Handbuch MaRisk E-Book

Inhaltsverzeichnis

Einleitung

Überblick der wichtigsten Anpassungen und Ergänzungen

Ausblick zur 5. MaRisk-Novelle

Zielsetzung dieses Handbuches

Hintergründe und Grundlagen

Gesetzliche Grundlagen

Kernelemente: Risikomanagement und Strategiefestlegung

Umsetzung von Säule 2

Grundsatz der doppelten Proportionalität

Prüfungspraxis

Modularer Aufbau

Anwendungsbereich der MaRisk

Finanzdienstleistungsunternehmen und Wertpapierhandelsbanken

Öffnungsklauseln und unbestimmte Begriffe

Formale Öffnungsklauseln

Größe des Instituts

Wesentlichkeit

Angemessenheit und Geeignetheit

Sollte-Anforderungen

Risikoorientierte Öffnungsklauseln

Unbestimmte Begriffe

Der Begriff „grundsätzlich“

Begriffe „unverzüglich“ und „zeitnah“

Ordnungsgemäße Geschäftsorganisation

Gesamtverantwortung der Geschäftsleitung

Risikomanagement auf Gruppenebene

Strategien

Überblick

Grundlegende Entscheidung: Aufbau des Strategiemodells

Detailliertes Modell

Kompaktes Modell

Inhalte der Strategien

Mindestinhalt der Geschäftsstrategie

Mindestinhalt der Risikostrategie

Weitere Inhalte

Operationalisierung der Strategien

Kommunikation und Prüfung der Strategien

Überprüfung und Kommunikation der Strategien durch die Geschäftsleitung

Prüfung der Strategie

Strategieprozess

Organisationsrichtlinien

Übergreifende Anforderungen

Anforderungen an die Aufbauorganisation

Grundprinzip der MaRisk-Funktionstrennung

Spezielle Anforderungen an die Funktionstrennung

Überkreuzzuständigkeiten

Umfang der Marktverantwortung des Marktfolge-Vorstands

Funktionstrennung und IT

Überprüfung von Berechtigungen und Kompetenzen

Vertretungsregelungen

Beispiele für MaRisk-konformer Aufbauorganisationen

Öffnungsklauseln zur Funktionstrennung

Funktionstrennung bei rechtlich unselbstständigen

Auslandsniederlassungen

Funktionstrennung im Kreditbereich

Funktionstrennung im Handelsbereich

Funktionstrennung der Internen Revision

Ressourcen

Personalausstattung und -qualifizierung

Beispiel für einen Weiterbildungsplan zu MaRisk-Novellen

Technisch-organisatorische Ausstattung

Entwicklung und Einsatz von IT-Systemen

Notfallkonzept

Dokumentationsanforderungen

Überblick

Weiterentwicklung der institutsinternen Dokumentationen

Outsourcing

Abgrenzungsentscheidung

Auslagerungen im Sinne des § 25b KWG

Ausnahmen – sonstiger Fremdbezug von Leistungen

Keine Auslagerungen im Sinne des § 25b KWG

Grundsatzentscheidung

Was darf ausgelagert werden?

Welche Ziele sollen erreicht werden?

Welche Anforderungen werden an das Auslagerungsunternehmen und den -prozess gestellt?

Risikoanalyse

Überblick über die Mindestanforderungen an die Risikoanalyse

Hinweise für die Durchführung einer Risikoanalyse

Hinweise für die Inhalte der Risikoanalyse

Einbindung in das Risikomanagement

Allgemeine Anforderungen

Vertragsgestaltung

Vorzeitige Beendigung

Weiterverlagerung von Aktivitäten und Prozessen

Auslagerung der Internen Revision

Anforderungen an die Prozesse

Geschäfte

Kreditgeschäfte

Handelsgeschäfte

Risikorelevante Geschäfte

Kreditgeschäft

Fonds

Handelsgeschäft

Votierung

Kreditentscheidung und Votierung

Ausnahmen von der Zwei-Voten-Regelung

Votierung bei Sanierungskrediten und Engagements in

Abbauportfolien

Votierungs- und Entscheidungskompetenz

Einzelkompetenz

Gemeinschaftskompetenz

Eskalationsverfahren

Kreditgewährung

Sicherheiten

Kreditweiterbearbeitung

Kreditbearbeitungskontrolle

Intensivbetreuung

Behandlung von Problemkrediten

Risikovorsorge

Kriterien für die Bildung der Risikovorsorge

Verfahren zur Früherkennung von Risiken

Inputfunktion

Transformationsfunktion

Outputfunktion

Risikoklassifizierungsverfahren

Anforderungen an die Prozesse im Handelsgeschäft

Handel

Abwicklung und Kontrolle

Abwicklung

Kontrolle

Abbildung im Risikocontrolling

Beteiligungen

Abgrenzung

Anpassungsprozesse

Aktivitäten in neuen Produkten oder auf neuen Märkten

Abgrenzung neuer Produkte oder neuer Märkte

Konzept

Testphase

Veränderungen betrieblicher Prozesse oder Strukturen

Übernahmen und Fusionen

Risikosteuerung und -controlling

Allgemeine Anforderungen

Wesentliche Risiken

Gesamtrisikoprofil und Risikoinventur

Risikokonzentrationen

Ertragskonzentrationen

Berücksichtigung von Risikokonzentrationen bei der Durchführung

von Stresstests

Risikokonzentrationen im Adressenausfallrisiko

Berücksichtigung von Risikokonzentrationen

Allgemeine Anforderungen an die Risikosteuerungs- und -controllingprozesse

Anforderungen an die Berichterstattung

Information der Geschäftsleitung

Information des Aufsichtsorgans

Ad-hoc-Berichterstattung

Risikotragfähigkeit

Grundidee einer Risikotragfähigkeitsbetrachtung

Verschiedene Sichtweisen auf ein Institut

Fortführungs- und Liquidationsperspektive

Zusammenführung von Sichtweisen

Risikotragfähigkeit in den MaRisk

Anforderungen an die Risikotragfähigkeit

Berücksichtigung wesentlicher Risiken

Einordnung in die strategische Hierarchie

Anforderungen an die verwendeten Methoden

Diversifikationseffekte

Kritische Analyse der Risikoquantifizierung

Stresstest-Ergebnisse und Risikotragfähigkeit

Zukunftsgerichteter Kapitalplanungsprozess

Weitere Anforderungen an die Risikotragfähigkeit

Aufsichtliche Leitlinien zur Risikotragfähigkeit

Stresstests

Überblick

Durchführung von Stresstests für die wesentlichen Risiken

Definition und Kategorisierung von Stresstests

Szenariengestaltung (historisch und hypothetisch

)

Inverse Stresstests

Angemessenheit der Stresstests und der zugrunde liegenden Annahmen

Ergebnisse von Stresstests

Umgang mit den Ergebnissen von Stresstests

Information der Geschäftsleitung über Stresstests

Adressenrisikomanagement

Überblick

Adressenausfallrisiken und Risikotragfähigkeit

Begrenzung von Adressenausfallrisiken

Kreditnehmerbezogene Limitierung von Adressenausfallrisiken

Gesamtgeschäftsbezogene Begrenzung von Adressenausfallrisiken

Risikoberichterstattung

Marktpreisrisikomanagement

Überblick

Definition Marktpreisrisiken

Marktbezogene Risiken, die aus der Veränderung der Bonität

resultieren

Allgemeine Anforderungen an das Marktpreisrisikomanagement

Marktpreisrisiken des Handelsbuches

Abgrenzung Handels- und Anlagebuch

Anforderungen an die Marktpreisrisiken des Handelsbuches

Marktpreisrisiken des Anlagebuches

(

einschließlich Zinsänderungsrisiken

)

Anforderungen an die Marktpreisrisiken des Anlagebuches

Anforderungen an Zinsänderungsrisiken im Anlagebuch

MaRisk und standardisierter Zinsschock

Berichterstattung

Täglicher Handelsbuch-Bericht

Marktpreisrisikobericht

Ad-hoc-Berichterstattung

Liquiditätsrisikomanagement

Sicherstellen einer ausreichenden Liquidität

Liquiditätsübersicht

Liquiditätsbedarf und Notfallvorsorge

Deckung des Liquiditätsbedarfs

Erkennen eines sich abzeichnenden Liquiditätsengpasses

Notfallplanung

Durchführung von Stresstests

Berücksichtigung der Liquiditätskosten, -nutzen und -risiken

Definition von Liquiditätskosten und -nutzen

Verrechnungssystem für Liquiditätskosten, -nutzen und -risiken

Kategorisierung

Einfaches Kostenverrechnungssystem nach BTR 3.1 Tz. 5 Erläuterung

Fortgeschrittenes Kostenverrechnungssystem nach BTR 3.1 Tz. 5

Genehmigung durch die Geschäftsleitung

Liquiditätstransferpreissystem als Spezialfall des

Kostenverrechnungssystems

Liquiditätsübertragung innerhalb der Gruppe

Berichterstattung

Ad-hoc-Berichterstattung

Bericht über die Liquiditätssituation

Zusätzliche Anforderungen an kapitalmarktorientierte Institute

Arten von Liquiditätsengpässen

Zeithorizont

Zusammensetzung der Liquiditätsreserve

Management operationeller Risiken

Operationelles Risiko als „übergreifende“ Risikokategorie

Regelungsgegenstand operationeller Risiken

Wesentliche Risiken und bedeutende Schadensfälle

Berichterstattung

Anforderungen an die Ausgestaltung der besonderen Funktionen

Besondere Funktionen

Die „drei Verteidigungslinien“ der Corporate Governance

Information des Aufsichtsorgans bei Personalwechsel

Die Risikocontrolling-Funktion

Aufgaben der Risikocontrolling-Funktion

Informationsrecht der Risikocontrolling-Funktion

Leitung der Risikocontrolling-Funktion

Auskunftsrecht des Vorsitzenden des Aufsichtsorgans

Compliance-Funktion

Ziele und Umfang der Compliance-Funktion

Compliance als Teil des Internen Kontrollsystems

Berichterstattung

Hinweisgebersysteme („Whistleblowing“

)

Anforderungen an die Ausgestaltung der Internen Revision

Überblick

Interne Revision als Teil des Risikomanagements

Informationsrechte der Internen Revision

Aufgaben der Internen Revision

Grundsätze für die Interne Revision

Unabhängigkeit der Internen Revision

Funktionstrennung

Prüfungsplanung und Prüfungsdurchführung

Risikoorientierung

Prüfungsplanung

Prüfungsturnus

Sonderprüfungen

Projektbegleitende Prüfung

Prüfungspflicht bei Auslagerungen

Grundsätzliche Anforderungen

Ausgestaltung der anderweitigen Durchführung der

Revisionstätigkeit

Berichterstattung

Prüfungsbericht

Gesamtbericht

Vierteljahresbericht

Abgrenzung von Mängeln

Reaktion auf festgestellte Mängel

Auskunftsrecht des Vorsitzenden des Aufsichtsorgans

Inhalt des Auskunftsrechts

Vorgehensweise und Dokumentation

Dokumentation

Verzeichnisse und Anlagen

Abkürzungsverzeichnis

Abbildungsverzeichnis

Literaturverzeichnis

Herausgeber und Autor

Einleitung

Die Bankenaufsicht hat die „Mindestanforderungen an das Risikomanagement (MaRisk)“ mit Schreiben vom 14. Dezember 2012 zuletzt novelliert. Die Hintergründe für die Überarbeitung lagen in den internationalen Regulierungsvorhaben: CRD IV, EBA Guidelines on Internal Governance und CEBS Guidelines on Liquidity Cost Benefit Allocation.

