Willkommen zur Beitragsserie “Finanzmarktregulierung einfach erklärt“. Ein Service Ihres engagierten Teams der BahlConsult GmbH Unternehmensberatung.

MaRisk: Das BaFin-Rundschreiben über das Risikomanagement von Banken

MaRisk steht als Abkürzung für “Mindestanforderungen an das Risikomanagement” bei Banken und Finanzdienstleistern. Es handelt sich hier nicht um eine eigene EU-Regulierung, sondern tatsächlich um ein Rundschreiben der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht). In diesem Rundschreiben erläutert die BaFin, wie Banken und Finanzdienstleister ihr Risikomanagement organisieren müssen. Die finale Fassung des MaRisk Rundschreibens wurde im Oktober 2017 veröffentlicht. Es handelt sich um eine bindende Verwaltungsvorschrift, an die sich die Institute halten müssen!

Der Ursprung liegt in der CRD-Richtlinie

Das Rundschreiben hat seinen Ursprung in der EU-Richtlinie 2013/36/EU, also der sehr umfangreichen CRD-Richtlinie (Capital Requirements Directive). Die CRD-Richtlinie ist ein Teil des großen CRD IV Pakets, in dem es um Maßnahmen geht, die den Finanzsektor robuster gegen Krisen machen sollen. Als EU-Richtlinie musste die CRD in nationales Recht umgesetzt werden (im Unterschied zu EU-Verordnungen, die unmittelbar gelten). In Deutschland geschah das unter anderem im KWG (Kreditwesengesetz). Dem §25a Abs. 1 des KWG, in dem es um gesetzlich vorgeschriebene Mindestanforderungen an das Risikomanagement geht, kommt hier besondere Bedeutung zu.

Der Gesetzestext im Kreditwesengesetz reichte für die Praxis nicht aus

Der Gesetzestext im KWG, der die CRD-Richtlinie umsetzen sollte, war leider für dieses komplexe und sehr umfangreiche Thema nicht genau genug und ließ auf allen Seiten viel Spielraum und Interpretation, aber auch viel Unsicherheit bei der praktischen Umsetzung zu. So kam es denn dazu, dass die BaFin in ihrem sehr umfangreichen Rundschreiben 09/2017 (BA), das heute nur noch unter dem Begriff MaRisk geführt wird, nochmals die Details festgelegt hat. Der Weg zum letztgültigen Rundschreiben war lang, bestand aus mehreren Konsultationen und Entwürfen, und zog sich über Jahre hin.

Zwei Teile: Allgemeiner Teil (AT) und Besonderer Teil (BT)

Das Rundschreiben der BaFin ist in zwei große Bereiche unterteilt: Einen allgemeinen Teil (AT), der in neun Kapiteln (AT1 bis AT9) genau festschreibt, wie das Risikomanagement einer Bank oder eines Finanzdienstleisters organisiert sein muss. Danach kommt der Besondere Teil (BT), der in weiteren drei Kapiteln Vorschriften für jene Institute enthält, die ein Kredit- und/oder Handelsgeschäft betreiben.

Regelmäßige “Risikoinventur”

Die MaRisk schreibt vor, dass jedes Institut regelmäßig alle Risiken erfassen muss, und zwar auf Unternehmensebene, und nicht nur pro Abteilung oder Bereich. Mindestens müssen

  1. Adressausfallrisiken
  2. Marktpreisrisiken
  3. Liquiditätsrisiken
  4. und operationelle Risiken

erfasst werden. Danach muss die mögliche Auswirkung all dieser Risiken auf

  1. die Vermögenslage und das Eigenkapital
  2. die Ertragslage
  3. die Liquiditätslage

bewertet und eingeschätzt werden.

Verantwortung, Risikotragfähigkeit und Methoden

Die MaRisk schreibt unter anderem folgende, wichtige Punkte vor:

  • Alle Geschäftsführer/Vorstände sind für ein ordentliches Risikomanagement verantwortlich, gleichgültig worin ihre Hauptaufgabe sonst liegen mag.
  • Die “Risikotragfähigkeit” muss zu jeder Zeit sichergestellt sein. Das bedeutet, dass das eingegangene Risiko stets im Verhältnis zum vorhandenen Kapital stehen muss. Dafür muss es einen eigenen Überwachungsprozess im Unternehmen geben.
  • Will ein Institut sein Gesamtrisiko geringer einschätzen, weil es der Meinung ist, dass durch die breite Streuung der Risiken das Gesamtrisiko geringer ist als die Summer der Einzelteile, so gibt die MaRisk hier strenge Kriterien vor. Die Reduzierung muss konservativ geschätzt werden, mit Analysen und langen, historischen Datenreihen begründet sein und regelmäßig überprüft werden.
  • Die Methoden der Risikoberechnung müssen laufend überprüft werden, mindestens aber einmal jährlich. Zudem muss es eine Trennung zwischen der Methodenentwicklung (jene, die Bewertungsmodelle programmieren) und der Modellvalidierung (jene, die danach diese Bewertungsmodelle überprüfen) bestehen.

