MaRisk: Banken droht Kostenschub im Berichtswesen

-
14. März 2016
-
Von Sven Müller (Foto), Procedera Consult

Deutsche Banken müssen sich auf erhebliche Mehrausgaben bei der Risikoberichterstattung einstellen. Der Grund: Mit der bevorstehenden MaRisk-Novelle gelten schärfere Anforderungen an die Einspeisung von Risikodaten in das Berichtswesen. Das überfordert derzeit sowohl die Organisation als auch die technische Ausstattung vieler Institute. Zu diesem Ergebnis kommt eine Analyse von Procedera Consult zum aktuellen MaRisk-Konsultationspapier.

Im Vorteil sind Banken, die IT-spezifische Anpassungen im Risikomanagement bereits mit BCBS 239 eingeführt haben. Viele der darin vorweggenommenen Vorschriften für die Risikoberichterstattung sowie der dafür erforderlichen Datenaggregation halten jetzt Einzug in die nationale Gesetzgebung der MaRisk. Die steigenden Anforderungen sind Teil einer übergeordneten Klammer der aktuellen Regulierungsoffensive: eine für alle Bereiche gültige Risikokultur. Künftig erwartet die BaFin von den Instituten, ein einheitliches Verständnis zum Umgang mit Geschäftsrisiken zu schaffen und das sowohl auf Mitarbeiterebene – in Form eines verbindlichen Verhaltenskodex – wie auch in der Prozess- und IT-Landschaft zu verankern. Viele Institute arbeiten jedoch noch mit häufig Excel-basierten Insellösungen, die diesem übergreifenden Anspruch nicht gewachsen sind.

Kostentreiber Datenmanagement
Eine wesentliche Herausforderung besteht darin, erforderliche Risikodaten zweifelsfrei zu identifizieren und an zentraler Stelle zusammenzuführen. In der Realität steht dem einheitlichen Konzernblick auf die Gesamtorganisation eine Vielzahl unterschiedlicher Datentöpfe entgegen. Die betroffenen Fachbereiche müssen jetzt verstärkt darauf achten, das notwendige Datenmaterial konsistent und möglichst automatisiert aufzubereiten. Zudem sind die vielfach vorhandenen Individuallösungen nicht darauf ausgelegt, in der geforderten Häufigkeit Risikodaten zu erheben und in das zentrale Berichtswesen einfließen zu lassen. Insbesondere durch die von der Aufsicht nunmehr erwarteten Ad-Hoc-Berichte stoßen viele Häuser jetzt an ihre Grenzen.

Darüber hinaus steigt der Anspruch an die Qualität der Risikoberichterstattung. MaRisk-konforme Risikoberichte müssen künftig qualitative Aussagen zum erhobenen Risikodatenmaterial enthalten. Das erfordert eine vorangehende Bewertung durch die datenausliefernden Fachbereiche, um das Management in die Lage zu versetzen, Kennzahlen im Risikobericht als Entscheidungsgrundlage in den richtigen Kontext einzuordnen. Hinter diesen Vorschriften steckt das Ziel, durch Risikoberichte Steuerungsimpulse auszulösen. Die Institute sollen gemäß der eigenen Risikokultur tatsächlich handeln statt nur Papiertiger zu erschaffen, die keinerlei praktische Handlungsrelevanz entfalten.

Technik und Prozesse hinken hinterher
Anspruch und Wirklichkeit klaffen jedoch auf prozessualer Ebene derzeit weit auseinander. Häufig folgen die Fachabteilungen noch der Logik, Risiken nur entsprechend den durch die MaRisk vorgegebenen Kategorien zu ermitteln und zu überwachen. Entsprechend gibt das Risikoberichtswesen ein ebenso fragmentiertes Bild ab wie die zugrundeliegende Datenbasis. Neben den technischen Verbesserungen, die sich erfahrungsgemäß in einem klar zu strukturierenden IT-Projekt realisieren lassen, stehen also vor allem hausinterne Konsolidierungen und die adressatengerechte Darstellung von Risikoberichten sowie die Prozesse zu deren Erstellung im Hausaufgabenheft der Institute. BT 3.4 MaRisk verpflichtet zudem die Markt- und Handelsbereiche dazu, eigene Berichte zu erstellen. In diesem Bereich dürfte kaum eine Bank bereits alle nötigen Prozesse zur Datenerhebung vorhalten, um diese Auflagen zu erfüllen. Als ebenso herausfordernd erweist sich voraussichtlich die Verbindung zwischen interner und externer Berichterstattung. Denn die intern erhobenen Kennzahlen wirken sich auf die von der Europäischen Bankenaufsicht EBA geforderten Meldedaten des Financial Reportings (FinRep) im Rahmen der SREP-Leitlinie aus.