Diese Änderungen haben sich vor allem in den neuen Modulen AT 4.4.1 (Risikocontrolling-Funktion) und AT 4.4.2 (Compliance-Funktion) sowie in den Änderungen des BTR 3.1 (Verrechnungssystem für Liquiditätskosten, -nutzen und - risiken) niedergeschlagen. Außerdem ist das Modul AT 8 nun in drei Untermodule aufgeteilt, um die verschiedenen Aspekte, die dort abgehandelt werden – Neu-Produkt-Prozess, Änderungen betrieblicher Strukturen, Übernahmen/Fusionen - stärker voneinander abzugrenzen.

Weitere Anpassungen haben teils internationalen Hintergrund (z. B. Mindestabwesenheiten von Händlern), teils dienen sie aber auch dazu, die Erwartungshaltung der Aufsicht hinsichtlich schon existierender Vorgaben besser zu verdeutlichen (z. B. Anpassungen in AT 4.1 Tz. 8, AT 4.3.2).

Noch größeren Stellenwert erlangt hat die sog. „Proportionalität nach oben“ erhalten: Die Aufsicht möchte das in den MaRisk angelegte Proportionalitätsprinzip nicht ausschließlich im Zusammenhang mit einer weniger anspruchsvollen Anwendung bei weniger großen Instituten diskutieren. Die von großen Instituten geforderte Einbeziehung von Inhalten einschlägiger Papiere zum Risikomanagement des Baseler Ausschusses für Bankenaufsicht und des Financial Stability Board bedeutet im Übrigen nicht, dass betroffene Institute schablonenhaft die Inhalte dieser Papiere sichten und undifferenziert umzusetzen sollen. Vielmehr sollen deren Inhalte in die eigenen Überlegungen zur Verbesserung des eigenen Risikomanagements einbezogen werden, um ggf. Punkte zu adressieren, die im prinzipienorientierten Rahmen der MaRisk nicht explizit in dieser Form aufgegriffen werden. Dieser Passus im AT 1 besitzt vornehmlich Appellcharakter und ist somit nicht unbedingt als (rechts-) verbindliche Vorgabe zu verstehen. Die Aufsicht behält sich jedoch vor, einzelne Themen aus internationalen Papieren aufzugreifen und die Adressierung im Risikomanagement mit betroffenen Instituten zu diskutieren.

Überblick der wichtigsten Anpassungen und Ergänzungen

Kapitalplanungsprozess

Mit dem Kapitalplanungsprozess, wie er nun in AT 4.1 Tz. 9 gefordert wird, soll das Risikotragfähigkeitskonzept um eine stärker zukunftsgerichtete Komponente ergänzt werden. Ziel ist die frühzeitige Identifizierung etwaigen Kapitalbedarfs, die Kapitalplanung soll über einen mehrjährigen Zeitraum über den Risikobetrachtungshorizont des Risikotragfähigkeitskonzepts hinweg betrachten werden (in der Regel 2 bis 3 Jahre über den Risikobetrachtungshorizont hinweg).

Dies bedeutet jedoch nicht, dass das Risikotragfähigkeitskonzept im Sinne der MaRisk nun über einen mehrjährigen Zeitraum ausgedehnt werden soll. Auch bedeutet der Hinweis auf adverse Entwicklungen, denen bei der Planung Rechnung getragen werden sollte, nicht automatisch die Durchführung von Stresstests im Sinne des AT 4.3.3. Institute werden naturgemäß mit Annahmen arbeiten müssen, was die Kapitalbestandteile und die ihnen gegenübergestellten Risiken im Rahmen der Planung angeht.

Die Institute müssen jedoch auch Überlegungen anzustellen haben, welche Auswirkungen sich auf die Kapitalausstattung und den Kapitalbedarf ergeben, falls die erwartete Entwicklung des Instituts und die zugrundeliegenden Annahmen ein zu positives Bild zeichnen. Diese Überlegungen in unterschiedlichen Szenarien abzubilden, denen jeweils unterschiedliche Annahmen zugrunde liegen, dürfte i. d. R. eine sinnvolle Vorgehensweise darstellen.

Im Rahmen der Konsultation und Arbeitskreissitzungen ist zudem die Frage aufgekommen, ob der Kapitalplanungsprozess auf internes Kapital, auf regulatorisches Kapital oder auf beide Komponenten abzustellen hat. Wenn auch im MaRisk-Kontext die Betrachtung internen Kapitals üblich ist, ist die Aufsicht hier der Auffassung, dass sowohl die Betrachtung internen als auch regulatorischen Kapitals sinnvoll und erforderlich ist.

Risikocontrolling-Funktion

Die inhaltlichen Anforderungen an die Risikocontrolling-Funktion in AT 4.4.1 (neu) stellen im Wesentlichen nichts Neues, sondern im Kern eine gebündelte Darstellung dessen dar, was schon heute im MaRisk-Kontext – implizit oder explizit – gefordert wird. Tz. 4 enthält hingegen eine Anforderung, die in dieser Form bisher nicht in den MaRisk zu finden war.

Demnach ist die Leitung der Risikocontrolling-Funktion auf einer ausreichend hohen Führungsebene zu anzusiedeln und in Abhängigkeit von der Größe des Instituts sowie des Umfangs, der Komplexität und des Risikogehalts der Geschäftsaktivitäten grundsätzlich als exklusive Aufgabe wahrzunehmen. So soll die Risikocontrolling-Funktion die nötige Durchschlagskraft und Unabhängigkeit erhalten. Das wird durch die Bankenrichtlinie und die einschlägigen EBA Guidelines on Internal Governance unterstrichen.

Die Leitung der Risikocontrolling- Funktion muss bei wichtigen risikopolitischen Entscheidungen der Geschäftsleitung beteiligt werden. Dadurch soll die Stärkung der Governance-Strukturen in den Instituten und insbesondere eine Stärkung der Risikosicht bei wichtigen risikopolitischen Entscheidungen sichergestellt werden.

Dabei ist es bei großen, international tätigen Instituten international gängige Praxis, dass die Leitung dieser Funktion durch einen eigenständigen Risikovorstand („CRO“) ausgeübt wird, um risikopolitische Fragestellungen auf Geschäftsleiterebene frühzeitig, nachdrücklich und hochrangig zu adressieren. Allerdings verlangt die Aufsicht ausdrücklich nur von großen, international tätigen Instituten mit komplexen Geschäftsaktivitäten die Wahrnehmung dieser Aufgabe auf Vorstandsebene.

Es ist auch gängige Praxis, dass bei vielen (großen) Instituten das Risikocontrolling auch mit anderen Bereichen (z. B. Finanzen, Markfolge) in einem Vorstandressort gebündelt wird. Dabei kann das Risikocontrolling unterhalb der Vorstandsebene auch Aufgaben übernehmen, die eher dem Bereich Finanzen zugeordnet werden können oder zumindest für diesen Bereich unterstützend wirken.

Inwieweit eine solche Kombination von Aufgaben bei größeren Instituten zukünftig als zulässig erachtet werden kann, hängt auch vom konkreten Aufgabenzuschnitt ab. Die Trennung des Risikocontrollings von den Bereichen Finanzen und Marktfolge auf Vorstandsebene bei großen, international tätigen Instituten bleibt davon jedoch unberührt.

Compliance-Funktion

Die Diskussionen während der Konsultation bezüglich des neuen Untermoduls AT 4.4.2 hat gezeigt, dass in der Praxis noch viel Unsicherheit hinsichtlich der aufsichtlichen Erwartungshaltung herrscht. Dies betrifft sowohl den Umfang der rechtlichen Regelungen und Vorgaben, die diese Funktion im Fokus haben soll, als auch die organisatorische Einordnung und den konkreten Aufgabenumfang. Hier einige klarstellende Bemerkungen:

Im Kern zielen die neuen Anforderungen an die Compliance-Funktion auf eine angemessene Compliance-Kultur innerhalb des Instituts ab, die natürlich auch die Geschäftsbereiche umfasst. Diese werden in letzter Konsequenz für die Implementierung wirksamer Verfahren, die die Einhaltung der rechtlichen Regelungen und Vorgaben sicherstellen, auch weiterhin verantwortlich bleiben. Die Compliance-Funktion wird demgegenüber auch eine stärker beratende und koordinierende Funktion ausüben.

Sie soll darauf achten, dass die Geschäftsbereiche dieser oben genannten Verantwortung nachkommen und keine unerwünschten Regelungslücken im Institut auftreten. Während der Konsultation ist mehrfach die Frage aufgekommen, welche rechtlichen Regelungen und Vorgaben dabei zu betrachten sind. Bisweilen wurde und wird befürchtet, die Aufsicht verlange einen umfassenden Ansatz, der (nahezu) alle relevanten Rechtsbereiche eines Instituts umfasst.

Wesentliche rechtliche Regelungen und Vorgaben, die im Zusammen-hang mit der Compliance-Funktion relevant sind, können als solche angesehen werden, denen ein wesentliches Compliance-Risiko anhaftet. Demzufolge lassen sich die Rechtsbereiche, um die es hier in letzter Konsequenz gehen soll, deutlich stärker eingrenzen: Vorgaben zu Wertpapierdienstleistungen (WpHG), Geldwäsche und Terrorismusfinanzierung, allgemeine Verbraucherschutzvorgaben (z. B. auch mit Bezug auf das Kreditgeschäft oder andere Aktivitäten), Datenschutzvorgaben, Verhinderung doloser Handlungen zu Lasten des Instituts, ggf. weitere rechtliche Regelungen und Vorgaben, soweit sie vom Institut als unter Compliance-Gesichtspunkten wesentlich eingestuft wurden.

