Mindestanforderungen an das Risikomanagement - MaRisk E-Book

Inhaltsverzeichnis

MaRisk-Novelle 2012 - Veröffentlichung der Endfassung

Mindestanforderungen an das Risikomanagement - MaRisk

1

AT 1 Vorbemerkung

2

AT 2 Anwendungsbereich

2.1

AT 2.1 Anwenderkreis

2.2

AT 2.2 Risiken

2.3

AT 2.3 Geschäfte

3

AT 3 Gesamtverantwortung der Geschäftsleitung

4

AT 4 Allgemeine Anforderungen an das Risikomanagement

4.1

AT 4.1 Risikotragfähigkeit

4.2

AT 4.2 Strategien

4.3

AT 4.3 Internes Kontrollsystem

4.3.1

AT 4.3.1 Aufbau- und Ablauforganisation

4.3.2

AT 4.3.2 Risikosteuerungs- und -controllingprozesse

4.3.3

AT 4.3.3 Stresstests

4.4

AT 4.4 Besondere Funktionen

4.4.1

AT 4.4.1 Risikocontrolling-Funktion

4.4.2

AT 4.4.2 Compliance-Funktion

4.4.3

AT 4.4.3 Interne Revision

4.5

AT 4.5 Risikomanagement auf Gruppenebene

5

AT 5 Organisationsrichtlinien

6

AT 6 Dokumentation

7

AT 7 Ressourcen

7.1

AT 7.1 Personal

7.2

AT 7.2 Technisch-organisatorische Ausstattung

7.3

AT 7.3 Notfallkonzept

8

AT 8 Anpassungsprozesse

8.1

AT 8.1 Neu-Produkt-Prozess

8.2

AT 8.2 Änderungen betrieblicher Prozesse oder Strukturen

8.3

AT 8.3 Übernahmen und Fusionen

9

AT 9 Outsourcing

10

BT 1 Besondere Anforderungen an das interne Kontrollsystem

11

BTO Anforderungen an die Aufbau- und Ablauforganisation

11.1

BTO 1 Kreditgeschäft

11.1.1

BTO 1.1 Funktionstrennung und Votierung

11.1.2

BTO 1.2 Anforderungen an die Prozesse im Kreditgeschäft

11.1.2.1

BTO 1.2.1 Kreditgewährung

11.1.2.2

BTO 1.2.2 Kreditweiterbearbeitung

11.1.2.3

BTO 1.2.3 Kreditbearbeitungskontrolle

11.1.2.4

BTO 1.2.4 Intensivbetreuung

11.1.2.5

BTO 1.2.5 Behandlung von Problemkrediten

11.1.2.6

BTO 1.2.6 Risikovorsorge

11.1.3

BTO 1.3 Verfahren zur Früherkennung von Risiken

11.1.4

BTO 1.4 Risikoklassifizierungsverfahren

11.2

BTO 2 Handelsgeschäft

11.2.1

BTO 2.1 Funktionstrennung

11.2.2

BTO 2.2 Anforderungen an die Prozesse im Handelsgeschäft

11.2.2.1

BTO 2.2.1 Handel

11.2.2.2

BTO 2.2.2 Abwicklung und Kontrolle

11.2.2.3

BTO 2.2.3 Abbildung im Risikocontrolling

12

BTR Anforderungen Risikosteuerungs- und –controllingprozesse

12.1

BTR 1 Adressenausfallrisiken

12.2

BTR 2 Marktpreisrisiken

12.2.1

BTR 2.1 Allgemeine Anforderungen

12.2.2

BTR 2.2 Marktpreisrisiken des Handelsbuches

12.2.3

BTR 2.3 Marktpreisrisiken des Anlagebuches

12.3

BTR 3 Liquiditätsrisiken

12.3.1

BTR 3.1 Allgemeine Anforderungen

12.3.2

BTR 3.2 Zusätzl. Anforderungen an kapitalmarktorient. Institute

12.4

BTR 4 Operationelle Risiken

13

BT 2 Besondere Anforderungen an die Ausgestaltung der Internen Revision

13.1

BT 2.1 Aufgaben der Internen Revision

13.2

BT 2.2 Grundsätze für die Interne Revision

13.3

BT 2.3 Prüfungsplanung und -durchführung

13.4

BT 2.4 Berichtspflicht

13.5

BT 2.5 Reaktion auf festgestellte Mängel

Herausgeber und Autor

MaRisk-Novelle 2012 - Veröffentlichung der Endfassung

Anschreiben an die Verbände

Geschäftszeichen BA 54-FR 2210-2012/0002

Bonn/Frankfurt a. M., 14. Dezember 2012

Sehr geehrte Damen und Herren,

in der Anlage übersende ich Ihnen die offizielle Endfassung der überarbeiteten MaRisk, die den Schlusspunkt einer mehrmonatigen Konsultation mit der Kreditwirtschaft bildet. Vorangegangen waren intensive Diskussionen mit Verbänden und Praxisvertretern zum Entwurf der MaRisk, aus der eine Reihe von konstruktiven Lösungsansätzen hervorgingen, die demgemäß auch in die Endfassung eingeflossen sind. Das neue Rundschreiben sowie einige weitere relevante Dokumente sind diesem Schreiben als Anlagen beigefügt. Alle Dokumente können zudem unter www.bafin.de und www.bundesbank.de abgerufen werden.

