Alles Neue bringt der Herbst - 6. MaRisk-Novelle wurde veröffentlicht

Am 16. August veröffentlichte die BaFin die finale Fassung ihres veränderten Rundschreibens. Doch wie werden die wichtigen Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA) in Bezug auf das Risikomanagement (MaRisk), die Bankaufsichtlichen Anforderungen an die IT (BaIT) und die zahlungsdienstaufsichtlichen Anforderungen an die IT (ZAIT) in Zukunft national umgesetzt? Im Kern der Veröffentlichung steht der Umgang mit notleidenden Risikopositionen („Forbearance“), die Auslagerungsvereinbarungen und die Sicherheitsanforderungen in Bezug auf Informations- und Kommunikationstechnologien. Die Änderungen erfordern eine umfassende Umstellung – auch wenn viele der Themen schon in den vorangegangenen Konsultationspapieren angesprochen und diskutiert wurden. Der zeitliche Rahmen ist dabei knapp: Sowohl die Anforderungen an ein Auslagerungsregister als auch die Überprüfung bestehender wesentlicher Auslagerungsvereinbarungen müssen bis 31.12.2021 umgesetzt werden.

Die wichtigsten Änderungen für die Unternehmen

• Abbau notleidender und gestundeter Kredite: die NPE Guidelines AT 4.2 und BTO 1.2 (MaRisk)

Betroffen von diesen Anforderungen sind hauptsächlich Institute mit einer Quote von fünf Prozent oder mehr notleidender oder gestundeter Kredite (NPE /NPL). Sie müssen eine Strategie entwickeln, um diese Positionen in einem zeitlich festgelegten Rahmen abzubauen. Institute mit hohem NPL-Bestand sind zusätzlich verpflichtet, eine spezialisierte Abwicklungseinheit einzurichten. Allerdings sind diese Anforderungen erst zu erfüllen, wenn die Zahlen an zwei aufeinander folgenden Quartalstichtagen höher als die festgelegten NPL-Quoten sind. Die BaFin geht allerdings davon aus, dass Institute sich schon frühzeitig mit den Bestimmungen auseinandersetzen und handeln, wenn Überschreitungen für sie absehbar werden. Hier gilt es dann auch, die Anforderungen zu den Risikopositionen zu beachten und die entsprechenden Richtlinien beziehungsweise Prozesse zu etablieren.

• Verschärfung der Anforderungen an Auslagerungsvereinbarungen: die AT 9 (MaRisk)

Es ist weiterhin erlaubt, Prozesse auszulagern. Allerdings muss der Dienstleister über entsprechende Kompetenzen und Genehmigungen verfügen, um seine Leistungen durchführen zu dürfen. Dies kann bei ausländischen Dienstleistern durchaus zum Problem werden. Die vollständige Auslagerung von essenziellen Funktionen wie Risikocontrolling, Interne Revision oder Compliance ist ebenfalls möglich, wenn das Institut nicht als wesentlich eingestuft ist. Bei allen wesentlichen Auslagerungen müssen die schriftlichen Verträge bestimmte Mindestbestandteile beinhalten. Dazu gehören: Bezug auf geltendes Recht, zu dokumentierende Notfallkonzepte aller Beteiligten, Beginn und Ende sowie genaue Leistungsbeschreibung und -umfang. Darüber hinaus müssen der bzw. die jeweiligen Dienstleister mit den Werten und Inhalten des Verhaltenskodex („Code of Conduct“) des auslagernden Instituts übereinstimmen und es muss stets der kontrollierende Zugriff auf die Daten durch das Institut gewährleistet sein – selbstverständlich in geeigneter Form.

Ob wesentlich oder nicht wesentlich: Alle Auslagerungen müssen stets in einem Auslagerungsregister aufgeführt werden. Diese sind durch einen Auslagerungsbeauftragten in Verbindung mit einem zentralen Auslagerungsmanagement zu beaufsichtigen, im Sinne eines umfassenden Bezugs auf die Kernfunktionen, die Strategie und auf die Kontrolle durch das auslagernde Institut.

• Prüfung und Simulation von Ausfällen: das IT Notfallmanagement (BAIT)

Dieses angekündigte „neue Thema“ im neuen Kapitel „Operative Informationssicherheit“ zielt darauf ab, dass mindestens einmal jährlich eine unabhängige Prüfung und Simulation von Ausfällen von IT-Plattformen oder -Diensten erfolgen müssen. Die Ergebnisse dieser Tests oder Simulationen müssen im Nachgang analysiert und entsprechende Maßnahmen zur Beseitigung von Engpässen oder Problemen entsprechend adressiert werden.

Vereinfachte Umsetzung durch rechtzeitige Planung

Betrachtet man die neuen bzw. weiter konkretisierten Handlungsfelder, die sich mit der 6. MaRisk-Novelle auftun, wird schnell eines klar: Betroffene Banken oder Finanzdienstleister sollten sich weiterhin auf eine komplexe, aufwändige Umsetzungsphase für die Vorgaben der EBA bzw. der BaFin einstellen. Unsere profunden Erfahrungen mit der Umsetzung der 5. Novelle zeigen, dass eine frühzeitige Diskussion und Planung die Implementierung erheblich vereinfachen können und insgesamt störungsfreier ablaufen lassen. Wir empfehlen den Instituten daher, auf der Basis entsprechender Analysen und Simulationen rasch ihre Lücken in der Umsetzung zu identifizieren, entsprechende interne Handlungsempfehlungen auszusprechen und deren Durchführung zu planen und zu überwachen. So werden relevante Ressourcen wie Fachabteilungen, IT-Experten und Architekten besser geschont. Ein weiterer Erfolgsfaktor ist die konsequente und umfassende Programmsteuerung über alle identifizierten Maßnahmen und notwendigen Anpassungen hinweg – auch die laufende Qualitätssicherung sollte hierbei unbedingt inkludiert sein. Für die notwendige schriftliche Dokumentation aller Prozesse und Maßnahmen sollten ebenfalls ausreichend Zeit und Ressourcen eingeplant werden. Darüber hinaus müssen die betroffenen Abteilungen und Partner sowie Dienstleister über die Anpassungen rechtzeitig informiert werden.