Risikomanagement für Kapitalverwaltungsgesellschaften: Neuerungen durch die 5. Novelle der MaRisk

PrintMailRate-it

zuletzt aktualisiert am 5. Oktober 2018

 

Mit der 5. Novelle der Mindestanforderungen an das Risikomanagement (MaRisk) aus dem Rund­schreiben 09/2017 der BaFin ergaben sich wesentliche Konkretisierungen und Neuerungen, die auch eine Orientierung für das Risikomanagement für Kapitalverwaltungsgesellschaften bietet. Insbeson­dere Neuerungen in der Risikokultur, der Auslagerungsmethodik und IT-Anforderungen können Richtwerte für künftige Neuerungen in der KAMaRisk und dem ihm zugrundeliegenden KAGB sein.
 

     

AIF-Kapitalverwaltungsgesellschaften haben ein angemessenes Risikomanagement einzurichten (§ 29 KAGB). Die BaFin hat ihre Auslegung im Rundschreiben 01/2017 (WA) zu den Mindestanforderungen an das Risiko­management von Kapitalverwaltungsgesellschaften (KAMaRisk) veröffentlicht. Das geschah mit der Einführung des Kapitalanlagegesetzbuches (KAGB) als Folge auf die Umsetzung der AIFM Level 2-Verordnung der EU-Kommission in nationales Recht.

 

Die KAMaRisk richten sich an alle Kapitalverwaltungsgesellschaften. Dementsprechend sind grundsätzlich auch lediglich registrierungspflichtige Kapitalverwaltungsgesellschaften betroffen, die für Rechnung des Alternativen Investment Fonds (AIF) Gelddarlehen gewähren oder in unverbriefte Darlehensforderungen investieren.

 

Die KAMaRisk orientieren sich dabei an den Mindestanforderungen an das Risikomanagement (MaRisk) von Kreditinstituten, das durch die 5. Novelle im Rundschreiben 09/2017 der BaFin verändert wurde. Die MaRisk entfalten bei den nicht spezifisch den Kreditinstituten zuordenbaren Thematiken eine gewisse „Strahlkraft” auf die KAMaRisk, weshalb ein Blick auf die auch für Kapitalverwaltungsgesellschaften anwendbaren wesentlichen Änderungen erforderlich ist.

 

Worin bestehen die wesentlichen Neuerungen?

Für Kapitalverwaltungsgesellschaften relevante Themen sind die Neuerungen in den Bereichen Risikokultur und -governance, Auslagerungen und IT-Anforderungen zu nennen.

 

Risikokultur und –governance

Erstmals wurde der Schwerpunkt der Risikokultur und –governance in die MaRisk aufgenommen. Dabei folgt die BaFin bereits vorhandenen internationalen Vorgaben und definiert mit Verantwortung der Geschäftsleitung das Risikobewusstsein auf allen Ebenen der Organisation.


Die BaFin fordert ein Vorleben der Geschäftsleitung als sog. „tone of the top” in Bezug auf Risikoappetit, Definition von strategischen Zielen und Werten des Unternehmens. Es soll eine risikobasierte Diskussions­kultur auf Grundlage eines einzurichtenden Verhaltenskodex vorhanden sein. In Bezug auf die Governance Thematik ist auf die Erwähnung des IT-Risikomanagements als Element des Risikobewertungs- und Über­wachungs­systems hinzuweisen.


Aufgrund der einleitend erwähnten Orientierung der KAMaRisk an der MaRisk ist eine analoge Anwendung der Anforderungen an die Risikokultur bei Kapitalverwaltungsgesellschaften naheliegend. Auch wenn die aktuelle Fassung der KAMaRisk das noch nicht erfordert, so entsteht durch eine risikoorientierte Unternehmenskultur viel Potenzial.

 

Auslagerungen

Die 5. Novelle der MaRisk konkretisiert den Auslagerungsbegriff, v.a. die Abgrenzung für den Software-Einsatz. So wird klargestellt, dass der reine Erwerb von Software i.d.R. keine Auslagerung darstellt. Bei Leistungen der Anbieter, die einen integralen Bestandteil der Risikoidentifikation, -überwachung und -bewertung darstellen wird hingegen immer von einer Auslagerung ausgegangen. Weiterhin wird für Unternehmen einer gewissen Größe ein zentrales Auslagerungsmanagement gefordert. Ferner ist die Festsetzung von Grenzen der Aus­lagerung relevant. Kontroll- und Kernbereiche – wie das Risikocontrolling, die Compliancefunktion und die interne Revision – dürfen nur bei nicht wesentlichen Tochtergesellschaften und kleinen Instituten vollständig ausgelagert werden. Das kann künftig Auswirkungen auf die KAMaRisk haben, da das KAGB bisher nur die Auslagerung des Risikomanagements und der Portfolioverwaltung an die Verwahrstelle bzw. einen Unter­verwahrer untersagte. Auswirkungen auf die KAMaRisk kann weiter die Forderung eines Ausstiegs­prozesses sein. Bei unbeabsichtigten und unerwarteten Beendigungen von Auslagerungen wird nunmehr auch ein Ausstiegsprozess verlangt.

 

IT Anforderungen

Die MaRisk definiert für IT-Risiken nun erstmals einen separat einzurichtenden Überwachungs- und Controlling­prozess. Wurden die IT Risiken vorher eher innerhalb der operativen Risiken betrachtet, kommt dem IT Risikomanagement nun ein deutlich gesteigerter Wert zu. Der einzurichtende Überwachungs- und Controlling Prozess beinhaltet die Identifikation der Risiken, die Festlegung des Schutzbedarfs und Schutzmaßnahmen sowie die Definition entsprechender Maßnahmen. Die mit dem Fremdbezug von Soft­ware verbundenen Risiken sind zu bewerten und je nach Art und Einsatzgebiet entsprechende Maßnahmen zu ergreifen. Weiterhin werden explizit IDV-Anwendungen erwähnt, die die gleichen Anforderungen erfüllen müssen (wie etwa Inventa­risierung, Schutzbedarfsfeststellung, Dokumentation etc.) wie zentral bereitgestellte fremde IT-Systeme.

 

Was sind die Konsequenzen für Kapitalverwaltungsgesellschaften?

Kapitalverwaltungsgesellschaften werden ihre bestehenden Prozesse und Dokumentationen auch in Zukunft weiter entwickeln müssen. Durch die 5. Novelle der MaRisk sind Neuerungen erkennbar geworden, die auch für die KAMaRsik und die ihr zugrunde liegenden Richtlinien relevant werden können. Die Imple­mentierung von entsprechenden Maßnahmen kann zeitaufwendig sein, weswegen ein frühzeitiger Blick auf die Änderungen in der MaRisk wichtige Erkenntnisse über künftige Themen liefern kann.     

Kontakt

Contact Person Picture

Bastian Danesitz

Wirtschaftsprüfer, Steuerberater

Partner

+49 89 9287 80 500

Anfrage senden

 Unternehmer­briefing

Kein Themen­special verpas­sen mit unserem Newsletter!

Deutschland Weltweit Search Menu