Neue Herausforderungen an das
Risikomanagement in der Bankpraxis
3., überarbeitete Auflage
Besuchen Sie uns auch im Internet: www.kreditwesen.de
ISBN 978-3-8314-0886-3
eISBN 978-3-8314-0889-4
© 2018 by Fritz Knapp Verlag GmbH, Frankfurt am Main
Satz: Regina Siebert, Hamburg
Vorwort Volker Knittel
Vorwort der Herausgeber
Vita der Herausgeber
Kapitel 1: Allgemeiner Teil
Die fünfte MaRisk-Novelle: Vorbemerkung und Anwendungsbereich
Die Bedeutung der Gesamtverantwortung der Geschäftsleitung in der 5. MaRisk-Novelle mit Blick auf die Ressourcenausstattung
Risikotragfähigkeit
Validierung und Modellrisiko
Strategieprozess als Bestandteil des gesamten Risikomanagementkreislaufs
Anforderungen an die Ausgestaltung des Internen Kontrollsystems aus der Sicht der Internen Revision
Besondere Funktionen der MaRisk – Risikomanagement, Compliance und Interne Revision
Anpassungsprozesse
Outsourcing
Kapitel 2: Besonderer Teil – Anforderungen an die Organisation
MaRisk – Besondere Anforderungen an das Interne Kontrollsystem sowie die Aufbau- und Ablauforganisation
Anforderungen an das Kreditgeschäft
Anforderungen an die Prozesse im Handelsgeschäft
Kapitel 3: Besonderer Teil – Messung der Risiken
Adressenausfallrisiken
Anforderungen an das Management von Marktpreisrisiken
Liquiditätsrisiken
Operationelle Risiken
Kapitel 4: Besonderer Teil – Revision und Reporting
Interne Revision
Besondere Anforderungen an die Ausgestaltung der Internen Revision
Anforderungen an die Risikoberichterstattung
Autorenverzeichnis
Stichwortverzeichnis
„Wer den Nutzen hat, muss auch den Schaden tragen.”
Walter Eucken (1891 – 1950)
Letztlich wurde in den Kapitalmärkten Euckens Regel nicht immer beachtet, zum Beispiel von den Vorständen der Herstatt-Bank, der IKB, denen bei Lehmann Brothers oder den Verantwortlichen der Hypo Real Estate. Mit einem Dominoeffekt haben in der Folge der großen Finanz- und Wirtschaftskrise aufgrund der Pleite der Lehmann-Investmentbank in New York am 15. September 2008 bis 2014 alleine in den USA über 500 Banken ihre Pforten für immer geschlossen. Zudem verschuldeten sich viele Staaten immens, in dem sie marode öffentliche und private Banken durch Eigenkapitalspritzen stützten oder diesen (zum damaligen Zeitpunkt) wertlose Kredite und Hypothekenverbriefungen abkauften.
Diese Produkte („Subprime Loans“, Collateralized Debt Obligations (CDO), Credit Default Swaps (CDS) und andere) hat ein weitgehend enthemmter, deregulierter Finanzsektor emittiert und gehandelt, obwohl der tatsächliche Wert und das Risiko dieser Papiere kaum einer1 mehr einschätzen konnte. Und viele Banken und Landesbanken haben die Papiere dennoch erworben, zu verlockend schien die hohe Verzinsung.
Pleiten von Banken gab es schon zu allen Zeiten und solange eine Bank nicht „too big to fail“ ist, wenn also deren Insolvenz nicht zu unkalkulierbaren Verwerfungen gar von Staaten führen, solange kann das als Kollateralschaden des Wirtschaftens verbucht werden. Aber diese weltweite Krise entstand durch ein Versagen von Regierungen und der durchaus vorhandenen Aufsichtsbehörden und durch rücksichtsloses Risikomanagement von einigen Investmentbanken.
Denn die bis dahin bestehenden Regeln wurden immer wieder unterlaufen, überdehnt oder ignoriert.
Selbst die halbstaatliche IKB-Bank, Spezialist für Mittelstandsfinanzierungen, ließ in ihrem Quartalsbericht am 20. Juli 2007 noch verlauten, „vom Platzen der Immobilienblase in den USA (2006) sei man nur mit einem einstelligen Millionenbetrag betroffen“. Nur zehn Tage später informierte dieselbe Bank in Ad-hoc-Meldungen, dass „der Vorstandsvorsitzende zurückgetreten sei“ und dass „die Risiken bei US-amerikanischen Krediten nun doch über eine Milliarde Euro betragen“.
Die wirtschaftlichen Verwerfungen durch die Finanzkrise waren so immens und unkalkulierbar geworden. Angesichts der Hilferufe aus der Bankenwelt haben die Bundeskanzlerin Dr. Angela Merkel und ihr Finanzminister Peer Steinbrück am Sonntag, dem 5. Oktober 2008, den Bundesbürgern im Fernsehen die „Sicherheit ihrer Einlagen“ garantiert – um einen Ansturm auf die Banken (Run) zu verhindern. Gleichzeitig wurden neue Bilanzierungsregeln für die Banken in Aussicht gestellt und erklärt, dass „diejenigen, die unverantwortliche Geschäfte gemacht haben, zur Verantwortung gezogen werden.“
Beim G20-Gipfel im November 2008 in Washington forderten die Staats- und Regierungschefs entsprechend neue Regeln, eine kompetente Aufsicht und ein funktionierendes Risikomanagement für die Finanzinstitute. Und diesem Aufruf folgt nun nach mehreren Meilensteinen Basel III, mit zwei großen und wesentlichen Neuerungen:
1. Banken müssen ein noch größeres Eigenkapital vorweisen, um mögliche Verluste aus dem Geschäftsbetrieb abfedern zu können und
2. Banken müssen nun eine ausreichende Liquiditätsvorsorge nach einheitlichen Standards betreiben. Des Weiteren sollen unwirtschaftliche Institute abgewickelt werden und alle Banken haben deutliche größere Berichtspflichten an die Aufsicht. Basel III ist dennoch nicht weltweit verabschiedet. Zu groß scheinen regionale Unterschiede der Banken und die beteiligten politischen Interessen. Gleichwohl werden viele Regelungen aus Basel III bereits von den Banken in Europa eingeführt, inzwischen wird auch schon am Folgestandard Basel IV gearbeitet.
