AT 1
WPIMARISK-AT-1
Basis
Ziel und Anwendungsbereich
Die WpI MaRisk konkretisieren die gesetzlichen Mindestvorgaben der §§ 38 ff. WpIG fuer Wertpapierinstitute. Sie etablieren eigenstaendige, risikoorientierte und prinzipienbasierte Anforderungen, die auf die spezifischen Beduerfnisse kleiner und mittlerer Wertpapierinstitute zugeschnitten sind. Die Anforderungen sind weniger umfangreich als die klassischen MaRisk und schaffen mehr Spielraeume fuer proportionale Anwendung.
Geltungsbereich & Anwendungshinweis
Die WpI MaRisk gelten fuer Kleine und Mittlere Wertpapierinstitute. Grosse Wertpapierinstitute wenden weiterhin die (BA)-MaRisk an. Asset Manager sind typischerweise als kleine oder mittlere Wertpapierinstitute klassifiziert.
Schwerpunkte
Proportionalitaetsprinzip
Prinzipienbasierte Regulierung
Vereinfachte Anforderungen fuer KMUs
DORA Alignment
Art. 5-6 (Governance & Risikomanagement)
WpI MaRisk etablieren den IKT-Risikomanagementrahmen fuer Wertpapierinstitute, der konsistent mit DORA-Anforderungen ist aber spezifisch auf WpIG ausgerichtet.
ISO 27001 Referenzen
A.5.1, A.5.2
Nachweisfokus
Klassifizierungsnachweis als kleines/mittleres WpI, Organisationshandbuch, Governance-Dokumentation
AT 2.1
WPIMARISK-AT-2.1
Basis
Institutsklassifizierung und Proportionalitaet
Die WpI MaRisk unterscheiden zwischen Kleinen und Mittleren Wertpapierinstituten. Die Klassifizierung erfolgt nach dem WpIG und den EU-Regelungen (IFR/IFD). Kleine Institute mit schlanken Strukturen erhalten erhebliche Erleichterungen bei Dokumentations- und Organisationsanforderungen, solange angemessene Risikosteuerung gewaehrleistet ist.
Geltungsbereich & Anwendungshinweis
Kleine WpI: Typischerweise Asset Manager, Private Banks, kleine Broker. Mittlere WpI: Regional verankerte Institute mit begrenztem Geschaeftsumfang.
Schwerpunkte
Kleine Wertpapierinstitute
Mittlere Wertpapierinstitute
Proportionale Anforderungen
IFR/IFD-Klassifizierung
DORA Alignment
Art. 16 (Vereinfachter Rahmen)
Die Proportionalitaet bei WpI entspricht dem DORA-Vereinfachten-Rahmen-Ansatz fuer kleinere Einrichtungen.
ISO 27001 Referenzen
A.5.4
Nachweisfokus
Klassifizierungsbescheinigung, Bilanzsumme, Eigenmittelnachweise, Geschaeftsvolumen-Dokumentation
AT 3.1
WPIMARISK-AT-3.1
Basis
Verantwortung der Geschaeftsleitung
Die Geschaeftsleitung traegt die Gesamtverantwortung fuer ein angemessenes Risikomanagementsystem. Bei kleineren Wertpapierinstituten koennen Funktionen konsolidiert werden, sofern keine unzulaessigen Interessenkonflikte entstehen. Die organisatorische Einbindung muss dennoch klar definiert und dokumentiert sein.
Geltungsbereich & Anwendungshinweis
Bei kleinen WpI duerfen z.B. Compliance- und Risikocontrolling-Funktionen von derselben Person wahrgenommen werden, sofern angemessen dokumentiert und organisatorisch abgesichert.
Schwerpunkte
Gesamtverantwortung Geschaeftsleitung
Funktionskonsolidierung
Interessenkonflikte
Dokumentation
DORA Alignment
Art. 5 (Governance)
Governance-Anforderungen bei WpI sind konsistent mit DORA, aber mit mehr Flexibilitaet bei der Rollenwahrnehmung.
ISO 27001 Referenzen
A.5.1, A.5.2, A.6.1
Nachweisfokus
Organigramm, Rollenbeschreibungen, Funktionskonsolidierungsnachweise, Interessenkonflikt-Analysen
AT 4.1
WPIMARISK-AT-4.1
Gefuehrt
Risikostrategie und Risikoappetit
Wertpapierinstitute muessen eine Risikostrategie definieren, die zu ihrem Geschaeftsmodell und ihrer Groesse passt. Die Strategie sollte zukunftsgerichtete Risikoeinschaetzungen enthalten und vorausschauende Risikosteuerung ermoeglichen. Dokumentationsanforderungen folgen dem Proportionalitaetsprinzip.
