Ausgabe 6 | Mai 2015 Financial Services Regulatory Update Zusammenfassung • Entwurf des Abwicklungsmechanismusgesetzes am 30. April 2015 vom BMF veröffentlicht (vor Kabinettbeschluss noch als SRMAnpassungsgesetz bezeichnet). • Abwicklungsmechanismusgesetz sieht Änderungen bei einer Vielzahl an Gesetzen vor, u.a. am Sanierungsund Abwicklungsgesetz, am Restrukturierungsfondsgesetz und am Kreditwesengesetz. • Die Anforderungen an das Risikomanagement und das Outsourcing sollen künftig in eigene Rechtsverordnungen überführt werden, d.h. Wegfall der MaRisk wahrscheinlich. • Des Weiteren erfolgt über die Schätzung der Erfüllungsaufwände aus dem Abwicklungsmechanismusgesetz eine erste inhaltliche Konkretisierung für die Themenblöcke Risikokultur, Governance, Risikodaten, Interne Revision, Notfallkonzept, Neu-Produkt-Prozess und Outsourcing. Auswirkungen des Abwicklungsmechanismusgesetzes auf § 25a Abs. 1 KWG und MaRisk Hintergrund Das Bundesfinanzministerium (BMF) hat am 30. April 2015 einen Regierungsentwurf für ein Gesetz zur Anpassung des nationalen Bankenabwicklungsrechts an den Einheitlichen Abwicklungsmechanismus und die europäischen Vorgaben zur Bankenabgabe (Abwicklungsmechanismusgesetz – AbwMechG) veröffentlicht. Hintergrund für den Gesetzentwurf sind die Regelungen zur Bankenabwicklung, die im vergangenen Jahr mit dem BRRD-Umsetzungsgesetz geschaffen wurden. Über das Abwicklungsmechanismusgesetz sollen bestimmte Regelungen geändert werden, um dem Start des einheitlichen Abwicklungsmechanismus mit allen Befugnissen zum 1. Januar 2016 und den zwischenzeitlich ergangenen, europäischen Level-II-Vorgaben zur Bankenabgabe Rechnung zu tragen. Der Gesetzentwurf sieht insbesondere die folgenden Änderungen vor: • Anpassung des Sanierungs- und Abwicklungsgesetzes (SAG) an die SRM-Verordnung und den einheitlichen Abwicklungsmechanismus, insbesondere die Regelung der behördlichen Zuständigkeiten im einheitlichen Abwicklungsmechanismus (nationale Abwicklungsbehörden und Abwicklungsausschuss – Single Resolution Board) sowie die Schaffung von Verordnungsermächtigungen in Bezug auf die Ausgestaltung von Sanierungsplänen. • Anpassung des Restrukturierungsfondsgesetzes (RStruktFG) an die europäischen Vorgaben zur Bankenabgabe und Regelung zur Verwendung der Bankenabgabe 2011 bis 2014. So wird u.a. ein verbindlicher Abwicklungsfonds eingeführt und die bisherigen Beiträge werden in diesen überführt. • Änderung der Regelungen über die Deckungswerte des öffentlichen Pfandbriefs im Pfandbriefgesetz (PfandBG). • Anpassung des Finanzmarktstabilisierungsfondsgesetzes (FMStFG) hinsichtlich der Finanzierung der Bundesanstalt für Finanzmarktstabilisierung (FMSA) als Abwicklungsbehörde. • Änderungen im Kreditwesengesetz (KWG), u.a. zur Insolvenz von CRR-Instituten, zur Anforderung an Kapitalpuffer für global systemrelevante Institute und zur Ausweitung von Informations-/ Auskunftspflichten. Zudem hat das Abwicklungsmechanismusgesetz Auswirkungen auf § 25a Abs. 1 KWG und die MaRisk. Mit diesen wird sich der nachfolgende Teil dieses Regulatory Updates detailliert befassen. Auswirkungen auf § 25a Abs. 1 KWG und Mindestanforderungen an das Risikoamanagement Der neugefasste § 25a Abs. 4 und 5 KWG-E soll der Notwendigkeit einer verbesserten rechtlichen Grundlage für Anforderungen an das Risikomanagement und OutsourcingManagement der Institute Rechnung tragen. Die Anforderungen werden