Thema

MaRisk – Funktion, Inhalte und Anwendungsbereiche

Blick auf Börsenkurs als Metapher für "MaRisk – Funktion, Inhalte und Anwendungsbereiche"

Die Mindestanforderungen an das Risikomanagement (MaRisk) sind Verwaltungsanweisungen, die durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zuletzt mit dem Rundschreiben 10/2017 vom 27. Oktober 2017 veröffentlicht wurden:

 

 


Funktion und Anwendungsbereich

Qualitative Mindestanforderungen für die institutsspezifische Ausgestaltung des Risikomanagements

Die MaRisk konkretisieren die §§ 25a und b KWG und geben qualitative Mindestanforderungen für die institutsspezifische Ausgestaltung des Risikomanagements vor. Die MaRisk sind u. a. für alle nationalen Bankinstitute verpflichtend. Die Einhaltung der MaRisk ist zudem Gegenstand der Jahresabschlussprüfung durch den Abschlussprüfer. Darüber hinaus können auch Sonderprüfungen nach § 44 Abs. 1 KWG im Auftrag der Bundesanstalt für Finanzdienstleitungsaufsicht (BaFin) von Prüfern der Deutschen Bundesbank durchgeführt werden.

 

Struktur der MaRisk und wesentliche Inhalte

Die MaRisk gliedern sich in einen allgemeinen Teil (Modul AT) sowie einen besonderen Teil (Modul BT)

Das Modul AT beinhaltet dabei neben dem Anwendungskreis der MaRisk grundsätzliche Prinzipien für die Ausgestaltung des Governance-Prozesses, des Risikomanagements, der Organisationsrichtlinien, der Dokumentationen, der Ressourcenausstattung sowie von Notfallprozessen. Im Rahmen des Governance-Prozesses werden die Mindestanforderungen an die Gesamtverantwortung der Geschäftsleitung festgeschrieben. Allgemeine Mindestanforderungen an das Risikomanagement umfassen Anforderungen an die Ausprägung von Strategien, Anforderungen an das Risikotragfähigkeitskonzept eines Instituts sowie Anforderungen an das Stress-Testing. Darüber hinaus werden aufbau- und ablauforganisatorische Mindestanforderungen und besondere Funktionen, wie beispielsweise die Compliance-Funktion, definiert.

Im Modul BT 1 werden die Anforderungen an das interne Kontrollsystem weiter spezifiziert. Dieses Modul gliedert sich in zwei Untermodule auf. Im Untermodul BTO werden die Grundlagen für die Aufbau- und Ablauforganisation im Kredit- und Handelsgeschäft festgeschrieben. Im Untermodul BTR werden zudem Anforderungen an die Ausgestaltung der Risikosteuerungs- und -controllingprozesse von Adressenausfallrisiken, Marktpreisrisiken, Liquiditätsrisiken und operationellen Risiken formuliert. Abschließend werden im Modul BT 2 Vorgaben für die interne Revision und in BTR 3 an die Risikoberichterstattung definiert.

Das Ziel der MaRisk ist es, einen qualitativen Rahmen zur Identifikation, Messung und Steuerung aller wesentlichen Risiken eines Instituts sicherzustellen. Durch die Definition angemessener Strategien und Prozesse zur Sicherstellung ausreichender interner Kapitalausstattung soll die Risikotragfähigkeit der Institute langfristig gewährleistet werden. Mit dem sogenannten Säule-2-Ansatz sollen die in Säule 1 unvollständig oder nicht erfassten wesentlichen Risiken, wie beispielsweise Liquiditäts- und Länderrisiken, die Konzentration von Kreditrisiken, das Zinsänderungsrisiko im Anlagebuch oder strategische Risiken, bewertet und – wenn sinnvoll und angemessen – mit Risikodeckungspotenzial unterlegt werden.

Dabei ergeben sich für Institute in Abhängigkeit von ihrem idiosynkratischen Risikoprofil, welches sich aus der Größe, Komplexität und Geschäftsausrichtung ableitet, gemäß dem Grundsatz der doppelten Proportionalität weiter gehende aufsichtsrechtliche Anforderungen. Institute haben demnach proportional zu ihrem institutsspezifischen Risikoprofil ggf. über die in den MaRisk explizit formulierten Anforderungen hinaus weitere Vorkehrungen zu treffen und werden außerdem ggf. einem erhöhten Überprüfungsturnus durch die Aufsichtsbehörden unterworfen.