Die eigentliche Hauptrolle in den Volkswirtschaften für die Banken ist es, als Intermediäre zwischen Kapitalangebot und -nachfrage zu fungieren. Mit einer verschwindenden Verzinsung von Guthaben und Krediten oder gar Negativzinsen wird das Geschäftsmodell vieler Banken einer gnadenlosen Prüfung unterzogen. Zudem erfolgt die Digitalisierung/Automatisierung ganzer Geschäftsmodelle. Außerdem bergen digitale Anwendungen wie die Blockchain-Technologie, Veränderungen beim Datenschutz und virtuelle Währungen weitere Herausforderungen für den gesamten Sektor. Neuer Wettbewerb ergibt sich zusätzlich auch durch innovative Fintechs, die den Regulierungsbedarf durch neue Komponenten wie Big Data und Künstlicher Intelligenz zusätzlich erweitern.
Aber, wie viel Regelung ist denn per se notwendig, ohne die Banken dabei zu überbürokratisieren und notwendige Innovationen zu verhindern? Wie viele Detailregelungen2 verkomplizieren und verteuern das eigentliche Bankgeschäft, sodass dann noch riskantere Geschäfte erforderlich sind, um eine Rentabilität zu gewährleisten? Wenn Regeln zu komplex werden, werden die Kreditinstitute überfordert und ab einem bestimmten Komplexitätsgrad wird jede Normsetzung kontraproduktiv.
Und schließlich, woher nehmen die Banken die Experten, die die komplexen Regelwerke beherrschen und in den Banken installieren können?
Bei der Regulierung muss zwischen international agierenden Investmentbanken und regional verwurzelten, kleinen Einlagekreditinstituten differenziert werden. Daher hat der Bankenaufsichtsmechanismus (SSM) unter dem Dach der Europäischen Zentralbank (EZB) die Kontrolle für die Einhaltung der Regeln für die 126 größten europäischen Banken bereits von der nationalen auf die europäische Ebene verlagert, weil zum einen nicht jeder Staat die richtigen Experten hierfür hat und weil die Anwendung der Regeln so leichter verifiziert werden kann. Denn Regulierung kann zwar Regeln setzen, aber deren Einhaltung muss auch von der Aufsicht kontrolliert werden (können).
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) verfolgt mit der Verabschiedung der 5. Mindestanforderungen an das Risikomanagement (MaRisk), die neuen Regeln aus Basel III in eine Verwaltungsanweisung zu überführen.
Die wesentlichen Unterschiede/Anpassungen zu der bisher gültigen Version sind wie folgt:
•eine mehrjährige Kapitalplanung mit insbesondere negativen Zukunftsszenarien,
•die Person, die (allein) für das Risikocontrolling verantwortlich ist (Chief Risk Officer (CRO)) muss in der oberen Führungsebene, bei international tätigen Banken auf Vorstandsebene, angesiedelt sein; eine Personalunion mit dem Chief Financial Officer (CFO) soll vermieden werden, die angemessene Compliance-Organisation wird weiter präzisiert.
•Der Prüfungsbereich wird über die bereits klassischen Bereiche, wie Wertpapierhandel, Geldwäsche, Datenschutz, noch erweitert.
•Zu prüfen ist ferner, inwieweit die Zuständigkeiten bei den Banken zentral oder dezentral organisiert werden.
•Die Verrechnungssysteme für Liquiditätskosten, -nutzen und -risiken wurden konkreter gefasst, dabei wird unterschieden, welche Geschäftstätigkeit bei dem Institut überwiegt. Eine kleinere Kundenbank mit vielen Sichteinlagen kann ein einfaches Kostenverrechnungssystem weiter nutzen. Institute mit komplexeren Geschäftstätigkeiten müssen ein Liquiditätstransferpreissystem installieren, damit möglichst auf Transaktionsebene die jeweiligen Kosten für Liquidität festgestellt und gesteuert werden können.
•Durch eine Clusterung von Unternehmen soll auf eine Proportionalität der Regulierungsauflagen zur Risikorelevanz des beaufsichtigten Unternehmens (wie es etwa bei den Steuerprüfungen nach Unternehmensgrößenklassen in Deutschland ebenfalls erfolgt) geachtet werden.
Weitere Details zu den neuen MaRisk werden auf den folgenden Seiten nun die Experten Axel Becker, Walter Gruber, Henning Heuter vorstellen.
Lieber Leser, bei Ihrer verantwortungsvollen Arbeit, sei es in der Aufsicht, in den Finanzinstituten oder bei spezialisierten Presseorganen wünsche ich Ihnen viel Erfolg und neue Erkenntnisse.
Volker Knittel
1Die drei weltweit bekanntesten US-amerikanischen Ratingagenturen Moody´s Investors Service Research, Standard & Poor´s Corporation und Fitch Ratings haben viele der Papiere mit einer Bestnote (zum Beispiel AAA) ausgestattet, was wiederum viele Banker bei Sparkassen und Landesbanken hierzulande veranlasste, diese Papiere in die Bücher zu nehmen. Viele Ratings stellten sich im Nachhinein als falsch heraus.
2Die Regeln von Basel I wurden noch auf 30 Seiten festgehalten und von über 100 Ländern in nationale Regelungen übertragen. Die Regelungen in Basel III sind bereits auf über 500 Artikel auf mehr als 500 Seiten angewachsen.
Nicht erst seit der Finanzkrise haben die bankaufsichtlichen Neuerungen mit sehr hoher Dynamik zugenommen. Es wird immer schwieriger, einerseits den Überblick im Hinblick auf die Anforderungen zu behalten und andererseits zu eruieren, wie detaillierte Umsetzungsmaßnahmen aussehen können. Für diesen Zweck will das vorliegende Handbuch eine entscheidende Hilfestellung leisten. Im Rahmen dieser dritten Auflage wurden bestehende Artikel grundlegend überarbeitet, eine Vielzahl neuer Artikel integriert und aktuell weniger relevante Artikel herausgenommen.
Während in der ersten Auflage der alleinige Schwerpunkt in den Anforderungen an das Risikomanagement (MaRisk) lag, wurden in der zweiten Auflage als Schwerpunkt die zentralen Anforderungen aus Basel III beziehungsweise der europäischen Umsetzung (CRR und CRD IV) hinzugenommen. Nun wurden insbesondere den neuen Anforderungen aus der fünften MaRisk-Novelle wie an die Risikotragfähigkeit (ICAAP), an die Liquiditätssteuerung (ILAAP), an Auslagerungen und an die Risikoberichtserstattung Rechnung getragen.
Als Resultat haben wir ein umfassendes Standardwerk geschaffen, das auf dem neuesten regulatorischen Stand ist und in dem neben den Verantwortlichkeiten des Vorstandes/Aufsichtsorgans, den Strategien, der Risikotragfähigkeit, den Risikomessmethoden (Markt-, Kredit-, Liquiditäts- und operationelle Risiken) sowie der Validierung/Einschätzung der Modellrisiken und dem Reporting dieser Methoden Rechnung getragen wird.