derzeit nur allgemein im § 25a Abs. 1 KWG bzw. § 25b KWG geregelt (Grundelemente des Risikomanagements bzw. Outsourcings) und über die MaRisk konkretisiert. Die MaRisk haben jedoch aufgrund ihrer Ausgestaltung als Rundschreiben keinen Rechtsnormcharakter und können somit weder als Grundlage für Verwaltungsakte noch für die Verhängung von Bußgeldern eingesetzt werden. Aus diesem Grund wird mit dem Abwicklungsmechanismusgesetz eine Ermächtigungsgrundlage geschaffen, um die Anforderungen an das Risikomanagement und Outsourcing künftig in eine Verordnung zu überführen. Entsprechende Rechtsverordnungen oder Entwürfe liegen noch nicht vor. Jedoch gibt das Abwicklungsmechanismusgesetz an zwei Stellen Anhaltspunkte für die weitere Ausgestaltung: • Die allgemeinen Regelungsinhalte zum Outsourcing werden in der Rechtsverordnungsermächtigung in § 25b Abs. 5 KWG-E genannt. • Aus der Schätzung der Erfüllungsaufwände lässt sich eine erste inhaltliche Konkretisierung der MaRisk entnehmen. Die einzelnen möglichen Konkretisierungen werden nachfolgend nach Themenblöcken dargestellt und erläutert. Abbildung 1: Übersicht der Themenblöcke Risikokultur und Governance Verweis MaRisk Die Förderung der Risikokultur soll durch die Geschäftsleitung stärker forciert werden, d.h. das Risikobewusstsein soll stärker in die Unternehmenskultur verankert werden. Beispiele können in diesem Zusammenhang geschäftsstrategische oder vergütungsbezogene Vorgaben sowie Schulungen sein. AT 3 Tz. 1 Der Wechsel von Mitarbeitern aus den Bereichen Handel und Vetrieb in diverse Kontrollbereiche wie Risikocontrolling, Compliance, Interne Revision, etc. soll stärker formalisert werden. Dies bedeutet insbesondere, dass entsprechende Regelwerke zum Mitarbeiterwechsel erstellt und regelmäßig aktualisiert werden müssen. Darüber hinaus soll das Selbstprüfverbot ausgeweitet werden. Auch dieses wäre in den entsprechenden Regelwerken des Instituts zu verankern. AT 4.3.1 Financial Services Regulatory Update Mai 2015 | 2 Risikodaten Verweis MaRisk Die Anforderungen an die Datenqualität sollen weiter erhöht werden, speziell für systemrelevante Institute. Damit greifen die Regelungen die Grundsätze zur Risikodatenaggregation gemäß Standard BCBS 239 des Basler Ausschusses auf (Principles for effective risk data aggregation and risk reporting - BCBS 239). Institute sollen künftig ihre Risikodaten angemessen managen. Dies schließt die Identifizierung, Zusammenführung und Auswertung der entsprechenden Daten mit ein. Zudem sollen die Überwachung der Datenqualität sowie die Plausibilisierung mit anderen vorliegenden Information sichergestellt werden. Des Weiteren ist vorgesehen, dass systemrelevante Institute auch in Stress-/Krisensituationen über die Daten verfügen. Eine Flexibilisierung der Standardprozesse ist in diesem Zusammenhang erforderlich. Dies bedeutet für die Institute insbesondere: • Ein hoher Umsetzungaufwand, da sowohl Prozessanpassungen als auch IT-Veränderungen notwendig sind, • Umstrukturierung der Organisation durch Ernennung eines „Chief Data Officers“, ausgestattet mit entsprechenden Ressourcen. AT 4.3.4 Tz. 1 - 6 Die Risikodaten sollen vollständig und nach diversen Kriterien/Kategorien auswertbar sein. Auch hier werden die Anforderungen des BCBS 239 aufgegriffen – die Hauptaufgaben des Risikomanagers sollen in der Anlayse und Interpretation der Daten, nicht in der „Beschaffung“ und Aufbereitung