Handbuch MaRisk: Hinweise zu einer konformen Ausgestaltung

Inhaltsverzeichnis

Einleitung

Überblick der wichtigsten Anpassungen und Ergänzungen

Ausblick zur 5. MaRisk-Novelle

Zielsetzung dieses Handbuches

Hintergründe und Grundlagen

Gesetzliche Grundlagen

Kernelemente: Risikomanagement und Strategiefestlegung

Umsetzung von Säule 2

Grundsatz der doppelten Proportionalität

Prüfungspraxis

Modularer Aufbau

Anwendungsbereich der MaRisk

Finanzdienstleistungsunternehmen und Wertpapierhandelsbanken

Öffnungsklauseln und unbestimmte Begriffe

Formale Öffnungsklauseln

Größe des Instituts

Wesentlichkeit

Angemessenheit und Geeignetheit

Sollte-Anforderungen

Risikoorientierte Öffnungsklauseln

Unbestimmte Begriffe

Der Begriff „grundsätzlich"

Begriffe „unverzüglich und „zeitnah

Ordnungsgemäße Geschäftsorganisation

Gesamtverantwortung der Geschäftsleitung

Risikomanagement auf Gruppenebene

Strategien

Überblick

Grundlegende Entscheidung: Aufbau des Strategiemodells

Detailliertes Modell

Kompaktes Modell

Inhalte der Strategien

Mindestinhalt der Geschäftsstrategie

Mindestinhalt der Risikostrategie

Weitere Inhalte

Operationalisierung der Strategien

Kommunikation und Prüfung der Strategien

Überprüfung und Kommunikation der Strategien durch die Geschäftsleitung

Prüfung der Strategie

Strategieprozess

Organisationsrichtlinien

Übergreifende Anforderungen

Anforderungen an die Aufbauorganisation

Grundprinzip der MaRisk-Funktionstrennung

Spezielle Anforderungen an die Funktionstrennung

Überkreuzzuständigkeiten

Umfang der Marktverantwortung des Marktfolge-Vorstands

Funktionstrennung und IT

Überprüfung von Berechtigungen und Kompetenzen

Vertretungsregelungen

Beispiele für MaRisk-konformer Aufbauorganisationen

Öffnungsklauseln zur Funktionstrennung

Funktionstrennung bei rechtlich unselbstständigen

Auslandsniederlassungen

Funktionstrennung im Kreditbereich

Funktionstrennung im Handelsbereich

Funktionstrennung der Internen Revision

Ressourcen

Personalausstattung und -qualifizierung

Beispiel für einen Weiterbildungsplan zu MaRisk-Novellen

Technisch-organisatorische Ausstattung

Entwicklung und Einsatz von IT-Systemen

Notfallkonzept

Dokumentationsanforderungen

Überblick

Weiterentwicklung der institutsinternen Dokumentationen

Outsourcing

Abgrenzungsentscheidung

Auslagerungen im Sinne des § 25b KWG

Ausnahmen – sonstiger Fremdbezug von Leistungen

Keine Auslagerungen im Sinne des § 25b KWG

Grundsatzentscheidung

Was darf ausgelagert werden?

Welche Ziele sollen erreicht werden?

Welche Anforderungen werden an das Auslagerungsunternehmen und den -prozess gestellt?

Risikoanalyse

Überblick über die Mindestanforderungen an die Risikoanalyse

Hinweise für die Durchführung einer Risikoanalyse

Hinweise für die Inhalte der Risikoanalyse

Einbindung in das Risikomanagement

Allgemeine Anforderungen

Vertragsgestaltung

Vorzeitige Beendigung

Weiterverlagerung von Aktivitäten und Prozessen

Auslagerung der Internen Revision

Anforderungen an die Prozesse

Geschäfte

Kreditgeschäfte

Handelsgeschäfte

Risikorelevante Geschäfte

Kreditgeschäft

Fonds

Handelsgeschäft

Votierung

Kreditentscheidung und Votierung

Ausnahmen von der Zwei-Voten-Regelung

Votierung bei Sanierungskrediten und Engagements in

Abbauportfolien

Votierungs- und Entscheidungskompetenz

Einzelkompetenz

Gemeinschaftskompetenz

Eskalationsverfahren

Kreditgewährung

Sicherheiten

Kreditweiterbearbeitung

Kreditbearbeitungskontrolle

Intensivbetreuung

Behandlung von Problemkrediten

Risikovorsorge

Kriterien für die Bildung der Risikovorsorge

Verfahren zur Früherkennung von Risiken

Inputfunktion

Transformationsfunktion

Outputfunktion

Risikoklassifizierungsverfahren

Anforderungen an die Prozesse im Handelsgeschäft

Handel

Abwicklung und Kontrolle

Abwicklung

Kontrolle

Abbildung im Risikocontrolling

Beteiligungen

Abgrenzung

Anpassungsprozesse

Aktivitäten in neuen Produkten oder auf neuen Märkten

Abgrenzung neuer Produkte oder neuer Märkte

Konzept

Testphase

Veränderungen betrieblicher Prozesse oder Strukturen

Übernahmen und Fusionen

Risikosteuerung und -controlling

Allgemeine Anforderungen

Wesentliche Risiken

Gesamtrisikoprofil und Risikoinventur

Risikokonzentrationen

Ertragskonzentrationen

Berücksichtigung von Risikokonzentrationen bei der Durchführungvon Stresstests

Risikokonzentrationen im Adressenausfallrisiko

Berücksichtigung von Risikokonzentrationen

Allgemeine Anforderungen an die Risikosteuerungs- und -controllingprozesse

Anforderungen an die Berichterstattung

Information der Geschäftsleitung

Information des Aufsichtsorgans

Ad-hoc-Berichterstattung

Risikotragfähigkeit

Grundidee einer Risikotragfähigkeitsbetrachtung

Verschiedene Sichtweisen auf ein Institut

Fortführungs- und Liquidationsperspektive

Zusammenführung von Sichtweisen

Risikotragfähigkeit in den MaRisk

Anforderungen an die Risikotragfähigkeit

Berücksichtigung wesentlicher Risiken

Einordnung in die strategische Hierarchie

Anforderungen an die verwendeten Methoden

Diversifikationseffekte

Kritische Analyse der Risikoquantifizierung

Stresstest-Ergebnisse und Risikotragfähigkeit

Zukunftsgerichteter Kapitalplanungsprozess

Weitere Anforderungen an die Risikotragfähigkeit

Aufsichtliche Leitlinien zur Risikotragfähigkeit

Stresstests

Überblick

Durchführung von Stresstests für die wesentlichen Risiken

Definition und Kategorisierung von Stresstests

Szenariengestaltung (historisch und hypothetisch)