Geltungsbereich & Anwendungshinweis
Kleinere WpI benoetigen weniger formale Strategiedokumente, aber trotzdem eine nachvollziehbare und datenbasierte Risikoberichterstattung.
Schwerpunkte
Risikostrategie
Risikoappetit
Vorausschauende Steuerung
Proportionale Dokumentation
DORA Alignment
Art. 6 (Risikostrategie)
Risikostrategie bei WpI spiegelt DORA-Rahmen wider, mit Fokus auf Vereinfachung fuer kleinere Institute.
ISO 27001 Referenzen
A.5.4, A.5.7, A.5.8
Nachweisfokus
Risikostrategie-Dokument, Risikoappetit-Definition, Risikoberichte, Eskalationsprotokolle
AT 4.2
WPIMARISK-AT-4.2
Gefuehrt
Internes Kontrollsystem (IKS)
Ein angemessenes internes Kontrollsystem ist einzurichten. Bei kleineren Wertpapierinstituten kann das IKS schlanker ausgestaltet sein, solange wesentliche Risiken erfasst und gesteuert werden. Selbstueberpruefungen ergaenzen das Kontrollsystem und sollten regelmaeßig durchgefuehrt werden.
Geltungsbereich & Anwendungshinweis
Das IKS bei WpI ist weniger komplex als bei Banken, deckt aber alle wesentlichen Risikobereiche ab (Operationelle Risiken, Compliance, IKT-Risiken).
Schwerpunkte
Internes Kontrollsystem
Selbstueberpruefungen
Schlanke Strukturen
Risikobasierte Kontrollen
DORA Alignment
Art. 6 (Kontrollrahmen)
IKS bei WpI integriert IKT-Kontrollen entsprechend DORA, aber mit reduziertem Formalisierungsgrad.
ISO 27001 Referenzen
A.5.35, A.5.36, A.5.37
Nachweisfokus
IKS-Dokumentation, Kontrollkatalog, Selbstueberpruefungsberichte, Abweichungsmanagement
AT 4.3
WPIMARISK-AT-4.3
Basis
Compliance-Funktion
Eine angemessene Compliance-Funktion ist einzurichten. Bei kleineren WpI kann diese mit anderen Kontrollfunktionen kombiniert werden, sofern Unabhaengigkeit und Effektivitaet gewahrt bleiben. Die Compliance-Funktion unterstuetzt die Einhaltung gesetzlicher und regulatorischer Vorgaben.
Geltungsbereich & Anwendungshinweis
Kombination von Compliance mit Risikocontrolling oder anderen Funktionen moeglich, aber nicht mit der Internen Revision.
Schwerpunkte
Compliance-Funktion
Funktionskombination
Regulatorische Einhaltung
Unabhaengigkeit
DORA Alignment
Art. 5 (Compliance)
Compliance bei WpI deckt auch DORA-relevante regulatorische Anforderungen ab.
ISO 27001 Referenzen
A.5.31, A.5.32
Nachweisfokus
Compliance-Handbuch, Regelungsinventar, Compliance-Berichte, Schulungsnachweise
AT 5.1
WPIMARISK-AT-5.1
Basis
IKT-Risiken und Informationssicherheit
Risiken im Zusammenhang mit Informationstechnologie muessen identifiziert, bewertet und gesteuert werden. Wertpapierinstitute mit schlanken IT-Strukturen koennen pragmatische Ansaetze waehlen, solange Verfuegbarkeit, Integritaet und Vertraulichkeit angemessen geschuetzt sind. IT-Notfallmanagement ist in angemessenem Umfang einzurichten.
Geltungsbereich & Anwendungshinweis
IKT-Risikomanagement bei WpI ist weniger komplex als bei Banken, deckt aber alle wesentlichen technischen Risiken ab. Cloud-Nutzung ist zulaessig mit angemessenen Sicherheitsmassnahmen.
