Requirements for the risk controlling function. In the consultation process, the lack of a list of (contractual) parameters to be entered in the outsourcing register was also addressed.
In order to remedy this and at the same time avoid deviations from the Outsourcing Guidelines in the implementation of this new legal requirement of 25 b para. 1 KWG (according to the Financial Market Integrity Strengthening Act – FISG), the final version of AT 9 para. 14 MaRisk refers directly to paras. 54 and 55 of these guidelines.
This is intended to make it easier for European banking groups to set up a central outsourcing register, as permitted in point 53 of the Outsourcing Guidelines. Among the mandatory parameters listed in paragraphs 54 and 55 of the Outsourcing Guidelines, the meeting of the MaRisk expert committee on 4 March 2021 focused in particular on the field of coverage under paragraph 55 lit. a. The aim is to facilitate the establishment of a central outsourcing register for European banking groups, as permitted in paragraph 53 of the Outsourcing Guidelines.
Institutions that are affiliated to central protection schemes should also list the other contractual partners of the outsourcing company from the association. The supervisory authority recognises that this can only be considered proportionate where such a recording can be assumed, in particular when a central outsourcing management is set up at association level.
Requirements for the risk controlling function + MaRisk 6.0: What changes in outsourcing management?
Target group for the course Requirements for the outsourcing register
# Board members, managing directors and managers at banks, savings banks and cooperative banks
# Managers and specialists from the areas of compliance, risk management, overall bank management and internal audit
# Book the seminar Requirements for the outsourcing register + MaRisk 6.0: What changes in outsourcing management? online; convenient and easy with the seminar form online and product no. A 06.
Your benefits with the course: Requirements for the risk controlling function
#1 New requirements for the risk controlling function
#2 Future-oriented capital planning process with SREP and ICAAP
#3 Agile risk management in the lending business
Your advantage with the course: Requirements for the risk controlling function
Each participant receives the S+P Tool Box with the seminar:
+ S+P Checklist „Implementation of MaRisk 2021“
+ S+P Check: Reporting-relevant requirements AT 4.1 and AT 4.2
+ S+P Checklist: 105-point check on risk-bearing capacity
+ S+P Check: MaRisk regulations for the lending business
MaRisk 2021: New requirements for the risk controlling function
# Proper Business Organisation §25a KWG as a Requirement for Internal Risk Management
# Innovations in the supervisory assessment of banks‘ internal risk-bearing capacity concepts
# Extended responsibilities of the risk controlling function
# Process checks for risk-relevant limit approvals – Identification of relevant decision-making processes
Each participant will receive:
+ S+P Guide: Implementation of the new MaRisk
+ S+P Check: Reporting-relevant requirements AT 4.1 and AT 4.2
Future-oriented capital planning process with SREP and ICAAP
# New requirements for the capital planning process: What are the implications for the determination of risk-bearing capacity?
# Innovations in the areas of risk measurement and limitation
# Traffic light and warning systems: Optimal dovetailing of process and control impulses
# Creation of different scenarios in the capital planning process
# New requirements for the limit system with TLAC/MREL
Each participant receives the S+P Tool Box with the seminar:
+ S+P tool „Basel III Simulator“ for the optimal balance sheet structure according to CRD IV and CRR
+ S+P Checklist: 105-point check on risk-bearing capacity
Agile risk management in the lending business
MaRisk BTO 1.2.4: Intensive supervision
Criteria for the transition to intensive support
Consideration of concessions in favour of the borrower
(„Forbearance“)
MaRisk BTO 1.2.5: Treatment of problem loans
Criteria for the transition to problem loan handling
Examination of non-standardised contracts in restructuring cases
Voting for restructuring loans and exposures in wind-down portfolios
MaRisk BTO 1.3: Early risk identification in the lending business
Internal information from the business relationship
Targeted use of external information sources
Risk classification procedures and early identification of risks
Update for the risk controlling function
#1 MaRisk 6.0: What changes in outsourcing management?
In order to bundle the central management and monitoring of the risks of outsourcing agreements, each institution that undertakes outsourcing should itself appoint a central outsourcing officer.
The central outsourcing management, which an institution must set up depending on the type, scope and complexity of the outsourcing activities, serves to support the outsourcing officer.
With regard to the new requirement from AT 9 point 12 to appoint an outsourcing officer, the consultation questioned in particular the direct subordination and reporting duty of the outsourcing officer to the management. According to the final version, it is now considered sufficient for the organisational requirements that the outsourcing officer is located in a unit that reports directly to the management. The outsourcing officer can also be the head of (supporting) outsourcing management at the same time.
#2 Central outsourcing management at group level
With the 6th MaRisk amendment, the possibility is now also granted to set up central outsourcing management at group or association level.
The regulations for simplifications at group level only apply in full to those groups where the group as well as the institutions where functions are to be centralised fall under the application of the CRR and thus also the Outsourcing Guidelines.
In addition, the possibilities with regard to the complete outsourcing of the special functions risk controlling function, compliance function and internal audit are expanded to the effect that the complete outsourcing is now also possible under certain circumstances to sister institutions within a group of institutions.
Great importance continues to be attached to these functions as management and control instruments for the management.
#3 Requirements for the outsourcing register + MaRisk 6.0: What changes in outsourcing management?
In the consultation process, the lack of a list of (contractual) parameters to be entered in the outsourcing register was also addressed.
In order to remedy this and at the same time avoid deviations from the Outsourcing Guidelines in the implementation of this new legal requirement of 25 b para. 1 of the German Banking Act (according to the Financial Market Integrity Strengthening Act – FISG -E), the final version of AT 9 para. 14 MaRisk refers directly to paras. 54 and 55 of these guidelines.
Requirements for the outsourcing register: This is intended to facilitate the establishment of a central outsourcing register for European banking groups, as permitted in point 53 of the Outsourcing Guidelines.
Among the mandatory parameters listed in paragraphs 54 and 55 of the Outsourcing Guidelines, the meeting of the MaRisk expert committee on 4 March 2021 focused in particular on the field of recording under paragraph 55 lit. a. The aim is to facilitate the establishment of a central outsourcing register for European banking groups, as permitted by paragraph 53 of the Outsourcing Guidelines.
Institutions that are affiliated to central protection schemes should also list the other contractual partners of the outsourcing company from the association. The supervisory authority recognises that this can only be considered proportionate where such a recording can be assumed, in particular when a central outsourcing management is set up at association level.
The requirement to record the costs of outsourcing in the outsourcing register was also viewed critically. However, this is also a requirement of the Guidelines on Outsourcing, point 55 lit. k. Therefore, also according to MaRisk, which implements these guidelines, an annual entry must be made regarding the estimated costs or budget.
Outsourcing can hardly be compared if there is no cost framework. However, an intra-year entry of cost adjustments is not required for this purpose.
#4 Outsourcing: Consideration of political risks in the risk analysis
With regard to the requirements for the risk analysis, BaFin has included a wording proposal of DK for the implementation of the EBA Outsourcing Guidelines compared to the consultation version and now state in AT 9 para. 2 that the risk analysis must take into account the extent to which an activity or process to be outsourced is of material importance.
MaRisk 6.0: What changes in outsourcing management? The industry has identified the assessment of political risks as a problematic aspect of risk analysis. According to point 68 lit. d of the Guidelines on Outsourcing, this means the assessment of political stability with regard to the security situation of the jurisdiction in question, which is not likely to refer to EEA countries as a rule.
The analysis of political risks is therefore of particular importance for the possible enforcement of contractually agreed rights in third countries. Since country-specific risks have already had to be taken into account in the risk analysis, BaFin does not see any increased requirements in this respect and does not expect a change in the previous practice.
#5 Outsourcing: Consideration of a scenario analysis in the risk analysis
The addition of a scenario analysis to the risk analysis tends to appear disproportionate to the industry and also only partially sensible.
Accordingly, it is clarified in the explanations of the final version of MaRisk that the risk analysis is only to be supplemented by a scenario analysis if this is reasonable and proportionate.
However, in accordance with the explanations in point 65 of the Guidelines on Outsourcing, it is to be assumed that in many cases it may well be reasonable and, taking into account the principle of proportionality, also necessary to assess the possible effects of omitted or even inadequate services by means of a scenario analysis (even before the conclusion of the contract), as they could result, among other things, from external events (to be simulated).
Participants have also booked the following seminars MaRisk + SREP + Depot A:
Wofür müssen die Maßnahmen im Notfallkonzept geeignet sein? Die MaRisk geben Leitlinien für das Management von Sicherheitsrisiken. Die Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Das Konzept ist anlassbezogen zu aktualisieren, jährlich auf Aktualität zu überprüfen und angemessen zu kommunizieren.
Das Seminar Wofür müssen die Maßnahmen im Notfallkonzept geeignet sein? online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.
Zielgruppe zum Seminar Wofür müssen die Maßnahmen im Notfallkonzept geeignet sein?
Vorstände und Geschäftsführer bei Banken, Finanzdienstleistern, Kapitalanlage- und Fondsgesellschaften, Leasing- und Factoring-Gesellschaften
Führungskräfte und Spezialisten aus den Bereichen Notfallmanagement, Auslagerungsmanagement, IT-Compliance, Compliance Beauftragte und Interne Revision.
Dein Nutzen mit dem Seminar Wofür müssen die Maßnahmen im Notfallkonzept geeignet sein?
#1 Aufgaben und Pflichten des Business Continuity Managers
#2 Business Impact Analysen und Risk Impact Analysen
#3 Laufende Überwachungspflichten des Business Continuity Managers
Dein Vorsprung mit dem Seminar Wofür müssen die Maßnahmen im Notfallkonzept geeignet sein?
Jeder Teilnehmer erhält mit dem Seminar die S+P Tool Box:
+ Leitfaden für BCM (ca. 30 Seiten)
+ Muster-Reporting für Business Continuity Manager
+ S+P Tool Risk Impact Analyse für mehr Prüfungssicherheit
Das Seminar Business Continuity Management online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.#1 Aufgaben und Pflichten des Business Continuity Managers
MaRisk AT 7.3: Das deutlich erweiterte Aufgabenspektrum des BCM:
o Ziele zum Notfallmanagement und Ableitung eines Notfallmanagementprozess
o Notfallkonzept für zeitkritische Aktivitäten und Prozesse
o Festlegen von geeigneten Maßnahmen zur Schadensreduzierung
Neue Reporting-Pflichten: mindestens quartalsweise Berichterstattung über den Zustand des Notfallmanagements
Notfallkonzept mit Geschäftsfortführungs- sowie Wiederherstellungsplänen
Schnittstelle Auslagerung: Outsourcer und Insourcer müssen über aufeinander abgestimmte Notfallkonzepte verfügen.