Langfristige Planungen und eine nachhaltige Strategie: Die Geschäftsleitung in der Verantwortung

Die MaRisk gibt aber auch vor, dass sich jedes Institut über mehrere Jahre im Vorhinein Gedanken über seinen Kapitalbedarf machen muss und entsprechend sehr langfristig planen soll. Dazu sollen Ergebnisse aus den Risikoanalysen einfließen, aber auch die Geschäftsstrategie und Veränderungen im wirtschaftlichen Umfeld.

Zudem muss die Geschäftsleitung eine “nachhaltige” Geschäftsstrategie ausarbeiten, ebenfalls mit einem langfristigen Zeithorizont.

Im Anschluss an die Geschäftsstrategie muss eine Risikostrategie beschlossen werden, die sich an der Geschäftsstrategie orientiert. Auch dafür ist die Geschäftsleitung zuständig. Die Verantwortung dafür darf sie übrigens nicht delegieren!

Der Aufsichtsrat muss mindestens vierteljährlich über die Risikosituation informiert werden.

Das Risikomanagement-System

Für die Organisation des Kontrollsystems stellt die MaRisk sehr genaue Anforderungen. Unter anderem gilt:

  • Das Verbot der Selbstkontrolle: Mitarbeiter dürfen ihre eigene Arbeit nicht kontrollieren. Die eigens zu schaffende Risikocontrolling Abteilung muss deshalb auch komplett vom Front Office getrennt sein.
  • Neben dem Risikocontrolling muss eine eigene Compliance Abteilung vorhanden sein. Sie kontrolliert, ob alle rechtlichen Vorgaben umgesetzt und eingehalten werden. Auch sie muss unabhängig vom Front Office aufgesetzt sein. Bei nicht-systemrelevanten Instituten reicht auch ein Compliance Beautragter.
  • Interne Revision: Normalerweise als eigene, unabhängige Abteilung organisiert, kann die Funktion bei ganz kleinen Instituten auch ein Geschäftsleiter wahrnehmen. Die Interne Revision überwacht das Risikomanagement und die Kontrollsysteme.
  • Informationsweitergabe nach dem “Need-to-know-Prinzip” und regelmäßige Überprüfung aller Berechtigungen von Mitarbeitern
  • Ein eigener Risikosteuerungs- und Controllingprozess muss vorhanden sein. Das bedeutet, das Institut muss genau festlegen, wie und von wem Risiken erkannt, bewertet, gesteuert und überwacht werden, und auch, wie die Ergebnisse intern an die Geschäftsleitung oder andere Abteilungen kommuniziert werden. Dieser ganze Prozess muss Teil der Gesamtbanksteuerung sein.
  • Die verwendeten Methoden zur Bewertung des Risikos (z.B. Value at Risk, Expected Shortfall, Monte-Carlo-Simulation, SABR, etc.) müssen regelmäßig überprüft und angepasst werden, damit das Risiko möglichst richtig berechnet werden kann.
  • Zusätzlich müssen regelmäßig Stresstests für alle wichtigen Risikoarten gemacht werden, inklusive aller außerbilanziellen Posten und Verbriefungspositionen. Ein zusätzlicher Stresstest für das Gesamtrisiko ist ebenfalls vorgeschrieben. Außerdem muss das Institut noch sogenannte “Inverse Stresstests” durchführen. Bei inversen Stresstests beginnt man mit der Annahme, das Institut ist runiniert, überlegt im nächsten Schritt, wie es dazu hätte kommen können, samt aller möglichen Kettenreaktionen, und denkt am Ende nach, wie man das hätte vermeiden können.
  • Es müssen ausreichend viele und entsprechend qualifizierte Mitarbeiter vorhanden sein.
  • Die IT-Systeme müssen den Anforderungen gewachsen sein (wie etwa Datensicherheit, Verfügbarkeit, etc.).

Spezielle Zusatzregel für systemrelevante Institute: Datenmanagement

Wer systemrelvant ist, entscheidet die Europäische Bankenaufsicht EBA und veröffentlicht die jeweiligen Listen auf ihrer Webseite. Das Hauptkriterium ist die Bilanzsumme. Ist ein Institut als systemrelevant eingestuft, so muss es zusätzlich eigene Grundsätze für das Sammeln und das Management aller Daten und die Sicherstellung der Datenqualität erstellen. Das gesamte Datenmanagement soll dabei möglichst automatisiert und im gesamten Institut einheitlich sein, und die Daten sollen jederzeit “ad-hoc” zur Verfügung stehen. Das klingt auf den ersten Blick nicht sonderlich schwer, erweist sich aber in der Praxis als kaum zu bewältigende Mammutaufgabe. Denn gerade sehr große Finanzinstitute haben – teilweise auch aufgrund von Zukäufen und Zusammenschlüssen – eine Vielzahl paralleler IT-Welten im Einsatz. Diese auf eine, große Datenbank mit einheitlichen Namen, Bezeichnungen und Kennzeichnungen zusammenzuführen, und diese Daten in Echtzeit verfügbar zu machen, kostet nicht nur viel Zeit, sondern verursacht nicht selten Kosten im Milliardenbereich!

Handbücher, Ablaufbeschreibungen und Arbeitsanweisungen: Bitte alles schriftlich!

Sämtliche Prozesse und Abläufe im Risikocontrolling und in der Risikosteuerung, die Zuständigkeiten und Verantwortlichkeiten, verwendete Methoden und Verfahren, die Abläufe der Kontrolle durch die Interne Revision, der Umgang mit Daten, und alle sonstigen für das Risikomanagement relevanten Dinge müssen vom Unternehmen schriftlich in Form von Handbüchern, Dokumentationen, Arbeitsanweisungen oder ähnlichem festgehalten werden und den betroffenen Mitarbeitern zur Verfügung gestellt werden.

Zusätzlich zur Dokumentation der Abläufe müssen sämtliche Geschäftsunterlagen erstens für Dritte verständlich verfasst und zweitens mindestens fünf Jahre lang aufbewahrt werden. Darunter fällt auch die Dokumentation, dass ein Institut die Vorschriften der MaRisk umgesetzt und eingehalten hat.

Schubladen-Pläne für den Notfall

Für den Fall der Fälle muss jedes Institut einen Notfallplan in der Schublade haben. Vom Stromausfall über einen Terroranschlag/Krieg bis hin zum Kollaps der Kapitalmärkte darf bedacht sein. Es geht vor allem um Fragen wie während des Notfalls zu verfahren ist (Geschäftsfortführung an Notfallarbeitsplätzen?), aber auch, wie die Rückkehr zu einem normalen Geschäftsbetrieb stattfinden kann. Das Notfallkonzept muss regelmäßig durch Notfalltests überprüft werden.

Veränderungen müssen auf ihr Risiko geprüft werden

  • Der Neu-Produkt-Prozess: Sollen neue Produkte, neue Märkte und neue Vertriebswege erschlossen werden, bedarf es erstens eines Konzepts, und zweitens muss die Auswirkung auf das Gesamtrisiko beurteilt werden. Der Neu-Produkt-Prozess muss unabhängig vom Front-Office ablaufen. Zudem muss zu Beginn eine sogenannte Testphase durchgeführt werden, während der nur einige wenige Geschäfte abgeschlossen werden dürfen. Allerdings gibt es auch Ausnahmen, und sollten alle Orga-Einheiten keine Probleme sehen, dürfen Konzept und Testphase auch entfallen.
  • Wichtig Veränderungen in der Organisation oder den IT-Systemen müssen auf ihre Auswirkung auf das Gesamtrisiko beurteilt werden.
  • Bei geplanten Übernahmen und Fusionen muss zuvor ein detailliertes Konzept erstellt werden, das alle Auswirkungen auf Risiken genau beleuchtet. Auch Auslagerungen an externe Unternehmen müssen geprüft werden und vertraglich so geregelt werden, dass alle aufsichtsrechtlichen Anforderungen erfüllt bleiben.

Besondere Regelungen für das Kredit- und Handelsgeschäft im Besonderen Teil (BT)

Im letzten Teil des MaRisk Rundschreibens geht es um die Organisation der Kreditabteilungen und des Handels, und wie diese überwacht werden. Auch hier müssen die Front Office und Kreditentscheidungsbereiche von den Kontrollorganen getrennt sein.

