MaRisk-Compliance

Seit dem 1. Januar 2014 sind alle Kredit- und Finanzdienstleistungs-Institute verpflichtet, eine Compliance-Funktion nach MaRisk AT 4.4.2 einzuführen. Die MaRisk-Novelle vom 27. Oktober 2017 konkretisiert die Anforderungen.

Stempel 1 MaRisk-NovelleMaRisk-Novelle

Zum 27. Oktober 2017 hat die BaFin die MaRisk-Novelle 2017 in Ihrer Endfassung veröffentlicht.

Mit der MaRisk steht den Volksbanken Raiffeisenbanken eine weitere, unmittelbare Umsetzungslast ins Haus – und das kurz vor Jahresschluss und on top zu den Mega-Themen 4. Geldwäsche-Richtlinie, MiFID II und EU-DSGVO.

Änderungen ergeben sich (außer im Meldewesen) vor allem im Bereich der Risikokultur und der Auslagerungspraxis. Dabei unterscheidet die Aufsicht

  • Regelungsinhalte mit klarstellenden Wirkung – diese sind sofort wirksam und von den Banken umzusetzen – und  
  • Regelungsinhalte, die im MaRisk-Umfeld neu sind – diese sind bis zum 31. Oktober 2018 umzusetzen.
  • (Anforderungen aus AT 4.3.4 Risikodatenaggregation wird eine Umsetzungsfrist von drei Jahren eingeräumt.)

Die Frage ist nun, welche Regelungsinhalte in Bezug auf das Beauftragtenwesen „klarstellend“ und welche „neu“ sind. Denn dies lässt die Aufsicht leider offen.

Die Inhalte der MaRisk-Novelle und den möglichen Handlungsbedarf haben wir In Abstimmung mit den Regionalverbänden und auch unter Einbeziehung unserer eigenen Erfahrungenhaben in einer Sonderausgabe des MaRisk-Rechtsmonitorings zusammengefasst (pdf-Datei. 72 KB)

Und hier die wichtigsten ToDos im Überblick

MaRisk-Compliance

Erstmalig bestätigt die MaRisk die Auslagerbarkeit der MaRisk-Compliance für „kleinere“ Institute. Die Auslagerungsoption sichert angesichts der immer komplexer werdenden Anforderungen eine machbare, effektive und auch wirtschaftliche sinnvolle Alternative. Dies erkennt die Aufsicht zumindest in Teilen an, wenn sie diese „Erleichterung“ nun für kleinere Institute ausdrücklich vorsieht.

Mit Blick auf das GenoTec-Auslagerungsangebot sind sämtlichen Anforderungen an die MaRisk-Compliance-Funktion – ob nun klarstellend oder neu – abgedeckt und in unsere Prozesse überführt. Als Bank bilden Sie Ihre MaRisk Compliance prüfungssicher und effizient ab.  Daneben bieten wir auch punktuelle Unterstützungsleistungen an.

Ihr Ansprechpartner:

Auslagerungsmanagement

Die Aufsicht erwartet künftig ein zentrales Auslagerungsmanagement. Die Bank soll einen zentralen Überblick über ihre ausgelagerten Prozesse haben und die damit verbundenen Risiken einheitlich bewerten.

Auch hier können wir Sie in der Umsetzung der MaRisk unterstützen. Mit dem Tool „Dienstleistersteuerung kompakt“ – profitieren Sie von einem einfachen, schnell einsetzbaren und günstigen Verfahren.

Ihr Ansprechpartner:

Informationssicherheit

Die MaRisk bemüht sich mit Blick auf den „Fremdbezug von Software“ um einen „pragmatischen“ Lösungsansatz und stellt klar, dass der Erwerb von Software an sich noch keine Auslagerung darstellt.

Aber! Alle Softwarelösungen, die

  • zur Steuerung, Messung  und Überwachung von Risiken eingesetzt werden sowie
  • für die Wahrnehmung bankgeschäfticher Aufgaben wesentlich sind,

fallen unter den Anwendungsbereich des AT 9, das heißt sie sind wie wesentliche Auslagerungen zu behandeln.

Was bedeutet dies für die genossenschaftlichen Institute? Sie nutzen die Rechenzentrale, sie greifen zurück auf Lösungen der DZ Bank-Gruppe oder greifen beispielsweise auf FOCONIS-Lösungen zurück.  Um zu einer belastbaren Einschätzung zu kommen, sind wir auch hier in der Abstimmung mit den Regionalverbänden.

Ihr Ansprechpartner:

Risikokultur

Schlussendlich konkretisiert die Aufsicht ihre Anforderungen an die Risikokultur in den Unternehmen. Sie erwartet, dass die Institute sich künftig stärker mit der Thematik auseinandersetzen und nachvollziehbar entscheiden, dokumentieren sowie leben, was für sie richtig ist, und was eben nicht. Auch wenn Kultur an sich nur schwer greifbar ist, die Aufsicht scheint entschlossen, sich notfalls direkt vor Ort ein Bild machen zu wollen.

Sie als Bank haben mehrere Ansatzpunkte, nicht nur in der WpHG-Compliance ist das Thema schon gesetzt. Auch dieses Thema wird aktuell diskutiert. Sobald sich hier ein klares Bild der Umsetzungserfordenisse abzeichnet, werden wir Sie informieren.

Ihr Ansprechpartner:

 


MaRisk-Compliance Beauftragter

Zu den Aufgaben der Funktion zählen:

  • Den neuen Compliance-Beauftragten nach MaRisk benennen und prozessual einbinden
  • Stellenbeschreibung und Stellvertreterregelung erstellen
  • Bestandsaufnahme durchführen und das MaRisk-Compliance-Risiko identifizieren
  • Geschäftsstrategie und Risikohandbuch anpassen
  • Verfahren, Prozesse und Kontrollen zur Einhaltung rechtlicher Vorgaben erarbeiten
  • Eine nachvollziehbare Dokumentation erstellen

Als mögliche Compliance-Risiken für Ihr Institut werden insbesondere verstanden:

  • Die allgemeinen Vorgaben des Verbraucherschutzes (auch mit Bezug auf das Kreditgeschäft, den Zahlungsverkehr oder andere Geschäftsaktivitäten)
  • Geschäftsmodell-relevante, bankspezifische Rechtsgebiete

 

Die effiziente Lösung

Aufgrund der Themenbreite und Komplexität der Materie ist eine Auslagerung der MaRisk-Compliance aus Sicht der BaFin nicht nur zulässig, sondern für viele Institute auch erwünscht – wenn sie von einem erfahrenen und qualitätsgesicherten Partner durchgeführt wird.

Die Spezialisten der GenoTec übernehmen für Ihr Institut die Funktion des Compliance-Beauftragten nach MaRisk sowie dessen Stellvertreters.

Unsere Lösung umfasst vier Module. Dabei wirkt die Compliance-Funktion koordinierend und integrierend zwischen allen Beauftragten-Funktionen, so dass Doppelarbeiten vermieden werden.

 Darüber hinaus bieten wir ein rechtlich-regulatives Monitoring an.