Inverse Stresstests

Angemessenheit der Stresstests und der zugrunde liegenden Annahmen

Ergebnisse von Stresstests

Umgang mit den Ergebnissen von Stresstests

Information der Geschäftsleitung über Stresstests

Adressenrisikomanagement

Überblick

Adressenausfallrisiken und Risikotragfähigkeit

Begrenzung von Adressenausfallrisiken

Kreditnehmerbezogene Limitierung von Adressenausfallrisiken

Gesamtgeschäftsbezogene Begrenzung von Adressenausfallrisiken

Risikoberichterstattung

Marktpreisrisikomanagement

Überblick

Definition Marktpreisrisiken

Marktbezogene Risiken, die aus der Veränderung der Bonität

resultieren

Allgemeine Anforderungen an das Marktpreisrisikomanagement

Marktpreisrisiken des Handelsbuches

Abgrenzung Handels- und Anlagebuch

Anforderungen an die Marktpreisrisiken des Handelsbuches

Marktpreisrisiken des Anlagebuches

(einschließlich Zinsänderungsrisiken)

Anforderungen an die Marktpreisrisiken des Anlagebuches

Anforderungen an Zinsänderungsrisiken im Anlagebuch

MaRisk und standardisierter Zinsschock

Berichterstattung

Täglicher Handelsbuch-Bericht

Marktpreisrisikobericht

Ad-hoc-Berichterstattung

Liquiditätsrisikomanagement

Sicherstellen einer ausreichenden Liquidität

Liquiditätsübersicht

Liquiditätsbedarf und Notfallvorsorge

Deckung des Liquiditätsbedarfs

Erkennen eines sich abzeichnenden Liquiditätsengpasses

Notfallplanung

Durchführung von Stresstests

Berücksichtigung der Liquiditätskosten, -nutzen und -risiken

Definition von Liquiditätskosten und -nutzen

Verrechnungssystem für Liquiditätskosten, -nutzen und -risiken

Kategorisierung

Einfaches Kostenverrechnungssystem nach BTR 3.1 Tz. 5 Erläuterung

Fortgeschrittenes Kostenverrechnungssystem nach BTR 3.1 Tz. 5

Genehmigung durch die Geschäftsleitung

Liquiditätstransferpreissystem als Spezialfall des

Kostenverrechnungssystems

Liquiditätsübertragung innerhalb der Gruppe

Berichterstattung

Ad-hoc-Berichterstattung

Bericht über die Liquiditätssituation

Zusätzliche Anforderungen an kapitalmarktorientierte Institute

Arten von Liquiditätsengpässen

Zeithorizont

Zusammensetzung der Liquiditätsreserve

Management operationeller Risiken

Operationelles Risiko als „übergreifende" Risikokategorie

Regelungsgegenstand operationeller Risiken

Wesentliche Risiken und bedeutende Schadensfälle

Berichterstattung

Anforderungen an die Ausgestaltung der besonderen Funktionen

Besondere Funktionen

Die „drei Verteidigungslinien" der Corporate Governance

Information des Aufsichtsorgans bei Personalwechsel

Die Risikocontrolling-Funktion

Aufgaben der Risikocontrolling-Funktion

Informationsrecht der Risikocontrolling-Funktion

Leitung der Risikocontrolling-Funktion

Auskunftsrecht des Vorsitzenden des Aufsichtsorgans

Compliance-Funktion

Ziele und Umfang der Compliance-Funktion

Compliance als Teil des Internen Kontrollsystems

Berichterstattung

Hinweisgebersysteme („Whistleblowing")

Anforderungen an die Ausgestaltung der Internen Revision

Überblick

Interne Revision als Teil des Risikomanagements

Informationsrechte der Internen Revision

Aufgaben der Internen Revision

Grundsätze für die Interne Revision

Unabhängigkeit der Internen Revision

Funktionstrennung

Prüfungsplanung und Prüfungsdurchführung

Risikoorientierung

Prüfungsplanung

Prüfungsturnus

Sonderprüfungen

Projektbegleitende Prüfung

Prüfungspflicht bei Auslagerungen

Grundsätzliche Anforderungen

Ausgestaltung der anderweitigen Durchführung der

Revisionstätigkeit

Berichterstattung

Prüfungsbericht

Gesamtbericht

Vierteljahresbericht

Abgrenzung von Mängeln

Reaktion auf festgestellte Mängel

Auskunftsrecht des Vorsitzenden des Aufsichtsorgans

Inhalt des Auskunftsrechts

Vorgehensweise und Dokumentation

Dokumentation

Verzeichnisse und Anlagen

Abkürzungsverzeichnis

Abbildungsverzeichnis

Literaturverzeichnis

Herausgeber und Autor

Einleitung

Die Bankenaufsicht hat die „Mindestanforderungen an das Risikomanagement (MaRisk)" mit Schreiben vom 14. Dezember 2012 zuletzt novelliert. Die Hintergründe für die Überarbeitung lagen in den internationalen Regulierungsvorhaben: CRD IV, EBA Guidelines on Internal Governance und CEBS Guidelines on Liquidity Cost Benefit Allocation.

Diese Änderungen haben sich vor allem in den neuen Modulen AT 4.4.1 (Risikocontrolling-Funktion) und AT 4.4.2 (Compliance-Funktion) sowie in den Änderungen des BTR 3.1 (Verrechnungssystem für Liquiditätskosten, -nutzen und - risiken) niedergeschlagen. Außerdem ist das Modul AT 8 nun in drei Untermodule aufgeteilt, um die verschiedenen Aspekte, die dort abgehandelt werden – Neu-Produkt-Prozess, Änderungen betrieblicher Strukturen, Übernahmen/Fusionen - stärker voneinander abzugrenzen.

Weitere Anpassungen haben teils internationalen Hintergrund (z. B. Mindestabwesenheiten von Händlern), teils dienen sie aber auch dazu, die Erwartungshaltung der Aufsicht hinsichtlich schon existierender Vorgaben besser zu verdeutlichen (z. B. Anpassungen in AT 4.1 Tz. 8, AT 4.3.2).

Noch größeren Stellenwert erlangt hat die sog. „Proportionalität nach oben" erhalten: Die Aufsicht möchte das in den MaRisk angelegte Proportionalitätsprinzip nicht ausschließlich im Zusammenhang mit einer weniger anspruchsvollen Anwendung bei weniger großen Instituten diskutieren. Die von großen Instituten geforderte Einbeziehung von Inhalten einschlägiger Papiere zum Risikomanagement des Baseler Ausschusses für Bankenaufsicht und des Financial Stability Board bedeutet im Übrigen nicht, dass betroffene Institute schablonenhaft die Inhalte dieser Papiere sichten und undifferenziert umzusetzen sollen. Vielmehr sollen deren Inhalte in die eigenen Überlegungen zur Verbesserung des eigenen Risikomanagements einbezogen werden, um ggf. Punkte zu adressieren, die im prinzipienorientierten Rahmen der MaRisk nicht explizit in dieser Form aufgegriffen werden. Dieser Passus im AT 1 besitzt vornehmlich Appellcharakter und ist somit nicht unbedingt als (rechts-) verbindliche Vorgabe zu verstehen. Die Aufsicht behält sich jedoch vor, einzelne Themen aus internationalen Papieren aufzugreifen und die Adressierung im Risikomanagement mit betroffenen Instituten zu diskutieren.

