01.07.2016

Die fünfte MaRisk-Novelle überführt die BCBS 239 in den Geltungsbereich aller deutschen Banken

Global und national systemrelevante Banken (G-SIB bzw. D-SIB) sind zur Beachtung und Erfüllung der Anforderungen der BCBS 239 (Grundsätze zur Aggregation von Risikodaten und Risikoberichterstattung) verpflichtet. Die BCBS 239 stellen umfangreiche und weitreichende Anforderungen an die IT-Infrastruktur und die Prozesse im Risikomanagement von Banken. Institute können diesen neuen Auflagen mit einem 5-Phasen-Modell gegenübertreten.

Mit der fünften MaRisk-Novelle (Entwurf vom 18.02.2016) werden die Inhalte des Baseler Papiers BCBS 239 in die deutsche, regulatorische Praxis übernommen. Inhalte der Grundsätze I. Gesamtunternehmensführung & Infrastruktur sowie II. Risikodaten Aggregation werden für große und komplexe Institute eingeführt. Große und komplexe Institute definieren sich dabei über eine Bilanzsumme von mehr als 30 Milliarden Euro. Dieses Kriterium erfüllen aktuell 35 Banken in Deutschland (vgl. die Bank (08.2015 Seite 10): „Die hundert größten deutschen Kreditinstitute“).

Die Inhalte des Grundsatzes III. Risikoberichterstattung werden an alle deutschen Institute unabhängig des Bilanzvolumens adressiert. Der Anwendungsbereich des Baseler Papiers BCBS 239 wird somit durch die MaRisk zum einen auf 35 Banken in Deutschland ausgeweitet, und zum anderen auch für alle weiteren Banken relevant.

Die Inhalte des Grundsatzes III. Risikoberichterstattung werden durch die 5. MaRisk Novelle für alle deutschen Institute relevant.

Der Umsetzungshorizont wird im Konsultationspapier der MaRisk nicht benannt. Jedoch wird im Rahmen der Stellungnahmen über eine Umsetzungsfrist von drei Jahren - analog der BCBS 239 Vorschriften - diskutiert.

Die MaRisk / BCBS 239-Anforderungen stellen weitreichende Anforderungen an die Organisation, Prozesse und IT einer Bank. Für die Erreichung der Compliance ist daher essentiell, den individuellen Handlungsbedarf zu identifizieren, um darauf aufbauend ein Implementierungsprojekt planen zu können. Hierzu sind eine vollständige Identifikation des Handlungsbedarfs und eine Reduktion von Komplexität notwendig (vgl. gi Geldinstitute (04/2015, S. 37): „BCBS 239 – Die Modernisierung der Risikosteuerung“)

Um die individuellen Compliance-Lücken zu identifizieren, und Maßnahmen zur Erreichung der Compliance zu definieren, wird ein fünfstufiges Vorgehensmodell empfohlen. Mithin ergibt sich aus dem vorgestellten Ansatz eine strukturierte Vorgehensweise, die die Komplexität reduziert und somit Unsicherheit aus der Planung und dem Umsetzungsprojekt für die Compliance entnimmt.

Die Basis des Vorgehensmodells bildet eine klassische Gap-Analyse, die die Lücken zwischen der aktuellen Compliance einer Bank und der von der Bankenaufsicht geforderten Anforderungen identifiziert. 

Vorgehensmodell

Um die Abweichung zwischen Ist- und Soll-Compliance zu bestimmen ist es notwendig, eine umfassende Problemdiagnose der Bank in Bezug auf die aktuelle Compliance durchzuführen. Zu berücksichtigen ist dabei, dass das Zielbild (Soll-Compliance) durch die MaRisk / BCBS 239 formuliert ist, jedoch mit den individuellen Bankzielen in Einklang gebracht werden muss.

Das fünfstufige Vorgehensmodell führt von der Problemstellung bis hin zur Identifizierung der Handlungsfelder und den damit verbundenen Lösungsansätzen zur Erreichung der MaRisk- / BCBS 239-Compliance. Die fünf Phasen werden im Weiteren schlüssig abgegrenzt und mit praktischen Methoden für die Problemanalyse und die Problemlösung unterlegt.

Das Vorgehensmodell macht es möglich, die komplexe Problematik vollständig zu erfassen und einen Handlungspfad zur Lösung aufzunehmen und somit die vorhandene Komplexität zu reduzieren.

