Sie sind hier: Home » Markt » Hinweise & Tipps

MaRisk-Novelle umzusetzen


Finanzmarkt-Compliance: Alle deutschen Banken von fünfter MaRisk-Novelle betroffen
TME Institut und movisco GmbH empfehlen 5-Phasen-Modell zur Realisierung einer lückenlosen Compliance - Schon die Aufgliederung in fünf Phasen zeige, wie viel Zeit und Aufwand nötig sind



Bislang mussten nur global und national systemrelevante Banken die BCBS 239 erfüllen. Nun haben alle deutschen Banken die Baseler Grundsätze zur Aggregation von Risikodaten und Risikoberichterstattung zu beachten – je nach Größe des Geldinstituts in unterschiedlicher Ausprägung. Exakt geregelt ist dies in der fünften MaRisk-Novelle, den BaFin und Deutsche Bundesbank als Entwurf vorgelegt haben. Um den komplexen Anforderungen an die IT-Infrastruktur und das Risikomanagement gerecht zu werden, empfehlen das TME Institut und die movisco GmbH ein Vorgehen in fünf Phasen.

Alle Geldinstitute mit einer Bilanzsumme von mehr als 30 Milliarden Euro – in Deutschland aktuell 35 Banken – haben die MaRisk-Anforderungen an Datenarchitektur und IT-Infrastruktur einzuhalten. Unabhängig von der Größe der Bank ist den Anforderungen an die Risikoberichterstattung zu genügen. Im Entwurf der Novelle nicht konkretisiert wurde der zeitliche Rahmen, doch in den Stellungnahmen wird analog zu den BCBS 239 von einer Frist von drei Jahren ausgegangen, innerhalb derer die erforderlichen Maßnahmen umgesetzt werden müssen. Und diese Maßnahmen betreffen Organisation genauso wie Prozesse und IT. "Um Klarheit darüber zu gewinnen, was genau zu tun ist, sollte jedes Unternehmen zunächst sein Bewusstsein für die Problematik schärfen und dann Soll und Ist vergleichen", so Stefan Bachinger vom TME Institut.

Phasen 1 und 2: Problembewusstsein schaffen und Technik analysieren
In der ersten Phase des fünfstufigen Modells erwerben die Verantwortlichen der Bank ein einheitliches Verständnis der Anforderungen von MaRisk und BCBS 239. Insbesondere die für die Bereiche Risikomanagement, Finanzen und IT zuständigen Mitarbeiter sind dazu aufgerufen, alle relevanten (Risiko-)Berichte zu identifizieren sowie davon die entsprechenden Risiken, Kennzahlen und Systeme abzuleiten.

Mit der Phase 2 folgt die technische Ist-Analyse: Durch Vergleich der bestehenden Architektur mit einer Referenz-Architektur wird klar, welche Anpassungen nötig sind. Außerdem werden alle für die Risikodatenaggregation und das Reporting maßgeblichen Prozesse, Methoden, Systeme und Daten ermittelt. Eventuell erfolgen für den Übergang taktische Maßnahmen, die später durch strategische ersetzt werden.

Phasen 3 und 4: fachliche Ist-Analyse und Sollkonzeption
Am Ende der fachlichen Ist-Analyse in der dritten Phase weiß die Bank, wie es aktuell um ihre Compliance bestellt ist. Beispielsweise im Rahmen eines Self-Assessments werden alle Risikoarten und Anforderungen mit Hilfe eines Tools differenziert bewertet. Will man die eigene Compliance mit der von Wettbewerbern vergleichen, bieten sich dazu die Self-Assessments der global systemrelevanten Banken (G-SIB) als Referenz an.

Anschließend werden in Phase 4 die Abweichungen zur strategischen Zielsetzung, die sogenannten Compliance-Gaps, ermittelt, strukturiert und in Handlungsfelder gebündelt. Die Sollkonzeption beinhaltet übergreifende Lösungsansätze, in die idealer Weise alle relevanten Stakeholder einbezogen werden.