Für die Kreditabteilungen gelten sehr genaue Vorgaben:

  • Jede Kreditentscheidung muss zwei Votes (Entscheidungen) unterworfen werden, und zwar von zwei voneinander getrennten Abteilungen (genannt Markt und Marktfolge). Der Bereich Marktfolge (“second vote”) kann dabei niemals überstimmt werden. Eine Ausnahme gibt es bei Kleinkrediten oder sehr sicheren Krediten (“nicht-risikorelevante Kreditgeschäfte”), die auch mit einem “Vote” genehmigt werden können.
  • Kontrahenten- und Handelslimite werden direkt vom Bereich Marktfolge festgelegt.
  • Die MaRisk schreibt zudem einen sehr genauen Rahmen vor, wie Kredite zu gewähren, zu bearbeiten, zu erfassen, zu kontrollieren, zu betreuen, zu bewerten und zu verwalten sind. Auch die Bewertung von Sicherheiten spielt eine wichtige Rolle, wie auch die Bewertungen und Beurteilungen von Adressausfallrisiken, Branchen- und Länderrisiken, als auch die Überprüfung der Machbarkeit von Projekten. Das Vorgehen bei Problemkrediten muss geregelt sein, eine entsprechend Risikovorsorge ist zu treffen und entsprechende Warnsysteme zur Früherkennung von Risiken im Kreditgeschäft müssen vorhanden sein.

Auch die Organisation und der Ablauf im Handel (Front Office) sind in vielen Details geregelt. Die MaRisk schreibt hier unter anderem vor:

  • Beim Abschluss eines Geschäfts müssen alle Konditionen und Nebenabreden vollständig vereinbart werden. Idealerweise werden standardisierte Vertragstexte verwendet (z.B. basierend auf ISDA, Deutscher Rahmenvertrag, etc.).
  • Off-Market Geschäfte, also Handelsgeschäfte zu nicht marktgerechten Bediungungen, sind grundsätzlich verboten. Allerdings gibt es einige Ausnahmen, wie ausdrücklicher Kundenwunsch oder sachliche Begründung.
  • Geschäftsabschlüsse außerhalb der Geschäftsräume sind nur in Ausnahmen erlaubt und müssen unverzüglich mitgeteilt und dokumentiert werden.
  • Sämtliche Telefongespräche von Händlern über Geschäfte müssen aufgezeichnet werden und mindestens drei Monate gespeichert bleiben.
  • Alle abgeschlossenen Geschäfte müssen unmittelbar mit allen Details erfasst und an die Abwicklung weitergegeben werden.
  • Jeder Händler darf nur für sich selbst Geschäfte eingeben können, und der Erfassungstag, die Zeit sowie die fortlaufende Geschäftsnummer müssen automatisch vom System vergeben werden und nicht veränderbar sein.
  • Jeder Händler mit Positionsverantwortung muss mindestens einmal jährlich für mindestens zehn ununterbrochene Handelstage sein Buch an einen anderen Händler abgeben (in der Regel bedeutet das Urlaub). In dieser Zeit darf der Händler nicht auf sein Buch zugreifen.

Die Handelsabwicklung (Back Office) muss sich ebenfalls an mehrere Vorgaben aus dem MaRisk Rundschreiben halten:

  • Alle Handelsgeschäfte müssen schriftlich oder in gleichwertiger Form mit allen Details des Geschäfts bestätigt werden. Eine Ausnahme gibt es bei Geschäften über Plattformen, die ohnedies ein automatisches Matching machen.
  • Der Geschäftspartner muss seine Gegenbestätigung des Geschäfts direkt an die Handelsabwicklung schicken, und keinesfalls an den Handel.
  • Die Abwicklung muss die Handelsgeschäfte laufend kontrollieren, etwa auf Vollständigkeit der Unterlagen, auf Marktgerechtigkeit, und ob Änderungen und Stornierungen zulässig sind und ob alle Daten mit den nachgelagerten Bereichen wie Abwicklung und Rechnungswesen übereinstimmen.

Besonderer Teil für die Risikosteuerung und das Controlling

In diesem Teil gibt die MaRisk nochmals genaue Vorgaben, wie wichtige Risikoklassen zu steuern und zu organisieren sind:

  1. Adressausfallrisiko
  2. Marktpreisrisiko
  3. Liquiditätsrisiko
  4. operationelles Risiko

Auch die genauen Aufgaben und Zuständigkeiten der Internen Revision werden im besonderen Teil nochmals genauer definiert. Es geht um die Arten der Prüfung, die Planung und Durchführung von Prüfungen, sowie die Berichtspflichten.

Im letzten Teil ist erläutert, wie die regelmäßigen Risikoberichte auszusehen haben, mit denen die Geschäftsleitung regelmäßig informiert wird. Es ist hier nicht nur der genaue Inhalt der Berichte definiert, sondern auch, wie häufig Geschäftsleitung und Aufsichtsrat Informationen erhalten müssen.

 

zurück zur Übersicht “Finanzmarktregulierung einfach erklärt”.