#2 Business Impact Analysen und Risk Impact AnalysenVerschärfte Anforderungen an Business Impact Analysen:
o Beeinträchtigung von Aktivitäten und Prozessen
o Art und Umfang des (im-)materiellen Schadens
o Zeitpunkt des Ausfalls.
Risk Impact Analysen für die identifizierten zeitkritischen Aktivitäten und Prozesse:
o Identifizieren und Bewerten von potentiellen Gefährdungen
o Durchführung der qualitativ verschärften Risikoanalyse auf Basis einheitlicher Scoring-Kriterien
Berücksichtigung von Notfallszenarien
o (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung, Ausfall der Zutrittskontrolle)
o Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur
o Ausfall einer kritischen Anzahl von Mitarbeitern
o Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)
#3 Laufende Überwachungspflichten des Business Continuity Managers
MaRisk + BAIT: Anforderungen an Monitoring- und Kontrollhandlungen
Maßstäbe für Steuerungs- und Kontrolltätigkeiten und deren Durchführung
Prüfungssichere Bewertung der Auswirkungs- und Risikoanalysen
o Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen.
o Für zeitkritische Aktivitäten und Prozesse sind die relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen.
Überprüfungen des Notfallkonzeptes sind zu protokollieren.
o Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren.
o Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen.
Das Seminar Business Continuity Management online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.Das könnte dich als Business Continuity Manager auch interessieren
MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement. Aus den ICT Guidelines werden Anforderungen zum Notfallmanagement im neu gefassten Abschnitt AT 7.3 umgesetzt.
Für alle im Rahmen einer durchzuführenden Auswirkungsanalyse identifizierten zeitkritischen Aktivitäten und Prozesse sind zunächst Risikoanalysen durchzuführen. Im Notfallkonzept muss dargestellt sein, welche Ersatzlösungen im Notfall zeitnah zur Verfügung stehen und wie eine Rückkehr zum Normalbetrieb verlaufen soll.
Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte). Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen.
#1 MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement
Das Kapitel AT 7.3 Notfallmanagement wurde nun wie folgt gefasst:
Das Institut hat Ziele zum Notfallmanagement zu definieren und hieraus abgeleitet einen Notfallmanagementprozess festzulegen. Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Das Notfallkonzept ist anlassbezogen zu aktualisieren, jährlich auf Aktualität zu überprüfen und angemessen zu kommunizieren. Die Geschäftsleitung hat sich mindestens quartalsweise und anlassbezogen über den Zustand des Notfallmanagements schriftlich berichten zu lassen.
Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederherstellungspläne umfassen. Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Wiederherstellungspläne müssen innerhalb eines angemessenen Zeitraums die Rückkehr zum Normalbetrieb ermöglichen. Bei Notfällen ist eine angemessene interne und externe Kommunikation sicherzustellen. Im Fall der Auslagerung von zeitkritischen Aktivitäten und Prozessen haben das auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzepte zu verfügen.
Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen. Für zeitkritische Aktivitäten und Prozesse ist sie für alle relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen. Überprüfungen des Notfallkonzeptes sind zu protokollieren. Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren. Risiken sind angemessen zu steuern. Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen.
Die MaRisk geben zu den verschärften Anforderungen an das Notfallmanagement folgende Erläuterungen.
#2 Zeitkritische Aktivitäten und Prozesse
Zeitkritisch sind grundsätzlich jene Aktivitäten und Prozesse, bei deren Beeinträchtigung für definierte Zeiträume ein nicht mehr akzeptabler Schaden für das Institut zu erwarten ist.
Zur Identifikation von zeitkritischen Aktivitäten und Prozessen sowie von unterstützenden Aktivitäten und Prozessen, hierfür notwendigen IT-Systemen und sonstigen notwendigen Ressourcen sowie den potentiellen Gefährdungen führt das Institut Auswirkungsanalysen und Risikoanalysen durch. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte).
#3 Auswirkungsanalysen – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement
In Auswirkungsanalysen (Business Impact Analysen) wird über abgestufte Zeiträume betrachtet, welche Folgen eine Beeinträchtigung von Aktivitäten und Prozessen für den Geschäftsbetrieb haben kann. Die Auswirkungsanalysen sollten u. a. folgende Aspekte berücksichtigen:
– Art und Umfang des (im-)materiellen Schadens
– Auswirkung des Zeitpunkts des Ausfalls auf den Schaden (z. B. Ausfall des Zahlungsverkehrs zu Hauptgeschäftszeiten)
#4 Risikoanalysen – Business Continuity Manager: Aufgaben und Pflichten
In Risikoanalysen (Risk Impact Analysen) für die identifizierten zeitkritischen Aktivitäten und Prozesse werden potentielle Gefährdungen identifiziert und bewertet, welche eine Beeinträchtigung der zeitkritischen Geschäftsprozesse verursachen können.
#5 Notfallkonzept – Aufgaben und Pflichten des Business Continuity Managers
Im Notfallkonzept werden Verantwortlichkeiten, Ziele und Maßnahmen zur Fortführung bzw. Wiederherstellung von zeitkritischen Aktivitäten und Prozessen bestimmt und Kriterien für die Einstufung sowie für das Auslösen der Pläne definiert.
