Thema

MaRisk

Funktion und Anwendungsbereich der MaRisk

Die Mindestanforderungen an das Risikomanagement (MaRisk) sind Verwaltungsanweisungen, die durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) erstmals mit dem Rundschreiben 18/2005 vom 20. Dezember 2005 veröffentlicht wurden. Die MaRisk konkretisieren die §§ 25a und b KWG und geben qualitative Mindestanforderungen für die institutsspezifische Ausgestaltung des Risikomanagements vor. Die MaRisk sind u. a. für alle nationalen Bankinstitute verpflichtend. Die Einhaltung der MaRisk ist zudem Gegenstand der Jahresabschlussprüfung durch den Abschlussprüfer. Darüber hinaus können auch Sonderprüfungen nach § 44 Abs. 1 KWG von Prüfern der Bundesbank durchgeführt werden.

Struktur der MaRisk und wesentliche Inhalte

Die MaRisk gliedern sich in einen allgemeinen Teil (Modul AT) sowie einen besonderen Teil (Modul BT).

Das Modul AT beinhaltet dabei neben dem Anwendungskreis der MaRisk grundsätzliche Prinzipien für die Ausgestaltung des Governance-Prozesses, des Risikomanagements, der Organisationsrichtlinien, der Dokumentationen, der Ressourcenausstattung sowie von Notfallprozessen. Im Rahmen des Governance-Prozesses werden die Mindestanforderungen an die Gesamtverantwortung der Geschäftsleitung festgeschrieben. Allgemeine Mindestanforderungen an das Risikomanagement umfassen Anforderungen an die Ausprägung von Strategien, Anforderungen an das Risikotragfähigkeitskonzept eines Instituts sowie Anforderungen an das Stresstesting. Darüber hinaus werden aufbau- und ablauforganisatorische Mindestanforderungen und besondere Funktionen, wie beispielsweise die Compliance-Funktion, definiert.

Im Modul BT 1 werden die Anforderungen an das interne Kontrollsystem weiter spezifiziert. Dieses Modul gliedert sich in zwei Untermodule auf. Im Untermodul BTO werden die Grundlagen für die Aufbau- und Ablauforganisation im Kredit- und Handelsgeschäft festgeschrieben. Im Untermodul BTR werden zudem Anforderungen an die Ausgestaltung der Risikosteuerungs- und -controllingprozesse von Adressenausfallrisiken, Marktpreisrisiken, Liquiditätsrisiken und operationellen Risiken formuliert. Abschließend werden im Modul BT 2 u. a. Vorgaben für die interne Revision und Risikoberichterstattung definiert.

Das Ziel der MaRisk ist es, einen qualitativen Rahmen zur Identifikation, Messung und Steuerung aller wesentlichen Risiken eines Instituts zu stellen. Durch die Definition angemessener Strategien und Prozesse zur Sicherstellung ausreichender interner Kapitalausstattung soll die Risikotragfähigkeit der Institute langfristig gewährleistet werden. Mit dem sogenannten Säule-2-Ansatz sollen die in Säule 1 unvollständig oder nicht erfassten wesentlichen Risiken, wie beispielsweise Länderrisiken oder die Konzentration von Kreditrisiken, das Zinsänderungsrisiko im Anlagebuch oder strategische Risiken, bewertet und mit Risikodeckungspotenzial unterlegt werden.

Dabei ergeben sich für Institute in Abhängigkeit von ihrem idiosynkratrischen Risikoprofil, welches sich aus der Größe, Komplexität und Geschäftsausrichtung ableitet, gemäß dem Grundsatz der doppelten Proportionalität weiter gehende aufsichtsrechtliche Anforderungen. Institute haben demnach proportional zu ihrem institutsspezifischen Risikoprofil ggf. über die in den MaRisk explizit formulierten Anforderungen hinaus weitere Vorkehrungen zu treffen und werden außerdem ggf. einem erhöhten Überprüfungsturnus durch die Aufsichtsbehörden unterworfen.

Ausblick auf künftige MaRisk-Novellierungen

Die MaRisk unterliegen einer fortlaufenden Weiterentwicklung. Die letzte und vierte Novelle zur MaRisk erfolgte mit dem Rundschreiben 10/2012 am 14. Dezember 2012. Am 19. Februar 2016 wurde darüber hinaus das Konsultationspapier 02/2016 zur fünften Novelle der MaRisk veröffentlicht. Im Rahmen des Konsultationsverfahrens konnte bis zum 27. April 2016 durch Institute, Verbände und Wirtschaftsprüfer Stellung genommen werden. Die Verabschiedung der fünften Novelle steht derzeit noch aus.

