Sie sind hier: Home » Markt » Hinweise & Tipps

MaRisk-Novelle umzusetzen


Finanzmarkt-Compliance: Alle deutschen Banken von fünfter MaRisk-Novelle betroffen
TME Institut und movisco GmbH empfehlen 5-Phasen-Modell zur Realisierung einer lückenlosen Compliance - Schon die Aufgliederung in fünf Phasen zeige, wie viel Zeit und Aufwand nötig sind



Bislang mussten nur global und national systemrelevante Banken die BCBS 239 erfüllen. Nun haben alle deutschen Banken die Baseler Grundsätze zur Aggregation von Risikodaten und Risikoberichterstattung zu beachten – je nach Größe des Geldinstituts in unterschiedlicher Ausprägung. Exakt geregelt ist dies in der fünften MaRisk-Novelle, den BaFin und Deutsche Bundesbank als Entwurf vorgelegt haben. Um den komplexen Anforderungen an die IT-Infrastruktur und das Risikomanagement gerecht zu werden, empfehlen das TME Institut und die movisco GmbH ein Vorgehen in fünf Phasen.

Alle Geldinstitute mit einer Bilanzsumme von mehr als 30 Milliarden Euro – in Deutschland aktuell 35 Banken – haben die MaRisk-Anforderungen an Datenarchitektur und IT-Infrastruktur einzuhalten. Unabhängig von der Größe der Bank ist den Anforderungen an die Risikoberichterstattung zu genügen. Im Entwurf der Novelle nicht konkretisiert wurde der zeitliche Rahmen, doch in den Stellungnahmen wird analog zu den BCBS 239 von einer Frist von drei Jahren ausgegangen, innerhalb derer die erforderlichen Maßnahmen umgesetzt werden müssen. Und diese Maßnahmen betreffen Organisation genauso wie Prozesse und IT. "Um Klarheit darüber zu gewinnen, was genau zu tun ist, sollte jedes Unternehmen zunächst sein Bewusstsein für die Problematik schärfen und dann Soll und Ist vergleichen", so Stefan Bachinger vom TME Institut.

Phasen 1 und 2: Problembewusstsein schaffen und Technik analysieren
In der ersten Phase des fünfstufigen Modells erwerben die Verantwortlichen der Bank ein einheitliches Verständnis der Anforderungen von MaRisk und BCBS 239. Insbesondere die für die Bereiche Risikomanagement, Finanzen und IT zuständigen Mitarbeiter sind dazu aufgerufen, alle relevanten (Risiko-)Berichte zu identifizieren sowie davon die entsprechenden Risiken, Kennzahlen und Systeme abzuleiten.

Mit der Phase 2 folgt die technische Ist-Analyse: Durch Vergleich der bestehenden Architektur mit einer Referenz-Architektur wird klar, welche Anpassungen nötig sind. Außerdem werden alle für die Risikodatenaggregation und das Reporting maßgeblichen Prozesse, Methoden, Systeme und Daten ermittelt. Eventuell erfolgen für den Übergang taktische Maßnahmen, die später durch strategische ersetzt werden.

Phasen 3 und 4: fachliche Ist-Analyse und Sollkonzeption
Am Ende der fachlichen Ist-Analyse in der dritten Phase weiß die Bank, wie es aktuell um ihre Compliance bestellt ist. Beispielsweise im Rahmen eines Self-Assessments werden alle Risikoarten und Anforderungen mit Hilfe eines Tools differenziert bewertet. Will man die eigene Compliance mit der von Wettbewerbern vergleichen, bieten sich dazu die Self-Assessments der global systemrelevanten Banken (G-SIB) als Referenz an.

Anschließend werden in Phase 4 die Abweichungen zur strategischen Zielsetzung, die sogenannten Compliance-Gaps, ermittelt, strukturiert und in Handlungsfelder gebündelt. Die Sollkonzeption beinhaltet übergreifende Lösungsansätze, in die idealer Weise alle relevanten Stakeholder einbezogen werden.

