REGULIERUNG MARISK UND
REGULIERUNG MARISK UND BAIT: VERALTETE STRUKTUREN ÜBERARBEITEN Die Regulierung als Chance verstehen Die am 27. Oktober 2017 von der BaFin veröffentlichte 5. MaRisk-Novelle beinhaltet verschärfte Anforderungen an die Risikodatenarchitektur, die Governance und an das Risikoreporting. Diese Vorgaben sind unter dem Stichwort BCBS 239 längst bekannt. Verschärft wird der Druck zur schnellen Verbesserung der Bank-IT nun auch noch durch die Bankaufsichtlichen Anforderungen an die IT (BAIT). Die Banken sollten die Chance nutzen, ihre teils veraltete IT-Infrastruktur an das schnelllebige Umfeld anzupassen. Auch wenn die Verankerung der BCBS 239-Vorgaben in die MaRisk nach mehrjähriger Vorlaufzeit nicht überrascht, kommt sie doch für die deutschen Kreditinstitute zur Unzeit. Die deutsche Bankenlandschaft sieht sich aktuell Herausforderungen in bislang nicht gekannten Dimensionen gegenüber: Die seit Jahren anhaltende Niedrigzinsphase lässt die Ertragsbasis vieler Kreditinstitute erodieren, ein Ausgleich über Provisionen und Gebühren ist am Markt nur schwer durchsetzbar, neue Marktteilnehmer mit innovativen Geschäftsmodellen zwingen die Banken in kostspielige Digitalisierungsprojekte. Dazu stellen Gesetzgeber und Aufsichtsbehörden kontinuierlich neue regulatorische Anforderungen. In diesem Umfeld fordern die neuen Ma- Risk einen systematischen Aufbau einer Risikodatenarchitektur und Risikoberichterstattung – eine an sich sinnvolle Maßnahme, die jedoch die Institute insofern unvorbereitet trifft, da bislang aus Gründen der Flexibilität und kostengünstigeren Umsetzbarkeit häufig auf eine Vielzahl von IDV-Systemen (IDV= individuelle Datenverarbeitung) gesetzt wurde. Diese können nur mit erheblichem Investitionsaufwand an die neuen Anforderungen angepasst oder abgelöst werden. Relevanzabhängig: AT 4.3.4 MaRisk Die meisten Grundsätze der BCBS 239-Leitlinien zu Datenmanagement, Datenqualität und Risikodatenaggregation wurden mit dem neuen Abschnitt AT 4.3.4 in die MaRisk einge- 50 03 // 2018
REGULIERUNG führt. Wesentliche Aspekte der Baseler Guidelines wurden auch in die allgemeinen Anforderungen an die Risikoberichterstattung im neuen Abschnitt BT 3.1 übernommen. Die Anforderungen nach BT 3.1 MaRisk gelten im Gegensatz zu AT 4.3.4 für alle Institute. Aus diesem Grund sollten alle Banken mit den Kerninhalten der Baseler Vorgaben vertraut sein, um im Sinn der Proportionalität gemäß AT 1 Tz. 3 MaRisk eine ihrer Größe und Komplexität entsprechende Umsetzung vorzunehmen. Die Abbildung ÿ 1 stellt die Übernahme wesentlicher Vorgaben der BCBS 239 in die MaRisk schematisch dar und zeigt die Verknüpfung mit KWG und BAIT auf. Für alle Institute: AT 7.2 und AT 9 MaRisk sowie BAIT AT 7.2 MaRisk adressiert die technisch-organisatorische Ausstattung der Institute. Mit der 5. MaRisk-Novelle wird hierzu klargestellt, dass die Anforderungen an die IT-Systeme insbesondere hinsichtlich Berechtigungsmanagement und Testprozessen auch für die von den Fachbereichen selbst entwickelten Anwendungen gelten. Solche IDV-Systeme werden oftmals bei der Berichterstattung genutzt und müssen nun von allen Instituten hinsichtlich der IT- Sicherheit und Geschäftskontinuität überprüft werden. Darüber hinaus muss bei der Umsetzung der neuen Anforderungen in AT 7.2 MaRisk auch das BAIT-Rundschreiben 10/2017 (BA) 03 // 2018 51