liegen. Soweit manuelle Prozesse zum Einsatz kommen, sind diese nachvollziehbar zu begründen und zu dokumentieren. Um diese Anforderungen zu erfüllen, sollten systemrelevante Institute Datenverantwortliche benennen und eine neue datenverantwortliche Organisationseinheit gründen. AT 4.3.4 Tz. 3 Jedes Institut soll angehalten werden, die Risikodaten jederzeit und vollständig vorzuhalten, so dass sofort auf Anfrage Risikoberichte erstellt werden können (Adhoc-Datenabfragen). Auch diese Anforderung stammt aus dem BCBS 239 Papier. Dafür ist der Meldewesenprozess innerhalb der Institute entsprechend zu überarbeiten. Die wesentlichen Risikodaten sind flexibel „per Knopfdruck“ zu aggregieren. Außerdem ist die Geschwindigkeit zur Erstellung von Berichten zu erhöhen. BT 3.1 Tz. 3 Es wird eine zeitnahe vierteljährige Erstellung von Risikoberichten an die Geschäftsleitung und das Aufsichtsorgan gefordert. Der Begriff „zeitnah“ wird dabei nicht weiter konkretisiert. BCBS 239 sieht ebenfalls vor, dass die Erstellung der Risikoberichte beschleunigt und die Prozesssicherheit verbessert werden soll. Dies soll insbesondere durch einen höheren Automatisierungsgrad sowie optimierte Abstimmungs- und Übergabeprozesse zwischen Risiko-, Meldewesen- und Finanzbereich gewährleistet werden. Zudem soll sich das Institut auf die für das Haus relevanten und notwendigen Informationen fokussieren. BT 3.1 Tz. 4 und 6 Die Prozesse zum Abgleich der Risikodaten und zur Identifizierung von Mängeln und Schwachstellen sollen in den Risikoberichten von systemrelevanten Instituten enthalten sein. Auch hier gehen die Ausführungen auf den Standard BCBS 239 ein, welcher effektive Qualitätskontrollen sowie eine leistungsfähige Architektur zur Abstimmung der Finanz- und Risikodaten fordert. BT 3.1 Tz. 5 Zudem sollen die Anforderungen der Risikoberichte der Marktbereiche an die jeweils zuständigen Geschäftsleiter weiter konkretisiert werden. Konkrete Vorgaben werden derzeit angabegemäß noch entwickelt. BT 3.3 Financial Services Regulatory Update Mai 2015 | 3 Interne Revision Verweis MaRisk Gehört ein Institut einer Gruppe an, sollen die Prüfungsansätze der Internen Revision gruppenweit angeglichen werden. Gemäß aktueller MaRisk kann die Konzernrevision optional die Ergebnisse der Einzelrevisionen verwenden. Mit der Anforderung, die Prüfungsansätze interner Revisionen gruppenweit anzugleichen, werden Prüfungsergebnisse tendenziell vergleichbarer und die Rolle der Konzernrevision grundsätzlich gestärkt. AT 4.5 Tz. 6 Die Wesentlichkeitseinstufung von Aktivitäten und Prozessen sowie das Verlustpotenzial, das durch Manipulation seitens der Mitarbeiter entstehen kann, soll bei der Prüfungsplanung miteinbezogen werden. Zudem soll klargestellt werden, dass die erlaubte Abweichung vom Prüfungsturnus kein Verzicht von Prüfungen bedeuten darf. Hierdurch würde die bisher erforderliche Risikoorientierung der Prüfungsplanung näher konkretisiert. Gleichzeitig wird durch die explizit erforderliche Berücksichtigung der Wesentlichkeitseinstufung von Aktivitäten und Prozessen die Verknüpfung zu weiteren Anforderungen der ordnungsgemäßen Geschäftsorganisation, den MaRisk sowie dem Risikomanagement hergestellt. Das Verlustpotential durch mögliche Manipulationen von Mitarbeitern stellt hier eine sehr spezifische Anforderung zur Berücksichtigung in der Prüfungsplanung dar, die gleichzeitig eine systematische bankweite Bewertung aller Prozesse und Aktivitäten voraussetzt. BT 2.3 Tz. 2 und 3 Klarstellung, dass ein Gesamtbericht der Internen Revision vierteljährlich erstellt und der Geschäftsleitung und dem Aufsichtsorgan bereitgestellt werden muss. Hierdurch wird § 25c Abs. 4a Buchst. 