#6 Notfallszenarien – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement
Hierbei werden mindestens folgende Szenarien berücksichtigt:
– (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung,Ausfall der Zutrittskontrolle)
– Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur (z. B. aufgrund von Fehlern oder Angriffen)
– Ausfall einer kritischen Anzahl von Mitarbeitern (z. B. bei Pandemie, Lebensmittelvergiftung, Streik)
– Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)
#7 Überprüfungen des Notfallkonzeptes – Aufgaben und Pflichten des Business Continuity Managers
Die Häufigkeit und der Umfang der Überprüfungen soll sich grundsätzlich an der Gefährdungslage orientieren. Dienstleister sind angemessen einzubinden. Überprüfungen beinhalten u. a.:
– Test der technischen Vorsorgemaßnahmen
– Kommunikations-, Krisenstabs- und Alarmierungsübungen
– Ernstfall- oder Vollübungen.
#8 Welche Umsetzungsfristen gelten für die Neuen MaRisk 6.0?
Die neue Fassung der MaRisk tritt mit Veröffentlichung in Kraft. Es gilt eine Übergangsfrist bis zum 31.12.2021.
Dies gilt für die auf das Auslagerungsregister bezogene Dokumentationsanforderung in AT 9 Tz. 14 MaRisk nur insoweit, als auch die Pflicht zum Vorhalten eines Auslagerungsregisters mit dem Inkrafttreten des FISG bereits zum 01.01.2022 gilt.
Andernfalls richtet sich der erstmalige Geltungstag auch für die Konkretisierung dieser Anforderung in den MaRisk nach dem Gesetz.
Davon abweichende Umsetzungsfristen ergeben sich für die Anpassung von bereits bestehenden oder in Verhandlung befindlichen Auslagerungsverträgen.
Hierfür wird eine gesonderte Umsetzungsfrist bis zum 31.12.2022 eingeräumt.
Eine Anpassung von Vertragsverhältnissen, die auf der Grundlage eines öffentlichen Vergabeverfahrens abgeschlossen wurden, kann wegen der besonderen rechtlichen Probleme unterbleiben, soweit diese Verträge befristet sind und innerhalb der nächsten fünf Jahre neu vergeben werden müssen. Die BaFin geht davon aus, dass bei Vergabeverfahren, die ab dem 01.01.2022 initiiert werden, bereits die neuen Anforderungen ausreichend berücksichtigt werden.
Institute mit hohem NPL-Bestand haben die Anforderungen aus den NPE Guidelines bereits unmittelbar nach Ablauf der Übergangsfrist am 31.12.2021 einzuhalten, sofern diese Institute an den zwei vorhergehenden Quartalsstichtagen (30.09.2021 und 31.12.2021) eine NPL-Quote größer 5 % aufweisen.
Der erste, für die Einstufung als Institut mit hohem NPL-Bestand relevante Quartalsstichtag ist daher der 30.09.2021.
Das Seminar Business Continuity Management online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.Teilnehmer haben auch folgende Seminare MaRisk + SREP + Depot A gebucht:Seminare MaRisk + SREPSeminare Depot ASeminare AuslagerungscontrollingSeminar Risikomanagement Compliance
New EBA requirements for the MLRO: The European Banking Authority (EBA) has launched a public consultation on new guidelines on the role, tasks and responsibilities of Anti-Money Laundering and Countering the Financing of Terrorism (AML/CFT) Officers. The guidelines contain provisions on broader AML/CFT governance, including at group level. Once adopted, these guidelines will apply to all financial sector actors falling within the scope of the AML Directive. This consultation will run until 2 November 2021.
#1 New EBA requirements for the MLRO
The draft guidelines comprehensively address the entire AML/CFT governance regime for the first time at EU level. They set clear expectations on the role, tasks and responsibilities of the AML/CFT compliance officer and the management body and how they interact, including at group level. AML/CFT compliance officers must have sufficient seniority. This means that they are empowered to propose, on their own initiative, any necessary or appropriate measures to the management body in its supervisory and management function to ensure compliance with and effectiveness of internal anti-money laundering and counter-terrorist financing measures.
#2 Rights and duties of the MLRO
Para 24. The AML/CFT Officer referred to in Article 8(4)(a) of Directive (EU) 2015/849 should be appointed at a level that includes the power to propose, on his or her own initiative, any necessary or appropriate measures to ensure compliance with and effectiveness of the internal anti-money laundering and counter-terrorist financing measures function.
Para 25. Where the management body appoints an AML/CFT officer in accordance with paragraph 16, the management body should decide, taking into account the size and complexity of the business and its ML/TF risk,
# whether the AML/CFT compliance officer role is to be performed on a full-time basis, or
# whether this role can be performed by an employee or manager in addition to his/her existing functions within the financial services provider.
Such a decision should be based on the principle of proportionality, taking into account, inter alia, the factors set out below.
Point 26: Where the tasks of the anti-money laundering and counter-terrorist financing compliance officer are to be assigned to an employee who already has other tasks or functions within the financial services provider, the management body should consider possible conflicts of interest and take the necessary measures to avoid them. The management body should ensure that this person can devote sufficient time to the tasks of the AML/CFT officer.
Para 27. The AML/CFT compliance officer should normally work in the country of establishment of the financial services provider.
country of establishment of the financial services provider.
Point 28. In some cases, where it is appropriate to the ML/TF risk of the financial services provider and permitted under national law, the AML/CFT officer may be
be located in another country. In such cases, management should appoint the AML/CFT compliance officer under the financial services provider’s governance arrangements.
The financial undertaking should have the necessary systems and controls in place to ensure that the AML/CFT officer has the necessary knowledge of local anti-money laundering and counter-terrorist financing laws and regulations and can perform his or her duties in an equally effective and independent manner.
The financial undertaking should ensure that the AML/CFT compliance officer has access to all internal documents and systems necessary for the performance of his or her duties.
Point 29. The AML/CFT Officer should be able to delegate his duties to other employees acting under his direction and supervision. This delegation is subject to the condition that the ultimate responsibility for the effective performance of these tasks remains with the AML/CFT Officer.
Point 30. In order to ensure the independence of the AML/CFT Officer, the new EBA requirements for the AML/CFT Officer provide for the following requirements:
(a) Notwithstanding the overall responsibility of the members of the management body for the financial undertaking, the AML/CFT Officer should not report to a person who is responsible for the management of any of the activities that the AML/CFT Compliance Officer oversees.
(b) The financial undertaking shall have procedures in place to ensure that the AML/CFT Compliance Officer has full and direct access at all times to all information necessary for the performance of his function. The decision as to what information he/she needs to have access to in this regard should be made solely by the AML/CFT Compliance Officer.
(c) The AML/CFT officer should have an independent reporting line to the management body Management body, if a management body exists in the structure of the financial services provider.
Without prejudice to the general and collective responsibility of the management body, the draft guidelines also set out the tasks and role of the board member or senior manager, where there is no board, responsible for AML/CFT as a whole, and the role of the group AML/CFT officer.
As the information reaching the management body needs to be sufficiently comprehensive to allow for informed decision-making, the new EBA requirements for the money laundering officer specify what information should be included at least in the AML/CFT officer’s activity report to the management body.
#5 Parent company to appoint MLRO at group level
Where a financial services business is part of a group, the new EBA requirements for the Money Laundering Officer provide that a group-level AML/CFT compliance officer should be appointed in the parent company to ensure the establishment and implementation of effective group-wide AML/CFT policies and procedures and to ensure that any deficiencies affecting the whole or a large part of the group are effectively addressed.
The provisions of the new EBA requirements for the Money Laundering Officer are also consistent with existing ESA guidance, in particular the revised guidelines on internal governance under the Capital Requirements Directive (CRD), the revised joint ESMA-EBA guidelines on the assessment of the suitability of members of the management body, the draft guidelines on the authorisation of credit institutions and the draft guidelines on common procedures and methodologies for the supervisory review and evaluation process (SREP) and supervisory stress testing.
Was versteht man unter Business Continuity Management? Die MaRisk geben Leitlinien für das Management von Sicherheitsrisiken. Beim Business Continuity Management handelt es sich um Maßnahmen, Strategien und Prozesse, die bei einem Notfall den Geschäftsprozess sichern und wieder herstellen sollen. Ziel hierbei ist es Risiken und Schäden zu minimieren und somit die Fortführung der Geschäftsprozesse sicherzustellen.
Das Seminar Was versteht man unter Business Continuity Management? online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.
Zielgruppe zum Seminar Was versteht man unter Business Continuity Management?
Vorstände und Geschäftsführer bei Banken, Finanzdienstleistern, Kapitalanlage- und Fondsgesellschaften, Leasing- und Factoring-Gesellschaften
Führungskräfte und Spezialisten aus den Bereichen Notfallmanagement, Auslagerungsmanagement, IT-Compliance, Compliance Beauftragte und Interne Revision.
Dein Nutzen mit dem Seminar Was versteht man unter Business Continuity Management?
#1 Aufgaben und Pflichten des Business Continuity Managers
#2 Business Impact Analysen und Risk Impact Analysen
#3 Laufende Überwachungspflichten des Business Continuity Managers
Dein Vorsprung mit dem Seminar Was versteht man unter Business Continuity Management?
Jeder Teilnehmer erhält mit dem Seminar die S+P Tool Box:
+ Leitfaden für BCM (ca. 30 Seiten)
+ Muster-Reporting für Business Continuity Manager
+ S+P Tool Risk Impact Analyse für mehr Prüfungssicherheit
Das Seminar Business Continuity Management online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.
#1 Aufgaben und Pflichten des Business Continuity Managers
MaRisk AT 7.3: Das deutlich erweiterte Aufgabenspektrum des BCM:
o Ziele zum Notfallmanagement und Ableitung eines Notfallmanagementprozess
o Notfallkonzept für zeitkritische Aktivitäten und Prozesse
o Festlegen von geeigneten Maßnahmen zur Schadensreduzierung
Neue Reporting-Pflichten: mindestens quartalsweise Berichterstattung über den Zustand des Notfallmanagements
Notfallkonzept mit Geschäftsfortführungs- sowie Wiederherstellungsplänen
Schnittstelle Auslagerung: Outsourcer und Insourcer müssen über aufeinander abgestimmte Notfallkonzepte verfügen.
Verschärfte Anforderungen an Business Impact Analysen:
o Beeinträchtigung von Aktivitäten und Prozessen
o Art und Umfang des (im-)materiellen Schadens
o Zeitpunkt des Ausfalls.