Über die Hintergründe für die erneute Überarbeitung, die schwerpunktmäßig in den internationalen Regulierungsvorhaben (CRD IV, EBA Guidelines on Internal Governance, CEBS Guidelines on Liquidity Cost Benefit Allocation) zu suchen sind, hatte ich Sie schon mit dem Anschreiben zum ersten Entwurf vom 26.04.2012 informiert. Sichtbaren Niederschlag haben diese internationalen Vorgaben vor allem in den neuen Modulen AT 4.4.1 (Risikocontrolling-Funktion) und AT 4.4.2 (Compliance-Funktion) sowie in den Änderungen des BTR 3.1 (Verrechnungssystem für Liquiditätskosten, -nutzen und -risiken) gefunden. Weiterhin ist das Modul AT 8 nun in drei Untermodule aufgeteilt, um die verschiedenen Aspekte, die dort abgehandelt werden – Neu-Produkt-Prozess, Änderungen betrieblicher Strukturen, Übernahmen/Fusionen - stärker voneinander abzugrenzen. Weitere Anpassungen haben teils internationalen Hintergrund (z. B. Mindestabwesenheiten von Händlern), teils dienen sie aber auch dazu, die Erwartungshaltung der Aufsicht hinsichtlich schon existierender Vorgaben stärker zu verdeutlichen (z. B. Anpassungen in AT 4.1 Tz. 8, AT 4.3.2).

Bevor ich auf die wesentlichen Punkte der Neufassung näher eingehe, möchte ich an dieser Stelle noch zwei Aspekte aufgreifen, die mir wichtig erscheinen. Zum einen ist in der nun vorgelegten MaRisk-Fassung dem Prinzip der sog. „Proportionalität nach oben“ ein stärkeres Gewicht als bisher eingeräumt. Mir ist sehr daran gelegen, dass das in den MaRisk angelegte Proportionalitätsprinzip nicht ausschließlich im Zusammenhang mit einer weniger anspruchsvollen Anwendung bei weniger großen Instituten diskutiert wird. Die von großen Instituten geforderte Einbeziehung von Inhalten einschlägiger Papiere zum Risikomanagement des Baseler Ausschusses für Bankenaufsicht und des Financial Stability Board bedeutet im Übrigen nicht, dass betroffene Institute schablonenhaft die Inhalte dieser Papiere zu sichten und undifferenziert umzusetzen hätten. Vielmehr sollen deren Inhalte in die eigenen Überlegungen zur Verbesserung des eigenen Risikomanagements einbezogen werden, um ggf. Punkte zu adressieren, die im prinzipienorientierten Rahmen der

MaRisk nicht explizit in dieser Form aufgegriffen werden. Dieser Passus im AT 1 besitzt vornehmlich Appellcharakter und ist somit nicht unbedingt als (rechts-) verbindliche Vorgabe zu verstehen. Ich behalte mir aber vor, einzelne Themen aus internationalen Papieren aufzugreifen und ihre Adressierung im Risikomanagement mit den betroffenen Instituten zu diskutieren.

Zum anderen möchte ich an dieser Stelle ankündigen, dass BaFin und Deutsche Bundesbank möglichst frühzeitig – idealerweise noch in der ersten Jahreshälfte 2013 – Sitzungen des Fachgremiums MaRisk zu einzelnen neuen Themenbereichen der MaRisk anberaumen werden, um mit der Praxis diesbezügliche Auslegungsund Anwendungsfragen zu diskutieren. Hierfür kommen aus meiner Sicht insbesondere die Themenbereiche Compliance-Funktion und Verrechnungssysteme für Liquiditätskosten, -nutzen und -risiken in Frage. Dabei bietet sich für beide Seiten – Aufsicht und Praxis - die Gelegenheit, einen vertieften Austausch bezüglich dieser MaRisk-Neuerungen zu führen und auf diese Weise sinnvolle Lösungswege zur Umsetzung der neuen Anforderungen zu erörtern.