Viele dieser Rechtsbereiche sind schon heute Gegenstand von Compliance-Vorgaben. Es erscheint jedoch sinnvoll, diese Aufgaben soweit wie möglich zu bündeln, auch wenn die Ma-Risk dies nicht zwingend einfordern. Eine dezentrale Wahrnehmung wird grundsätzlich auch weiterhin möglich sein, wobei spezielle aufsichtliche Vorgaben zu einzelnen Bereichen weiterhin zu beachten sind. Wichtig ist, dass die genannten Rechtsbereiche unter Compliance-Gesichtspunkten adressiert werden und eine entsprechende Berichterstattung an die Geschäftsleitung erfolgt.

In den MaRisk ist ferner klargestellt, dass Aufgaben der Compliance-Funktion nicht bei der Internen Revision angesiedelt werden dürfen. Damit wird die prozess-unabhängige Rolle der Revision nochmals hervorgehoben. Insbesondere ist die Durchführung von Prüfungen – unbeschadet der Durch-führung von Kontrollhandlungen der Compliance-Funktion, wie sie sich auch teil-weise aus speziellen rechtlichen Regelungen und Vorgaben für einzelne Bereiche ergeben – uneingeschränkt Aufgabe der Internen Revision. Dies schließt auch die Ordnungsmäßigkeit der Compliance-Funktion selbst mit ein.

Verrechnungssystem für Liquiditätskosten, -nutzen und -risiken

Tz. 5 enthält nun die allgemeine Anforderung zur Einrichtung eines solchen Verrechnungssystems, die detaillierten Anforderungen, wie sie sich auch aus den einschlägigen CEBS Guidelines ergeben, finden sich in den Tzn. 6 und 7 wieder.

Die Anwendung dieser Anforderungen bleibt zudem auf große Institute mit komplexen Geschäftsaktivitäten beschränkt. Weniger große Institute mit weniger komplexen Geschäftsaktivitäten können hingegen einfachere Verfahren zur internen Verrechnung der Liquiditätskosten, -nutzen und -risiken zur Anwendung bringen.

Insbesondere können Institute mit vorwiegend kleinteiligem Kundengeschäft und einer stabilen Refinanzierung hierfür auf einfache Kostenverrechnungssysteme zurückgreifen.

Auch die detaillierten Anforderungen an große Institute sind im Vergleich zum ersten Entwurf offener gestaltet: So wird nun klargestellt, dass bei der Verrechnung der Kosten, Nutzen und Risiken eine Zusammenfassung von Produkten mit gleich-artigen Liquiditätseigenschaften möglich ist. Allerdings soll die Verrechnung nicht auf Positionsebene erfolgen, sondern soll möglichst auf Transaktionsebene heruntergebrochen werden. Ferner kann die Verrechnung der Kosten für das Halten von Liquiditätsreserven auf die Liquidität verbrauchenden Einheiten allgemein innerhalb des Verrechnungssystems erfolgen und muss nicht zwingend in den „originären“ internen Preisen enthalten sein.

Ausblick zur 5. MaRisk-Novelle

Mit Spannung warten die Banken derzeit auf die Veröffentlichung der fünften Ma-Risk-Novelle. Seit 2013 arbeiten BaFin und Deutsche Bundesbank gemeinsam am Ausbau der Mindestanforderungen an das Risikomanagement, die noch 2015 zur Konsultation gestellt und voraussichtlich 2016 in Kraft treten sollen. Änderungen sind unter anderem aufgrund der konkretisierten Baseler Anforderungen an eine angemessene Risikokultur (BCBS 294) und an die Risikodatenaggregation und Risikoberichterstattung (BCBS 2391) zu erwarten.

Die Risikokultur beschreibt in der Definition der BaFin die Art und Weise, wie Bankmitarbeiter mit Risiken umgehen. Künftig sollen die Geschäftsleiter verpflichtet werden, eine angemessene Risikokultur zu entwickeln, zu fördern und zu integrieren. Dies soll beim Management und innerhalb der Belegschaft ein Risikobewusstsein schaffen, das sich positiv auf das tägliche Denken und Handeln auswirkt. Zudem soll die Risikokultur den Mitarbeitern verdeutlichen, welches Verhalten erwünscht ist und welches nicht und – damit einhergehend – welche Risiken das Institut eingehen kann und welche nicht.

Die MaRisk-Anforderungen an die Berichterstattung werden analog zu BCBS 239 zur Folge haben, dass vor allem größere Institute ihre Risikoberichte deutlich zeitnäher erstellen müssen. Nach den neuen MaRisk müssen die Institute künftig sicherzustellen, dass Datenstruktur und Datenhierarchie eine zweifelsfreie Identifizierung, Zusammenführung und Auswertung von Daten gewährleisten. Bereits jetzt und auch in den kommenden Jahren werden noch weitere Vorgaben umzusetzen sein, die z.B. aus den überarbeiteten Meldepflichten für Finanzberichterstattung (FINREP), den Solvabilitäts- und Kapitaladäquanzmeldungen (COREP) oder Änderungen bei den International Financial Reporting Standards (IFRS) resultieren. Außerdem werden sich vor allem in Stressphasen die Berichtsintervalle verkürzen, wobei die Aufsicht – so das Versprechen im aktuellen Jahresbericht der BaFin – das Proportionalitätsprinzip beachten wird. Die Risikoberichterstattung soll dadurch zu einem schlagkräftigeren Steuerungsinstrument werden. Die Regulatoren erwarten, dass die Berichte vollständig, richtig und aktuell sind sowie auf (Risiko-)Daten beruhen, die flexibel für die Erfordernisse des Risikomanagements aufbereitet werden können.

Außerdem sind die verstärkten Anforderungen an die Auslagerung etwa von Prozessen, Organisationseinheiten und Dienstleistungen hervorzuheben, durch die das Management besonderer, mit Auslagerungen verbundener Risiken effektiver ausgestaltet werden soll. Künftig soll eine komplette Auslagerung einzelner Kontrollfunktionen wie etwa des Risikocontrollings und der Internen Revision nur noch bei kleinen Instituten möglich sein. Ziel ist es, die Kontrollfunktionen möglichst in den Instituten zu belassen und dadurch dem Verlust von dringend benötigter Expertise vorzubeugen.

Darüber hinaus hat die Geschäftsleitung nach den MaRisk künftig einen zentralen Auslagerungsbeauftragten zu benennen, der unter anderem ein angemessenes Auslagerungsmanagement implementieren und weiterentwickeln und der zudem die Einhaltung institutsinterner und gesetzlicher Anforderungen bei Auslagerungen überwachen soll. Damit soll erreicht werden, dass in den Instituten eine zentrale Stelle den Gesamtüberblick über ausgelagerte Aktivitäten und Prozesse wahrt und so die Geschäftsleitung bei der Steuerung und Überwachung damit verbundener Risiken unterstützt.

Die Verzögerung bei der Veröffentlichung der fünften MaRisk-Novelle, in anderer Formulierung auch als MaRisk 6.0 bezeichnet, hat vor allem formale Gründe. Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und Deutsche Bundesbank arbeiten gemeinsam am Ausbau der Mindestanforderungen an das Risikomanagement, die ursprünglich 2015 zur Konsultation gestellt werden sollten.

Die neuen MaRisk werden nicht mehr in Form eines Rundschreibens zur Konkretisierung der Verwaltungspraxis veröffentlicht, sondern als Verordnung. Durch die Umstellung auf eine Verordnung soll eine höhere Rechtssicherheit gewährleistet und die Akzeptanz auf internationaler Ebene erhöht werden. In der Konsequenz müssen unbestimmte Formulierungen und Öffnungsklauseln in der bisherigen Form juristisch konkretisiert werden, was zu erheblichen zeitlichen Verzögerungen führt.

Die MaRisk sollen aber auch in Zukunft prinzipienbasiert bleiben. Ihrer Rechtsnatur nach sind sie in der bisherigen Form normeninterpretierende Verwaltungsanweisungen, die eine Selbstbindung der deutschen Aufsicht gegenüber den Finanzinstituten bzw. Versicherungen darstellen. Die MaRisk konkretisieren im Kern den § 25a KWG und setzen die qualitativen Anforderungen aus Basel III an das Risikocontrolling und die entsprechenden bankaufsichtlichen Überprüfungsprozesse in deutsches Recht um. Durch die Umwandlung in eine Verordnung erhalten die Ma-Risk eine höhere Rechtsbedeutung und werden z.B. der Solvabilitätsverordnung (SolvV), der Groß- und Millionenkreditverordnung (GroMiKV) oder der Institutsvergütungsverordnung (InstitutsVergV) gleichgesetzt.

Neben den MaRisk sollen auch die Mindestanforderungen an die Ausgestaltung von Sanierungsplänen (MaSan) sowie ggf. die Bankaufsichtlichen Anforderungen an die IT (BAIT) in eine Verordnung umgewandelt werden. Vorher stehen allerdings noch bundespolitische Entscheidungen an. So ist für die 48. Sitzung des Finanzausschusses des Deutschen Bundestags am 1. Juli 2015 eine Anhörung zum Entwurf eines Gesetzes zur Anpassung des nationalen Bankenabwicklungsrechts an den Einheitlichen Abwicklungsmechanismus und die europäischen Vorgaben zur Bankenabgabe (AbwMechG) geplant, in deren Rahmen auch die MaRisk-Verordnungsermächtigung ein Thema sein wird.

Zielsetzung dieses Handbuches

Für eine Umsetzung der MaRisk-Regelungen gilt es vor allem, die Mindest-Anforderungen aufzuzeigen, zu interpretieren kommentieren und damit auch kleineren Instituten eine wirkungsvolle Umsetzungsempfehlungen zur Verfügung zu stellen. Das beinhaltet hauptsächlich:

die strukturierte Darstellung aller Mindestanforderungen,

Beschreibung von Umsetzungsspielräume und Hinweise auf Öffnungsklauseln,

das Hinweisen auf relevante Ergänzungstexte, angrenzende Regelungen (z. B. Basel III, KWG, HGB, WpHG) und vorhandene Praxislösungen sowie

die Aufarbeitung aller wesentlichen Inhalte und Anforderungen, ergänzt um notwendige Konkretisierungen.

Die offene Formulierung der MaRisk sowie der aufsichtliche Grundsatz der doppelten Proportionalität fordern ein hohes Maß an Transformationsleistung bei der Interpretation und auch Kreativität bei der konkreten Umsetzung in den. Die MaRisk bieten Gestaltungsspielräume und setzt auf die Eigenverantwortlichkeit der Geschäftsleiter in der jeweiligen Geschäftspolitik.

