Handbuch MaRisk E-Book

Axel Becker, Walter Gruber und Henning Heuter (Herausgeber)

Handbuch MaRisk

Neue Herausforderungen an dasRisikomanagement in der Bankpraxis

3., überarbeitete Auflage

Besuchen Sie uns auch im Internet: www.kreditwesen.de

ISBN 978-3-8314-0886-3eISBN 978-3-8314-0889-4

© 2018 by Fritz Knapp Verlag GmbH, Frankfurt am Main

Satz: Regina Siebert, Hamburg

Inhaltsverzeichnis

Vorwort Volker Knittel

Vorwort der Herausgeber

Vita der Herausgeber

Kapitel 1: Allgemeiner Teil

Die fünfte MaRisk-Novelle: Vorbemerkung und Anwendungsbereich

Markus Rose

Die Bedeutung der Gesamtverantwortung der Geschäftsleitung in der 5. MaRisk-Novelle mit Blick auf die Ressourcenausstattung

Niels O. Angermüller

Risikotragfähigkeit

Andreas Beck und Helge Kramer

Validierung und Modellrisiko

Walter Gruber

Strategieprozess als Bestandteil des gesamten Risikomanagementkreislaufs

Henning Heuter

Anforderungen an die Ausgestaltung des Internen Kontrollsystems aus der Sicht der Internen Revision

Karsten Geiersbach

Besondere Funktionen der MaRisk – Risikomanagement, Compliance und Interne Revision

Axel Becker

Anpassungsprozesse

Steffen Dörr

Outsourcing

Axel Becker

Kapitel 2: Besonderer Teil – Anforderungen an die Organisation

MaRisk – Besondere Anforderungen an das Interne Kontrollsystem sowie die Aufbau- und Ablauforganisation

Susanne Rosner-Niemes

Anforderungen an das Kreditgeschäft

Axel Becker

Anforderungen an die Prozesse im Handelsgeschäft

Stefanie Schulz

Kapitel 3: Besonderer Teil – Messung der Risiken

Adressenausfallrisiken

Stefan Reitz

Anforderungen an das Management von Marktpreisrisiken

Jochen Kayser

Liquiditätsrisiken

Frank Hölldorfer

Operationelle Risiken

Rainer Sprengel und Claudia Philippi

Kapitel 4: Besonderer Teil – Revision und Reporting

Interne Revision

Axel Becker

Besondere Anforderungen an die Ausgestaltung der Internen Revision

Ralf Barsch

Anforderungen an die Risikoberichterstattung

Silvio Andrae

Autorenverzeichnis

Stichwortverzeichnis

Vorwort Volker Knittel

„Wer den Nutzen hat, muss auch den Schaden tragen.”

Walter Eucken (1891 – 1950)

Letztlich wurde in den Kapitalmärkten Euckens Regel nicht immer beachtet, zum Beispiel von den Vorständen der Herstatt-Bank, der IKB, denen bei Lehmann Brothers oder den Verantwortlichen der Hypo Real Estate. Mit einem Dominoeffekt haben in der Folge der großen Finanz- und Wirtschaftskrise aufgrund der Pleite der Lehmann-Investmentbank in New York am 15. September 2008 bis 2014 alleine in den USA über 500 Banken ihre Pforten für immer geschlossen. Zudem verschuldeten sich viele Staaten immens, in dem sie marode öffentliche und private Banken durch Eigenkapitalspritzen stützten oder diesen (zum damaligen Zeitpunkt) wertlose Kredite und Hypothekenverbriefungen abkauften.

Diese Produkte („Subprime Loans“, Collateralized Debt Obligations (CDO), Credit Default Swaps (CDS) und andere) hat ein weitgehend enthemmter, deregulierter Finanzsektor emittiert und gehandelt, obwohl der tatsächliche Wert und das Risiko dieser Papiere kaum einer1 mehr einschätzen konnte. Und viele Banken und Landesbanken haben die Papiere dennoch erworben, zu verlockend schien die hohe Verzinsung.

Pleiten von Banken gab es schon zu allen Zeiten und solange eine Bank nicht „too big to fail“ ist, wenn also deren Insolvenz nicht zu unkalkulierbaren Verwerfungen gar von Staaten führen, solange kann das als Kollateralschaden des Wirtschaftens verbucht werden. Aber diese weltweite Krise entstand durch ein Versagen von Regierungen und der durchaus vorhandenen Aufsichtsbehörden und durch rücksichtsloses Risikomanagement von einigen Investmentbanken.

Denn die bis dahin bestehenden Regeln wurden immer wieder unterlaufen, überdehnt oder ignoriert.

Selbst die halbstaatliche IKB-Bank, Spezialist für Mittelstandsfinanzierungen, ließ in ihrem Quartalsbericht am 20. Juli 2007 noch verlauten, „vom Platzen der Immobilienblase in den USA (2006) sei man nur mit einem einstelligen Millionenbetrag betroffen“. Nur zehn Tage später informierte dieselbe Bank in Ad-hoc-Meldungen, dass „der Vorstandsvorsitzende zurückgetreten sei“ und dass „die Risiken bei US-amerikanischen Krediten nun doch über eine Milliarde Euro betragen“.

Die wirtschaftlichen Verwerfungen durch die Finanzkrise waren so immens und unkalkulierbar geworden. Angesichts der Hilferufe aus der Bankenwelt haben die Bundeskanzlerin Dr. Angela Merkel und ihr Finanzminister Peer Steinbrück am Sonntag, dem 5. Oktober 2008, den Bundesbürgern im Fernsehen die „Sicherheit ihrer Einlagen“ garantiert – um einen Ansturm auf die Banken (Run) zu verhindern. Gleichzeitig wurden neue Bilanzierungsregeln für die Banken in Aussicht gestellt und erklärt, dass „diejenigen, die unverantwortliche Geschäfte gemacht haben, zur Verantwortung gezogen werden.“

Beim G20-Gipfel im November 2008 in Washington forderten die Staats- und Regierungschefs entsprechend neue Regeln, eine kompetente Aufsicht und ein funktionierendes Risikomanagement für die Finanzinstitute. Und diesem Aufruf folgt nun nach mehreren Meilensteinen Basel III, mit zwei großen und wesentlichen Neuerungen:

1. Banken müssen ein noch größeres Eigenkapital vorweisen, um mögliche Verluste aus dem Geschäftsbetrieb abfedern zu können und

2. Banken müssen nun eine ausreichende Liquiditätsvorsorge nach einheitlichen Standards betreiben. Des Weiteren sollen unwirtschaftliche Institute abgewickelt werden und alle Banken haben deutliche größere Berichtspflichten an die Aufsicht. Basel III ist dennoch nicht weltweit verabschiedet. Zu groß scheinen regionale Unterschiede der Banken und die beteiligten politischen Interessen. Gleichwohl werden viele Regelungen aus Basel III bereits von den Banken in Europa eingeführt, inzwischen wird auch schon am Folgestandard Basel IV gearbeitet.

Die eigentliche Hauptrolle in den Volkswirtschaften für die Banken ist es, als Intermediäre zwischen Kapitalangebot und -nachfrage zu fungieren. Mit einer verschwindenden Verzinsung von Guthaben und Krediten oder gar Negativzinsen wird das Geschäftsmodell vieler Banken einer gnadenlosen Prüfung unterzogen. Zudem erfolgt die Digitalisierung/Automatisierung ganzer Geschäftsmodelle. Außerdem bergen digitale Anwendungen wie die Blockchain-Technologie, Veränderungen beim Datenschutz und virtuelle Währungen weitere Herausforderungen für den gesamten Sektor. Neuer Wettbewerb ergibt sich zusätzlich auch durch innovative Fintechs, die den Regulierungsbedarf durch neue Komponenten wie Big Data und Künstlicher Intelligenz zusätzlich erweitern.

Aber, wie viel Regelung ist denn per se notwendig, ohne die Banken dabei zu überbürokratisieren und notwendige Innovationen zu verhindern? Wie viele Detailregelungen2 verkomplizieren und verteuern das eigentliche Bankgeschäft, sodass dann noch riskantere Geschäfte erforderlich sind, um eine Rentabilität zu gewährleisten? Wenn Regeln zu komplex werden, werden die Kreditinstitute überfordert und ab einem bestimmten Komplexitätsgrad wird jede Normsetzung kontraproduktiv.

Und schließlich, woher nehmen die Banken die Experten, die die komplexen Regelwerke beherrschen und in den Banken installieren können?

Regulierung muss verhältnismäßig sein

Bei der Regulierung muss zwischen international agierenden Investmentbanken und regional verwurzelten, kleinen Einlagekreditinstituten differenziert werden. Daher hat der Bankenaufsichtsmechanismus (SSM) unter dem Dach der Europäischen Zentralbank (EZB) die Kontrolle für die Einhaltung der Regeln für die 126 größten europäischen Banken bereits von der nationalen auf die europäische Ebene verlagert, weil zum einen nicht jeder Staat die richtigen Experten hierfür hat und weil die Anwendung der Regeln so leichter verifiziert werden kann. Denn Regulierung kann zwar Regeln setzen, aber deren Einhaltung muss auch von der Aufsicht kontrolliert werden (können).

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) verfolgt mit der Verabschiedung der 5. Mindestanforderungen an das Risikomanagement (MaRisk), die neuen Regeln aus Basel III in eine Verwaltungsanweisung zu überführen.

Die wesentlichen Unterschiede/Anpassungen zu der bisher gültigen Version sind wie folgt:

•eine mehrjährige Kapitalplanung mit insbesondere negativen Zukunftsszenarien,

•die Person, die (allein) für das Risikocontrolling verantwortlich ist (Chief Risk Officer (CRO)) muss in der oberen Führungsebene, bei international tätigen Banken auf Vorstandsebene, angesiedelt sein; eine Personalunion mit dem Chief Financial Officer (CFO) soll vermieden werden, die angemessene Compliance-Organisation wird weiter präzisiert.

•Der Prüfungsbereich wird über die bereits klassischen Bereiche, wie Wertpapierhandel, Geldwäsche, Datenschutz, noch erweitert.

•Zu prüfen ist ferner, inwieweit die Zuständigkeiten bei den Banken zentral oder dezentral organisiert werden.

•Die Verrechnungssysteme für Liquiditätskosten, -nutzen und -risiken wurden konkreter gefasst, dabei wird unterschieden, welche Geschäftstätigkeit bei dem Institut überwiegt. Eine kleinere Kundenbank mit vielen Sichteinlagen kann ein einfaches Kostenverrechnungssystem weiter nutzen. Institute mit komplexeren Geschäftstätigkeiten müssen ein Liquiditätstransferpreissystem installieren, damit möglichst auf Transaktionsebene die jeweiligen Kosten für Liquidität festgestellt und gesteuert werden können.

•Durch eine Clusterung von Unternehmen soll auf eine Proportionalität der Regulierungsauflagen zur Risikorelevanz des beaufsichtigten Unternehmens (wie es etwa bei den Steuerprüfungen nach Unternehmensgrößenklassen in Deutschland ebenfalls erfolgt) geachtet werden.

Weitere Details zu den neuen MaRisk werden auf den folgenden Seiten nun die Experten Axel Becker, Walter Gruber, Henning Heuter vorstellen.

Lieber Leser, bei Ihrer verantwortungsvollen Arbeit, sei es in der Aufsicht, in den Finanzinstituten oder bei spezialisierten Presseorganen wünsche ich Ihnen viel Erfolg und neue Erkenntnisse.