Als zentrales Rahmenwerk kommt in den MaRisk der sog. „Three-Lines-of-Defense“-Ansatz für ein funktionsfähiges Kontroll- und Überwachungssystem zum Tragen, welches unabhängig von Art, Struktur und Komplexität der Organisation umzusetzen ist. Neben dem operativen Management der (Geschäfts-)Prozesse und dem Internen Kontrollsystem (IKS) bilden Risikomanagement und Compliance sowie die Interne Revision als besondere Rollen und Funktionen die weiteren „Verteidigungslinien“ eines Instituts.
 

Abonnieren Sie unseren Newsletter

Erhalten Sie alle 2 Wochen die neuesten Analysen und Berichte unserer Banking-Experten.



 

Fünfte MaRisk-Novellierung 2017

Die fünfte Novelle zur MaRisk beinhaltete eine Vielzahl an Neuerungen

Die MaRisk unterliegen einer fortlaufenden Weiterentwicklung. Die letzte und fünfte Novelle zur MaRisk beinhaltete eine Vielzahl von Änderungen und Neuerungen, die in Teilen direkt bzw. nach einem Jahr In Kraft getreten sind.

Umgesetzt wurden u. a. die Vorschläge des Basler Ausschusses für Bankenaufsicht für die effektive Aggregation von Risikodaten und die Risikoberichterstattung vom Januar 2013 („BCBS-#239-Anforderungen“).

Wesentliche Anforderungen an die Risikodatenaggregation sind die Ausgestaltung einer Data Governance, eine hohe Datenqualität, einheitliche Datentaxonomien und Datenarchitekturen, ein hoher Automatisierungsgrad und die Fähigkeiten zur schnellen und umfassenden Risikodatenaggregation.Die Umsetzung dieser Anforderungen erfolgte dabei zweigeteilt, so dass LSI´s nur einen Teil der umfangreichen Anforderungen aus BCBS #239 beachten mussten.

Daneben wurden die Anforderungen an vom Institut selbst entwickelte EDV-Anwendungen (sogenannte IDV) deutlich erhöht bzw. konkretisiert. Unter anderem wird abhängig vom Risikopotenzial eine explizite organisatorische Trennung von der Entwicklung und dem Test/der Freigabe der Anwendung gefordert.

Es wurden höhere Anforderungen an das Outsourcing von Prozessen und IT-Systemen gestellt. Für die Institute resultierten daraus Handlungsbedarfe bzgl. einer intensiveren Risikoanalyse und Implementierung eines Auslagerungsmanagements zur Überwachung und Kontrolle der Auslagerungsaktivitäten mit zusätzlicher Vorhaltung von fundiertem Know-how trotz Auslagerung.

Die Entwicklung, Förderung und Integration einer angemessenen Risikokultur in die Gesamtverantwortung der Geschäftsleitung wurde erstmalig neu aufgenommen. Unter Risikokultur wird der Umgang aller Mitarbeitenden mit Risiken in der täglichen Arbeit verstanden. Somit ist eine umfangreiche Verankerung der Risikokultur in allen Prozessen und in Abhängigkeit vom institutsspezifischen genetischen Code notwendig. Darüber hinaus wird der Nachweis einer detaillierten Einbindung der Geschäftsleitung in alle Risikosteuerungsprozesse gefordert.

Ergänzt wurde die fünfte MaRisk-Novelle zudem um den aktualisierten Leitfaden der Aufsicht zur Risikotragfähigkeit[1] sowie die Bankaufsichtlichen Anforderungen an die IT (BAIT)[2].