Strenggenommen müssen die MaRisk gar nicht umgesetzt, sondern „nur“ bei der Ausgestaltung der internen Verfahren und Prozesse beachtet werden. Betriebswirtschaftlich sinnvolle Prozesse können daher in der Regel nicht gegen die MaRisk verstoßen, wobei sich „betriebswirtschaftlich sinnvoll“ immer auf die konkreten Rahmenbedingungen eines Instituts bezieht.

Deshalb enthält dieses Handbuch auch keine konkrete Umsetzungsanleitung:

Im Rahmen der qualitativen Bankenaufsicht gibt es kein „one size fits all“. Umsetzungen können für ein Institut „angemessen“ sein, während die gleiche Umsetzung für ein anderes Institute überdimensioniert oder sogar nicht ausreichend wäre.

Die MaRisk sind Mindestvorgaben und müssen auf die individuellen Gegebenheiten eines Instituts angepasst werden. Ansonsten würde die offene Formulierung der MaRisk konterkariert werden.

Gestaltung und Umsetzung sind immer abhängig von den personellen und technischen Ressourcen eines Instituts.

Eine Gliederung in verschiedene Dimensionen und die Berücksichtigung

Es werden daher keine Lösungen beschrieben, sondern Kriterien für MaRiskkonforme Lösungen dargestellt. Das Handbuch orientiert sich an den Modulen der MaRisk, dabei wurde versucht, die Organisationsstruktur eines Instituts abzubilden:

Kapitel 1

: Allgemeinen Überblick über die MaRisk, rechtliche Einordnung in das nationale und internationale Aufsichtsrecht, Anwendungsbereich und generelle Öffnungsklauseln.

Kapitel 2

: Allgemeinen Anforderungen an eine ordnungsgemäße Geschäftsorganisation, Institutsstrategien, Gesamtverantwortung der Geschäftsführung und die Anforderungen an die Organisationsrichtlinien.

Kapitel 3

: Übergreifenden Anforderungen der MaRisk. Es beinhaltet die Anforderungen an die Aufbauorganisation, die Ressourcenausstattung, die Dokumentationen und das Outsourcing von Aktivitäten und Prozessen.

Kapitel 4

: Anforderungen an die Prozesse im Kredit- und Handelsgeschäft und Anpassungsprozesse.

Kapitel 5

: Anforderungen an die Risikosteuerung und das Risikocontrolling, wesentlichen Risiken, die Risikotragfähigkeit, Durchführung von Stresstests Risikokonzentrationen.

Kapitel 6

: Besonderen Funktionen, die Risikocontrolling-Funktion und die Compliance-Funktion.

Kapitel 7

: Ausgestaltung der Internen Revision

1 Details siehe: BCBS 239: Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung von Gogarn, Jörg; ISBN 978-3-7386-1956-0; Verlag: Books on Demand

1 Hintergründe und Grundlagen

Mit den „Mindestanforderungen an das Risikomanagement“ hält die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) fest, welche Prinzipien in Deutschland tätige Kredit- und Finanzdienstleistungsinstitute bei der Ausgestaltung ihres Risikomanagements zu beachten haben. Sie geben den qualitativen Rahmen für die Umsetzung des bankaufsichtlichen Überprüfungsverfahrens vor.

Die MaRisk werden als Rundschreiben der BaFin veröffentlicht. Jeder Novellierung der MaRisk geht ein intensiver Konsultationsprozess voraus. Die Ausgestaltung der Inhalte erfolgt im aufsichtlichen Fachgremium MaRisk, in dem Experten der Kreditwirtschaft und der Wirtschaftsprüfung, Vertreter der Spitzenverbände sowie der BaFin und der Deutschen Bundesbank zusammenkommen.

Die aktuelle Fassung der MaRisk wurde am 14. Dezember 2012 durch die BaFin veröffentlicht. Es handelt sich hierbei um die vierte MaRisk-Novelle.

Die MaRisk wurden erstmals im Jahre 2005 veröffentlicht. Mit ihnen wurden die drei vorangegangenen Mindestanforderungen (Verwaltungsvorschriften) an

das Betreiben von Handelsgeschäften (MaH, 1995),

das Kreditgeschäft (MaK, 2002) und

die Ausgestaltung der Internen Revision (MaIR, 2000)

in einem einheitlichen Regelungswerk zusammengefasst und um zuvor noch nicht geregelte Handlungsfelder wie z. B. Zinsänderungsrisiken, operationelle Risiken und Liquiditätsrisiken ergänzt.

Im Oktober 2007 integrierte die erste MaRisk-Novelle die bis dahin bestehenden Outsourcing-Rundschreiben der BaFin in die MaRisk2. Die Finanzkrise, internationale Regulierungsempfehlungen und Erkenntnisse aus der Aufsichts- und Prüfungspraxis führten im August 2009 zur zweiten und im Dezember 2010 zur dritten Novelle der MaRisk. Hintergründe der aktuellen, vierten Neufassung der MaRisk sind vor allem

die Überarbeitung der EU-Bankenrichtlinie zur Umsetzung Basel III (CRD IV),

die EBA-Leitlinien zur internen Governance von Finanzinstituten (GL 44),

die CEBS-Leitlinien zur Allokation von Liquiditätskosten (GL 36) sowie

Empfehlungen des European Systemic Risk Board (ESRB) zu Fremdwährungsdarlehen (ESRB/ 2011/ 1) und zur Finanzierung der Kreditinstitute in US-Dollar (ESRB/ 2011/ 2).

Die Anforderungen und Empfehlungen dieser internationalen Papiere werden durch die MaRisk in die Verwaltungspraxis der deutschen Aufsichtsbehörden überführt.

Gesetzliche Grundlagen

Gesetzliche Grundlage der MaRisk ist § 25a Kreditwesengesetz, der von den Instituten eine ordnungsgemäße Geschäftsorganisation fordert. Diese soll die Einhaltung der vom Institut zu beachtenden gesetzlichen Bestimmungen und der betriebswirtschaftlichen Notwendigkeiten gewährleisten.

Die MaRisk konkretisieren den unbestimmten Rechtsbegriff der ordnungsgemäßen Geschäftsorganisation für die Prüfungspraxis der Aufsicht. Es handelt sich hierbei um eine sogenannte norminterpretierende bzw. -konkretisierende Verwaltungsvorschrift. Diese stellt als „Innenrecht der Verwaltung“ eine gleichmäßige Auslegung unbestimmter Rechtsbegriffe sicher. Die MaRisk sind jedoch weit mehr als eine Konkretisierung von § 25a sowie § 25b KWG.

So sind die MaRisk über die Prüfungspraxis sowohl für die Institute als auch für die Prüfer faktisch bindend und entfalten ihre Wirkung über die Verwaltungspraxis hinaus. Zu Recht weist die Aufsicht darauf hin, dass bei einem völligen Fehlen von Auslegungshinweisen aufgrund der extrem weit gefassten Ermessens- und Auslegungsspielräume für die Aufseher und Prüfer unsachgemäße Beurteilungen – wenn nicht sogar willkürliche Maßnahmen – nicht vollständig ausgeschlossen werden können.

Werden aufsichtliche Maßnahmen, wie etwa die Verhängung eines Bußgeldes oder ein Abberufungsverfahren, angeordnet, bezieht sich das jedoch nicht auf die fehlende Einhaltung der MaRisk, sondern auf die Verletzung der zugrunde liegenden Rechtsnormen des KWG. Eine wiederholte oder besonders schwerwiegende Verletzung der Verwaltungsvorschrift wird die Vermutung begründen, dass eine ordnungsgemäße Geschäftsorganisation nicht vorliegt, und somit entsprechende Maßnahmen nach sich ziehen.

Mit der ab dem 1. Januar 2014 gültigen Fassung des KWG, das die Änderungen aus dem CRD IV-Umsetzungsgesetz sowie aus dem sogenannten Trennbankengesetz enthält, bestehen vereinzelt Abweichungen zwischen dem KWG und den Formulierungen der MaRisk: z.B. sind die Anforderungen an das Risikomanagement auf Gruppenebene (ehem. Abs. 1a) nun in Absatz 3 des § 25a KWG geregelt, und die Ausführungen zum Outsourcing finden sich in § 25b KWG wieder (statt in § 25a Abs. 2). Diese Abweichungen haben allerdings keine Auswirkungen. Sie werden mit einer neuen MaRisk-Novelle angepasst.

Bei möglichen Inkonsistenzen zwischen KWG und den MaRisk, gelten für die Institute die gesetzlichen Vorschriften des KWG bzw. die dazugehörigen Rechtsverordnungen. Europarechtliche Verordnungen wie die CRR haben aufgrund ihrer unmittelbaren Durchgriffswirkung Vorrang bei möglicherweise bestehenden Inkonsistenzen mit nationalem Verwaltungsrecht.

Kernelemente: Risikomanagement und Strategiefestlegung

Ein zentrales Kernelement der MaRisk ist der Begriff des Risikomanagements. Der Begriff ist im Vergleich zur herkömmlichen Definition (Steuerung der Risiken) weit gefasst zu verstehen.

Der § 25a Abs. 1 KWG verlangt von den Instituten eine ordnungsgemäße Geschäftsorganisation, sie muss insbesondere

„ein angemessenes und wirksames Risikomanagement umfassen, auf dessen Basis ein Institut die Risikotragfähigkeit laufend sicherzustellen hat; das Risikomanagement umfasst insbesondere

die Festlegung von Strategien […];

Verfahren zur Ermittlung und Sicherstellung der Risikotragfähigkeit […];

die Einrichtung interner Kontrollverfahren mit einem internen Kontrollsystem und einer Internen Revision […];

eine angemessene personelle und technisch-organisatorische Ausstattung des Instituts;

die Festlegung eines angemessenen Notfallkonzepts, insbesondere für IT-Systeme, und

angemessene, transparente und auf eine nachhaltige Entwicklung des Instituts ausgerichtete Vergütungssysteme für Geschäftsleiter und Mitarbeiter […]“

Die Grundlage des Risikomanagements ist zunächst eine kritische Bestandsaufnahme der existierenden Risiken (Gesamtrisikoprofil) und die Bestimmung des bestehenden Risikodeckungspotenzials (AT 4.1). Daraus wird zunächst eine übergreifende Geschäftsstrategie und daraus wiederum Teilstrategien abgeleitet (AT 4.2), deren Detaillierung von Art, Umfang, Komplexität und Risikogehalt der betriebenen Geschäfte abhängt.