Volker Knittel

1Die drei weltweit bekanntesten US-amerikanischen Ratingagenturen Moody´s Investors Service Research, Standard & Poor´s Corporation und Fitch Ratings haben viele der Papiere mit einer Bestnote (zum Beispiel AAA) ausgestattet, was wiederum viele Banker bei Sparkassen und Landesbanken hierzulande veranlasste, diese Papiere in die Bücher zu nehmen. Viele Ratings stellten sich im Nachhinein als falsch heraus.

2Die Regeln von Basel I wurden noch auf 30 Seiten festgehalten und von über 100 Ländern in nationale Regelungen übertragen. Die Regelungen in Basel III sind bereits auf über 500 Artikel auf mehr als 500 Seiten angewachsen.

Vorwort der Herausgeber

Nicht erst seit der Finanzkrise haben die bankaufsichtlichen Neuerungen mit sehr hoher Dynamik zugenommen. Es wird immer schwieriger, einerseits den Überblick im Hinblick auf die Anforderungen zu behalten und andererseits zu eruieren, wie detaillierte Umsetzungsmaßnahmen aussehen können. Für diesen Zweck will das vorliegende Handbuch eine entscheidende Hilfestellung leisten. Im Rahmen dieser dritten Auflage wurden bestehende Artikel grundlegend überarbeitet, eine Vielzahl neuer Artikel integriert und aktuell weniger relevante Artikel herausgenommen.

Während in der ersten Auflage der alleinige Schwerpunkt in den Anforderungen an das Risikomanagement (MaRisk) lag, wurden in der zweiten Auflage als Schwerpunkt die zentralen Anforderungen aus Basel III beziehungsweise der europäischen Umsetzung (CRR und CRD IV) hinzugenommen. Nun wurden insbesondere den neuen Anforderungen aus der fünften MaRisk-Novelle wie an die Risikotragfähigkeit (ICAAP), an die Liquiditätssteuerung (ILAAP), an Auslagerungen und an die Risikoberichtserstattung Rechnung getragen.

Als Resultat haben wir ein umfassendes Standardwerk geschaffen, das auf dem neuesten regulatorischen Stand ist und in dem neben den Verantwortlichkeiten des Vorstandes/Aufsichtsorgans, den Strategien, der Risikotragfähigkeit, den Risikomessmethoden (Markt-, Kredit-, Liquiditäts- und operationelle Risiken) sowie der Validierung/Einschätzung der Modellrisiken und dem Reporting dieser Methoden Rechnung getragen wird.

Eine Umsetzung der bankaufsichtlichen Anforderungen, insbesondere im Risikomanagement, bedeutet ein ständiges Hinterfragen, Analysieren und Dokumentieren der Prozesse und Methoden. Das vorliegende Handbuch gibt hierzu umfangreiche Hilfestellungen, indem die aufsichtlichen Anforderungen aus verschiedenen Perspektiven beleuchtet werden. Es ist uns wieder gelungen, als Autoren praxisorientierte Experten verschiedenster Interessengruppen zu gewinnen, welche die Thematik aus allen relevanten Blickwinkeln betrachten: Einerseits aus Vorstands- und Prüfersicht und andererseits arbeiten Spezialisten aus verschiedenen Instituten und Wissenschaftler die wesentlichen Anforderungen heraus und interpretieren diese. Dabei werden die umfangreichen Auslegungsmöglichkeiten und Öffnungsspielräume der einzelnen Anforderungen nicht nur deskriptiv vorgestellt, sondern es werden an vielen Stellen konkrete Lösungsansätze beschrieben, die direkt in die Praxis umgesetzt werden können.

Das Handbuch wendet sich an Vorstände, Aufsichtsräte, Führungskräfte, Spezialisten und Prüfer, insbesondere aus dem Handels- und Kreditbereich, Risikocontrolling- und Risikomanagement, Organisation und Revision, aber auch an Studierende im Bereich Finanzwesen.

Mai 2018

Axel BeckerDr. Walter GruberHenning Heuter

Vita der Herausgeber

Axel Becker

Diplom-Betriebswirt/CRMA, Revisionsleiter bei der SÜDWESTBANK AG in Stuttgart, ist seit über 20 Jahren in leitenden Positionen der Internen Revision bei verschiedenen Kreditinstituten tätig. Er befasst sich zudem mit der Prüfung von bankaufsichtsrechtlichen Themen und ist Herausgeber/Autor von 62 Büchern sowie 102 Fachaufsätzen zum Themenbereich Bankenaufsicht und Prüfungswesen. Herr Becker ist Lehrbeauftragter der Dualen Hochschule in Baden-Württemberg, Seminartrainer, Verwaltungsratsmitglied des Deutschen Instituts für Interne Revision e.V. (DIIR) sowie Mitglied der Financial Experts Association e.V. in Stuttgart.

Dr. Walter Gruber

Diplom-Wirtschaftsmathematiker, ist geschäftsführender Partner bei der 1 PLUS i GmbH. Zuvor arbeitete er für eine Investmentbank im Bereich Treasury und ALCO-Management. Anschließend war Herr Dr. Gruber als Gruppenleiter bei der Bankenaufsicht im Direktorium der Deutschen Bundesbank für den Bereich Research/Grundsatzfragen in internen Risikomodellen und Standardverfahren verantwortlich, wo er die Bundesbank auch in den verschiedenen internationalen Gremien vertrat (verschiedene Baseler Arbeitskreise, IOSCO). Herr Dr. Gruber ist Verfasser zahlreicher Veröffentlichungen vor allem in den Bereichen Bankenaufsicht (Basel/CRR/MaRisk), Markt- und Kreditrisikomodelle und derivative Finanzprodukte. Auf diesen Gebieten trat er auch als Herausgeber vieler Standardwerke in Erscheinung.

Henning Heuter

Dipl.-Bankbetriebswirt (BA) und Bankkaufmann, ist geschäftsführender Partner bei der 1 PLUS i GmbH. In seiner Tätigkeit als Berater für Risikosteuerung, die neben den Fragen des Risikomanagements auch deren aufsichtsrechtliche Behandlung umfasst, berät er Kreditinstitute aller Institutsgruppen im In- und Ausland und ist als Seminartrainer aktiv. Schwerpunkte sind die Integration aller wesentlichen Risiken in die Gesamtbank, die Weiterentwicklung von Risikotragfähigkeits- beziehungsweise ICAAP-Systemen und das Themengebiet Sanierung/Abwicklung von Instituten. Vor seiner Tätigkeit für die 1 PLUS i GmbH war Herr Heuter bei der Sparkasse Rügen im Bereich Unternehmenssteuerung für das Sachgebiet Risiko und als Verhindertenvertreter für die Leitung des Vorstandsreferats in der Sparkasse verantwortlich.

Kapitel 1

Allgemeiner Teil

Die fünfte MaRisk-Novelle: Vorbemerkung und Anwendungsbereich

von Markus Rose

1Einleitung

2Vorbemerkung in AT 1 MaRisk

2.1Anforderungen an die Ausgestaltung des Risikomanagements: AT 1 Tz. 1

2.2Ausgestaltung von ICAAP und SREP unter Beachtung des Proportionalitätsprinzips: AT 1 Tz. 2 und 3

2.3Integration des Anlegerschutz-Ziels in die MaRisk: AT 1 Tz. 4

2.4Öffnungsklauseln als Charakteristikum der MaRisk: AT 1 Tz. 5

2.5Definition systemrelevanter Institute: AT 1 Tz. 6

2.6Forderung nach einem risikoorientierten Prüfungsansatz: AT 1 Tz. 7

2.7Der modulare Aufbau der MaRisk: AT 1 Tz. 8

3Definition des Anwendungsbereichs in AT 2

3.1Der institutsbezogene Anwendungsbereich: AT 2.1

3.2Der risikobezogene Anwendungsbereich: AT 2.2

3.3Der geschäftsbezogene Anwendungsbereich: AT 2.3

Literaturverzeichnis

Abbildungsverzeichnis

1Einleitung

Seit ihrer erstmaligen Veröffentlichung am 20. Dezember 2005 stellen die Mindestanforderungen an das Risikomanagement (MaRisk) den zentralen Baustein für die qualitative Aufsicht in Deutschland dar. Sie formulieren Grundprinzipien zur Ausgestaltung des Risikomanagements für in Deutschland tätige Kreditinstitute und Finanzdienstleistungsinstitute.

Am 27. Oktober 2017 veröffentlichte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die fünfte Novelle der MaRisk, mit der die vom Baseler Ausschuss für Bankenaufsicht (BCBS) im Januar 2013 veröffentlichten „Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung“ (BCBS 239) Eingang in die aufsichtsrechtlichen Vorgaben für deutsche Institute gefunden haben.1 Darüber hinaus sind Neuerungen, Konkretisierungen und Klarstellungen im Modul „Auslagerung“ sowie – über das im Jahr 2014 veröffentlichte Papier „Guidance on Supervisory Interaction with financial institutions on Risk Culture“ des Financial Stability Board (FSB)2 – das Thema „Risikokultur“ als weitere Schwerpunkte in die jüngste Überarbeitung der MaRisk eingeflossen.3

In diesem Artikel werden die Anforderungen der MaRisk in den Modulen AT 1 und AT 2 vorgestellt und erläutert. Dabei legt AT 1 MaRisk als Ausgangspunkt die Ziele dieses Rundschreibens der Aufsicht und seinen generellen Kontext dar, während AT 2 MaRisk den mehrdimensionalen Anwendungsbereich der MaRisk absteckt.

2Vorbemerkung in AT 1 MaRisk

Eine ausführliche Einleitung bildet den Ausgangspunkt der MaRisk: Das mit „Vorbemerkung“ betitelte Modul AT 1 mit seinen nun insgesamt acht Textziffern (Tz.) fungiert als Präambel, in der zentrale Aspekte der MaRisk herausgehoben sowie auf Regelwerke und Themen von genereller Bedeutung für das MaRisk-Rundschreiben und seine Weiterentwicklung Bezug genommen werden.4

2.1Anforderungen an die Ausgestaltung des Risikomanagements: AT 1 Tz. 1

Als gesetzlicher Anknüpfungspunkt der MaRisk wird in AT 1 Tz. 1 MaRisk § 25a KWG genannt, der von den Instituten eine ordnungsgemäße Geschäftsorganisation verlangt. Diese hat die Einhaltung der vom Institut zu beachtenden gesetzlichen Bestimmungen und der betriebswirtschaftlichen Notwendigkeiten zu gewährleisten. Eine ordnungsgemäße Geschäftsorganisation umfasst insbesondere ein angemessenes und wirksames Risikomanagement sowie darüber hinaus gemäß § 25a Abs. 1 Satz 6 KWG angemessene Regelungen zur jederzeitigen Bestimmung der finanziellen Lage des Instituts (Rechnungslegungs- und Managementinformationssystem), die Erfüllung aufsichtsrechtlicher Aufzeichnungs- und Aufbewahrungspflichten und einen Whistleblowing-Prozess.5