Phase 1: Problembewusstsein

Ziel der ersten Phase ist es, ein einheitliches Verständnis der BCBS 239 Anforderungen zu schaffen, sowie die fachliche und technische Relevanz zu bestimmen. Hierfür werden die BCBS 239 umfassend mit den relevanten Stakeholdern aus den Bereichen Risikomanagement, Finanzen und IT in Workshops diskutiert und die konsolidierten Ergebnisse entsprechend dokumentiert. Entscheidend ist die frühzeitige Einbindung aller relevanten Stakeholder. Auf diese Weise werden zum einen die unterschiedlichen Sichten auf das Zielbild vereint. Zum anderen wird durch das gemeinsame Verständnis und die frühzeitige Berücksichtigung der unterschiedlichen Sichten späteren Missverständnissen vorgebeugt.

Aufbauend auf dem gemeinsamen Verständnis können die relevanten (Risiko-)Berichte identifiziert werden. Auf Basis der relevanten Risikoberichte lassen sich die betroffenen Risiken, Kennzahlen und damit auch die betroffenen Systeme ableiten.

Phase 2: Technische Ist-Analyse

In dieser Phase wird ein tieferes Verständnis der technischen Ist-Situation aufgebaut, sowie eine Referenzarchitektur auf Basis der in Phase 1 identifizierten relevanten Systeme entwickelt. Durch Abgleich der Ist-Architektur mit der Referenzarchitektur werden die IT-seitigen Handlungs- und Problemfelder identifiziert und gleichzeitig Lücken zu einer vollständigen Compliance aufgezeigt. Zusätzlich erfolgt eine vollständige Dokumentation der relevanten Prozesse, Methoden, Systeme und Daten, die für die Risikodatenaggregation und das Reporting relevant sind. Je nach Umfang des IT-technischen Handlungsbedarfs ist es notwendig, taktische Lösungen zur Zielerreichung zu implementieren, die später durch strategische Lösungen abgelöst werden.

Phase 3: Fachliche Ist-Analyse

In der 3. Phase des Vorgehensmodells wird die aktuelle Abdeckung der MaRisk / BCBS 239 Anforderungen mittels eines Self-Assessments ermittelt. Den Rahmen des Self-Assessments bilden die Ergebnisse aus Phase 1 – die relevanten Risikoarten und Kennzahlen – und Phase 2 – die technischen Handlungsfelder.

Die Bewertung der Compliance wird hierbei nach den unterschiedlichen Risikoarten und unterschiedlichen Anforderungen vorgenommen, um ein detailliertes Bild der Ist-Situation abzubilden. Gleichzeitig wird sichergestellt, dass die Anforderungen aus den relevanten Blickwinkeln betrachtet werden.

Im Ergebnis wird die aktuelle Compliance-Abdeckung der Bank auf die unterschiedlichen Risikoarten und Grundsätze projiziert, um ein Gesamtbild der aktuellen Compliance darzustellen. Ebenso kann an dieser Stelle auf die veröffentlichten Self-Assessments der G-SIBs zurückgegriffen werden. Diese bieten eine Vergleichsmöglichkeit mit Best-Practices, um ein besseres Verständnis der eigenen Compliance im Verhältnis zum Marktumfeld zu gewinnen (vgl. Bank für Internationalen Zahlungsausgleich - BIS (Dez. 2013): „Progress in adopting the principles for effective risk data aggregation and risk reporting“, BCBS 268, URL: www.bis.org/publ/bcbs268.pdf und Bank für Internationalen Zahlungsausgleich - BIS (Jan. 2015): „ Progress in adopting the principles for effective risk data aggregation and risk reporting“, BCBS d308, URL: www.bis.org/bcbs/publ/d308.pdf).

Phase 4: Sollkonzeption

Die 4. Phase identifiziert die Abweichung zwischen der strategischen Zielsetzung durch die MaRisk / BCBS 239 und dem durch die Ist-Analyse dargestellten Status Quo. Die Praxiserfahrung zeigt, dass meist eine Vielzahl unterschiedlicher, voneinander abhängiger und komplexer Compliance Gaps vorliegen.

Vor diesem Hintergrund macht es Sinn, die Compliance Gaps zu strukturieren und in Handlungsfelder einzuteilen. Die Handlungsfelder stellen übergreifende Anforderungen und Anpassungen dar und nehmen somit den einzelnen Compliance Gaps die Komplexität. Die Praxis zeigt, dass dieses Vorgehen das Aufsetzen eines Umsetzungsprojektes erheblich vereinfacht und die Projektziele innerhalb der Organisation besser transportiert werden können.

Innerhalb der Sollkonzeption werden für die einzelnen Handlungsfelder ebenso übergreifende Lösungsansätze entwickelt. Ähnlich der Phase 1 ist es an dieser Stelle vorteilhaft, alle relevanten Stakeholder einzubeziehen. Dadurch werden alle Anforderungen der unterschiedlichen Bereiche in den Projektzielen und Lösungsvorschlägen reflektiert. Zusätzlich entwickeln auf diese Weise alle Stakeholder nicht nur ein gemeinsames Verständnis der Anforderungen, sondern auch des Lösungsansatzes. 

