MaRisk Konsultationsentwurf Fassung vom Überblick und Kommentierung

Transkript

1 MaRisk Konsultationsentwurf Fassung vom Überblick und Kommentierung Februar 2016

2 Einführung Die BaFin hat am gemeinsam mit der Deutschen Bundesbank einen Konsultationsentwurf zur Neufassung der MaRisk veröffentlicht. Mit der Neufassung wird den Entwicklungen im Risikomanagement seit der letzten Überarbeitung aus dem Jahre 2012 Rechnung getragen. Dies betrifft u.a.: Supervisory review and evaluation process (SREP) BCBS 239 FSB: Guidance on Supervisory interaction with financial institutions on Risk Culture Die Änderungen der MaRisk betreffen folgende Schwerpunktbereiche: Erfordernis einer angemessene Risikokultur (AT 3) Risikodatenaggregation und Risikoberichterstattung (AT 4.3.4) Auslagerungen (AT 9) Auf den nachfolgenden Folien werden die Änderungen in den Schwerpunktbereichen und weitere relevanten Änderungen vorgestellt und kommentiert. Die Industrie kann bis zum zum aktuellen Entwurf Stellung beziehen. Dr. Peter & Company AG Februar

3 Allgemeiner Teil Management Summary Wesentliche Anpassungen im Überblick Abschnitt Wesentliche Änderungen AT 3 Gesamtverantwortung der Geschäftsleitung Entwicklung, Förderung und Integration einer angemessenen Risikokultur innerhalb des Instituts und der Gruppe (AT 3, Tz. 1) AT 4 Allgemeine Anforderungen an das Risikomanagement Prozessuale u. organisatorische Trennung von Modellentwicklung und Validierung (AT 4.1. Tz. 10) Angemessene Übergangsfristen bei Mitarbeiterwechsel von Handels- und Vertriebsbereichen (bei Interner Revision: alle Bereiche) in Kontrollbereiche ( Cooling-Off ) (AT 4.3.1, Tz. 1) Etablierung von angemessenen Risikosteuerungs- und controllingprozessen für IT-Risiken (AT 4.3.2, Tz. 1) Konkretisierung der Anforderungen zur Durchführung von Stresstests auf Gesamtinstitutsebene (AT 4.3.3, Tz. 2) Anforderungen an das Datenmanagement, Datenqualität und Aggregation von Risikodaten (AT 4.3.4) Anordnung der Compliance-Funktion unmittelbar unterhalb der Geschäftsleitung bzw. als eigenständige Organisationseinheit bei großen u. komplexen Instituten (AT 4.4.2, Tz. 3 u. 4) Vereinheitlichung der Revisionsgrundsätze und Prüfungsstandards auf Gruppenebene (AT 4.5, Tz. 6) AT 5 Organisationsrichtlinien Erfassung der Verfahren, Methoden und Prozesse zur Risikodatenaggregation sowie einen Verhaltenskodex für die Mitarbeiter (AT 5, Tz. 3) AT 7 Ressourcen Die Anforderungen an die technisch organisatorische Ausstattung sind auch bei selbst entwickelte Anwendungen (IDV) zu beachten (AT 7.2, Tz. 4) AT 8 Anpassungsprozesse Konkretisierung der Anforderungen an die Ausgestaltung des NPP (AT 8.1, Tz. 2 und 8) AT 9 Auslagerungen Zivilrechtliche Gestaltungen sind für die Beurteilung von Auslagerungssachverhalten unerheblich (Tz. 1) Konkretisierung der Anforderungen an die Ausgestaltung von Weiterverlagerungen (Tz. 7) Besondere Maßstäbe für die Voll- oder Teilauslagerung der Kontrollbereiche (Risikocontrolling, Compliance, Interne Revision) (Tz. 2) Dr. Peter & Company AG Februar

4 Besonderer Teil Management Summary Wesentliche Anpassungen im Überblick Abschnitt Wesentliche Änderungen BTO 1 Kreditgeschäft Verschärfung der Anforderungen an die Kreditvergabe bei Hypothekendarlehen an Verbraucher (BTO 1.2.1, Tz. 2) Konkretisierung der Anforderungen an die Prüfung von Kreditsicherheiten (BTO 1.2.1, Tz. 3) Marktschwankungskonzepte ungeeignet für die Überprüfung der Werthaltigkeit von Immobiliensicherheiten (BTO 1.2.2, Tz. 3) Berücksichtigung von Forebearance-Maßnahmen als zusätzliche Kriterien für die Übernahme von Krediten in die Intensivbetreuung (BTO 1.2.4, Tz. 1) BTR 1 Adressenausfallrisiken Erfassung der Erlöse aus der Abwicklung von Kreditengagements sowie der zugehörigen historischen Werte der Kreditsicherheiten in einer Erlösquotensammlung (Tz. 7) BTR 3 Liquiditätsrisiken Anforderung zur Sicherstellung der untertägigen Liquidität (BTR 3.1, Tz. 1) Belastung von Vermögenswerten ist bei der Identifizierung von potentiellen Liquiditätsengpässen auch bei angespanntem Marktumfeld und bei der Notfallplanung zu berücksichtigen (BTR 3.1, Tz. 2) Anforderung zur Aufstellung von Refinanzierungsplänen (BTR 3.1, Tz. 12) BTR 4 Operationelle Risiken Abgrenzung von Operationellen Risiken sollte klar von anderen Risiken erfolgen (Tz. 1) Prozess zum Umgang mit Operationellen Risiken sollte auch den Umgang mit nicht eindeutig zuordenbaren Risiken, Beinaheverlusten und zusammenhängenden Ereignissen umfassen (Tz. 1) BT 3 Anforderungen an die Risikoberichterstattung Die Anforderungen an die Risikoberichterstattung wurden im neuen Modul BT 3 zusammengefasst und um die relevanten Inhalte von BCBS 239 ergänzt Die Berichte müssen auf vollständigen, aktuellen und genauen Daten basieren (BT 3.1, Tz. 1) Die Institute müssen in der Lage sein Ad-hoc Risikoberichte erstellen zu können (BTR 3.1, Tz. 2) Die Risikoberichte sind in einem angemessenen zeitlichen Umfang zu erstellen (BTR 3.1, Tz. 4) Dr. Peter & Company AG Februar

5 1 Erfordernis einer angemessenen Risikokultur AT 3 und AT 5 Zur Gesamtverantwortung der Geschäftsleiter gehört auch die Entwicklung, Förderung und Integration einer angemessenen Risikokultur innerhalb des Instituts und der Gruppe (AT 3, Tz. 1) Die Risikokultur beschreibt allgemein die Art und Weise, wie Mitarbeiter des Instituts im Rahmen ihrer Tätigkeit mit Risiken umgehen (sollen) (AT 3, Tz. 1, Erläuterung) In den Organisationsrichtlinien ist ein Verhaltenskodex für die Mitarbeiter zu erfassen (AT 5, Tz. 3 g) PCo Kommentar Die Ausführungen in den MaRisk spiegeln aggregiert die bereits detaillierter spezifizierten Anforderungen aus der aufsichtlichen Literatur zur Risikokultur wider (FSB, BCBS, EBA und BaFin Journal). Für die Prüfungspraxis der Aufsicht ist davon auszugehen, dass insbesondere folgende Aspekte hinsichtlich der Risikokultur analysiert werden: Vorbildfunktion des Top- / Senior-Managements Dokumentation der Risikokultur Kommunikation und Kontrolle der Unternehmenswerte Identifizierung und Behandlung von Schwächen der Risikokultur Dr. Peter & Company AG Februar

6 2 Risikodatenaggregation und Risikoberichterstattung AT Die Anforderungen richten sich an große und komplexe Institute (Indikation: > 30 Mrd. EUR Bilanzsumme) und gelten sowohl auf Gruppenebene als auch auf Ebene wesentlicher Einzelinstitute (Tz. 1) Die Institute müssen Grundsätze für das Datenmanagement, die Datenqualität und die Aggregation der Risikodaten festlegen (AT 4.3.4, Tz. 1, AT 5 Tz. 3c) Die Datenstruktur und hierarchie muss gewährleisten, dass Daten zweifelsfrei identifiziert, zusammengeführt und ausgewertet werden können (Tz. 2). Die Risikodaten müssen genau und vollständig sein, automatisch aggregiert und nach verschiedenen Kategorien auswertbar sein. Manuelle Eingriffe müssen begründet, dokumentiert und auf das inhaltlich notwendige Maß beschränkt werden (Tz. 3). Es muss gewährleistet werden, dass die Risikodaten unter gewöhnlichen Umständen und in Stressphasen bereitgestellt werden können. Ad-hoc-Auswertungen müssen möglich sein (Tz. 5 u. 6). Für alle Prozessschritte sind Verantwortlichkeiten festzulegen und entsprechende prozessunabhängige Kontrollen einzurichten (Tz. 7). PCo Kommentar Die Anforderungen entsprechend im Wesentlichen den Ausführungen in BCBS 239. Zwar gelten die Regelungen nur für große und komplexe Institute die Aufsicht appelliert im Anschreiben aber auch an die anderen Institute ihre Datenaggregationskapazitäten zu überprüfen und zu verbessern. Dr. Peter & Company AG Februar

7 3 Auslagerungen AT 9 Zivilrechtliche (Vertrags-)gestaltungen können nicht herangezogen werden, um den Tatbestand einer Auslagerung auszuschließen (Tz. 1) Die Risikoanalyse als Grundlage zur Identifikation der wesentlichen Auslagerungen hat auf Grundlage von institutsweit bzw. gruppenweit einheitlichen Vorgaben zu erfolgen (Tz. 2) Eine Auslagerung von Kernbereichen kann nur in einem Umfang vorgenommen werden, so dass gewährleistet ist, dass das Institut weiterhin über fundierte Kenntnisse und Erfahrungen in den Bereichen verfügt. Besondere Anforderungen gelten für die Auslagerung der Kontrollfunktionen (Tz. 5): Eine vollständige Auslagerung der Risikocontrolling-Funktion ist nicht möglich. Eine vollständige Auslagerung der Compliance-Funktion und der Internen Revision ist nur bei kleinen Instituten möglich, bei denen die Einrichtung der Funktionen nicht angemessen erscheint. Die Anforderungen an das zu etablierende Auslagerungsmanagement werden konkretisiert (Tz. 11). PCo Kommentar Wurde bislang von der BaFin die Etablierung eines zentralen Auslagerungsmanagements lediglich begrüßt, wird dieses nun explizit eingefordert. Die Neuerungen sind z. T. europäisch (SREP Verweis auf CEBS) und international (US: OCC, Third- Party-Risk) bereits (geforderte) Praxis. Neu ist die Konkretisierung hinsichtlich der Grenzen der Auslagerungen für die Kontrollfunktionen. Dr. Peter & Company AG Februar

8 4 Auswahl weiterer relevanten Änderungen Änderungen AT Risikosteuerungs- und -controllingprozesse Für IT-Risiken sind angemessene Risikosteuerungs- und -controllingprozesse einzurichten (Bestimmung Schutzbedarf, Ableitung von Sicherheitsanforderungen sowie Festlegung von entsprechenden Sicherheitsmaßnahmen). AT Stresstests Die Anforderungen an Stresstests auf Gesamtinstitutsebene werden in den MaRisk konkretisiert (Tz. 2): Regelmäßige und ggf. anlassbezogene Stresstests sind auch für das Gesamtrisikoprofil des Instituts durchzuführen Es sind geeignete übergeordnete Szenarien zu definieren, die potentielle makroökonomische Entwicklungen und relevante externe Faktoren widerspiegeln. Die potentiellen Auswirkungen der Szenarien auf die unterschiedlichen Risikoarten müssen die Wechselwirkungen zwischen den Risikoarten berücksichtigen. PCo-Kommentar Die Formulierung in den MaRisk sind allgemein gehalten Die Ausführungen in den SREP-GL sind konkreter (Tz ); IT- Risiken sind von den IKT-Risiken abzugrenzen Bislang war lediglich in AT Tz. 1 erfasst, dass die Stresstests auch auf Gesamtinstitutsebene durchzuführen sind Die neue Formulierung in Tz. 2 stellt somit im Wesentlichen eine Konkretisierung dar Dr. Peter & Company AG Februar

9 4 Auswahl weiterer relevanten Änderungen Änderungen BTR 1 Adressenausfallrisiken, Tz. 7 Anforderzug zur Erfassung der Erlöse aus der Abwicklung von Kreditengagements sowie der zugehörigen Werte der historischen Kreditsicherheiten in einer Erlösquotensammlung Erkenntnisse aus der Erlösquotensammlung sind bei der Steuerung der Adressenausfallrisiken zu berücksichtigen BTR 3 Liquiditätsrisiken Anforderung zur Sicherstellung der untertägigen Liquidität soweit erforderlich (BTR 3.1, Tz. 1) Belastung von Vermögenswerten ist bei der Identifizierung von potentiellen Liquiditätsengpässen zu berücksichtigen (BTR 3.1, Tz. 2) Konkretisierung der Ausgestaltung der Stresstests für Liquiditätsrisiken (kombinierte Betrachtung von institutseigenen und marktweiten Ursachen für Liquiditätsrisiken) (BTR 3.1, Tz. 8) Die Institute müssen einen mehrjährigen Refinanzierungsplan aufstellen, der die Strategien, den Risikoappetit und das Geschäftsmodell angemessen widerspiegelt (BTR 3.1, Tz. 12). PCo-Kommentar Die Anforderung ist korrespondierend zu der SREP-GL Tz. 169 f.) bzw. Tz. 172 b.) ausgestaltet. Die Anforderungen sind für (SSM-)Institute nicht neu: Untertägige Liquidität: SREP-GL Tz. 386 u. 387 Offenlegung belasteter Vermögenswerte: EBA/GL/2014/03 Stresstests: SREP-GL Tz. 390 d.) Refinanzierungsplan: SREP-GL Tz. 420 ff. Dr. Peter & Company AG Februar

10 4 Auswahl weiterer relevanten Änderungen Änderungen BTR 4 Operationelle Risiken Institutsintern ist eine einheitliche Festlegung und Abgrenzung der Operationellen Risiken vorzunehmen und an die Mitarbeiter zu kommunizieren (Tz. 1). Das Institut hat eine angemessene Erfassung von Schadenfällen sicherzustellen (Tz. 3). Bei größeren Instituten sollte hierfür eine Ereignisdatenbank eingerichtet werden. BT 2 Besondere Anforderungen an die Ausgestaltung der Internen Revision Beim Wechsel von Mitarbeitern anderer Organisationseinheiten zur Internen Revision sind angemessene Übergangsfristen von i.d.r. einem Jahr vorzusehen, innerhalb derer diese Mitarbeiter keine Tätigkeiten prüfen dürfen, die gegen das Verbot der Selbstprüfung und überprüfung verstoßen ( Cooling-off ) (BT 2.2, Tz. 3). Die Risikobewertungsverfahren der Internen Revision haben eine Analyse des aktuellen und zukünftigen Risikopotenzials der Aktivitäten und Prozesse zu beinhalten (BT 2.3, Tz. 2). PCo-Kommentar Die Anforderungen sind nicht neu und stellen lediglich eine Konkretisierung dar. In den EBA/RTS/2015/07 1 Artikel 5 wurde die Anforderung an die Cooling-off-Periode bereits skizziert. 1 Regulatory Technical Standards on independent valuers under Article 36(14) of Directive 2014/59/EU. Dr. Peter & Company AG Februar

11 4 Auswahl weiterer relevanten Änderungen Änderungen BT 3 Anforderungen an die Risikoberichterstattung Der Abschnitt BT3 wurde neu in die MaRisk aufgenommen und gliedert sich in die folgenden Teilabschnitte: BT 3.1 Allgemeine Anforderungen an die Risikoberichte BT 3.2 Berichte der Risikocontrolling-Funktion BT 3.3 Berichte der Compliance-Funktion BT 3.4 Berichte der Markt- und Handelsbereiche BT 3.5 Berichte zu Auslagerungen PCo-Kommentar Die Anforderungen an die Risikoberichterstattung werden im neu geschaffenen BT 3 aus den bisherigen Abschnitten der MaRisk konsolidiert. Inhaltlich neu sind lediglich die zusätzlich erfassten Inhalte aus BCBS 239. Dr. Peter & Company AG Februar

12 Kontakt Markus Quick Dr. Peter & Company AG Steinweg Frankfurt am Main Telefon +49 (0)69 / Mobil +49 (0) 151 / markus.quick@pco-ag.de