Als Kernelement einer ordnungsgemäßen Geschäftsorganisation fordert § 25a Abs. 1 Satz 3 KWG ein angemessenes und wirksames Risikomanagement. Diesen zentralen Terminus nehmen die MaRisk in AT 1 Tz. 1 auf und wiederholen bei der Bestimmung des Risikomanagementbegriffs die gesetzliche Definition: „Ein angemessenes und wirksames Risikomanagement umfasst unter Berücksichtigung der Risikotragfähigkeit insbesondere die Festlegung von Strategien6 und die Einrichtung interner Kontrollverfahren.“ Letztere bestehen aus dem internen Kontrollsystem (IKS) und der Internen Revision. Das prozessabhängige IKS umfasst aufbau- und ablauforganisatorische Regeln, Risikosteuerungs- und -controllingprozesse, die Durchführung von Stresstests, Anforderungen an Datenmanagement, Datenqualität und die Aggregation von Risikodaten7 sowie die Einrichtung einer Risikocontrolling- und einer Compliance-Funktion. Die Interne Revision dagegen ist weder in die zu prüfenden Abläufe eingebunden noch für die Ergebnisse der zu überwachenden Prozesse verantwortlich und gewährleistet somit eine prozessunabhängige Beurteilung der Ordnungsmäßigkeit aller von ihr geprüften Aktivitäten und Prozesse.8

Die Hierarchie und das Zusammenwirken der vorgestellten Begriffe in den MaRisk verdeutlicht die folgende Abbildung:

Abbildung 1:Zusammenspiel wichtiger Begriffe in den MaRisk;

Quelle: Darstellung in Anlehnung an Anlage 4 zu den Mindestanforderungen an das Risikomanagement vom 20. Dezember 2005 (mit Ergänzungen)

Der Begriff des Risikomanagements ist somit weit gefasst und schließt ferner durch § 25a Abs. 1 Nr. 4 bis 6 KWG neben den genannten weitere Aspekte mit ein: Eine angemessene personelle und technisch-organisatorische Ausstattung des Instituts, die Festlegung eines angemessenen Notfallkonzepts, insbesondere für IT-Systeme, und angemessene, transparente und auf eine nachhaltige Entwicklung des Instituts ausgerichtete Vergütungssysteme für Geschäftsleiter und Mitarbeiter stellen ebenfalls Grundvoraussetzungen für eine ordnungsgemäße Geschäftsorganisation dar.9 Die MaRisk konkretisieren darüber hinaus Anforderungen des § 25a Abs. 3 KWG an das Risikomanagement auf Gruppenebene in dem Modul AT 4.5 MaRisk sowie des § 25b KWG an ausgelagerte Aktivitäten und Prozesse im Modul AT 9 MaRisk. Die Art und Weise der Umsetzung der in AT 1 Tz. 1 MaRisk geforderten Angemessenheit und Wirksamkeit des Risikomanagements wird – dem prinzipienorientierten Charakter des Rundschreibens gemäß – den Instituten von der deutschen Aufsicht nicht vorgegeben: Seine konkrete Ausgestaltung hängt gemäß § 25a Abs. 1 Satz 4 MaRisk von Art, Umfang, Komplexität und Risikogehalt der Geschäftstätigkeit ab und ist vom Institut regelmäßig auf Angemessenheit und Wirksamkeit zu überprüfen.

Als norminterpretierende Verwaltungsvorschrift kommt den MaRisk eine wichtige Bedeutung zu: Sie entfalten als „Innenrecht der Verwaltung“ zwar erst durch ihre Anbindung an § 25a KWG eine juristische Bindungswirkung, legen aber die unbestimmten Rechtsbegriffe dieses Gesetzesparagrafen – wie zum Beispiel „ordnungsgemäße Geschäftsorganisation“ – aus. Die MaRisk sorgen durch diese Präzisierung der gesetzlichen Anforderungen des § 25a Abs. 1 und 3 KWG sowie des § 25b KWG für ein möglichst hohes Maß an Einheitlichkeit des Verwaltungshandelns. Davon profitieren auch die beaufsichtigten Institute, denn für sie ergibt sich daraus ein Gewinn an Rechts- und Planungssicherheit.

Im letzten Satz des AT 1 Tz. 1 betonen die MaRisk die Bedeutung des Risikomanagements als Grundlage für die sachgerechte Wahrnehmung der Überwachungsfunktion des Aufsichtsorgans; es beinhaltet deshalb dessen angemessene Einbindung. Damit wird klar, dass eine nur passive Rolle des Aufsichtsorgans nicht im Sinne der Aufsicht ist.10 Dessen Aufgaben haben sich spätestens seit der jüngsten Finanzkrise von reinen Kontrolltätigkeiten hin zu einer aktiven, adressatengerechten Einbindung in Entscheidungen von grundlegender Bedeutung erweitert. Mit der Stärkung der Rolle des Aufsichtsorgans steigen auch die Anforderungen an dessen Mitglieder: Neben der geforderten Zuverlässigkeit und erforderlichen Sachkunde als Persönlichkeitsmerkmale müssen sie gemäß § 25d KWG der Wahrnehmung ihrer Aufgaben ausreichend Zeit widmen. Hierdurch soll die Funktionsfähigkeit und Effektivität interner Governance-Strukturen sichergestellt werden. Dieser Bedeutungszuwachs zeigt sich in den MaRisk an zahlreichen Rechten und Pflichten des Aufsichtsorgans, die in der Abbildung 2 skizziert werden:

Abbildung 2:Einbindung des Aufsichtsorgans in das Risikomanagement

2.2Ausgestaltung von ICAAP und SREP unter Beachtung des Proportionalitätsprinzips: AT 1 Tz. 2 und 3

AT 1 Tz. 2 MaRisk führt aus, dass das Rundschreiben einen qualitativen Rahmen für die Umsetzung maßgeblicher Artikel der CRD IV zur Organisation und zum Risikomanagement der Institute vorgibt. Damit nimmt das MaRisk-Rundschreiben Bezug auf den in der CRD IV angelegten „Supervisory Review Process“ (SRP), der als Paradigma einer präventiven Aufsicht auf die Qualität des Risikomanagements in den Instituten abzielt.11 Der SRP umfasst einerseits Anforderungen, die an die Institute gerichtet sind; diese haben gemäß Art. 73 CRD IV einen internen Prozess zur Ermittlung und Sicherstellung der Risikotragfähigkeit – ICAAP (Internal Capital Adequacy Assessment Process) – einzurichten. Im ICAAP muss das Institut die wesentlichen Risiken identifizieren, mit eigenen Methoden quantifizieren und in angemessener Höhe mit Kapital unterlegen, das qualitativ geeignet sein muss, auftretende Verluste zu absorbieren.12 Ferner verlangt Art. 74 CRD IV in Verbindung mit den technischen Kriterien der Art. 76 bis 95 CRD IV von den Instituten solide Regelungen für die Unternehmensführung und -kontrolle.

Die zuständigen Aufsichtsbehörden überprüfen regelmäßig im Rahmen des bankaufsichtlichen Überprüfungsprozesses – SREP (Supervisory Review and Evaluation Process) – die Angemessenheit und Wirksamkeit des institutsspezifischen ICAAP. Die entsprechenden, an die zuständigen (Aufsichts-)Behörden adressierten Anforderungen des SRP formulieren die Art. 97 f. CRD IV. Dem qualitativ-prinzipienorientierten Charakter des SRP gemäß hängt sowohl die konkrete Ausgestaltung des ICAAP der Institute als auch die Intensität des SREP von Art, Umfang und Komplexität der betriebenen Geschäfte ab: Es gilt das „Prinzip der doppelten Proportionalität“.

Die europäischen ICAAP-Vorgaben wurden über das CRD-IV-Umsetzungsgesetz durch eine Anpassung des § 25a KWG in Deutschland umgesetzt.13 Da die MaRisk als norminterpretierende Verwaltungsvorschrift die unbestimmten Rechtsbegriffe des § 25a KWG auslegen, sind sie nicht nur von den Instituten14 zu beachten, sondern gleichzeitig auch der Ankerpunkt für die aufsichtliche Beurteilung des ICAAP im Rahmen des SREP.15 So heißt es in AT 1 Tz. 2 Satz 5 MaRisk: „Das Rundschreiben ist daher unter Berücksichtigung des Prinzips der doppelten Proportionalität der Regelungsrahmen für die qualitative Aufsicht in Deutschland.“ Die gesetzlichen Anforderungen an den nationalen SREP sind in § 6b KWG kodifiziert. Im Rahmen des SREP wird auch der Funktionsfähigkeit und Wirksamkeit der Unternehmensführung und Kontrolle (interne Governance) ein hoher Stellenwert eingeräumt. Auffälligkeiten und Kritik der Aufsichtsbehörden in diesem Bereich werden dabei auch von der Fachpresse thematisiert.16

Die Sicherstellung der Risikotragfähigkeit stellt als Mindestanforderung an die strategische Ausrichtung als auch an das Risikomanagement des Instituts den Kern des ICAAP dar.17 Folgerichtig bildet sie den Startpunkt im Modul AT 4 „Allgemeine Anforderungen an das Risikomanagement“. Die deutschen Anforderungen an die Ermittlung und Sicherstellung der Risikotragfähigkeit beruhen auf den prinzipienorientierten Vorgaben der zweiten Säule des Basel-II-Rahmenwerks aus dem Jahr 2004.18 Aufgrund des prinzipienorientierten Charakters der MaRisk genießen Institute bei der Ausgestaltung ihres Risikomanagements eine sehr weitreichende Methodenfreiheit in der Säule 2 und sind aufgefordert, selbst geeignete Prozesse und Verfahren festzulegen.19 Daher gibt es keine direkte Verknüpfung der Ausgestaltung des Risikomanagements mit den von den Instituten jeweils verwendeten Methoden zur Berechnung der aufsichtlichen Eigenmittel gemäß CRR, in der die regelbasierten Anforderungen der ersten Säule des erwähnten Basel-II-Rahmenwerks umgesetzt wurden; letztgenannte sind somit neutral gegenüber den Anforderungen der MaRisk.20

Das Prinzip der doppelten Proportionalität ist ein Wesensmerkmal der MaRisk und besitzt den Vorteil, dass diese auch von kleinen Häusern flexibel umgesetzt werden können. Dieser Grundsatz hat mit der vierten MaRisk-Novelle aus dem Jahr 2012 eine Konkretisierung „nach oben“ erfahren: Gemäß AT 1 Tz. 3 MaRisk haben Institute, die besonders groß sind oder deren Geschäftsaktivitäten durch besondere Komplexität, Internationalität oder eine besondere Risikoexponierung gekennzeichnet sind, im Einzelfall weitergehende Vorkehrungen im Bereich des Risikomanagements zu treffen, weil die MaRisk nur Mindestanforderungen formulieren. Ausdrücklich sollen diese Institute die Inhalte der einschlägigen Veröffentlichungen zum Risikomanagement des Baseler Ausschusses für Bankenaufsicht (BCBS) und des FSB bei der angemessenen Ausgestaltung ihres Risikomanagements berücksichtigen. Damit bringt die BaFin zum Ausdruck, dass das Proportionalitätsprinzip nicht nur „nach unten“ im Zusammenhang mit einer weniger anspruchsvollen Anwendung bei weniger großen Instituten diskutiert wird.21

2.3Integration des Anlegerschutz-Ziels in die MaRisk: AT 1 Tz. 4

Durch die MaRisk werden seit der ersten Novelle am 30. Oktober 2007 auch diejenigen Anforderungen der MiFID umgesetzt, die für Kreditinstitute und Finanzdienstleistungsinstitute gleichermaßen gelten. Dies betrifft die allgemeinen organisatorischen Pflichten, die Anforderungen an das Risikomanagement, die Interne Revision, an die Geschäftsleitung und an Auslagerungen.22 Die Verbindung der solvenzaufsichtlichen Ziele des § 25a KWG im Zusammenspiel mit den ihn konkretisierenden MaRisk und den Anlegerschutz-Zielen der MiFID gelingt durch die Verknüpfung zwischen WpHG und KWG in AT 1 Tz. 4 MaRisk: Gemäß § 80 Abs. 1 WpHG haben Wertpapierdienstleistungsunternehmen nämlich auch die organisatorischen Pflichten nach § 25a Abs. 1 KWG zu beachten.23

2.4Öffnungsklauseln als Charakteristikum der MaRisk: AT 1 Tz. 5

Neben dem oben erläuterten Prinzip der doppelten Proportionalität stellen die zahlreichen Öffnungsklauseln ein charakteristisches Merkmal und Kernelement der MaRisk dar. Sie bilden die Gesamtheit der Gestaltungsmöglichkeiten ab, mittels derer die Institute die MaRisk-Anforderungen erfüllen können. Die Öffnungsklauseln resultieren aus dem Prinzip der doppelten Proportionalität und richten die konkrete Ausgestaltung der institutsspezifischen Prozesse an Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten und der jeweiligen Bedeutung des Instituts für die Stabilität des Finanzsystems aus. Folgende Arten von Öffnungsklauseln finden sich in den MaRisk:24

•Öffnungsklauseln, die auf formale Kriterien abstellen – wie zum Beispiel die Größe eines Instituts – oder in Form einer „Sollte“-Anforderung niedergelegt sind;

•Risikoorientierte Öffnungsklauseln, die am Risikogehalt oder der Wesentlichkeit ansetzen, wie zum Beispiel die Unterscheidung zwischen risikorelevanten und nicht risikorelevanten Geschäftsaktivitäten oder die Abgrenzung der wesentlichen von den nicht wesentlichen Risiken;

•Öffnungsklauseln aufgrund von unbestimmten Rechtsbegriffen, wie zum Beispiel „grundsätzlich“, „zeitnah“, „unverzüglich“.

Schließlich betont AT 1 Tz. 5 MaRisk die dynamische Struktur der MaRisk, die gegenüber der laufenden Fortentwicklung der Prozesse und Verfahren im Risikomanagement offen sind. Diese kann dabei von Änderungen der gesetzlichen Anforderungen, Entwicklungen auf den Finanzmärkten oder institutsinternen Faktoren wie zum Beispiel der Umsetzung neuer strategischer Vorgaben getrieben sein.25 Der in AT 1 Tz. 5 MaRisk betonte fortlaufende Dialog der BaFin mit der Praxis manifestiert sich auch im MaRisk-Fachgremium, das über Auslegungsfragen, aktuelle Anpassungen und Fortentwicklungen berät. Ihm gehören neben Vertretern der BaFin und der Deutschen Bundesbank auch Vertreter der Institute und der betroffenen Verbände an.26

2.5Definition systemrelevanter Institute: AT 1 Tz. 6

An mehreren Stellen im MaRisk-Rundschreiben werden an systemrelevante Institute weitergehende Anforderungen gestellt. So richtet sich beispielsweise das neue Teilmodul AT 4.3.4, das mit der fünften Novelle Eingang in die MaRisk gefunden hat, mit seinen Anforderungen an die Datenaggregation ausschließlich an global und anderweitig systemrelevante Institute.27 In AT 1 Tz. 6 MaRisk stellt die BaFin deshalb klar, dass sich die Verwendung des Begriffs „systemrelevantes Institut“ im Rundschreiben auf global systemrelevante Institute gemäß § 10f KWG und auf anderweitig systemrelevante Institute gemäß § 10g KWG bezieht.

2.6Forderung nach einem risikoorientierten Prüfungsansatz: AT 1 Tz. 7

Die BaFin betont in AT 1 Tz. 7 MaRisk sehr deutlich, dass Prüfungshandlungen der flexiblen Grundausrichtung des Rundschreibens Rechnung zu tragen haben. Als Folge des Prinzips der doppelten Proportionalität müssen von der BaFin beauftragte Prüfer daher einen risikoorientierten Prüfungsansatz verfolgen, bei dem die spezifischen Gegebenheiten des kontrollierten Instituts – wie zum Beispiel dessen Größe sowie Ausmaß und Komplexität der betriebenen Geschäfte – den Umfang und die Intensität der Prüfungshandlungen bestimmen. Nur dann können Prüfungen des Risikomanagements der Institute – sei es im Rahmen von Jahresabschlussprüfungen oder bei Sonderprüfungen gemäß § 44 Abs. 1 KWG – aussagekräftige Ergebnisse liefern.28

2.7Der modulare Aufbau der MaRisk: AT 1 Tz. 8

Die MaRisk sind modular aufgebaut und bestehen aus zwei großen inhaltlichen Blöcken: dem allgemeinen Teil (Modul AT) und dem besonderen Teil (Modul BT). Das Modul AT besteht aus insgesamt neun Themenfeldern und fasst allgemeine und übergreifende Anforderungen zusammen, die sich grundsätzlich auf alle Geschäftsbereiche und Risikoarten der beaufsichtigten Institute beziehen.29 Im besonderen Teil werden spezifische Anforderungen an bestimmte Geschäftsbereiche gestellt; das Modul BT umfasst drei große Themenkomplexe:

1.BT 1: Besondere Anforderungen an das interne Kontrollsystem

a.BTO: Anforderungen an die Aufbau- und Ablauforganisation

b.BTR: Anforderungen an die Risikosteuerungs- und -controllingprozesse

2.BT 2: Besondere Anforderungen an die Ausgestaltung der Internen Revision

3.BT 3: Anforderungen an die Risikoberichterstattung

Das letztgenannte Modul BT 3 ist mit der fünften MaRisk-Novelle neu hinzugekommen und führt die bisher schon bestehenden, aber über mehrere Teilmodule verteilten Anforderungen an die Risikoberichterstattung in einem eigenständigen Modulblock zusammen.30

Die Vorteile der modularen Struktur der MaRisk liegen auf der Hand: Änderungen und neue Anforderungen, wie zum Beispiel die Umsetzung von BCBS 239 in AT 4.3.4 und BT 3 oder das Thema Risikokultur in AT 3, können effizient in die MaRisk integriert werden, ohne die Grundstruktur dieses Rundschreibens verlassen zu müssen. Die durch ihren modularen Aufbau angelegte Flexibilität und Anpassungsfähigkeit der MaRisk ist somit im Sinne aller Beteiligten – Institute, Prüfer, Verbände, Aufsicht und andere Interessierte.

3Definition des Anwendungsbereichs in AT 2

Das zweite Modul des allgemeinen Teils des Rundschreibens – AT 2 – definiert den Anwendungsbereich der MaRisk. Dieser ist mehrdimensional angelegt und betrifft

1.die institutsbezogene Ebene mit dem Anwenderkreis im Modul AT 2.1

2.die risikobezogene Ebene mit den adressierten wesentlichen Risiken im Modul AT 2.2 und

3.die geschäftsbezogene Ebene mit den relevanten Geschäftsarten im Modul AT 2.3.

AT 2 Tz. 1 MaRisk listet die mit dem Rundschreiben verfolgten Ziele auf und hätte wegen seines grundsätzlichen Charakters gut in Modul AT 1 gepasst.31 Die Zielsetzungen der MaRisk in AT 2 Tz. 1 sind zum einen aus den Oberzielen des § 6 Abs. 2 KWG abgeleitet:

1.Sicherung der den Instituten anvertrauten Vermögenswerte

2.Sicherung der ordnungsmäßigen Durchführung der Bankgeschäfte oder Finanzdienstleistungen

3.Vermeidung von Nachteilen für die Gesamtwirtschaft.32

Die Erfüllung von § 25a KWG und der MaRisk durch die Institute dient damit den Zielen der Solvenzaufsicht. Darüber hinaus haben Institute bei der Erbringung von Wertpapierdienstleistungen und -nebendienstleistungen die Anforderungen der MaRisk auch vor dem Hintergrund des Ziels der Interessenwahrung der Kunden einzuhalten. Folglich dient die Einrichtung eines angemessenen und wirksamen Risikomanagements als Kernelement des § 25a KWG und der MaRisk nicht nur der Finanzstabilität, sondern auch dem Anlegerschutz. Damit zeigt sich der ganzheitliche Anspruch der MaRisk sowohl in dem umfassenden Anwendungsbereich als auch bei den verfolgten Zielsetzungen.

3.1Der institutsbezogene Anwendungsbereich: AT 2.1

Bei der Bestimmung des institutsbezogenen Anwendungsbereichs in AT 2.1 Tz. 1 nehmen die MaRisk Bezug auf die Regelungen in § 1 Abs. 1b KWG, § 53 Abs. 1 KWG und § 53b KWG. Danach haben alle Kreditinstitute und Finanzdienstleistungsinstitute im Inland, Zweigstellen deutscher Institute im Ausland sowie inländische Zweigstellen von Unternehmen mit Sitz in Drittstaaten die Anforderungen dieses Rundschreibens zu beachten. Allerdings sind wegen § 53b KWG alle Zweigniederlassungen von Unternehmen mit Sitz in einem Staat des Europäischen Wirtschaftsraums (EWR) vom Anwendungsbereich der MaRisk ausgenommen: Sie besitzen den „europäischen Pass“ und werden von den zuständigen Behörden des jeweiligen Heimatlandes beaufsichtigt.

Nach der Definition in § 1 Abs. 1b KWG sind Institute im Sinne dieses Gesetzes Kreditinstitute und Finanzdienstleistungsinstitute. Kreditinstitute sind Unternehmen, die Bankgeschäfte gewerbsmäßig oder in einem Umfang betreiben, der einen in kaufmännischer Weise eingerichteten Geschäftsbetrieb erfordert.33 Was unter Bankgeschäften zu subsumieren ist, führt § 1 Abs. 1 KWG sodann in einer insgesamt 12 Punkte umfassenden Liste auf. Ein Unternehmen, das auch nur eines der dort aufgeführten Bankgeschäfte betreibt, ist als Kreditinstitut zu qualifizieren34: Es unterliegt damit den Regelungen des KWG und somit insbesondere auch § 25a KWG. Finanzdienstleistungsinstitute sind Unternehmen, die Finanzdienstleistungen für andere gewerbsmäßig oder in einem Umfang erbringen, der einen in kaufmännischer Weise eingerichteten Geschäftsbetrieb erfordert, und die keine Kreditinstitute sind.35 Ein Unternehmen, das mindestens eine der in § 1 Abs. 1a KWG genannten Finanzdienstleistungen erbringt, ist ein Finanzdienstleistungsinstitut. Ein Kreditinstitut kann zwar auch Finanzdienstleistungen erbringen, aber nicht gleichzeitig auch Finanzdienstleistungsinstitut sein.36

§ 1 Abs. 3d KWG definiert den Begriff des CRR-Instituts, der CRR-Kreditinstitute und CRR-Wertpapierfirmen umfasst. Beide Begriffe in der CRR sind enger gefasst als die Definition von Kreditinstituten und Finanzdienstleistungsinstituten im deutschen KWG. Folglich hätten nicht alle Institute im Sinne des § 1 Abs. 1b KWG auch die CRR anzuwenden. Daher regelt § 1a KWG, dass grundsätzlich alle Unternehmen, die unter die weite KWG-Institutsdefinition fallen, die Vorgaben der CRR einzuhalten haben.37 Eine Ausnahme von diesem Grundsatz stellen beispielsweise Factoring- und Leasingunternehmen dar, die seit dem 25.12.2008 als Finanzdienstleistungsinstitute gemäß § 1 Abs. 1a KWG gelten38. Sie unterliegen somit dem Kreditwesengesetz und müssen den § 25a KWG und damit auch die MaRisk-Anforderungen beachten. Dagegen sind sie wegen § 2 Abs. 7a KWG von zentralen Anforderungen der CRR befreit, insbesondere von der Erfüllung der Eigenmittelanforderungen der Säule 1.

