Thema

MaRisk – Funktion, Inhalte und Anwendungsbereiche

Blick auf Börsenkurs als Metapher für "MaRisk – Funktion, Inhalte und Anwendungsbereiche"

Die Mindestanforderungen an das Risikomanagement (MaRisk) sind Verwaltungsanweisungen, die durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zuletzt mit der 6. MaRisk-Novelle (6. Novelle der Mindestanforderungen an das Risikomanagement) am 16. August 2021 in Kraft gesetzt wurden:

 

 


Funktion und Anwendungsbereich

Qualitative Mindestanforderungen für die institutsspezifische Ausgestaltung des Risikomanagements

Die MaRisk konkretisieren die §§ 25a und b KWG und geben qualitative Mindestanforderungen für die institutsspezifische Ausgestaltung des Risikomanagements vor. Die MaRisk sind u. a. für alle nationalen Bankinstitute verpflichtend. Die Einhaltung der MaRisk ist zudem Gegenstand der Jahresabschlussprüfung durch den Abschlussprüfer. Darüber hinaus können auch Sonderprüfungen nach § 44 Abs. 1 KWG im Auftrag der Bundesanstalt für Finanzdienstleitungsaufsicht (BaFin) von Prüfern der Deutschen Bundesbank durchgeführt werden.

 

Struktur der MaRisk und wesentliche Inhalte

Die MaRisk gliedern sich in einen allgemeinen Teil (Modul AT) sowie einen besonderen Teil (Modul BT)

Das Modul AT beinhaltet dabei neben dem Anwendungskreis der MaRisk grundsätzliche Prinzipien für die Ausgestaltung des Governance-Prozesses, des Risikomanagements, der Organisationsrichtlinien, der Dokumentationen, der Ressourcenausstattung sowie von Notfallprozessen. Im Rahmen des Governance-Prozesses werden die Mindestanforderungen an die Gesamtverantwortung der Geschäftsleitung festgeschrieben. Allgemeine Mindestanforderungen an das Risikomanagement umfassen Anforderungen an die Ausprägung von Strategien, Anforderungen an das Risikotragfähigkeitskonzept eines Instituts sowie Anforderungen an das Stress-Testing. Darüber hinaus werden aufbau- und ablauforganisatorische Mindestanforderungen und besondere Funktionen, wie beispielsweise die Compliance-Funktion, definiert.

Im Modul BT 1 werden die Anforderungen an das interne Kontrollsystem weiter spezifiziert. Dieses Modul gliedert sich in zwei Untermodule auf. Im Untermodul BTO werden die Grundlagen für die Aufbau- und Ablauforganisation im Kredit- und Handelsgeschäft festgeschrieben. Im Untermodul BTR werden zudem Anforderungen an die Ausgestaltung der Risikosteuerungs- und -controllingprozesse von Adressenausfallrisiken, Marktpreisrisiken, Liquiditätsrisiken und operationellen Risiken formuliert. Abschließend werden im Modul BT 2 Vorgaben für die interne Revision und in BTR 3 an die Risikoberichterstattung definiert.

Das Ziel der MaRisk ist es, einen qualitativen Rahmen zur Identifikation, Messung und Steuerung aller wesentlichen Risiken eines Instituts sicherzustellen. Durch die Definition angemessener Strategien und Prozesse zur Sicherstellung ausreichender interner Kapitalausstattung soll die Risikotragfähigkeit der Institute langfristig gewährleistet werden. Mit dem sogenannten Säule-2-Ansatz sollen die in Säule 1 unvollständig oder nicht erfassten wesentlichen Risiken, wie beispielsweise Liquiditäts- und Länderrisiken, die Konzentration von Kreditrisiken, das Zinsänderungsrisiko im Anlagebuch oder strategische Risiken, bewertet und – wenn sinnvoll und angemessen – mit Risikodeckungspotenzial unterlegt werden.

Dabei ergeben sich für Institute in Abhängigkeit von ihrem idiosynkratischen Risikoprofil, welches sich aus der Größe, Komplexität und Geschäftsausrichtung ableitet, gemäß dem Grundsatz der doppelten Proportionalität weiter gehende aufsichtsrechtliche Anforderungen. Institute haben demnach proportional zu ihrem institutsspezifischen Risikoprofil ggf. über die in den MaRisk explizit formulierten Anforderungen hinaus weitere Vorkehrungen zu treffen und werden außerdem ggf. einem erhöhten Überprüfungsturnus durch die Aufsichtsbehörden unterworfen.

Als zentrales Rahmenwerk kommt in den MaRisk der sog. „Three-Lines-of-Defense“-Ansatz für ein funktionsfähiges Kontroll- und Überwachungssystem zum Tragen, welches unabhängig von Art, Struktur und Komplexität der Organisation umzusetzen ist. Neben dem operativen Management der (Geschäfts-)Prozesse und dem Internen Kontrollsystem (IKS) bilden Risikomanagement und Compliance sowie die Interne Revision als besondere Rollen und Funktionen die weiteren „Verteidigungslinien“ eines Instituts.
 

Abonnieren Sie unseren Newsletter

Erhalten Sie alle 2 Wochen die neuesten Analysen und Berichte unserer Banking-Experten.