Dazu sind angemessene interne Kontrollverfahren zu installieren, die sich wiederum in ein internes Kontrollsystem zur prozessabhängigen Überwachung (AT 4.3) u.a. durch die Risikocontrolling- und die Compliance-Funktion und in die Interne Revision (AT 4.4) als prozessunabhängige Überwachung aufteilen.

Diese unbestimmten Anforderungen werden durch die MaRisk konkretisiert. Die MaRisk betonen bereits in AT 1 Tz. 1 die Bedeutung des Aufsichtsorgans für die Wahrnehmung der Überwachungsfunktion.

Das Aufsichtsorgan ist angemessen in die Prozesse einzubinden. Dementsprechend finden sich im weiteren Verlauf der MaRisk detaillierte Kontroll-, Erörterungs- und Kenntnisnahmepflichten des Aufsichtsorgans. Die Geschäftsleiter haben dem Aufsichtsorgan außerdem ein direktes Auskunftsrecht gegenüber der Internen Revision einzuräumen.

Der internationale Trend zur Stärkung der Rechte des Aufsichtsorgans wird damit in den MaRisk umgesetzt (Stichwort: „Corporate Governance“ bzw. „Internal Governance“).3

Nach AT 1 Tz. 2 zielen die MaRisk vor allem auf die Einrichtung angemessener institutsinterner Leitungs-, Steuerungs- und Kontrollprozesse ab. Als Grundlage für die sachgerechte Wahrnehmung der Überwachungsfunktion des Aufsichtsorgans beinhaltet dies auch seine angemessene Einbindung.

Basel II Tz. 730: Das oberste Verwaltungsorgan4 trägt die Verantwortung für die Festlegung der Risikotoleranz der Bank. Es sollte außerdem sicherstellen, dass die Geschäftsleitung ein Regelwerk für die Beurteilung der verschiedenen Risiken einführt, ein System entwickelt, mittels dessen das Risiko zur Kapitalausstattung der Bank in Beziehung gebracht werden kann, und eine Methode einführt, um die Einhaltung der internen Vorschriften zu überwachen. Es ist gleichermaßen von Bedeutung, dass das oberste Verwaltungsorgan strikte interne Kontrollen und

schriftliche Vorschriften und Verfahrensweisen einführt und unterstützt; das oberste Verwaltungsorgan sollte sicherstellen, dass die Geschäftsleitung diese Regelungen in der gesamten Bankorganisation wirksam vermittelt.

Diese Einbindung des Aufsichtsorgans in die institutsinternen Strukturen findet sich an den entscheidenden Stellen (strategische Vorgaben, Berichterstattung und Kontrolle der Geschäftsleitung) des Steuerungsprozesses wieder.

Umsetzung von Säule 2

Das Regelwerk MaRisk deckt die an die Institute gestellten qualitativen Anforderungen aus der Säule 2 (ICAAP) ab und setzen die qualitativen Anforderungen des SRP an die Institute in nationales Recht um:

Eine wichtige Klarstellung bezüglich der Umsetzung der MaRisk beinhaltet der letzte Satz der Textziffer 2. Hier weist die Aufsicht ausdrücklich darauf hin, dass die MaRisk als Umsetzung des ICAAP in nationales Recht unabhängig von den Verfahren zur Berechnung der Eigenkapitalanforderungen (Säule 1 von Basel II / III bzw. Anforderungen der CRR) sind.

Das heißt, dass zur Erfüllung der MaRisk-Regelungen auch andere Verfahren als die zur Berechnung der Gesamtkennziffer eingesetzten Methoden verwendet werden können. Aufgrund der unterschiedlichen Zielsetzung der beiden Säulen hat sich ein solcher Ansatz in der Praxis bewährt.

Grundsatz der doppelten Proportionalität

Ein weiteres wesentliches Element der MaRisk ist der Grundsatz der doppelten Proportionalität. Dieser besagt, dass

der bankinterne Prozess proportional zur Größe, zum Geschäftsvolumen und zur Risikostruktur sein muss und

die Prüfung durch die Aufsicht hinsichtlich der Häufigkeit und der Intensität der Prüfung proportional zur Ausgestaltung der bankinternen Prozesse sein muss.

Der Grundsatz trägt damit den sehr heterogenen Ausprägungen Ausgestaltung des Finanzsektors in Deutschland Rechnung. Die direkte Folge der geforderten Proportionalität ist (AT 1 Tz. 2), dass sich die konkrete Umsetzung der Anforderungen am „kleinsten gemeinsamen Nenner“ für alle Institute orientieren kann. Dabei wird von größeren Instituten mit komplexeren Geschäftsaktivitäten und Risiken erwartet, in der Umsetzung der Anforderungen über das geforderte Mindestmaß hinauszugehen, wenn dies zur Sicherstellung eines angemessenen Risikomanagements erforderlich sein sollte.

Die Anforderung trifft jedoch nur besonders große Institute oder Institute mit besonders komplexen Geschäftsaktivitäten, besonderer Risikoexponierung oder internationaler Ausrichtung im Sinne von global systemisch relevanten Finanzinstituten (SIFIs) und national systemrelevanten Banken (D-SIBs)5.

Dies wird an der Formulierung „Insofern“ deutlich: Diese Institute sollen die Veröffentlichungen des Baseler Ausschusses für Bankenaufsicht und des Financial Stability Boards (FSB) eigenverantwortlich in ihre Überlegungen zur angemessenen Ausgestaltung des Risikomanagements einbeziehen.

Da beide Gremien keine rechtlich verbindlichen Standards setzen, sind die Veröffentlichungen nicht als unmittelbarer Prüfungsmaßstab anzusetzen. Allerdings sollen sich die betroffenen Institute bei der konkreten Erfüllung der MaRisk-Anforderungen mit den oft detaillierteren Veröffentlichungen des Baseler Ausschusses und des FSB beschäftigen.

Eine direkte und schematische Umsetzung von internationalen Veröffentlichungen ist auch bei großen Instituten nicht erforderlich. Für die Institute bleiben weiterhin § 25a sowie § 25b KWG und die MaRisk die entscheidenden Rechtsgrundlagen für die Ausgestaltung des internen Risikomanagements.

Durch das Proportionalitätsprinzip enthalten die MaRisk eine Vielzahl von Öffnungsklauseln, die die konkrete Ausgestaltung der Prozesse an Art, Umfang, Komplexität und Risikogehalt der Geschäfte und der jeweiligen Relevanz der Institute hinsichtlich ihres Beitrags zur Stabilität des Finanzsystems ausrichten. Dieses Vorgehen verlangt von den Instituten, sich intensiv mit der konkreten Risikosituation Haus zu befassen. Dies ermöglicht eine institutsindividuelle Ausgestaltung der doppelten Proportionalität und damit verbundene institutsindividuelle Prüfungen.

Für kleinere Institute mit robustem Risikodeckungspotenzial und überschaubaren Geschäftsrisiken sind daher nicht nur die Anforderungen der MaRisk leichter zu erfüllen sein, sie dürfen aufgrund der doppelten Proportionalität auch Erleichterungen in der Prüfungspraxis der Aufsicht erwarten können.

Prüfungspraxis

Bei vielen Instituten besteht die Befürchtung, dass die Flexibilität der MaRisk durch eine restriktive Prüfungspraxis eingeschränkt werden könnte. Insbesondere bei überzogenen Dokumentationsanforderungen kann die Gefahr bestehen, dass die Nutzung bestehender Spielräume unwirtschaftlich wird.

Die BaFin betont in AT 1 Tz. 5, dass die flexiblen Grundausrichtung der MaRisk auch im Rahmen der Prüfungen zu berücksichtigen ist: Dem in § 25a Abs. 1 KWG verankerten Proportionalitätsgrundsatz wird große Bedeutung eingeräumt, die Erhaltung der notwendigen Umsetzungsspielräume ist jedoch im Hinblick auf kleinere Institute auch in Zukunft alternativlos.

Die grundsätzliche Ausrichtung der MaRisk hat daher weiter Bestand, d.h. z.B. dass es keine überzogenen Dokumentations- und Rechtfertigungszwänge bei der Inanspruchnahme von Öffnungsklauseln durch die Institute gibt. Dabei sollte dokumentiert werden, was gemacht wird, und nicht, was nicht gemacht wird.

Modularer Aufbau

Die MaRisk sind modular aufgebaut. Hintergrund ist neben einer verbesserten Gliederung, dass im Bedarfsfall neue Anforderungen in das Regelwerk einfügen werden können, ohne die Grundstruktur und Textziffernzuordnung verlassen zu müssen.

Die besonderen Anforderungen an das interne Kontrollsystem unterteilen sich in Anforderungen an die Ausgestaltung der Aufbau- und Ablauforganisation im Kredit- und Handelsgeschäft (BTO) sowie die Risikosteuerungs- und - controllingprozesse für Adressenausfallrisiken, Marktpreisrisiken, Liquiditätsrisiken und operationelle Risiken (BTR).

Anwendungsbereich der MaRisk

Hinsichtlich des Anwendungsbereichs nehmen die MaRisk Bezug auf § 1 Abs. 1 KWG. Der Absatz definiert Kreditinstitute als Unternehmen, die Bankgeschäfte gewerbsmäßig betreiben oder in einem Umfang betreiben, der einen in kaufmännischer Weise eingerichteten Geschäftsbetrieb erfordert. Hierunter fallen alle Institute, die eine sogenannte Bankerlaubnis im Sinne des § 32 KWG der BaFin bzw. des ehemaligen BaKred besitzen.

Finanzdienstleistungsunternehmen und Wertpapierhandelsbanken

Die Anforderungen der MaRisk erstrecken sich mit Einschränkungen auch auf Finanzdienstleistungsinstitute und Wertpapierhandelsbanken.

Der Begriff des Finanzdienstleistungsunternehmens ist in § 1 Abs. 1a KWG definiert: Erbringt ein Unternehmen, das kein Kreditinstitut ist, bestimmte, im Einzelnen definierte Geschäftstypen für Dritte gewerbsmäßig oder in einem Umfang, der einen in kaufmännischer Weise eingerichteten Gewerbebetrieb, erfordert, ist es ein Finanzdienstleistungsunternehmen.

Der Begriff der Wertpapierhandelsbanken ist in § 1 Abs. 3d Satz 5 KWG definiert: Wertpapierhandelsbanken sind Kreditinstitute, die keine CRR-Kreditinstitute sind und die Bankgeschäfte im Sinne des Absatzes 1 Satz 2 Nr. 4 oder 10 [KWG] betreiben oder Finanzdienstleistungen im Sinne des Absatzes 1a Satz 2 Nr. 1 bis 4 [KWG] erbringen.