Phase 5: Planung der Realisierung
In der abschließenden Phase werden die Compliance-Gaps, Handlungsfelder und übergeordneten Lösungsansätze detailliert betrachtet, strukturiert und im Gesamtkontext der Bank analysiert. Auf dieser Basis entsteht ein klar umgrenztes Umsetzungsprojekt, werden Maßnahmenkataloge aufgestellt und wird die Realisierung geplant. Um den Umfang zu reduzieren, können einzelne Maßnahmen in bestehende Projekte integriert werden. Zudem erlaubt es die MaRisk nach dem Wesentlichkeitsgrundsatz und dem Proportionalitätsprinzip bestimmte Anforderungen oder Risikoarten als irrelevant auszusortieren. In Sachen Planung ist auf die finanziellen und personellen Ressourcen zu achten. Am Ende sollte eine Compliance Roadmap stehen, die sich dank klarer Aufschlüsselung konsequent umsetzen lässt.

Schon die Aufgliederung in fünf Phasen zeige, wie viel Zeit und Aufwand nötig seien, um die MaRisk-Novelle umzusetzen, so Thomas Deibert, Partner von TME im Bereich Risk & Regulatorik. "Schließlich sind mit diesem fünfstufigen Vorgehen lediglich die entscheidenden Handlungsfelder identifiziert und ein konsistenter Maßnahmenplan aufgestellt. Die eigentliche Realisierung folgt erst danach." Deibert und Bachinger raten daher den Banken, nicht das Inkrafttreten der Novelle abzuwarten, sondern bereits jetzt mit der Analyse der Anforderungen zu beginnen und diese mit den spezifischen Bedingungen des jeweiligen Unternehmens zusammenzudenken. (TME Institut: ra)

eingetragen: 26.07.16
Home & Newsletterlauf: 25.08.16

TME Institut: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Ethik für KI-Technologien ein Muss

    Das Europäische Parlament hat kürzlich mit dem "AI-Act" die weltweit erste staatliche Regulierung von KI verabschiedet. Die Verordnung soll die Entwicklung und den Einsatz von KI-Technologien maßgeblich regeln, indem sie Transparenz, Rechenschaftspflichten und Sicherheitsstandards vorschreibt.

  • Prüfungsangst kommt nicht von ungefähr

    Stehen die Prüfer des Fiskus vor der Tür, steigt in fast jedem Unternehmen das Nervositätslevel. Die Besucher kündigen sich zwar rechtzeitig an, stellen ihren Gastgebern aber ausführliche Detailfragen und schauen sich interne Unterlagen genau an, was nicht nur Zeit und Nerven kostet, sondern manchmal auch sehr viel Geld. "Mit einer gründlichen Vorbereitung können Firmen, Freiberufler und Selbstständige der Kontrolle ihrer Buchführung durch das Finanzamt aber in aller Regel gelassen entgegenblicken", betont Prof. Dr. Christoph Juhn, Professor für Steuerrecht an der FOM Hochschule und geschäftsführender Partner der Kanzlei Juhn Partner.

  • Bausteine für ein erfolgreiches ESG-Reporting

    Das Europäische Parlament hat bereits zum Jahresende 2022 die EU-Richtlinie zur Nachhaltigkeitsberichterstattung (Corporate Sustainability Reporting Directive, kurz CSRD) angenommen. Zahlreiche Unternehmen - kapitalmarktorientierte, aber auch viele aus dem Mittelstand - sind spätestens Anfang 2025 rechtlich dazu verpflichtet, Informationen über die gesellschaftlichen und ökologischen Auswirkungen ihres Handelns zu veröffentlichen und nach einem klar vorgegebenen Kriterienkatalog Rechenschaft abzulegen.

  • Chaos bei der Umsetzung von NIS-2 droht

    Ein Blick zurück kann manchmal sehr lehrreich sein: Am 26. Mai 2018 trat die Datenschutz-Grundverordnung, kurz DSGVO, in Kraft - genauer gesagt endete die 24-monatige Übergangsfrist. Zwei Jahre hatten deutsche Unternehmen also Zeit, ihre Prozesse an die neue Richtlinie anzupassen.

  • Die Uhr für DORA-Compliance tickt

    Ab dem 17. Januar 2025, gilt der Digital Operational Resilience Act (DORA) EU-weit für Finanzunternehmen und ihre IT-Partner. Da es sich um eine Verordnung der europäischen Union handelt, findet die Umsetzung in nationales Recht nicht statt.

Leiharbeit & Werkverträge Gerüstet für die EU-Datenschutz-Grundverordnung

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen