Prof. Dr. Dirk Wohlert hat uns die aktuellsten Fragen zu den Neuerungen der 5. MaRisk-Novelle in einem Interview beantwortet. Finden Sie heraus welche neuen Anforderungen Ihr Institut in Zukunft bewältigen muss und welche Herausforderungen sich daraus ergeben.
Prof. Dr. Dirk Wohlert ist Professor für Wirtschaftsmathematik und Finanzwesen an der Hochschule Neu-Ulm sowie Trainer und Berater in bankaufsichtlichen Fragen.
Zuvor war er im Risikocontrolling der Deutsche Bank AG und anschließend als Hauptgruppenleiter und Prüfungsleiter im Bereich Bankenaufsicht bei der Deutschen Bundesbank, Hauptverwaltung München tätig. Professor Wohlert ist zudem Autor und Herausgeber verschiedener Fachbeiträge im Bereich Risikomanagement und Bankenaufsicht
Prof. Dr. Dirk Wohlert nennt uns fünf wesentliche Punkte, die bei der neuen MaRisk-Novelle beachtet werden sollten:
1
Risikodatenaggregation
Über das neu eingefügte Modul AT 4.3.4 werden in Umsetzung entsprechender Vorgaben des Baseler Ausschusses für Bankenaufsicht (BCBS 239) neue Anforderungen an die Risikodatenaggregation erhoben, die allerdings nur für systemrelevante Institute zwingend umzusetzen sind.
2
Risikoberichterstattung
In dem neuen Modul BT 3 finden sich wichtige neue Anforderungen, unter anderem hinsichtlich einer stärker zukunftsorientierten Berichterstattung und einem ausgewogenen Verhältnis zwischen quantitativen und qualitativen Informationen.
3
Risikokultur
Das Modul AT 3 der MaRisk beinhaltet nach wie vor die Verantwortlichkeiten der Geschäftsleitung – nun wird auch die Entwicklung, Förderung und Integration einer angemessenen Risikokultur gefordert.
4
Auslagerungen
Auslagerungen sind verbunden mit der Gefahr eines Know-how-Verlustes im auslagernden Institut und begrenzten Kontrollmöglichkeiten. Deshalb hat die Aufsicht das bestehende Modul AT 9 zu Auslagerungen umfangreich erweitert.
5
Weitere Neuerungen
Ergänzend finden sich viele weitere Änderungen, deren Umsetzungsaufwand abhängig von der Systemlandschaft, den Geschäftsschwerpunkten und den bisherigen Prozessen unterschiedlich hoch sein kann. Hier muss jedes Institut selbst in einer entsprechenden und dokumentierten Analyse alle Änderungen auf ihren Umsetzungsbedarf analysieren.
Der Umsetzungsaufwand ist abhängig von den institutsinternen Gegebenheiten. Aus der Sicht von Prof. Dr. Wohlert ist es sehr wichtig genau zu klären, welche Personen im Institut für die adäquate Beurteilung und Umsetzung der einzelnen Änderungen geeignet und zuständig sind. Oftmals werden hier auch entsprechende Arbeitsgruppen oder Projekte gebildet.
Natürlich ist die Umsetzung der bereits genannten Kernanforderungen eine Herausforderung wie beispielsweise IT-Änderungen zur Verbesserung der Risikodatenaggregation und der Berichterstattung sowie vertragliche und konzeptionelle Probleme bei den erweiterten Anforderungen zur Auslagerung (z. B. hinsichtlich Kernbankbereichen und relevanten externen Unterstützungsleistungen im Software-Bereich). Hinsichtlich der Risikokultur sind gegebenenfalls die Erstellung eines Verhaltenskodexes, die geeignete Kommunikation im Institut sowie die Festlegung entsprechender Anreize und Sanktionen neue und herausfordernde Teilaspekte.
Aber natürlich können sich auch bei weiteren Neuerungen größere Herausforderungen ergeben wie bei der prozessualen Umsetzung der Forbearance-Anforderungen (z. B. bei der Intensivbetreuung) oder den erweiterten Anforderungen zu neuen Produkten und Märkten.
Es besteht hier das Risiko, dass die neuen Anforderungen nicht in adäquater Qualität oder nicht im vorgegebenen Zeitrahmen umgesetzt werden können. Dies kann abhängig vom Ausmaß neben Prüfungsfeststellungen entsprechender Prüfer auch wirtschaftliche Konsequenzen haben wie Verluste durch Fehleinschätzungen aufgrund von fehlerhaften Risikodaten (und damit verbundenen falschen Steuerungsmaßnahmen) oder durch mangelnde Qualität der Leistung im Rahmen der Auslagerung.
Gleiches gilt auch für die 20-seitigen bankaufsichtlichen Anforderungen an die IT (BAIT) vom November 2017. Diese sind zwar kein offizieller Bestandteil der MaRisk, ergänzen diese jedoch hinsichtlich der IT-Anforderungen. So werden in den BAIT einige MaRisk-Anforderungen, insbesondere hinsichtlich der IT-Strategie und zu IT-Auslagerungen, konkretisiert und die Erwartungen der Aufsicht in weiteren wichtigen Kernbereichen der IT wie dem Informationssicherheits- und Benutzerberechtigungsmanagement neu geregelt. Obwohl es für die BAIT keine Umsetzungsfrist gibt, weil die BaFin nur von einer Konkretisierung ihrer Erwartungen spricht, sollten analog zu den MaRisk-Neuerungen auch die BAIT intensiv auf Defizite und Umsetzungserfordernisse analysiert werden.
Prof. Dr. Wohlert erwartet, dass nicht nur die neuen Anforderungen der MaRisk, sondern auch der BAIT zukünftig intensiven Prüfungen der Bankenaufsicht unterliegen werden.
Ganz wesentlich ist, dass die Anforderungen im Hinblick auf die Risikokultur und den Strategieprozess nicht nur formal umgesetzt werden, sondern die Umsetzung wirklich den Zielen des Instituts entspricht und auch gelebt wird.
Was nützt der beste Verhaltenskodex, den keiner beachtet oder eine Strategie mit zu pauschalen und selbstverständlichen Inhalten?
Wichtig erscheint Prof. Dr. Wohlert, dass die Risikokultur angenommen wird und dass die Strategien wirklich die Ziele des Instituts darstellen, verbundenen mit entsprechenden Umsetzungs- und Überwachungsmaßnahmen. Letzteres können z. B. Kennzahlen sein, die auch regelmäßig an die Geschäftsleitung berichtet werden und die Zielerreichung aufzeigen.
Prof. Dr. Wohlert hat die neuen MaRisk auf den Punkt gebracht. Die einzelnen Risiken und Herausforderungen sind von Instituten zu beachten sowie aktiv zu meistern. Diese verpflichtende Regelungen stellen auch an die Bank strenge Anforderungen an die Gesamtstrategie und Risikoprozesse.
Die Finanzbranche befindet sich im Umbruch und hat mit der Künstlichen Intelligenz ein neues Anwendungsfeld im Bereich der digitalen Transformation geschaffen. Wie können Sie Ihre Geschäftsprozesse optimieren?