Überblick der wichtigsten Anpassungen und Ergänzungen

Kapitalplanungsprozess

Mit dem Kapitalplanungsprozess, wie er nun in AT 4.1 Tz. 9 gefordert wird, soll das Risikotragfähigkeitskonzept um eine stärker zukunftsgerichtete Komponente ergänzt werden. Ziel ist die frühzeitige Identifizierung etwaigen Kapitalbedarfs, die Kapitalplanung soll über einen mehrjährigen Zeitraum über den Risikobetrachtungshorizont des Risikotragfähigkeitskonzepts hinweg betrachten werden (in der Regel 2 bis 3 Jahre über den Risikobetrachtungshorizont hinweg).

Dies bedeutet jedoch nicht, dass das Risikotragfähigkeitskonzept im Sinne der MaRisk nun über einen mehrjährigen Zeitraum ausgedehnt werden soll. Auch bedeutet der Hinweis auf adverse Entwicklungen, denen bei der Planung Rechnung getragen werden sollte, nicht automatisch die Durchführung von Stresstests im Sinne des AT 4.3.3. Institute werden naturgemäß mit Annahmen arbeiten müssen, was die Kapitalbestandteile und die ihnen gegenübergestellten Risiken im Rahmen der Planung angeht.

Die Institute müssen jedoch auch Überlegungen anzustellen haben, welche Auswirkungen sich auf die Kapitalausstattung und den Kapitalbedarf ergeben, falls die erwartete Entwicklung des Instituts und die zugrundeliegenden Annahmen ein zu positives Bild zeichnen. Diese Überlegungen in unterschiedlichen Szenarien abzubilden, denen jeweils unterschiedliche Annahmen zugrunde liegen, dürfte i. d. R. eine sinnvolle Vorgehensweise darstellen.

Im Rahmen der Konsultation und Arbeitskreissitzungen ist zudem die Frage aufgekommen, ob der Kapitalplanungsprozess auf internes Kapital, auf regulatorisches Kapital oder auf beide Komponenten abzustellen hat. Wenn auch im MaRisk-Kontext die Betrachtung internen Kapitals üblich ist, ist die Aufsicht hier der Auffassung, dass sowohl die Betrachtung internen als auch regulatorischen Kapitals sinnvoll und erforderlich ist.

Risikocontrolling-Funktion

Die inhaltlichen Anforderungen an die Risikocontrolling-Funktion in AT 4.4.1 (neu) stellen im Wesentlichen nichts Neues, sondern im Kern eine gebündelte Darstellung dessen dar, was schon heute im MaRisk-Kontext – implizit oder explizit – gefordert wird. Tz. 4 enthält hingegen eine Anforderung, die in dieser Form bisher nicht in den MaRisk zu finden war.

Demnach ist die Leitung der Risikocontrolling-Funktion auf einer ausreichend hohen Führungsebene zu anzusiedeln und in Abhängigkeit von der Größe des Instituts sowie des Umfangs, der Komplexität und des Risikogehalts der Geschäftsaktivitäten grundsätzlich als exklusive Aufgabe wahrzunehmen. So soll die Risikocontrolling-Funktion die nötige Durchschlagskraft und Unabhängigkeit erhalten. Das wird durch die Bankenrichtlinie und die einschlägigen EBA Guidelines on Internal Governance unterstrichen.

Die Leitung der Risikocontrolling- Funktion muss bei wichtigen risikopolitischen Entscheidungen der Geschäftsleitung beteiligt werden. Dadurch soll die Stärkung der Governance-Strukturen in den Instituten und insbesondere eine Stärkung der Risikosicht bei wichtigen risikopolitischen Entscheidungen sichergestellt werden.

Dabei ist es bei großen, international tätigen Instituten international gängige Praxis, dass die Leitung dieser Funktion durch einen eigenständigen Risikovorstand („CRO") ausgeübt wird, um risikopolitische Fragestellungen auf Geschäftsleiterebene frühzeitig, nachdrücklich und hochrangig zu adressieren. Allerdings verlangt die Aufsicht ausdrücklich nur von großen, international tätigen Instituten mit komplexen Geschäftsaktivitäten die Wahrnehmung dieser Aufgabe auf Vorstandsebene.

Es ist auch gängige Praxis, dass bei vielen (großen) Instituten das Risikocontrolling auch mit anderen Bereichen (z. B. Finanzen, Markfolge) in einem Vorstandressort gebündelt wird. Dabei kann das Risikocontrolling unterhalb der Vorstandsebene auch Aufgaben übernehmen, die eher dem Bereich Finanzen zugeordnet werden können oder zumindest für diesen Bereich unterstützend wirken.

Inwieweit eine solche Kombination von Aufgaben bei größeren Instituten zukünftig als zulässig erachtet werden kann, hängt auch vom konkreten Aufgabenzuschnitt ab. Die Trennung des Risikocontrollings von den Bereichen Finanzen und Marktfolge auf Vorstandsebene bei großen, international tätigen Instituten bleibt davon jedoch unberührt.

Compliance-Funktion

Die Diskussionen während der Konsultation bezüglich des neuen Untermoduls AT 4.4.2 hat gezeigt, dass in der Praxis noch viel Unsicherheit hinsichtlich der aufsichtlichen Erwartungshaltung herrscht. Dies betrifft sowohl den Umfang der rechtlichen Regelungen und Vorgaben, die diese Funktion im Fokus haben soll, als auch die organisatorische Einordnung und den konkreten Aufgabenumfang. Hier einige klarstellende Bemerkungen:

Im Kern zielen die neuen Anforderungen an die Compliance-Funktion auf eine angemessene Compliance-Kultur innerhalb des Instituts ab, die natürlich auch die Geschäftsbereiche umfasst. Diese werden in letzter Konsequenz für die Implementierung wirksamer Verfahren, die die Einhaltung der rechtlichen Regelungen und Vorgaben sicherstellen, auch weiterhin verantwortlich bleiben. Die Compliance-Funktion wird demgegenüber auch eine stärker beratende und koordinierende Funktion ausüben.

Sie soll darauf achten, dass die Geschäftsbereiche dieser oben genannten Verantwortung nachkommen und keine unerwünschten Regelungslücken im Institut auftreten. Während der Konsultation ist mehrfach die Frage aufgekommen, welche rechtlichen Regelungen und Vorgaben dabei zu betrachten sind. Bisweilen wurde und wird befürchtet, die Aufsicht verlange einen umfassenden Ansatz, der (nahezu) alle relevanten Rechtsbereiche eines Instituts umfasst.

Wesentliche rechtliche Regelungen und Vorgaben, die im Zusammen-hang mit der Compliance-Funktion relevant sind, können als solche angesehen werden, denen ein wesentliches Compliance-Risiko anhaftet. Demzufolge lassen sich die Rechtsbereiche, um die es hier in letzter Konsequenz gehen soll, deutlich stärker eingrenzen: Vorgaben zu Wertpapierdienstleistungen (WpHG), Geldwäsche und Terrorismusfinanzierung, allgemeine Verbraucherschutzvorgaben (z. B. auch mit Bezug auf das Kreditgeschäft oder andere Aktivitäten), Datenschutzvorgaben, Verhinderung doloser Handlungen zu Lasten des Instituts, ggf. weitere rechtliche Regelungen und Vorgaben, soweit sie vom Institut als unter Compliance-Gesichtspunkten wesentlich eingestuft wurden.

