Mindestanforderungen an das Risikomanagement – MaRisk

Ausgangssituation

Die Bankenaufsicht hat die Mindestanforderungen an das Risikomanagement (MaRisk) mit dem Rundschreiben vom 12. Dezember 2012 (10/2012 BA) in der vierten Novelle aktualisiert. Anlass waren die weiterentwickelten Vorgaben auf europäischer Ebene (CRD IV, EBA-Standards). Die wesentlichen Inhalte der MaRisk sind in Module aufgeteilt. Neben einem “Allgemeinem Teil” (AT) gibt es einen “Besonderen Teil” (BT), der wiederum in weitere Module aufgeteilt ist. Hintergrund ist neben der verbesserten Gliederung insbesondere die Erwägung, im Bedarfsfall neue Anforderungen in das Regelwerk einfügen zu können, ohne die Grundstruktur verlassen zu müssen.

 

Basis für ein MaRisk-konformes Risikomanagement im Einklang mit der vierten Novelle ist eine kritische Bestandsaufnahme der existierenden Risiken auf der einen und des bestehenden Risikodeckungspotenzials (AT 4.1) auf der anderen Seite. Auf dieser Basis sind Geschäftsstrategie und Teilstrategien zu definieren (AT 4.2), deren Detaillierung von Art, Umfang, Komplexität und Risikoprofil der betriebenen Geschäfte abhängig ist. Darüber hinaus sind angemessene interne Kontrollverfahren zu installieren, die sich wiederum in ein internes Kontrollsystem zur prozessabhängigen Überwachung (AT 4.3) und in die interne Revision (AT 4.4) als prozessunabhängige Überwachung aufteilen.

Hierzu gehören:

  1. Die Festlegung von Strategien
  2. Verfahren zur Ermittlung und Sicherstellung der Risikotragfähigkeit
  3. Die Einrichtung interner Kontrollverfahren mit einem internen Kontrollsystem unter Einbindung der internen Revision
  4. Eine angemessene technisch-organisatorische Ausstattung des Institutes
  5. Die Festlegung eines Notfallkonzepts, insbesondere für IT-Systeme
  6. Eine angemessene, transparente und auf Nachhaltigkeit ausgerichtete Vergütung der Geschäftsleiter und Mitarbeiter

MaRisk verlangt von Instituten somit eine ordnungsgemäße Geschäftsorganisation. Insbesondere muss ein angemessenes und wirksames Risikomanagement auf Basis der individuellen Risikotragfähigkeit des Institutes etabliert sein:

 

Die wesentlichen Änderungen der vierten Novelle:

1. Detaillierung des Begriffes Mindestanforderungen

In AT 1 Tz. 2 wird mit Verweis auf das Proportionalitätsprinzip hervorgehoben, dass Institute ggf. über die explizit formulierten Mindestanforderungen hinaus Vorkehrungen für ein wirksames Risikomanagement treffen müssen. Insbesondere von großen Instituten bzw. von Instituten mit komplexer Geschäftsstruktur oder starker internationaler Ausrichtung wird erwartet, über die Mindestanforderungen hinaus Maßnahmen zu ergreifen, um das Risikomanagement zu verbessern.

 

2. Risikotragfähigkeit und Kapitalplanungsprozess

Mit der MaRisk-Novelle wird die Forderung nach einem zukunftsgerichteten Kapitalplanungsprozess und Risikotragfähigkeitskonzept gestellt. Diese Forderungen betreffen alle Institute und sollen über den üblichen Betrachtungszeitraum (in der Regel ein Jahr) die Risikotragfähigkeit und den Kapitalbedarf identifizieren. Auf diese Weise sollen beispielsweise auch die neuen Kapitalanforderungen aus Basel III frühzeitig identifiziert werden, um im Bedarfsfall rechtzeitig Steuerungsmaßnahmen zu ergreifen.

3. Compliance

Die Compliance-Funktion in Instituten soll integraler Bestandteil für das Risikomanagement werden und neben dem Risikocontrolling und der internen Revision eine interne Risiko-Governance in den Instituten gewährleisten.

4. Interner Liquiditätstransfer

Die Ausführungen über ein angemessenes Liquiditätspreissystem fordern eine Berücksichtigung der Liquiditätskosten und -risiken in der Liquiditätssteuerung. Somit sollen Liquiditätskosten, -nutzen und -risiken verursachungsgerecht in die Vor- und Nachkalkulation der Produkte einbezogen werden.

5. Risikosteuerungsprozesse

Ausgehend vom Risikodeckungspotenzial sollen alle einbezogenen wesentlichen Risiken wirksamer begrenzt werden. Dabei kann die Begrenzung durch die Festlegung von Risikotoleranzen quantitativ durch Limits (beispielsweise Globallimits, Einzellimits, Stresslimits) sowie qualitativ erfolgen (beispielsweise regelmäßige Risikoanalyse, Anforderungen an die Besicherung von Geschäften, Vermeiden von bestimmten Geschäften). Die Institute sind also aufgefordert, auf Basis von quantitativen und qualitativen Risikomerkmalen geeignete Indikatoren für eine Identifikation von Risiken und risikoübergreifenden Effekten zu identifizieren.

6. Organisatorische Anforderungen

  • Institute sind zukünftig verpflichtet, bei wesentlichen Änderungen der Aufbau- und Ablauforganisation die Auswirkungen auf die Kontrollverfahren zu überprüfen. Darüber hinaus ist eine regelmäßige Überprüfung von IT-Berechtigungen verpflichtend.
  • Bei Fremdwährungsdarlehen ist künftig im Rahmen der Bonitätsprüfung auch zu prüfen, inwieweit sich ungünstige Entwicklungen des  Wechselkurses und des Zinsniveaus auf die Bonität des Kreditnehmers auswirken.
  • Im Rahmen von Outsourcing-Aktivitäten müssen zukünftig Handlungsoptionen auf Durchführbarkeit überprüft werden, wenn die ungewollte Beendigung des Auslagerungsverhältnisses erheblichen Einfluss auf die Geschäftstätigkeit haben kann.
  • Künftig soll der Leiter des Risikocontrollings in wichtige Entscheidungen einbezogen werden. Er muss über ausreichende Qualifikationen und Erfahrungen verfügen. Außerdem ist er auf einer ausreichend hohen Führungsebene zu installieren, um entsprechenden Einfluss nehmen zu können. 
 
 

Unsere Leistungen

Wir unterstützen Sie bei der Umsetzung in den Bereichen Kapitalplanung, Risikosteuerung, Compliance und Liquiditätssteuerung. Wir identifizieren Schwachstellen bei der Umsetzung und erarbeiten gemeinsam mit Ihnen eine maßgeschneiderte Umsetzungsplanung.