Der letzte Satz in AT 2.1 Tz. 1 MaRisk nimmt Bezug auf § 25a Abs. 3 KWG und verdeutlicht, dass die Regelungen des Rundschreibens nicht nur auf Einzelinstitutsebene gelten. Die Anforderungen im Modul AT 4.5 MaRisk sind von übergeordneten Unternehmen beziehungsweise übergeordneten Finanzkonglomeratsunternehmen einer Institutsgruppe, einer Finanzholdinggruppe oder eines Finanzkonglomerats auf Gruppenebene umzusetzen. Wenn ein Kreditinstitut als ein solches übergeordnetes Unternehmen fungiert, sind dessen Geschäftsleiter für die ordnungsgemäße Geschäftsorganisation und damit für die Etablierung eines angemessenen und wirksamen Risikomanagements nach AT 4.5 MaRisk verantwortlich.

Die Gruppe der Finanzdienstleistungsinstitute und Wertpapierhandelsbanken ist sehr heterogen. Daher müssen diese Unternehmen die Anforderungen der MaRisk nur insoweit beachten, wie es vor dem Hintergrund ihrer Größe sowie Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten zur Einhaltung der gesetzlichen Pflichten aus § 25a KWG geboten erscheint. Diese Öffnungsklausel in AT 2.1 Tz. 2 MaRisk ermöglicht den genannten spezialisierten Instituten eine praxisgerechte Umsetzung der Anforderungen des MaRisk-Rundschreibens. Die Aufsicht erwartet aber, dass diese Häuser dabei den Modulen AT 3 (Gesamtverantwortung der Geschäftsleitung), AT 5 (Organisationsrichtlinien), AT 7 (Ressourcen) und AT 9 (Auslagerung) besondere Beachtung schenken.

3.2Der risikobezogene Anwendungsbereich: AT 2.2

Die Anforderungen der MaRisk beziehen sich auf das Management der für ein Institut wesentlichen Risiken, die die Vermögenslage einschließlich der Eigenkapitalausstattung, ihre Ertragslage oder ihre Liquiditätssituation wesentlich beeinträchtigen können („Was tut weh?“). Zur Beurteilung der Wesentlichkeit steht jedes Institut vor der Aufgabe, seine Risiken eigenständig, umfassend und eindeutig zu identifizieren.39 Diese vollständige Bestandsaufnahme der Risiken, denen ein Institut ausgesetzt ist, bezeichnen die MaRisk als „Durchführung einer Risikoinventur“. Die Risikoinventur ist regelmäßig und anlassbezogen durchzuführen. Zwar gibt die Aufsicht der prinzipienorientierten Ausrichtung der MaRisk entsprechend keine Methoden für diesen Prozess vor; sie erwartet aber von den Instituten ein planmäßiges, strukturiertes Verfahren zur systematischen Identifizierung und Analyse der Risiken – genau das drückt der Begriff „Risikoinventur“ aus.

Das Ziel der regelmäßig und anlassbezogen durchzuführenden Risikoinventur ist die Integration von Risikobewusstsein in die Unternehmenskultur.40 Die Entwicklung, Förderung und Integration einer angemessenen Risikokultur wird von den Geschäftsleitern im Rahmen ihrer Gesamtverantwortung für die Einrichtung und Weiterentwicklung einer ordnungsgemäßen Geschäftsorganisation in AT 3 Tz. 1 ausdrücklich gefordert.41 Im Einklang mit der grundsätzlich ökonomischen Sicht auf Risiken und Eigenkapital muss die Risikoinventur aussagekräftig sein und darf sich nicht ausschließlich an den Auswirkungen in der Rechnungslegung sowie an formalrechtlichen Ausgestaltungen orientieren. Daher sind auch Risiken zum Beispiel aus nicht bilanzierungspflichtigen Zweckgesellschaften (SPV42) zu analysieren.

Das Gesamtrisikoprofil ist das Ergebnis der vom Institut durchgeführten Risikoinventur und besteht aus den wesentlichen und den nicht wesentlichen Risiken. Die Aufsicht geht in AT 2.2 Tz. 1 MaRisk davon aus, dass alle Institute grundsätzlich zumindest Adressenausfallrisiken (einschließlich Länderrisiken), Marktpreisrisiken, Liquiditätsrisiken und operationelle Risiken als wesentlich einstufen43. Sollte ein Haus davon abweichen und eines oder mehrere dieser Risikoarten für sich als nicht wesentlich einstufen, ist dies gemäß AT 6 Tz. 2 MaRisk nachvollziehbar zu begründen und zu dokumentieren.

Mit wesentlichen Risiken verbundene Risikokonzentrationen müssen die Institute gemäß AT 2.2 Tz. 1 Satz 5 MaRisk berücksichtigen. Dabei haben sie die in der Erläuterung zu dieser Textziffer aufgeführten Arten von Risikohäufungen in den Blick zu nehmen:

•Risikokonzentrationen, die allein aufgrund der Größe einer Risikoposition in Relation zum Gesamtportfolio bestehen;

•Intra-Risikokonzentrationen, die durch den Gleichlauf von Risikopositionen innerhalb einer Risikoart auftreten: Hierzu gehören beispielsweise Branchenkonzentrationen im Kreditgeschäft;

•Inter-Risikokonzentrationen, die durch den Gleichlauf von Risikopositionen über verschiedene Risikoarten hinweg entstehen: So würden zum Beispiel bei Ausfällen großer Kreditnehmer vertraglich vereinbarte und geplante Liquiditätszuflüsse aus Zins- und Tilgungsleistungen ausbleiben. Bei unveränderten Liquiditätsabflüssen aus entsprechenden Zahlungsverpflichtungen würde die Liquiditätslage des betroffenen Instituts beeinträchtigt und sein Liquiditätsrisiko als direkte Folge eines schlagend gewordenen Adressenausfallrisikos ansteigen.

Das institutsindividuelle Gesamtrisikoprofil, über das sich die Geschäftsleitung ausdrücklich einen Überblick zu verschaffen hat, bildet die Basis eines angemessenen und wirksamen Risikomanagements. Alle wesentlichen Risiken eines Instituts im Allgemeinen und die in AT 2.2 Tz. 1 MaRisk hervorgehobenen wesentlichen Risiken im Besonderen, die im Rahmen der Risikoinventur ermittelt wurden, erfordern eine prozessuale Sonderbehandlung in Form von Risikosteuerungs- und -controllingprozessen sowie die Durchführung von Stresstests.44 Grundsätzlich hat ein Institut alle seine wesentlichen Risiken auch in seine Risikotragfähigkeitskonzeption einzubeziehen.45 Die folgende Abbildung gibt einen Überblick über die Prozessschritte im Rahmen der Durchführung der Risikoinventur:

Abbildung 3:Management wesentlicher Risiken in den MaRisk46

Die Risikotragfähigkeit beeinflusst wiederum die Festlegung und Anpassung der Strategien, während auf Basis der Geschäfts- und Risikostrategie abgeschlossene Geschäfte sich ihrerseits auf die Höhe der (wesentlichen) Risiken und damit das Gesamtrisikoprofil auswirken. Dieser Regelkreis des Risikomanagements wird im Rahmen von Prüfungen der Angemessenheit und Wirksamkeit des Risikomanagements prozessunabhängig von der Internen Revision geprüft.47

Zur Behandlung der im Rahmen der Risikoinventur als nicht wesentlich identifizierten Risiken werden dagegen keine besonderen Prozesse gefordert. AT 2.2 Tz. 1 Satz 6 MaRisk verlangt für diese Gruppe von Risiken lediglich angemessene Vorkehrungen zu treffen, ohne diese aber näher zu konkretisieren. In der Praxis kommen hier beispielsweise arbeitsregelnde Unterlagen und vorhandene weitere Berichte in Betracht. So könnten Institute in ihren Organisationsrichtlinien – hier kommt auch das Risikohandbuch in Betracht – verankern, dass das turnusmäßige Risikoreporting an die Geschäftsleitung und das Aufsichtsorgan auch einen Abschnitt mit Ausführungen zum Gesamtrisikoprofil zu enthalten hat.48 Auf diese Weise kann ein Institut dokumentiert nachweisen, dass es auch seine nicht wesentlichen Risiken im Blick behält; denn schließlich können Veränderungen externer und interner Rahmenbedingungen – wie zum Beispiel neue strategische Ausrichtungen – zur Folge haben, dass sich bisher nicht wesentliche dadurch zu wesentlichen Risiken entwickeln.49 Die folgende Abbildung zeigt die Klassifizierung der Risiken im Rahmen des durch die Risikoinventur ermittelten Gesamtrisikoprofils noch einmal auf:

Abbildung 4:Anforderungen an wesentliche und sonstige, nicht wesentliche Risiken in den MaRisk50

3.3Der geschäftsbezogene Anwendungsbereich: AT 2.3

Die dritte Dimension des Anwendungsbereichs der MaRisk bezieht sich auf die geschäftsbezogene Ebene. Die im Modul AT 2.3 MaRisk enthaltenen Definitionen der Kreditgeschäfte und der Handelsgeschäfte sind für die Anwendung der prozessualen Anforderungen an die Geschäftsarten relevant, insbesondere im Hinblick auf die Ausgestaltung der Aufbau- und Ablauforganisation im Kredit- und Handelsgeschäft (BTO).