Eine Umsetzung der bankaufsichtlichen Anforderungen, insbesondere im Risikomanagement, bedeutet ein ständiges Hinterfragen, Analysieren und Dokumentieren der Prozesse und Methoden. Das vorliegende Handbuch gibt hierzu umfangreiche Hilfestellungen, indem die aufsichtlichen Anforderungen aus verschiedenen Perspektiven beleuchtet werden. Es ist uns wieder gelungen, als Autoren praxisorientierte Experten verschiedenster Interessengruppen zu gewinnen, welche die Thematik aus allen relevanten Blickwinkeln betrachten: Einerseits aus Vorstands- und Prüfersicht und andererseits arbeiten Spezialisten aus verschiedenen Instituten und Wissenschaftler die wesentlichen Anforderungen heraus und interpretieren diese. Dabei werden die umfangreichen Auslegungsmöglichkeiten und Öffnungsspielräume der einzelnen Anforderungen nicht nur deskriptiv vorgestellt, sondern es werden an vielen Stellen konkrete Lösungsansätze beschrieben, die direkt in die Praxis umgesetzt werden können.
Das Handbuch wendet sich an Vorstände, Aufsichtsräte, Führungskräfte, Spezialisten und Prüfer, insbesondere aus dem Handels- und Kreditbereich, Risikocontrolling- und Risikomanagement, Organisation und Revision, aber auch an Studierende im Bereich Finanzwesen.
Mai 2018 |
Axel Becker |
Diplom-Betriebswirt/CRMA, Revisionsleiter bei der SÜDWESTBANK AG in Stuttgart, ist seit über 20 Jahren in leitenden Positionen der Internen Revision bei verschiedenen Kreditinstituten tätig. Er befasst sich zudem mit der Prüfung von bankaufsichtsrechtlichen Themen und ist Herausgeber/Autor von 62 Büchern sowie 102 Fachaufsätzen zum Themenbereich Bankenaufsicht und Prüfungswesen. Herr Becker ist Lehrbeauftragter der Dualen Hochschule in Baden-Württemberg, Seminartrainer, Verwaltungsratsmitglied des Deutschen Instituts für Interne Revision e.V. (DIIR) sowie Mitglied der Financial Experts Association e.V. in Stuttgart.
Diplom-Wirtschaftsmathematiker, ist geschäftsführender Partner bei der 1 PLUS i GmbH. Zuvor arbeitete er für eine Investmentbank im Bereich Treasury und ALCO-Management. Anschließend war Herr Dr. Gruber als Gruppenleiter bei der Bankenaufsicht im Direktorium der Deutschen Bundesbank für den Bereich Research/Grundsatzfragen in internen Risikomodellen und Standardverfahren verantwortlich, wo er die Bundesbank auch in den verschiedenen internationalen Gremien vertrat (verschiedene Baseler Arbeitskreise, IOSCO). Herr Dr. Gruber ist Verfasser zahlreicher Veröffentlichungen vor allem in den Bereichen Bankenaufsicht (Basel/CRR/MaRisk), Markt- und Kreditrisikomodelle und derivative Finanzprodukte. Auf diesen Gebieten trat er auch als Herausgeber vieler Standardwerke in Erscheinung.
Dipl.-Bankbetriebswirt (BA) und Bankkaufmann, ist geschäftsführender Partner bei der 1 PLUS i GmbH. In seiner Tätigkeit als Berater für Risikosteuerung, die neben den Fragen des Risikomanagements auch deren aufsichtsrechtliche Behandlung umfasst, berät er Kreditinstitute aller Institutsgruppen im In- und Ausland und ist als Seminartrainer aktiv. Schwerpunkte sind die Integration aller wesentlichen Risiken in die Gesamtbank, die Weiterentwicklung von Risikotragfähigkeits- beziehungsweise ICAAP-Systemen und das Themengebiet Sanierung/Abwicklung von Instituten. Vor seiner Tätigkeit für die 1 PLUS i GmbH war Herr Heuter bei der Sparkasse Rügen im Bereich Unternehmenssteuerung für das Sachgebiet Risiko und als Verhindertenvertreter für die Leitung des Vorstandsreferats in der Sparkasse verantwortlich.
1Einleitung
2Vorbemerkung in AT 1 MaRisk
2.1Anforderungen an die Ausgestaltung des Risikomanagements: AT 1 Tz. 1
2.2Ausgestaltung von ICAAP und SREP unter Beachtung des Proportionalitätsprinzips: AT 1 Tz. 2 und 3
2.3Integration des Anlegerschutz-Ziels in die MaRisk: AT 1 Tz. 4
2.4Öffnungsklauseln als Charakteristikum der MaRisk: AT 1 Tz. 5
2.5Definition systemrelevanter Institute: AT 1 Tz. 6
2.6Forderung nach einem risikoorientierten Prüfungsansatz: AT 1 Tz. 7
2.7Der modulare Aufbau der MaRisk: AT 1 Tz. 8
3Definition des Anwendungsbereichs in AT 2
3.1Der institutsbezogene Anwendungsbereich: AT 2.1
3.2Der risikobezogene Anwendungsbereich: AT 2.2
3.3Der geschäftsbezogene Anwendungsbereich: AT 2.3
Literaturverzeichnis
Abbildungsverzeichnis
Seit ihrer erstmaligen Veröffentlichung am 20. Dezember 2005 stellen die Mindestanforderungen an das Risikomanagement (MaRisk) den zentralen Baustein für die qualitative Aufsicht in Deutschland dar. Sie formulieren Grundprinzipien zur Ausgestaltung des Risikomanagements für in Deutschland tätige Kreditinstitute und Finanzdienstleistungsinstitute.
Am 27. Oktober 2017 veröffentlichte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die fünfte Novelle der MaRisk, mit der die vom Baseler Ausschuss für Bankenaufsicht (BCBS) im Januar 2013 veröffentlichten „Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung“ (BCBS 239) Eingang in die aufsichtsrechtlichen Vorgaben für deutsche Institute gefunden haben.1 Darüber hinaus sind Neuerungen, Konkretisierungen und Klarstellungen im Modul „Auslagerung“ sowie – über das im Jahr 2014 veröffentlichte Papier „Guidance on Supervisory Interaction with financial institutions on Risk Culture“ des Financial Stability Board (FSB)2 – das Thema „Risikokultur“ als weitere Schwerpunkte in die jüngste Überarbeitung der MaRisk eingeflossen.3
In diesem Artikel werden die Anforderungen der MaRisk in den Modulen AT 1 und AT 2 vorgestellt und erläutert. Dabei legt AT 1 MaRisk als Ausgangspunkt die Ziele dieses Rundschreibens der Aufsicht und seinen generellen Kontext dar, während AT 2 MaRisk den mehrdimensionalen Anwendungsbereich der MaRisk absteckt.
