MaRisk 6.0 – Würdigung der finalen Version vom 27.10.2017, Darstellung von Umsetzungsempfehlungen und Aufbau eines Projektplans

Prof. Dr. Svend Reuse, MBA. Bereichsleiter für Gesamtbanksteuerung der Stadtsparkasse Remscheid. Honorarprofessor an der FOM Hochschule für Oekonomie und Management sowie Fachbeiratsmitglied im isf – Institute for Strategic Finance^[1]

Stand: 02.11.2017

1. Einleitende Worte und historischer Abriss^[2]

Die mittlerweile sechste Version bzw. fünfte Novelle der MaRisk hat eine so lange Entwicklungszeit hinter sich wie sonst keine Novelle zuvor: zweieinhalb Jahre. Schon im Rahmen des Abwicklungsmechanismusgesetzes (05.2015) und des SRM-Anpassungsgesetz (03.2015) waren Informationen zur Ausgestaltung der neuen MaRisk zu finden^[3], welche sich im Groben unverändert in die finalen MaRisk 6.0 niedergeschlagen haben. Nach der offiziellen Konsultation der MaRisk vom 18.02.2016 wurde per 24.06.2016 eine inoffizielle Version der MaRisk in Umlauf gebracht. Doch erst am 27.10.2017 veröffentlichte die BaFin die finalen MaRisk 6.0 auf ihrer Homepage^[4]. Das lang erwartete Werk ist nun da und kann in die Umsetzung gehen.

Dieser Beitrag analysiert die neuen Anforderungen der MaRisk im Vergleich zur letzten gültigen Version vom 14.12.2012 und zur inoffiziellen Version vom 24.06.2016. Er offeriert einen kompletten Projektplan, den Institute zur Umsetzung der MaRisk verwenden können und gibt für die großen neuen Anforderungen erste Umsetzungsimpulse und Beispiele. Mit einem Fazit schließt der Beitrag.

2. Analyse der Veränderungen

2.1. Darstellung der wesentlichen Änderungen

Die wesentlichen Schwerpunkte haben sich im Vergleich zur Konsultation aus 02.2016 nicht verändert. Erneut wird im Anschreiben klargestellt, dass vermehrt internationale Papiere Eingang in die MaRisk finden. So werden BCBS 239, SREP und das Risikokulturpapier des FSB explizit genannt^[5]. Allerdings sind auch einige Neuerungen zu vermerken.

Abbildung 1 stellt als Management Summary die wesentlichen Neuerungen der MaRisk dar, wobei neben den im Anschreiben zu den MaRisk fokussierten Aspekten auch weitere, wesentliche Neuerungen formuliert werden, die in der Praxis zu einem erheblichen Umsetzungsaufwand führen können. Hierbei werden zudem die Differenzierungen in Neuerungen und Klarstellungen, Art der Institute, der abzuschätzende Aufwand sowie die Würdigung aus Sicht des Autors angeführt.

Abbildung 1: Management Summary der Neuerungen in den MaRisk 6.0^[6]

Im ersten Schritt fokussiert die Aufsicht das Thema Datenaggregation in AT 4.3.4. Als Lehre aus der Finanzmarktkrise konnte festgestellt werden, dass diese Institute „nicht in der Lage waren, Informationen zu Gesamtexposures gegenüber bestimmten Adressen und in bestimmten Produkten innerhalb eines möglichst kurzen Zeitraums zu generieren.^[7]“ Es wird klargestellt, dass diese Anforderungen nur auf global und anderweitig systemrelevante Institute abzielen. Gleichwohl wird analog des Anschreibens zur Konsultation^[8] auch im Anschreiben zu den finalen MaRisk 6.0 wieder ein Appell auch an kleinere Institute formuliert: „Daher sollten auch Institute, die nicht den Anforderungen des AT 4.3.4 unterliegen, im wohlverstandenen Eigeninteresse prüfen, ob mit Blick auf die Risikodatenaggregationskapazitäten Optimierungsbedarf besteht.^[9]“ Sowohl die Anforderungen an systemrelevante Institute als auch an kleinere Institute sind nachvollziehbar. Zudem führen bessere, integrierte und schnelle Datenaufbereitungen automatisch zu einem Mehrwert für die Institute, da die Steuerung besser wird. Daten sind in Zeiten der Digitalisierung der Mehrwert, den Banken haben. Allerdings ist kritisch anzuführen, dass die komplette Umsetzung zeitlich sehr ambitioniert ist^[10].

Eng mit der Datenaggregation verbunden ist das Thema Reporting im neu geschaffenen BT 3. Schon in der Konsultation vom 18.02.2016 wurden alle Regelungen zum Reporting im neuen BT zusammengefasst und geben so einen guten Überblick über die Mindestanforderungen an das Reporting. Bereits im Anschreiben zur Konsultation wurde der Zeitraum zur Erstellung der Reportings konkretisiert: „Produktionszeiten von einzelnen Berichten von zum Teil mehreren Wochen [können] nicht mehr akzeptiert werden.^[11]“ Positiv zu erwähnen ist, dass im Gegensatz hierzu klargestellt wird, „dass dies – wie in der Konsultation bisweilen befürchtet – nicht bedeutet, dass Anforderungen, die gemäß BCBS 239 nur an systemrelevante Institute gerichtet werden, quasi „durch die Hintertür“ auch für alle anderen Institute Geltung beanspruchen.^[12]“ Diese Entwicklung ist positiv zu sehen, da die Anforderungen an das Reporting nun klarer geworden sind und in den Instituten zu einer Qualitätsverbesserung führen dürften.

Im nächsten Schritt wird das Thema Risikokultur in AT 3 beleuchtet. Dieses bekommt gerade vor dem Hintergrund der häufigen negativen Presse gerade im Zusammenhang mit deutschen Großbanken eine traurige Aktualität und zeigt, dass die Forderungen nach einer Risikokultur absolut berechtigt sind. Die Elemente, die die MaRisk auf Basis des EBA-Papiers formulieren, sind komplex und im Gegensatz zu „normalen“ Regelungen nicht einfach so einzuführen. Vorleben der Geschäftsleitung, Fehlerkultur und die Veränderungen von vielleicht lange eingefahrenen Verhaltensweisen sind nur in einem langen Zeitraum mit hohem dauerhaftem Aufwand möglich. Dies hat die Aufsicht auch verstanden und das Thema als „nur schwer greifbar^[13]“ bezeichnet. Gleichzeitig erfolgt aber auch der Appell, „die Anforderungen an eine Risikokultur als ein wesentliches Werkzeug für ein angemessenes Risikomanagement zu begreifen und dieses auch zu nutzen.^[14]“ In Summe haben die Ausführungen zur Risikokultur – wahrscheinlich eher als manch andere Regelung – die Chance, den Bankensektor stabiler und nachhaltiger zu gestalten.

Einen weiteren großen Block bildet das Thema der Auslagerungen in AT 9. Es wird klargestellt, dass die Risikocontrolling-Funktion gar nicht auslagerungsfähig ist, Compliance und Revision nur bei kleinen Instituten. Zudem wird ein zentrales Auslagerungsmanagement gefordert. Verschärfungen ergeben sich in der Praxis beim Thema Software. Bei Software zur Risikosteuerung gelten die Aspekte Unterstützungsleistungen und Betrieb der Software durch Dritte nun als Auslagerung. Da die Unterstützungsleistungen oft sehr eng mit dem Kauf verbunden sind, kann in einer engen Lesart nun jede Software zur Risikosteuerung und zum Kernbankgeschäft als Auslagerung verstanden werden. Nur Software, die nicht zur Risikosteuerung oder zur Durchführung von bankgeschäftlichen Aufgaben verwendet wird, gilt als Fremdbezug. Dies dürfte in den Instituten zu entsprechenden Mehraufwendungen führen.

Des Weiteren ist zu konstatieren, dass der Bereich der Liquiditätsrisiken in BTR 3.1 deutliche Verschärfungen erhalten hat. ILAAP und SREP werden hier indirekt verarbeitet. Der Liquiditätsplanungsprozess erinnert zudem stark an die Anforderungen an den Kapitalplanungsprozess. Eine enge Verzahnung dieser beiden Aspekte ist ökonomisch zwar mehr als sinnvoll, in der Praxis aber mit deutlichem Mehraufwand versehen. Auch die Anforderungen an Survival Period und Liquiditätsübersichten wurden entsprechend geschärft.

Einer der methodisch herausforderndsten Aspekte findet sich in der kompletten Erneuerung der ICAAP-Verfahren in AT 4.1 (1) und BTR 2.3 (6). In Kombination mit der Überarbeitung des RTF-Leitfadens^[15] bedeutet dies, dass die Fortführungsperspektive und die ökonomische Perspektive anders ausgestaltet werden müssen. Eine barwertige Zinsbuchsteuerung und perspektivisch eine barwertige Risikotragfähigkeit werden wieder Pflicht und können neben den methodischen Änderungen zu deutlichen Änderungen in Geschäfts- und Risikostrategie führen.

2.2. Projektplan zur Umsetzung der MaRisk 6.0

Neben den genannten Aspekten existiert in den MaRisk jedoch noch eine Vielzahl anderer Änderungen. In Summe sind 85 Änderungen zu verzeichnen, die die Institute umzusetzen haben. Der Anhang zu diesem Beitrag ist beim Verlag Finanz Colloquium Heidelberg separat erwerbbar. Er stellt alle Änderungen umfassend dar und versieht die 85 Stellen mit ergänzenden Informationen^[16]:

• Klassifizierung in Klarstellung oder Neuerung.
• Klassifizierung nach Art der Institute.
• Umsetzungsfrist.
• Umsetzungsaufwand.
• Verantwortlicher im Umsetzungsprojekt.
• Erste Schritte/Implikationen zur Umsetzung.
• Kritische Würdigung aus Sicht des Autors.

Folglich kann der Anhang verwendet werden, um die MaRisk im Haus vollumfänglich umzusetzen.

2.3. Detailwürdigung aller Änderungen

Werden die Eckdaten aus dem Anhang einer näheren Analyse unterzogen, so lassen sich im Hinblick auf die genannten Aspekte mehrere Cluster bilden. Dies zeigt Abb. 2.

Abbildung 2: Überblick und Klassifizierungen der Veränderungen in den MaRisk 6.0^[17]

Zu erkennen ist, dass nur 10 der 85 Anforderungen ausschließlich für systemrelevante Institute gelten, die anderen 75 Anforderungen sind von allen Instituten umzusetzen. Insgesamt existieren 8 Neuerungen mit hohem Umsetzungsaufwand. Auf diese sollten die Institute ihre Kapazitäten lenken. Des Weiteren wird empfohlen, die als kritisch gewürdigten Änderungen für das eigene Haus zu analysieren, um sich hierauf ggf. ebenfalls zu fokussieren. Die 30 Klarstellungen dürften in der Regel unkritisch sein.

2.4. Vergleich zum Zwischenentwurf vom 24.06.2016

Die inoffizielle Version vom 24.06.2016 hat im Vergleich zur offiziellen Konsultation einige Änderungen erfahren. Die Modifikationen vom 24.06.2016 zum finalen Werk vom 27.10.2017 sind jedoch sehr überschaubar. Abbildung 3 verdeutlicht die wesentlichen inhaltlichen Änderungen.

Zu erkennen ist, dass die 22 Veränderungen bis auf zwei Ausnahmen – Wiedereinführung des Halbjahresturnus‘ und Streichung der Öffnungsklausel bei der Compliance-Funktion bei zwei Geschäftsleitern – positiv zu werten sind. Dass die Veränderungen in den 16 Monaten so moderat ausfallen, überrascht, bringt den Instituten aber auch Planungssicherheit.

Abbildung 3: Vergleich der MaRisk 6.0 zur inoffiziellen Version vom 24.06.2016^[18]

2.5. Umsetzungsfristen

Erstmals werden die Umsetzungsfristen konkret benannt. Klarstellungen sind sofort umzusetzen, Neuerungen bis zum 31.10.2018. Dies überrascht nicht, die Vorgehensweise war schon in 2012 eine ähnliche.

Die Ausnahme hierzu bildet AT 4.3.4. Hier sind drei Jahre im Gespräch – allerdings nicht ab Veröffentlichung der MaRisk, sondern es wird formuliert: „Diese gilt grundsätzlich ab dem Zeitpunkt der Einstufung als (anderweitig) systemrelevantes Institut.^[19]“ Folglich haben diese Institute je nach Einstufung einen deutlichen Zeitdruck.

3. Erste Umsetzungshinweise zu wesentlichen Änderungen

Im Folgenden werden an dieser Stelle erste Umsetzungshinweise zu einzelnen Aspekten der MaRisk gegeben. Es wird sich hierbei auf Dinge fokussiert, die aus Sicht des Autors mit Priorität zu bearbeiten sind. Je nach Ausgestaltung der Institute können aber auch andere Punkte wichtiger sein. So wird an dieser Stelle der AT 4.3.4 ausgespart, da hierzu einerseits bereits umfassende Konzepte bestehen^[20] und andererseits die Anforderungen „nur“ für systemrelevante Institute gelten.

3.1. Risikokultur

Im ersten Schritt zu nennen ist die Risikokultur eines Hauses. Die vier im EBA-Papier^[21] genannten Aspekte werden in Deutschland nur zum Teil über die MaRisk adressiert. Der vierte Teil, die Anreizsysteme, werden über die InstitutsVergV umgesetzt. Abbildung 4 verdeutlicht die vier Aspekte, schätzt die Umsetzungsaufwände und -dauern und stellt wesentliche Inhalte dar.

Abbildung 4: Vier Ebenen der Risikokultur nach MaRisk 6.0^[22]

Wie bereits erwähnt, ist eine Verhaltensänderung nur schwer über das Anweisungswesen zu erreichen. Folglich gilt es, die Risikokultur an vielen Stellen im Haus zu verankern.

Folgende Praxistipps lassen sich hier formulieren:

• Beschreiben Sie den Tone from the Top in der Risikostrategie. Ein klares Bekenntnis der Geschäftsleitung ist an dieser Stelle unabdingbar.
• Dokumentieren Sie klar Ihre Risikotoleranzen/Ihren Risikoappetit und verknüpfen Sie diese mit der Risikokultur.
• Bedenken Sie: Eine Kultur lässt sich nicht per Arbeitsanweisung umsetzen.
• Planen Sie für eine funktionierende Risikokultur ausreichend Zeit ein.
• Im Rahmen sich regelmäßig wiederholender Workshops muss die Kultur dauerhaft im Unternehmen verankert werden.
• Eine Risikokultur ist nur ein Teil einer Unternehmenskultur – ggf. müssen Sie hier zuerst tätig werden!
• Je nach Größe des Hauses: Überlegen Sie, eine Messung und Quantifizierung der Effizienz der Kultur einzuführen.
• Schaffen Sie die Möglichkeit eines offenen Dialogs.
• Führen Sie einen Prozess zum Aufdecken von nicht gewolltem Verhalten ein.
• Verankern Sie Aspekte in der Vergütungsstruktur nach InstitutsVergV.

Im ersten Schritt wird die Erfüllung der MaRisk über die Aufnahme in Strategien und durch die Verknüpfung mit dem Risikoappetit erreichbar sein – im Zeitablauf muss sich jedes Institut jedoch Gedanken machen, wie das Funktionieren der Risikokultur nachgewiesen werden kann.

3.2. Reporting und Strategien

Das Thema Reporting wird zu Recht in den neuen MaRisk beleuchtet. Letztlich ist es Aufgabe der Risikocontrolling-Funktion, den Inhalt der Reports empfängerorientiert aufzubauen. Hierzu gehören sowohl Geschäftsleitung als auch Aufsichtsorgan. Gerade Strategien und deren Einhaltung bilden den absoluten Kern eines Quartalsreports. Abbildung 5 visualisiert eine Management Summary zur Strategieeinhaltung, welche alle Ziele mit Smiley würdigt und ein Gesamtfazit mit Tendenz und Ausblick versieht.

Abbildung 5: Reporting der Gesamtstrategieeinhaltung^[23]

Dies ist nur als Beispiel zu verstehen. Die Neuordnung der MaRisk sollte jedoch als Möglichkeit verstanden werden, bestehende Reports zu verschlanken und ggf. neu zu strukturieren. Es lassen sich an dieser Stelle folgende Praxistipps herleiten:

• Verschlanken Sie Ihre Reportings und führen Sie Standards ein. Nur so lässt sich die perspektivisch zu erwartende Reporterstellungsfrist von 10 Tagen realisieren.
• „Der Wurm muss dem Fisch schmecken und nicht dem Angler“. Streng nach diesem Motto sollten Sie Ihre Reports empfängerorientiert aufbauen.
• Versuchen Sie, die Erstellungszeit zu verkürzen. Die meiste Zeit muss für die Würdigung der Reportings und nicht für die Datenaufbereitung verwendet werden.
• Prüfen Sie, ob die neu erwähnten Inhalte wie Notfallplan, Liquiditätsrisiken aus außerbilanziellen Gesellschaftskonstruktionen, Fremdwährungen, untertägige Liquidität entsprechend im Report vorhanden sind.
• Prüfen Sie Ihre Reportingrhythmen. Kapitalplanung sollte nun quartalsweise erfolgen.
• Überprüfen Sie, ob alle anderen geforderten Inhalte in Ihrem Reporting bereits verankert sind.
• Analysieren Sie, ob ein ausgewogenes Verhältnis von quantitativen und qualitativen Informationen vorliegt.

Letztlich ist die Kernkompetenz des Controllers die Würdigung der Berichte und nicht das manuelle Aufbereiten von Daten.

3.3. Strategische Ausrichtung im ICAAP

Im Rahmen der Konsultation des Leitfadens zur Risikotragfähigkeit ändern sich Begrifflichkeiten und Definitionen komplett. Den Going Concern Ansatz alter Prägung wird es in Zukunft nicht mehr geben. Es wird zwar eine (noch) unbestimmte Übergangsphase definiert, in der Institute diese weiterverwenden dürfen, allerdings kann dies mit einer Verschlechterung der qualitativen Note im SREP einhergehen. Folglich sind Institute gut beraten, sich mit den neuen Ansätzen vertraut zu machen – zumal die wechselseitige Information zwischen den Steuerungskreisen nunmehr explizit in den MaRisk in Bezug auf die Risikotragfähigkeit und die Zinsbuchsteuerung verankert worden ist.

Hierzu ist es erforderlich, die Abgrenzungen und Ziele der neuen Ansätze zu vergleichen. Abbildung 6 verdeutlicht die neuen Begriffe der normativen und ökonomischen Sicht und stellt diese einander gegenüber.

Abbildung 6: Vergleich normative und ökonomische Sichtweise^[24]

Es wird ersichtlich, dass die normative Sicht die bisherige periodische Sichtweise ersetzt und nichts anderes ist als eine dreijährige Kapitalplanung mit adversen Szenarien, welche die risikogewichteten Aktiva etwas stärker fokussiert als bisher.

Die ökonomische Sichtweise ist eine alte Bekannte. Letztlich existieren die methodischen Grundlagen hierzu schon seit 10-15 Jahren. Der Trend, dass Institute den barwertigen Steuerungskreislauf in den letzten Jahren eher ab- als aufgebaut haben, dürfte sich folglich ins Gegenteil kehren, auch wenn der barwertige Ansatz methodische Schwächen gerade im Hinblick auf das Neugeschäft aufweist und als unvollständig gelten kann^[25].

Noch ist der neue RTF-Leitfaden nicht veröffentlicht, dies ist jedoch für Anfang 2018 zu erwarten. Folgende Praxistipps lassen sich an dieser Stelle ableiten:

• Verfolgen Sie den Konsultationsprozess aufmerksam.
• Stellen Sie Proberechnungen auf Basis des neuen RTF-Leitfadens an.
• Erheben Sie frühzeitig Daten für eine barwertige Risikotragfähigkeit.
• Überlegen Sie, wann Sie auf die neuen Ansätze der RTF wechseln wollen.
• Analysieren Sie, in welchen Werken (Risikoinventur, Stresstests, Strategien, Risikohandbuch, Risikomessverfahren) Sie Änderungen vornehmen müssen.
• Setzen Sie sich intensiv mit Ihren Risikomessverfahren auseinander. Nicht alle sind für ein 99,9%iges Konfidenzniveau geeignet.

Es ist mit erheblichen Umsetzungsaufwendungen über einen langen Zeitraum zu rechnen – auch wenn klar zu konstatieren ist, dass die Anforderungen des neuen RTF-Leitfadens in Kombination mit den MaRisk sinnvoll sind und die bisher stark kritisierte Doppelunterlegung von Risiken beseitigt.

3.4. Anforderungen an den Produktkatalog

Der NPP ist oftmals ein „ungeliebtes Kind“ in den Banken. Er erfährt durch die neuen MaRisk oftmals berechtigte Verschärfungen. So ist zuallererst der Produktkatalog zu nennen, den alle Institute einführen müssen. Oftmals liegen Produktkataloge nur dezentral und unstrukturiert in den Häusern vor. Wird die Anforderung eng ausgelegt, so begrenzt sie die Häuser beim Einsatz von Individuallösungen für den Kunden. Abbildung 7 visualisiert ein Muster eines Produktkataloges, der so oder so ähnlich in einem Jahr in den Häusern vorliegen muss.

Abbildung 7: Möglicher Aufbau eines Produktkataloges^[26]

Der Aufwand ist nicht zu unterschätzen, da Produkte oftmals „gewachsen“ sind und die Zuständigkeiten dezentral verankert sind. Verschärft wird dies durch die Regelungen in Bezug auf die Wiederaufnahme von Produkten. Diese sind nachvollziehbar, da durch Zeitablauf auch Wissen und Infrastruktur verloren gehen. Trotzdem wird dies ebenfalls den Arbeitsaufwand in den Instituten erhöhen. In diesem Spannungsfeld lassen sich folgende Praxistipps ableiten:

• Definieren Sie klar, was für Sie ein Produkt ist.
• Legen Sie so zeitnah wie möglich einen Produktkatalog an.
• Unterschätzen Sie hierbei nicht den Aufwand in Bezug auf rechtliche und technische Aspekte.
• Verschlanken Sie Ihre Produktpalette.
• Grenzen Sie Standard- von Individualprodukten ab.
• Verankern Sie die Überprüfungsturni und die Verantwortung klar im Anweisungswesen.
• Definieren Sie „Anlässe“, ab wann Sie AT 8.1 (8) anwenden wollen.

Der Produktkatalog kann helfen, die Prozesse im Haus zu verschlanken. Er kann auch als vertriebliche Chance interpretiert werden, da hierdurch auch Vertrieb einfacher und sicherer werden kann.

3.5. Auslagerung und Fremdbezug von Software

Die Änderungen im Bereich Auslagerung sind sehr umfassend. Durch die Forderung einer zentralen Stelle wird der Bereich zudem aufgewertet. Positiv zu erwähnen ist, dass eine Vielzahl von Prozessen und Funktionen auslagerbar bleibt. Dies ist vor dem Hintergrund des Kostendrucks bei vielen Häusern wichtig, da sich nur so Synergien gerade bei kleineren Instituten heben lassen.

Ein besonderer Fokus liegt auf dem Fremdbezug von Software. Sowohl im Anschreiben als auch im Rundschreiben selbst werden Aussagen hierzu getroffen. Dies verdeutlicht Abb. 8.

Abbildung 8: Auslagerung von Software nach MaRisk 6.0^[27]

Diese Formulierungen sind vergleichsweise unspezifisch gehalten, was die Umsetzung in der Praxis erschwert. Abbildung 9 verdeutlicht die Essenzen hieraus und die Darstellung einer strengen Lesart in Bezug auf die Auslagerung von Software.

Abbildung 9: Auslagerung vs. Fremdbezug von Software^[28]

Institute sind gut beraten, sich hier proaktiv mit einer möglichst weiten Auslegung des AT 9, Tz. 1 Erl. auseinanderzusetzen. Letztlich müssen die Anforderungen des AT 9 praxistauglich bleiben. Zudem ist keinem damit geholfen, alles als Auslagerung zu definieren. In diesem Zusammenhang wird zudem nicht in einmalige oder laufende Unterstützungsleistungen differiert, was aus Sicht des Autors deutlich zur Klarstellung beitragen würde. Einmaliges Customizing wäre in dieser Denke keine Auslagerung, dauerhafte ggf. schon.

In Summe lassen sich zum Thema Auslagerung folgende Praxistipps ableiten:

• Erstellen Sie eine Liste mit allen Softwarepaketen, die zur Risikosteuerung oder für bankgeschäftliche Aufgaben verwendet werden und bei denen Sie Unterstützungsleistungen in Anspruch nehmen und die Sie ggf. extern betreiben lassen. Hier müssen Sie einen Auslagerungsprozess mit allen Facetten starten.
• Überprüfen Sie, ob Sie die Weiterverlagerung adäquat in Ihrer Risikoanalyse verankert haben.
• Überprüfen Sie, ob Sie bei solchen Auslagerungen das notwendige Know-how beim Risiko der Rückverlagerung haben.
• Definieren Sie Kontrollbereiche und Kernbankbereiche in Abhängigkeit von Ihrem Geschäftsmodell.
• Überprüfen Sie Ihren Status der Auslagerung bei den drei Funktionen nach MaRisk.
• Analysieren Sie bei allen Auslagerungen, ob Handlungsoptionen in Bezug auf den Ausstieg vorliegen oder nicht.
• Definieren Sie in Abhängigkeit davon, bei welchen Auslagerungen Sie welche Ausstiegsprozesse prüfen (wenn Handlungsoptionen bestehen) und bei welchen Sie eine Behandlung im Notallplan vornehmen wollen.
• Analysieren Sie bei jeder Auslagerung, welche Spannweite an Leistungsqualität es gibt. Definieren Sie den Grad, den Sie in Abhängigkeit vom Risikogehalt akzeptieren wollen. Ggf. macht es Sinn, diesen Grad als Risikotoleranz/Risikoappetit der Geschäftsleitung zu definieren. Prüfen Sie, ob Sie dies adäquat in den Verträgen aufgenommen haben.
• Dokumentieren Sie die Ausgestaltung des Auslagerungsmanagements im Hinblick auf die Aufgabenverteilung bei Steuerung und Überwachung, ggf. unter Berücksichtigung der Gesamthausrisikoinventur.
• Regeln Sie die Erstellung und die Adressaten des Auslagerungsberichtes. Legen Sie die Berichtsinhalte und mögliche Ad Hoc Berichterstattungen fest.

Letztlich ist es auch im Eigeninteresse einer Bank, hier funktionierende Prozesse auch für den Risikofall zu haben. Ein Reputationsschaden im Fall des Versagens der Prozesse wäre nicht zu unterschätzen.