Risk Impact Analysen für die identifizierten zeitkritischen Aktivitäten und Prozesse:
o Identifizieren und Bewerten von potentiellen Gefährdungen
o Durchführung der qualitativ verschärften Risikoanalyse auf Basis einheitlicher Scoring-Kriterien
Berücksichtigung von Notfallszenarien
o (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung, Ausfall der Zutrittskontrolle)
o Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur
o Ausfall einer kritischen Anzahl von Mitarbeitern
o Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)
#3 Laufende Überwachungspflichten des Business Continuity Managers
MaRisk + BAIT: Anforderungen an Monitoring- und Kontrollhandlungen
Maßstäbe für Steuerungs- und Kontrolltätigkeiten und deren Durchführung
Prüfungssichere Bewertung der Auswirkungs- und Risikoanalysen
o Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen.
o Für zeitkritische Aktivitäten und Prozesse sind die relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen.
Überprüfungen des Notfallkonzeptes sind zu protokollieren.
o Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren.
o Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen.
Das Seminar Business Continuity Management online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.
Das könnte dich als Business Continuity Manager auch interessieren
MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement. Aus den ICT Guidelines werden Anforderungen zum Notfallmanagement im neu gefassten Abschnitt AT 7.3 umgesetzt.
Für alle im Rahmen einer durchzuführenden Auswirkungsanalyse identifizierten zeitkritischen Aktivitäten und Prozesse sind zunächst Risikoanalysen durchzuführen. Im Notfallkonzept muss dargestellt sein, welche Ersatzlösungen im Notfall zeitnah zur Verfügung stehen und wie eine Rückkehr zum Normalbetrieb verlaufen soll.
Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte). Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen.
#1 MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement
Das Kapitel AT 7.3 Notfallmanagement wurde nun wie folgt gefasst:
Das Institut hat Ziele zum Notfallmanagement zu definieren und hieraus abgeleitet einen Notfallmanagementprozess festzulegen. Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Das Notfallkonzept ist anlassbezogen zu aktualisieren, jährlich auf Aktualität zu überprüfen und angemessen zu kommunizieren. Die Geschäftsleitung hat sich mindestens quartalsweise und anlassbezogen über den Zustand des Notfallmanagements schriftlich berichten zu lassen.
Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederherstellungspläne umfassen. Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Wiederherstellungspläne müssen innerhalb eines angemessenen Zeitraums die Rückkehr zum Normalbetrieb ermöglichen. Bei Notfällen ist eine angemessene interne und externe Kommunikation sicherzustellen. Im Fall der Auslagerung von zeitkritischen Aktivitäten und Prozessen haben das auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzepte zu verfügen.
Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen. Für zeitkritische Aktivitäten und Prozesse ist sie für alle relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen. Überprüfungen des Notfallkonzeptes sind zu protokollieren. Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren. Risiken sind angemessen zu steuern. Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen.
Die MaRisk geben zu den verschärften Anforderungen an das Notfallmanagement folgende Erläuterungen.
#2 Zeitkritische Aktivitäten und Prozesse
Zeitkritisch sind grundsätzlich jene Aktivitäten und Prozesse, bei deren Beeinträchtigung für definierte Zeiträume ein nicht mehr akzeptabler Schaden für das Institut zu erwarten ist.
Zur Identifikation von zeitkritischen Aktivitäten und Prozessen sowie von unterstützenden Aktivitäten und Prozessen, hierfür notwendigen IT-Systemen und sonstigen notwendigen Ressourcen sowie den potentiellen Gefährdungen führt das Institut Auswirkungsanalysen und Risikoanalysen durch. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte).
#3 Auswirkungsanalysen – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement
In Auswirkungsanalysen (Business Impact Analysen) wird über abgestufte Zeiträume betrachtet, welche Folgen eine Beeinträchtigung von Aktivitäten und Prozessen für den Geschäftsbetrieb haben kann. Die Auswirkungsanalysen sollten u. a. folgende Aspekte berücksichtigen:
– Art und Umfang des (im-)materiellen Schadens
– Auswirkung des Zeitpunkts des Ausfalls auf den Schaden (z. B. Ausfall des Zahlungsverkehrs zu Hauptgeschäftszeiten)
#4 Risikoanalysen – Business Continuity Manager: Aufgaben und Pflichten
In Risikoanalysen (Risk Impact Analysen) für die identifizierten zeitkritischen Aktivitäten und Prozesse werden potentielle Gefährdungen identifiziert und bewertet, welche eine Beeinträchtigung der zeitkritischen Geschäftsprozesse verursachen können.
#5 Notfallkonzept – Aufgaben und Pflichten des Business Continuity Managers
Im Notfallkonzept werden Verantwortlichkeiten, Ziele und Maßnahmen zur Fortführung bzw. Wiederherstellung von zeitkritischen Aktivitäten und Prozessen bestimmt und Kriterien für die Einstufung sowie für das Auslösen der Pläne definiert.
#6 Notfallszenarien – MaRisk 6.0: Verschärfte Anforderungen an das Notfallmanagement
Hierbei werden mindestens folgende Szenarien berücksichtigt:
– (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung,Ausfall der Zutrittskontrolle)
– Erheblicher Ausfall von IT-Systemen oder Kommunikationsinfrastruktur (z. B. aufgrund von Fehlern oder Angriffen)
– Ausfall einer kritischen Anzahl von Mitarbeitern (z. B. bei Pandemie, Lebensmittelvergiftung, Streik)
– Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)
Die Häufigkeit und der Umfang der Überprüfungen soll sich grundsätzlich an der Gefährdungslage orientieren. Dienstleister sind angemessen einzubinden. Überprüfungen beinhalten u. a.:
– Test der technischen Vorsorgemaßnahmen
– Kommunikations-, Krisenstabs- und Alarmierungsübungen
– Ernstfall- oder Vollübungen.