3g KWG Rechnung getragen, wonach die Interne Revision in angemessenen Abständen, mindestens aber vierteljährlich, an die Geschäftsleitung und an das Aufsichts- oder Verwaltungsorgan berichten muss. BT 2.4 Tz. 4 Notfallkonzept Verweis MaRisk Die Vorgaben aus AT 7.2 MaRisk, d.h. die Vorgaben an Notfallkonzepte, sollen künftig auch für selbst entwickelte IT-Entwicklungen angewendet werden. Institute hätten vor diesem Hintergrund ihre bestehenden Regelungen anzupassen und Konzepte für Eigenentwicklungen zu erstellen (soweit noch nicht vorhanden). Ein entsprechender operativer Aufwand geht damit einher. AT 7.2 Tz. 4 Neu-Produkt-Prozess Verweis MaRisk Es ist vorgesehen, dass künftig jährlich überprüft wird, ob der Neu-Produkt-Prozess zu einem sachgerechten Umgang mit neuen Produkten oder Märkten führt. Institute müssten eine entsprechende Überprüfung vornehmen und dies dokumentieren, woraus sich auch in diesem Zusammenhang ein zusätzlicher operativer Aufwand ergibt. Des Weiteren ist vorgesehen, dass sich Institute einen Überblick über Produkte (und Märkte) des eigenen Handelsgeschäftes verschaffen. Die entsprechenden Produkte (und Märkte) wären in einem Produktkatalog zu dokumentieren. Financial Services Regulatory Update Mai 2015 | 4 AT 8.1 Tz. 7 BTO 2.2.1 Tz. 2 Outsourcing Verweis MaRisk Es ist vorgesehen, dass die Kriterien für die Risikoanalyse gruppenweit zu harmonisieren sind. Dies bedeutet, dass die Methoden gruppenweit überprüft und ggf. angepasst werden müssen. Zudem sollen in der Risikoanalyse Risikokonzentrationen und Risiken aus Weiterverlagerung zwingend Berücksichtigung finden. Institute müssen somit klare Vorgaben entwickeln, wie mit dem Thema Risikokonzentration und Weiterverlagerung im Rahmen der Risikoanalyse umzugehen ist. AT 9 Tz. 2 Es sollen höhere Maßstäbe bei Auslagerung von Steuerungs- und Kontrollbereichen gesetzt werden. In diesem Zusammenhang wird die Benennung eines Beauftragten (analog des Revisionsbeauftragten gemäß MaRisk bzw. Compliance-Beauftragten gemäß MaComp) sowie die notwendige Überprüfung der Abhängigkeit vom Auslagerungsunternehmen genannt. Zudem wird gefordert, dass im Falle einer vollständigen Auslagerung von Steuerungs- und Kontrollbereichen zunächst geklärt werden muss, ob diese noch im Einklang mit der Ordnungsmäßigkeit der Geschäftsorganisation steht. Eine entsprechende Prüfung müssen Institute somit zwingend durchführen und dokumentieren. Im Fall gruppeninterner Auslagerungen der oben genannten Bereiche hat das Institut ein Gruppenrisikomanagement einzurichten und sich Durchgriffsrechte einräumen zu lassen. Der Begriff Steuerungs- und Kontrollbereich wird dabei nicht definiert. Es ist aber davon auszugehen, dass inbesondere das Risikocontrolling, die Interne Revision, die Compliance-Funktion und die Unternehmenssteuerung unter die Begriffsdefinition fallen. AT 9 Tz. 4, 5, 9 Für wesentliche Auslagerungen soll künftig eine Ausstiegsstrategie definiert werden. Somit müssten die Institute konkrete strategische Überlegungen treffen, wie im Einzelfall ein möglicher Wechsel des Providers oder eine Rückverlagerung erfolgen soll bzw. kann. Der