Versteckte Kosten bei Auslagerungen
Neben den hausintern erforderlichen Anpassungen, die sich aus dem MaRisk-konformen Umbau von Prozessen ergeben, reißt die Aufsicht zusätzlich eine Baustelle bei der Dienstleistersteuerung auf. So müssen die Institute ausgelagerte Unternehmensteile künftig deutlich stärker in das Risikomanagement einbeziehen. Viele Dienstleister haben die von ihnen nunmehr erwarteten Datenanlieferungen jedoch nicht eingepreist und wegen bislang weniger strengen Anforderungen auch keine geeigneten Prozesse implementiert. An dieser Stelle droht Geldhäusern die Kostenfalle: Nach den neuen Regeln müssen die Risikoberichte sowie ein gesonderter Auslagerungsbericht auch Informationen über die Risikosituation und den Erfüllungsgrad der vertraglichen Vereinbarungen von Unternehmen enthalten, die Auslagerungen für die Institute abwickeln. Doch auch hier gilt: Mit der Anlieferung entsprechender Daten durch den Dienstleister ist es nicht getan. Die Informationen müssen in die hausinternen IT-Systeme einlaufen und ebenfalls qualitativ bewertet werden. Zudem erstreckt sich die Anforderung auf die gesamte Dienstleisterkette und erfasst somit auch Unterauslagerungen. Vertragsgestaltungen, die diese Aufgabe auf den unmittelbaren Vertragspartner abwälzen, verstoßen gegen AT 9 MaRisk. Banken kommen vor diesem Hintergrund nicht um ein zentrales Auslagerungsmanagement herum.

In erster Linie ist Konzeptionsstärke gefragt
Damit die insgesamt steigende Komplexität unter Kontrolle bleibt, müssen die Banken Verantwortlichkeiten für Aggregationsprozess benennen. Zu den Aufgaben gehört vor allem, sämtliche Risikodaten einer einheitlichen Nomenklatur zu unterwerfen und für deren Überführbarkeit zu sorgen. Das ist nötig, da eine Auswertbarkeit nach verschiedenen Kategorien wie Geschäftsfeld, Konzerngesellschaft, Anlagenart, Branche oder Region erwartet wird. Diese Benennungen müssen einheitlich über alle Bereiche erfolgen, die Risikodaten ins zentrale Berichtswesen einspielen. Ein Nebeneffekt: Auf diese Weise konsolidierte Daten lassen sich deutlich einfacher und vor allem automatisiert ineinander überleiten. Ausnahmen von der automatisierten Datenaggregation müssen größere Institute künftig sogar gegenüber der Aufsicht begründen. Gleichzeitig gelten weiterhin die strengen Regelungen in Bezug auf Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit, die sowohl intern wie auch gegenüber externen Dienstleistern zu überwachen sind. All dies erfordert Standardisierungen bei Software und Datenmodellen sowie Schutzbedarfsanalysen, die sich vielfach mit herkömmlichen Bordmitteln kaum wirtschaftlich darstellen lassen. Auch in diesem Bereich müssen die Banken Budgets freimachen.
MaRisk zielt auf das „Big Picture“

Auf den ersten Blick reißt die MaRisk-Novelle viele alte und neue Wunden auf. Tatsächlich aber füllt die Aufsicht durch diese Maßnahmen den Begriff der Risikokultur konkret mit Leben. Die zahlreichen Einzelmaßnahmen von der Datenerhebung über die Berichterstellung bis hin zum zentralen Auslagerungswesen dienen der vorab formulierten Risikokultur und müssen dieser entsprechen. AT 5 MaRisk schreibt vor, Grundsätze für Datenqualität, Datenmanagement und Datenaggregation zudem in der Schriftlich fixierten Ordnung (SfO) festzuhalten. Bei Prüfungen drohen Feststellungsmoniten, falls die Bank Anforderungen gemäß der Sollstellung verfehlt beziehungsweise SfO und gelebte Praxis voneinander abweichen. Dabei gilt: Bei der MaRisk handelt es sich ausdrücklich um Mindestanforderungen an das Risikomanagement. Wer sich strengere Regeln auferlegt, muss sich bei einer Prüfung daran messen lassen. Allein deshalb steht die bevorstehende Umsetzungsphase der MaRisk nicht allein unter technischen Vorzeichen. Das Gesamtbild muss stimmen – und darin stecken die wahren Aufwandstreiber.

Autor
Sven Müller ist Experte für Risiko- und Prozessmanagement bei Procedera Consult. Er ist spezialisiert auf MaRisk-konforme Prozesse und die Einhaltung von Basel II/III-Anforderungen.