Die Entwicklung der aufsichtsrechtlichen Regelungen für die Kreditinstitute bis zur Entstehung der Mindestanforderungen an das Risikomanagement wurde bereits am Ende des Kapitels 2.2.2 grob dargestellt.[234] Der dabei aufgezeigte Gedanke, die bestehenden aufsichtsrechtlichen Regelwerke zu vereinheitlichen und zu konsolidieren, entstand im Rahmen des Supervisory Review Process (SRP)[235] innerhalb der BaFin in der zweiten Jahreshälfte 2003.[236] Vor diesem Hintergrund bot sich gleichzeitig die Möglichkeit, die im Zeitablauf angefallenen Schnittstellenprobleme bzw. vorliegenden Redundanzen der bisher veröffentlichten Mindestanforderungen zu beseitigen.[237] Um dieses Ziel zu erreichen, gründeten die BaFin und die DBB im April 2004 eine gemeinsame Arbeitsgruppe, welche am 02. Februar 2005 einen ersten offiziellen Entwurf der neuen MaRisk veröffentlichte.[238] Anschließend wurde dieser Entwurf im neu gegründeten Fachgremium MaRisk[239] diskutiert und weiterentwickelt. Nach Veröffentlichung eines weiteren Entwurfs mit abschließender offizieller Konsultationsphase, die sich an sämtliche Verbände der Kreditwirtschaft richtete, wurde die endgültige Version der MaRisk am 20. Dezember 2005 herausgegeben.[240] Mit dem Tag der Veröffentlichung der MaRisk fanden die Regelungen sofort Anwendung und mussten fortan von den Kreditinstituten beachtet werden.[241] Bereits zu diesem Zeitpunkt stand fest, die separat bestehenden Outsourcing-Regelungen nach grundlegender Überarbeitung und Modernisierung in die MaRisk zu integrieren. Nach Integration dieser Neuregelungen wurde die neue und bis heute gültige Fassung der MaRisk am 30. Oktober 2007 von der BaFin veröffentlicht, nachdem vorher wiederum zwei Entwurfsversionen umfassend in der Praxis diskutiert wurden.[242]
Die MaRisk zeigen sich offen für eine laufende Fortentwicklung der Prozesse und Verfahren im Risikomanagement, sofern diese im Einklang mit den ursprünglichen Zielen stehen. Für diese Zwecke führt die BaFin einen fortlaufenden Dialog mit Bankpraktikern im Rahmen des Fachgremiums MaRisk.[243] So hat die BaFin im Februar 2009 einen Entwurf einer Neufassung der MaRisk veröffentlicht. „Wesentlicher Treiber für die Überarbeitung der MaRisk sind internationale Regulierungsinitiativen, die vor dem Hintergrund der noch schwelenden Finanzmarktkrise in Angriff genommen wurden. Von maßgeblicher Bedeutung sind dabei die Empfehlungen des Financial Stability Forums (FSF), zu deren Umsetzung sich Deutschland verpflichtet hat. Darüber hinaus sind Entwicklungen auf europäischer Ebene zu berücksichtigen. So sind bspw. aufgrund der CRD-Änderungsrichtlinie Anpassungen bei den Anforderungen zum Liquiditätsrisikomanagement der Institute erforderlich (Modul BTR 3). Was die Neuerungen im Entwurf angeht, spielen aber auch Erkenntnisse aus der laufenden Aufsichts- und Prüfungspraxis sowie bekanntgewordenen Manipulationsfällen (Société Générale) eine Rolle. Die Anpassungen im Entwurf werden allerdings die grundsätzliche Ausrichtung der Mindestanforderungen nicht berühren. Ich kann Ihnen versichern, dass dem in § 25a KWG sowie den MaRisk fest verankerten Proportionalitätsgrundsatz auch künftig ein hoher Stellenwert eingeräumt wird.“[244]
Die folgenden Kapitel stellen die MaRisk allgemein vor und gehen im Anschluss umfassend auf die für die Interne Revision in Kreditinstituten geltenden Regelungen ein. Der o.g. Entwurf findet dabei keine weitere Berücksichtigung, da die MaRisk vom 30. Oktober 2007 die z.Zt. noch gültige Fassung darstellen.