sachlogische Zuammenhang zu AT 9 Tz. 5 MaRisk (Handlungsoptionen für Fälle unbeabsichtigter oder unerwarteter Beendigung wesentlicher zeitkritischer Auslagerungen) ist in diesem Zusammenhang zu beachten. AT 9 Tz. 6 Die vertraglichen Anforderungen an Auslagerungen sollen konkretisiert und erweitert werden. So sollen sich die auslagernden Institute Zustimmungsvorbehalte und Informationspflichten gegenüber dem Dienstleister einräumen lassen. Zudem soll definiert werden, ab welchem Punkt, die Qualität der ausgelagerten Leistung nicht mehr akzeptiert werden kann und dem Auslagerungsunternehmen entsprechend gekündigt werden müsste („maximal akzeptierte Schlechtleistung“). Die bestehenden Steuerungs- und Überwachungskonzepte wären anzupassen, um die entsprechend festgelegten Kennzahlen fortlaufend überwachen zu können. AT 9 Tz. 7 Des Weiteren ist vorgesehen, dass ein zentraler Beauftragter für das gesamte Auslagerungsmanagement benannt werden muss. Hierdurch sollen bisherige Schwächen und Prüfungsfeststellungen im Auslagerungsmanagement reduziert werden, bspw. eine mangelnde Prozess-Compliance sowie die fehlende Aggregation der Einzelergebnisse zu einem Gesamtergebnis. Die entsprechende Outsourcing-Organisation ist vor diesem Hintergrund durch die Institute zu überprüfen. AT 9 Tz. 11 Financial Services Regulatory Update Mai 2015 | 5 Darüber hinaus werden die allgemeinen Regelungsinhalte zum Outsourcing in der Rechtsverordnungsermächtigung genannt. Diese umfassen: • • • • • Übergreifend Das Vorliegen einer Auslagerung, die zu treffenden Vorkehrungen zur Vermeidung übermäßiger zusätzlicher Risiken im Falle einer Auslagerung, die Grenzen der Auslagerbarkeit, die Einbeziehung der ausgelagerten Aktivitäten und Prozesse in das Risikomanagement sowie die Ausgestaltung der Auslagerungsverträge. Mit der Umsetzung der Rechtsverordnung sind somit weitere Konkretisierungen und Ergänzungen wahrscheinlich, insbesondere um die Ergebnisse aus der laufenden Prüfungspraxis einfliessen zu lassen. Als Beispiel sei in diesem Zusammenhang die Abgrenzung des Begriffs „Auslagerung“ genannt. Hier wird zunehmend eine risikoorientierte Auslegung des Begriffs gefordert. Mit diesen, die bisherigen MaRisk ergänzenden Regelungen, sollen insbesondere auch die internationalen Anforderungen aus BCBS 239 und den EBA Guidelines zum Supervisory Review Evaluation Process (SREP) für deutsche Institute verbindlichen Charakter erhalten. Fazit Mit dem Abwicklungsmechanismusgesetz werden Anhaltspunkte für mögliche künftige Konkretisierungen der Anforderungen an die Governance, das Risikomanagement, das Datenmanagement sowie an Auslagerungen genannt. Hinsichtlich der Umsetzung besteht für Institute Anpassungsbedarf im Hinblick auf die eingerichteten Systeme, Prozesse und Verfahren, bspw.: • Anpassung Risikoanalyse und Steuerungs- und Überwachungsprozesse von Auslagerungen, • geänderte Anforderungen an den Neu-Produkt-Prozess und das NotfallmanagementKonzept, • erweiterte Anforderungen bzgl. Risikodaten im Hinblick auf Qualität und Dauer der Berichterstellung – dies bedarf einer Überprüfung und ggf. Anpassung der IT-Systeme des Instituts. In welchem Umfang und in welcher Form (Novellierung MaRisk, neue Rechtsverordnungen für Risikomanagement und Outsourcing) die Anforderungen konkret umgesetzt werden, bleibt noch abzuwarten. Dennoch werden durch das Abwicklungsmechanismusgesetz die Themengebiete