Die neue Fassung der MaRisk tritt mit Veröffentlichung in Kraft. Es gilt eine Übergangsfrist bis zum 31.12.2021.
Dies gilt für die auf das Auslagerungsregister bezogene Dokumentationsanforderung in AT 9 Tz. 14 MaRisk nur insoweit, als auch die Pflicht zum Vorhalten eines Auslagerungsregisters mit dem Inkrafttreten des FISG bereits zum 01.01.2022 gilt.
Andernfalls richtet sich der erstmalige Geltungstag auch für die Konkretisierung dieser Anforderung in den MaRisk nach dem Gesetz.
Davon abweichende Umsetzungsfristen ergeben sich für die Anpassung von bereits bestehenden oder in Verhandlung befindlichen Auslagerungsverträgen.
Hierfür wird eine gesonderte Umsetzungsfrist bis zum 31.12.2022 eingeräumt.
Eine Anpassung von Vertragsverhältnissen, die auf der Grundlage eines öffentlichen Vergabeverfahrens abgeschlossen wurden, kann wegen der besonderen rechtlichen Probleme unterbleiben, soweit diese Verträge befristet sind und innerhalb der nächsten fünf Jahre neu vergeben werden müssen. Die BaFin geht davon aus, dass bei Vergabeverfahren, die ab dem 01.01.2022 initiiert werden, bereits die neuen Anforderungen ausreichend berücksichtigt werden.
Institute mit hohem NPL-Bestand haben die Anforderungen aus den NPE Guidelines bereits unmittelbar nach Ablauf der Übergangsfrist am 31.12.2021 einzuhalten, sofern diese Institute an den zwei vorhergehenden Quartalsstichtagen (30.09.2021 und 31.12.2021) eine NPL-Quote größer 5 % aufweisen.
Der erste, für die Einstufung als Institut mit hohem NPL-Bestand relevante Quartalsstichtag ist daher der 30.09.2021.
Das Seminar Business Continuity Management online buchen; bequem und einfach mit dem Seminarformular online und der Produkt Nr. A04.
Teilnehmer haben auch folgende Seminare MaRisk + SREP + Depot A gebucht:
Tasks and duties of the Business Continuity Manager. From the ICT Guidelines, requirements for emergency management are implemented in the newly formulated section AT 7.3. Risk analyses must first be carried out for all time-critical activities and processes identified in an impact analysis. The emergency concept must show which substitute solutions are available in a timely manner in the event of an emergency and how a return to normal operation is to proceed. An overview of all activities and processes (e.g. in the form of a process map) serves as a basis for this. The effectiveness and appropriateness of the emergency concept must be reviewed regularly.
With the course Tasks and Duties of the Business Continuity Manager, you will learn the following professional skills for a secure implementation of MaRisk and BAIT:
#1 Tasks and duties of the business continuity manager
#2 Business impact analyses and risk impact analyses
#3 Ongoing monitoring duties of the business continuity manager
Tasks and duties of the Business Continuity Manager
# Target group for the seminar Tasks and Duties of the Business Continuity Manager:
# Board members and managing directors at banks, financial service providers, investment and fund companies, leasing and factoring companies
# Managers and specialists from the areas of emergency management, outsourcing management, IT compliance, compliance officers and internal audit.
Your benefits with the Business Continuity Manager course:
#1 Tasks and duties of the Business Continuity Manager
#2 Business impact analyses and risk impact analyses
#3 Ongoing monitoring duties of the Business Continuity Manager
Get a head start with the Business Continuity Manager course:
Each participant receives the S+P Tool Box with the course:
+ Guidelines for BCM (approx. 30 pages)
+ Sample reporting for Business Continuity Managers
+ S+P Tool Risk Impact Analysis for more audit security
#1 Tasks and duties of the Business Continuity Manager
MaRisk AT 7.3: The significantly expanded range of tasks of BCM:
o Objectives for emergency management and derivation of an emergency management process
o Emergency concept for time-critical activities and processes
o Determination of suitable measures for damage reduction
New reporting obligations: at least quarterly reporting on the status of emergency management
Emergency concept with business continuation and recovery plans
Interface outsourcing: outsourcers and insourcers must have coordinated contingency concepts.
#2 Business Impact Analyses and Risk Impact Analyses
More stringent requirements for business impact analyses:
o Impact on activities and processes
o Type and extent of (im-)material damage
o Timing of the failure.
Risk impact analyses for the identified time-critical activities and processes:
o Identify and assess potential hazards.
o Carrying out qualitatively tightened risk analysis on the basis of uniform scoring criteria
Consideration of emergency scenarios
o (Partial) failure of a site (e.g. due to flood, major fire, area closure, access control failure)
o Significant failure of IT systems or communication infrastructure
o Loss of a critical number of employees
o Failure of service providers (e.g. suppliers, electricity providers)
#3 Ongoing monitoring obligations of the business continuity manager
MaRisk + BAIT: Requirements for monitoring and control activities
Benchmarks for monitoring and control activities and their implementation
Audit-proof assessment of impact and risk analyses
o The effectiveness and appropriateness of the emergency concept must be reviewed regularly.
o For time-critical activities and processes, the relevant scenarios must be demonstrated at least annually and on an ad hoc basis.
