Kapitel 1
Allgemeiner Teil
Die fĂŒnfte MaRisk-Novelle: Vorbemerkung und Anwendungsbereich
von Markus Rose
1Einleitung
2Vorbemerkung in AT 1 MaRisk
2.1Anforderungen an die Ausgestaltung des Risikomanagements: AT 1 Tz. 1
2.2Ausgestaltung von ICAAP und SREP unter Beachtung des ProportionalitÀtsprinzips: AT 1 Tz. 2 und 3
2.3Integration des Anlegerschutz-Ziels in die MaRisk: AT 1 Tz. 4
2.4Ăffnungsklauseln als Charakteristikum der MaRisk: AT 1 Tz. 5
2.5Definition systemrelevanter Institute: AT 1 Tz. 6
2.6Forderung nach einem risikoorientierten PrĂŒfungsansatz: AT 1 Tz. 7
2.7Der modulare Aufbau der MaRisk: AT 1 Tz. 8
3Definition des Anwendungsbereichs in AT 2
3.1Der institutsbezogene Anwendungsbereich: AT 2.1
3.2Der risikobezogene Anwendungsbereich: AT 2.2
3.3Der geschÀftsbezogene Anwendungsbereich: AT 2.3
Literaturverzeichnis
Abbildungsverzeichnis
1Einleitung
Seit ihrer erstmaligen Veröffentlichung am 20. Dezember 2005 stellen die Mindestanforderungen an das Risikomanagement (MaRisk) den zentralen Baustein fĂŒr die qualitative Aufsicht in Deutschland dar. Sie formulieren Grundprinzipien zur Ausgestaltung des Risikomanagements fĂŒr in Deutschland tĂ€tige Kreditinstitute und Finanzdienstleistungsinstitute.
Am 27. Oktober 2017 veröffentlichte die Bundesanstalt fĂŒr Finanzdienstleistungsaufsicht (BaFin) die fĂŒnfte Novelle der MaRisk, mit der die vom Baseler Ausschuss fĂŒr Bankenaufsicht (BCBS) im Januar 2013 veröffentlichten âGrundsĂ€tze fĂŒr die effektive Aggregation von Risikodaten und die Risikoberichterstattungâ (BCBS 239) Eingang in die aufsichtsrechtlichen Vorgaben fĂŒr deutsche Institute gefunden haben.1 DarĂŒber hinaus sind Neuerungen, Konkretisierungen und Klarstellungen im Modul âAuslagerungâ sowie â ĂŒber das im Jahr 2014 veröffentlichte Papier âGuidance on Supervisory Interaction with financial institutions on Risk Cultureâ des Financial Stability Board (FSB)2 â das Thema âRisikokulturâ als weitere Schwerpunkte in die jĂŒngste Ăberarbeitung der MaRisk eingeflossen.3
In diesem Artikel werden die Anforderungen der MaRisk in den Modulen AT 1 und AT 2 vorgestellt und erlÀutert. Dabei legt AT 1 MaRisk als Ausgangspunkt die Ziele dieses Rundschreibens der Aufsicht und seinen generellen Kontext dar, wÀhrend AT 2 MaRisk den mehrdimensionalen Anwendungsbereich der MaRisk absteckt.
