Was wird bei der Business Impact Analyse ermittelt? Bei einer Auswirkungsanalyse (Business Impact Analyse) wird über Zeiträume betrachtet, welche Folgen durch eine Beeinträchtigung von Aktivitäten und Prozessen für den Geschäftsbetrieb entstehen können. Folgende Aspekte sollten in der Analyse berücksichtigt werden:
# Zeitpunkt des Ausfalls
# Art und Umfang des (im-) materiellen Schadens
Das Seminar Was wird bei der Business Impact Analyse ermittelt? online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.
Zielgruppe zum Seminar Was wird bei der Business Impact Analyse ermittelt?
Vorstände und Geschäftsführer bei Banken, Finanzdienstleistern, Kapitalanlage- und Fondsgesellschaften, Leasing- und Factoring-Gesellschaften
Führungskräfte und Spezialisten aus den Bereichen Notfallmanagement, Auslagerungsmanagement, IT-Compliance, Compliance Beauftragte und Interne Revision.
Dein Nutzen mit dem Seminar Was wird bei der Business Impact Analyse ermittelt?
#1 Aufgaben und Pflichten des Business Continuity Managers
#2 Business Impact Analysen und Risk Impact Analysen
#3 Laufende Überwachungspflichten des Business Continuity Managers
Dein Vorsprung mit dem Seminar Was wird bei der Business Impact Analyse ermittelt?
Jeder Teilnehmer erhält mit dem Seminar die S+P Tool Box:
+ Leitfaden für BCM (ca. 30 Seiten)
+ Muster-Reporting für Business Continuity Manager
+ S+P Tool Risk Impact Analyse für mehr Prüfungssicherheit
Das Seminar Business Continuity Management online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.
#1 Aufgaben und Pflichten des Business Continuity Managers
MaRisk AT 7.3: Das deutlich erweiterte Aufgabenspektrum des BCM:
o Ziele zum Notfallmanagement und Ableitung eines Notfallmanagementprozess
o Notfallkonzept für zeitkritische Aktivitäten und Prozesse
o Festlegen von geeigneten Maßnahmen zur Schadensreduzierung
Neue Reporting-Pflichten: mindestens quartalsweise Berichterstattung über den Zustand des Notfallmanagements
Notfallkonzept mit Geschäftsfortführungs- sowie Wiederherstellungsplänen
Schnittstelle Auslagerung: Outsourcer und Insourcer müssen über aufeinander abgestimmte Notfallkonzepte verfügen.
Verschärfte Anforderungen an Business Impact Analysen:
o Beeinträchtigung von Aktivitäten und Prozessen
o Art und Umfang des (im-)materiellen Schadens
o Zeitpunkt des Ausfalls.
Risk Impact Analysen für die identifizierten zeitkritischen Aktivitäten und Prozesse:
o Identifizieren und Bewerten von potentiellen Gefährdungen
o Durchführung der qualitativ verschärften Risikoanalyse auf Basis einheitlicher Scoring-Kriterien
Berücksichtigung von Notfallszenarien
o (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung, Ausfall der Zutrittskontrolle)
o Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur
o Ausfall einer kritischen Anzahl von Mitarbeitern
o Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)
#3 Laufende Überwachungspflichten des Business Continuity Managers
MaRisk + BAIT: Anforderungen an Monitoring- und Kontrollhandlungen
Maßstäbe für Steuerungs- und Kontrolltätigkeiten und deren Durchführung
Prüfungssichere Bewertung der Auswirkungs- und Risikoanalysen
o Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen.
o Für zeitkritische Aktivitäten und Prozesse sind die relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen.
Überprüfungen des Notfallkonzeptes sind zu protokollieren.
o Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren.
o Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen.
Das Seminar Business Continuity Management online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.
Das könnte dich als Business Continuity Manager auch interessieren
MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement. Aus den ICT Guidelines werden Anforderungen zum Notfallmanagement im neu gefassten Abschnitt AT 7.3 umgesetzt.
Für alle im Rahmen einer durchzuführenden Auswirkungsanalyse identifizierten zeitkritischen Aktivitäten und Prozesse sind zunächst Risikoanalysen durchzuführen. Im Notfallkonzept muss dargestellt sein, welche Ersatzlösungen im Notfall zeitnah zur Verfügung stehen und wie eine Rückkehr zum Normalbetrieb verlaufen soll.
Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte). Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen.
#1 MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement
Das Kapitel AT 7.3 Notfallmanagement wurde nun wie folgt gefasst:
Das Institut hat Ziele zum Notfallmanagement zu definieren und hieraus abgeleitet einen Notfallmanagementprozess festzulegen. Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Das Notfallkonzept ist anlassbezogen zu aktualisieren, jährlich auf Aktualität zu überprüfen und angemessen zu kommunizieren. Die Geschäftsleitung hat sich mindestens quartalsweise und anlassbezogen über den Zustand des Notfallmanagements schriftlich berichten zu lassen.
Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederherstellungspläne umfassen. Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Wiederherstellungspläne müssen innerhalb eines angemessenen Zeitraums die Rückkehr zum Normalbetrieb ermöglichen. Bei Notfällen ist eine angemessene interne und externe Kommunikation sicherzustellen. Im Fall der Auslagerung von zeitkritischen Aktivitäten und Prozessen haben das auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzepte zu verfügen.
Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen. Für zeitkritische Aktivitäten und Prozesse ist sie für alle relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen. Überprüfungen des Notfallkonzeptes sind zu protokollieren. Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren. Risiken sind angemessen zu steuern. Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen.
Die MaRisk geben zu den verschärften Anforderungen an das Notfallmanagement folgende Erläuterungen.