Da es große individuellen Unterschiede und Sonderformen innerhalb der Finanzdienstleistungsunternehmen und Wertpapierhandelsbanken gibt, wurde darauf verzichtet gemeinsame Mindestanforderungen festzulegen.

Die MaRisk sind von diesen daher nur insoweit zu beachten, wie Institutsgröße, Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten dies zur Einhaltung der gesetzlichen Pflichten gemäß § 25a KWG erfordern.

Der Anwendungsbereich der MaRisk erstreckte sich ursprünglich auch auf Kapitalanlagegesellschaften. Mit Wirkung vom 28. Dezember 2007 wurde das Investmentgesetz um Organisationspflichten zur Konkretisierung der ordnungsgemäßen Geschäftsorganisation von Kapitalanlagegesellschaften ergänzt (§ 9a InvG, abgelöst durch §§ 26 ff. Kapitalanlagegesetzbuch).

Mit der zweiten MaRisk-Novelle vom 14. August 2009 wurden Kapitalanlagegesellschaften dementsprechend aus dem Anwendungsbereich der MaRisk herausgenommen.

Öffnungsklauseln und unbestimmte Begriffe

Die MaRisk weisen eine Vielzahl von Öffnungsklauseln auf. Die sicherlich bekannteste Öffnungsklausel ist die Unterscheidung nach risikorelevanten und nichtrisikorelevanten Kreditgeschäften.

Daneben gibt es in den einzelnen Textziffern eine Reihe expliziter und impliziter Gestaltungsmöglichkeiten, die vom jeweiligen Institut individuell genutzt werden können, um das Risikomanagement individuell zu gestalten.

Die wichtigsten Gestaltungsmöglichkeiten werden nachfolgend beschrieben werden. Allerding können in diesem Handbuch nicht alle Ausprägungen vollumfassend dargestellt werden.

Entscheidend dabei ist, dass die Öffnungsklauseln grundsätzlich von allen Instituten genutzt werden können – sofern das unter betriebswirtschaftlichen Gesichtspunkten sachgerecht ist. Harte Grenzen (wie z. B. in BTO 1.1 Tz. 1 mit einem Kreditvolumen von weniger als 100 Mio. Euro) sind in den MaRisk die Ausnahme.

Formale Öffnungsklauseln

Unter dem Begriff „Formale Öffnungsklauseln“ können alle Gestaltungsmöglichkeiten zusammengefasst werden, die an äußerlichen Kriterien des Instituts festgemacht werden können:

Größe des Instituts

Zahlreiche Öffnungsklauseln der MaRisk (AT 1 Tz. 4) helfen – abhängig von Institutsgröße, den Geschäftsschwerpunkten und der Risikosituation – eine vereinfachte Umsetzung zu ermöglichen. Insofern können die MaRisk insbesondere von kleineren Instituten flexibel und individuell umgesetzt werden.

Basis für die Beurteilung der Größe eines Instituts in den MaRisk sind die Gegebenheiten der deutschen Kreditwirtschaft. Allerdings ist die Bilanzsumme des Instituts nur ein Anhaltspunkt.

In der Instituts-Vergütungsverordnung definiert die Bankenaufsicht z.B. zukünftig Institute als „nicht bedeutend“, deren durchschnittliche Bilanzsumme der letzten drei Jahre 15 Milliarden Euro unterschreitet. Institute, die eine Bilanzsumme von 15 Milliarden Euro oder mehr aufweisen, werden in der InstitutsVergV grundsätzlich als „bedeutende“ Institute eingestuft. Es sei denn, ein Institut weist der Aufsicht auf Basis einer individuellen Risikoanalyse nach, dass es nicht bedeutend ist6.

Die wesentlichen Indikatoren für ein bedeutendes bzw. ein besonders großes Institut sind u.a. die Einstufung als systemrelevantes7 oder als potentiell systemgefährdendes8 Institut durch die Bankenaufsicht.

Neben der Bilanzsumme beziehen die MaRisk für die Begriffe „Größe des Instituts“ und „Betriebsgröße“ auch relative Größen des Instituts mit ein:

die Geschäftsschwerpunkte im Verhältnis zum Gesamtgeschäft,

die vorhandene oder geplante Personalausstattung,

die zur Verfügung stehenden technisch-organisatorischen Ressourcen und

das zur Verfügung stehende fachliche Know-how.

Beispiele für Anforderungen in Abhängigkeit von der Größe des Instituts sind:

AT 2.1 Tz. 2:

Geltung der MaRisk für Wertpapierhandelsbanken und Finanzdienstleistungsinstitute

AT 4.4.2 Tz. 3:

Eigenständige Organisationseinheit für die Compliance-Funktion bei größeren Instituten

AT 4.4.3 Tz. 1:

Institut kann von der Einrichtung einer Revisionseinheit absehen

BTO Tz. 1:

Vereinfachte Umsetzung der Anforderungen an die Aufbau- und Ablauforganisation im Kredit- und Handelsgeschäft

BTO 1.1 Tz. 1 Erl./ BTO 2.1 Tz. 2 Erl.:

Erleichterungen zur Funktionstrennung bei kleineren Instituten möglich

Wesentlichkeit

Auch der Begriff „Wesentlichkeit“ spielt in den MaRisk eine zentrale Rolle und stellt dabei eine wichtige Öffnungsklausel dar: Nach AT 2.2 Tz. 1 beziehen sich die Anforderungen der MaRisk auf das Management der für das Institut wesentlichen Risiken. Die Festlegung, welche Risikoarten für das Institut wesentlich sind, ist damit neben der Festlegung von risikorelevanten Kreditentscheidungen eine der wichtigsten Entscheidungen im Institut.

Ferner differenzieren die MaRisk weitere Aspekte hinsichtlich der „Wesentlichkeit“:

Wesentliche Elemente (AT 3 Tz. 1; AT 4.1 Tz. 8)

Wesentliche Geschäftsaktivitäten (AT 4.2 Tz. 1; AT 4.2 Tz. 2)

Wesentliche Auslagerungen (AT 4.3.1 Tz. 2; AT 5 Tz. 3; AT 9 Tz. 2, 5, 6 und 7; BT 2.1 Tz. 3)

Wesentliche Annahmen (AT 4.1 Tz. 8; AT 4.3.2 Tz. 4; BTR 2.1 Tz. 5)

Wesentliche Informationen (AT 4.3.2 Tz. 5 und 6; AT 4.4.1 Tz. 2)

Wesentliche Risikofaktoren (AT 4.3.3 Tz. 1)

Wesentliche Handlungen und Festlegungen (AT 6 Tz. 2)

Wesentliche (Ver-)Änderungen (AT 4.4.3 Tz. 5; AT 4.4.2 Tz. 5; AT 7.2 Tz. 3 und Erl.; AT 8.2 Tz. 1; AT 9 Tz. 2; BTO 1.2.2 Tz. 4; BTO 2.2.1 Tz. 7; BTR 3.1 Tz. 11)

Wesentliche rechtliche Regelungen und Vorgaben (AT 4.4.2 Tz. 1, 2, 5 und 6)

Wesentliche Weisungen und Beschlüsse (AT 4.4.2 Tz. 5)

Wesentliche Vorkommnisse (BTO 1.2.4 Tz. 1 Erl.; BTO 1.3 Tz. 3 Erl.)

Wesentliche Bedeutung (AT 8.1 Tz. 1 Erl.; BTR 1 Tz. 7 und Erl.)

Wesentliche Auswirkungen (AT 8.3 Tz. 1)

Wesentliche Mängel (BT 2.4 Tz. 1, 4 und 6; BT 2.5 Tz. 2)

Da sich die entsprechenden Anforderungen der MaRisk jeweils nur auf Teilaspekte beziehen, die für ein Institut bedeutend – also wesentlich – sind, erfordert eine Abgrenzung auch entsprechendes Augenmaß. Neben der Relevanz für das Institutsrisiko müssen auch immer Kosten-Nutzen-Aspekte und der damit verbundene Ressourcenaufwand abgewogen werden.

Angemessenheit und Geeignetheit

Die MaRisk fordern in vielen Punkten angemessene bzw. geeignete Verfahren, Methoden, Prozesse und Instrumente. Die Beurteilung, ob diese angemessen oder geeignet sind, liegt grundsätzlich beim Institut. Im Rahmen einer Prüfungsprozesses muss der Prüfer jedoch die Einschätzung des Instituts nachvollziehen können. Die Beurteilung orientiert sich dabei am Grad einer sachgerechten Zielvorgabe.

So können konkrete Verfahren und Prozesse für ein Institut angemessen, für ein anderes Institut allerdings nicht angemessen sein, da diese Institut ein anderes, weitergehendes Geschäftsmodell verfolgt. Die Entscheidung ist also immer vor dem Hintergrund der individuellen Möglichkeiten und Fähigkeiten eines Instituts zu treffen (Grundsatz der doppelten Proportionalität.

Sofern es sich bei einer Entscheidung über angemessene oder geeignete Verfahren, Prozesse und Instrumente um eine wesentliche Handlung und Festlegung im Rahmen der MaRisk handelt, muss diese nachvollziehbar dokumentiert werden9.

Sollte-Anforderungen

Die MaRisk stellen Mindestanforderungen an die Institute dar. Ungeachtet der Öffnungsklauseln sind dies „Muss-Vorschriften“ und somit von allen Instituten zu erfüllen. Einige Aspekte beinhalten jedoch sogenannte „Sollte-Anforderungen“. Diese sind als Empfehlungen oder Zielvorgaben zu sehen; Beispiele hierfür sind:

AT 4.2 Tz. 5 Erl.:

„Adressat der Strategien sollte grundsätzlich jedes Mitglied des Aufsichtsorgans sein.“

AT 4.3.2 Tz. 6 Erl.:

„Adressat der Risikoberichterstattung sollte grundsätzlich jedes Mitglied des Aufsichtsorgans sein.“

AT 4.4.2 Tz. 3 Erl.:

„Unbeschadet dessen sollten größere Institute eine eigenständige Organisationseinheit für die Compliance-Funktion vorsehen.“

•

AT 7.1 Tz. 3:

„Die Abwesenheit oder das Ausscheiden von Mitarbeitern sollte nicht zu nachhaltigen Störungen der Betriebsabläufe führen.“

BTO Tz. 7 Erl.:

„[...] sollten handelsintensive Kreditinstitute das Rechnungswesen in einem vom Handel unabhängigen Bereich ansiedeln.“

BTO 1.2 Tz. 7:

„Zwischen der Einstufung im Risikoklassifizierungsverfahren und der Konditionengestaltung sollte ein sachlich nachvollziehbarer Zusammenhang bestehen.“

BTO 2.2.1 Tz. 4:

„Die Geschäftsgespräche der Händler sollten grundsätzlich auf Tonträger aufgezeichnet werden [...].“

BTR 2.3 Tz. 6 Erl.:

„Auch bei der Anwendung einer barwertigen Methode sollte das Kreditinstitut die Entwicklung des handelsrechtlichen Ergebnisses im Blick behalten.“

BTR 2.3 Tz. 6 Erl.:

„Die Länge des Betrachtungszeitraums sollte unter Berücksichtigung der individuellen Portfoliostruktur gewählt werden.“

Jedes Institut muss für sich prüfen, ob es diese Anforderungen aus betriebswirtschaftlichen Gründen und vor dem Hintergrund der individuellen Rahmenbedingungen erfüllen kann. Im Rahmen einer Prüfung werden diese Anforderungen – allerdings unter Berücksichtigung der institutsspezifischen Gegebenheiten – nicht zwingend eingefordert.