Phase 5: Realisierungs-Planung

Im Rahmen der Realisierungs-Planung werden die identifizierten Compliance Gaps, Handlungsfelder und übergeordneten Lösungsansätze nochmals im Detail betrachtet, strukturiert sowie im Gesamtkontext der Bank analysiert. Ziel dieser Phase ist es, den Scope des Umsetzungsprojektes klar zu definieren, Maßnahmenkataloge zu entwickeln und das Umsetzungsprojekt zu planen.

Die Praxiserfahrung zeigt, dass es sinnvoll ist, den Scope des Umsetzungsprojektes weitestgehend zu reduzieren. MaRisk / BCBS 239 Umsetzungsprojekte stellen hohe, vielfältige und komplexe Anforderungen an die unterschiedlichen Bereiche des Unternehmens. Ein konkret und fokussiert definierter Scope hilft dabei, das Umsetzungsprojekt beherrschbar zu machen.

Mögliche Ansatzpunkte zur Reduzierung des Scopes sind z. B. Verlagerungen in bestehende Projekte. Bereits laufende Projekte gehen eventuell auf Anforderungen der MaRisk / BCBS 239 ein und können die Anforderungen entsprechend mit aufnehmen. Zusätzlich ist es möglich, die einzelnen Anforderungen und Handlungsfelder unter Wesentlichkeitsgesichtspunkten zu betrachten und als nicht relevant einzustufen. Diese Möglichkeit bieten sowohl die BCBS 239 als auch die MaRisk (Wesentlichkeitsgrundsatz, vgl. Textziffer 23, 43 und 56 des BCBS 239, sowie MaRisk - AT 2.2 Risiken).

Um das Zielbild zu erreichen und somit die strategische und operative Lücke zu schließen, werden für die verbleibenden Themen Maßnahmenkataloge zusammengestellt. Im Anschluss werden detaillierte Pläne erarbeitet, um die identifizierten Maßnahmen umzusetzen. Dazu sind die notwendigen Ressourcen (finanziell wie personell) sowie die Auswirkungen auf bestehende Organisationseinheiten (Bereiche) zu bestimmen und direkt in die Planung mit einzubinden. Anhand dieser Analysen können die Ziele und Strategien bestehender Bereiche angepasst und die Auswirkungen der Maßnahmen in den einzelnen Bereichen berücksichtig werden. Abschließend werden die Ziele, Strategien und Maßnahmen endgültig zusammengeführt.

Die Realisierungs-Planung erzeugt einen Maßnahmenkatalog nach Handlungsfeldern (Schlüsselthemen) gegliedert, so dass anhand von Aufgabenpaketen, Meilensteinen (Roadmap), Messgrößen, Verantwortlichkeiten und Endterminen die abgeleiteten Maßnahmen im folgenden Umsetzungsprojekt realisiert werden können. Das Umsetzungsprojekt wird anhand der Handlungsfelder strukturiert und aufgesetzt.

Dabei liegt die Gesamtverantwortung stets beim obersten Management der Bank, das in letzter Konsequenz über sämtliche Maßnahmen zu entscheiden hat.

Fazit

Mit der Überführung von BCBS 239 Inhalten in die MaRisk werden Teile der Anforderungen für alle deutschen Institute relevant. Der Fokus liegt auf den großen und komplexen Banken, deren Risikodatenaggregationsfähigkeit Informationen umfassend, genau und zeitnah für das Berichtswesen zur Verfügung stellen muss. Für kleinere Institute gelten die Anforderungen an die Risikoberichtsprozesse. Um diese jedoch erfüllen zu können, ist auch von kleineren Instituten zu prüfen, inwiefern Aggregationskapazitäten aufgebaut werden müssen.

Für viele Institute bedeutet somit die Übernahme der BCBS 239 Anforderungen in die MaRisk vielfältige und komplexe Herausforderungen in den Bereichen Finanzen, Risikomanagement und IT. Diese können auf Basis des beschriebenen Vorgehensmodells strukturiert, analysiert und adressiert werden. Dabei fußt das Vorgehensmodell auf der Methode einer klassischen Gap-Analyse. Den Meta-Rahmen zur Sicherstellung der Vollständigkeit und Reduktion der Komplexität bildet ein mehrdimensionales Modell, das die Autoren im Artikel „ BCBS 239 – Die Modernisierung der Risikosteuerung“ vorgestellt haben (vgl. gi Geldinstitute (04/2015, S.37): „BCBS 239 – Die Modernisierung der Risikosteuerung“).

Autoren: Stefan Bachinger, Thomas Arnsberg