BAIT: „Zentraler Baustein der Aufsicht über Banken-IT“
Per Rundschreiben hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) Ende Oktober die Novelle der Mindestanforderungen an das Risikomanagement (MaRisk) veröffentlicht. Neben neuen Vorgaben hat die BaFin auch ihre Erfahrungen aus der Aufsichtspraxis in die überarbeiteten MaRisk einfließen lassen. Darauf aufbauend hat sie eine Vielzahl an Regeln präzisiert.
Die bayerischen Volksbanken und Raiffeisenbanken wenden viele dieser Vorgaben im Alltag bereits an, etwa bei der Erfassung von Schadensfällen zur Bewertung der operationellen Risiken. Deshalb ist hier der Umsetzungsaufwand vergleichsweise überschaubar. Anders ist das bei wesentlichen Änderungen, etwa bei der Neuausrichtung der Risikotragfähigkeit, bei den Bestimmungen zur Auslagerung sowie beim Thema Liquidität. Als Frist für die Umsetzung hat die BaFin den 31. Oktober 2018 festgesetzt. Insgesamt müssen die Kreditgenossenschaften im Freistaat bis dahin zwar sehr viele Änderungen prüfen und gegebenenfalls ihr Risikomanagement anpassen, der Genossenschaftsverband Bayern (GVB) hält den Umsetzungsaufwand jedoch insgesamt für darstellbar.
Was sind die MaRisk?
Die Mindestanforderungen an das Risikomanagement (MaRisk) sind ein Instrument der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zur Ausgestaltung des Risikomanagements bei deutschen Kreditinstituten. Sie geben die Aufsichtspraxis der BaFin wider und dienen der Auslegung allgemeiner gesetzlicher Vorgaben. Die MaRisk werden von der BaFin im Abstand von mehreren Jahren per Rundschreiben veröffentlicht. Die jüngste Neufassung stammt vom 27. Oktober 2017. Sie ersetzt alle älteren Versionen.
Mit der eigenen Risikokultur auseinandersetzen
Bereits im begleitenden Anschreiben an die Verbände der Kreditwirtschaft hat die Bankenaufsicht darauf hingewiesen, dass sich die Institute zukünftig stärker mit ihrer Risikokultur auseinandersetzen sollen.
Die Institute werden angehalten, für sich zu definieren, welche Geschäfte, Verhaltensweisen der Mitarbeiter und Geschäftspraktiken für sie akzeptabel sind. Außerdem sollen die Banken ihre Mitarbeiter auf gemeinsame Werte und Praktiken einschwören und den kritischen Dialog über mögliche Risiken fördern, die mit einzelnen Geschäften der Bank verbunden sind. Das Kapitel AT 3 der MaRisk thematisiert dazu die Gesamtverantwortung des Vorstands für die Risikokultur. In Kapitel AT 5 Textziffer (Tz.) 6 fordert die Aufsicht die Institute zudem auf, einen Verhaltenskodex für Mitarbeiter in die Organisationsrichtlinien aufzunehmen. Kleinere Institute mit wenig komplexen Aktivitäten können jedoch auf die schriftliche Fixierung eines Verhaltenskodex verzichten.
Zwei Perspektiven auf die Risikotragfähigkeit
Wesentliche Änderungen bei der Bewertung der Risikotragfähigkeit eines Instituts enthalten die MaRisk-Kapitel AT 4.1 Tz. 2 und BT 3.2 Tz. 6. Sie rücken die Wechselwirkung einer gleichzeitigen Gewinn-und-Verlust- (GuV-) und Barwertsteuerung in den Fokus. Dabei fordert die Aufsicht zwei unterschiedliche Blickwinkel auf die Risikotragfähigkeit. Zum einen müssen die Institute eine normative Perspektive darstellen, um die laufende Einhaltung der regulatorischen und aufsichtlichen Anforderungen sicherzustellen. Zum anderen fordert die BaFin eine ökonomische, barwertige Perspektive, die losgelöst von handelsrechtlichen Gestaltungsmöglichkeiten die laufende Risikotragfähigkeit über die nächsten zwölf Monate sichert. Konkrete Ausführungen dazu werden im neuen Leitfaden zur „Aufsichtlichen Beurteilung bankinterner Risikotragfähigkeitskonzepte“ (RTF-Leitfaden) enthalten sein, der im ersten Quartal 2018 veröffentlicht werden soll. Institute können vorerst das bisherige Verfahren fortführen (Going-Concern-Ansatz), sie sollten sich jedoch gleichzeitig intensiv mit dem neuen Risikotragfähigkeitskonzept beschäftigen.
Verfahrensregeln für interne Stresstests
In Kapitel AT 4.3.3 Tz. 2 stellt die BaFin Verfahrensregeln für interne Stresstests klar. Der Aufsicht ist wichtig, dass die Banken die Wechselwirkungen von institutseigenen und marktweiten Risiken im Blick behalten und in vernetzten Stresstests überprüfen, wie sich übergeordnete Szenarien auf institutseigene Gegebenheiten auswirken. Als Szenarien für so einen vernetzten Stresstest kommen zum Beispiel ein konjunktureller Abschwung oder das Ende der Niedrigzinsphase infrage.
