Sie sind hier: Home » Markt » Hinweise & Tipps

MaRisk-Novelle umzusetzen


Finanzmarkt-Compliance: Alle deutschen Banken von fünfter MaRisk-Novelle betroffen
TME Institut und movisco GmbH empfehlen 5-Phasen-Modell zur Realisierung einer lückenlosen Compliance - Schon die Aufgliederung in fünf Phasen zeige, wie viel Zeit und Aufwand nötig sind

5. April 2025

Bislang mussten nur global und national systemrelevante Banken die BCBS 239 erfüllen. Nun haben alle deutschen Banken die Baseler Grundsätze zur Aggregation von Risikodaten und Risikoberichterstattung zu beachten – je nach Größe des Geldinstituts in unterschiedlicher Ausprägung. Exakt geregelt ist dies in der fünften MaRisk-Novelle, den BaFin und Deutsche Bundesbank als Entwurf vorgelegt haben. Um den komplexen Anforderungen an die IT-Infrastruktur und das Risikomanagement gerecht zu werden, empfehlen das TME Institut und die movisco GmbH ein Vorgehen in fünf Phasen.

Alle Geldinstitute mit einer Bilanzsumme von mehr als 30 Milliarden Euro – in Deutschland aktuell 35 Banken – haben die MaRisk-Anforderungen an Datenarchitektur und IT-Infrastruktur einzuhalten. Unabhängig von der Größe der Bank ist den Anforderungen an die Risikoberichterstattung zu genügen. Im Entwurf der Novelle nicht konkretisiert wurde der zeitliche Rahmen, doch in den Stellungnahmen wird analog zu den BCBS 239 von einer Frist von drei Jahren ausgegangen, innerhalb derer die erforderlichen Maßnahmen umgesetzt werden müssen. Und diese Maßnahmen betreffen Organisation genauso wie Prozesse und IT. "Um Klarheit darüber zu gewinnen, was genau zu tun ist, sollte jedes Unternehmen zunächst sein Bewusstsein für die Problematik schärfen und dann Soll und Ist vergleichen", so Stefan Bachinger vom TME Institut.

Phasen 1 und 2: Problembewusstsein schaffen und Technik analysieren
In der ersten Phase des fünfstufigen Modells erwerben die Verantwortlichen der Bank ein einheitliches Verständnis der Anforderungen von MaRisk und BCBS 239. Insbesondere die für die Bereiche Risikomanagement, Finanzen und IT zuständigen Mitarbeiter sind dazu aufgerufen, alle relevanten (Risiko-)Berichte zu identifizieren sowie davon die entsprechenden Risiken, Kennzahlen und Systeme abzuleiten.

Mit der Phase 2 folgt die technische Ist-Analyse: Durch Vergleich der bestehenden Architektur mit einer Referenz-Architektur wird klar, welche Anpassungen nötig sind. Außerdem werden alle für die Risikodatenaggregation und das Reporting maßgeblichen Prozesse, Methoden, Systeme und Daten ermittelt. Eventuell erfolgen für den Übergang taktische Maßnahmen, die später durch strategische ersetzt werden.

Phasen 3 und 4: fachliche Ist-Analyse und Sollkonzeption
Am Ende der fachlichen Ist-Analyse in der dritten Phase weiß die Bank, wie es aktuell um ihre Compliance bestellt ist. Beispielsweise im Rahmen eines Self-Assessments werden alle Risikoarten und Anforderungen mit Hilfe eines Tools differenziert bewertet. Will man die eigene Compliance mit der von Wettbewerbern vergleichen, bieten sich dazu die Self-Assessments der global systemrelevanten Banken (G-SIB) als Referenz an.

Anschließend werden in Phase 4 die Abweichungen zur strategischen Zielsetzung, die sogenannten Compliance-Gaps, ermittelt, strukturiert und in Handlungsfelder gebündelt. Die Sollkonzeption beinhaltet übergreifende Lösungsansätze, in die idealer Weise alle relevanten Stakeholder einbezogen werden.