Viele dieser Rechtsbereiche sind schon heute Gegenstand von Compliance-Vorgaben. Es erscheint jedoch sinnvoll, diese Aufgaben soweit wie möglich zu bündeln, auch wenn die Ma-Risk dies nicht zwingend einfordern. Eine dezentrale Wahrnehmung wird grundsätzlich auch weiterhin möglich sein, wobei spezielle aufsichtliche Vorgaben zu einzelnen Bereichen weiterhin zu beachten sind. Wichtig ist, dass die genannten Rechtsbereiche unter Compliance-Gesichtspunkten adressiert werden und eine entsprechende Berichterstattung an die Geschäftsleitung erfolgt.

In den MaRisk ist ferner klargestellt, dass Aufgaben der Compliance-Funktion nicht bei der Internen Revision angesiedelt werden dürfen. Damit wird die prozess-unabhängige Rolle der Revision nochmals hervorgehoben. Insbesondere ist die Durchführung von Prüfungen – unbeschadet der Durch-führung von Kontrollhandlungen der Compliance-Funktion, wie sie sich auch teil-weise aus speziellen rechtlichen Regelungen und Vorgaben für einzelne Bereiche ergeben – uneingeschränkt Aufgabe der Internen Revision. Dies schließt auch die Ordnungsmäßigkeit der Compliance-Funktion selbst mit ein.

Verrechnungssystem für Liquiditätskosten, -nutzen und -risiken

Tz. 5 enthält nun die allgemeine Anforderung zur Einrichtung eines solchen Verrechnungssystems, die detaillierten Anforderungen, wie sie sich auch aus den einschlägigen CEBS Guidelines ergeben, finden sich in den Tzn. 6 und 7 wieder.

Die Anwendung dieser Anforderungen bleibt zudem auf große Institute mit komplexen Geschäftsaktivitäten beschränkt. Weniger große Institute mit weniger komplexen Geschäftsaktivitäten können hingegen einfachere Verfahren zur internen Verrechnung der Liquiditätskosten, -nutzen und -risiken zur Anwendung bringen.

Insbesondere können Institute mit vorwiegend kleinteiligem Kundengeschäft und einer stabilen Refinanzierung hierfür auf einfache Kostenverrechnungssysteme zurückgreifen.

Auch die detaillierten Anforderungen an große Institute sind im Vergleich zum ersten Entwurf offener gestaltet: So wird nun klargestellt, dass bei der Verrechnung der Kosten, Nutzen und Risiken eine Zusammenfassung von Produkten mit gleich-artigen Liquiditätseigenschaften möglich ist. Allerdings soll die Verrechnung nicht auf Positionsebene erfolgen, sondern soll möglichst auf Transaktionsebene heruntergebrochen werden. Ferner kann die Verrechnung der Kosten für das Halten von Liquiditätsreserven auf die Liquidität verbrauchenden Einheiten allgemein innerhalb des Verrechnungssystems erfolgen und muss nicht zwingend in den „originären" internen Preisen enthalten sein.

Ausblick zur 5. MaRisk-Novelle

Mit Spannung warten die Banken derzeit auf die Veröffentlichung der fünften Ma-Risk-Novelle. Seit 2013 arbeiten BaFin und Deutsche Bundesbank gemeinsam am Ausbau der Mindestanforderungen an das Risikomanagement, die noch 2015 zur Konsultation gestellt und voraussichtlich 2016 in Kraft treten sollen. Änderungen sind unter anderem aufgrund der konkretisierten Baseler Anforderungen an eine angemessene Risikokultur (BCBS 294) und an die Risikodatenaggregation und Risikoberichterstattung (BCBS 239¹) zu erwarten.

Die Risikokultur beschreibt in der Definition der BaFin die Art und Weise, wie Bankmitarbeiter mit Risiken umgehen. Künftig sollen die Geschäftsleiter verpflichtet werden, eine angemessene Risikokultur zu entwickeln, zu fördern und zu integrieren. Dies soll beim Management und innerhalb der Belegschaft ein Risikobewusstsein schaffen, das sich positiv auf das tägliche Denken und Handeln auswirkt. Zudem soll die Risikokultur den Mitarbeitern verdeutlichen, welches Verhalten erwünscht ist und welches nicht und – damit einhergehend – welche Risiken das Institut eingehen kann und welche nicht.

Die MaRisk-Anforderungen an die Berichterstattung werden analog zu BCBS 239 zur Folge haben, dass vor allem größere Institute ihre Risikoberichte deutlich zeitnäher erstellen müssen. Nach den neuen MaRisk müssen die Institute künftig sicherzustellen, dass Datenstruktur und Datenhierarchie eine zweifelsfreie Identifizierung, Zusammenführung und Auswertung von Daten gewährleisten. Bereits jetzt und auch in den kommenden Jahren werden noch weitere Vorgaben umzusetzen sein, die z.B. aus den überarbeiteten Meldepflichten für Finanzberichterstattung (FINREP), den Solvabilitäts- und Kapitaladäquanzmeldungen (COREP) oder Änderungen bei den International Financial Reporting Standards (IFRS) resultieren. Außerdem werden sich vor allem in Stressphasen die Berichtsintervalle verkürzen, wobei die Aufsicht – so das Versprechen im aktuellen Jahresbericht der BaFin – das Proportionalitätsprinzip beachten wird. Die Risikoberichterstattung soll dadurch zu einem schlagkräftigeren Steuerungsinstrument werden. Die Regulatoren erwarten, dass die Berichte vollständig, richtig und aktuell sind sowie auf (Risiko-)Daten beruhen, die flexibel für die Erfordernisse des Risikomanagements aufbereitet werden können.

Außerdem sind die verstärkten Anforderungen an die Auslagerung etwa von Prozessen, Organisationseinheiten und Dienstleistungen hervorzuheben, durch die das Management besonderer, mit Auslagerungen verbundener Risiken effektiver ausgestaltet werden soll. Künftig soll eine komplette Auslagerung einzelner Kontrollfunktionen wie etwa des Risikocontrollings und der Internen Revision nur noch bei kleinen Instituten möglich sein. Ziel ist es, die Kontrollfunktionen möglichst in den Instituten zu belassen und dadurch dem Verlust von dringend benötigter Expertise vorzubeugen.

Darüber hinaus hat die Geschäftsleitung nach den MaRisk künftig einen zentralen Auslagerungsbeauftragten zu benennen, der unter anderem ein angemessenes Auslagerungsmanagement implementieren und weiterentwickeln und der zudem die Einhaltung institutsinterner und gesetzlicher Anforderungen bei Auslagerungen überwachen soll. Damit soll erreicht werden, dass in den Instituten eine zentrale Stelle den Gesamtüberblick über ausgelagerte Aktivitäten und Prozesse wahrt und so die Geschäftsleitung bei der Steuerung und Überwachung damit verbundener Risiken unterstützt.