3.3.1Definition der Kreditgeschäfte: AT 2.3 Tz. 1

Bei der Definition der Kreditgeschäfte in AT 2.3 Tz. 1 MaRisk stellt das Rundschreiben auf den weiten Kreditbegriff des § 19 Abs. 1 KWG ab. Dieser umfasst Bilanzaktiva, Derivate und andere außerbilanzielle Geschäfte, die einem Adressenausfallrisiko unterliegen. Aufgrund dieser weit gefassten Definition sind neben klassischen Darlehen auch Kreditzusagen, Bürgschaften, Beteiligungen und Handelsgeschäfte wie zum Beispiel Anleihen als Kreditgeschäfte anzusehen. Dies hat zur Konsequenz, dass die Anforderungen des BTO 1 an die Ausgestaltung der aufbau- und ablauforganisatorischen Prozesse im Kreditgeschäft für alle unter § 19 Abs. 1 KWG fallenden Kreditarten gelten. Allerdings sieht BTO 1 Tz. 1 MaRisk dabei Erleichterungen bei Handelsgeschäften und Beteiligungen vor, bei denen nur eine sinngemäße Umsetzung gefordert wird. Darüber hinaus sind die Kreditgeschäfte betreffenden Regelungen des Moduls „BTR Anforderungen an die Risikosteuerungs- und -controllingprozesse“ und des neuen Moduls „BT 3 Anforderungen an die Risikoberichterstattung“ zu beachten.51

In der Erläuterung zu AT 2.3 Tz. 1 MaRisk stellt die BaFin klar, dass die Einstufung als Kreditgeschäft unabhängig davon ist, ob die maßgeblichen Positionen Gegenstand von Verbriefungen sein sollen oder nicht. Folglich unterliegen auch diejenigen Kredite, die mittels Verbriefungstechniken an Dritte weitergereicht werden sollen, denselben Anforderungen an ordnungsgemäße Kreditprozesse wie jede andere Kreditvergabe auch.52

3.3.2Bedeutung der Kreditentscheidung: AT 2.3 Tz. 2

Im Anschluss an die Definition des Begriffs „Kreditgeschäft“ legt die BaFin in AT 2.3 Tz. 2 MaRisk fest, was unter einer Kreditentscheidung für die Zwecke des Rundschreibens zu verstehen ist. Die Bedeutung der Kreditentscheidung kann unter ökonomischen Gesichtspunkten nicht unterschätzt werden: Mit der Vergabe von Darlehen, dem Kauf von Wertpapieren, dem Abschluss von Derivaten sowie weiterer Kreditarten trifft ein Institut nach Abwägung des jeweiligen Chance-Risiko-Profils eine bewusste Entscheidung, das mit dem jeweiligen Kreditnehmer, Emittenten oder Kontrahenten verbundene Adressenausfallrisiko auf die eigenen Bücher zu nehmen. Die mit der Kreditentscheidung verbundene Risikoübernahme darf allerdings kein Selbstzweck sein, sondern dient der Erreichung der Rentabilitätsziele des Instituts.53 Die Kreditentscheidung spielt daher im Risikomanagement der Institute eine große Rolle. 54

Ihre zentrale Bedeutung spiegelt sich auch im MaRisk-Rundschreiben wider; denn die aufbau- und ablauforganisatorischen Anforderungen in BTO 1.1 und BTO 1.2 MaRisk knüpfen auch an der Entscheidungsfindung im Kreditgeschäft an. Folgende Beispiele verdeutlichen dies:

•Jede Kreditentscheidung im risikorelevanten Geschäft erfordert zwei zustimmende Voten, von denen das eine aus dem Bereich „Markt“ und das andere aus dem von diesem unabhängigen Bereich „Marktfolge“ kommen muss – BTO 1.1 Tz. 2 MaRisk.

•Der Kreditentscheidung muss ein geordneter Bearbeitungsprozess zugrunde liegen – BTO 1.2.

•Emittenten- und Kontrahentenlimite müssen durch ein Votum aus dem Bereich „Marktfolge“ festgelegt werden – BTO 1.1 Tz. 3 MaRisk.

Was versteht die Aufsicht nun konkret unter einer Kreditentscheidung? Gemäß AT 2.3 Tz. 2 MaRisk gilt im Sinne des Rundschreibens als Kreditentscheidung jede Entscheidung über

1.Neukredite und Krediterhöhungen

2.Beteiligungen

Da der weite Kreditbegriff in § 19 Abs. 1 KWG Beteiligungen einschließt, ist dem Erwerb von Beteiligungen jeweils eine Kreditentscheidung zugrunde zu legen.55 Wie weiter oben bereits ausgeführt, brauchen Institute die Anforderungen der MaRisk an das Kreditgeschäft im Hinblick auf Beteiligungen nur sinngemäß umsetzen56.

3.Die Festlegung von kreditnehmerbezogenen Limiten, Limitüberschreitungen sowie die Einräumung von Kontrahenten- und Emittentenlimiten

Ohne kreditnehmerbezogenes Limit darf ein Institut im Einklang mit BTR 1 Tz. 2 MaRisk kein mit Adressenausfallrisiken behaftetes Kreditgeschäft abschließen. Jede Limitfestsetzung entspricht daher einer Kreditentscheidung. Daher ist es nur konsequent, auch den Umgang mit Limitüberschreitungen als Kreditentscheidung zu qualifizieren. Da auch Handelsgeschäfte regelmäßig einem Adressenausfallrisiko unterliegen und vom weiten Kreditbegriff des § 19 Abs. 1 KWG erfasst werden, gilt auch die Festlegung von Kontrahenten- und Emittentenlimiten bei Handelsgeschäften als Kreditentscheidung, die durch ein positives Votum aus der Marktfolge gemäß BTO 1.1 Tz. 3 MaRisk erfolgt.

4.Prolongationen

Prolongationen gelten als Kreditentscheidung, weil durch sie die Laufzeit (aber nicht die Kredithöhe) bestehender Kreditengagements verlängert wird. Dies gilt analog für interne Prolongationen von extern bis auf weiteres (b. a. w.) zugesagten Krediten ohne feste Laufzeit, wie zum Beispiel Kontokorrentkredite; denn ökonomisch betrachtet verzichtet das Institut durch die interne Prolongation auf die Ausübung eines Kündigungsrechts.57

5.Änderungen risikorelevanter Sachverhalte, die dem Kreditbeschluss zugrunde lagen – beispielsweise Wertminderungen von Sicherheiten im Zeitverlauf – zählen ebenfalls zu den Kreditentscheidungen. Ein Beispiel, das auch in der Erläuterung zu AT 2.3 Tz. 2 MaRisk angeführt wird, sind Stundungen („Forbearance“). Diese könnte ein Institut als ein Instrument vor dem Hintergrund von Bonitätsverschlechterungen bei einzelnen Kreditnehmern erwägen. Stundungen dienen zum Beispiel der kurzzeitigen Überbrückung der Zeit bis zu einer Sanierung. Im Unterschied zu den ebenfalls in der Erläuterung aufgeführten Zinsanpassungen bei referenzzinsgebundenen Krediten stellen sie keine von vornherein – das heißt zu Beginn der Kreditvergabe – geplante Änderungen des Kreditverhältnisses dar. Daher sind Stundungen konsequenterweise als Kreditentscheidungen zu qualifizieren.

Schließlich stellt AT 2.3 Tz. 2 MaRisk klar, dass es für die Einstufung als Kreditentscheidung unerheblich ist, ob sie ausschließlich vom Institut selbst oder im Rahmen eines Konsortialgeschäfts zusammen mit anderen Häusern gemeinsam getroffen wird. Das ist angesichts der ökonomischen Bedeutung der Kreditentscheidung sowie vor dem Hintergrund der Eigenverantwortlichkeit jedes Instituts nachvollziehbar und sachgerecht.

3.3.3Definition der Handelsgeschäfte: AT 2.3 Tz. 3 und Tz. 4

Für die Definition der Handelsgeschäfte verweisen die MaRisk anders als bei den Kreditgeschäften nicht auf das KWG, sondern listen in AT 2.3 Tz. 3 MaRisk die Handelsgeschäfte einzeln auf. Voraussetzung für die Einstufung als Handelsgeschäft ist, dass die Institute die dort in Buchstabe a) bis f) aufgeführten Geschäftsabschlüsse im eigenen Namen und für eigene Rechnung abschließen – das sogenannte „Depot-A-Geschäft“. Dabei bezieht sich die Handelsgeschäftsdefinition unabhängig von der konkreten Zuordnung eines Geschäfts sowohl auf das Handelsbuch58 als auch auf das Anlagebuch eines Instituts. Im Einzelnen enthält die Liste der Handelsgeschäfte in AT 2.3 Tz. 3 MaRisk folgende Produkte:

1.Geldmarktgeschäfte

Zu den Geldmarktgeschäften zählen regelmäßig alle Geldaufnahme- und -anlagegeschäfte einschließlich der handelbaren Geldmarktinstrumente wie Commercial Papers und Certificates of Deposit.59 Nicht als Handelsgeschäfte zu klassifizieren sein dürften grundsätzlich die Geldmarktgeschäfte mit Privatkunden sowie kleinen und mittleren Unternehmen unterhalb einer „üblichen“ Interbankenlosgröße.

2.Wertpapiergeschäfte

Der Begriff des Wertpapiergeschäfts wird in den MaRisk – obwohl dort nicht definiert – weit ausgelegt. Neben den handelbaren, also fungiblen, Wertpapieren wie Aktien und Anleihen umfasst der in den MaRisk verwendete Wertpapierbegriff ausdrücklich auch Namensschuldverschreibungen, die Wertpapierleihe und Repo-Geschäfte – die Pensionsgeschäfte – als Wertpapiere.

3.Devisengeschäfte

Devisengeschäfte umfassen Devisenkassa-, Devisentermin- und Devisenoptionsgeschäfte und fallen unter die Handelsgeschäftsdefinition der MaRisk. Die Sortenkasse für den Barverkehr wird dagegen von dieser Definition nicht erfasst.

4.Geschäft in handelbaren Forderungen (zum Beispiel Handel in Schuldscheinen)

Das Geschäft in handelbaren Forderungen stellt eine eigene Kategorie von Handelsgeschäften innerhalb der MaRisk dar. Im Unterschied zu allen anderen in AT 2.3 Tz. 2 MaRisk aufgeführten Geschäftsarten sind handelbare Forderungen nur dann als Handelsgeschäfte einzustufen, wenn vonseiten des Instituts eine Handelsabsicht besteht. Hierzu hat das Institut geeignete Kriterien für die Abgrenzung zum Anlagebuch festzulegen. Der Handel in Schuldscheinen zählt ausdrücklich als Handelsgeschäft.

5.Geschäft in Waren

Der Handel in Waren umfasst gemäß der Erläuterung zu AT 2.3 Tz. 3 MaRisk ausdrücklich den Handel mit Edelmetallen und Rohwaren sowie den CO2-Handel und den Stromhandel. Für das traditionelle Warengeschäft von gemischtwirtschaftlichen Kreditgenossenschaften gilt folgende Erleichterung: Gemäß der in der Erläuterung zu AT 2.3 Tz. 3 MaRisk enthaltenen Öffnungsklausel müssen diese Kreditinstitute in Abhängigkeit von Art, Umfang und Risikogehalt dieser Geschäftsaktivitäten die Anforderungen der MaRisk an das Handelsgeschäft nur sinngemäß umsetzen.

6.Schließlich gehören auch Geschäfte in Derivaten zu den Handelsgeschäften im Sinne des MaRisk-Rundschreibens. AT 2.3 Tz. 4 MaRisk definiert Derivate umfassend als Termingeschäfte, deren Preis sich

– von einem zugrundeliegenden Referenzaktivum,

– von einem Referenzpreis, Referenzzins, Referenzindex oder

– von einem im Voraus definierten Ereignis ableitet.

Durch das letztgenannte Merkmal werden auch Kreditderivate erfasst.60 Trotz ihrer ökonomischen Nähe zu Kreditderivaten fallen Garantien und Avale ausdrücklich nicht unter die Derivate-Definition der MaRisk.61

Nicht als Handelsgeschäft zu klassifizieren ist dagegen grundsätzlich das Emissionsgeschäft, also die Erstausgabe von Wertpapieren. Dagegen stellt der Ersterwerb (von Wertpapieren) aus einer Emission ein Handelsgeschäft dar, bei dem allerdings Erleichterungen im Hinblick auf die Marktgerechtigkeitskontrolle möglich sind.62

Die Einstufung als Handelsgeschäft hat – analog zur Klassifizierung im Kreditgeschäft – zur Folge, dass die Anforderungen des BTO 2 an die Ausgestaltung der Aufbau- und Ablauforganisation im Handelsgeschäft anzuwenden sind. Darüber hinaus sind die Regelungen im Modul „BTR Anforderungen an die Risikosteuerungs- und -controllingprozesse“ und im neuen Modul BT 3 „Anforderungen an die Risikoberichterstattung“ zu beachten, die Handelsgeschäfte betreffen.