Zu den wichtigsten Anpassungen und Ergänzungen in den MaRisk im Einzelnen:

Kapitalplanungsprozess

Mit dem Kapitalplanungsprozess, wie er nun in AT 4.1 Tz. 9 gefordert wird, soll das Risikotragfähigkeitskonzept um eine stärker zukunftsgerichtete Komponente ergänzt werden. Ziel ist die frühzeitige Identifizierung etwaigen Kapitalbedarfs, weshalb die Kapitalplanung einen mehrjährigen Zeitraum über den Risikobetrachtungshorizont des Risikotragfähigkeitskonzepts hinweg betrachten soll (in der Regel 2 bis 3 Jahre über den Risikobetrachtungshorizont hinweg). Ich möchte nochmals betonen, dass dies nicht bedeutet, dass das Risikotragfähigkeitskonzept im Sinne der MaRisk nun über einen mehrjährigen Zeitraum ausgedehnt werden soll. So zielt die Anforderung nicht etwa auf eine Ausdehnung des Risikobetrachtungshorizonts, auf den die Risikoquantifizierung im Risikotragfähigkeitskonzept abstellt. Auch bedeutet der Hinweis auf adverse Entwicklungen, denen bei der Planung Rechnung zu tragen sind, nicht automatisch die Durchführung von Stresstests im Sinne des AT 4.3.3. Institute werden naturgemäß mit Annahmen arbeiten müssen, was die Kapitalbestandteile und die ihnen gegenübergestellten Risiken im Rahmen der Planung angeht. Die Institute werden jedoch auch Überlegungen anzustellen haben, welche Auswirkungen auf die Kapitalausstattung und den Kapitalbedarf ausgehen, sollten die erwartete Entwicklung des Instituts und die zugrundeliegenden Annahmen ein zu positives Bild zeichnen. Diese Überlegungen in unterschiedlichen Szenarien abzubilden, denen jeweils unterschiedliche Annahmen zugrunde liegen, dürfte i. d. R. eine sinnvolle Vorgehensweise darstellen. Während der Konsultation ist zudem die Frage aufgekommen, ob der Kapitalplanungsprozess auf internes Kapital, auf regulatorisches Kapital oder auf beide Komponenten abzustellen hat. Wenn auch im MaRisk-Kontext die Betrachtung internen Kapitals üblich ist, bin ich der Überzeugung, dass sowohl die Betrachtung internen als auch regulatorischen Kapitals sinnvoll und erforderlich ist. In der Endfassung wird dieser Aspekt nun klargestellt.

Risikocontrolling-Funktion

Die inhaltlichen Anforderungen an die Risikocontrolling-Funktion in AT 4.4.1 (neu) stellen im Wesentlichen nichts Neues, sondern im Kern eine gebündelte Darstellung dessen dar, was schon heute im MaRisk-Kontext – implizit oder explizit – gefordert wird. Tz. 4 enthält hingegen eine Anforderung, die in dieser Form bisher nicht in den MaRisk zu finden war. Demnach ist die Leitung der Risikocontrolling-Funktion einer Person auf einer ausreichend hohen Führungsebene zu übertragen und in Abhängigkeit von der Größe des Instituts sowie des Umfangs, der Komplexität und des Risikogehalts der Geschäftsaktivitäten grundsätzlich in exklusiver Weise wahrzunehmen. Außerdem ist die Leitung der Risikocontrolling- Funktion bei wichtigen risikopolitischen Entscheidungen der Geschäftsleitung zu beteiligen. Ausdrückliche Zielsetzung ist dabei die Stärkung der Governance-Strukturen in den Instituten und insbesondere eine Stärkung der Risikosicht bei wichtigen risikopolitischen Entscheidungen. Um der Risikocontrolling-Funktion die hierfür nötige Durchschlagskraft und Unabhängigkeit zu verschaffen, sehen zudem sowohl Bankenrichtlinie als auch die einschlägigen EBA Guidelines on Internal Governance vor, dass die mit der Leitung der Risikocontrolling-Funktion betraute Person diese Aufgabe in exklusiver Weise wahrnimmt. Dabei ist es bei großen, international tätigen Instituten international gängige Praxis, dass die Leitung dieser Funktion durch einen eigenständigen Risikovorstand („CRO“) ausgeübt wird, um somit risikopolitische Fragestellungen auf Geschäftsleiterebene frühzeitig, nachdrücklich und hochrangig zu adressieren. Diese Aspekte schlagen sich auch in den MaRisk nieder, wobei ich betonen möchte, dass ich die exklusive Wahrnehmung dieser Aufgabe auf Vorstandsebene ausdrücklich nur von großen, international tätigen Instituten mit komplexen Geschäftsaktivitäten verlange. Mir ist natürlich bewusst, dass bei vielen großen Instituten das Risikocontrolling auch mit anderen Bereichen (z. B. Finanzen, Markfolge) in einem Vorstandressort gebündelt ist. Teilweise übernimmt dabei das Risikocontrolling unterhalb der Vorstandsebene auch Aufgaben, die eher dem Bereich Finanzen zugeordnet werden können oder zumindest für diesen Bereich unterstützend wirken. Inwieweit eine solche Kombination von Aufgaben bei größeren Instituten zukünftig als zulässig erachtet werden kann, hängt in meinen Augen auch vom konkreten Aufgabenzuschnitt ab. Die Trennung des Risikocontrollings von den Bereichen Finanzen und Marktfolge auf Vorstandsebene bei großen, international tätigen Instituten bleibt davon jedoch unberührt.