#2 Zeitkritische Aktivitäten und Prozesse
Zeitkritisch sind grundsätzlich jene Aktivitäten und Prozesse, bei deren Beeinträchtigung für definierte Zeiträume ein nicht mehr akzeptabler Schaden für das Institut zu erwarten ist.
Zur Identifikation von zeitkritischen Aktivitäten und Prozessen sowie von unterstützenden Aktivitäten und Prozessen, hierfür notwendigen IT-Systemen und sonstigen notwendigen Ressourcen sowie den potentiellen Gefährdungen führt das Institut Auswirkungsanalysen und Risikoanalysen durch. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte).
#3 Auswirkungsanalysen – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement
In Auswirkungsanalysen (Business Impact Analysen) wird über abgestufte Zeiträume betrachtet, welche Folgen eine Beeinträchtigung von Aktivitäten und Prozessen für den Geschäftsbetrieb haben kann. Die Auswirkungsanalysen sollten u. a. folgende Aspekte berücksichtigen:
– Art und Umfang des (im-)materiellen Schadens
– Auswirkung des Zeitpunkts des Ausfalls auf den Schaden (z. B. Ausfall des Zahlungsverkehrs zu Hauptgeschäftszeiten)
#4 Risikoanalysen – Business Continuity Manager: Aufgaben und Pflichten
In Risikoanalysen (Risk Impact Analysen) für die identifizierten zeitkritischen Aktivitäten und Prozesse werden potentielle Gefährdungen identifiziert und bewertet, welche eine Beeinträchtigung der zeitkritischen Geschäftsprozesse verursachen können.
#5 Notfallkonzept – Aufgaben und Pflichten des Business Continuity Managers
Im Notfallkonzept werden Verantwortlichkeiten, Ziele und Maßnahmen zur Fortführung bzw. Wiederherstellung von zeitkritischen Aktivitäten und Prozessen bestimmt und Kriterien für die Einstufung sowie für das Auslösen der Pläne definiert.
#6 Notfallszenarien – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement
Hierbei werden mindestens folgende Szenarien berücksichtigt:
– (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung,Ausfall der Zutrittskontrolle)
– Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur (z. B. aufgrund von Fehlern oder Angriffen)
– Ausfall einer kritischen Anzahl von Mitarbeitern (z. B. bei Pandemie, Lebensmittelvergiftung, Streik)
– Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)
Die Häufigkeit und der Umfang der Überprüfungen soll sich grundsätzlich an der Gefährdungslage orientieren. Dienstleister sind angemessen einzubinden. Überprüfungen beinhalten u. a.:
– Test der technischen Vorsorgemaßnahmen
– Kommunikations-, Krisenstabs- und Alarmierungsübungen
– Ernstfall- oder Vollübungen.
Die neue Fassung der MaRisk tritt mit Veröffentlichung in Kraft. Es gilt eine Übergangsfrist bis zum 31.12.2021.
Dies gilt für die auf das Auslagerungsregister bezogene Dokumentationsanforderung in AT 9 Tz. 14 MaRisk nur insoweit, als auch die Pflicht zum Vorhalten eines Auslagerungsregisters mit dem Inkrafttreten des FISG bereits zum 01.01.2022 gilt.
Andernfalls richtet sich der erstmalige Geltungstag auch für die Konkretisierung dieser Anforderung in den MaRisk nach dem Gesetz.
Davon abweichende Umsetzungsfristen ergeben sich für die Anpassung von bereits bestehenden oder in Verhandlung befindlichen Auslagerungsverträgen.
Hierfür wird eine gesonderte Umsetzungsfrist bis zum 31.12.2022 eingeräumt.
Eine Anpassung von Vertragsverhältnissen, die auf der Grundlage eines öffentlichen Vergabeverfahrens abgeschlossen wurden, kann wegen der besonderen rechtlichen Probleme unterbleiben, soweit diese Verträge befristet sind und innerhalb der nächsten fünf Jahre neu vergeben werden müssen. Die BaFin geht davon aus, dass bei Vergabeverfahren, die ab dem 01.01.2022 initiiert werden, bereits die neuen Anforderungen ausreichend berücksichtigt werden.
Institute mit hohem NPL-Bestand haben die Anforderungen aus den NPE Guidelines bereits unmittelbar nach Ablauf der Übergangsfrist am 31.12.2021 einzuhalten, sofern diese Institute an den zwei vorhergehenden Quartalsstichtagen (30.09.2021 und 31.12.2021) eine NPL-Quote größer 5 % aufweisen.
Der erste, für die Einstufung als Institut mit hohem NPL-Bestand relevante Quartalsstichtag ist daher der 30.09.2021.
Das Seminar Business Continuity Management online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.
Teilnehmer haben auch folgende Seminare MaRisk + SREP + Depot A gebucht:
Was muss das Notfallkonzept beinhalten? Die MaRisk geben Leitlinien für das Management von Sicherheitsrisiken. Das Notfallkonzept muss Wiederherstellung- sowie Geschäftsfortführungspläne umfassen.
Es muss gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen.
Durch die Wiederherstellungspläne soll in einem angemessenen Zeitraum die Rückkehr zum Normalbetrieb ermöglicht werden. Bei Notfällen ist eine angemessene interne und externe Kommunikation sicherzustellen.
Das Seminar Was muss das Notfallkonzept beinhalten? online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.
Zielgruppe zum Seminar Was muss das Notfallkonzept beinhalten?