Anforderungen an die Risikoberichterstattung
Komplett neu ist das Kapitel BT 3 „Anforderungen an die Risikoberichterstattung“, in dem neben allgemeinen Anforderungen detaillierte Vorgaben an den Inhalt einer Risikoberichterstattung aufgelistet werden. Dazu zählen nun auch Angaben zur Angemessenheit der Kapitalausstattung, zum aufsichtsrechtlichen und ökonomischen Kapital, zu den aktuellen Kapital- und Liquiditätskennzahlen sowie Angaben zu Refinanzierungspositionen. Zu Kapital- und Liquiditätskennzahlen sowie zu Refinanzierungspositionen sind Prognosen aufzunehmen, wie sich diese entwickeln werden.
Aussagekräftige Bewertung von Liquiditätsrisiken
Weitere wesentliche Neuerungen finden sich auch bei der Bewertung von Liquiditätsrisiken (BTR 3). Hier werden die Institute dazu angehalten, zukünftig aussagekräftige Liquiditätsübersichten vorzuhalten. Hierfür wird die Einführung einer Liquiditätsablaufbilanz (LAB) notwendig sein. Unabhängig davon muss zukünftig auch ein kombinierter Stresstest für Liquiditätsrisiken gerechnet werden, der sowohl institutsindividuelle als auch marktweite Ursachen berücksichtigt. Hierbei soll vom Institut der Zeitpunkt ermittelt werden, ab welchem Tag der unterstellte Stress zu Liquiditätsengpässen führt (Überlebenshorizont). Letztlich muss das Institut einen internen mehrjährigen Refinanzierungsplan erstellen, der sowohl strategische Ziele als auch externe Einflüsse und Rahmenbedingungen sowie mögliche, den eigenen Annahmen entgegenstehende Entwicklungen berücksichtigt.
Weitere Regelungen
In Kapitel BTR 4 Tz. 1 wird eine trennschärfere Handhabung der Identifikation und Erfassung von operationellen Risiken gefordert. AT 4.1 Tz. 9 erläutert, wie mit externen Daten umgegangen werden muss, die unter anderem zur Risikoermittlung verwendet werden. Für die bayerischen Volksbanken und Raiffeisenbanken bedeutet dies vor allem, dass sie mit Hilfe von geeigneten qualitativen Merkmalen eine kritische Würdigung der verwendeten Daten dokumentieren müssen.
Bei der Aufbau- und Ablauforganisation sind gemäß Kapitel AT 4.3.1 Tz. 1 bei einem Wechsel von Mitarbeitern der Handels- und Marktbereiche ins Risikocontrolling, in Compliance-Funktionen, in die Marktfolge oder in die Bereiche Abwicklung und Kontrolle angemessene Übergangsfristen vorzusehen, um unvereinbaren Tätigkeiten entgegenzuwirken. Dabei können kleinere und weniger komplexe Institute alternativ zu Übergangsfristen angemessene Kontrollmechanismen einrichten.
Hinsichtlich der Anforderungen an die technisch-organisatorische Ausstattung sind gemäß Kapitel AT 7.2 für IT-Risiken angemessene Überwachungs- und Steuerungsprozesse einzurichten. Hilfe bei der Umsetzung bieten der Standard für Ordnungsmäßigkeit der IT-Verfahren (SOIT) der Fiducia & GAD IT AG sowie die Verbundinterpretation zu den bankaufsichtlichen Anforderungen an die IT (BAIT) des Bundesverbands der Deutschen Volksbanken und Raiffeisenbanken (BVR).
Kapitel AT 8.1 regelt nun auch die Kennzeichnungspflicht von Produkten, die einige Zeit nicht mehr vertrieben wurden. Wollen die Institute diese wieder anbieten, müssen sie zuvor prüfen, ob sich im Vergleich zum letzten Abschluss die Geschäftsprozesse verändert haben. Bei Veränderungen ist zu prüfen, ob erneut der Neu-Produkt-Prozess zu durchlaufen ist.
Wie der GVB unterstützt
Der GVB unterstützt seine Banken bei der Umsetzung der neugefassten MaRisk auf vielfältige Weise, unter anderem durch Rundschreiben, Webinare der Akademie Bayerischer Genossenschaften (ABG) sowie durch Seminare, die für das zweite Halbjahr 2018 geplant sind. Im Vorfeld der jährlichen Bankenprüfung bietet der GVB seinen Mitgliedern einen MaRisk-Umsetzungscheck an. Der GVB erarbeitet in führender Rolle die Verbundmeinung zu den MaRisk. Dabei legt er das Augenmerk auf eine möglichst schlanke und praxisgerechte Umsetzung der Anforderungen.
Robert Bruckmann ist Referent in der Abteilung Grundsatz des GVB, die unter grundsatz(at)gv-bayern.de zu erreichen ist.