MaRisk- Anforderungen und Praxiserfahrungen aus der Prüfung der Aufsicht

Praxiserfahrungen aus der Prüfung der Aufsicht Prüfungsschwerpunkt: Prüfung der Ordnungsmäßigkeit der Geschäftsorganisation im Factoringgeschäft (vgl. § 25a Abs. 1 KWG i.V.m. den MaRisk) Eigene Praxiserfahrungen: Aufsicht mit Augenmaß (doppelter Proportionalitätsgrundsatz), auch BaFin und Bundesbank arbeiten sich an die Factoring-Thematik und deren MaRisk-Auslegung heran Veritätsrisiko rückt zunehmend in den Blickwinkel der Regulatoren man muss sich mit den MaRisk-Themen auseinander gesetzt haben und eigene Annahmen/Vorgehensweisen plausibel begründen/dokumentieren Dokumentierte Kontrollhandlungen als Teil des IKS / 4-Augen-Prinzip werden gern geprüft Verlauf 44er Prüfung: Auftaktgespräch der BaFin & der Bundesbank 1 Monat nach Prüfungsauftrag der BaFin an Bundesbank Vorort-Prüfungszeitraum: ca. 4 Wochen Sachverhaltserörterungsgespräch mit BaFin & Bundesbank nicht vorgesehen, kann aber am Ende des Prüfungszeitraumes erbeten werden

Praxiserfahrungen aus der Prüfung der Aufsicht Verlauf 44er Prüfung: Buba erstellt dann vor Ort Bericht, lässt ihn in der Zentrale (FFM) qualitätssichern und leitet ihn an die BaFin weiter, die darauf zu einer eigenen Auslegung gelangt, dieser schließt mit einem BaFin-Prüfbericht ab, der mehrere Monate nach der Vorortprüfung an das Institut geschickt wird BaFin erbittet nach mehreren Wochen um Antwort, z.B. wie man mit evtl. Feststellungen plant, umzugehen Tipps: Schlüsselpersonen / langjährige Know How-Träger im Haus zu einem Team bündeln, das der Aufsicht Rede und Antwort steht Prüfungstermine (werden von der Buba 1 Woche vorher bekannt gegeben) anhand vorbereiteter Präsentationen abhandeln Es bietet sich an für Terminkoordination / Unterlageneinreichung / QS von Präsentationen / Abstimmungsmanagement ein Mitarbeiter als PMO Büro (Projekt Management Organisation) abzustellen (sieht die Aufsicht auch gern – zentraler ASP) Schnelle Lieferung von angefragten Unterlagen, damit noch während Vorortprüfungszeitraumes Fragen hierzu geklärt werden können Sachverhaltserörterungsgespräch am Ende des Vorortprüfungszeitraumes nutzen, um evtl. Flanken, die in den Bericht einfließen werden, aus dem Weg räumen zu können, damit bei Eingang des Prüfungsberichtes bereits Erledigung an die Aufsicht gemeldet werden kann

MaRisk – Überblick der Anforderungen Angemessenes Risikomanagement Ordnungsgemäße Geschäftsorganisation im Sinne des§ 25a Abs. 1 KWG Konkretisierung des § 25a KWG durch die Mindestanforderungen an das Risikomanagement (MaRisk) Regelungen zur jederzeitigen Bestimmung der finanziellen Lage des Instituts. Sicherheitsvorkehrungen für den Einsatz der elektronischen Datenverarbeitung. Vollständige Dokumentation der ausgeführten Geschäfte. Geschäftsleiter sind für eine ordnungsgemäße Geschäftsorganisation verantwortlich. Angemessenheit der Geschäftsorganisation ist von den Instituten regelmäßig zu überprüfen. Die Geschäftsleitung des übergeordneten Instituts (Muttergesellschaft) hat für eine entsprechende Umsetzung bei den Töchtern zu sorgen (§ 25a Abs. 1a KWG). Die Geschäftsleitung hat dafür Sorge zu tragen, dass Auslagerungen von Geschäftsbereichen / einzelnen Tätigkeiten die Ordnungsmäßigkeit der Geschäftsführung und die Einhaltung der aufsichtsrechtlichen Bestimmungen nicht beeinträchtigen (§ 25a Abs. 2 KWG). Risikotrag-fähigkeit Geschäfts- und Risiko-strategie Interne Kontrollverfahren IKS Interne Revision (prozess-unabhängige Überwachung) Compliance-Funktion Risikocontrolling-Funktion Risikosteuerungs- / -controllingprozesse Aufbau- und Ablauforganisation

spezifische Anforderungen an MaRisk – Überblick der Anforderungen Öffnungsklauseln ermöglichen in Abhängigkeit von der Größe des Instituts, der Geschäftsschwerpunkte und der Risikosituation eine vereinfachte Umsetzung Umfasst alle Anforderungen, die „vor die Klammer“ gezogen werden können und übergreifenden Charakter besitzen - grundsätzliche Prinzipien für die Ausgestaltung des Risikomanagements. spezifische Anforderungen an Modul AT (Allgemeiner Teil) Modul BT (Besonderer Teil) BTO Aufbau- und Ablauforganisation Kreditgeschäft Handelsgeschäft BTR Risikosteuerungs- und controllingprozesse Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation Adressenausfallrisiken Marktpreisrisiken/ZÄR Liquiditätsrisiken Operationelle Risiken BT 2: Interne Revision BT 1: Anforderungen an das Interne Kontrollsystem