Phase 5: Planung der Realisierung
In der abschließenden Phase werden die Compliance-Gaps, Handlungsfelder und übergeordneten Lösungsansätze detailliert betrachtet, strukturiert und im Gesamtkontext der Bank analysiert. Auf dieser Basis entsteht ein klar umgrenztes Umsetzungsprojekt, werden Maßnahmenkataloge aufgestellt und wird die Realisierung geplant. Um den Umfang zu reduzieren, können einzelne Maßnahmen in bestehende Projekte integriert werden. Zudem erlaubt es die MaRisk nach dem Wesentlichkeitsgrundsatz und dem Proportionalitätsprinzip bestimmte Anforderungen oder Risikoarten als irrelevant auszusortieren. In Sachen Planung ist auf die finanziellen und personellen Ressourcen zu achten. Am Ende sollte eine Compliance Roadmap stehen, die sich dank klarer Aufschlüsselung konsequent umsetzen lässt.

Schon die Aufgliederung in fünf Phasen zeige, wie viel Zeit und Aufwand nötig seien, um die MaRisk-Novelle umzusetzen, so Thomas Deibert, Partner von TME im Bereich Risk & Regulatorik. "Schließlich sind mit diesem fünfstufigen Vorgehen lediglich die entscheidenden Handlungsfelder identifiziert und ein konsistenter Maßnahmenplan aufgestellt. Die eigentliche Realisierung folgt erst danach." Deibert und Bachinger raten daher den Banken, nicht das Inkrafttreten der Novelle abzuwarten, sondern bereits jetzt mit der Analyse der Anforderungen zu beginnen und diese mit den spezifischen Bedingungen des jeweiligen Unternehmens zusammenzudenken. (TME Institut: ra)

eingetragen: 26.07.16
Home & Newsletterlauf: 25.08.16

TME Institut: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Vorsicht vor Betrug bei Festgeldanlagen

    Wer auf der Suche nach attraktiven Tages- oder Festgeldanlagen ist, nutzt häufig eine Suchmaschinensuche oder ein Vergleichsportal im Internet. Doch hier heißt es, wachsam zu sein. Auch Unternehmensseiten wie Bankportale und Vergleichsportale können perfekt gefälscht sein.

  • Bestandteil der Investmentsteuer

    Die Vorabpauschale für Investmentfonds ist bereits seit 2018 Bestandteil der Investmentsteuer in Deutschland ist. Die Berechnung der Vorabpauschale basiert allerdings auf dem sogenannten Basiszins, der in der Vergangenheit oft im negativen Bereich lag. Daher wurde die Vorabpauschale erst wieder Anfang 2024 für das Vorjahr, also das Jahr 2023, erhoben. Doch was ist die Vorabpauschale und wie funktioniert sie? In diesem Artikel zeigen wir Ihnen, worauf Sie achten sollten.

  • KI, Datenschutz & Datensicherheit

    Bevor Unternehmen generative KI einführen, sollten sie sich einige Fragen stellen, damit die neuen Dienste nicht den Datenschutz und die Datensicherheit gefährden. Forcepoint verrät, welche Fragen das sind. Die meisten Unternehmen haben den Mehrwert von generativer KI inzwischen erkannt und wollen entsprechende Dienste einführen, um ihre Mitarbeiter zu entlasten und Abläufe effizienter zu gestalten.

  • Cybersicherheit & NIS2-Compliance

    Mit der neuen EU-Richtlinie für Cybersicherheit erweitert sich der Kreis der betroffenen Firmen von rund 2.000 Unternehmen auf geschätzte 30.000. Während sich Großbetriebe von ihren Rechtsabteilungen beraten lassen, sind viele Mittelständler auf sich gestellt - und verunsichert.

  • Investitionen in nachhaltige Rechenzentren

    Digitale Technologien spielen eine wesentliche Rolle, um schädliche Emissionen zu reduzieren und die Klimaziele in Deutschland zu erreichen. So ergab eine aktuelle Bitkom-Studie zum Einsatz von digitaler Lösungen in Sektoren wie Energie, Industrie und Verkehr, dass die CO2-Emissionen im Klimaziel-Stichjahr 2030 jährlich um 73 Millionen Tonnen reduziert werden könnten.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen