Dr. Frank Beekmann, Referent in QRM 1, BaFin
Neue Anforderungen aus der MaRisk
Am 27.10.2017 wurde eine neue Fassung der MaRisk durch die Bundesanstalt für Finanzdienstleistungsaufsicht veröffentlicht, aus der sich einige neue Anforderungen für das Management operationeller Risiken ergeben. Unmittelbar beschriebene neue Anforderungen betreffen die Festlegung und Abgrenzung operationeller Risiken, die angemessene Erfassung von Schadensfällen und für systemrelevante Institute die zeitnahe Bereitstellung von zeitkritischen Indikatoren für operationelle Risiken in Stressphasen. Darüber hinaus ergibt sich Handlungsbedarf für das Management operationeller Risiken aus neuen Anforderungen zu Risiken, die dem operationellen Risiko zugeordnet werden können. Dies gilt etwa für die Anforderung, dass die Organisationsrichtlinien ggfs. einen Verhaltenskodex für Mitarbeiter beinhalten müssen (Conduct Risk) oder dass explizit nun Anforderungen für IT-Risiken erfüllt werden müssen. Zu letzteren befinden sich Konkretisierungen im Rundschreiben „Bankaufsichtliche Anforderungen an die IT (BAIT)“, welches am 03.10.2017 veröffentlicht wurde.
SEMINARTIPPS
OpRisk: Neue MaRisk-Vorgaben & neuer Standardansatz, 05.06.2018, Köln.
Neue Prüfungsschwerpunkte 2019, 17.09.2018, Köln.
Prüfung & Beurteilung des Geschäftsmodells durch Aufsicht & Revision, 19.09.2018, Köln.
Verlustdaten & Erlösquoten, 17.10.2018, Frankfurt/M.
Umsetzung von Basel III & Basel IV, 05.12.2018, Frankfurt/M.
Neue Anforderungen durch Basel III
Der am 07.12. veröffentlichte Text zur Basel III-Umsetzung beinhaltet eine neue Berechnungsweise zur Bestimmung des Anrechnungskapitals für operationelle Risiken und betrifft alle Institute. Zunächst müssen entsprechende Daten aus den Buchhaltungssystemen bestimmt werden, womit ein sogenannter Business Indikator berechnet wird. Je nach dessen Höhe wird der Business Indikator mit einem Faktor multipliziert, so dass eine Business Indikatorkomponente entsteht. Auf diese wird ein interner Verlustmultiplikator angewendet, der auf einer internen Verlustdatensammlung basiert. Diese Verlustdatensammlung muss jedes Institut implementieren, selbst wenn durch ein nationales Wahlrecht der interne Verlustmultiplikator auf eins gesetzt werden sollte. Im Rahmen der Offenlegung müssen nämlich alle Institute Daten aus ihrer Verlusthistorie veröffentlichen. Die Verlustdaten umfassen umfangreiche Informationen zu Schäden über 20.000 € innerhalb eines Zeitraumes von zehn Jahren. Zur vollständigen Erhebung der Verlustdaten müssen die Institute verlässliche Prozesse implementieren, was auch entsprechende Prozessdokumentation erfordert sowie die Erfüllung von Validierungsanforderungen an die Zuverlässigkeit des Prozesses.
BUCHTIPPS
Janßen/Riediger (Hrsg.), Praktikerhandbuch Risikoinventur, 2015.
PRAXISTIPPS
- Es ist erforderlich, zeitnah die bisherige Verlustdatensammlung auf die neuen Anforderungen zu überprüfen bzw. eine entsprechende Verlustdatensammlung einzuführen.
- Das Management von IT-Risiken sollte anhand der neuen Anforderungen überprüft und ggfs. angepasst werden.
Beitragsnummer: 587