Prozesshinweise in den MaRisk



Vorgaben des AT 4.3.1 Tz 2     Prozessanforderungen

Prozessbetrachtungen innerhalb der MaRisk


Hinweise zu Prozessen ergeben sich innerhalb der MaRisk an unterschiedlichen Stellen.

Nach AT 1 Tz 2 sind von den Instituten angemessene Leitungs-, Steuerungs- und Kontrollprozesse („Robust Governance Arrangements“) sowie Strategien und Prozesse einzurichten,die gewährleisten, dass genügend internes Kapital zur Abdeckung aller wesentlichen Risiken vorhanden ist.

Demnach sind Leitungs-, Steuerungs- und Kontrollprozesse zu unterscheiden.

AT 4.3.1 Tz 2 stellt dar, das Prozesse sowie die damit verbundenen

Aufgaben,
Kompetenzen,
Verantwortlichkeiten,
Kontrollen
sowie Kommunikationswege

klar zu definieren und aufeinander abzustimmen sind . Dies beinhaltet auch die regelmäßige und anlassbezogene Überprüfung von IT-Berechtigungen, Zeichnungsberechtigungen und sonstigen eingeräumten Kompetenzen. Das gilt auch bezüglich der Schnittstellen zu wesentlichen Auslagerungen.

Unter AT 8.2 Änderungen betrieblicher Prozesse oder Strukturen wird ausgeführt, dass vor wesentlichen Veränderungen in der Aufbau- und Ablauforganisation sowie in den IT-Systemen das Institut die Auswirkungen der geplanten Veränderungen auf die Kontrollverfahren und die Kontrollintensität zu Analysieren hat.
Vor diesem Hintergrund ergeben sich somit konkrete Anforderungen an die jeweiligen Prozesse.

Wesentliche Risikomanagementanforderungen an Prozesse


Weiterhin haben die Prozesse die Anforderungen an ein „wirksames Risikomanagement“ zu beachten. Hier sind insbesondere die Anforderungen des Allgemeinen Teils der MaRisk zu berücksichtigen. Demnach müssen Prozesse bestimmte Anforderungen erfüllen.

- Regelung der Prozesse in Anweisungen
- Angabe, wo Dokumentationen nach At 6 zu erfolgen haben
- Regelungen zur eingesetzten IT (z.B. Parametrisierung, Kmpetenzregelungen, usw.
- Beachtung des BTR Tz 2 bei eingesetzten Methoden
- Qualifikationsanforderungen an die Mitarbeiter, die die Prozesse ausführen
- Notfallregelungen entsprechend AT 7.3

Weitere Hinweise:
Die Hinweise zu den Kompetenzen und Funktionstrennungen innerhalb der MaRisk (z.B. AT 4.3.1 Tz 1 und 2) sind zu beachten.
Geschäftsprozesse werden häufig unter Einsatz von IT durchgeführt. Hierbei sind die Anforderungen des AT 7.2 zu beachten. Durch die Parametrisierung von Software werden wichtige Einstellungen in der Software vorgenommen. Diese sind regelmäßig zu prüfen (Parametrisierungsleitfäden). Auch genutzte selbsterstellte Software unterliegt bestimmten Anforderungen (z.B. Test- und Freigabeverfahren). Weitere IT-Fragen wie der Schutzbedarf der Anwendung bzw. des Prozesses spielen eine wesentliche Rolle.

Im Falle eines Notfalls kann ggfls. der Prozess nicht mehr ausgeführt werden. Der Prozess muss die Anforderungen des AT 7.3 berücksichtigen.

Wesentliche Änderungen einzelner Prozesse unterliegen dem AT 8.2 der MaRisk. Auch der AT 8.1 kann betroffen sein.

Bei Auslagerung von Prozessen oder Teilprozessen ist zwingend der AT 9 zu berücksichtigen. Die Verantwortung für ein funktionierendes Risikomanagementsystem liegt weiterhin beim Institut. Das Institut bedient sich „nur“ eines Dritten.

Prozesse können die wesentlichen Risiken nach AT 2.2 der MaRisk betreffen. Dies führt dann zu weiteren Anforderungen z.B. im Rahmen eines MaRisk Reportings nach BTR der MaRisk.

Innerhalb einzelner Prozesse werden bestimmte Methoden eingesetzt (z.B. Risikotragfähigkeitsprozesse). Diese Methoden und eingesetzten Verfahren (Prozesse) sind regelmäßig zu validieren (Validierungskonzepte). Dies ergibt sich auch aus BTR Tz 2. Dort heißt es, dass die zur Risikomessung eingesetzten Methoden und Verfahren regelmäßig auf ihre Angemessenheit, die mit ihnen ermittelten Risikowerte regelmäßig auf ihre Plausibilität zu überprüfen sind. Dies gilt nach Ansicht von MC-Bankrevision sinngemäß auch für eingesetzte Standards/Methoden (z.B. nach AT 7.2 der MaRisk).