Reviews of the emergency concept shall be recorded.
o Results shall be analysed with regard to necessary improvements.
o The results are to be communicated in writing to the respective persons responsible.
This could also be of interest to you as a business continuity manager
MaRisk 6.0: Stricter requirements for emergency management. From the ICT Guidelines, requirements for emergency management are implemented in the newly formulated section AT 7.3.
Risk analyses must first be carried out for all time-critical activities and processes identified within the scope of an impact analysis to be carried out. The emergency concept must show which substitute solutions are available in a timely manner in the event of an emergency and how a return to normal operation is to proceed.
An overview of all activities and processes (e.g. in the form of a process map) serves as a basis for this. The effectiveness and adequacy of the emergency concept must be reviewed regularly.
#1 MaRisk 6.0: Stricter requirements for emergency management
Chapter AT 7.3 Emergency management has now been worded as follows:
The institution shall define objectives for emergency management and, derived from this, establish an emergency management process. Precautions must be taken for emergencies in time-critical activities and processes (emergency concept). The measures defined in the emergency concept must be suitable for reducing the extent of possible damage. The emergency concept must be updated as required, reviewed annually to ensure that it is up to date and communicated appropriately. The management must receive written reports on the status of the emergency management at least quarterly and on an ad hoc basis.
The contingency plan must include business continuity and recovery plans. Business continuity plans must ensure that substitute solutions are available promptly in the event of an emergency. Recovery plans shall allow for a return to normal operations within a reasonable period of time. Adequate internal and external communication must be ensured in the event of emergencies. In the case of outsourcing of time-critical activities and processes, the outsourcing institution and the outsourcing company shall have coordinated contingency plans.
The effectiveness and appropriateness of the emergency concept shall be reviewed regularly. For time-critical activities and processes, it shall be demonstrated for all relevant scenarios at least annually and on an ad hoc basis. Reviews of the emergency concept shall be recorded. Results shall be analysed with regard to necessary improvements. Risks shall be managed appropriately. The results are to be communicated in writing to the respective persons responsible.
MaRisk provides the following explanations on the stricter requirements for emergency management.
#2 Time-critical activities and processes
Time-critical activities and processes are those which, if impaired for a defined period of time, are expected to cause unacceptable damage to the institution.
In order to identify time-critical activities and processes as well as supporting activities and processes, IT systems and other resources required for this purpose as well as potential threats, the Institute conducts impact analyses and risk analyses. An overview of all activities and processes (e.g. in the form of a process map) serves as a basis for this.
In business impact analyses, the consequences that an impairment of activities and processes can have for business operations are considered over graduated periods of time. The impact analyses should consider the following aspects, among others:
– Nature and extent of the (im)material damage.
– Impact of the timing of the failure on the damage (e.g. failure of payment transactions during peak business hours).
#4 Risk Analyses – Tasks and Duties of the Business Continuity Manager
In risk analyses (risk impact analyses) for the identified time-critical activities and processes, potential hazards are identified and evaluated which could cause an impairment of the time-critical business processes.
#5 Emergency concept – tasks and duties of the business continuity manager
In the emergency concept, responsibilities, objectives and measures for the continuation or recovery of time-critical activities and processes are determined and criteria for the classification as well as for the triggering of the plans are defined.
At least the following scenarios are taken into account:
– (Partial) failure of a location (e.g. due to flood, major fire, area closure,failure of access control).
– Significant failure of IT systems or communication infrastructure (e.g. due to errors or attacks)
– Loss of a critical number of employees (e.g. pandemic, food poisoning, strike)
– Failure of service providers (e.g. suppliers, electricity providers)
The frequency and scope of the reviews should generally be based on the hazard situation. Service providers should be involved appropriately. Reviews include, among other things:
– Testing of technical precautionary measures
– communication, crisis management and alerting exercises
– Emergency or full-scale exercises.
#8 What implementation deadlines apply to the New MaRisk 6.0?
The new version of MaRisk comes into force upon publication. There is a transition period until 31.12.2021.
This applies to the documentation requirement related to the outsourcing register in AT 9 para. 14 MaRisk only insofar as the obligation to maintain an outsourcing register also applies as of 01.01.2022 when the FISG comes into force.
Otherwise, the first date of application for the specification of this requirement in MaRisk is also based on the law.
Different implementation deadlines apply to the adjustment of outsourcing agreements that already exist or are being negotiated.
A separate implementation period until 31 December 2022 is granted for this.
An adjustment of contractual relationships concluded on the basis of a public procurement procedure can be omitted due to the special legal problems insofar as these contracts are limited in time and must be re-awarded within the next five years. BaFin assumes that the new requirements will already be sufficiently taken into account in award procedures initiated from 01.01.2022.
Institutions with a high NPL portfolio must already comply with the requirements of the NPE Guidelines immediately after the end of the transition period on 31 December 2021, provided that these institutions have an NPL ratio greater than 5% on the two preceding quarterly reporting dates (30 September 2021 and 31 December 2021).
The first quarterly reporting date relevant for the classification as an institution with a high NPL ratio is therefore 30.09.2021.
Participants have also booked the following courses MaRisk + SREP + Depot A:
Sie sehen gerade einen Platzhalterinhalt von Turnstile. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Update for the risk controlling function
Update for the risk controlling function
