Die fünfte MaRisk-Novelle: Vorbemerkung und Anwendungsbereich
von Markus Rose
1Einleitung
2Vorbemerkung in AT 1 MaRisk
2.1Anforderungen an die Ausgestaltung des Risikomanagements: AT 1 Tz. 1
2.2Ausgestaltung von ICAAP und SREP unter Beachtung des Proportionalitätsprinzips: AT 1 Tz. 2 und 3
2.3Integration des Anlegerschutz-Ziels in die MaRisk: AT 1 Tz. 4
2.4Öffnungsklauseln als Charakteristikum der MaRisk: AT 1 Tz. 5
2.5Definition systemrelevanter Institute: AT 1 Tz. 6
2.6Forderung nach einem risikoorientierten Prüfungsansatz: AT 1 Tz. 7
2.7Der modulare Aufbau der MaRisk: AT 1 Tz. 8
3Definition des Anwendungsbereichs in AT 2
3.1Der institutsbezogene Anwendungsbereich: AT 2.1
3.2Der risikobezogene Anwendungsbereich: AT 2.2
3.3Der geschäftsbezogene Anwendungsbereich: AT 2.3
Literaturverzeichnis
Abbildungsverzeichnis
1Einleitung
Seit ihrer erstmaligen Veröffentlichung am 20. Dezember 2005 stellen die Mindestanforderungen an das Risikomanagement (MaRisk) den zentralen Baustein für die qualitative Aufsicht in Deutschland dar. Sie formulieren Grundprinzipien zur Ausgestaltung des Risikomanagements für in Deutschland tätige Kreditinstitute und Finanzdienstleistungsinstitute.
Am 27. Oktober 2017 veröffentlichte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die fünfte Novelle der MaRisk, mit der die vom Baseler Ausschuss für Bankenaufsicht (BCBS) im Januar 2013 veröffentlichten „Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung“ (BCBS 239) Eingang in die aufsichtsrechtlichen Vorgaben für deutsche Institute gefunden haben.1 Darüber hinaus sind Neuerungen, Konkretisierungen und Klarstellungen im Modul „Auslagerung“ sowie – über das im Jahr 2014 veröffentlichte Papier „Guidance on Supervisory Interaction with financial institutions on Risk Culture“ des Financial Stability Board (FSB)2 – das Thema „Risikokultur“ als weitere Schwerpunkte in die jüngste Überarbeitung der MaRisk eingeflossen.3
In diesem Artikel werden die Anforderungen der MaRisk in den Modulen AT 1 und AT 2 vorgestellt und erläutert. Dabei legt AT 1 MaRisk als Ausgangspunkt die Ziele dieses Rundschreibens der Aufsicht und seinen generellen Kontext dar, während AT 2 MaRisk den mehrdimensionalen Anwendungsbereich der MaRisk absteckt.
2Vorbemerkung in AT 1 MaRisk
Eine ausführliche Einleitung bildet den Ausgangspunkt der MaRisk: Das mit „Vorbemerkung“ betitelte Modul AT 1 mit seinen nun insgesamt acht Textziffern (Tz.) fungiert als Präambel, in der zentrale Aspekte der MaRisk herausgehoben sowie auf Regelwerke und Themen von genereller Bedeutung für das MaRisk-Rundschreiben und seine Weiterentwicklung Bezug genommen werden.4
2.1Anforderungen an die Ausgestaltung des Risikomanagements: AT 1 Tz. 1
Als gesetzlicher Anknüpfungspunkt der MaRisk wird in AT 1 Tz. 1 MaRisk § 25a KWG genannt, der von den Instituten eine ordnungsgemäße Geschäftsorganisation verlangt. Diese hat die Einhaltung der vom Institut zu beachtenden gesetzlichen Bestimmungen und der betriebswirtschaftlichen Notwendigkeiten zu gewährleisten. Eine ordnungsgemäße Geschäftsorganisation umfasst insbesondere ein angemessenes und wirksames Risikomanagement sowie darüber hinaus gemäß § 25a Abs. 1 Satz 6 KWG angemessene Regelungen zur jederzeitigen Bestimmung der finanziellen Lage des Instituts (Rechnungslegungs- und Managementinformationssystem), die Erfüllung aufsichtsrechtlicher Aufzeichnungs- und Aufbewahrungspflichten und einen Whistleblowing-Prozess.5