Die Anforderungen der MaRisk sind von allen Instituten im Sinne von § 1 Abs. 1b KWG[245] bzw. § 53 Abs. 1 KWG[246] zu beachten. Darüber hinaus gelten sie auch für Zweigniederlassungen deutscher Institute im Ausland. Auf Zweigniederlassungen von Unternehmen mit Sitz in einem anderen Staat des Europäischen Wirtschaftsraums finden sie dagegen nach § 53b KWG keine Anwendung.[247]
Obwohl die MaRisk für die o.g. Institute verpflichtend anzuwenden sind, kann die konkrete Ausgestaltung jedoch durchaus differenzieren. Um den heterogenen Institutsstrukturen und den mannigfaltigen Geschäftsaktivitäten Rechnung zu tragen, enthalten die MaRisk zahlreiche Öffnungsklauseln, die abhängig von der Institutsgröße, den Geschäftsschwerpunkten und der Risikosituation eine flexible Umsetzung ermöglichen. Insoweit können sie vor allem auch von kleineren Instituten flexibel umgesetzt werden.[248]
Zum einen geben die MaRisk auf der Grundlage des § 25a Abs. 1 KWG einen flexiblen und praxisnahen Rahmen für die Ausgestaltung des Risikomanagements der Institute als Teil einer ordnungsgemäßen Geschäftsorganisation[249] vor und präzisieren darüber hinaus die Anforderungen an ausgelagerte Aktivitäten und Prozesse nach § 25a Abs. 2 KWG. Insofern will die Bankenaufsicht mit dem Instrument der MaRisk in erster Linie die Einrichtung angemessener institutsinterner Leitungs-, Steuerungs- und Kontrollprozesse erreichen. Dies beinhaltet auch, dass das Aufsichtsorgan eines Instituts angemessen eingebunden wird, um die ihm auferlegte Überwachungsfunktion sachgerecht wahrnehmen zu können.[250]
Zum zweiten werden durch die MaRisk auch die entsprechenden Regelungen aus der zweiten Säule von Basel II[251] umgesetzt. Die dort von den Instituten geforderten adäquaten Leitungs-, Steuerungs- und Kontrollprozesse sowie Strategien und Prozesse, die gewährleisten, dass genügend internes Kapital zur Abdeckung aller wesentlichen Risiken vorhanden ist (Internal Capital Adequacy Assessment Process – ICAAP), wurden mit den MaRisk in nationales Recht umgesetzt. Die Qualität dieser Prozesse soll von der Bankenaufsicht in einem aufsichtsrechtlichen Überprüfungsverfahren (Supervisory Review an Evaluation Process – SREP) regelmäßig beurteilt werden. Diese beiden Elemente aus Basel II unterliegen dem Grundsatz der doppelten Proportionalität, d.h. die internen Strategien und Prozesse sowie die aufsichtsrechtliche Überprüfung haben sich an der Größe der Kreditinstitute, den Geschäftsschwerpunkten und der Risikosituation zu orientieren und sollen zur Situation der Bank in einem angemessenen Verhältnis stehen. Anzumerken ist, dass im Hinblick auf die diversen Methoden zur Berechnung der aufsichtsrechtlich erforderlichen Eigenmittel die Anforderungen der MaRisk insofern neutral konzipiert sind, als sie unabhängig von der gewählten Methode eingehalten werden können.[252]
Abschließend lässt sich festhalten, dass die Beachtung der Anforderungen der MaRisk durch die Institute im Wesentlichen dazu beitragen soll, Zustände im Kredit- und Finanzdienstleistungswesen abzuwehren, welche die Sicherheit der den Instituten anvertrauten Vermögenswerte gefährden, die ordnungsgemäße Abwicklung von Bankgeschäften oder Finanzdienstleistungen beeinträchtigen oder beträchtliche Nachteile für die Gesamtwirtschaft herbeiführen können. Erbringen die Institute zusätzlich Wertpapierdienstleistungen und Wertpapiernebendienstleistungen, müssen sie die Anforderungen der MaRisk darüber hinaus mit der Maßgabe einhalten, die Interessen der Wertpapierdienstleistungskunden zu schützen.[253]
Wie bereits im vorangegangen Abschnitt angedeutet, stellt das Risikomanagement i.S.d. MaRisk einen zentralen Bestandteil der institutsinternen Leitungs-, Steuerungs- und Kontrollprozesse dar. Die in diesem Zusammenhang verwendeten Begrifflichkeiten unterscheiden sich nur unwesentlich von denen der allgemeinen Definition des Risikomanagements.[254] Im Folgenden soll dennoch eine genaue Abgrenzung der verwendeten Begriffe im Rahmen des Risikomanagements in Kreditinstituten erfolgen. Die nachstehende Abbildung verschafft dazu einen ersten Überblick.
Abbildung 12: Risikomanagement i.S.d. MaRisk
Quelle: Hannemann / Schneider / Hanenberg, 2008, S. 18.
Das Risikomanagement i.S.d. MaRisk umfasst unter Berücksichtigung der Risikotragfähigkeit insbesondere die Festlegung geeigneter Strategien sowie die Einrichtung angemessener interner Kontrollverfahren durch die Geschäftsleitung.
Da der Schwerpunkt der bankbetrieblichen Aktivitäten im Eingehen von Risikopositionen liegt, ist es für die Kreditinstitute nicht immer vermeidbar, dass übernommene Risiken schlagend werden und dadurch Verluste verursachen können. Damit ein Institut beurteilen kann, ob es ggf. eintretende Verluste bewältigen kann, muss es ein Risikotragfähigkeitskonzept erstellen, in dem alle wesentlichen Risiken dem Risikodeckungspotenzial gegenübergestellt...