Risikoorientierte Öffnungsklauseln

Neben den formalen Öffnungsklauseln sehen die MaRisk eine Vielzahl von Öffnungsklauseln vor, welche die individuelle Risikosituation berücksichtigen:

Beispiele für Öffnungsklausel „nach Art, Umfang, Komplexität“ sind:

AT 1 Tz. 2:

Vorkehrungen über die MaRisk hinaus

AT 2.1 Tz. 2:

Beachtung der Anforderungen für Finanzdienstleistungsinstitute und Wertpapierhandelsbanken

AT 2.3 Tz. 3 Erl.:

Umsetzung der Anforderungen für das traditionelle Warengeschäft

AT 4.2 Tz. 3:

Detaillierungsgrad der Strategien

AT 4.3 Tz. 1:

Einrichtung von Regelungen zur Aufbau und Ablauforganisation und Risikosteuerungs- und -controllingprozessen; Implementierung der Risikocontrolling- und Compliance-Funktion

AT 4.3.3 Tz. 1 und 3:

Ausgestaltung von Stresstests

AT 4.4.1 Tz. 4:

Leitung der Risikocontrolling-Funktion

AT 4.4.2 Tz. 4:

Funktion des Compliance-Beauftragten

AT 4.5 Tz. 1 Erl.:

Ausgestaltung des Risikomanagements auf Gruppenebene

AT 5 Tz. 1:

Detaillierungsgrad der Organisationsrichtlinien

AT 9 Tz. 2 Erl.:

Durchführung Outsourcing-Risikoanalyse

AT 9 Tz. 8 Erl.:

Ernennung des Revisionsbeauftragten

BTO 1.1 Tz. 2:

Notwendigkeit von zwei Voten

BTO 1.2 Tz. 10:

Ausgestaltung von standardisierten Kreditvorlagen

BTO 2.2.2 Tz. 1 Erl.:

Abwicklungssysteme

BTR 2.3 Tz. 4:

Bewertung, Ergebnisermittlung und Kommunikation der Risiken

BTR 3.1 Tz. 5 und 6:

Berücksichtigung von Liquiditätskosten, -nutzen und - risiken

Die MaRisk unterscheiden dabei zwischen risikorelevanten und nichtrisikorelevanten Geschäftsaktivitäten: Der Begriff „risikorelevant“ bezieht sich dabei im Gegensatz zum Rating nicht nur auf den einzelnen Kreditnehmer und dessen Ausfallwahrscheinlichkeit, sondern auf das Risiko für das Kreditinstitut und damit letztlich auf den Beitrag einer Position zum Insolvenzrisiko des Instituts.

Über die konkrete Art der Abgrenzung zwischen risikorelevanten und nichtrisikorelevanten Geschäftsaktivitäten werden in den MaRisk keine Aussagen gemacht. Grundsätzlich sollen die Abgrenzungskriterien das tatsächliche Risiko für das Institut berücksichtigen.

Beispiele für Öffnungsklauseln nach „Risikogehalt“ sind:

AT 8.1 Tz. 1:

Grundlage des Konzepts für Aktivitäten in neuen Produkten / auf neuen Märkten

BTO 1.2 Tz. 3:

Intensität der Beurteilung der für das Adressenausfallrisiko eines Kreditengagements bedeutsamen Aspekte

BTO 1.2 Tz. 6:

Bewertung der Risiken eines Engagements

BTO 1.2 Tz. 6 Erl.:

Pflicht zur jährlichen Beurteilung der Risiken

BTO 1.2.1 Tz. 1:

Intensität der Analyse der für die Beurteilung des Risikos wichtigen Faktoren im Rahmen der Kreditgewährung

BTO 1.2.2 Tz. 2:

Intensität der Beurteilung der Adressenausfallrisiken

BTO 2.1 Tz. 2 Erl.:

Merkmale nichtrisikorelevanter Handelsaktivitäten

Zu Beurteilung von risikorelevanten Geschäften kann z.B. der Value-at-Risk-Beitrag der Position zum Gesamtportfolio herangezogen werden.

Im Sinne der MaRisk sind also Näherungen, z.B. der Anteil eines Engagements am Gesamtvolumen des Kreditgeschäfts, möglich. Denkbar sind auch Kombinationen von einzelnen Kriterien: z.B. Kreditart, Volumenanteil am Gesamtgeschäft oder der Rating-Klasse des Kreditnehmers.

Daneben beziehen sich einige Öffnungsklauseln auf die Gesamt-Risikosituation des Instituts (z. B. AT 1 Tz. 2). Als Indiz für die Beurteilung der Risikolage kann auch die Risikoklassifizierung der BaFin herangezogen werden. Nach dieser werden Institute hinsichtlich der Dimensionen „Systemrelevanz“ (niedrig – hoch) und „Qualität“ (A – D) eingestuft.

Unbestimmte Begriffe

Die MaRisk verwenden viele unbestimmte Begriffe. Die Verwendung von unbestimmten Begriffen ist erforderlich, um dem Grundsatz der doppelten Proportionalität gerecht zu werden. Für die Umsetzung im Institut ist es jedoch wichtig, diese unbestimmten Begriffe in bestimmte Festlegungen umzuwandeln. In einigen Fällen ist dies auf zentraler Ebene möglich, für eine Vielzahl von Begriffen jedoch nicht.

Der Begriff „grundsätzlich“

Die MaRisk sind prinzipienorientiert10, d.h. bestimmte Aussagen bzw. Anforderungen gelten nur im Prinzip gelten und lassen Ausnahmen zu. Diese Ausnahmen bestimmen somit das Prinzip.

Der in den MaRisk verwendete Begriff „grundsätzlich“ bedeutet übertragen: „in der Regel“, Im Gegensatz zu „immer“. So sollten z.B. Kreditentscheidungen grundsätzlich auf Basis zweier unabhängiger Voten erfolgen. Bei nicht-risikorelevanten Kreditentscheidungen hingegen kann darauf verzichtet werden.

Wann und unter welchen Bedingungen von der Regel abgewichen werden kann, wird entweder in den MaRisk konkretisiert oder muss vom Institut unter Berücksichtigung betriebswirtschaftlicher Aspekte festgelegt werden. Dazu einige Beispiele:

AT 4.4.3 Tz. 3:

„Die Interne Revision hat risikoorientiert und prozessunabhängig die Wirksamkeit und Angemessenheit des Risikomanagements im Allgemeinen und des internen Kontrollsystems im Besonderen sowie die Ordnungsmäßigkeit grundsätzlich aller Aktivitäten und Prozesse zu prüfen und zu beurteilen.“

AT 7.2 Tz. 2:

„Für diese Zwecke ist bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen […].“

AT 9 Tz. 4: „Grundsätzlich sind alle Aktivitäten und Prozesse auslagerbar […].“

BTO 1.1 Tz. 1 Erl.:

„Grundsätzlich hat bei solchen Kreditentscheidungen eine geeignete Stelle, die nicht in die Kreditbearbeitung einbezogen ist (z. B. die Personalabteilung), mitzuwirken.“

BTO 1.2.1 Tz. 2:

„Die Werthaltigkeit und der rechtliche Bestand von Sicherheiten sind grundsätzlich vor der Kreditvergabe zu überprüfen.“

BTO 2.2.1 Tz. 2:

„Handelsgeschäfte zu nicht marktgerechten Bedingungen sind grundsätzlich unzulässig. Ausnahmen hiervon sind im Einzelfall möglich, wenn [...].“

BTO 2.2.2 Tz. 2:

„Grundsätzlich sind Handelsgeschäfte unverzüglich schriftlich oder in gleichwertiger Form zu bestätigen.“

BTR 1 Tz. 3:

„Handelsgeschäfte dürfen grundsätzlich nur mit Vertragspartnern getätigt werden, für die Kontrahentenlimite eingeräumt wurden.“

BT 2.2 Tz. 2:

„Die in der Internen Revision beschäftigten Mitarbeiter dürfen grundsätzlich nicht mit revisionsfremden Aufgaben betraut werden.“

Ausnahmen von der Regel führen jedoch nicht zwangsläufig zu Erleichterungen: In der Erläuterung zu BTR 2.3 Tz. 5 heißt es beispielsweise: „Grundsätzlich bleibt es dem Kreditinstitut überlassen, auf welchem Wege es Zinsänderungsrisiken des Anlagebuches berücksichtigt.“

Die Ausnahme wäre in diesem Beispiel die (zu begründende) Vorgabe einer bestimmten Methode durch die externe Prüfung, wenn im Rahmen des SRP Mängel bei der Vorgehensweise des Instituts identifiziert werden.

Begriffe „unverzüglich“ und „zeitnah“

In Bezug auf die Dimension Zeit unterscheiden die MaRisk zwischen „unverzüglich“ und „zeitnah“.

Unter „unverzüglich“ ist in diesem Zusammenhang „ohne schuldhafte Verzögerung“ zu verstehen. Die MaRisk machen dabei keine konkrete Zeitvorgabe (z. B. taggleich) vor, sondern beziehen „unverzüglich“ auf die (angemessenen) internen technischen und prozessualen Gegebenheiten. Der Begriff „unverzüglich“ wird überwiegend in den Anforderungen zur Ad-hoc-Berichterstattung verwendet.