Literaturverzeichnis

Braun U. (2016): § 25a KWG, in: Boos, K.-H./Fischer, R./Schulte-Mattler, H. (Hrsg.): KWG – CRR-VO: Kommentar zu Kreditwesengesetz, VO (EU) Nr. 575/2013 (CRR) und Ausführungsvorschriften, 5. Auflage 2016, Band 1, München, S. 828-922.

Bundesanstalt für Finanzdienstleistungsaufsicht (2012): GZ: BA 54-FR 2210-2012/0002: Anschreiben der BaFin an die Verbände der Kreditwirtschaft – MaRisk-Novelle 2012, Veröffentlichung der Endfassung

Bundesanstalt für Finanzdienstleistungsaufsicht (2017a): GZ: BA 54-FR 2210-2017/0002: Anschreiben der BaFin an die Verbände der Kreditwirtschaft – MaRisk-Novelle 2017, Veröffentlichung der Endfassung

Bundesanstalt für Finanzdienstleistungsaufsicht (2017b): Rundschreiben 09/2017 (BA) vom 27. Oktober 2017, Mindestanforderungen an das Risikomanagement – MaRisk, Bonn.

Deutsche Bundesbank (2013a): Bankinterne Methoden zur Ermittlung und Sicherstellung der Risikotragfähigkeit und ihre bankaufsichtliche Bedeutung, in: Monatsbericht, 65. Jg. Nr. 3, S. 31-45.

Deutsche Bundesbank (2013b): Die Umsetzung von Basel III in europäisches und nationales Recht, in: Monatsbericht, 65. Jg. Nr. 6, S. 57-73.

Deutscher Sparkassen- und Giroverband (2014): Mindestanforderungen an das Risikomanagement – Interpretationsleitfaden, Version 5.1, Berlin

Financial Stability Board (2014): Guidance on Supervisory Interaction with financial institutions on Risk Culture – A Framework for Assessing Risk Culture

Handelsblatt (2018): EZB greift bei den Kontrollgremien der Banken durch, 23. Februar 2018.

Hannemann, R./Schneider, A./Weigl, Th. (2013): Mindestanforderungen an das Risikomanagement (MaRisk) – Kommentar unter Berücksichtigung der Instituts-Vergütungsverordnung (InstitutsVergV), 4., überarbeitete und erweiterte Auflage, Stuttgart 2013.

Hellstern, G. (2009): § 25a Abs. 1: Besondere organisatorische Pflichten von Instituten, in: Luz, G./Neus, W./Scharpf, P./Schneider, P./Weber, M. (Hrsg.): Kreditwesengesetz (KWG) – Kommentar zum KWG inklusive SolvV, LiqV, GroMiKV, MaRisk, Stuttgart, S. 751-788.

Kleine, W./Nolte, Th. (2012): MaRisk: Erweiterte Anforderungen an Vorstand und Aufsichtsorgan, in: Becker, A./Gruber, W./Wohlert, D. (Hrsg.): Handbuch MaRisk und Basel III, 2. Auflage, Frankfurt a. M., S. 165-189.

PwC (2018): BCBS 239 – Eine Herausforderung nicht nur für global systemrelevante Banken, 31. Januar 2018

Rose, M./Heuter H. (2016): Risikomanagementprozess, in: Gruber, W./Schöche, L./Rose, M. (Hrsg.): Prüfungsleitfaden Interne Revision, Frankfurt, S. 1-31.

Schäfer, F./Tollmann, C. (2016): § 1 KWG, in: Boos, K.-H./Fischer, R./Schulte-Mattler, H. (Hrsg.): KWG – CRR-VO: Kommentar zu Kreditwesengesetz, VO (EU) Nr. 575/2013 (CRR) und Ausführungsvorschriften, 5. Auflage 2016, Band 1, München, S. 47-162.

Schierenbeck, H. (1997): Ertragsorientiertes Bankmanagement, Band 2: Risiko-Controlling und Bilanzstrukturmanagement, 5. Aufl., Wiesbaden.

Wohlert, D. (2009): Einführung und Überblick über die Inhalte dieses Buches, in: Ramke, Th./Wohlert, D. (Hrsg.): Risikomanagement im Handelsgeschäft, MaRisk, § 25a KWG, § 44 KWG-Prüfungen, Umsetzungsspielräume, Stuttgart, S. 1-13.

Abbildungsverzeichnis

Abbildung 1:

Zusammenspiel wichtiger Begriffe in den MaRisk

Abbildung 2:

Einbindung des Aufsichtsorgans in das Risikomanagement

Abbildung 3:

Management wesentlicher Risiken in den MaRisk

Abbildung 4:

Anforderungen an wesentliche und sonstige, nicht wesentliche Risiken in den MaRisk

1Vgl. PwC: „BCBS 239 – Eine Herausforderung nicht nur für global systemrelevante Banken“, 31. Januar 2018. Die Anforderungen des BCBS 239 „Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung“ wurden mit den Modulen AT 4.3.4 und BT 3 in die MaRisk aufgenommen.

2Vgl. Financial Stability Board: „Guidance on Supervisory Interaction with financial institutions on Risk Culture – A Framework for Assessing Risk Culture“, 7. Januar 2014.

3Vgl. hierzu die Artikel von N. Angermüller und K. Geiersbach in diesem Handbuch.

4Vgl. Hannemann, R./Schneider, A./Weigl, Th., 2013, S. 53.

5Vgl. Wohlert, D., S. 5; Braun, U., 2016, S. 836, Rn. 24.

6Darunter fallen die Geschäftsstrategie und die damit konsistente Risikostrategie gemäß AT 4.2 MaRisk.

7Die Anforderungen des Moduls AT 4.3.4 MaRisk richten sich explizit nur an global und anderweitig systemrelevante Institute.

8Vgl. Hannemann, R./Schneider, A./Weigl, Th., a. a. O., S. 59.

9Vgl. Braun, U., a. a. O., S. 920, Rn. 729; Hannemann, R./Schneider, A./Weigl, Th., a. a. O., S. 58.

10Vgl. Kleine, W./Nolte, Th., 2012, S. 182.

11Vgl. Hannemann, R./Schneider, A./Weigl, Th., a. a. O., S. 70.

12Vgl. Deutsche Bundesbank, 2013a, S. 31.

13Die MaRisk-Anforderungen an das Risikomanagement auf Gruppenebene (AT 4.5) und an Auslagerungen (AT 9) sind gesetzlich in § 25a Abs. 3 KWG und § 25b KWG niedergelegt.

14Vgl. die Ausführungen zu AT 2.1 MaRisk in diesem Artikel.

15Vgl. Hannemann, R./Schneider, A./Weigl, Th., a. a. O., S. 72.

16Vgl. Handelsblatt: „EZB greift bei den Kontrollgremien der Banken durch“, 23. Februar 2018.

17Vgl. Deutscher Sparkassen- und Giroverband (DSGV), 2014, S. 229.

18Vgl. Deutsche Bundesbank, 2013a, S. 31.

19Vgl. Deutsche Bundesbank, 2013a, S. 33.

20Vgl. Braun, U., a. a. O., S. 848, Rn. 101.

21Vgl. BaFin, 2012, S. 2.

22Vgl. Hellstern, G., 2009, S. 762, Rn. 58.

23Die Inhalte des in AT 1 Tz. 4 MaRisk erwähnten § 33 Abs. 1 WpHG finden sich seit dem 3. Januar 2018 in § 80 Abs. 1 WpHG. Darüber hinaus wurde die in AT 1 Tz. 4 MaRisk genannte Richtlinie 2004/39/EG über Märkte für Finanzinstrumente (MiFID I) zum 3. Januar 2018 durch die Richtlinie 2014/65/EU (MiFID II) ersetzt.

24Vgl. Braun, U., a. a. O., s. 849, Rn. 105f.; DSGV, a. a. O., S. 26 ff.; Hannemann, R./Schneider, A./Weigl, Th., a. a. O., S. 82 ff.

25Vgl. Hannemann, R./Schneider, A./Weigl, Th., a. a. O., S. 84.

26Vgl. Braun, U., a. a. O., S. 844, Rn. 83.

27Vgl. BaFin, 2017a, S. 2.

28Vgl. Hannemann, R./Schneider, A./Weigl, Th., a. a. O., S. 86 ff.

29Vgl. Wohlert, D., a. a. O., S. 5.

30Vgl. BaFin 2017a, S. 3.

31Vgl. Hellstern, G., a. a. O., S. 763, Rn. 62.

32Vgl. Braun, U., a. a. O., S. 837, Rn. 33.

33Vgl. § 1 Abs. 1 KWG.

34Vgl. Schäfer, F./Tollmann, C., 2016, S. 62, Rn. 13.

35Vgl. § 1 Abs. 1a KWG.

36Vgl. Schäfer, a. a. O., S. 94, Rn. 129.

37Deutsche Bundesbank, 2013b, S. 67.

38Mit Wirkung vom 25. Dezember 2008 wurde das Factoring zusammen mit dem Finanzierungsleasing als neue Finanzdienstleistung eingeführt.

39Vgl. Deutsche Bundesbank, 2013a, S. 36; Rose, M./Heuter, H., 2016, S. 6.

40Vgl. DSGV, a. a. O., S. 205.

41Vgl. hierzu den Beitrag von N. Angermüller in diesem Handbuch.

42SPV steht für Special Purpose Vehicle.

43Detaillierte Ausführungen zu den genannten vier von der Aufsicht mindestens als wesentlich eingestuften Risikoarten finden sich in den entsprechenden Beiträgen in diesem Handbuch.

44Vgl. AT 4.3.2, AT 4.3.3 sowie BTR 1 bis 4 MaRisk für die in AT 2.2 Tz. 1 MaRisk von der Aufsicht grundsätzlich mindestens als wesentlich erachteten Risikoarten.

45Vgl. AT 4.1 Tz. 1 und 4 MaRisk sowie den Beitrag von H. Kramer in diesem Handbuch.

46Darstellung in Anlehnung an: DSGV, a.a. O., S. 238, Abb. 62.

47Vgl. DSGV, a.a. O., S. 16f.; Hannemann, R./Schneider, A./Weigl, Th., a.a.O., S. 110f.

48Vgl. DSGV, a.a. O., S. 206.

49Vgl. Hannemann, R./Schneider, A./Weigl, Th., a.a. O., S. 109.

50Darstellung in Anlehnung an: DSGV, a.a. O., S. 204, Abb. 47.

51Vgl. die Beiträge zu BTO 1 von A. Kastner und zu BT 3 von S. Andrae in diesem Handbuch.

52Diese Erläuterung wurde als Reaktion auf diesbezüglich festgestellte Schwachstellen im Kreditprozess mit der zweiten MaRisk-Novelle vom 14. August 2009 hinzugefügt.

53Vgl. Schierenbeck, H., 1997, S. 1.

54Vgl. Hannemann, R./Schneider, A./Weigl, Th., a.a. O., S. 137.

55Vgl. Hannemann, R./Schneider, A./Weigl, Th., a. a. O., S. 140.

56Vgl. BTO 1 Tz. 1 MaRisk und die dazugehörige Erläuterung.

57Vgl. Hannemann R./Schneider, A./Weigl, Th., a.a. O., S. 139.

58Das Handelsbuch wird in Art. 4 Abs. 1 Nr. 86 CRR bzw. in Art. 3 Abs. 1 Nr. 54 CRD IV definiert.

59Vgl. Hannemann, R./Schneider, A./Weigl, Th., a.a. O., S. 144.