Vorstände und Geschäftsführer bei Banken, Finanzdienstleistern, Kapitalanlage- und Fondsgesellschaften, Leasing- und Factoring-Gesellschaften
Führungskräfte und Spezialisten aus den Bereichen Notfallmanagement, Auslagerungsmanagement, IT-Compliance, Compliance Beauftragte und Interne Revision.
Dein Nutzen mit dem Seminar Was muss das Notfallkonzept beinhalten?
#1 Aufgaben und Pflichten des Business Continuity Managers
#2 Business Impact Analysen und Risk Impact Analysen
#3 Laufende Überwachungspflichten des Business Continuity Managers
Dein Vorsprung mit dem Seminar Was muss das Notfallkonzept beinhalten?
Jeder Teilnehmer erhält mit dem Seminar die S+P Tool Box:
+ Leitfaden für BCM (ca. 30 Seiten)
+ Muster-Reporting für Business Continuity Manager
+ S+P Tool Risk Impact Analyse für mehr Prüfungssicherheit
Das Seminar Business Continuity Management online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.
#1 Aufgaben und Pflichten des Business Continuity Managers
MaRisk AT 7.3: Das deutlich erweiterte Aufgabenspektrum des BCM:
o Ziele zum Notfallmanagement und Ableitung eines Notfallmanagementprozess
o Notfallkonzept für zeitkritische Aktivitäten und Prozesse
o Festlegen von geeigneten Maßnahmen zur Schadensreduzierung
Neue Reporting-Pflichten: mindestens quartalsweise Berichterstattung über den Zustand des Notfallmanagements
Notfallkonzept mit Geschäftsfortführungs- sowie Wiederherstellungsplänen
Schnittstelle Auslagerung: Outsourcer und Insourcer müssen über aufeinander abgestimmte Notfallkonzepte verfügen.
Verschärfte Anforderungen an Business Impact Analysen:
o Beeinträchtigung von Aktivitäten und Prozessen
o Art und Umfang des (im-)materiellen Schadens
o Zeitpunkt des Ausfalls.
Risk Impact Analysen für die identifizierten zeitkritischen Aktivitäten und Prozesse:
o Identifizieren und Bewerten von potentiellen Gefährdungen
o Durchführung der qualitativ verschärften Risikoanalyse auf Basis einheitlicher Scoring-Kriterien
Berücksichtigung von Notfallszenarien
o (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung, Ausfall der Zutrittskontrolle)
o Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur
o Ausfall einer kritischen Anzahl von Mitarbeitern
o Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)
#3 Laufende Überwachungspflichten des Business Continuity Managers
MaRisk + BAIT: Anforderungen an Monitoring- und Kontrollhandlungen
Maßstäbe für Steuerungs- und Kontrolltätigkeiten und deren Durchführung
Prüfungssichere Bewertung der Auswirkungs- und Risikoanalysen
o Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen.
o Für zeitkritische Aktivitäten und Prozesse sind die relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen.
Überprüfungen des Notfallkonzeptes sind zu protokollieren.
o Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren.
o Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen.
Das Seminar Business Continuity Management online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.
Das könnte dich als Business Continuity Manager auch interessieren
MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement. Aus den ICT Guidelines werden Anforderungen zum Notfallmanagement im neu gefassten Abschnitt AT 7.3 umgesetzt.
Für alle im Rahmen einer durchzuführenden Auswirkungsanalyse identifizierten zeitkritischen Aktivitäten und Prozesse sind zunächst Risikoanalysen durchzuführen. Im Notfallkonzept muss dargestellt sein, welche Ersatzlösungen im Notfall zeitnah zur Verfügung stehen und wie eine Rückkehr zum Normalbetrieb verlaufen soll.
Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte). Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen.
#1 MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement
Das Kapitel AT 7.3 Notfallmanagement wurde nun wie folgt gefasst:
Das Institut hat Ziele zum Notfallmanagement zu definieren und hieraus abgeleitet einen Notfallmanagementprozess festzulegen. Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Das Notfallkonzept ist anlassbezogen zu aktualisieren, jährlich auf Aktualität zu überprüfen und angemessen zu kommunizieren. Die Geschäftsleitung hat sich mindestens quartalsweise und anlassbezogen über den Zustand des Notfallmanagements schriftlich berichten zu lassen.
Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederherstellungspläne umfassen. Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Wiederherstellungspläne müssen innerhalb eines angemessenen Zeitraums die Rückkehr zum Normalbetrieb ermöglichen. Bei Notfällen ist eine angemessene interne und externe Kommunikation sicherzustellen. Im Fall der Auslagerung von zeitkritischen Aktivitäten und Prozessen haben das auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzepte zu verfügen.
Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen. Für zeitkritische Aktivitäten und Prozesse ist sie für alle relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen. Überprüfungen des Notfallkonzeptes sind zu protokollieren. Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren. Risiken sind angemessen zu steuern. Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen.
Die MaRisk geben zu den verschärften Anforderungen an das Notfallmanagement folgende Erläuterungen.
#2 Zeitkritische Aktivitäten und Prozesse
Zeitkritisch sind grundsätzlich jene Aktivitäten und Prozesse, bei deren Beeinträchtigung für definierte Zeiträume ein nicht mehr akzeptabler Schaden für das Institut zu erwarten ist.
Zur Identifikation von zeitkritischen Aktivitäten und Prozessen sowie von unterstützenden Aktivitäten und Prozessen, hierfür notwendigen IT-Systemen und sonstigen notwendigen Ressourcen sowie den potentiellen Gefährdungen führt das Institut Auswirkungsanalysen und Risikoanalysen durch. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte).
