MaRisk Novelle 2017: Veröffentlichung der Endfassung durch das BaFin

Abgelegt in: Regulatorische Anforderungen 1 Antwort

Das BaFin hat am 27.10.2017 die Endfassung der MaRisk Novelle 2017 veröffentlicht. Wesentliche inhaltliche Änderungen betreffen die Themenbereiche Risikodatenaggregation und Risikoberichterstattung, Risikokultur und Verhaltenskodex sowie Auslagerungen. Aus Sicht des Business Continuity Management gab es an der zentralen Regelung im AT 7.3 Notfallkonzept keine Änderungen. Indirekt ist das BCM insbesondere durch die überarbeiteten Regelungen im Themenbereich Auslagerungen betroffen. Der Tatbestand des Vorliegens einer Auslagerung ist in der Neufassung für den Fremdbezug von IT-Leistungen genauer spezifiziert. Bei Vorliegen einer Auslagerung sind unverändert die Notfallkonzepte des auslagernden Instituts und des Auslagerungsunternehmens aufeinander abzustimmen.

Neu aufgenommen wurde der Schutzbedarf von Informationswerten als Anforderungskriterium. Die Ergebnisse des Informationssicherheitsmanagements finden somit stärkere Berücksichtigung in den Regelungen. Dies betrifft das IT-Risikomanagement, die Überprüfung von Berechtigungen im Berechtigungsmanagement sowie Anforderungen an die Individuelle Datenverarbeitung IDV.

Anforderungen an die Überwachungs- und Steuerungsprozesse für IT-Risiken und Regelungen zur IDV sind neu in die MaRisk aufgenommen.

Die Änderungen der neuen Fassung sind in Anlage 2 zum Rundschreiben ersichtlich.

BaFin veröffentlicht ersten Entwurf der überarbeiteten MaRisk für Banken

Abgelegt in: Antworten

Das BaFin hat am 09. Juli 2010 den ersten Entwurf zur neuerlichen Überarbeitung der MaRisk für Banken veröffentlicht.

Der für das Business Continuity Management maßgebliche AT 7.3 ist in diesem ersten Entwurf unangetastet geblieben. Hier sind demzufolge keine (größeren) Änderungen zu erwarten. Dies wäre auch überraschend gewesen.

Interessant aus BCM-Sicht sind jedoch auch die Änderungen, die in diesem Entwurf vorgenommen wurden. Insbesondere die Änderungen in AT 4.2 “Strategien” halte ich für bemerkenswert. Betont wird noch einmal, dass der “Inhalt der Geschäftsstrategie allein in der Verantwortung der Geschäftsleitung liegt”. Die Inhalte der Geschäftsstrategie sind daher auch nicht Gegenstand von Prüfungen. Sehr wohl aber der prozessuale Rahmen für die Erstellung der Geschäftsstrategie, bestehend aus “Planung, Anpassung, Umsetzung und Beurteilung”. Nichts anderes als der uns aus dem BCM-Standard BS 25999-2 und anderen ISO-Standards wohlbekannte PDCA (Plan-Do-Check-Act) Zyklus. Für das BCM lässt sich aus der stärkeren Fokussierung der Aufsicht auf die Prozesse für die Geschäfts- und Risikostrategie und der eindeutigen Zuordnung der Verantwortung für die Inhalte der Strategien zu der Geschäftsleitung eine äquivalente Betrachtung ableiten.

Die inhaltlicher Verantwortung für die Festlegung des Risikos, das im BCM getragen wird, liegt bei der Geschäftsleitung. Dies beinhaltet beispielsweise die Festlegung der zeitkritischen Prozesse, für die Notfallkonzepte und Notfallplanungen erstellt werden (Risikoakzeptanzniveau). Die Geschäftsleitung kann hier, je nach Risikoappetit, risikofreudig oder eher risikoavers entscheiden. Von zentraler Bedeutung und Gegenstand der aufsichtlichen Prüfungen sind jedoch die Prozesse des BCM. Hierzu zählen beispielsweise die Prozesse

  • zur Ermittlung der zeitkritischen Prozesse (Business Impact Analyse)
  • zur Identifikation der relevanten Risiken (Risikoanalyse)
  • zur Festlegung der verfügbaren Notfallstrategien
  • zur Erstellung der Notfallkonzepte und Geschäftsfortführungs- und Wiederanlaufpläne
  • zur Überprüfung der Wirksamkeit der Maßnahmen in Form von Tests und Übungen.

Hinzu kommt die Festlegung der Organisation des BCM mit der Definition der Rollen, Aufgaben und Kompetenzen zum Beispiel in Form einer BCM-Policy.

Diese Prozesse müssen nicht nur vorhanden, sondern für ein externes oder internes Audit auch angemessen dokumentiert sein. Die Einhaltung der Prozesse und Aktualisierung muß in der BCM-Organisation zum Beispiel durch eine zentrale BCM-Verantwortung sichergestellt sein.

Standards helfen bei der Definition und Dokumentation der Prozesse. Im BCM sind dies insbesondere die Standards BS 25999-1, -2 und der deutsche Standard für Notfallmanagement BSI 100-4. Die in diesen Standards beschriebenen BCM-Prozesse bilden den PDCA-Zyklus, wie in den MaRisk gefordert, vollständig ab. Eine sehr gute Hilfe für die Implementierung der BCM-Prozesse sind auch die Good Practice Guidelines des BCI, die gerade in einer überarbeiteten neuen Version erschienen sind. Leider nicht mehr kostenlos für Nicht-Mitglieder, aber allemal das Geld wert.