Entwurf der fünften MaRisk-Novelle: BCBS 239 kommt nun für alle deutschen Banken

Bislang mussten nur global und national sys­tem­re­le­vante Banken die BCBS 239 erfüllen. Nun haben alle deutschen Banken die Baseler Grundsätze zur Aggregation von Risikodaten und Ri­si­ko­be­richt­er­statt­ung zu beachten – je nach Größe des Geld­ins­ti­tu­ts in unterschiedlicher Ausprägung. Exakt ge­re­gelt ist dies im Entwurf der fünften MaRisk-Novelle, die BaFin und Deutsche Bundesbank vorgelegt haben.

Alle Geldinstitute mit einer Bilanzsumme von mehr als 30 Milliarden Euro – in Deutschland aktuell 35 Banken – haben die MaRisk-Anforderungen an Datenarchitektur und IT-Infrastruktur einzuhalten. Doch: Unabhängig von der Größe der Bank ist den Anforderungen an die Risikoberichterstattung zu genügen. Im Entwurf der Novelle nicht konkretisiert wurde der zeitliche Rahmen, doch in den Stellungnahmen wird analog zu den BCBS 239 von einer Frist von drei Jahren ausgegangen, innerhalb derer die erforderlichen Maßnahmen umgesetzt werden müssen. Und diese Maßnahmen betreffen Organisation genauso wie Prozesse und IT.

Empfehlungen der TME: Nicht abwarten und frühzeitig mit fünf vorbereitenden Schritten starten

Um den komplexen Anforderungen an die IT-Infrastruktur und das Risikomanagement gerecht zu werden, empfehlen das TME Institut und die movisco ein Vorgehen in fünf Phasen:

1. Problembewusstsein schaffen: In der ersten Phase des fünfstufigen Modells erwerben die Verantwortlichen der Bank ein einheitliches Verständnis der Anforderungen von MaRisk und BCBS 239. Insbesondere die für die Bereiche Risikomanagement, Finanzen und IT zuständigen Mitarbeiter sind dazu aufgerufen, alle relevanten (Risiko-)Berichte zu identifizieren sowie davon die entsprechenden Risiken, Kennzahlen und Systeme abzuleiten.

2. Technische Ist-Analyse: Durch Vergleich der bestehenden Architektur mit einer Referenz-Architektur wird klar, welche Anpassungen nötig sind. Außerdem werden alle für die Risikodatenaggregation und das Reporting maßgeblichen Prozesse, Methoden, Systeme und Daten ermittelt. Eventuell erfolgen für den Übergang taktische Maßnahmen, die später durch strategische ersetzt werden.

3. Fachliche Ist-Analyse: Am Ende der fachlichen Ist-Analyse in der dritten Phase weis die Bank, wie es aktuell um ihre Compliance bestellt ist. Beispielsweise im Rahmen eines Self-Assessments werden alle Risikoarten und Anforderungen mit Hilfe eines Tools differenziert bewertet. Will man die eigene Compliance mit der von Wettbewerbern vergleichen, bieten sich dazu die Self-Assessments der global systemrelevanten Banken (G-SIB) als Referenz an.

4. Sollkonzeption: Anschließend werden in Phase 4 die Abweichungen zur strategischen Zielsetzung, die sogenannten Compliance-Gaps, ermittelt, strukturiert und in Handlungsfelder gebündelt. Die Sollkonzeption umfasst übergreifende Lösungsansätze, in die idealerweise alle relevanten Stakeholder einbezogen werden.

5. Planung der Realisierung: In der abschließenden Phase werden die Compliance-Gaps, Handlungsfelder und übergeordneten Lösungsansätze detailliert betrachtet, strukturiert und im Gesamtkontext der Bank analysiert. Auf dieser Basis entsteht ein klar umgrenztes Umsetzungsprojekt, werden Maßnahmenkataloge aufgestellt und wird die Realisierung geplant. Um den Umfang zu reduzieren, können einzelne Maßnahmen in bestehende Projekte integriert werden. Zudem erlaubt es die MaRisk nach dem Wesentlichkeitsgrundsatz und dem Proportionalitätsprinzip bestimmte Anforderungen oder Risikoarten als irrelevant auszusortieren. In Sachen Planung ist auf die finanziellen und personellen Ressourcen zu achten. Am Ende sollte eine Compliance Roadmap stehen, die sich dank klarer Aufschlüsselung konsequent umsetzen lässt.

MaRisk-Novelle: Kostet viel Zeit und Aufwand

TME rät Banken, nicht das Inkrafttreten der Novelle abzuwarten, sondern bereits jetzt mit der Analyse der Anforderungen zu beginnen und diese mit den spezifischen Bedingungen des jeweiligen Unternehmens zusammenzudenken. TME bietet dazu ein Whitepaper zur MaRisk-Novelle an, das hier zum Download bereitsteht.aj