mit der Umsetzung des Basel Standards 239 (BCBS 239) in AT 4.3.4 finden die Anforderungen an die Datenaggregation und Risikoberichterstattung für systemrelevante Institute nun auch Niederschrift in den deutschen Mindestanforderungen an das Risikomanagement (MaRisk).
Mit der Zusammenführung der Anforderungen an die Risikoberichterstattung im neu gestalteten BT3 MaRisk überarbeitet die BaFin darüber hinaus die Anforderungen an die Risikoberichterstattung an alle Institute.
Dem Proportionalitätsprinzip entsprechend müssen sich kleinere Institute nicht an den umfangreichen Anforderungen des AT 4.3.4 orientieren, sondern können ihre Risikoberichterstattung an den geschäftspolitischen Bedürfnissen ausrichten.
II. Etablierung einer angemessenen Risikokultur
Mit Überarbeitung des AT 3 und AT 5 implementiert die BaFin die in der “Guidance on Supervisory Interaction with financial institutions on Risk Culture” durch das Financial Stability Board (FSB) in 2014 vorgeschlagenen Anforderungen an eine angemessene Risikokultur in die MaRisk.
Nicht unerheblich erscheint hierbei die Konkretisierung der BaFin, dass Geschäftsführung, Führungskräfte und gelebte Entscheidungsprozesse wesentliche Parameter der Risikokultur darstellen und somit die Anforderungen an eine wirksame Risikokultur durch Geschäftsleitung und Führungskräfte vorgelebt werden müssen.
Zu beachten hierbei ist, dass sich die BaFin sehr wohl dem Problem der quantitativen Messbarkeit einer vornehmlich nur qualitativ erfassbaren Risikokultur bewusst ist, jedoch die Risikokultur als wesentliches Instrument des Risikomanagements sieht und sich entsprechend ein Bild von der Umsetzung dieses Instruments im Rahmen der aufsichtsrechtlichen Praxis machen wird.
III. Neu: Starker Fokus auf Management von IT-Risiken und Daten
Mit einzelnen Ergänzungen erhöht und konkretisiert die BaFin darüber hinaus die Anforderungen an das IT-Risiko- und Datenmanagement.
Mit dem AT 4.3.1. MaRisk konkretisiert die BaFin nicht nur die Anforderungen an angemessene „Cooling-Off-Perioden“ bei Wechseln innerhalb der Organisation, sondern ebenso die Anforderungen an IT-Berechtigungen sowie ihre regelmäßige Überprüfung.
Im Hinblick auf die IT-Risiken nimmt die BaFin darüber hinaus weitere Konkretisierungen im AT 7.2. vor; so sind IT-Risiken als expliziter Teil in Risikocontrolling- und Steuerungsprozessen anzusehen, individuelle Datenverarbeitungen (IDVen) mit Standard-Anwendungen umfassend gleichzusetzen und somit auch mit angemessenen IT-Risikomanagement auszustatten und der Schutzbedarf verpflichtend festzustellen.
IV. Detaillierung der Anforderungen an Auslagerungen
Die in der Konsultationsphase am meisten diskutierten Regelungen drehen sich um die Handhabe von Auslagerungen.
Mit der Überarbeitung des AT 9 MaRisk reagiert die BaFin auf Mängel, die im Rahmen ihrer aufsichtsrechtlichen Tätigkeit bei Prüfungen festgestellt wurden.
Während das Verbot vollständiger Auslagerungen von Risikofunktionen für große Institute, entsprechend dem Proportionalitätsprinzip, kaum jemanden überraschen dürfte, stellt alleine die Anforderung zur Einrichtung eines zentralen Auslagerungsmanagements (ZAM) eine bedeutsame Neuerung dar. Auslagerungen werden zukünftig somit nicht mehr allein anhand von Vorgaben und Kontrollen des auslagernden Fachbereichs vorgenommen und kontrolliert, sondern müssen ebenso harmonisierten Unternehmensstandards genügen.
Besondere Aufmerksamkeit dürfte zukünftig die Unterscheidung zwischen sonstigem Fremdbezug und Auslagerung bei bankgeschäftlicher Software genießen.