Die Verzögerung bei der Veröffentlichung der fünften MaRisk-Novelle, in anderer Formulierung auch als MaRisk 6.0 bezeichnet, hat vor allem formale Gründe. Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und Deutsche Bundesbank arbeiten gemeinsam am Ausbau der Mindestanforderungen an das Risikomanagement, die ursprünglich 2015 zur Konsultation gestellt werden sollten.

Die neuen MaRisk werden nicht mehr in Form eines Rundschreibens zur Konkretisierung der Verwaltungspraxis veröffentlicht, sondern als Verordnung. Durch die Umstellung auf eine Verordnung soll eine höhere Rechtssicherheit gewährleistet und die Akzeptanz auf internationaler Ebene erhöht werden. In der Konsequenz müssen unbestimmte Formulierungen und Öffnungsklauseln in der bisherigen Form juristisch konkretisiert werden, was zu erheblichen zeitlichen Verzögerungen führt.

Die MaRisk sollen aber auch in Zukunft prinzipienbasiert bleiben. Ihrer Rechtsnatur nach sind sie in der bisherigen Form normeninterpretierende Verwaltungsanweisungen, die eine Selbstbindung der deutschen Aufsicht gegenüber den Finanzinstituten bzw. Versicherungen darstellen. Die MaRisk konkretisieren im Kern den § 25a KWG und setzen die qualitativen Anforderungen aus Basel III an das Risikocontrolling und die entsprechenden bankaufsichtlichen Überprüfungsprozesse in deutsches Recht um. Durch die Umwandlung in eine Verordnung erhalten die Ma-Risk eine höhere Rechtsbedeutung und werden z.B. der Solvabilitätsverordnung (SolvV), der Groß- und Millionenkreditverordnung (GroMiKV) oder der Institutsvergütungsverordnung (InstitutsVergV) gleichgesetzt.

Neben den MaRisk sollen auch die Mindestanforderungen an die Ausgestaltung von Sanierungsplänen (MaSan) sowie ggf. die Bankaufsichtlichen Anforderungen an die IT (BAIT) in eine Verordnung umgewandelt werden. Vorher stehen allerdings noch bundespolitische Entscheidungen an. So ist für die 48. Sitzung des Finanzausschusses des Deutschen Bundestags am 1. Juli 2015 eine Anhörung zum Entwurf eines Gesetzes zur Anpassung des nationalen Bankenabwicklungsrechts an den Einheitlichen Abwicklungsmechanismus und die europäischen Vorgaben zur Bankenabgabe (AbwMechG) geplant, in deren Rahmen auch die MaRisk-Verordnungsermächtigung ein Thema sein wird.

Zielsetzung dieses Handbuches

Für eine Umsetzung der MaRisk-Regelungen gilt es vor allem, die Mindest-Anforderungen aufzuzeigen, zu interpretieren kommentieren und damit auch kleineren Instituten eine wirkungsvolle Umsetzungsempfehlungen zur Verfügung zu stellen. Das beinhaltet hauptsächlich:

die strukturierte Darstellung aller Mindestanforderungen,

Beschreibung von Umsetzungsspielräume und Hinweise auf Öffnungsklauseln,

das Hinweisen auf relevante Ergänzungstexte, angrenzende Regelungen (z. B. Basel III, KWG, HGB, WpHG) und vorhandene Praxislösungen sowie

die Aufarbeitung aller wesentlichen Inhalte und Anforderungen, ergänzt um notwendige Konkretisierungen.

Die offene Formulierung der MaRisk sowie der aufsichtliche Grundsatz der doppelten Proportionalität fordern ein hohes Maß an Transformationsleistung bei der Interpretation und auch Kreativität bei der konkreten Umsetzung in den. Die MaRisk bieten Gestaltungsspielräume und setzt auf die Eigenverantwortlichkeit der Geschäftsleiter in der jeweiligen Geschäftspolitik.

Strenggenommen müssen die MaRisk gar nicht umgesetzt, sondern „nur bei der Ausgestaltung der internen Verfahren und Prozesse beachtet werden. Betriebswirtschaftlich sinnvolle Prozesse können daher in der Regel nicht gegen die MaRisk verstoßen, wobei sich „betriebswirtschaftlich sinnvoll immer auf die konkreten Rahmenbedingungen eines Instituts bezieht.

Deshalb enthält dieses Handbuch auch keine konkrete Umsetzungsanleitung:

Im Rahmen der qualitativen Bankenaufsicht gibt es kein „one size fits all. Umsetzungen können für ein Institut „angemessen sein, während die gleiche Umsetzung für ein anderes Institute überdimensioniert oder sogar nicht ausreichend wäre.

Die MaRisk sind Mindestvorgaben und müssen auf die individuellen Gegebenheiten eines Instituts angepasst werden. Ansonsten würde die offene Formulierung der MaRisk konterkariert werden.

Gestaltung und Umsetzung sind immer abhängig von den personellen und technischen Ressourcen eines Instituts.

Eine Gliederung in verschiedene Dimensionen und die Berücksichtigung

Es werden daher keine Lösungen beschrieben, sondern Kriterien für MaRiskkonforme Lösungen dargestellt. Das Handbuch orientiert sich an den Modulen der MaRisk, dabei wurde versucht, die Organisationsstruktur eines Instituts abzubilden:

Kapitel 1: Allgemeinen Überblick über die MaRisk, rechtliche Einordnung in das nationale und internationale Aufsichtsrecht, Anwendungsbereich und generelle Öffnungsklauseln.

Kapitel 2: Allgemeinen Anforderungen an eine ordnungsgemäße Geschäftsorganisation, Institutsstrategien, Gesamtverantwortung der Geschäftsführung und die Anforderungen an die Organisationsrichtlinien.

Kapitel 3: Übergreifenden Anforderungen der MaRisk. Es beinhaltet die Anforderungen an die Aufbauorganisation, die Ressourcenausstattung, die Dokumentationen und das Outsourcing von Aktivitäten und Prozessen.

Kapitel 4: Anforderungen an die Prozesse im Kredit- und Handelsgeschäft und Anpassungsprozesse.

Kapitel 5: Anforderungen an die Risikosteuerung und das Risikocontrolling, wesentlichen Risiken, die Risikotragfähigkeit, Durchführung von Stresstests Risikokonzentrationen.

Kapitel 6: Besonderen Funktionen, die Risikocontrolling-Funktion und die Compliance-Funktion.

Kapitel 7: Ausgestaltung der Internen Revision

Abbildung 1: Inhaltlicher Aufbau der MaRisk

¹ Details siehe: BCBS 239: Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung von Gogarn, Jörg; ISBN 978-3-7386-1956-0; Verlag: Books on Demand

1 Hintergründe und Grundlagen

Mit den „Mindestanforderungen an das Risikomanagement" hält die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) fest, welche Prinzipien in Deutschland tätige Kredit- und Finanzdienstleistungsinstitute bei der Ausgestaltung ihres Risikomanagements zu beachten haben. Sie geben den qualitativen Rahmen für die Umsetzung des bankaufsichtlichen Überprüfungsverfahrens vor.