Den Reifegrad der gesetzlichen Umsetzung im Verlauf der MaRisk-Entwicklung können Sie der nachfolgenden Grafik entnehmen:

Weiterentwicklung der MaRisk im Artikel "MaRisk – Funktion, Inhalte und Anwendungsbereiche"Abbildung 1: Weiterentwicklung der MaRisk


 

Ausblick auf künftige MaRisk-Novellierungen

Avisierte sechste Novellierung der MaRisk

Die sechste Novellierung der MaRisk wurde von der deutschen Aufsicht für Ende 2020 avisiert[3], wobei dieser Termin im Rahmen der regulatorischen Erleichterungen aufgrund von COVID-19 auf 2021 verschoben worden ist.[4] Inhaltlich wird neben den wie üblich zu vermutenden Konkretisierungen zu einzelnen Punkten (insb. aus Prüfungserfahrungen der Aufsicht) die Umsetzung von drei EBA-Leitlinien erwartet. Die Leitlinien für notleidende und gestundete Engagements[5] fordern eine angemessene Steuerung dieser Engagements. Ab einer NPL-Quote von 5 % ist u. a. die Vorgabe einer Strategie für NPL und Rettungserwerbe aufzustellen, die eine entsprechende prozessuale Einbindung erfordern. Neben dem Backtesting von EWB-Bildungen und Bewertungen der Sicherheiten soll auch die Wirksamkeit von Stundungsmaßnahmen quantitativ analysiert werden.

Die EBA-Leitlinien zum Outsourcing[6] werden zu einer Anpassung des Abschnitts AT 9 der MaRisk führen. Zentrale Anforderungen sind die Implementierung eines Auslagerungsregisters für alle wesentlichen und unwesentlichen Auslagerungen mit umfangreichen Mindestinhalten, die Informationspflicht gegenüber der Aufsicht bei geplanten wesentlichen Auslagerungen sowie Vereinfachungen für Auslagerungen innerhalb von Gruppen und institutsbezogenen Sicherungssystemen.

Zudem steht mit der Umsetzung der EBA-Leitlinie zur Kreditvergabe und -überwachung[7] eine sehr umfangreiche EBA-Leitlinie zur Umsetzung in nationales Recht an. Ziel der Regelung ist es, auf Basis von soliden und nachhaltigen Kreditvergabestandards und deren Monitoring eine hohe Kreditqualität sicherzustellen. Konkrete Vorgaben werden zur Governance, zum Prozess der Kreditvergabe, der Preisgestaltung sowie der Sicherheitenbewertung und der laufenden Überwachung (Monitoring) formuliert. Ein Abgleich mit den in Deutschland bereits bestehenden Vorgaben in den MaRisk zeigt trotz des Umfangs der EBA-Leitlinien einen für den MaRisk-unterliegenden Instituten einen vergleichsweise geringeren Anpassungsbedarf.

Inwieweit die deutsche Aufsicht in der kommenden MaRisk-Novelle weiter gehende Anpassungen aufgrund aktueller Risikoentwicklungen, z. B. eine explizite Aufnahme von Nachhaltigkeitsrisiken (Environmental-, Social- and Governance(ESG)-Risiken), zu denen die BaFin im Dezember 2019 ein umfassendes Merkblatt veröffentlicht hat, oder IT-Risiken und -Vorgaben, die eines der Schwerpunktthemen der deutschen Aufsicht in 2020 sind, ergänzt, bleibt abzuwarten.

 

[1] Vgl. Aufsichtliche Beurteilung bankinterner Risikotragfähigkeitskonzepte und deren prozessualer Einbindung in die Gesamtbanksteuerung („ICAAP“) – Neuausrichtung, Deutsche Bundesbank/BaFin, 24.05.2018.
[2] BAIT, d. h. Bankaufsichtliche Anforderungen an die IT, Rundschreiben 10/2017 (BA) vom 03.11.2017.
[3] Vgl. Protokoll zur Sitzung des Fachgremiums MaRisk vom 27.09.2019 in Frankfurt.
[4] Vgl. BaFin (2020): Covid-19-Lage: Neue Entwicklungen und wichtige Informationen der BaFin.
[5] Vgl. EBA GL/2018/06.
[6] Vgl. EBA GL/2019/02.
[7] Vgl. EBA GL/2020/06.

Artikel zum Thema

Abonnieren Sie unseren Newsletter

Erhalten Sie alle 2 Wochen die neuesten Analysen und Berichte unserer Banking-Experten.