Eine ausführliche Einleitung bildet den Ausgangspunkt der MaRisk: Das mit „Vorbemerkung“ betitelte Modul AT 1 mit seinen nun insgesamt acht Textziffern (Tz.) fungiert als Präambel, in der zentrale Aspekte der MaRisk herausgehoben sowie auf Regelwerke und Themen von genereller Bedeutung für das MaRisk-Rundschreiben und seine Weiterentwicklung Bezug genommen werden.4
Als gesetzlicher Anknüpfungspunkt der MaRisk wird in AT 1 Tz. 1 MaRisk § 25a KWG genannt, der von den Instituten eine ordnungsgemäße Geschäftsorganisation verlangt. Diese hat die Einhaltung der vom Institut zu beachtenden gesetzlichen Bestimmungen und der betriebswirtschaftlichen Notwendigkeiten zu gewährleisten. Eine ordnungsgemäße Geschäftsorganisation umfasst insbesondere ein angemessenes und wirksames Risikomanagement sowie darüber hinaus gemäß § 25a Abs. 1 Satz 6 KWG angemessene Regelungen zur jederzeitigen Bestimmung der finanziellen Lage des Instituts (Rechnungslegungs- und Managementinformationssystem), die Erfüllung aufsichtsrechtlicher Aufzeichnungs- und Aufbewahrungspflichten und einen Whistleblowing-Prozess.5
Als Kernelement einer ordnungsgemäßen Geschäftsorganisation fordert § 25a Abs. 1 Satz 3 KWG ein angemessenes und wirksames Risikomanagement. Diesen zentralen Terminus nehmen die MaRisk in AT 1 Tz. 1 auf und wiederholen bei der Bestimmung des Risikomanagementbegriffs die gesetzliche Definition: „Ein angemessenes und wirksames Risikomanagement umfasst unter Berücksichtigung der Risikotragfähigkeit insbesondere die Festlegung von Strategien6 und die Einrichtung interner Kontrollverfahren.“ Letztere bestehen aus dem internen Kontrollsystem (IKS) und der Internen Revision. Das prozessabhängige IKS umfasst aufbau- und ablauforganisatorische Regeln, Risikosteuerungs- und -controllingprozesse, die Durchführung von Stresstests, Anforderungen an Datenmanagement, Datenqualität und die Aggregation von Risikodaten7 sowie die Einrichtung einer Risikocontrolling- und einer Compliance-Funktion. Die Interne Revision dagegen ist weder in die zu prüfenden Abläufe eingebunden noch für die Ergebnisse der zu überwachenden Prozesse verantwortlich und gewährleistet somit eine prozessunabhängige Beurteilung der Ordnungsmäßigkeit aller von ihr geprüften Aktivitäten und Prozesse.8
Die Hierarchie und das Zusammenwirken der vorgestellten Begriffe in den MaRisk verdeutlicht die folgende Abbildung:
Quelle: Darstellung in Anlehnung an Anlage 4 zu den Mindestanforderungen an das Risikomanagement vom 20. Dezember 2005 (mit Ergänzungen)
Der Begriff des Risikomanagements ist somit weit gefasst und schließt ferner durch § 25a Abs. 1 Nr. 4 bis 6 KWG neben den genannten weitere Aspekte mit ein: Eine angemessene personelle und technisch-organisatorische Ausstattung des Instituts, die Festlegung eines angemessenen Notfallkonzepts, insbesondere für IT-Systeme, und angemessene, transparente und auf eine nachhaltige Entwicklung des Instituts ausgerichtete Vergütungssysteme für Geschäftsleiter und Mitarbeiter stellen ebenfalls Grundvoraussetzungen für eine ordnungsgemäße Geschäftsorganisation dar.9 Die MaRisk konkretisieren darüber hinaus Anforderungen des § 25a Abs. 3 KWG an das Risikomanagement auf Gruppenebene in dem Modul AT 4.5 MaRisk sowie des § 25b KWG an ausgelagerte Aktivitäten und Prozesse im Modul AT 9 MaRisk. Die Art und Weise der Umsetzung der in AT 1 Tz. 1 MaRisk geforderten Angemessenheit und Wirksamkeit des Risikomanagements wird – dem prinzipienorientierten Charakter des Rundschreibens gemäß – den Instituten von der deutschen Aufsicht nicht vorgegeben: Seine konkrete Ausgestaltung hängt gemäß § 25a Abs. 1 Satz 4 MaRisk von Art, Umfang, Komplexität und Risikogehalt der Geschäftstätigkeit ab und ist vom Institut regelmäßig auf Angemessenheit und Wirksamkeit zu überprüfen.
Als norminterpretierende Verwaltungsvorschrift kommt den MaRisk eine wichtige Bedeutung zu: Sie entfalten als „Innenrecht der Verwaltung“ zwar erst durch ihre Anbindung an § 25a KWG eine juristische Bindungswirkung, legen aber die unbestimmten Rechtsbegriffe dieses Gesetzesparagrafen – wie zum Beispiel „ordnungsgemäße Geschäftsorganisation“ – aus. Die MaRisk sorgen durch diese Präzisierung der gesetzlichen Anforderungen des § 25a Abs. 1 und 3 KWG sowie des § 25b KWG für ein möglichst hohes Maß an Einheitlichkeit des Verwaltungshandelns. Davon profitieren auch die beaufsichtigten Institute, denn für sie ergibt sich daraus ein Gewinn an Rechts- und Planungssicherheit.
Im letzten Satz des AT 1 Tz. 1 betonen die MaRisk die Bedeutung des Risikomanagements als Grundlage für die sachgerechte Wahrnehmung der Überwachungsfunktion des Aufsichtsorgans; es beinhaltet deshalb dessen angemessene Einbindung. Damit wird klar, dass eine nur passive Rolle des Aufsichtsorgans nicht im Sinne der Aufsicht ist.10 Dessen Aufgaben haben sich spätestens seit der jüngsten Finanzkrise von reinen Kontrolltätigkeiten hin zu einer aktiven, adressatengerechten Einbindung in Entscheidungen von grundlegender Bedeutung erweitert. Mit der Stärkung der Rolle des Aufsichtsorgans steigen auch die Anforderungen an dessen Mitglieder: Neben der geforderten Zuverlässigkeit und erforderlichen Sachkunde als Persönlichkeitsmerkmale müssen sie gemäß § 25d KWG der Wahrnehmung ihrer Aufgaben ausreichend Zeit widmen. Hierdurch soll die Funktionsfähigkeit und Effektivität interner Governance-Strukturen sichergestellt werden. Dieser Bedeutungszuwachs zeigt sich in den MaRisk an zahlreichen Rechten und Pflichten des Aufsichtsorgans, die in der Abbildung 2 skizziert werden:
AT 1 Tz. 2 MaRisk führt aus, dass das Rundschreiben einen qualitativen Rahmen für die Umsetzung maßgeblicher Artikel der CRD IV zur Organisation und zum Risikomanagement der Institute vorgibt. Damit nimmt das MaRisk-Rundschreiben Bezug auf den in der CRD IV angelegten „Supervisory Review Process“ (SRP), der als Paradigma einer präventiven Aufsicht auf die Qualität des Risikomanagements in den Instituten abzielt.11 Der SRP umfasst einerseits Anforderungen, die an die Institute gerichtet sind; diese haben gemäß Art. 73 CRD IV einen internen Prozess zur Ermittlung und Sicherstellung der Risikotragfähigkeit – ICAAP (Internal Capital Adequacy Assessment Process) – einzurichten. Im ICAAP muss das Institut die wesentlichen Risiken identifizieren, mit eigenen Methoden quantifizieren und in angemessener Höhe mit Kapital unterlegen, das qualitativ geeignet sein muss, auftretende Verluste zu absorbieren.12 Ferner verlangt Art. 74 CRD IV in Verbindung mit den technischen Kriterien der Art. 76 bis 95 CRD IV von den Instituten solide Regelungen für die Unternehmensführung und -kontrolle.