Die MaRisk werden als Rundschreiben der BaFin veröffentlicht. Jeder Novellierung der MaRisk geht ein intensiver Konsultationsprozess voraus. Die Ausgestaltung der Inhalte erfolgt im aufsichtlichen Fachgremium MaRisk, in dem Experten der Kreditwirtschaft und der Wirtschaftsprüfung, Vertreter der Spitzenverbände sowie der BaFin und der Deutschen Bundesbank zusammenkommen.

Die aktuelle Fassung der MaRisk wurde am 14. Dezember 2012 durch die BaFin veröffentlicht. Es handelt sich hierbei um die vierte MaRisk-Novelle.

Die MaRisk wurden erstmals im Jahre 2005 veröffentlicht. Mit ihnen wurden die drei vorangegangenen Mindestanforderungen (Verwaltungsvorschriften) an

das Betreiben von Handelsgeschäften (MaH, 1995),

das Kreditgeschäft (MaK, 2002) und

die Ausgestaltung der Internen Revision (MaIR, 2000)

in einem einheitlichen Regelungswerk zusammengefasst und um zuvor noch nicht geregelte Handlungsfelder wie z. B. Zinsänderungsrisiken, operationelle Risiken und Liquiditätsrisiken ergänzt.

Im Oktober 2007 integrierte die erste MaRisk-Novelle die bis dahin bestehenden Outsourcing-Rundschreiben der BaFin in die MaRisk². Die Finanzkrise, internationale Regulierungsempfehlungen und Erkenntnisse aus der Aufsichts- und Prüfungspraxis führten im August 2009 zur zweiten und im Dezember 2010 zur dritten Novelle der MaRisk. Hintergründe der aktuellen, vierten Neufassung der MaRisk sind vor allem

die Überarbeitung der EU-Bankenrichtlinie zur Umsetzung Basel III (CRD IV),

die EBA-Leitlinien zur internen Governance von Finanzinstituten (GL 44),

die CEBS-Leitlinien zur Allokation von Liquiditätskosten (GL 36) sowie

Empfehlungen des European Systemic Risk Board (ESRB) zu Fremdwährungsdarlehen (ESRB/ 2011/ 1) und zur Finanzierung der Kreditinstitute in US-Dollar (ESRB/ 2011/ 2).

Die Anforderungen und Empfehlungen dieser internationalen Papiere werden durch die MaRisk in die Verwaltungspraxis der deutschen Aufsichtsbehörden überführt.

Gesetzliche Grundlagen

Gesetzliche Grundlage der MaRisk ist § 25a Kreditwesengesetz, der von den Instituten eine ordnungsgemäße Geschäftsorganisation fordert. Diese soll die Einhaltung der vom Institut zu beachtenden gesetzlichen Bestimmungen und der betriebswirtschaftlichen Notwendigkeiten gewährleisten.

Die MaRisk konkretisieren den unbestimmten Rechtsbegriff der ordnungsgemäßen Geschäftsorganisation für die Prüfungspraxis der Aufsicht. Es handelt sich hierbei um eine sogenannte norminterpretierende bzw. -konkretisierende Verwaltungsvorschrift. Diese stellt als „Innenrecht der Verwaltung" eine gleichmäßige Auslegung unbestimmter Rechtsbegriffe sicher. Die MaRisk sind jedoch weit mehr als eine Konkretisierung von § 25a sowie § 25b KWG.

So sind die MaRisk über die Prüfungspraxis sowohl für die Institute als auch für die Prüfer faktisch bindend und entfalten ihre Wirkung über die Verwaltungspraxis hinaus. Zu Recht weist die Aufsicht darauf hin, dass bei einem völligen Fehlen von Auslegungshinweisen aufgrund der extrem weit gefassten Ermessens- und Auslegungsspielräume für die Aufseher und Prüfer unsachgemäße Beurteilungen – wenn nicht sogar willkürliche Maßnahmen – nicht vollständig ausgeschlossen werden können.

Werden aufsichtliche Maßnahmen, wie etwa die Verhängung eines Bußgeldes oder ein Abberufungsverfahren, angeordnet, bezieht sich das jedoch nicht auf die fehlende Einhaltung der MaRisk, sondern auf die Verletzung der zugrunde liegenden Rechtsnormen des KWG. Eine wiederholte oder besonders schwerwiegende Verletzung der Verwaltungsvorschrift wird die Vermutung begründen, dass eine ordnungsgemäße Geschäftsorganisation nicht vorliegt, und somit entsprechende Maßnahmen nach sich ziehen.

Mit der ab dem 1. Januar 2014 gültigen Fassung des KWG, das die Änderungen aus dem CRD IV-Umsetzungsgesetz sowie aus dem sogenannten Trennbankengesetz enthält, bestehen vereinzelt Abweichungen zwischen dem KWG und den Formulierungen der MaRisk: z.B. sind die Anforderungen an das Risikomanagement auf Gruppenebene (ehem. Abs. 1a) nun in Absatz 3 des § 25a KWG geregelt, und die Ausführungen zum Outsourcing finden sich in § 25b KWG wieder (statt in § 25a Abs. 2). Diese Abweichungen haben allerdings keine Auswirkungen. Sie werden mit einer neuen MaRisk-Novelle angepasst.

Abbildung 2: Umsetzung europäischer Vorgaben in nationales Recht

Bei möglichen Inkonsistenzen zwischen KWG und den MaRisk, gelten für die Institute die gesetzlichen Vorschriften des KWG bzw. die dazugehörigen Rechtsverordnungen. Europarechtliche Verordnungen wie die CRR haben aufgrund ihrer unmittelbaren Durchgriffswirkung Vorrang bei möglicherweise bestehenden Inkonsistenzen mit nationalem Verwaltungsrecht.

AT 1 – Textziffer 1

Dieses Rundschreiben gibt auf der Grundlage des § 25a Abs. 1 des Kreditwesengesetzes (KWG) einen flexiblen und praxisnahen Rahmen für die Ausgestaltung des Risikomanagements der Institute vor. Es präzisiert ferner die Anforderungen des § 25a Abs. 1a und Abs. 2 KWG (Risikomanagement auf Gruppenebene, Outsourcing).

Ein angemessenes und wirksames Risikomanagement umfasst unter Berücksichtigung der Risikotragfähigkeit insbesondere die Festlegung von Strategien sowie die Einrichtung interner Kontrollverfahren. Die internen Kontrollverfahren bestehen aus

dem internen Kontrollsystem und

der Internen Revision.

Das interne Kontrollsystem umfasst insbesondere

Regelungen zur Aufbau- und Ablauforganisation,

Prozesse zur Identifizierung, Beurteilung, Steuerung, Überwachung sowie Kommunikation der Risiken (Risikosteuerungs- und -controllingprozesse) und

eine Risikocontrolling-Funktion und eine Compliance-Funktion.

Das Risikomanagement schafft eine Grundlage für die sachgerechte Wahrnehmung der Überwachungsfunktionen des Aufsichtsorgans und beinhaltet deshalb auch dessen angemessene Einbindung.

