Die Mindestanforderungen an das Risikomanagement (MaRisk) sind ein wesentlicher Bestandteil der regulatorischen Rahmenbedingungen für Banken und Finanzdienstleister in Deutschland. Das Rundschreiben 06/2024 (BA) stellt die jüngste Novellierung dieser Anforderungen dar, die darauf abzielt, die Stabilität und Integrität des Finanzsystems zu stärken. Diese Aktualisierung berücksichtigt die sich wandelnden Risiken und Herausforderungen im Finanzsektor, einschließlich technologischer Fortschritte und veränderter Marktdynamiken. In diesem Artikel werden die wichtigsten Änderungen und ihre Auswirkungen auf die Praxis des Risikomanagements beleuchtet.
Hintergrund und Notwendigkeit der Novellierung
Die Finanzkrise von 2008 und die nachfolgenden wirtschaftlichen Turbulenzen haben die Bedeutung eines robusten Risikomanagements hervorgehoben. Die MaRisk, die erstmals 2005 veröffentlicht wurden, bieten einen umfassenden Rahmen für das Risikomanagement in Banken und Finanzinstituten. Sie wurden mehrfach angepasst, um den sich ändernden Bedingungen gerecht zu werden. Die jüngste Novellierung im Jahr 2024 ist eine Reaktion auf die zunehmende Komplexität der Finanzmärkte, die Digitalisierung und die neuen Risiken, die sich daraus ergeben.
Wichtige Änderungen im Rundschreiben 06/2024 (BA) im Überblick
- Erweiterte Anforderungen an die IT-Sicherheit und das Cyber-Risikomanagement
Die Digitalisierung des Finanzsektors bringt erhebliche Chancen, aber auch Risiken mit sich. Das Rundschreiben 06/2024 betont die Notwendigkeit eines umfassenden Cyber-Risikomanagements. Banken müssen nun verstärkte Maßnahmen zur Abwehr von Cyberangriffen implementieren und sicherstellen, dass ihre IT-Infrastrukturen gegen Bedrohungen geschützt sind. Dies umfasst regelmäßige Sicherheitsüberprüfungen, die Schulung des Personals im Umgang mit Cyberrisiken und die Implementierung von Notfallplänen für den Fall eines Cyberangriffs. - Stärkung des Nachhaltigkeitsmanagements
Nachhaltigkeit und Umwelt, Soziales und Governance (ESG) gewinnen in der Finanzbranche zunehmend an Bedeutung. Die MaRisk-Novellierung integriert nun explizite Anforderungen an das Nachhaltigkeitsmanagement. Banken müssen Nachhaltigkeitsrisiken in ihre Risikobewertungen einbeziehen und sicherstellen, dass ihre Geschäftsstrategien mit den ESG-Zielen übereinstimmen. Dies umfasst die Berücksichtigung von Klimarisiken und deren potenziellen Auswirkungen auf das Kreditportfolio und die Geschäftstätigkeit insgesamt. - Verbesserte Governance und interne Kontrollsysteme
Ein weiterer Schwerpunkt der Novellierung liegt auf der Stärkung der Governance-Strukturen und internen Kontrollsysteme. Banken müssen sicherstellen, dass ihre internen Prozesse und Strukturen den erhöhten regulatorischen Anforderungen entsprechen. Dazu gehören verbesserte Mechanismen zur Überwachung und Kontrolle von Risiken, die Etablierung unabhängiger Risikokontrollfunktionen und die regelmäßige Überprüfung der Effektivität dieser Systeme. - Erhöhung der Transparenz und Berichterstattungspflichten
Transparenz ist ein zentrales Element eines effektiven Risikomanagements. Das Rundschreiben 06/2024 fordert von den Banken eine erhöhte Transparenz hinsichtlich ihrer Risikopositionen und -strategien. Dies beinhaltet erweiterte Berichterstattungspflichten gegenüber Aufsichtsbehörden und der Öffentlichkeit. Banken müssen detaillierte Berichte über ihre Risikomanagementpraktiken, die Identifizierung und Bewertung von Risiken sowie die Maßnahmen zur Risikominderung vorlegen. - Förderung der Risikokultur
Eine starke Risikokultur ist entscheidend für die Wirksamkeit des Risikomanagements. Die Novellierung betont die Notwendigkeit, eine Kultur des Risikobewusstseins innerhalb der Organisation zu fördern. Dies umfasst die Verantwortung des Managements, ein Umfeld zu schaffen, in dem Risiken offen kommuniziert und angemessen gehandhabt werden. Mitarbeiterschulungen und regelmäßige Sensibilisierungsmaßnahmen sind hierbei von großer Bedeutung.