aufgezeigt, in denen kurzfristig Änderungen zu erwarten sind. Institute sollten sich frühzeitig mit den möglichen Anforderungen und institutsspezifischen Herausforderungen auseinandersetzen. Gerne unterstützen wir Sie hierbei. Financial Services Regulatory Update Mai 2015 | 6 EY | Assurance | Tax | Transactions | Advisory Ansprechpartner Deutschland Claus-Peter Wagner Managing Partner Financial Services Germany +49 6196 996 26512 [email protected] Martina Dombek Quality and Risk Management/ Professional Practice FSO +49 6196 996 26446 [email protected] Robert Melnyk Advisory +49 89 14331 24931 [email protected] Dirk Müller-Tronnier Banking & Capital Markets +49 6196 996 27429 [email protected] Max Weber Regulatory Advisory +49 711 9881 15494 [email protected] Governance, NPP und Outsourcing Nicolas Kleemann Advisory +49 40 36132 18014 [email protected] Revision Michael Berndt Advisory +49 6196 996 27733 [email protected] Jenny Bastek-Margon Advisory +49 6196 996 10438 [email protected] Österreich Friedrich O. Hief Country Coordinating Partner +43 1 21170 1352 [email protected] Wenn Sie unser Regulatory Update in Zukunft nicht mehr erhalten wollen, Sie nicht mit der für den Versand notwendigen Speicherung und Verarbeitung Ihrer persönlichen Daten einverstanden sind oder sich Ihre Kontaktdaten geändert haben, senden Sie uns bitte eine E-Mail an [email protected] Die globale EY-Organisation im Überblick Die globale EY-Organisation ist einer der Marktführer in der Wirtschaftsprüfung, Steuerberatung, Transaktionsberatung und Managementberatung. Mit unserer Erfahrung, unserem Wissen und unseren Leistungen stärken wir weltweit das Vertrauen in die Wirtschaft und die Finanzmärkte. Dafür sind wir bestens gerüstet: mit hervorragend ausgebildeten Mitarbeitern, starken Teams, exzellenten Leistungen und einem sprichwörtlichen Kundenservice. Unser Ziel ist es, Dinge voranzubringen und entscheidend besser zu machen – für unsere Mitarbeiter, unsere Mandanten und die Gesellschaft, in der wir leben. Dafür steht unser weltweiter Anspruch „Building a better working world“. Die globale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Mandanten. Weitere Informationen finden Sie unter www.ey.com. In Deutschland ist EY an 22 Standorten präsent. „EY“ und „wir“ beziehen sich in dieser Publikation auf alle deutschen Mitgliedsunternehmen von Ernst & Young Global Limited. © 2015 Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft All Rights Reserved. Risikodaten Dirk Chan-Müller Advisory +49 6196 996 26161 [email protected] Philip Stegner Advisory +49 40 36132 12247 [email protected] Diese Publikation ist lediglich als allgemeine, unverbindliche Information gedacht und kann daher nicht als Ersatz für eine detaillierte Recherche oder eine fachkundige Beratung oder Auskunft dienen. Obwohl sie mit größtmöglicher Sorgfalt erstellt wurde, besteht kein Anspruch auf sachliche Richtigkeit, Vollständigkeit und/oder Aktualität; insbesondere kann diese Publikation nicht den besonderen Umständen des Einzelfalls Rechnung tragen. Eine Verwendung liegt damit in der eigenen Verantwortung des Lesers. Jegliche Haftung seitens der Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft und/oder anderer Mitgliedsunternehmen der globalen EYOrganisation wird ausgeschlossen. Bei jedem spezifischen Anliegen sollte ein geeigneter Berater zurate gezogen werden. www.de.ey.com
© Copyright 2024 ExpyDoc