Schwerpunkte
IKT-Risiken
Informationssicherheit
IT-Notfallmanagement
Pragmatische Ansaetze
DORA Alignment
Art. 6-11 (IKT-Risikomanagement)
IKT-Risikomanagement bei WpI deckt DORA-Grundanforderungen ab, kann aber vereinfacht umgesetzt werden.
ISO 27001 Referenzen
A.5.1, A.5.9, A.5.30, A.8.1
Nachweisfokus
IKT-Risikoinventar, Sicherheitsrichtlinien, Zugriffskonzepte, Notfallplaene, Backup-Verfahren
AT 5.2
WPIMARISK-AT-5.2
Gefuehrt
Notfallmanagement und Wiederherstellung
Fuer kritische Geschaeftsprozesse ist ein Notfallmanagement einzurichten. Wiederherstellungszeiten und -verfahren sind angemessen zu dokumentieren. Bei kleineren WpI koennen einfachere Verfahren genuegen, solange die Geschaeftsfortfuehrung bei Stoerungen gewaehrleistet ist. Notfallplaene sollten regelmaeßig getestet werden.
Geltungsbereich & Anwendungshinweis
Kleinere WpI mit wenigen kritischen Prozessen benoetigen weniger komplexe Notfallplaene, aber dennoch regelmaeßige Tests.
Schwerpunkte
Notfallmanagement
Wiederherstellungsfaehigkeit
RTO/RPO
Tests
DORA Alignment
Art. 11 (Wiederherstellung)
Wiederherstellungsanforderungen bei WpI spiegeln DORA wider, aber mit pragmatischeren Testanforderungen.
ISO 27001 Referenzen
A.5.29, A.5.30, A.8.13, A.8.14
Nachweisfokus
Notfallmanagementhandbuch, BCDR-Plaene, Testprotokolle, Aktualisierungsnachweise
AT 6.1
WPIMARISK-AT-6.1
Gefuehrt
Auslagerungsmanagement
Auslagerungen von Aktivitaeten und Prozessen sind zu steuern. Die WpI MaRisk verlangen eine Risikobewertung vor der Beauftragung, vertragliche Absicherung und laufende Ueberwachung. Die Anforderungen sind weniger umfangreich als bei den klassischen MaRisk-AT 9, bilden aber die wesentlichen Grundsaetze ab. Eine Unterscheidung zwischen wesentlichen und unwesentlichen Auslagerungen ist vorzunehmen.
Geltungsbereich & Anwendungshinweis
Die Auslagerungsanforderungen bei WpI sind reduziert gegenueber Banken, decken aber Due Diligence, Vertragsgestaltung und Monitoring ab. DORA-IKT-Drittdienstleistungen sind separat zu betrachten.
Schwerpunkte
Auslagerungsstrategie
Due Diligence
Vertragsmanagement
Monitoring
Exit-Strategien
DORA Alignment
Art. 28-30 (IKT-Drittparteien)
Non-IKT-Auslagerungen bei WpI unterliegen WpI MaRisk; IKT-Drittdienstleistungen unterliegen DORA.
ISO 27001 Referenzen
A.5.19, A.5.20, A.5.21, A.5.22
Nachweisfokus
Auslagerungsstrategie, Due-Diligence-Dokumentation, Vertraege, Monitoring-Berichte, Exit-Plaene
AT 6.2
WPIMARISK-AT-6.2
Gefuehrt
Unterauftragnehmer und Drittparteien
Bei Auslagerungen an Unterauftragnehmer sind angemessene Sicherheitsmassnahmen zu verlangen. Die Verantwortung bleibt beim Wertpapierinstitut. Bei wesentlichen Auslagerungen sollte die Sichtbarkeit in die Lieferkette gewaehrleistet sein. Die Konzentration von Drittparteien ist zu ueberwachen.
Geltungsbereich & Anwendungshinweis
Subcontracting-Gefahren bei wesentlichen Auslagerungen muessen adressiert werden, auch wenn die WpI MaRisk weniger detailliert als DORA sind.
Schwerpunkte
Subcontracting
Lieferkettenrisiken
Konzentration
Verantwortlichkeit
DORA Alignment
Art. 28 (Subcontracting)
Subcontracting bei WpI erfordert Sichtbarkeit, aber weniger formale Anforderungen als DORA-CTPP-Regime.
ISO 27001 Referenzen
A.5.19, A.5.20
Nachweisfokus
Subcontractor-Listen, Vertragsklauseln zu Subcontracting, Konzentrationsanalysen