Phase 5: Planung der Realisierung
In der abschließenden Phase werden die Compliance-Gaps, Handlungsfelder und übergeordneten Lösungsansätze detailliert betrachtet, strukturiert und im Gesamtkontext der Bank analysiert. Auf dieser Basis entsteht ein klar umgrenztes Umsetzungsprojekt, werden Maßnahmenkataloge aufgestellt und wird die Realisierung geplant. Um den Umfang zu reduzieren, können einzelne Maßnahmen in bestehende Projekte integriert werden. Zudem erlaubt es die MaRisk nach dem Wesentlichkeitsgrundsatz und dem Proportionalitätsprinzip bestimmte Anforderungen oder Risikoarten als irrelevant auszusortieren. In Sachen Planung ist auf die finanziellen und personellen Ressourcen zu achten. Am Ende sollte eine Compliance Roadmap stehen, die sich dank klarer Aufschlüsselung konsequent umsetzen lässt.

Schon die Aufgliederung in fünf Phasen zeige, wie viel Zeit und Aufwand nötig seien, um die MaRisk-Novelle umzusetzen, so Thomas Deibert, Partner von TME im Bereich Risk & Regulatorik. "Schließlich sind mit diesem fünfstufigen Vorgehen lediglich die entscheidenden Handlungsfelder identifiziert und ein konsistenter Maßnahmenplan aufgestellt. Die eigentliche Realisierung folgt erst danach." Deibert und Bachinger raten daher den Banken, nicht das Inkrafttreten der Novelle abzuwarten, sondern bereits jetzt mit der Analyse der Anforderungen zu beginnen und diese mit den spezifischen Bedingungen des jeweiligen Unternehmens zusammenzudenken. (TME Institut: ra)

eingetragen: 26.07.16
Home & Newsletterlauf: 25.08.16

TME Institut: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Cyber-Resilienz stärken

    Verlust sensibler Daten, enormer finanzieller Schaden oder die Störung der öffentlichen Ordnung - Cyberangriffe auf Kritische Infrastrukturen und Finanzinstitute können erhebliche gesellschaftliche Auswirkungen haben. Die Europäische Union hat deshalb die NIS2-Richtlinie und den Digital Operational Resilience Act (DORA) eingeführt, um diese zu minimieren.

  • KI im Arbeitsalltag: Werkzeug, kein Wundermittel

    Knapp 60 Prozent der deutschen Unternehmen mit mehr als 500 Mitarbeitenden nutzen laut einer Studie des Branchenverbands Bitkom inzwischen KI-basierte Chatbots. Wie gut die Ergebnisse ausfallen, die diese Bots und andere KI-Tools liefern, hängt allerdings wesentlich von der verwendeten Datengrundlage und einem wirklich sinnvollen Einsatzszenario ab.

  • Generationenkonflikt der IT-Security

    Unternehmen sind auf die Dynamik und frischen Ideen der jungen Generation angewiesen, um dem Fachkräftemangel zu begegnen und sich weiterzuentwickeln. Es darf jedoch nicht auf Kosten der IT-Sicherheit gehen. Um diesen Spagat zu meistern, braucht es einen Security-Ansatz, der Platz für Fortschritt schafft, anstatt ihn zu behindern.

  • Ist NIS-2 zu anspruchsvoll?

    Die politische Einigung über das Gesetz zur Umsetzung der EU-Richtlinie NIS-2 und der Stärkung der Cybersicherheit noch vor der Bundestagswahl ist gescheitert. SPD, Grüne und FDP konnten sich nicht auf zentrale Punkte einigen. Damit bleibt über zwei Jahre nach der Verabschiedung der EU-Richtlinie die dringend notwendige gesetzliche Verschärfung aus. Die Umsetzungsfrist wird weiter überschritten

  • Seit 1. Januar 2025 gilt die E-Rechnungspflicht

    Stellen Sie sich vor, Ihr Unternehmen kann plötzlich Rechnungen nicht mehr rechtssicher verschicken. Verzögerte Zahlungen, rechtliche Konsequenzen und möglicherweise ein belastetes Geschäftsverhältnis könnten die Folge sein - und das alles, weil Sie die E-Rechnungspflicht ohne die richtige Software kaum einhalten können.

Leiharbeit & Werkverträge Gerüstet für die EU-Datenschutz-Grundverordnung

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen