Einbindung der Compliance-Funktion nach AT 8.2 MaRisk

Der AT 8.2 MaRisk im Zeitalter der Digitalisierung – wie gut funktioniert die aufsichtsgetriebene Risikosteuerung gut zwölf Jahre nach ihrer Veröffentlichung? Wird der „alte“ Regulierungsansatz den heutigen Anforderungen an eine sich immer stärker digitalisierende Gesellschaft und Wirtschaft weiterhin gerecht? Lesen Sie hier Auszüge des Beitrags von Markus Müller und Tabea Jarocki, die sich mit den Fragen zu AT 8.2 MaRisk in der aktuellen Schwerpunktausgabe Finanz-Compliance des Compliance-Beraters (CB 2024, 417) befassen.

Seit der vierten MaRisk-Novelle vom 14.12.2012 sind gemäß AT 8.2 MaRisk vor wesentlichen Veränderungen in der Aufbau- und Ablauforganisation sowie in den IT-Systemen die Auswirkungen auf Kontrollverfahren und die Kontrollintensität zu analysieren. Über die verschiedenen Fassungen der MaRisk, angefangen bei der expliziten Aufnahme im Dezember 2012 bis hin zur aktuell gültigen Fassung der 8. MaRisk-Novelle mit dem Rundschreiben 06/2024 (BA) im Mai 2024, sind keine Veränderungen des AT 8.2 MaRisk zu erkennen.

Die Autoren Markus Müller und Tabea Jarocki sehen das als Hinweis darauf, dass sich das entsprechende Regelwerk des AT 8.2 MaRisk über mehr als ein Jahrzehnt bewährt haben könnte und aus Sicht der Aufsicht keiner konkreten Überarbeitung bedarf. Eine pragmatische und einer Best Practice entsprechenden Herangehensweise an das Regelwerk sei aber gerade angesichts der neuen Herausforderungen in einer zunehmend digitalisierten Welt wichtiger denn je. In ihrem Beitrag geben Müller und Jarocki hierzu entsprechende Hilfestellungen.

Vor über zehn Jahren noch Gedankenspiele der Zukunft, ist es heute für Banken interessant, z.B. eine „smarte Lösung“ eines FinTech in die eigene Wertschöpfungskette integrieren zu wollen oder bestehende Prozesse durch KI-Lösungen neu zu strukturieren. Bei wesentlichen Änderungen der IT sei vor allem die Frage zur Einhaltung der datenschutzrechtlichen Anforderungen (bspw. durch Drittanbieter) immer eine Frage mit hohem Schutzziel. Die Definition „wesentlich“ habe die Aufsicht dabei in die Eigenverantwortung der Institute selbst gelegt. Ob Veränderungen in der Aufbau- und Ablauforganisation sowie in den IT-Systemen wesentlich sind, hänge dabei von der jeweiligen institutsindividuellen Ausgangssituation ab. Dieser Punkt leite sich wiederum aus dem vom Institut erwarteten quantitativen und qualitativen Risikopotenzial der geplanten Veränderungen ab, sowie aus den daraus resultierenden Änderungen des Kontrollniveaus und der Kontrollintensität.

Etwaigen Bedenken oder Hinweisen der (MaRisk-)Compliance-Funktion sei dabei im Change-Prozess ausreichend Rechnung zu tragen, um das institutsindividuelle Niveau der Kontrollintensität auch im Fall geänderter (regulatorischer) Rahmenbedingungen weiterhin stabil zu halten. Nach den Vorstellungen der Europäischen Bankenaufsichtsbehörde (EBA) solle der Beitrag der Compliance-Funktion (und der Internen Revision sowie der Risikocontrolling-Funktion) eine vollständige und objektive Beurteilung der Risiken, die sich aus den neuen Tätigkeiten unter Einbeziehung unterschiedlicher Szenarien ergeben, der potenziellen Unzulänglichkeiten bei deren Einbeziehung in das Risikomanagement und den internen Kontrollrahmen des Institutes, sowie der Fähigkeit des Institutes, neue Risiken wirksam zu steuern, umfassen.

Die erforderliche Compliance-Einbindung nach AT 8.2 MaRisk ließe sich in den regulatorischen Compliance-Workflow-Prozess integrieren. Diese könne u.a. im Compliance-Lifecycle vorgenommen werden und als sekundärer (potenzieller) Trigger für den „Regulatory Change Process“ etabliert werden. In diesem Fall wäre die geplante Veränderung des Institutes selbst ein interner Trigger nach AT 8.2 MaRisk.

Neben der Internen Revision und dem Risikocontrolling dokumentiere ebenso die (MaRisk-)Compliance-Funktion (sofern der AT 8.2-Prozess nicht federführend durch eine zentrale Stelle betrieben und dokumentiert wird) die Tätigkeiten und Ergebnisse ihrer Prozesseinbindung entsprechend angemessen und nachvollziehbar. Der AT 8.2 MaRisk mache zur Dokumentation und organisatorischen Ansiedlung im Institut seinerseits keine konkreten Vorgaben. Für eine aussagekräftige Analyse empfehlen Müller und Jarocki daher, ein Musterformular (zentral oder dezentral geführt) zu erstellen und entsprechend zu verwenden, um eine einheitlich hohe Qualität sicherzustellen. Dies stelle eine institutseinheitliche Vorgehensweise und Dokumentation sicher.

Welche Punkte und Dokumentationsblöcke dies umfassen könnte, beschreiben die Autoren in CB 2024, 417, 421. Dort finden Sie auch ein Beispiel für die Befüllung eines entsprechenden Musterformular zur AT 8.2-Einbindung.

chk