Die zuständigen Aufsichtsbehörden überprüfen regelmäßig im Rahmen des bankaufsichtlichen Überprüfungsprozesses – SREP (Supervisory Review and Evaluation Process) – die Angemessenheit und Wirksamkeit des institutsspezifischen ICAAP. Die entsprechenden, an die zuständigen (Aufsichts-)Behörden adressierten Anforderungen des SRP formulieren die Art. 97 f. CRD IV. Dem qualitativ-prinzipienorientierten Charakter des SRP gemäß hängt sowohl die konkrete Ausgestaltung des ICAAP der Institute als auch die Intensität des SREP von Art, Umfang und Komplexität der betriebenen Geschäfte ab: Es gilt das „Prinzip der doppelten Proportionalität“.
Die europäischen ICAAP-Vorgaben wurden über das CRD-IV-Umsetzungsgesetz durch eine Anpassung des § 25a KWG in Deutschland umgesetzt.13 Da die MaRisk als norminterpretierende Verwaltungsvorschrift die unbestimmten Rechtsbegriffe des § 25a KWG auslegen, sind sie nicht nur von den Instituten14 zu beachten, sondern gleichzeitig auch der Ankerpunkt für die aufsichtliche Beurteilung des ICAAP im Rahmen des SREP.15 So heißt es in AT 1 Tz. 2 Satz 5 MaRisk: „Das Rundschreiben ist daher unter Berücksichtigung des Prinzips der doppelten Proportionalität der Regelungsrahmen für die qualitative Aufsicht in Deutschland.“ Die gesetzlichen Anforderungen an den nationalen SREP sind in § 6b KWG kodifiziert. Im Rahmen des SREP wird auch der Funktionsfähigkeit und Wirksamkeit der Unternehmensführung und Kontrolle (interne Governance) ein hoher Stellenwert eingeräumt. Auffälligkeiten und Kritik der Aufsichtsbehörden in diesem Bereich werden dabei auch von der Fachpresse thematisiert.16
Die Sicherstellung der Risikotragfähigkeit stellt als Mindestanforderung an die strategische Ausrichtung als auch an das Risikomanagement des Instituts den Kern des ICAAP dar.17 Folgerichtig bildet sie den Startpunkt im Modul AT 4 „Allgemeine Anforderungen an das Risikomanagement“. Die deutschen Anforderungen an die Ermittlung und Sicherstellung der Risikotragfähigkeit beruhen auf den prinzipienorientierten Vorgaben der zweiten Säule des Basel-II-Rahmenwerks aus dem Jahr 2004.18 Aufgrund des prinzipienorientierten Charakters der MaRisk genießen Institute bei der Ausgestaltung ihres Risikomanagements eine sehr weitreichende Methodenfreiheit in der Säule 2 und sind aufgefordert, selbst geeignete Prozesse und Verfahren festzulegen.19 Daher gibt es keine direkte Verknüpfung der Ausgestaltung des Risikomanagements mit den von den Instituten jeweils verwendeten Methoden zur Berechnung der aufsichtlichen Eigenmittel gemäß CRR, in der die regelbasierten Anforderungen der ersten Säule des erwähnten Basel-II-Rahmenwerks umgesetzt wurden; letztgenannte sind somit neutral gegenüber den Anforderungen der MaRisk.20
Das Prinzip der doppelten Proportionalität ist ein Wesensmerkmal der MaRisk und besitzt den Vorteil, dass diese auch von kleinen Häusern flexibel umgesetzt werden können. Dieser Grundsatz hat mit der vierten MaRisk-Novelle aus dem Jahr 2012 eine Konkretisierung „nach oben“ erfahren: Gemäß AT 1 Tz. 3 MaRisk haben Institute, die besonders groß sind oder deren Geschäftsaktivitäten durch besondere Komplexität, Internationalität oder eine besondere Risikoexponierung gekennzeichnet sind, im Einzelfall weitergehende Vorkehrungen im Bereich des Risikomanagements zu treffen, weil die MaRisk nur Mindestanforderungen formulieren. Ausdrücklich sollen diese Institute die Inhalte der einschlägigen Veröffentlichungen zum Risikomanagement des Baseler Ausschusses für Bankenaufsicht (BCBS) und des FSB bei der angemessenen Ausgestaltung ihres Risikomanagements berücksichtigen. Damit bringt die BaFin zum Ausdruck, dass das Proportionalitätsprinzip nicht nur „nach unten“ im Zusammenhang mit einer weniger anspruchsvollen Anwendung bei weniger großen Instituten diskutiert wird.21
Durch die MaRisk werden seit der ersten Novelle am 30. Oktober 2007 auch diejenigen Anforderungen der MiFID umgesetzt, die für Kreditinstitute und Finanzdienstleistungsinstitute gleichermaßen gelten. Dies betrifft die allgemeinen organisatorischen Pflichten, die Anforderungen an das Risikomanagement, die Interne Revision, an die Geschäftsleitung und an Auslagerungen.22 Die Verbindung der solvenzaufsichtlichen Ziele des § 25a KWG im Zusammenspiel mit den ihn konkretisierenden MaRisk und den Anlegerschutz-Zielen der MiFID gelingt durch die Verknüpfung zwischen WpHG und KWG in AT 1 Tz. 4 MaRisk: Gemäß § 80 Abs. 1 WpHG haben Wertpapierdienstleistungsunternehmen nämlich auch die organisatorischen Pflichten nach § 25a Abs. 1 KWG zu beachten.23
Neben dem oben erläuterten Prinzip der doppelten Proportionalität stellen die zahlreichen Öffnungsklauseln ein charakteristisches Merkmal und Kernelement der MaRisk dar. Sie bilden die Gesamtheit der Gestaltungsmöglichkeiten ab, mittels derer die Institute die MaRisk-Anforderungen erfüllen können. Die Öffnungsklauseln resultieren aus dem Prinzip der doppelten Proportionalität und richten die konkrete Ausgestaltung der institutsspezifischen Prozesse an Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten und der jeweiligen Bedeutung des Instituts für die Stabilität des Finanzsystems aus. Folgende Arten von Öffnungsklauseln finden sich in den MaRisk:24
•Öffnungsklauseln, die auf formale Kriterien abstellen – wie zum Beispiel die Größe eines Instituts – oder in Form einer „Sollte“-Anforderung niedergelegt sind;
•Risikoorientierte Öffnungsklauseln, die am Risikogehalt oder der Wesentlichkeit ansetzen, wie zum Beispiel die Unterscheidung zwischen risikorelevanten und nicht risikorelevanten Geschäftsaktivitäten oder die Abgrenzung der wesentlichen von den nicht wesentlichen Risiken;
•Öffnungsklauseln aufgrund von unbestimmten Rechtsbegriffen, wie zum Beispiel „grundsätzlich“, „zeitnah“, „unverzüglich“.