Mit der fünften MaRisk-Novelle werden im Kern die folgenden wesentlichen Änderungen angestrebt:

  • Es sollen die vom Basler Ausschuss für Bankenaufsicht definierten Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung vom Januar 2013 („BCBS-#239-Anforderungen“) in nationales Recht überführt werden.

Wesentliche Anforderungen an die Risikodatenaggregation sind die Ausgestaltung einer Data Governance, eine hohe Datenqualität, einheitliche Datentaxonomien und Datenarchitekturen, ein hoher Automatisierungsgrad und die Fähigkeiten zur schnellen und umfassenden Risikodatenaggregation. Diese BCBS-#239-Anforderungen sind gemäß dem aktuell vorliegenden Entwurf der fünften MaRisk-Novelle ausschließlich von systemrelevanten Banken umzusetzen.

Darüber hinaus werden die Anforderungen an die Risikoberichterstattung verstärkt. So werden bspw. erhöhte Frequenzen, konkrete Inhalte und eine höhere Qualität der Berichterstattung gefordert. Diese Anforderungen sind im Sinne der BCBS-#239-Anforderungen ausgestaltet und für alle Institute verbindlich umzusetzen.

Die formulierten Regelungen zur Risikoberichterstattung setzen de facto eine hinreichende Risikodatenaggregation ähnlich den BCBS-#239-Anforderungen voraus. Somit sind letztlich die BCBS-#239-Anforderungen unter Berücksichtigung einer gewissen Proportionalität für alle Institute relevant.

  • Vom Institut selbst entwickelte EDV-Anwendungen (sogenannte IDV) unterliegen künftig deutlich höheren Anforderungen. U. a. wird abhängig vom Risikopotential ggf. eine explizite organisatorische Trennung von der Entwicklung und dem/der Test/Freigabe der Anwendung gefordert.
  • Es werden höhere Anforderungen an das Outsourcing von Prozessen und IT-Systemen gestellt. Für die Institute resultieren Handlungsbedarfe aus einer intensiveren Risikoanalyse, Implementierung eines Auslagerungsmanagements zur Überwachung und Kontrolle der Auslagerungsaktivitäten mit zusätzlicher Vorhaltung von fundiertem Know-how trotz Auslagerung.
  • Institute müssen zukünftig Forbearance-Tatbestände als Ergänzung zur regulatorischen Ausfalldefinition, Risikofrüherkennung sowie Risikoklassifizierung in ihre Risikomanagementprozessen integrieren. Auch wenn die Definition von Forbearance-Tatbeständen institutsspezifisch ausgestaltet werden kann, empfiehlt es sich, eine prozessuale Umsetzung von Forbearance-Anforderungen in Anlehnung an die Vorgaben der AnaCredit- sowie FinRep-Meldung anzustreben.
  • Die Entwicklung, Förderung und Integration einer angemessenen Risikokultur in die Gesamtverantwortung der Geschäftsleitung wird betont. Unter Risikokultur wird der Umgang eines jeden Mitarbeiters mit Risiken in der täglichen Arbeit verstanden. Somit ist eine umfangreiche Verankerung der Risikokultur in allen Prozessen und in Abhängigkeit vom institutsspezifischen genetischen Code notwendig. Darüber hinaus wird der Nachweis einer detaillierten Einbindung der Geschäftsleitung in alle Risikosteuerungsprozesse gefordert.

Ergänzend zu dem Entwurf der fünften MaRisk-Novelle Aktuell werden die Anforderungen an die Risikotragfähigkeitsmethoden von den Aufsichtsbehörden überprüft, um eine internationale Harmonisierung der Risikotragfähigkeitssysteme zu erzielen.

Darüber hinaus werden die Anforderungen an IT-Risiken weiter von den Aufsichtsbehörden konkretisiert. Dazu wurde in 2017 der Entwurf der Bankaufsichtlichen Anforderungen an die IT (BAIT) veröffentlicht. Die BAIT präzisiert dabei die MaRisk.

Artikel zum Thema

Mit BankingHub immer auf dem Laufenden!

Einfach E-Mail-Adresse eingeben, und Sie erhalten alle 2 Wochen die neuesten Analysen und Berichte unserer Banking-Experten – direkt in Ihr Postfach.