60Vgl. Hannemann, R./Schneider, A./Weigl, Th., a.a. O., S. 153.

61Vgl. AT 2.3 Tz. 4 MaRisk Erläuterung.

62Vgl. AT 2.3 Tz. 3 Erläuterung und den Beitrag von S. Schulz in diesem Handbuch.

Die Bedeutung der Gesamtverantwortung der Geschäftsleitung in der 5. MaRisk-Novelle mit Blick auf die Ressourcenausstattung

von Niels O. Angermüller

1Einleitung

2Aktuelles Umfeld

3Anforderungen der MaRisk an die Gesamtverantwortung der Geschäftsleitung

4Anforderungen an die Ressourcen

5Fazit

Literaturverzeichnis

1Einleitung

Die finale Fassung der MaRisk 2017 sieht wie bisher die Gesamtverantwortung der Geschäftsleitung ebenso vor wie die Notwendigkeit, dass ein Institut mit angemessenen Ressourcen ausgestattet ist. Seit der letzten MaRisk-Novelle aus dem Jahr 2012 hat sich das Umfeld der Institute jedoch deutlich verändert. Der sich aus dem aktuellen Marktumfeld ergebende Ergebnis- und damit Kostendruck legt nahe, dass Institute ihre Ressourcenausstattung hinterfragen (müssen), was jedoch in einem Spannungsfeld zu regulatorischen Anforderungen stehen kann. Der vorliegende Beitrag geht auf die Anforderungen der aktuellen MaRisk gemäß dem BaFin-Rundschreiben 09/2017 ein.

Der folgende zweite Abschnitt geht zunächst knapp auf das aktuelle Umfeld in Deutschland ein. Im dritten Abschnitt werden dann die Anforderungen der MaRisk mit Blick auf die Gesamtverantwortung der Geschäftsleitung thematisiert. Damit verbunden werden im vierten Abschnitt die Anforderungen an die Ressourcen diskutiert. Dabei wird auch auf die bankaufsichtlichen Anforderungen an die IT (BAIT) vom 6. November 2017 eingegangen (BaFin-Rundschreiben 10/2017). Im Abschnitt fünf wird ein Fazit gezogen.

2Aktuelles Umfeld

Derzeit wähnen sich viele Institute in einem zunehmend schwierigen Marktumfeld. Die meist zentralen Herausforderungen stellen erstens die anhaltend sehr niedrigen Zinsen, zweitens die steigenden regulatorischen Anforderungen, drittens der weiterhin wachsende Wettbewerb von klassischen Marktteilnehmern wie Sparkassen mit Direkt- beziehungsweise Online-Anbietern und viertens (damit zusammenhängend) die weitere Digitalisierung dar. Diese Aspekte üben einen Einfluss auf das Geschäftsmodell der meisten Institute aus und beeinflussen operative sowie strategische Möglichkeiten und Planungen. Daher sollen sie im Folgenden kurz diskutiert werden, bevor in diesem Lichte die aktuellen MaRisk-Vorgaben beleuchtet werden.

Das Umfeld extrem niedriger Zinsen stellt viele Institute vor erhebliche wirtschaftliche Herausforderungen, wobei zum Teil gesamte Geschäftsmodelle infrage gestellt werden müssen. Bundesbank und BaFin haben in den Jahren 2013, 2015 und 2017 breit angelegte Umfragen zur Auswirkung des Niedrigzinsumfeldes im deutschen Bankensektor durchgeführt, im Rahmen derer jeweils über 1 500 Kreditinstitute aus den drei Säulen des deutschen Bankensystems untersucht wurden. Die Entwicklung der Profitabilität wurde 2015 als „stark rückläufig“ eingeschätzt; in gewissen Szenarien trat ein Rückgang des Ergebnisses vor Steuern um mehr als 50% ein.1 Gemäß der 2017 veröffentlichten Umfrage wird im Zeitraum 2016 bis 2021 mit einem Rückgang des Jahresüberschusses vor Steuern um 9% und der Gesamtkapitalrentabilität um 16% geplant.2 Damit wird die Ergebnisauswirkung geringer eingeschätzt als 2015.3 Durch diese drastischen Einbrüche wird es für Institute per se schwieriger, Mittel für die Umsetzung neuer Anforderungen aufzubringen. Bei vielen kleineren Instituten in ländlichen Regionen kommt als strategische Komponente die demografische Entwicklung des Kundenstammes hinzu, welcher zunehmend älter wird und weniger zu (lukrativem) Neugeschäft neigt. Zahlreiche Institute haben in den letzten Jahren durch Veränderungen ihrer Gebührenmodelle versucht, das verschlechterte Zinsergebnis durch Anhebungen von Gebühren zu kompensieren. Gerade jüngere, preisbewusste Kunden reagieren darauf jedoch oftmals mit Abwanderungen zu Direktanbietern, welche durch die Nutzung neuer Medien einen deutlich verbesserten Kundenzugang haben.

Die Institute beklagen zunehmende regulatorische Anforderungen,4 denn aus Sicht der ohnehin angespannten Ergebnissituation stehen den zusätzlichen Aufwendungen in der Regel keine zusätzlichen positiven Erfolgsbeiträge gegenüber. Die BaFin selbst fordert daher mittlerweile in Teilen eine Entlastung kleinerer Institute.5 Oftmals ergeben sich auch aus neueren Anforderungen der MaRisk zusätzliche Anforderungen an die IT. Hinzu kommen die neuen bankenaufsichtlichen Anforderungen an die IT (BAIT).6 Diese tragen neben den neu formulierten MaRisk den deutlich gestiegenen Risiken im Bereich IT wie Cyberrisiken oder Risiken aus mangelhaften Berechtigungskonzepten Rechnung. Gerade für kleinere Institute sind Fusionen oftmals die einzige Antwort, um auf die Gesamtveränderungen ihres Umfeldes zu reagieren. Gemäß der aktuellen Niedrigzinsumfrage können sich fast die Hälfte der Institute perspektivisch eine Fusion vorstellen.7

Zusammengefasst stehen die Institute vor erheblichen wirtschaftlichen Herausforderungen. Der Druck betrifft auch die Geschäftsleitungen, denen in den MaRisk eine besondere Rolle beigemessen wird. Insbesondere haben sie in diesem herausfordernden Umfeld über die Ressourcenausstattung des Institutes zu entscheiden und befinden sich so in einem Spannungsfeld zwischen zunehmendem wirtschaftlichem Druck einerseits und zunehmenden Anforderungen anderseits. Mit Teilen der veränderten Anforderungen befassen sich die folgenden Abschnitte dieses Beitrags.

3Anforderungen der MaRisk an die Gesamtverantwortung der Geschäftsleitung

Wie bereits seit der ersten Fassung der MaRisk aus dem Jahr 2005, wird auch in den aktuellen MaRisk die Gesamtverantwortung der Geschäftsleitung hervorgehoben. Gemäß AT 3 Tz. 1 MaRisk sind weiterhin alle Geschäftsleiter unabhängig von der internen Zuständigkeitsregelung für die ordnungsgemäße Geschäftsorganisation und deren Weiterentwicklung verantwortlich. Diese Verantwortlichkeit bezieht sich insbesondere auf die wesentlichen Elemente des Risikomanagements. Ausgelagerte Aktivitäten und Prozesse sind explizit eingeschlossen. Die Verantwortlichkeit der Geschäftsleitung ist nicht delegierbar, sodass im Falle aufsichtsrechtlicher Mängel die Geschäftsleitung unmittelbar verantwortlich bleibt. Verschärfend wurde in der 5. MaRisk-Novelle nun festgelegt, dass ungeachtet der Gesamtverantwortung der Geschäftsleitung jeder Geschäftsleiter für die Einrichtung angemessener Kontroll- und Überwachungsprozesse in seinem jeweiligen Zuständigkeitsbereich verantwortlich ist. Kommt es infolge eines nicht angemessenen Risikomanagements sogar zu materiellen Schäden, hat sich die Geschäftsleitung diese zivil- und gegebenenfalls auch strafrechtlich zurechnen zu lassen. Das zivilrechtliche Haftungsrisiko kann durch eine Directors & Officers (D&O)-Versicherung zwar versichert werden. Zu beachten ist dabei jedoch, dass derartige Versicherungen teilweise Selbstbehalte8 haben und bei Vorsatz sowie meist bei grober Fahrlässigkeit nicht leistungspflichtig sind.

Von Vorsatz oder grober Fahrlässigkeit wird insbesondere dann auszugehen sein, wenn gesellschaftsrechtliche und insbesondere regulatorische Anforderungen mit spezialgesetzlichem Charakter wie die MaRisk nicht oder nicht angemessen umgesetzt werden. Von besonderer Bedeutung ist, dass die Kenntnis von Mängeln (beispielsweise auf Basis von Berichten der Internen Revision oder der Compliance-Funktion) besonders schwer wiegt. Hier wäre primär von Vorsatz auszugehen, sodass der Geschäftsleitung eine Verletzung ihrer Sorgfaltspflicht vorgeworfen werden könnte. In § 93 Abs. 2 S. 2 AktG wurde im Falle von Pflichtverletzungen der Geschäftsleiter eine Beweislastumkehr verankert: Ist streitig, ob eine Sorgfaltspflichtverletzung vorliegt, so trifft die Beweislast die Geschäftsleiter.

Der Beweis, dass die Sorgfaltspflichten erfüllt wurden, lässt sich nur über eine adäquate Geschäftsorganisation führen, welche den Anforderungen der MaRisk gerecht wird. Diesbezüglich werden gewisse allgemeine Anforderungen gemacht. Dabei handelt es sich um Anforderungen an die Geschäftsleiter selbst, Anforderungen an die Risikokultur sowie im Falle von Gruppen die gruppenweite Wirkung der Anforderungen.

Bezüglich der Anforderungen an die Geschäftsleitungen selbst stellt AT 3 Tz. 1 MaRisk klar, dass Geschäftsleiter ihrer Verantwortung nur dann gerecht werden, wenn sie die Risiken beurteilen können und die erforderlichen Maßnahmen zu ihrer Begrenzung treffen. In diesem Zusammenhang gilt seit 4. Januar 2016 für alle der Aufsicht der BaFin unterliegenden Unternehmen das Merkblatt für die fachliche Eignung und Zuverlässigkeit von Geschäftsleitern gemäß VAG, KWG, ZAG und InvG. Neben der Eignung der Geschäftsleitungen ist für es für die angemessene Beurteilung der Risiken erforderlich, dass mit diesen in der Organisation im Rahmen eines angemessenen Risikomanagements professionell umgegangen wird. Die entsprechenden Anforderungen werden allgemein im AT 4 MaRisk sowie den anderen Teilen der MaRisk konkretisiert und sind nicht Gegenstand dieses Beitrages.

Neu aufgenommen wurde in AT 3 Tz. 1 MaRisk, dass die Geschäftsleitungen innerhalb des Instituts oder der Gruppe für die Entwicklung, Förderung und Integration einer angemessenen Risikokultur Verantwortung tragen.

Zur Schaffung einer angemessenen Risikokultur werden vier Indikatoren durch die BaFin9 als wesentlich angesehen und sollten daher bei der Umsetzung der MaRisk vorranging beachtet werden. Dies sind:

•Leitungskultur (Tone from the Top),

•Verantwortlichkeit der Mitarbeiter (Accountability),

•Offene Kommunikation und kritischer Dialog (Effective Communication and Challenge),

•Angemessene Anreizstrukturen (Incentives).