Schließlich betont AT 1 Tz. 5 MaRisk die dynamische Struktur der MaRisk, die gegenüber der laufenden Fortentwicklung der Prozesse und Verfahren im Risikomanagement offen sind. Diese kann dabei von Änderungen der gesetzlichen Anforderungen, Entwicklungen auf den Finanzmärkten oder institutsinternen Faktoren wie zum Beispiel der Umsetzung neuer strategischer Vorgaben getrieben sein.25 Der in AT 1 Tz. 5 MaRisk betonte fortlaufende Dialog der BaFin mit der Praxis manifestiert sich auch im MaRisk-Fachgremium, das über Auslegungsfragen, aktuelle Anpassungen und Fortentwicklungen berät. Ihm gehören neben Vertretern der BaFin und der Deutschen Bundesbank auch Vertreter der Institute und der betroffenen Verbände an.26
An mehreren Stellen im MaRisk-Rundschreiben werden an systemrelevante Institute weitergehende Anforderungen gestellt. So richtet sich beispielsweise das neue Teilmodul AT 4.3.4, das mit der fünften Novelle Eingang in die MaRisk gefunden hat, mit seinen Anforderungen an die Datenaggregation ausschließlich an global und anderweitig systemrelevante Institute.27 In AT 1 Tz. 6 MaRisk stellt die BaFin deshalb klar, dass sich die Verwendung des Begriffs „systemrelevantes Institut“ im Rundschreiben auf global systemrelevante Institute gemäß § 10f KWG und auf anderweitig systemrelevante Institute gemäß § 10g KWG bezieht.
Die BaFin betont in AT 1 Tz. 7 MaRisk sehr deutlich, dass Prüfungshandlungen der flexiblen Grundausrichtung des Rundschreibens Rechnung zu tragen haben. Als Folge des Prinzips der doppelten Proportionalität müssen von der BaFin beauftragte Prüfer daher einen risikoorientierten Prüfungsansatz verfolgen, bei dem die spezifischen Gegebenheiten des kontrollierten Instituts – wie zum Beispiel dessen Größe sowie Ausmaß und Komplexität der betriebenen Geschäfte – den Umfang und die Intensität der Prüfungshandlungen bestimmen. Nur dann können Prüfungen des Risikomanagements der Institute – sei es im Rahmen von Jahresabschlussprüfungen oder bei Sonderprüfungen gemäß § 44 Abs. 1 KWG – aussagekräftige Ergebnisse liefern.28
Die MaRisk sind modular aufgebaut und bestehen aus zwei großen inhaltlichen Blöcken: dem allgemeinen Teil (Modul AT) und dem besonderen Teil (Modul BT). Das Modul AT besteht aus insgesamt neun Themenfeldern und fasst allgemeine und übergreifende Anforderungen zusammen, die sich grundsätzlich auf alle Geschäftsbereiche und Risikoarten der beaufsichtigten Institute beziehen.29 Im besonderen Teil werden spezifische Anforderungen an bestimmte Geschäftsbereiche gestellt; das Modul BT umfasst drei große Themenkomplexe:
1.BT 1: Besondere Anforderungen an das interne Kontrollsystem
a.BTO: Anforderungen an die Aufbau- und Ablauforganisation
b.BTR: Anforderungen an die Risikosteuerungs- und -controllingprozesse
2.BT 2: Besondere Anforderungen an die Ausgestaltung der Internen Revision
3.BT 3: Anforderungen an die Risikoberichterstattung
Das letztgenannte Modul BT 3 ist mit der fünften MaRisk-Novelle neu hinzugekommen und führt die bisher schon bestehenden, aber über mehrere Teilmodule verteilten Anforderungen an die Risikoberichterstattung in einem eigenständigen Modulblock zusammen.30
Die Vorteile der modularen Struktur der MaRisk liegen auf der Hand: Änderungen und neue Anforderungen, wie zum Beispiel die Umsetzung von BCBS 239 in AT 4.3.4 und BT 3 oder das Thema Risikokultur in AT 3, können effizient in die MaRisk integriert werden, ohne die Grundstruktur dieses Rundschreibens verlassen zu müssen. Die durch ihren modularen Aufbau angelegte Flexibilität und Anpassungsfähigkeit der MaRisk ist somit im Sinne aller Beteiligten – Institute, Prüfer, Verbände, Aufsicht und andere Interessierte.
Das zweite Modul des allgemeinen Teils des Rundschreibens – AT 2 – definiert den Anwendungsbereich der MaRisk. Dieser ist mehrdimensional angelegt und betrifft
1.die institutsbezogene Ebene mit dem Anwenderkreis im Modul AT 2.1
2.die risikobezogene Ebene mit den adressierten wesentlichen Risiken im Modul AT 2.2 und
3.die geschäftsbezogene Ebene mit den relevanten Geschäftsarten im Modul AT 2.3.