2Vorbemerkung in AT 1 MaRisk
Eine ausfĂŒhrliche Einleitung bildet den Ausgangspunkt der MaRisk: Das mit âVorbemerkungâ betitelte Modul AT 1 mit seinen nun insgesamt acht Textziffern (Tz.) fungiert als PrĂ€ambel, in der zentrale Aspekte der MaRisk herausgehoben sowie auf Regelwerke und Themen von genereller Bedeutung fĂŒr das MaRisk-Rundschreiben und seine Weiterentwicklung Bezug genommen werden.4
2.1Anforderungen an die Ausgestaltung des Risikomanagements: AT 1 Tz. 1
Als gesetzlicher AnknĂŒpfungspunkt der MaRisk wird in AT 1 Tz. 1 MaRisk § 25a KWG genannt, der von den Instituten eine ordnungsgemĂ€Ăe GeschĂ€ftsorganisation verlangt. Diese hat die Einhaltung der vom Institut zu beachtenden gesetzlichen Bestimmungen und der betriebswirtschaftlichen Notwendigkeiten zu gewĂ€hrleisten. Eine ordnungsgemĂ€Ăe GeschĂ€ftsorganisation umfasst insbesondere ein angemessenes und wirksames Risikomanagement sowie darĂŒber hinaus gemÀà § 25a Abs. 1 Satz 6 KWG angemessene Regelungen zur jederzeitigen Bestimmung der finanziellen Lage des Instituts (Rechnungslegungs- und Managementinformationssystem), die ErfĂŒllung aufsichtsrechtlicher Aufzeichnungs- und Aufbewahrungspflichten und einen Whistleblowing-Prozess.5
Als Kernelement einer ordnungsgemĂ€Ăen GeschĂ€ftsorganisation fordert § 25a Abs. 1 Satz 3 KWG ein angemessenes und wirksames Risikomanagement. Diesen zentralen Terminus nehmen die MaRisk in AT 1 Tz. 1 auf und wiederholen bei der Bestimmung des Risikomanagementbegriffs die gesetzliche Definition: âEin angemessenes und wirksames Risikomanagement umfasst unter BerĂŒcksichtigung der RisikotragfĂ€higkeit insbesondere die Festlegung von Strategien6 und die Einrichtung interner Kontrollverfahren.â Letztere bestehen aus dem internen Kontrollsystem (IKS) und der Internen Revision. Das prozessabhĂ€ngige IKS umfasst aufbau- und ablauforganisatorische Regeln, Risikosteuerungs- und -controllingprozesse, die DurchfĂŒhrung von Stresstests, Anforderungen an Datenmanagement, DatenqualitĂ€t und die Aggregation von Risikodaten7 sowie die Einrichtung einer Risikocontrolling- und einer Compliance-Funktion. Die Interne Revision dagegen ist weder in die zu prĂŒfenden AblĂ€ufe eingebunden noch fĂŒr die Ergebnisse der zu ĂŒberwachenden Prozesse verantwortlich und gewĂ€hrleistet somit eine prozessunabhĂ€ngige Beurteilung der OrdnungsmĂ€Ăigkeit aller von ihr geprĂŒften AktivitĂ€ten und Prozesse.8
Die Hierarchie und das Zusammenwirken der vorgestellten Begriffe in den MaRisk verdeutlicht die folgende Abbildung:
Abbildung 1:Zusammenspiel wichtiger Begriffe in den MaRisk;
Quelle: Darstellung in Anlehnung an Anlage 4 zu den Mindestanforderungen an das Risikomanagement vom 20. Dezember 2005 (mit ErgÀnzungen)
Der Begriff des Risikomanagements ist somit weit gefasst und schlieĂt ferner durch § 25a Abs. 1 Nr. 4 bis 6 KWG neben den genannten weitere Aspekte mit ein: Eine angemessene personelle und technisch-organisatorische Ausstattung des Instituts, die Festlegung eines angemessenen Notfallkonzepts, insbesondere fĂŒr IT-Systeme, und angemessene, transparente und auf eine nachhaltige Entwicklung des Instituts ausgerichtete VergĂŒtungssysteme fĂŒr GeschĂ€ftsleiter und Mitarbeiter stellen ebenfalls Grundvoraussetzungen fĂŒr eine ordnungsgemĂ€Ăe GeschĂ€ftsorganisation dar.9 Die MaRisk konkretisieren darĂŒber hinaus Anforderungen des § 25a Abs. 3 KWG an das Risikomanagement auf Gruppenebene in dem Modul AT 4.5 MaRisk sowie des § 25b KWG an ausgelagerte AktivitĂ€ten und Prozesse im Modul AT 9 MaRisk. Die Art und Weise der Umsetzung der in AT 1 Tz. 1 MaRisk geforderten Angemessenheit und Wirksamkeit des Risikomanagements wird â dem prinzipienorientierten Charakter des Rundschreibens gemÀà â den Instituten von der deutschen Aufsicht nicht vorgegeben: Seine konkrete Ausgestaltung hĂ€ngt gemÀà § 25a Abs. 1 Satz 4 MaRisk von Art, Umfang, KomplexitĂ€t und Risikogehalt der GeschĂ€ftstĂ€tigkeit ab und ist vom Institut regelmĂ€Ăig auf Angemessenheit und Wirksamkeit zu ĂŒberprĂŒfen.
Als norminterpretierende Verwaltungsvorschrift kommt den MaRisk eine wichtige Bedeutung zu: Sie entfalten als âInnenrecht der Verwaltungâ zwar erst durch ihre Anbindung an § 25a KWG eine juristische Bindungswirkung, legen aber die unbestimmten Rechtsbegriffe dieses Gesetzesparagrafen â wie zum Beispiel âordnungsgemĂ€Ăe GeschĂ€ftsorg...