Als Kernelement einer ordnungsgemäßen Geschäftsorganisation fordert § 25a Abs. 1 Satz 3 KWG ein angemessenes und wirksames Risikomanagement. Diesen zentralen Terminus nehmen die MaRisk in AT 1 Tz. 1 auf und wiederholen bei der Bestimmung des Risikomanagementbegriffs die gesetzliche Definition: „Ein angemessenes und wirksames Risikomanagement umfasst unter Berücksichtigung der Risikotragfähigkeit insbesondere die Festlegung von Strategien6 und die Einrichtung interner Kontrollverfahren.“ Letztere bestehen aus dem internen Kontrollsystem (IKS) und der Internen Revision. Das prozessabhängige IKS umfasst aufbau- und ablauforganisatorische Regeln, Risikosteuerungs- und -controllingprozesse, die Durchführung von Stresstests, Anforderungen an Datenmanagement, Datenqualität und die Aggregation von Risikodaten7 sowie die Einrichtung einer Risikocontrolling- und einer Compliance-Funktion. Die Interne Revision dagegen ist weder in die zu prüfenden Abläufe eingebunden noch für die Ergebnisse der zu überwachenden Prozesse verantwortlich und gewährleistet somit eine prozessunabhängige Beurteilung der Ordnungsmäßigkeit aller von ihr geprüften Aktivitäten und Prozesse.8
Die Hierarchie und das Zusammenwirken der vorgestellten Begriffe in den MaRisk verdeutlicht die folgende Abbildung:
Abbildung 1:Zusammenspiel wichtiger Begriffe in den MaRisk;
Quelle: Darstellung in Anlehnung an Anlage 4 zu den Mindestanforderungen an das Risikomanagement vom 20. Dezember 2005 (mit Ergänzungen)
Der Begriff des Risikomanagements ist somit weit gefasst und schließt ferner durch § 25a Abs. 1 Nr. 4 bis 6 KWG neben den genannten weitere Aspekte mit ein: Eine angemessene personelle und technisch-organisatorische Ausstattung des Instituts, die Festlegung eines angemessenen Notfallkonzepts, insbesondere für IT-Systeme, und angemessene, transparente und auf eine nachhaltige Entwicklung des Instituts ausgerichtete Vergütungssysteme für Geschäftsleiter und Mitarbeiter stellen ebenfalls Grundvoraussetzungen für eine ordnungsgemäße Geschäftsorganisation dar.9 Die MaRisk konkretisieren darüber hinaus Anforderungen des § 25a Abs. 3 KWG an das Risikomanagement auf Gruppenebene in dem Modul AT 4.5 MaRisk sowie des § 25b KWG an ausgelagerte Aktivitäten und Prozesse im Modul AT 9 MaRisk. Die Art und Weise der Umsetzung der in AT 1 Tz. 1 MaRisk geforderten Angemessenheit und Wirksamkeit des Risikomanagements wird – dem prinzipienorientierten Charakter des Rundschreibens gemäß – den Instituten von der deutschen Aufsicht nicht vorgegeben: Seine konkrete Ausgestaltung hängt gemäß § 25a Abs. 1 Satz 4 MaRisk von Art, Umfang, Komplexität und Risikogehalt der Geschäftstätigkeit ab und ist vom Institut regelmäßig auf Angemessenheit und Wirksamkeit zu überprüfen.
Als norminterpretierende Verwaltungsvorschrift kommt den MaRisk eine wichtige Bedeutung zu: Sie entfalten als „Innenrecht der Verwaltung“ zwar erst durch ihre Anbindung an § 25a KWG eine juristische Bindungswirkung, legen aber die unbestimmten Rechtsbegriffe dieses Gesetzesparagrafen – wie zum Beispiel „ordnungsgemäße Geschäftsorganisation“ – aus. Die MaRisk sorgen durch diese Präzisierung der gesetzlichen Anforderungen des § 25a Abs. 1 und 3 KWG sowie des § 25b KWG für ein möglichst hohes Maß an Einheitlichkeit des Verwaltungshandelns. Davon profitieren auch die beaufsichtigten Institute, denn für sie ergibt sich daraus ein Gewinn an Rechts- und Planungssicherheit.
Im letzten Satz des AT 1 Tz. 1 betonen die MaRisk die Bedeutung des Risikomanagements als Grundlage für die sachgerechte Wahrnehmung der Überwachungsfunktion des Aufsichtsorgans; es beinhaltet deshalb dessen angemessene Einbindung. Damit wird klar, dass eine nur passive Rolle des Aufsichtsorgans nicht im Sinne der Aufsicht ist.10 Dessen Aufgaben haben sich spätestens seit der jüngsten Finanzkrise von reinen Kontrolltätigkeiten hin zu einer aktiven, adressatengerechten Einbindung in Entscheidungen von grundlegender Bedeutung erweitert. Mit der Stärkung der Rolle des Aufsichtsorgans steigen auch die Anforderungen an dessen Mitglieder: Neben der geforderten Zuverlässigkeit und erforderlichen Sachkunde als Persönlichkeitsmerkmale müssen sie gemäß § 25d KWG der Wahrnehmung ihrer Aufgaben ausreichend Zeit widmen. Hierdurch soll die Funktionsfähigkeit und Effektivität interner Governance-Strukturen sichergestellt werden. Dieser Bedeutungszuwachs zeigt sich in den MaRisk an zahlreichen Rechten und Pflichten des Aufsichtsorgans, die in der...