AT 2 Tz. 1 MaRisk listet die mit dem Rundschreiben verfolgten Ziele auf und hätte wegen seines grundsätzlichen Charakters gut in Modul AT 1 gepasst.31 Die Zielsetzungen der MaRisk in AT 2 Tz. 1 sind zum einen aus den Oberzielen des § 6 Abs. 2 KWG abgeleitet:
1.Sicherung der den Instituten anvertrauten Vermögenswerte
2.Sicherung der ordnungsmäßigen Durchführung der Bankgeschäfte oder Finanzdienstleistungen
3.Vermeidung von Nachteilen für die Gesamtwirtschaft.32
Die Erfüllung von § 25a KWG und der MaRisk durch die Institute dient damit den Zielen der Solvenzaufsicht. Darüber hinaus haben Institute bei der Erbringung von Wertpapierdienstleistungen und -nebendienstleistungen die Anforderungen der MaRisk auch vor dem Hintergrund des Ziels der Interessenwahrung der Kunden einzuhalten. Folglich dient die Einrichtung eines angemessenen und wirksamen Risikomanagements als Kernelement des § 25a KWG und der MaRisk nicht nur der Finanzstabilität, sondern auch dem Anlegerschutz. Damit zeigt sich der ganzheitliche Anspruch der MaRisk sowohl in dem umfassenden Anwendungsbereich als auch bei den verfolgten Zielsetzungen.
Bei der Bestimmung des institutsbezogenen Anwendungsbereichs in AT 2.1 Tz. 1 nehmen die MaRisk Bezug auf die Regelungen in § 1 Abs. 1b KWG, § 53 Abs. 1 KWG und § 53b KWG. Danach haben alle Kreditinstitute und Finanzdienstleistungsinstitute im Inland, Zweigstellen deutscher Institute im Ausland sowie inländische Zweigstellen von Unternehmen mit Sitz in Drittstaaten die Anforderungen dieses Rundschreibens zu beachten. Allerdings sind wegen § 53b KWG alle Zweigniederlassungen von Unternehmen mit Sitz in einem Staat des Europäischen Wirtschaftsraums (EWR) vom Anwendungsbereich der MaRisk ausgenommen: Sie besitzen den „europäischen Pass“ und werden von den zuständigen Behörden des jeweiligen Heimatlandes beaufsichtigt.
Nach der Definition in § 1 Abs. 1b KWG sind Institute im Sinne dieses Gesetzes Kreditinstitute und Finanzdienstleistungsinstitute. Kreditinstitute sind Unternehmen, die Bankgeschäfte gewerbsmäßig oder in einem Umfang betreiben, der einen in kaufmännischer Weise eingerichteten Geschäftsbetrieb erfordert.33 Was unter Bankgeschäften zu subsumieren ist, führt § 1 Abs. 1 KWG sodann in einer insgesamt 12 Punkte umfassenden Liste auf. Ein Unternehmen, das auch nur eines der dort aufgeführten Bankgeschäfte betreibt, ist als Kreditinstitut zu qualifizieren34: Es unterliegt damit den Regelungen des KWG und somit insbesondere auch § 25a KWG. Finanzdienstleistungsinstitute sind Unternehmen, die Finanzdienstleistungen für andere gewerbsmäßig oder in einem Umfang erbringen, der einen in kaufmännischer Weise eingerichteten Geschäftsbetrieb erfordert, und die keine Kreditinstitute sind.35 Ein Unternehmen, das mindestens eine der in § 1 Abs. 1a KWG genannten Finanzdienstleistungen erbringt, ist ein Finanzdienstleistungsinstitut. Ein Kreditinstitut kann zwar auch Finanzdienstleistungen erbringen, aber nicht gleichzeitig auch Finanzdienstleistungsinstitut sein.36
§ 1 Abs. 3d KWG definiert den Begriff des CRR-Instituts, der CRR-Kreditinstitute und CRR-Wertpapierfirmen umfasst. Beide Begriffe in der CRR sind enger gefasst als die Definition von Kreditinstituten und Finanzdienstleistungsinstituten im deutschen KWG. Folglich hätten nicht alle Institute im Sinne des § 1 Abs. 1b KWG auch die CRR anzuwenden. Daher regelt § 1a KWG, dass grundsätzlich alle Unternehmen, die unter die weite KWG-Institutsdefinition fallen, die Vorgaben der CRR einzuhalten haben.37 Eine Ausnahme von diesem Grundsatz stellen beispielsweise Factoring- und Leasingunternehmen dar, die seit dem 25.12.2008 als Finanzdienstleistungsinstitute gemäß § 1 Abs. 1a KWG gelten38. Sie unterliegen somit dem Kreditwesengesetz und müssen den § 25a KWG und damit auch die MaRisk-Anforderungen beachten. Dagegen sind sie wegen § 2 Abs. 7a KWG von zentralen Anforderungen der CRR befreit, insbesondere von der Erfüllung der Eigenmittelanforderungen der Säule 1.
Der letzte Satz in AT 2.1 Tz. 1 MaRisk nimmt Bezug auf § 25a Abs. 3 KWG und verdeutlicht, dass die Regelungen des Rundschreibens nicht nur auf Einzelinstitutsebene gelten. Die Anforderungen im Modul AT 4.5 MaRisk sind von übergeordneten Unternehmen beziehungsweise übergeordneten Finanzkonglomeratsunternehmen einer Institutsgruppe, einer Finanzholdinggruppe oder eines Finanzkonglomerats auf Gruppenebene umzusetzen. Wenn ein Kreditinstitut als ein solches übergeordnetes Unternehmen fungiert, sind dessen Geschäftsleiter für die ordnungsgemäße Geschäftsorganisation und damit für die Etablierung eines angemessenen und wirksamen Risikomanagements nach AT 4.5 MaRisk verantwortlich.
Die Gruppe der Finanzdienstleistungsinstitute und Wertpapierhandelsbanken ist sehr heterogen. Daher müssen diese Unternehmen die Anforderungen der MaRisk nur insoweit beachten, wie es vor dem Hintergrund ihrer Größe sowie Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten zur Einhaltung der gesetzlichen Pflichten aus § 25a KWG geboten erscheint. Diese Öffnungsklausel in AT 2.1 Tz. 2 MaRisk ermöglicht den genannten spezialisierten Instituten eine praxisgerechte Umsetzung der Anforderungen des MaRisk-Rundschreibens. Die Aufsicht erwartet aber, dass diese Häuser dabei den Modulen AT 3 (Gesamtverantwortung der Geschäftsleitung), AT 5 (Organisationsrichtlinien), AT 7 (Ressourcen) und AT 9 (Auslagerung) besondere Beachtung schenken.
Die Anforderungen der MaRisk beziehen sich auf das Management der für ein Institut wesentlichen Risiken, die die Vermögenslage einschließlich der Eigenkapitalausstattung, ihre Ertragslage oder ihre Liquiditätssituation wesentlich beeinträchtigen können („Was tut weh?“). Zur Beurteilung der Wesentlichkeit steht jedes Institut vor der Aufgabe, seine Risiken eigenständig, umfassend und eindeutig zu identifizieren.39 Diese vollständige Bestandsaufnahme der Risiken, denen ein Institut ausgesetzt ist, bezeichnen die MaRisk als „Durchführung einer Risikoinventur“. Die Risikoinventur ist regelmäßig und anlassbezogen durchzuführen. Zwar gibt die Aufsicht der prinzipienorientierten Ausrichtung der MaRisk entsprechend keine Methoden für diesen Prozess vor; sie erwartet aber von den Instituten ein planmäßiges, strukturiertes Verfahren zur systematischen Identifizierung und Analyse der Risiken – genau das drückt der Begriff „Risikoinventur“ aus.