Kernelemente: Risikomanagement und Strategiefestlegung

Ein zentrales Kernelement der MaRisk ist der Begriff des Risikomanagements. Der Begriff ist im Vergleich zur herkömmlichen Definition (Steuerung der Risiken) weit gefasst zu verstehen.

Der § 25a Abs. 1 KWG verlangt von den Instituten eine ordnungsgemäße Geschäftsorganisation, sie muss insbesondere

„ein angemessenes und wirksames Risikomanagement umfassen, auf dessen Basis ein Institut die Risikotragfähigkeit laufend sicherzustellen hat; das Risikomanagement umfasst insbesondere

die Festlegung von Strategien […];

Verfahren zur Ermittlung und Sicherstellung der Risikotragfähigkeit […];

die Einrichtung interner Kontrollverfahren mit einem internen Kontrollsystem und einer Internen Revision […];

eine angemessene personelle und technisch-organisatorische Ausstattung des Instituts;

die Festlegung eines angemessenen Notfallkonzepts, insbesondere für IT-Systeme, und

angemessene, transparente und auf eine nachhaltige Entwicklung des Instituts ausgerichtete Vergütungssysteme für Geschäftsleiter und Mitarbeiter […]"

Die Grundlage des Risikomanagements ist zunächst eine kritische Bestandsaufnahme der existierenden Risiken (Gesamtrisikoprofil) und die Bestimmung des bestehenden Risikodeckungspotenzials (AT 4.1). Daraus wird zunächst eine übergreifende Geschäftsstrategie und daraus wiederum Teilstrategien abgeleitet (AT 4.2), deren Detaillierung von Art, Umfang, Komplexität und Risikogehalt der betriebenen Geschäfte abhängt.

Dazu sind angemessene interne Kontrollverfahren zu installieren, die sich wiederum in ein internes Kontrollsystem zur prozessabhängigen Überwachung (AT 4.3) u.a. durch die Risikocontrolling- und die Compliance-Funktion und in die Interne Revision (AT 4.4) als prozessunabhängige Überwachung aufteilen.

Diese unbestimmten Anforderungen werden durch die MaRisk konkretisiert. Die MaRisk betonen bereits in AT 1 Tz. 1 die Bedeutung des Aufsichtsorgans für die Wahrnehmung der Überwachungsfunktion.

Das Aufsichtsorgan ist angemessen in die Prozesse einzubinden. Dementsprechend finden sich im weiteren Verlauf der MaRisk detaillierte Kontroll-, Erörterungs- und Kenntnisnahmepflichten des Aufsichtsorgans. Die Geschäftsleiter haben dem Aufsichtsorgan außerdem ein direktes Auskunftsrecht gegenüber der Internen Revision einzuräumen.

Abbildung 3: Hierarchie der MaRisk

Der internationale Trend zur Stärkung der Rechte des Aufsichtsorgans wird damit in den MaRisk umgesetzt (Stichwort: „Corporate Governance bzw. „Internal Governance).³

Nach AT 1 Tz. 2 zielen die MaRisk vor allem auf die Einrichtung angemessener institutsinterner Leitungs-, Steuerungs- und Kontrollprozesse ab. Als Grundlage für die sachgerechte Wahrnehmung der Überwachungsfunktion des Aufsichtsorgans beinhaltet dies auch seine angemessene Einbindung.

Abbildung 4: Einbindung des Aufsichtsorgans

Basel II Tz. 730: Das oberste Verwaltungsorgan⁴ trägt die Verantwortung für die Festlegung der Risikotoleranz der Bank. Es sollte außerdem sicherstellen, dass die Geschäftsleitung ein Regelwerk für die Beurteilung der verschiedenen Risiken einführt, ein System entwickelt, mittels dessen das Risiko zur Kapitalausstattung der Bank in Beziehung gebracht werden kann, und eine Methode einführt, um die Einhaltung der internen Vorschriften zu überwachen. Es ist gleichermaßen von Bedeutung, dass das oberste Verwaltungsorgan strikte interne Kontrollen und

schriftliche Vorschriften und Verfahrensweisen einführt und unterstützt; das oberste Verwaltungsorgan sollte sicherstellen, dass die Geschäftsleitung diese Regelungen in der gesamten Bankorganisation wirksam vermittelt.

Diese Einbindung des Aufsichtsorgans in die institutsinternen Strukturen findet sich an den entscheidenden Stellen (strategische Vorgaben, Berichterstattung und Kontrolle der Geschäftsleitung) des Steuerungsprozesses wieder.

Umsetzung von Säule 2

Das Regelwerk MaRisk deckt die an die Institute gestellten qualitativen Anforderungen aus der Säule 2 (ICAAP) ab und setzen die qualitativen Anforderungen des SRP an die Institute in nationales Recht um:

Abbildung 5: Umsetzung der qualitativen Anforderungen des SRP

AT 1 – Textziffer 2

Das Rundschreiben gibt zudem einen qualitativen Rahmen für die Umsetzung der Art. 22 und 123 der Richtlinie 2006/48/EG (Bankenrichtlinie) vor.

Danach sind von den Instituten angemessene Leitungs-, Steuerungs- und Kontrollprozesse („Robust Governance Arrangements) sowie Strategien und Prozesse einzurichten, die gewährleisten, dass genügend internes Kapital zur Abdeckung aller wesentlichen Risiken vorhanden ist (Interner Prozess zur Sicherstellung der Risikotragfähigkeit – „Internal Capital Adequacy Assessment Process).

Die Qualität dieser Prozesse ist von der Aufsicht gemäß Art. 124 der Bankenrichtlinie im Rahmen des bankaufsichtlichen Überwachungsprozesses regelmäßig zu beurteilen („Supervisory Review and Evaluation Process").

Das Rundschreiben ist daher unter Berücksichtigung des Prinzips der doppelten Proportionalität der Regelungsrahmen für die qualitative Aufsicht in Deutschland („Supervisory Review Process").

Der sachgerechte Umgang mit dem Proportionalitätsprinzip seitens der Institute beinhaltet in dem prinzipienorientierten Aufbau der MaRisk auch, dass Institute im Einzelfall über bestimmte, in den MaRisk explizit formulierte Anforderungen hinaus weitergehende Vorkehrungen treffen, soweit dies zur Sicherstellung der Angemessenheit und Wirksamkeit des Risikomanagements erforderlich sein sollte.

Insofern haben Institute, die besonders groß sind oder deren Geschäftsaktivitäten durch besondere Komplexität, Internationalität oder eine besondere Risikoexponierung gekennzeichnet sind, weitergehende Vorkehrungen im Bereich des Risikomanagements zu treffen als weniger große Institute mit weniger komplex strukturierten Geschäftsaktivitäten, die keine außergewöhnliche Risikoexponierung aufweisen. Erstgenannte Institute haben dabei auch die Inhalte einschlägiger Veröffentlichungen zum Risikomanagement des Baseler Ausschusses für Bankenaufsicht und des Financial Stability Board in eigenverantwortlicher Weise in ihre Überlegungen zur angemessenen Ausgestaltung des Risikomanagements einzubeziehen.