#3 Auswirkungsanalysen – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement
In Auswirkungsanalysen (Business Impact Analysen) wird über abgestufte Zeiträume betrachtet, welche Folgen eine Beeinträchtigung von Aktivitäten und Prozessen für den Geschäftsbetrieb haben kann. Die Auswirkungsanalysen sollten u. a. folgende Aspekte berücksichtigen:
– Art und Umfang des (im-)materiellen Schadens
– Auswirkung des Zeitpunkts des Ausfalls auf den Schaden (z. B. Ausfall des Zahlungsverkehrs zu Hauptgeschäftszeiten)
#4 Risikoanalysen – Business Continuity Manager: Aufgaben und Pflichten
In Risikoanalysen (Risk Impact Analysen) für die identifizierten zeitkritischen Aktivitäten und Prozesse werden potentielle Gefährdungen identifiziert und bewertet, welche eine Beeinträchtigung der zeitkritischen Geschäftsprozesse verursachen können.
#5 Notfallkonzept – Aufgaben und Pflichten des Business Continuity Managers
Im Notfallkonzept werden Verantwortlichkeiten, Ziele und Maßnahmen zur Fortführung bzw. Wiederherstellung von zeitkritischen Aktivitäten und Prozessen bestimmt und Kriterien für die Einstufung sowie für das Auslösen der Pläne definiert.
#6 Notfallszenarien – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement
Hierbei werden mindestens folgende Szenarien berücksichtigt:
– (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung,Ausfall der Zutrittskontrolle)
– Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur (z. B. aufgrund von Fehlern oder Angriffen)
– Ausfall einer kritischen Anzahl von Mitarbeitern (z. B. bei Pandemie, Lebensmittelvergiftung, Streik)
– Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)
Die Häufigkeit und der Umfang der Überprüfungen soll sich grundsätzlich an der Gefährdungslage orientieren. Dienstleister sind angemessen einzubinden. Überprüfungen beinhalten u. a.:
– Test der technischen Vorsorgemaßnahmen
– Kommunikations-, Krisenstabs- und Alarmierungsübungen
– Ernstfall- oder Vollübungen.
Die neue Fassung der MaRisk tritt mit Veröffentlichung in Kraft. Es gilt eine Übergangsfrist bis zum 31.12.2021.
Dies gilt für die auf das Auslagerungsregister bezogene Dokumentationsanforderung in AT 9 Tz. 14 MaRisk nur insoweit, als auch die Pflicht zum Vorhalten eines Auslagerungsregisters mit dem Inkrafttreten des FISG bereits zum 01.01.2022 gilt.
Andernfalls richtet sich der erstmalige Geltungstag auch für die Konkretisierung dieser Anforderung in den MaRisk nach dem Gesetz.
Davon abweichende Umsetzungsfristen ergeben sich für die Anpassung von bereits bestehenden oder in Verhandlung befindlichen Auslagerungsverträgen.
Hierfür wird eine gesonderte Umsetzungsfrist bis zum 31.12.2022 eingeräumt.
Eine Anpassung von Vertragsverhältnissen, die auf der Grundlage eines öffentlichen Vergabeverfahrens abgeschlossen wurden, kann wegen der besonderen rechtlichen Probleme unterbleiben, soweit diese Verträge befristet sind und innerhalb der nächsten fünf Jahre neu vergeben werden müssen. Die BaFin geht davon aus, dass bei Vergabeverfahren, die ab dem 01.01.2022 initiiert werden, bereits die neuen Anforderungen ausreichend berücksichtigt werden.
Institute mit hohem NPL-Bestand haben die Anforderungen aus den NPE Guidelines bereits unmittelbar nach Ablauf der Übergangsfrist am 31.12.2021 einzuhalten, sofern diese Institute an den zwei vorhergehenden Quartalsstichtagen (30.09.2021 und 31.12.2021) eine NPL-Quote größer 5 % aufweisen.
Der erste, für die Einstufung als Institut mit hohem NPL-Bestand relevante Quartalsstichtag ist daher der 30.09.2021.
Das Seminar Business Continuity Management online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.
Teilnehmer haben auch folgende Seminare MaRisk + SREP + Depot A gebucht:
MaRisk 6.0: What changes in outsourcing management? Detailed requirements are implemented from the Outsourcing Guidelines in section AT 9. The changes affect the entire outsourcing cycle.
For example, requirements for risk analysis and determining materiality, for structuring the outsourcing agreement and for managing and monitoring the risks of outsourcing agreements have been expanded and specified.
In the case of material outsourcing in the outsourcing agreement, access rights are to be considered in addition to information and audit rights.
#1 MaRisk 6.0: What changes in outsourcing management?
In order to bundle the central management and monitoring of the risks of outsourcing arrangements, each institution that outsources is to appoint a central outsourcing officer itself.
The central outsourcing management, which an institution must set up depending on the type, scope and complexity of the outsourcing activities, serves to support the outsourcing officer.
With regard to the new requirement from AT 9 point 12 to appoint an outsourcing officer, the consultation questioned in particular the direct subordination and reporting duty of the outsourcing officer to the management. According to the final version, it is now considered sufficient for the organisational requirements that the outsourcing officer is located in a unit that reports directly to the management. The outsourcing officer can also be the head of (supporting) outsourcing management at the same time.
#2 Central outsourcing management at group level
With the 6th MaRisk amendment, the possibility is now also granted to set up central outsourcing management at group or association level.
The regulations for simplifications at group level only apply in full to those groups where the group as well as the institutions where functions are to be centralised fall under the application of the CRR and thus also the Outsourcing Guidelines.