Das Ziel der regelmäßig und anlassbezogen durchzuführenden Risikoinventur ist die Integration von Risikobewusstsein in die Unternehmenskultur.40 Die Entwicklung, Förderung und Integration einer angemessenen Risikokultur wird von den Geschäftsleitern im Rahmen ihrer Gesamtverantwortung für die Einrichtung und Weiterentwicklung einer ordnungsgemäßen Geschäftsorganisation in AT 3 Tz. 1 ausdrücklich gefordert.41 Im Einklang mit der grundsätzlich ökonomischen Sicht auf Risiken und Eigenkapital muss die Risikoinventur aussagekräftig sein und darf sich nicht ausschließlich an den Auswirkungen in der Rechnungslegung sowie an formalrechtlichen Ausgestaltungen orientieren. Daher sind auch Risiken zum Beispiel aus nicht bilanzierungspflichtigen Zweckgesellschaften (SPV42) zu analysieren.
Das Gesamtrisikoprofil ist das Ergebnis der vom Institut durchgeführten Risikoinventur und besteht aus den wesentlichen und den nicht wesentlichen Risiken. Die Aufsicht geht in AT 2.2 Tz. 1 MaRisk davon aus, dass alle Institute grundsätzlich zumindest Adressenausfallrisiken (einschließlich Länderrisiken), Marktpreisrisiken, Liquiditätsrisiken und operationelle Risiken als wesentlich einstufen43. Sollte ein Haus davon abweichen und eines oder mehrere dieser Risikoarten für sich als nicht wesentlich einstufen, ist dies gemäß AT 6 Tz. 2 MaRisk nachvollziehbar zu begründen und zu dokumentieren.
Mit wesentlichen Risiken verbundene Risikokonzentrationen müssen die Institute gemäß AT 2.2 Tz. 1 Satz 5 MaRisk berücksichtigen. Dabei haben sie die in der Erläuterung zu dieser Textziffer aufgeführten Arten von Risikohäufungen in den Blick zu nehmen:
•Risikokonzentrationen, die allein aufgrund der Größe einer Risikoposition in Relation zum Gesamtportfolio bestehen;
•Intra-Risikokonzentrationen, die durch den Gleichlauf von Risikopositionen innerhalb einer Risikoart auftreten: Hierzu gehören beispielsweise Branchenkonzentrationen im Kreditgeschäft;
•Inter-Risikokonzentrationen, die durch den Gleichlauf von Risikopositionen über verschiedene Risikoarten hinweg entstehen: So würden zum Beispiel bei Ausfällen großer Kreditnehmer vertraglich vereinbarte und geplante Liquiditätszuflüsse aus Zins- und Tilgungsleistungen ausbleiben. Bei unveränderten Liquiditätsabflüssen aus entsprechenden Zahlungsverpflichtungen würde die Liquiditätslage des betroffenen Instituts beeinträchtigt und sein Liquiditätsrisiko als direkte Folge eines schlagend gewordenen Adressenausfallrisikos ansteigen.
Das institutsindividuelle Gesamtrisikoprofil, über das sich die Geschäftsleitung ausdrücklich einen Überblick zu verschaffen hat, bildet die Basis eines angemessenen und wirksamen Risikomanagements. Alle wesentlichen Risiken eines Instituts im Allgemeinen und die in AT 2.2 Tz. 1 MaRisk hervorgehobenen wesentlichen Risiken im Besonderen, die im Rahmen der Risikoinventur ermittelt wurden, erfordern eine prozessuale Sonderbehandlung in Form von Risikosteuerungs- und -controllingprozessen sowie die Durchführung von Stresstests.44 Grundsätzlich hat ein Institut alle seine wesentlichen Risiken auch in seine Risikotragfähigkeitskonzeption einzubeziehen.45 Die folgende Abbildung gibt einen Überblick über die Prozessschritte im Rahmen der Durchführung der Risikoinventur:
Die Risikotragfähigkeit beeinflusst wiederum die Festlegung und Anpassung der Strategien, während auf Basis der Geschäfts- und Risikostrategie abgeschlossene Geschäfte sich ihrerseits auf die Höhe der (wesentlichen) Risiken und damit das Gesamtrisikoprofil auswirken. Dieser Regelkreis des Risikomanagements wird im Rahmen von Prüfungen der Angemessenheit und Wirksamkeit des Risikomanagements prozessunabhängig von der Internen Revision geprüft.47
Zur Behandlung der im Rahmen der Risikoinventur als nicht wesentlich identifizierten Risiken werden dagegen keine besonderen Prozesse gefordert. AT 2.2 Tz. 1 Satz 6 MaRisk verlangt für diese Gruppe von Risiken lediglich angemessene Vorkehrungen zu treffen, ohne diese aber näher zu konkretisieren. In der Praxis kommen hier beispielsweise arbeitsregelnde Unterlagen und vorhandene weitere Berichte in Betracht. So könnten Institute in ihren Organisationsrichtlinien – hier kommt auch das Risikohandbuch in Betracht – verankern, dass das turnusmäßige Risikoreporting an die Geschäftsleitung und das Aufsichtsorgan auch einen Abschnitt mit Ausführungen zum Gesamtrisikoprofil zu enthalten hat.48 Auf diese Weise kann ein Institut dokumentiert nachweisen, dass es auch seine nicht wesentlichen Risiken im Blick behält; denn schließlich können Veränderungen externer und interner Rahmenbedingungen – wie zum Beispiel neue strategische Ausrichtungen – zur Folge haben, dass sich bisher nicht wesentliche dadurch zu wesentlichen Risiken entwickeln.49 Die folgende Abbildung zeigt die Klassifizierung der Risiken im Rahmen des durch die Risikoinventur ermittelten Gesamtrisikoprofils noch einmal auf:
Die dritte Dimension des Anwendungsbereichs der MaRisk bezieht sich auf die geschäftsbezogene Ebene. Die im Modul AT 2.3 MaRisk enthaltenen Definitionen der Kreditgeschäfte und der Handelsgeschäfte sind für die Anwendung der prozessualen Anforderungen an die Geschäftsarten relevant, insbesondere im Hinblick auf die Ausgestaltung der Aufbau- und Ablauforganisation im Kredit- und Handelsgeschäft (BTO).