Im Hinblick auf die Methoden zur Berechnung der aufsichtsrechtlich erforderlichen Eigenmittel der Bankenrichtlinie sind die Anforderungen des Rundschreibens insofern neutral konzipiert, als sie unabhängig von der gewählten Methode eingehalten werden können.

Eine wichtige Klarstellung bezüglich der Umsetzung der MaRisk beinhaltet der letzte Satz der Textziffer 2. Hier weist die Aufsicht ausdrücklich darauf hin, dass die MaRisk als Umsetzung des ICAAP in nationales Recht unabhängig von den Verfahren zur Berechnung der Eigenkapitalanforderungen (Säule 1 von Basel II / III bzw. Anforderungen der CRR) sind.

Das heißt, dass zur Erfüllung der MaRisk-Regelungen auch andere Verfahren als die zur Berechnung der Gesamtkennziffer eingesetzten Methoden verwendet werden können. Aufgrund der unterschiedlichen Zielsetzung der beiden Säulen hat sich ein solcher Ansatz in der Praxis bewährt.

Grundsatz der doppelten Proportionalität

Ein weiteres wesentliches Element der MaRisk ist der Grundsatz der doppelten Proportionalität. Dieser besagt, dass

der bankinterne Prozess proportional zur Größe, zum Geschäftsvolumen und zur Risikostruktur sein muss und

die Prüfung durch die Aufsicht hinsichtlich der Häufigkeit und der Intensität der Prüfung proportional zur Ausgestaltung der bankinternen Prozesse sein muss.

Abbildung 6: Grundsatz der doppelten Proportionalität

Der Grundsatz trägt damit den sehr heterogenen Ausprägungen Ausgestaltung des Finanzsektors in Deutschland Rechnung. Die direkte Folge der geforderten Proportionalität ist (AT 1 Tz. 2), dass sich die konkrete Umsetzung der Anforderungen am „kleinsten gemeinsamen Nenner" für alle Institute orientieren kann. Dabei wird von größeren Instituten mit komplexeren Geschäftsaktivitäten und Risiken erwartet, in der Umsetzung der Anforderungen über das geforderte Mindestmaß hinauszugehen, wenn dies zur Sicherstellung eines angemessenen Risikomanagements erforderlich sein sollte.

Die Anforderung trifft jedoch nur besonders große Institute oder Institute mit besonders komplexen Geschäftsaktivitäten, besonderer Risikoexponierung oder internationaler Ausrichtung im Sinne von global systemisch relevanten Finanzinstituten (SIFIs) und national systemrelevanten Banken (D-SIBs)⁵.

Dies wird an der Formulierung „Insofern" deutlich: Diese Institute sollen die Veröffentlichungen des Baseler Ausschusses für Bankenaufsicht und des Financial Stability Boards (FSB) eigenverantwortlich in ihre Überlegungen zur angemessenen Ausgestaltung des Risikomanagements einbeziehen.

Da beide Gremien keine rechtlich verbindlichen Standards setzen, sind die Veröffentlichungen nicht als unmittelbarer Prüfungsmaßstab anzusetzen. Allerdings sollen sich die betroffenen Institute bei der konkreten Erfüllung der MaRisk-Anforderungen mit den oft detaillierteren Veröffentlichungen des Baseler Ausschusses und des FSB beschäftigen.

Eine direkte und schematische Umsetzung von internationalen Veröffentlichungen ist auch bei großen Instituten nicht erforderlich. Für die Institute bleiben weiterhin § 25a sowie § 25b KWG und die MaRisk die entscheidenden Rechtsgrundlagen für die Ausgestaltung des internen Risikomanagements.

Durch das Proportionalitätsprinzip enthalten die MaRisk eine Vielzahl von Öffnungsklauseln, die die konkrete Ausgestaltung der Prozesse an Art, Umfang, Komplexität und Risikogehalt der Geschäfte und der jeweiligen Relevanz der Institute hinsichtlich ihres Beitrags zur Stabilität des Finanzsystems ausrichten. Dieses Vorgehen verlangt von den Instituten, sich intensiv mit der konkreten Risikosituation Haus zu befassen. Dies ermöglicht eine institutsindividuelle Ausgestaltung der doppelten Proportionalität und damit verbundene institutsindividuelle Prüfungen.

Für kleinere Institute mit robustem Risikodeckungspotenzial und überschaubaren Geschäftsrisiken sind daher nicht nur die Anforderungen der MaRisk leichter zu erfüllen sein, sie dürfen aufgrund der doppelten Proportionalität auch Erleichterungen in der Prüfungspraxis der Aufsicht erwarten können.

AT 1 – Textziffer 4

Das Rundschreiben trägt der heterogenen Institutsstruktur und der Vielfalt der Geschäftsaktivitäten Rechnung. Es enthält zahlreiche Öffnungsklauseln, die abhängig von der Größe der Institute, den Geschäftsschwerpunkten und der Risikosituation eine vereinfachte Umsetzung ermöglichen.

Insoweit kann es vor allem auch von kleineren Instituten flexibel umgesetzt werden. Das Rundschreiben ist gegenüber der laufenden Fortentwicklung der Prozesse und Verfahren im Risikomanagement offen, soweit diese im Einklang mit den Zielen des Rundschreibens stehen.

Für diese Zwecke wird die Bundesanstalt für Finanzdienstleistungsaufsicht einen fortlaufenden Dialog mit der Praxis führen.

Prüfungspraxis

Bei vielen Instituten besteht die Befürchtung, dass die Flexibilität der MaRisk durch eine restriktive Prüfungspraxis eingeschränkt werden könnte. Insbesondere bei überzogenen Dokumentationsanforderungen kann die Gefahr bestehen, dass die Nutzung bestehender Spielräume unwirtschaftlich wird.

AT 1 – Textziffer 5

Die Bundesanstalt für Finanzdienstleistungsaufsicht erwartet, dass der flexiblen Grundausrichtung des Rundschreibens im Rahmen von Prüfungshandlungen Rechnung getragen wird.

Prüfungen sind daher auf der Basis eines risikoorientierten Prüfungsansatzes durchzuführen.

Die BaFin betont in AT 1 Tz. 5, dass die flexiblen Grundausrichtung der MaRisk auch im Rahmen der Prüfungen zu berücksichtigen ist: Dem in § 25a Abs. 1 KWG verankerten Proportionalitätsgrundsatz wird große Bedeutung eingeräumt, die Erhaltung der notwendigen Umsetzungsspielräume ist jedoch im Hinblick auf kleinere Institute auch in Zukunft alternativlos.

Die grundsätzliche Ausrichtung der MaRisk hat daher weiter Bestand, d.h. z.B. dass es keine überzogenen Dokumentations- und Rechtfertigungszwänge bei der Inanspruchnahme von Öffnungsklauseln durch die Institute gibt. Dabei sollte dokumentiert werden, was gemacht wird, und nicht, was nicht gemacht wird.

Modularer Aufbau

Die MaRisk sind modular aufgebaut. Hintergrund ist neben einer verbesserten Gliederung, dass im Bedarfsfall neue Anforderungen in das Regelwerk einfügen werden können, ohne die Grundstruktur und Textziffernzuordnung verlassen zu