In addition, the possibilities with regard to the complete outsourcing of the special functions risk controlling function, compliance function and internal audit are expanded to the effect that the complete outsourcing is now also possible under certain circumstances to sister institutions within a group of institutions.
Great importance continues to be attached to these functions as management and control instruments for the management.
#3 Requirements for the outsourcing register + MaRisk 6.0: What changes in outsourcing management?
In the consultation process, the lack of a list of (contractual) parameters to be entered in the outsourcing register was also addressed.
In order to remedy this and at the same time avoid deviations from the Outsourcing Guidelines in the implementation of this new legal requirement of 25 b para. 1 of the German Banking Act (according to the Financial Market Integrity Strengthening Act – FISG -E), the final version of AT 9 para. 14 MaRisk refers directly to paras. 54 and 55 of these guidelines.
This is intended to make it easier for European banking groups to set up a central outsourcing register, as permitted in point 53 of the Outsourcing Guidelines.
Among the mandatory parameters listed in paragraphs 54 and 55 of the Outsourcing Guidelines, the meeting of the MaRisk expert committee on 4 March 2021 focused in particular on the field of coverage under paragraph 55 lit. a. The aim is to facilitate the establishment of a central outsourcing register for European banking groups, as permitted in paragraph 53 of the Outsourcing Guidelines.
Institutions that are affiliated to central protection schemes should also list the other contractual partners of the outsourcing company from the association. The supervisory authority recognises that this can only be considered proportionate where such a recording can be assumed, in particular when a central outsourcing management is set up at association level.
The requirement to record the costs of outsourcing in the outsourcing register was also viewed critically. However, this is also a requirement of the Guidelines on Outsourcing, point 55 lit. k. Therefore, also according to MaRisk, which implements these guidelines, an annual entry must be made regarding the estimated costs or budget.
Outsourcing can hardly be compared if there is no cost framework. However, an intra-year entry of cost adjustments is not required for this purpose.
#4 Outsourcing: Consideration of political risks in the risk analysis
With regard to the requirements for the risk analysis, BaFin has included a wording proposal of DK for the implementation of the EBA Outsourcing Guidelines compared to the consultation version and now state in AT 9 para. 2 that the risk analysis must take into account the extent to which an activity or process to be outsourced is of material importance.
MaRisk 6.0: What changes in outsourcing management? The industry has identified the assessment of political risks as a problematic aspect of risk analysis. According to point 68 lit. d of the Guidelines on Outsourcing, this means the assessment of political stability with regard to the security situation of the jurisdiction in question, which is not likely to refer to EEA countries as a rule.
The analysis of political risks is therefore of particular importance for the possible enforcement of contractually agreed rights in third countries. Since country-specific risks have already had to be taken into account in the risk analysis, BaFin does not see any increased requirements in this respect and does not expect a change in the previous practice.
#5 Outsourcing: Consideration of a scenario analysis in the risk analysis
The addition of a scenario analysis to the risk analysis tends to appear disproportionate to the industry and also only partially sensible.
Accordingly, it is clarified in the explanations of the final version of MaRisk that the risk analysis is only to be supplemented by a scenario analysis if this is reasonable and proportionate.
However, in line with the explanations in point 65 of the Guidelines on Outsourcing, it is to be assumed that in many cases it may well be reasonable and, taking into account the principle of proportionality, also necessary to assess the possible effects of omitted or even inadequate services by means of a scenario analysis (even before the conclusion of the contract), as they could result, among other things, from external events (to be simulated).
MaRisk 6.0: What changes in outsourcing management? Participants have also booked the following seminars MaRisk + SREP + Depot A:
Requirements for the risk controlling function. In the consultation process, the lack of a list of (contractual) parameters to be entered in the outsourcing register was also addressed.
In order to remedy this and at the same time avoid deviations from the Outsourcing Guidelines in the implementation of this new legal requirement of 25 b para. 1 KWG (according to the Financial Market Integrity Strengthening Act – FISG), the final version of AT 9 para. 14 MaRisk refers directly to paras. 54 and 55 of these guidelines.
This is intended to make it easier for European banking groups to set up a central outsourcing register, as permitted in point 53 of the Outsourcing Guidelines. Among the mandatory parameters listed in paragraphs 54 and 55 of the Outsourcing Guidelines, the meeting of the MaRisk expert committee on 4 March 2021 focused in particular on the field of coverage under paragraph 55 lit. a. The aim is to facilitate the establishment of a central outsourcing register for European banking groups, as permitted in paragraph 53 of the Outsourcing Guidelines.
Institutions that are affiliated to central protection schemes should also list the other contractual partners of the outsourcing company from the association. The supervisory authority recognises that this can only be considered proportionate where such a recording can be assumed, in particular when a central outsourcing management is set up at association level.
Requirements for the risk controlling function + MaRisk 6.0: What changes in outsourcing management?
Target group for the course Requirements for the outsourcing register
# Board members, managing directors and managers at banks, savings banks and cooperative banks
# Managers and specialists from the areas of compliance, risk management, overall bank management and internal audit
# Book the seminar Requirements for the outsourcing register + MaRisk 6.0: What changes in outsourcing management? online; convenient and easy with the seminar form online and product no. A 06.