Beispiele für „unverzügliche“ Tätigkeiten sind:

AT 4.3.2 Tz. 5:

Weiterleitung von unter Risikogesichtspunkten wesentlichen Informationen an Geschäftsleitung

AT 4.3.2 Tz. 6:

Weiterleitung von unter Risikogesichtspunkten wesentlichen Informationen an Aufsichtsorgan

AT 4.4.3 Tz. 4:

Informationen, Unterlagen und Einblicke an Interne Revision

AT 4.4.1 Tz. 2:

Verantwortung für die Weitergabe wesentlicher Informationen

BTO 1.2.2 Tz. 4:

Außerordentliche Überprüfungen von Engagements; Weiterleitung der Informationen

BTO 1.2.6 Tz. 2:

Mitteilung eines erheblichen Risikovorsorgebedarfs

BTO 2.2.1 Tz. 3:

Bestätigung für Geschäftsabschlüsse außerhalb der Geschäftsräume; Anzeige gegenüber dem eigenen Kreditinstitut

BTO 2.2.1 Tz. 5:

Erfassung der Handelsgeschäfte

BTO 2.2.1 Tz. 7:

Weiterleitung von Abschlussdaten und Unterlagen über Spätgeschäfte

BTO 2.2.2 Tz. 2:

Bestätigung von Handelsgeschäften; Überwachung des Eingangs der Gegenbestätigung; Reklamation von fehlenden Gegenbestätigungen

BTO 2.2.2 Tz. 5:

Unterrichtung des für die Marktgerechtigkeitskontrolle zuständigen Geschäftsleiters

BTO 2.2.2 Tz. 6:

Klärung von Unstimmigkeiten und Auffälligkeiten von Handelsgeschäften

BTO 2.2.2 Tz. 7:

Klärung von Auffälligkeiten bei der Abstimmung von Zwischen- und Auffangkonten

BTO 2.2.3 Tz. 1

: Abbildung von Handelsgeschäften im Risikocontrolling

BTR 1 Tz. 5:

Anrechnung von Geschäften auf kreditnehmerbezogene Limite

BTR 2.2. Tz. 1:

Anrechnung der mit Marktpreisrisiken behafteten Geschäfte des Handelsbuches auf Limite

BTR 4 Tz. 3:

Analyse von bedeutenden Schadensfällen

BT 2.4 Tz. 1:

Vorlegen des Berichts bei schwerwiegenden Mängeln

BT 2.4 Tz. 5:

Berichterstattung bei schwerwiegenden Feststellungen gegen Geschäftsleitung; Information des Aufsichtsorgans

BT 2.4 Tz. 6:

Informieren des Aufsichtsorgans über schwerwiegende Mängel

Der Begriff „zeitnah“ lässt hingegen den Instituten einen größeren Gestaltungsspielraum. Hier besteht die Möglichkeit einer begründeten Verzögerung: z. B. Ressourcenengpässe oder geringe Priorität der notwendigen Aktivität etc. „Zeitnah“ sollte demnach als „so schnell wie möglich“ oder auch als „so schnell wie nötig“ interpretiert werden. Der Begriff „zeitnah“ ist weniger streng als „unverzüglich“.

Beispiele für „zeitnahe“ Tätigkeiten sind:

AT 4.3.2 Tz. 7:

Anpassung der Risikosteuerungs- und -controllingprozesse

AT 5 Tz. 2:

Anpassung der Organisationsrichtlinien

AT 7.3 Tz. 2:

Ersatzlösungen im Notfall

AT 8.1 Tz. 5:

Informieren der Geschäftsleitung über Konzept und Aufnahme der laufenden Geschäftstätigkeit

BTO 1.2 Tz. 9:

Einreichung und Auswertung der erforderlichen Kreditunterlagen

BTO 1.2.6 Tz. 2:

Ermittlung der erforderlichen Risikovorsorge

BTO 1.3 Tz. 3 Erl.:

Durchführung von Maßnahmen nach Früherkennung von Risiken

BTO 2.2.2 Tz. 4:

Vorliegen von Geschäftsunterlagen für Handelsgeschäfte

BTR 1 Tz. 3:

Informieren der Positionsverantwortlichen über Limite und Ausnutzung bei Handelsgeschäften

BTR 2.2 Tz. 1:

Informieren des Positionsverantwortlichen über Limite und Ausnutzung bei mit Marktpreisrisiken behafteten Geschäften des Handelsbuches

BTR 2.2 Tz. 3:

Bericht über Gesamtrisikopositionen, Ergebnisse u. Limitauslastungen an zuständigen Geschäftsleiter

BT 2.4 Tz. 1:

Schriftlicher Bericht über Prüfung von Interner Revision an Geschäftsleitung

BT 2.4 Tz. 4:

Verfassen eines Gesamtberichts durch die Interne Revision und Vorlage an Geschäftsleitung

2 Die durch die Mindestanforderungen an das Risikomanagement abgelösten Rundschreiben, Verlautbarungen und sonstigen Schreiben können auf der Homepage der BaFin (www.bafin.de) abgerufen werden. Die Veröffentlichungssuche listet die aufgehobenen und außer Kraft gesetzten Dokumente auf.

3 Die MaRisk verwenden den neutralen Begriff des Aufsichtsorgans für das oberste Lenkungsgremium eines Instituts. Dies ist z.B. bei Aktiengesellschaften der Aufsichtsrat.

4 Das oberstes Verwaltungsorgan, engl. board of directors, entspricht bei deutsche Instituten eher dem Gesamtvorstand in Abstimmung mit dem Aufsichtsorgan.

5 Mit den Determinanten Größe, Komplexität und internationale Ausrichtung greift die BaFin drei der fünf Kriterien für die Bestimmung der Systemrelevanz von Finanzinstituten auf, sodass dies auch ein Hinweis auf die betroffenen Institute sein kann. Die anderen beiden Kriterien zur Bestimmung der Systemrelevanz sind Verflechtung und Ersetzbarkeit/ Finanzinstitutsinfrastruktur. Vgl. Baseler Ausschuss für Bankenaufsicht (2011), Global systemrelevante Banken: Bewertungsmethodik und Anforderungen an die zusätzliche Verlustabsorptionsfähigkeit.

6 Vgl. § 17 Abs. 1 InstitutsVergV (Novelle vom 16. Dezember 2013).

7 Vgl. EU-Verordnung Nr. 1024/2013 vom 15. Oktober 2013 zur Übertragung besonderer Aufgaben im Zusammenhang mit der Aufsicht über Kreditinstitute auf die Europäische Zentralbank (Single Supervisory Mechanism – SSM). Welche Kreditinstitute unter die EZB-Aufsicht fallen, ist in Art. 6 Abs. 4 der Verordnung festgelegt.

8 Vgl. § 47 Abs. 1 KWG.

9 Gemäß AT 6 Tz. 2.

10 Im Gegensatz zur regelbasierten Aufsicht. Vgl. BaFin (2005), Anschreiben zu den MaRisk vom 20. Dezember 2005, S. 7 f.

2 Ordnungsgemäße Geschäftsorganisation

Dieses Kapitel enthält allgemeine Anforderungen der MaRisk mit übergeordnetem Charakter und bezieht sich auf eine ordnungsgemäße Geschäftsorganisation

Diese sind hauptsächlich an die erste und zweite Führungsebene des Instituts gerichtet.

Gesamtverantwortung der Geschäftsleitung

Die MaRisk betonen die Gesamtverantwortung aller Geschäftsleiter:

In AT 3.1 Tz. 1 Satz 3 wird eine Anforderung an die Ausgestaltung des Risikomanagements formuliert. Es muss so ausgestaltet sein, dass die Geschäftsleiter auf dessen Basis Risiken beurteilen und entsprechende Maßnahmen zur Risikobegrenzung treffen können. Damit verbindet AT 3 Tz. 1 die MaRisk unmittelbar mit der Textziffer 728 der Baseler Rahmenvereinbarung:

„Ein solides Risikomanagementverfahren ist die Grundlage für eine effektive Beurteilung der Angemessenheit der Kapitalsituation einer Bank. Die Geschäftsleitung muss die Art und das Niveau des von der Bank eingegangenen Risikos sowie dessen Einfluss auf die angemessene Eigenkapitalausstattung verstehen. Sie ist ebenfalls dafür verantwortlich sicherzustellen, dass Form und Entwicklungsgrad des Risikomanagementverfahrens angesichts des Risikoprofils und des Geschäftsplans angemessen sind.“11

Eine angemessene Ausgestaltung der ordnungsgemäßen Geschäftsorganisation durch die Geschäftsleitung setzt voraus, dass die Geschäftsleitung die Risiken auch beurteilen kann. Eine angemessene Beurteilung der Risiken ist die unabdingbare Voraussetzung für die Steuerung des Instituts.

Damit die Geschäftsleitung (organisatorisch) hierzu in die Lage versetzt wird, enthalten die MaRisk an verschiedenen Stellen entsprechende Informations- und Berichtspflichten. Damit müssen Berichte und Informationen an die Geschäftsleitung einen hinreichenden Detaillierungsgrad und Informationsgehalt aufweisen und sich nicht auf Extrakte und Urteile des Risikomanagements beschränken.

An einigen Stellen sagen die MaRisk, dass bestimmte Anforderungen vom „Kreditinstitut“ sicherzustellen sind. Da AT 3 auf die Gesamtverantwortung der Geschäftsleitung abstellt, hat ein Institut die Möglichkeit, bestimmte Tätigkeiten zu delegieren, ohne die Verantwortung der Geschäftsleitung aufzuheben.

Satz 4 der Textziffer 1 erweitert die Verantwortung der Geschäftsleiter eines übergeordneten Unternehmens im Rahmen der MaRisk um ihre Verantwortung für ein angemessenes und wirksames Risikomanagement für eine gesamte Gruppe.

Risikomanagement auf Gruppenebene

Die Geschäftsleiter des übergeordneten Unternehmens einer Institutsgruppe, einer Finanzholding-Gruppe oder einer gemischten Finanzholding-Gruppe (§ 10a Abs. 1 und 2 KWG) sowie die Geschäftsleiter des übergeordneten Finanzkonglomeratsunternehmens eines Finanzkonglomerats sind für die Einrichtung eines Risikomanagements auf Gruppenebene verantwortlich (§ 25a Abs. 3 und 4 KWG).

Damit wird der Gruppenbegriff in den MaRisk am Risiko des Instituts ausgerichtet. Entsprechend macht die BaFin im Anschreiben vom 14. August 2009 deutlich, dass „z. B. Zweckgesellschaften oder Industrieunternehmen vom gruppenweiten Risikomanagement zu erfassen“ sind, soweit von diesen für die Gruppe wesentliche Risiken ausgehen.