Die BaFin definiert zwar grundsätzlich jeden Bezug von Software als sonstigen Fremdbezug, nimmt von dieser Definition allerdings grundsätzlich jede Software, die zur Durchführung wesentlicher bankgeschäftlicher Aufgaben oder zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation von Risiken genutzt wird, aus.
Hiermit hat die BaFin, nach eigener Aussage, die Streitigkeiten zu diesem Themenkomplex pragmatisch gelöst, bedarf es für eine Einstufung als Auslagerung doch darüber hinaus entweder externer Unterstützungsleistungen oder den Betrieb der Software durch einen externen Dienstleister.
Diese nun durch die BaFin gewählte Definition sollte insbesondere im Hinblick auf den Trend zum Betrieb von Standardsoftware in Software as a Service (SaaS)-Lösungen und den erhöhten Anforderungen an eine Auslagerung zu weiterem Konkretisierungsbedarf führen.
So führt die Einstufung als Auslagerung nicht zuletzt zu der Verpflichtung, ausreichend Know-how zu dem ausgelagerten Prozess vorzuhalten um eine reibungslose Fortführung des Prozesses bei Beendigung des Auslagerungssachverhalts zu gewährleisten.
Mit der Konkretisierung der Anforderungen an die Weiterverlagerung werden darüber hinaus nicht nur die auslagernden Fachbereiche und das ggf. neu einzurichtende ZAM vor neue Herausforderungen gestellt, muss zukünftig doch die gesamte Auslagerungskette in den Prüf- und Kontrollprozess integrierbar sein.
V. Inkrafttreten der Novelle
Aufgrund der langen Konsultationsphase und da viele Regelungen und Konkretisierungen auf Regelungen und Standards beruhen, die bereits auf europäischer Gesetzesebene oder international etabliert sind, ist die MaRisk-Novelle ab sofort in Kraft, allerdings räumt die BaFin eine Umsetzungsfrist bis zum 31.10.2018 für neue Anforderungen ein, sofern Institute nicht bereits anderweitig verpflichtet sind Regelungen, die Bestandteil dieser Novelle sind, einzuhalten.
Fazit
Die Konsultation der MaRisk-Novelle hat über anderthalb Jahre gedauert. Das ist aus Sicht der Autoren in Zeiten der allgegenwärtigen Digitalisierungsbedarfe wie der Brexit-Tätigkeiten eine zu lange Zeitspanne, in der die Aufsichtsobjekte ihre IT-Kompetenz „auf Sicht“ entlang der nicht stabilen Aufsichts-Leitplanken adjustieren mussten. Insofern ist die nun in Kraft getretene Novelle in Hinsicht einer verlässlichen Aufsichtspraxis sehr zu begrüßen.
Mit Spannung wird nun die finale Konkretisierung der Anforderungen an die Informationstechnologie durch die noch ausstehenden „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) erwartet. Des Weiteren dürfte das Aufsichtstandem der Kreditinstitute BAIT/MaRisk immense Strahlkraft auf die Aufsichtspraxis für Versicherungsunternehmen entfalten. Hier will die BaFin das Aufsichtsregime der Banken auf Versicherungsunternehmen übertragen. Mit den „Aufsichtsrechtlichen Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen“ (MaGo) wurde Anfang des Jahres der erste Schritt geschafft. Die Arbeiten zu einer VAIT „Versicherungsaufsichtlichen Anforderungen an die IT“ sollen noch im November in einem eigens gegründeten Fachgremium aufgenommen werden. Zur Verschaffung eines Überblicks zum Stand der Informationssicherheit hatte die BaFin zuvor an alle Versicherungsunternehmen den Fragebogen „Fragen zum Umgang mit Cyberrisiken“ versendet, der zum 3. November beantwortet werden muss.
Die verbreiteten und vertieften Arbeiten der BaFin an der IT-Aufsicht unterstreichen den mittlerweile erreichten Stellenwert der Informationstechnologie für alle Sparten der Finanzwirtschaft. Ausgehend vom Kreditwesen werden nun die Arbeiten in das Versicherungswesen überführt. Weitere Aufsichtssparten und –objekte der BaFin dürften bald folgen.