3.6. Liquiditätsplanungsprozess ILAAP und weitere Anforderungen

Auch wenn der Liquiditätsplanungsprozess und die weiteren Anforderungen an die Liquidität etwas untergehen, so bergen sie doch erhebliche Aufwendungen in sich und sind in der Umsetzung nicht zu unterschätzen. Analog des Kapitalplanungsprozesses – hier hätte dieser Aspekt zudem besser eingeordnet werden können – müssen die Institute nun eine Liquiditätsplanung aufstellen. Der Aufwand gerade in der Verzahnung ist sehr hoch, der ILAAP aus dem SREP spiegelt sich hier wider. Die Anforderungen an die Liquiditätsrisikosteuerung werden deutlich verschärft. Es bleibt zu hoffen, dass die Regelungen nicht zu streng auf kleinere Institute angewendet werden.

• Regeln Sie die Diversifikation Ihrer Refinanzierungsquellen.
• Analysieren Sie für Ihr Haus, ob das untertägige Liquiditätsrisiko wesentlich ist.
• Definieren Sie für sich Liquiditätspuffer.
• Falls nicht schon geschehen: Führen Sie die Survival Period ein.
• Stellen Sie sich frühzeitig darauf ein, aussagekräftige Liquiditätsübersichten zu erstellen und integrieren Sie diese in Ihre Steuerungskreisläufe, versehen diese mit Risikoappetitschwellen etc.
• Integrieren Sie die belasteten Vermögensgegenstände in Ihre Steuerung – falls diese wesentlich sind.
• Bedenken Sie die Wechselwirkungen zu Stresstests.
• Modellieren Sie den internen Refinanzierungsplan.
• Verfolgen Sie die Entwicklung des ILAAP im SREP eng – analog des ICAAP wird es sich in Zukunft hier um einen zentralen Baustein der Banksteuerung und Geschäftsmodellbewertung handeln.

Auf europäischer Ebene werden ICAAP und ILAAP nebeneinander positioniert, was die Wichtigkeit noch einmal hervorhebt. Auch 10 Jahre nach der Finanzkrise ist in der Praxis recht wenig zum Thema Liquidität geschehen. Das Risiko im ICAAP ist die Ertragskraft eines Institutes, das Risiko im ILAAP die Illiquidität. Institute sind folglich gut beraten, beide Aspekte integriert zu betrachten und sich des Themas Liquidität zu widmen.

4. Fazit und Ausblick auf die Zukunft

In Summe hat der lange Konsultationsprozess mit dazu geführt, dass die nun veröffentlichten MaRisk einen ausgereiften Eindruck machen. In Summe sind die Änderungen keine Überraschung. Ein Großteil der Änderungen war bereits durch die beiden o. g. Gesetzesentwürfe zu erwarten^[29]. Die meisten Anforderungen sind inhaltlich nachvollziehbar und führen gerade im Bereich Risikoreportings zu einer deutlich besseren Übersicht. Es ist hervorzuheben, dass es der Aufsicht mit den MaRisk 6.0 und dem anstehenden RTF-Leitfaden gelungen ist, europäische Vorgaben elegant in deutsches Recht zu transformieren, ohne die landesspezifischen Gegebenheiten zu vernachlässigen.

Zudem ist positiv hervorzuheben, dass die Umsetzungsfristen nicht zu Lasten der Institute gehen, da im Vergleich zum 24.06.2016 kaum materielle Änderungen zu verzeichnen sind. Die meisten Neuerungen dürften folglich mit einer ausreichenden Umsetzungsfrist versehen sein. Kritisch kann dies nur bei den Themen Risikokultur, Risikotragfähigkeit und Liquiditätsplanungsprozess werden. Hier sind die methodischen Änderungen sehr umfangreich bzw. es dauert deutlich länger als ein Jahr, bis sich eine Risikokultur adäquat in den Häusern manifestiert hat.

Es bleibt zu hoffen, dass gerade für kleinere Institute die doppelte Proportionalität weiter gelebt wird. Durch die sich immer stärkere Spreizung der Beaufsichtigung von systemrelevanten und nicht systemrelevanten Instituten ist dies in der Prüfungspraxis ein Herausforderung. Der Ruf nach der „Small and Simple Banking Box“ ist folglich aus Sicht des Autors der richtige Weg, auch die MaRisk prinzipienorientiert zu leben.

Anhang: Detaillierter Projektplan zu den MaRisk 6.0 (12 Seiten)

Auf diesen wird in Kapitel 2.2 Bezug genommen. Dieser kann unter dem Stichwort Projektplan MaRisk unter der E-Mail-Adresse info@fch-gruppe.de gegen eine Schutzgebühr von 39 Euro inkl. USt. erworben werden. Er darf in der Bank verwendet werden, die ihn erwirbt, eine Weitergabe außer Haus ist nicht gestattet.

SEMINARTIPPS:

Auslagerungen im Fokus neuer MaRisk, 09.–10. November 2017, Hamburg.

Compliance-Tagung 2017, 13.–14. November 2017, Berlin.

BaIT – Neue aufsichtsrechtliche Anforderungen an die IT, 20.–21. November 2017, Frankfurt/M.

Kredit-Jahrestagung 2017, 20.–21. November 2017, Berlin.

Verringerung hoher SREP-Kapitalzuschläge, 20. November 2017, Frankfurt/M.

Verlustdaten & Erlösquoten, 27. November 2017, Frankfurt/M.

IT-Berechtigungsmanagement – Vergabe, Kontrolle, Prüfung, 29. November 2017, Köln.

Neue aufsichtsrechtliche Vorgaben für leistungsgestörte Kredite, 30. November 2017, Köln.

Neue-Produkte-Prozess (NPP), 04. Dezember 2017, Frankfurt/M.

NEUE MaRisk, 06.–07. Dezember 2017, Frankfurt/M.

Risikoanalysen bei Auslagerungen, 07. Dezember 2017, Frankfurt/M.

Praxisberichte: Neue PAAR-Prüfungen im Kreditgeschäft, 26. Februar 2018, Frankfurt/M.

Prüfung von Forbearance-Prozessen und Engagement-Maßnahmen, 27. Februar 2018, Köln.

7. Fachtagung Revision Risikomanagement, 28. Februar-01. März 2018, Köln.

Auslagerungen im Fokus neuer MaRisk & BAIT, 05.–06. März 2018, Frankfurt/M.

MaRisk Kredit Kompakt, 06. März 2018, Frankfurt/M.

Verschärfte MaRisk-Berichtspflichten für Risikocontrolling, 07. März 2018, Frankfurt/M.

Stresstests in Risikotragfähigkeit- und Kapitalplanung, 08. März 2018, Frankfurt/M.

Neue MaRisk-Risikokulturanforderungen: Praxis & Prüfung, 08. März 2018, Frankfurt/M.

Verschärfungen im Aufsichts-Reporting COREP, 13. März 2018, Köln.

BAIT – Ausgewählte Prüfungs- und Praxisfragen, 14. März 2018, Frankfurt/M.

Neue MaRisk, 14. März 2018, Frankfurt/M.

MaRisk 2017: Compliance Herausforderungen und Prozessoptimierungen, 14. März 2018, Köln.

Zinsrisikomanagement im Fokus von Aufsicht & Revision, 15. März 2018, Frankfurt/M.

Prozess-Check MaRisk-Umsetzung, 16. April 2018, Berlin.

Notfallmanagement im Fokus - Unterschätzte Anforderungen an Planung, Testing und Prüfung, 16. April 2018, Frankfurt/M.

IT-Risikomanagement gemäß BAIT, 17. April 2018, Frankfurt/M.

Datenrisiken im Risikomanagement, 17. April 2018, Berlin.

MaRisk-Öffnungsklauseln, 23. April 2018, Köln.

Plausible SREP-/MaRisk-Prozesse zur nachhaltigen Refinanzierungsplanung. 23. April 2018, Köln.

Prüfung MaRisk-Umsetzung, 24. April 2018, Köln.

Prüfung MaRisk-Compliance, 24. April 2018, Frankfurt/M.

Überprüfung eingesetzter Risikoquantifizierungsmaßnahmen. 24. April 2018, Köln.

Software-Auslagerungen: Verschärfte Vorgaben durch BAIT und MaRisk, 25. April 2018, Frankfurt/M.

Neuer Verhaltenskodex & Risikokultur: Aufbau & Inhalte, 25. April 2018, Frankfurt/M.

Prüfung Risikoberichtswesen, 14. Mai 2018, Frankfurt/M.

Prüfung Kapitalplanungsprozess & ICAAP, 15. Mai 2018, Frankfurt/M.

Neues IDV - Zentralregister & IDV – Richtlinien, 15. Mai 2018, Frankfurt/M.

Messung und Bewertung von IT Risiken, 16. Mai 2018, Frankfurt/M.

Neues LSI-SREP-Konzept zur indirekten EZB-Aufsicht über Regionalbanken, 04. Juni 2018, Köln.

8. Kölner Risikomanagement-Tagung. 04.–05. Juni 2018, Köln.

MaRisk-Sonderprüfungen Gesamtbanksteuerung, 06. Juni 2018, Köln.

Neuausrichtung Risikotragfähigkeit-Konzepte, 18.–19. Juni 2018, Köln.

Prüfung von Liquiditäts- & Refinanzierungsrisiko unter neuen ILAAP- und MaRisk-Vorgaben, 19. Juni 2018, Frankfurt/M.

Risikoanalysen bei Auslagerungen, 20. Juni 2018, Köln.

Kritische Analyse/Plausibilisierung von Dienstleister-Prüfungsberichten, 21. Juni 2018, Köln.

1. Die Ausführungen stellen die persönliche Meinung des Autors dar, die nicht notwendigerweise mit der der Stadtsparkasse Remscheid übereinstimmen muss. ↑
2. Dieser Beitrag erweitert die Ausführungen aus Reuse, S. (2016.02b): MaRisk 6.0-E – Kritische Analyse des Konsultationsentwurfes vom 18.02.2016 und Anlage: MaRisk 6.0-E – Detailanalyse aller Änderungen, in: Banken-Times Spezial Sonderausgabe MaRisk NEU – Februar 2016, S. 1–5 und Anlage S. 1–9. Vgl. auch BaFin (2016.02b): Konsultation 02/2016: Entwurf der MaRisk in der Fassung vom 18.02.2016, erhältlich auf: https://www.bafin.de/SharedDocs/Downloads/DE/Konsultation/2016/dl_kon_0216_marisk_2016.pdf?__blob=publicationFile&v=1, Abfrage vom 01.11.2017. ↑
3. Vgl. Reuse, S. (2015.05): MaRisk 6.0 – Analyse und Würdigung der ersten offiziell verfügbaren Informationen, in: Bankentimes Spezial Banksteuerung/Treasury, Mai & Juni 2015, S. 18–20. ↑
4. Vgl. BaFin (2017.10b): Rundschreiben 09/2017 (BA) vom 27.10.2017, Anl. 1: Erläuterungen zu den MaRisk in der Fassung vom 27.10.2017, AT 3, Tz. 1 und AT 5, Tz. 2, erhältlich auf: https://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/dl_rs0917_marisk_Endfassung_2017_pdf_ba.pdf?__blob=publicationFile&v=5, Abfrage vom 28.10.2017. ↑
5. Vgl. BaFin (2017.10a): Anschreiben zur Veröffentlichung der MaRisk 6.0, GZ: BA 54-FR 2210-2017/0002, 27.10.2017, S. 1, erhältlich auf: https://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/dl_rs0917_marisk_anschreiben_pdf_ba.pdf?__blob=publicationFile&v=3, Abfrage vom 28.10.2017. ↑
6. Eigene Darstellung in Anlehnung an Reuse, S. (2016.02b), a.a.O. (Fn. 2), S. 2–3 auf Basis BaFin (2017.10b), a.a.O. (Fn. 4). ↑
7. BaFin (2017.10a), a.a.O. (Fn. 5), S. 1. ↑
8. Vgl. BaFin (2016.02a): Anschreiben zur Konsultation 02/2016 - MaRisk-Novelle 2016, GZ: BA 54-FR 2210-2016/0008, 2016/0056411 vom 18.02.2016, S. 2, erhältlich auf: https://www.bundesbank.de/Redaktion/DE/Downloads/Aufgaben/Bankenaufsicht/Marisk/2016_02_18_anschreiben.pdf?__blob=publicationFile, Abfrage vom 01.11.2017. ↑
9. BaFin (2017.10a), a.a.O. (Fn. 5), S. 2. ↑
10. Vgl. kritisch Reuse, S./Frère, E. (2017): Anforderungen an den integrierten Datenhaushalt eines Kreditinstitutes im Kontext von BCBS 239 und MaRisk 6.0, in: Seidel, M. (Hsrg.): Banking & Innovation 2017 – Ideen und Erfolgskonzepte von Experten für die Praxis, ISBN: 978-3-658-15784-5, Wiesbaden, S. 65–87. ↑
11. BaFin (2016.02a), a.a.O. (Fn. 8), S. 3. ↑
12. BaFin (2017.10a), a.a.O. (Fn. 5), S. 3. ↑
13. BaFin (2017.10a), a.a.O. (Fn. 5), S. 4. ↑
14. BaFin (2017.10a), a.a.O. (Fn. 5), S. 4. ↑
15. Vgl. BaFin (2017.09): Aufsichtliche Beurteilung bankinterner Risikotragfähigkeitskonzepte und deren prozessualer Einbindung in die Gesamtbanksteuerung („ICAAP“) – Neuausrichtung – Diskussionspapier, 06.09.2017, erhältlich auf: https://www.bafin.de/SharedDocs/Downloads/DE/Anlage/dl_170906_rtf-leitfaden_diskussionspapier.pdf?__blob=publicationFile&v=1, Abfrage vom 16.09.2017. ↑
16. Vgl. Anh. 1. Einschätzungen und Würdigungen stellen die persönliche Meinung des Autors dar. ↑
17. Eigene Darstellung und Würdigung in Anlehnung an BaFin (2017.10b), a.a.O. (Fn. 4). ↑
18. Eigene Darstellung und Würdigung in Anlehnung an BaFin (2017.10b), a.a.O. (Fn. 4); BaFin (2016.06): Konsultation 02/2016: Inoffizieller Zwischenentwurf vom 24.06.2016. Marginale redaktionelle Anpassungen werden nicht dargestellt. ↑
19. BaFin (2017.10a), a.a.O. (Fn. 5), S. 6. ↑
20. Reuse, S./Frère, E. (2017), a.a.O., S. 65–87 und die dort angegebenen Quellen. ↑
21. Vgl. EBA (2016): Consultation Paper – Draft Guidelines on internal governance, EBA/CP/2016/16, Stand 28.10.2016, erhältlich auf: https://www.eba.europa.eu/documents/10180/1639914/Consultation+Paper+on+Guidelines+on+internal+governance+%28EBA-CP-2016-16%29.pdf/48e67624-b92b-4b2c-9881-3fcfcf35434a, Abfrage vom 11.06.2017. ↑
22. Vgl. Schmidt, .C./Reuse, S. (2017-E): Anforderungen und Beurteilung einer adäquaten Risikokultur im Kontext der MaRisk 6.0,erscheint in: ZfgK – Zeitschrift für die gesamte Kreditwirtschaft und die dort angegebenen Quellen. ↑
23. Vgl. Reuse, S. (2016): Reporting des Strategieabgleiches, in: Reuse, S. (Hrsg.): Praktikerhandbuch Risikotragfähigkeit, 2. Auflage, S. 796. ↑
24. Eigene Darstellung in Anlehnung an BaFin (2017.09), a.a.O. (Fn. 15). ↑
25. Vgl. Reuse, S. (2016.02a): Periodische versus wertorientierte Zinsbuchsteuerung im Kontext des Niedrigzinsumfeldes, in: ZfgK – Zeitschrift für das gesamte Kreditwesen, 69. Jg., 01. Februar 2016, Heft 3, Frankfurt, S. 138–142 und die dort angegebenen Quellen. ↑
26. Eigene Darstellung. ↑
27. In Anlehnung an BaFin (2017.10a), a.a.O. (Fn. 5), S. 5 f.; BaFin (2017.10b), a.a.O. (Fn. 4), AT 9, Tz. 1 Erl. ↑
28. Eigene Darstellung in Anlehnung an BaFin (2017.10a), a.a.O. (Fn. 5), S. 5 f.; BaFin (2017.10b), a.a.O. (Fn. 4), AT 9, Tz. 1 Erl. ↑
29. Vgl. Reuse, S. (2015.05), a.a.O. (Fn. 3), S. 19. ↑