Your benefits with the course: Requirements for the risk controlling function
#1 New requirements for the risk controlling function
#2 Future-oriented capital planning process with SREP and ICAAP
#3 Agile risk management in the lending business
Your advantage with the course: Requirements for the risk controlling function
Each participant receives the S+P Tool Box with the seminar:
+ S+P Checklist „Implementation of MaRisk 2021“
+ S+P Check: Reporting-relevant requirements AT 4.1 and AT 4.2
+ S+P Checklist: 105-point check on risk-bearing capacity
+ S+P Check: MaRisk regulations for the lending business
MaRisk 2021: New requirements for the risk controlling function
# Proper Business Organisation §25a KWG as a Requirement for Internal Risk Management
# Innovations in the supervisory assessment of banks‘ internal risk-bearing capacity concepts
# Extended responsibilities of the risk controlling function
# Process checks for risk-relevant limit approvals – Identification of relevant decision-making processes
Each participant will receive:
+ S+P Guide: Implementation of the new MaRisk
+ S+P Check: Reporting-relevant requirements AT 4.1 and AT 4.2
Future-oriented capital planning process with SREP and ICAAP
# New requirements for the capital planning process: What are the implications for the determination of risk-bearing capacity?
# Innovations in the areas of risk measurement and limitation
# Traffic light and warning systems: Optimal dovetailing of process and control impulses
# Creation of different scenarios in the capital planning process
# New requirements for the limit system with TLAC/MREL
Each participant receives the S+P Tool Box with the seminar:
+ S+P tool „Basel III Simulator“ for the optimal balance sheet structure according to CRD IV and CRR
+ S+P Checklist: 105-point check on risk-bearing capacity
Agile risk management in the lending business
MaRisk BTO 1.2.4: Intensive supervision
Criteria for the transition to intensive support
Consideration of concessions in favour of the borrower
(„Forbearance“)
MaRisk BTO 1.2.5: Treatment of problem loans
Criteria for the transition to problem loan handling
Examination of non-standardised contracts in restructuring cases
Voting for restructuring loans and exposures in wind-down portfolios
MaRisk BTO 1.3: Early risk identification in the lending business
Internal information from the business relationship
Targeted use of external information sources
Risk classification procedures and early identification of risks
Update for the risk controlling function
#1 MaRisk 6.0: What changes in outsourcing management?
In order to bundle the central management and monitoring of the risks of outsourcing agreements, each institution that undertakes outsourcing should itself appoint a central outsourcing officer.
The central outsourcing management, which an institution must set up depending on the type, scope and complexity of the outsourcing activities, serves to support the outsourcing officer.
With regard to the new requirement from AT 9 point 12 to appoint an outsourcing officer, the consultation questioned in particular the direct subordination and reporting duty of the outsourcing officer to the management. According to the final version, it is now considered sufficient for the organisational requirements that the outsourcing officer is located in a unit that reports directly to the management. The outsourcing officer can also be the head of (supporting) outsourcing management at the same time.
#2 Central outsourcing management at group level
With the 6th MaRisk amendment, the possibility is now also granted to set up central outsourcing management at group or association level.
The regulations for simplifications at group level only apply in full to those groups where the group as well as the institutions where functions are to be centralised fall under the application of the CRR and thus also the Outsourcing Guidelines.
In addition, the possibilities with regard to the complete outsourcing of the special functions risk controlling function, compliance function and internal audit are expanded to the effect that the complete outsourcing is now also possible under certain circumstances to sister institutions within a group of institutions.
Great importance continues to be attached to these functions as management and control instruments for the management.
#3 Requirements for the outsourcing register + MaRisk 6.0: What changes in outsourcing management?
In the consultation process, the lack of a list of (contractual) parameters to be entered in the outsourcing register was also addressed.
In order to remedy this and at the same time avoid deviations from the Outsourcing Guidelines in the implementation of this new legal requirement of 25 b para. 1 of the German Banking Act (according to the Financial Market Integrity Strengthening Act – FISG -E), the final version of AT 9 para. 14 MaRisk refers directly to paras. 54 and 55 of these guidelines.
Requirements for the outsourcing register: This is intended to facilitate the establishment of a central outsourcing register for European banking groups, as permitted in point 53 of the Outsourcing Guidelines.
Among the mandatory parameters listed in paragraphs 54 and 55 of the Outsourcing Guidelines, the meeting of the MaRisk expert committee on 4 March 2021 focused in particular on the field of recording under paragraph 55 lit. a. The aim is to facilitate the establishment of a central outsourcing register for European banking groups, as permitted by paragraph 53 of the Outsourcing Guidelines.
Institutions that are affiliated to central protection schemes should also list the other contractual partners of the outsourcing company from the association. The supervisory authority recognises that this can only be considered proportionate where such a recording can be assumed, in particular when a central outsourcing management is set up at association level.
The requirement to record the costs of outsourcing in the outsourcing register was also viewed critically. However, this is also a requirement of the Guidelines on Outsourcing, point 55 lit. k. Therefore, also according to MaRisk, which implements these guidelines, an annual entry must be made regarding the estimated costs or budget.
Outsourcing can hardly be compared if there is no cost framework. However, an intra-year entry of cost adjustments is not required for this purpose.
#4 Outsourcing: Consideration of political risks in the risk analysis
With regard to the requirements for the risk analysis, BaFin has included a wording proposal of DK for the implementation of the EBA Outsourcing Guidelines compared to the consultation version and now state in AT 9 para. 2 that the risk analysis must take into account the extent to which an activity or process to be outsourced is of material importance.
MaRisk 6.0: What changes in outsourcing management? The industry has identified the assessment of political risks as a problematic aspect of risk analysis. According to point 68 lit. d of the Guidelines on Outsourcing, this means the assessment of political stability with regard to the security situation of the jurisdiction in question, which is not likely to refer to EEA countries as a rule.
The analysis of political risks is therefore of particular importance for the possible enforcement of contractually agreed rights in third countries. Since country-specific risks have already had to be taken into account in the risk analysis, BaFin does not see any increased requirements in this respect and does not expect a change in the previous practice.