4. MaRisk Novelle – die wesentlichen Änderungen

Erweiterung IKS: Besondere Kontrollfunktionen AT 7.1 Tz. 2 (Erläuterung) […] Die mit der Leitung der Risikocontrolling-Funktion und der Leitung der Internen Revision betrauten Personen sowie der Compliance-Beauftragte haben besonderen qualitativen Anforderungen entsprechend ihres Aufgabengebietes zu genügen. Neuerung: Besondere qualitativen Anforderungen an Mitarbeiter in besonderen (Kontroll-) Funktionen entsprechend ihrem Aufgabengebiet Hinweis: Referentenentwurf zum Gesetz zur Anpassung von Gesetzen auf dem Gebiet des Finanzmarktes sieht für Factoringunternehmen als FDL die Möglichkeit vor, sich auf Antrag von der Verpflichtung zur Einrichtung einer Risikocontrolling- bzw. Compliance-Funktion nach § 25a Abs. 1 KWG aus Verhältnismäßigkeitserwägungen freistellen zu lassen (Gesetzeskraft voraussichtlich Herbst 2014).

MaRisk (AT 4.4.1): Risikocontrolling-Funktion Gemäß der 4. MaRisk-Novelle muss jedes Institut eine Risikocontrolling-Funktion einrichten und einen Leiter benennen. Aufgaben der Risikocontrolling-Funktion nach AT 4.4.1, Tz. 2 Unterstützung der Geschäftsleitung in risikopolitischen Fragen, insb. Risikostrategie & Risikobegrenzungssystem, Durchführung der Risikoinventur und Erstellung des Gesamtrisikoprofils, Unterstützung bei Einrichtung und Weiterentwicklung Risikosteuerungs- und -controllingprozesse, Einrichtung und Weiterentwicklung Risikokennzahlensystem und Risikofrühwarnverfahren, Laufende Überwachung der Risikosituation, Risikotragfähigkeit und der Risikolimite, Erstellung der Risikoberichte für die Geschäftsleitung, Ad hoc Reporting von aus Risikosicht wesentlichen Informationen an Geschäftsleitung und Interne Revision. Anforderungen an die Leitung der Risikocontrolling-Funktion nach AT 4.4.1, Tz. 4 ist bei allen wichtigen risikopolitischen Entscheidungen der Geschäftsleitung zu beteiligen, muss auf „ausreichend hoher Führungsebene“ angesiedelt sein, bei großen, international tätigen Instituten mit komplexen Geschäftsaktivitäten: Leitung muss durch einen Geschäftsleiter wahrgenommen werden, die Aufgaben sind grundsätzlich in exklusiver Weise auszuüben. Anzeigepflicht gegenüber Aufsichtsrat Wechselt die Leitung der Risikocontrolling-Funktion, ist das Aufsichtsorgan zu informieren.

MaRisk (AT 4.4.2): Compliance-Funktion Gemäß der 4. MaRisk-Novelle muss jedes Institut eine Compliance-Funktion einrichten und einen Compliance-Beauftragten benennen. Aufgaben der Compliance-Funktion Jährliche Durchführung sowie fortlaufende Weiterentwicklung der Compliance-Risikoanalyse zur Identifizierung der wesentlichen rechtlichen Regelungen und Vorgaben Einbeziehung in die Kontrollprozesse zu betrieblichen Änderungen (AT 8.2 MaRisk), neuen Produkten (NPNM-Prozess) sowie Auslagerungen Konzipierung, Implementierung, Pflege und fortlaufende Weiterentwicklung des Compliance Management Systems zur Einhaltung der für das Institut wesentlichen Regelungen und Vorgaben Regelmäßige (mindestens jährliche) sowie anlassbezogene Berichterstattung an die Geschäftsleitung Aufgaben des Compliance-Beauftragten Ist für die Erfüllung der Aufgaben der Compliance-Funktion verantwortlich Anzeigepflicht gegenüber Aufsichtsrat Wechselt die Leitung der Compliance-Funktion/der Compliance-Beauftragter, ist das Aufsichtsorgan zu informieren.