Fazit
Die Novellierung der MaRisk durch das Rundschreiben 06/2024 (BA) stellt einen wichtigen Schritt zur Anpassung des regulatorischen Rahmens an die aktuellen Herausforderungen und Entwicklungen im Finanzsektor dar. Durch die verstärkte Fokussierung auf IT-Sicherheit, Nachhaltigkeit, Governance und Transparenz sollen die Stabilität und Integrität des Finanzsystems gestärkt werden. Banken und Finanzdienstleister sind nun gefordert, diese Anforderungen in ihre Risikomanagementpraktiken zu integrieren und dadurch nicht nur den regulatorischen Vorgaben gerecht zu werden, sondern auch ihre langfristige Widerstandsfähigkeit zu erhöhen.
Änderungen im Detail
Hier ist eine vollständige Übersicht aller Änderungen in der MaRisk-Version 06/2024 im Vergleich zur Version 05/2023, sortiert nach den jeweiligen Kapiteln:
AT 1 Vorbemerkung
- Neuer Absatz: Ergänzung präziser Vorgaben zur Einhaltung des Risikomanagements nach § 25a und § 25b KWG.
AT 2 Anwendungsbereich
- Erweiterung des Anwenderkreises: Präzisierte und erweiterte Definition des Anwenderkreises, um eine breitere Gruppe von Instituten und deren spezifische Risiken und Geschäfte zu erfassen.
AT 3 Gesamtverantwortung der Geschäftsleitung
- Erweiterung der Verantwortlichkeiten: Spezifische Verantwortlichkeiten und Verpflichtungen der Geschäftsleitung wurden erweitert, insbesondere hinsichtlich der Überwachung und Steuerung von Risikomanagementprozessen.
AT 4 Allgemeine Anforderungen an das Risikomanagement
- AT 4.3.4 Datenmanagement, Datenqualität und Aggregation von Risikodaten: Zusätzliche Anforderungen an die Datenqualität und das Datenmanagement, um eine verbesserte Aggregation von Risikodaten zu gewährleisten.
- AT 4.3.5 Verwendung von Modellen: Einführung neuer Anforderungen zur Validierung und Dokumentation von Modellen.
- AT 4.4 Besondere Funktionen: Erweiterte und präzisierte Definition der Aufgaben und Verantwortlichkeiten der Risikocontrolling-Funktion, Compliance-Funktion und Internen Revision.
AT 5 Organisationsrichtlinien
- Klarstellungen und Erweiterungen: Zusätzliche Anforderungen an die Dokumentation und Umsetzung von Organisationsrichtlinien.
AT 6 Dokumentation
- Erweiterung der Dokumentationspflichten: Erhöhte Anforderungen an die Dokumentation, um eine konsistentere und umfassendere Erfassung und Nachverfolgbarkeit von Entscheidungen und Prozessen sicherzustellen.
AT 7 Ressourcen
- AT 7.1 Personal: Einführung neuer Anforderungen an die Qualifikation und Schulung des Personals.
- AT 7.2 Technisch-organisatorische Ausstattung: Neue Bestimmungen zur Nutzung von IT-Systemen und deren Sicherung sowie zur technischen Ausstattung für das Risikomanagement.
- AT 7.3 Notfallmanagement: Präzisierungen und Erweiterungen zur Notfallplanung und -bewältigung.
AT 8 Anpassungsprozesse
- AT 8.1 Neu-Produkt-Prozess: Zusätzliche Vorgaben zur Risikobewertung neuer Produkte und zur Einbindung der Compliance-Funktion in den Prozess.
- AT 8.3 Übernahmen und Fusionen: Erweiterung um detailliertere Anforderungen an die Risikoanalyse und Integration von übernommenen Einheiten.
AT 9 Auslagerung
- Erweiterte Anforderungen: Verschärfte Anforderungen an die Auslagerung von Prozessen und Dienstleistungen, um sicherzustellen, dass ausgelagerte Aktivitäten den hohen Standards des Risikomanagements entsprechen.
BTR 3 Liquiditätsrisiken
- Zusätzliche Anforderungen für kapitalmarktorientierte Institute: Einführung neuer Berichterstattungspflichten und spezifischer Anforderungen an die Liquiditätsrisiken kapitalmarktorientierter Institute.
BT 1 Besondere Anforderungen an das interne Kontrollsystem
- BT 1.2.3 Kreditbearbeitungskontrolle: Ergänzungen zu den Kontrollen bei der Kreditbearbeitung und deren Dokumentation.
BT 2 Besondere Anforderungen an die Ausgestaltung der Internen Revision
- BT 2.4 Berichtspflicht: Neue Anforderungen an die Frequenz und den Umfang der Berichterstattung der Internen Revision.
BT 3 Anforderungen an die Risikoberichterstattung
- BT 3.1 Allgemeine Anforderungen an die Risikoberichte: Präzisierungen zu den Inhalten und der Struktur der Risikoberichte.
- BT 3.2 Berichte der Risikocontrolling-Funktion: Erweiterte Anforderungen zur regelmäßigen Berichterstattung und Einbindung der Ergebnisse in die strategische Planung.