 

Fünfte MaRisk-Novellierung 2017

Die fünfte Novelle zur MaRisk beinhaltete eine Vielzahl an Neuerungen

Die MaRisk unterliegen einer fortlaufenden Weiterentwicklung. Die letzte und fünfte Novelle zur MaRisk beinhaltete eine Vielzahl von Änderungen und Neuerungen, die in Teilen direkt bzw. nach einem Jahr In Kraft getreten sind.

Umgesetzt wurden u. a. die Vorschläge des Basler Ausschusses für Bankenaufsicht für die effektive Aggregation von Risikodaten und die Risikoberichterstattung vom Januar 2013 („BCBS-#239-Anforderungen“).

Wesentliche Anforderungen an die Risikodatenaggregation sind die Ausgestaltung einer Data Governance, eine hohe Datenqualität, einheitliche Datentaxonomien und Datenarchitekturen, ein hoher Automatisierungsgrad und die Fähigkeiten zur schnellen und umfassenden Risikodatenaggregation.Die Umsetzung dieser Anforderungen erfolgte dabei zweigeteilt, so dass LSI´s nur einen Teil der umfangreichen Anforderungen aus BCBS #239 beachten mussten.

Daneben wurden die Anforderungen an vom Institut selbst entwickelte EDV-Anwendungen (sogenannte IDV) deutlich erhöht bzw. konkretisiert. Unter anderem wird abhängig vom Risikopotenzial eine explizite organisatorische Trennung von der Entwicklung und dem Test/der Freigabe der Anwendung gefordert.

Es wurden höhere Anforderungen an das Outsourcing von Prozessen und IT-Systemen gestellt. Für die Institute resultierten daraus Handlungsbedarfe bzgl. einer intensiveren Risikoanalyse und Implementierung eines Auslagerungsmanagements zur Überwachung und Kontrolle der Auslagerungsaktivitäten mit zusätzlicher Vorhaltung von fundiertem Know-how trotz Auslagerung.

Die Entwicklung, Förderung und Integration einer angemessenen Risikokultur in die Gesamtverantwortung der Geschäftsleitung wurde erstmalig neu aufgenommen. Unter Risikokultur wird der Umgang aller Mitarbeitenden mit Risiken in der täglichen Arbeit verstanden. Somit ist eine umfangreiche Verankerung der Risikokultur in allen Prozessen und in Abhängigkeit vom institutsspezifischen genetischen Code notwendig. Darüber hinaus wird der Nachweis einer detaillierten Einbindung der Geschäftsleitung in alle Risikosteuerungsprozesse gefordert.

Ergänzt wurde die fünfte MaRisk-Novelle zudem um den aktualisierten Leitfaden der Aufsicht zur Risikotragfähigkeit[1] sowie die Bankaufsichtlichen Anforderungen an die IT (BAIT)[2].

Den Reifegrad der gesetzlichen Umsetzung im Verlauf der MaRisk-Entwicklung können Sie der nachfolgenden Grafik entnehmen:

Weiterentwicklung der MaRisk im Artikel "MaRisk – Funktion, Inhalte und Anwendungsbereiche"Abbildung 1: Weiterentwicklung der MaRisk


 

Sechste MaRisk-Novelle

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 16. August 2021 die 6. MaRisk-Novelle (6. Novelle der Mindestanforderungen an das Risikomanagement)[8] – in Kraft gesetzt.

Ziel der 6. MaRisk-Novelle ist es, verschiedene internationale Regulierungsinitiativen in deutsches Recht umzusetzen (u. a. „Leitlinien über das Management notleidender und gestundeter Risikopositionen“[9], „Leitlinien zu Auslagerungen“[10] sowie „EBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken“[11]), bestehende Regelungen weiterzuentwickeln (u. a. zum Auslagerungsmanagement, zum Notfallmanagement, zur Sicherheitenbewertung sowie zur Kreditüberwachung) und bestehende Regelungen zu präzisieren.

Zur Übersicht der Herausforderungen und Änderungen im Zuge der 6. MaRisk-Novelle

 

[1] Vgl. Aufsichtliche Beurteilung bankinterner Risikotragfähigkeitskonzepte und deren prozessualer Einbindung in die Gesamtbanksteuerung („ICAAP“) – Neuausrichtung, Deutsche Bundesbank/BaFin, 24.05.2018.
[2] BAIT, d. h. Bankaufsichtliche Anforderungen an die IT, Rundschreiben 10/2017 (BA) vom 03.11.2017.
[3] Vgl. Protokoll zur Sitzung des Fachgremiums MaRisk vom 27.09.2019 in Frankfurt.
[4] Vgl. BaFin (2020): Covid-19-Lage: Neue Entwicklungen und wichtige Informationen der BaFin.
[5] Vgl. EBA GL/2018/06.
[6] Vgl. EBA GL/2019/02.
[7] Vgl. EBA GL/2020/06.
[8] Rundschreiben 10/2021 (BA), Mindestanforderungen an das Risikomanagement – MaRisk vom 16.08.2021
[9] EBA/GL/2018/06: Leitlinien über das Management notleidender und gestundeter Risikopositionen, vom 31. Oktober 2018
[10] EBA/GL/2019/02: Leitlinien zu Auslagerungen, vom 25. Februar 2019
[11] EBA/GL/2019/04: EBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken, vom 28. November 2019

Artikel zum Thema

Abonnieren Sie unseren Newsletter

Erhalten Sie alle 2 Wochen die neuesten Analysen und Berichte unserer Banking-Experten.