Bereits am 20.12.2005 veröffentlichte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die erste Fassung der Mindestanforderungen an das Risikomanagement (MaRisk). Adressaten des neuen Regelwerkes waren insbesondere Banken aber auch Finanzdienstleister. In diesen Rundschreiben wurden Teile des Aufsichtskonzeptes der neuen Baseler Eigenkapitalvereinbarungen (Basel II) verarbeitet, aber auch die bislang schon bekannten Einzelregelungen der MaH, MaK und MaIR zusammengefasst bzw. um neue Themen wie z. B. Management von Zinsänderungsrisiken ergänzt.

Auf der Grundlage des § 25a Abs. 1 des Kreditwesengesetzes (KWG) wurde hiermit ein flexibler und praxisnaher Rahmen für die Ausgestaltung eines Risikomanagements der Institute vorgegeben, um ein angemessenes und wirksames Risikomanagement zu implementieren. Dies berücksichtigt neben einer Risikotragfähigkeit auch die entsprechende Einrichtung von internen Kontrollverfahren:

• Regelungen zur Aufbau- und Ablauforganisation
• Einrichtung von Risikosteuerungs- und -controllingprozessen.

Das Risikomanagement soll dabei die Grundlage für eine sachgerechte Wahrnehmung der Überwachungsfunktionen durch das Aufsichtsorgan bilden. Umso mehr verlangt die Implementierung der Mindestanforderungen einen risikoorientierten Ansatz, der an den institutsspezifischen Gegebenheiten ansetzt und diese explizit mit berücksichtigt (z. B. Größe des Instituts, Geschäftsumfang, Komplexität der betriebenen Geschäfte). In vielen Punkten sind die MaRisk daher auch mit zahlreichen Öffnungsklauseln versehen, die Gestaltungsspielräume für individuelle Umsetzungslösungen einräumen. Unter Einhaltung der doppelten Proportionalität können derartige Öffnungsklauseln in Anspruch genommen werden, müssen jedoch „sauber“ dokumentiert werden. Beispiel hierfür ist u. a. die Funktionstrennung bis einschließlich der Ebene der Geschäftsleitung bei kleinen Kreditinstituten. Auch die Interne Revision sollte darauf achten, dass derartige Entscheidungen plausibel und nachvollziehbar gestaltet werden.

Das Rundschreiben ist gegenüber der laufenden Fortentwicklung der Prozesse und Verfahren im Risikomanagement sehr flexibel. Aus diesem Grund wurde es bereits zweimal angepasst. Im Oktober 2007 war ein Ziel u. a. die Modernisierung der Outsourcing-Regelungen, um den Instituten mehr Gestaltungsspielräume für primär betriebswirtschaftlich getriebene Umsetzungslösungen einzuräumen.

Zwei Jahre später, im August 2009, waren maßgebliche Beweggründe für die Neufassung der MaRisk u. a. die Empfehlungen des Financial Stability Boards sowie diverse Anschlussarbeiten des Baseler Ausschuss für Bankenaufsicht. Darunter u. a. die Einbindung des Aufsichtsorgans. Die Geschäftsleiter müssen nun dem Aufsichtsorgan ein direktes Auskunftsrecht gegenüber der Internen Revision einräumen, damit es seine Überwachungsfunktion noch wirkungsvoller wahrnehmen kann.

Weiterhin hat die Finanzmarktkrise deutlich gezeigt, wie verheerend sich Risiken aus Konzentrationen auswirken können. Die aktualisierten Anforderungen in den MaRisk sollen deshalb dazu beitragen, dass Institute wiederholt für solche Klumpenrisiken sensibilisiert werden.

Um den gesetzlichen Regelungen zum gruppenweiten Risikomanagement noch mehr Bedeutung zu verleihen, wurden die bestehenden MaRisk-Anforderungen auch dahingehend ergänzt. Übergeordnete Unternehmen können in Abstimmung mit den nachgeordneten Unternehmen gruppenbezogene Anforderungen an Risikosteuerungs- und –controllingprozesse umsetzen. Das beinhaltet auch Vorgaben für die Einbindung einer Konzernrevision in die Gesamtgruppe.

Eine weitere bedeutende Neuerung stellen die Anforderungen an die Vergütungssysteme dar. Die neuen Anforderungen stellen keinen Eingriff in die Entlohnungssysteme der Privatwirtschaft dar, aber nennen Kriterien, die bei der Ausgestaltung der Vergütungssysteme zu berücksichtigen sind. Demnach ist sicherzustellen, dass die Vergütungssysteme mit den in den Strategien niedergelegten Zielen in Einklang stehen und schädliche Anreize zur Begründung unverhältnismäßig hoher Risikopositionen vermieden werden. Weiterhin sind bei der variablen Vergütung auch mögliche negative Entwicklungen zu berücksichtigen („risk taker“ sollen nicht nur am Erfolg, sondern auch an einem etwaigen Verlust partizipieren).

Die Herausforderung, der eine Interne Revision nun gegenübersteht, liegt im Großen und Ganzen darin, zu beurteilen, ob die Ergebnisse und die Entwicklungen der letzten Jahre aus der Gesamtbranche inhaltlich und sinnhaft auch in die institutseigene Aufbau- und Ablauforganisation eingeflossen sind.

Weitere Informationen finden Sie unter:

• 14.08.2009: Anschreiben zum Rundschreiben 15/2009
• 14.08.2009: Rundschreiben 15/2009: Mindestanforderungen an das Risikomanagement
• 14.08.2009: Anlage 1 (Erläuterungen MaRisk) zum Rundschreiben 15/2009
• 14.08.2009: Anlage 2 (Änderung ggü. Fassung vom 30.10.2007) zum Rundschreiben 15/2009
• 14.08.2009: Begleitschreiben für Finanzierungsleasing- und Factoringinstitute
• 30.10.2007: Anschreiben zum Rundschreiben 5/2007
• 30.10.2007: Rundschreiben 5/2007: Mindestanforderungen an das Risikomanagement
• 30.10.2007: Anlage 1 (Erläuterungen MaRisk) zum Rundschreiben 5/2007
• 30.10.2007: Anlage 2 (Alte Schreiben) zum Rundschreiben 5/2007
• 30.10.2007: Anlage 3 (MaRisk modulare Übersicht) zum Rundschreiben 5/2007
• 30.10.2007: Anlage 4 (Änderungen ggü. Fassung vom 20.12.2005) zum Rundschreiben 5/2007
• 20.12.2005: Anschreiben zum Rundschreiben 18/2005
• 20.12.2005: Rundschreiben 18/2005 (BA) Mindestanforderungen an das Risikomanagement
• 20.12.2005: Anlage 1 (Erläuterungen MaRisk) zum Rundschreiben 18/2005
• 20.12.2005: Anlage 2 (MaRisk modulare Übersicht) zum Rundschreiben 18/2005
• 20.12.2005: Anlage 3 (Reporting) zum Rundschreiben 18/2005
• 20.12.2005: Anlage 4 (Hierachie Begriffe) zum Rundschreiben 18/2005
• 20.12.2005: Anlage 5 (Alte Schreiben) zum Rundschreiben 18/2005