#5 Outsourcing: Consideration of a scenario analysis in the risk analysis
The addition of a scenario analysis to the risk analysis tends to appear disproportionate to the industry and also only partially sensible.
Accordingly, it is clarified in the explanations of the final version of MaRisk that the risk analysis is only to be supplemented by a scenario analysis if this is reasonable and proportionate.
However, in accordance with the explanations in point 65 of the Guidelines on Outsourcing, it is to be assumed that in many cases it may well be reasonable and, taking into account the principle of proportionality, also necessary to assess the possible effects of omitted or even inadequate services by means of a scenario analysis (even before the conclusion of the contract), as they could result, among other things, from external events (to be simulated).
Participants have also booked the following seminars MaRisk + SREP + Depot A:
Wofür müssen die Maßnahmen im Notfallkonzept geeignet sein? Die MaRisk geben Leitlinien für das Management von Sicherheitsrisiken. Die Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Das Konzept ist anlassbezogen zu aktualisieren, jährlich auf Aktualität zu überprüfen und angemessen zu kommunizieren.
Das Seminar Wofür müssen die Maßnahmen im Notfallkonzept geeignet sein? online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.
Zielgruppe zum Seminar Wofür müssen die Maßnahmen im Notfallkonzept geeignet sein?
Vorstände und Geschäftsführer bei Banken, Finanzdienstleistern, Kapitalanlage- und Fondsgesellschaften, Leasing- und Factoring-Gesellschaften
Führungskräfte und Spezialisten aus den Bereichen Notfallmanagement, Auslagerungsmanagement, IT-Compliance, Compliance Beauftragte und Interne Revision.
Dein Nutzen mit dem Seminar Wofür müssen die Maßnahmen im Notfallkonzept geeignet sein?
#1 Aufgaben und Pflichten des Business Continuity Managers
#2 Business Impact Analysen und Risk Impact Analysen
#3 Laufende Überwachungspflichten des Business Continuity Managers
Dein Vorsprung mit dem Seminar Wofür müssen die Maßnahmen im Notfallkonzept geeignet sein?
Jeder Teilnehmer erhält mit dem Seminar die S+P Tool Box:
+ Leitfaden für BCM (ca. 30 Seiten)
+ Muster-Reporting für Business Continuity Manager
+ S+P Tool Risk Impact Analyse für mehr Prüfungssicherheit
Das Seminar Business Continuity Management online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.
#1 Aufgaben und Pflichten des Business Continuity Managers
MaRisk AT 7.3: Das deutlich erweiterte Aufgabenspektrum des BCM:
o Ziele zum Notfallmanagement und Ableitung eines Notfallmanagementprozess
o Notfallkonzept für zeitkritische Aktivitäten und Prozesse
o Festlegen von geeigneten Maßnahmen zur Schadensreduzierung
Neue Reporting-Pflichten: mindestens quartalsweise Berichterstattung über den Zustand des Notfallmanagements
Notfallkonzept mit Geschäftsfortführungs- sowie Wiederherstellungsplänen
Schnittstelle Auslagerung: Outsourcer und Insourcer müssen über aufeinander abgestimmte Notfallkonzepte verfügen.
Verschärfte Anforderungen an Business Impact Analysen:
o Beeinträchtigung von Aktivitäten und Prozessen
o Art und Umfang des (im-)materiellen Schadens
o Zeitpunkt des Ausfalls.
Risk Impact Analysen für die identifizierten zeitkritischen Aktivitäten und Prozesse:
o Identifizieren und Bewerten von potentiellen Gefährdungen
o Durchführung der qualitativ verschärften Risikoanalyse auf Basis einheitlicher Scoring-Kriterien
Berücksichtigung von Notfallszenarien
o (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung, Ausfall der Zutrittskontrolle)
o Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur
o Ausfall einer kritischen Anzahl von Mitarbeitern
o Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)
#3 Laufende Überwachungspflichten des Business Continuity Managers
MaRisk + BAIT: Anforderungen an Monitoring- und Kontrollhandlungen
Maßstäbe für Steuerungs- und Kontrolltätigkeiten und deren Durchführung
Prüfungssichere Bewertung der Auswirkungs- und Risikoanalysen
o Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen.
o Für zeitkritische Aktivitäten und Prozesse sind die relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen.
Überprüfungen des Notfallkonzeptes sind zu protokollieren.
o Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren.
o Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen.
Das Seminar Business Continuity Management online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.
Das könnte dich als Business Continuity Manager auch interessieren
MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement. Aus den ICT Guidelines werden Anforderungen zum Notfallmanagement im neu gefassten Abschnitt AT 7.3 umgesetzt.
Für alle im Rahmen einer durchzuführenden Auswirkungsanalyse identifizierten zeitkritischen Aktivitäten und Prozesse sind zunächst Risikoanalysen durchzuführen. Im Notfallkonzept muss dargestellt sein, welche Ersatzlösungen im Notfall zeitnah zur Verfügung stehen und wie eine Rückkehr zum Normalbetrieb verlaufen soll.
Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte). Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen.
#1 MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement
Das Kapitel AT 7.3 Notfallmanagement wurde nun wie folgt gefasst:
Das Institut hat Ziele zum Notfallmanagement zu definieren und hieraus abgeleitet einen Notfallmanagementprozess festzulegen. Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Das Notfallkonzept ist anlassbezogen zu aktualisieren, jährlich auf Aktualität zu überprüfen und angemessen zu kommunizieren. Die Geschäftsleitung hat sich mindestens quartalsweise und anlassbezogen über den Zustand des Notfallmanagements schriftlich berichten zu lassen.
Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederherstellungspläne umfassen. Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Wiederherstellungspläne müssen innerhalb eines angemessenen Zeitraums die Rückkehr zum Normalbetrieb ermöglichen. Bei Notfällen ist eine angemessene interne und externe Kommunikation sicherzustellen. Im Fall der Auslagerung von zeitkritischen Aktivitäten und Prozessen haben das auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzepte zu verfügen.
Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen. Für zeitkritische Aktivitäten und Prozesse ist sie für alle relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen. Überprüfungen des Notfallkonzeptes sind zu protokollieren. Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren. Risiken sind angemessen zu steuern. Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen.
Die MaRisk geben zu den verschärften Anforderungen an das Notfallmanagement folgende Erläuterungen.
#2 Zeitkritische Aktivitäten und Prozesse
Zeitkritisch sind grundsätzlich jene Aktivitäten und Prozesse, bei deren Beeinträchtigung für definierte Zeiträume ein nicht mehr akzeptabler Schaden für das Institut zu erwarten ist.
Zur Identifikation von zeitkritischen Aktivitäten und Prozessen sowie von unterstützenden Aktivitäten und Prozessen, hierfür notwendigen IT-Systemen und sonstigen notwendigen Ressourcen sowie den potentiellen Gefährdungen führt das Institut Auswirkungsanalysen und Risikoanalysen durch. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte).
#3 Auswirkungsanalysen – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement
In Auswirkungsanalysen (Business Impact Analysen) wird über abgestufte Zeiträume betrachtet, welche Folgen eine Beeinträchtigung von Aktivitäten und Prozessen für den Geschäftsbetrieb haben kann. Die Auswirkungsanalysen sollten u. a. folgende Aspekte berücksichtigen:
– Art und Umfang des (im-)materiellen Schadens
– Auswirkung des Zeitpunkts des Ausfalls auf den Schaden (z. B. Ausfall des Zahlungsverkehrs zu Hauptgeschäftszeiten)
#4 Risikoanalysen – Business Continuity Manager: Aufgaben und Pflichten
In Risikoanalysen (Risk Impact Analysen) für die identifizierten zeitkritischen Aktivitäten und Prozesse werden potentielle Gefährdungen identifiziert und bewertet, welche eine Beeinträchtigung der zeitkritischen Geschäftsprozesse verursachen können.
#5 Notfallkonzept – Aufgaben und Pflichten des Business Continuity Managers
Im Notfallkonzept werden Verantwortlichkeiten, Ziele und Maßnahmen zur Fortführung bzw. Wiederherstellung von zeitkritischen Aktivitäten und Prozessen bestimmt und Kriterien für die Einstufung sowie für das Auslösen der Pläne definiert.
#6 Notfallszenarien – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement
Hierbei werden mindestens folgende Szenarien berücksichtigt:
– (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung,Ausfall der Zutrittskontrolle)
– Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur (z. B. aufgrund von Fehlern oder Angriffen)
– Ausfall einer kritischen Anzahl von Mitarbeitern (z. B. bei Pandemie, Lebensmittelvergiftung, Streik)
– Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)
Die Häufigkeit und der Umfang der Überprüfungen soll sich grundsätzlich an der Gefährdungslage orientieren. Dienstleister sind angemessen einzubinden. Überprüfungen beinhalten u. a.:
– Test der technischen Vorsorgemaßnahmen
– Kommunikations-, Krisenstabs- und Alarmierungsübungen
– Ernstfall- oder Vollübungen.
Die neue Fassung der MaRisk tritt mit Veröffentlichung in Kraft. Es gilt eine Übergangsfrist bis zum 31.12.2021.
Dies gilt für die auf das Auslagerungsregister bezogene Dokumentationsanforderung in AT 9 Tz. 14 MaRisk nur insoweit, als auch die Pflicht zum Vorhalten eines Auslagerungsregisters mit dem Inkrafttreten des FISG bereits zum 01.01.2022 gilt.
Andernfalls richtet sich der erstmalige Geltungstag auch für die Konkretisierung dieser Anforderung in den MaRisk nach dem Gesetz.
Davon abweichende Umsetzungsfristen ergeben sich für die Anpassung von bereits bestehenden oder in Verhandlung befindlichen Auslagerungsverträgen.
Hierfür wird eine gesonderte Umsetzungsfrist bis zum 31.12.2022 eingeräumt.
Eine Anpassung von Vertragsverhältnissen, die auf der Grundlage eines öffentlichen Vergabeverfahrens abgeschlossen wurden, kann wegen der besonderen rechtlichen Probleme unterbleiben, soweit diese Verträge befristet sind und innerhalb der nächsten fünf Jahre neu vergeben werden müssen. Die BaFin geht davon aus, dass bei Vergabeverfahren, die ab dem 01.01.2022 initiiert werden, bereits die neuen Anforderungen ausreichend berücksichtigt werden.
Institute mit hohem NPL-Bestand haben die Anforderungen aus den NPE Guidelines bereits unmittelbar nach Ablauf der Übergangsfrist am 31.12.2021 einzuhalten, sofern diese Institute an den zwei vorhergehenden Quartalsstichtagen (30.09.2021 und 31.12.2021) eine NPL-Quote größer 5 % aufweisen.
Der erste, für die Einstufung als Institut mit hohem NPL-Bestand relevante Quartalsstichtag ist daher der 30.09.2021.
Das Seminar Business Continuity Management online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.
Teilnehmer haben auch folgende Seminare MaRisk + SREP + Depot A gebucht:
Sie sehen gerade einen Platzhalterinhalt von Turnstile. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
