MaRisk: la BaFin pubblica i requisiti minimi per la gestione del rischio delle istituzioni mobiliari

La BaFin ha pubblicato una circolare con i requisiti minimi per la gestione del rischio degli istituti di credito (WpI MaRisk).
Categorie:
,
Immagine di Aristotelis Zervos

Aristotelis Zervos

Aristotelis Zervos, direttore editoriale di 2B Advice, unisce competenze giuridiche e giornalistiche in Protezione dei datiConformità informatica e regolamentazione dell'IA.

Il 6 agosto, l'Autorità federale tedesca di vigilanza finanziaria (BaFin) ha pubblicato una nuova circolare con i requisiti minimi per la gestione del rischio degli istituti di investimento in titoli (WpI MaRisk in breve) sulla Consultazione pubblicato. Questo nuovo insieme di regole è esplicitamente rivolto a Piccole e medie imprese di investimento ai sensi della Sezione 2 (16) e (17) della WpIG e sostituisce i precedenti requisiti normativi dell'ambiente KWG. I punti più importanti in sintesi.

WpI MaRisk: contesto e struttura

L'obiettivo è quello di quadro flessibile, basato sui principi e proporzionato per strutturare l'organizzazione aziendale e la gestione del rischio di queste istituzioni.

La circolare si compone di due parti principali:

  • Parte generale (AT)Contiene i requisiti fondamentali per la gestione, le strategie di rischio, la capacità di sostenere i rischi, i meccanismi di controllo interno, il personale e le risorse, Documentazione ecc.

  • Parte speciale (BT)Stabilisce ulteriori requisiti per le operazioni di trading, la gestione del rischio, l'outsourcing, i rischi di liquidità e il reporting del rischio.


Queste sono le principali novità:

1. principio di proporzionalità con doppia graduazione

Un elemento centrale è il Principio della doppia proporzionalità. I requisiti del WpI MaRisk non sono rivolti a tutte le istituzioni in generale, ma sono piuttosto suddivisi in categorie in base alle caratteristiche del sistema. Dimensione dell'istituto (piccole o medie dimensioni ai sensi dell'articolo 2, commi 16 e 17, della WpIG), nonché in base alla la natura, la complessità e la portata delle loro attività commerciali e della loro struttura di rischio classificati.

Questo doppio scaglionamento significa:

  • Primo diploma - specifico dell'istitutoA seconda che un istituto sia classificato come istituto mobiliare di piccole o medie dimensioni, si applicano requisiti diversi e di ampia portata, ad esempio per la pianificazione del capitale, la revisione interna o i controlli sull'outsourcing.

  • Seconda laurea - orientata al rischioAll'interno delle categorie dimensionali si tiene conto anche dell'esistenza di un particolare potenziale di rischio. Gli istituti con una struttura aziendale semplice e una bassa esposizione al rischio possono semplificare notevolmente i processi, mentre gli istituti più complessi devono mantenere procedure dettagliate e controlli più rigorosi.


L'obiettivo è quello di evitare un eccesso di regolamentazione, garantendo al contempo un elevato livello di protezione per i clienti e gli operatori di mercato.

2. l'obbligo di fare un inventario dei rischi e di considerare i rischi ESG

Tutte le istituzioni hanno l'obbligo di effettuare regolarmente un'analisi completa del Inventario dei rischi da realizzare. L'obiettivo di questo inventario è identificare e valutare sistematicamente tutti i rischi potenziali e classificarli come "rilevanti" o "non rilevanti". La valutazione è individualizzata per ogni istituto, tenendo conto dei rispettivi modelli di business e aree di attività.

Un'attenzione particolare è rivolta all'inclusione di Rischi ESG:cioè i rischi legati all'ambiente, alle questioni sociali e al buon governo societario. Questi devono essere esplicitamente integrati nell'analisi dei rischi, anche se hanno un impatto solo indiretto sull'istituto.

La categorizzazione dei rischi si basa sulla Regolamento delegato (UE) 2023/1668che stabilisce standard vincolanti per la valutazione e la delimitazione della materialità. Per le istituzioni di medie dimensioni, in particolare, è previsto un obbligo di formalizzazione più stringente: la metodologia di valutazione del rischio utilizzata, le ipotesi formulate e i risultati devono essere documentati, rivisti regolarmente e, se necessario, adeguati.

Le istituzioni di piccole dimensioni possono utilizzare procedure semplificate, ma devono garantire che l'identificazione e la gestione dei rischi rilevanti siano sempre comprensibili e verificabili.

3. capacità di sostenere i rischi e pianificazione del capitale

Gli istituti di credito di medie dimensioni hanno l'obbligo di stabilire una procedura per il Determinazione della capacità di rischio da stabilire. Questa procedura deve garantire che tutti i rischi materiali - in particolare quelli operativi, di mercato, di credito e ESG - siano quantificati in termini di portata potenziale e confrontati con il capitale interno disponibile. Ciò si basa sul profilo di rischio complessivo dell'istituto.

Sulla base di ciò, le istituzioni di medie dimensioni devono Pianificazione previdente del capitale realizzare. Questo deve avvenire in scenari che coprano sia le prospettive normative che quelle economiche. Compresi Scenari di stress avversiche simulano situazioni di crisi insolite ma plausibili. L'obiettivo è garantire una base di capitale sufficiente anche in condizioni avverse.

I piccoli istituti sono generalmente esenti dal requisito quantitativo di pianificazione patrimoniale. Tuttavia, devono sviluppare una comprensione qualitativa dei possibili requisiti patrimoniali e incorporarla nelle loro considerazioni strategiche. Anche in questo caso occorre rispettare il principio della trasparenza e dell'orientamento al rischio.