Compliance-Funktion

Die Diskussionen während der Konsultation bezüglich des neuen Untermoduls AT 4.4.2 hat gezeigt, dass in der Praxis noch viel Unsicherheit hinsichtlich der aufsichtlichen Erwartungshaltung herrscht. Dies betrifft sowohl den Umfang der rechtlichen Regelungen und Vorgaben, die diese Funktion im Fokus haben soll, als auch die organisatorische Einordnung und den konkreten Aufgabenumfang. Hier einige klarstellende Bemerkungen:

Im Kern zielen die neuen Anforderungen an die Compliance-Funktion auf eine angemessene Compliance-Kultur innerhalb des Instituts ab, die natürlich auch die Geschäftsbereiche umfasst. Diese werden in letzter Konsequenz für die Implementierung wirksamer Verfahren, die die Einhaltung der rechtlichen Regelungen und Vorgaben sicherstellen, auch weiterhin verantwortlich bleiben. Die Compliance-Funktion wird demgegenüber auch eine stärker beratende und koordinierende Funktion ausüben. Sie soll darauf achten, dass die Geschäftsbereiche dieser oben genannten Verantwortung nachkommen und keine unerwünschten Regelungslücken im Institut auftreten. Während der Konsultation ist mehrfach die Frage aufgekommen, welche rechtlichen Regelungen und Vorgaben dabei zu betrachten sind. Bisweilen wurde und wird befürchtet, die Aufsicht verlange einen umfassenden Ansatz, der (nahezu) alle relevanten Rechtsbereiche eines Instituts umfasst. Ich kann Ihnen versichern, dass solche Befürchtungen völlig unbegründet sind. Es würde auch die Tatsache ignorieren, dass einige wichtige Bereiche schon heute durch andere Kontroll- und Stabseinheiten bzw. spezialisierte Mitarbeiter adressiert werden. Das Risikocontrolling, das Rechnungswesen oder der Bereich Recht seien hier exemplarisch

angeführt. Wesentliche rechtliche Regelungen und Vorgaben, die im Zusammenhang mit der Compliance-Funktion relevant sind, können als solche angesehen werden, denen ein wesentliches Compliance-Risiko anhaftet. Demzufolge lassen sich die Rechtsbereiche, um die es hier in letzter Konsequenz gehen soll, deutlich stärker eingrenzen: Vorgaben zu Wertpapierdienstleistungen (WpHG), Geldwäsche und Terrorismusfinanzierung, allgemeine Verbraucherschutzvorgaben (z. B. auch mit Bezug auf das Kreditgeschäft oder andere Aktivitäten), Datenschutzvorgaben, Verhinderung doloser Handlungen zu Lasten des Instituts, ggf. weitere rechtliche Regelungen und Vorgaben, soweit sie vom Institut als unter Compliance-Gesichtspunkten wesentlich eingestuft wurden. Viele dieser Rechtsbereiche sind schon heute Gegenstand von Compliance-Vorgaben. Es erscheint mir praktikabel, die diesbezüglichen Aufgaben soweit wie möglich zu bündeln, auch wenn die Ma-Risk dies nicht zwingend einfordern. Eine dezentrale Wahrnehmung wird grundsätzlich auch weiterhin möglich sein, wobei spezielle aufsichtliche Vorgaben zu einzelnen Bereichen weiterhin zu beachten sind. Wichtig ist, dass die genannten Rechtsbereiche unter Compliance-Gesichtspunkten adressiert werden und eine entsprechende Berichterstattung an die Geschäftsleitung erfolgt.

In den MaRisk ist ferner klargestellt, dass die Aufgaben der Compliance-Funktion nicht bei der Internen Revision angesiedelt werden dürfen. Damit wird die prozessunabhängige Rolle der Revision nochmals hervorgehoben. Insbesondere soll verdeutlicht werden, dass die Durchführung von Prüfungen – unbeschadet der Durchführung von Kontrollhandlungen der Compliance-Funktion, wie sie sich auch teilweise aus speziellen rechtlichen Regelungen und Vorgaben für einzelne Bereiche ergeben – uneingeschränkt Aufgabe der Internen Revision ist und bleibt. Dies schließt im Übrigen auch die Ordnungsmäßigkeit der Compliance-Funktion selbst mit ein.

Verrechnungssystem für Liquiditätskosten, -nutzen und -risiken