4 Meccanismi di controllo interno e funzioni speciali

Il WpI MaRisk prevede l'istituzione e l'efficacia permanente di tre funzioni di controllo centrali:

  • Funzione di gestione del rischio
  • Funzione di conformità
  • Audit interno (con esenzioni specifiche per le microistituzioni)


Queste funzioni devono essere sempre indipendente Le funzioni devono essere organizzate in modo da non generare conflitti di interesse con altre attività operative. La separazione organizzativa delle funzioni è obbligatoria, a meno che l'istituto non sia in grado di giustificare adeguatamente una fusione pur mantenendo l'indipendenza.

Per le piccole istituzioni A determinate condizioni, la BaFin autorizza un Unione personaleAd esempio, quando singole funzioni sono assunte da membri del Consiglio di amministrazione. Tuttavia, il presupposto è sempre quello di garantire la funzionalità del controllo e l'adempimento oggettivo dei compiti.

Il Audit interno può essere omesso del tutto per le microistituzioni se viene attuato un concetto di monitoraggio alternativo appropriato (ad esempio, audit esterni regolari).

La responsabilità della creazione, della gestione e del monitoraggio di queste funzioni spetta sempre alla direzione, che deve valutarne regolarmente l'efficacia.

5. requisiti per l'esternalizzazione

L'outsourcing è uno dei processi della gestione del rischio degli istituti di credito che richiede un monitoraggio particolare. Ogni forma di esternalizzazione - completa, parziale, a società affiliate o esterne - è un'attività che richiede un particolare monitoraggio. Terza parte - è da considerarsi potenzialmente rischioso e richiede una valutazione indipendente.

Il WpI MaRisk prevede in particolare le seguenti misure:

  • Valutazione dei rischi prima di qualsiasi esternalizzazione: Prima di ricorrere all'outsourcing, le istituzioni devono analizzare i rischi che ne derivano per la continuità operativa, la capacità di controllo, la protezione dei dati e l'affidabilità. Sicurezza informatica vengono creati.
  • Requisiti contrattuali minimi: Sono necessarie norme contrattuali chiare, anche per quanto riguarda i diritti di impartire istruzioni, i diritti di revisione e controllo, i requisiti di protezione dei dati, il subappalto e le strategie di uscita.
  • Registro di rimozione: Tutti i rapporti di outsourcing esistenti devono essere documentati in un registro costantemente aggiornato, che includa i dettagli del fornitore di servizi, il contenuto del servizio, l'analisi dei rischi, i diritti e le responsabilità di ispezione.
  • Responsabile centrale dell'outsourcing: Per il coordinamento, il controllo e la comunicazione in relazione all'esternalizzazione, un ufficio centralizzato o responsabile persona.
  • Caratteristiche particolari dell'outsourcing all'estero / Nuvola: In caso di esternalizzazione verso Paesi terzi o di utilizzo di servizi cloud, si applicano requisiti più stringenti per quanto riguarda l'accesso, la trasparenza dei dati, la recuperabilità e l'accesso alle verifiche normative.
  • Istituti più piccoli: Possono applicare procedure semplificate per esternalizzazioni non significative, ma devono dimostrare in caso di dubbio che il controllo e la gestione sono garantiti anche con risorse limitate.

Wpl MaRisk: implicazioni pratiche per le istituzioni

Piccole imprese di investimento

  • Requisiti semplificati per i processi strategici, gli stress test e l'audit interno
  • È sufficiente il test di rilevanza qualitativa
  • Possibilità di unione personale per Conformità e gestione del rischio


Istituti di credito di medie dimensioni

  • Obblighi dettagliati per la pianificazione del capitale e gli stress test
  • Obbligo di segnalare per iscritto i rischi rilevanti
  • Obbligo di tenere conto del rischio di liquidazione disordinata


Suggerimento per il collegamento: Codice di prassi per l'IA per scopi generali: l'UE presenta un nuovo codice per l'IA

Conclusioni e azioni raccomandate su Wpl MaRisk

La nuova circolare della BaFin rappresenta un passo importante verso un quadro di vigilanza indipendente e proporzionale per gli istituti di credito. Gli istituti dovrebbero:

  1. Controlloin quale categoria dimensionale rientrano in base alla Sezione 2 WpIG.
  2. Valutare i sistemi di gestione del rischio e le strutture di governance.
  3. Responsabilità e Documentazionein particolare sui rischi ESG, sugli stress test e sull'outsourcing.
  4. Risorse tecniche e organizzative per quanto riguarda i nuovi requisiti.

Soprattutto le piccole istituzioni hanno l'opportunità di operare in conformità ai requisiti normativi con strutture snelle. A condizione che i processi siano documentati in modo comprensibile e orientati al rischio.

Il BaFin accetterà commenti sulla circolare fino al 19 settembre 2025 via e-mail a Konsultation-15-25@bafin.decon l'oggetto "Consultazione 15/2025".

Suggerimento per il collegamento: Circolare BaFin - Requisiti minimi per la gestione del rischio degli istituti di credito ("WpI MaRisk")

Aristotelis Zervos è direttore editoriale di 2B Advice, avvocato e giornalista esperto di protezione dei dati, GDPRconformità informatica e governance dell'IA. Pubblica regolarmente articoli di approfondimento sulla regolamentazione dell'IA, sulla conformità al GDPR e sulla gestione del rischio. Per saperne di più su di lui, visitate il sito Pagina del profilo dell'autore.

Contattateci
Tag:
,
Condividi questo post :

Categorie più popolari

Newsletter

Iscrivetevi alla nostra newsletter sulla protezione dei dati per ricevere gli ultimi aggiornamenti, consigli e approfondimenti direttamente nella vostra casella di posta elettronica.
Abbonarsi

Ultimi messaggi