Einer der wichtigsten Auslöser für die Entwicklung der MaRisk im Jahr 2005 war das damals neue Rahmenwerk des Baseler Ausschusses für Bankenaufsicht zur Kapitaladäquanz von Banken, das unter dem Schlagwort „Basel II“ bekannt ist. Dieses umfasst neben den quantitativen Regelungen zur Eigenmittelausstattung (Säule I) auch einen stärker qualitativ ausgerichteten aufsichtlichen Überprüfungsprozess (Supervisory Review Process – Säule II), der seinen Niederschlag auch in der EU-Bankenrichtlinie fand. Demnach müssen Institute angemessene Leitungs-, Steuerungs- und Kontrollprozesse (Robust Governance Arrangements) sowie Strategien und Prozesse einrichten, die eine Abdeckung aller wesentlichen Risiken mit internem Kapital gewährleisten (Internal Capital Adequacy Assessment Process – ICAAP). Die Qualität dieser Prozesse ist von der Aufsicht im Rahmen des aufsichtlichen Überwachungsprozesses regelmäßig zu beurteilen. Diese Grundgedanken spiegeln sich seitdem in § 25a Absatz 1 Kreditwesengesetz (KWG) wie auch in den norminterpretierenden MaRisk wider.

Der Aufsicht ist es gelungen, mit den MaRisk ein kompaktes und umfassendes Regelwerk zu entwickeln. Die BaFin hat damit transparent gemacht, wie sie in der aufsichtlichen Praxis die unbestimmten Rechtsbegriffe des § 25a KWG anwenden wird. Gleichzeitig gibt sie den Instituten verlässliche Anhaltspunkte für die angemessene Ausgestaltung des institutsinternen Risikomanagements. Die Anforderungen sind dabei so ausgestaltet, dass sie für alle Institute anwendbar und hinreichend flexibel sind. So gewähren sie den Instituten die notwendigen Gestaltungsspielräume bei der Umsetzung. Die Aufsicht hat in den MaRisk bewusst auf detaillierte Festschreibungen verzichtet und vielmehr die Notwendigkeit eines prinzipienorientierten Ansatzes in den Vordergrund gestellt. Dieser ermöglicht eine risikoorientierte Ausgestaltung der einzelnen Elemente des Risikomanagements, indem er die Größe des Instituts und die Art, den Umfang, die Komplexität und den Risikogehalt der betriebenen Aktivitäten berücksichtigt.

Um die Anforderungen auch im Laufe der Zeit praxisgerecht zu halten, hat die BaFin zudem ein Fachgremium ins Leben gerufen, das sich aus Vertretern der Aufsicht und der Verbände, aus Institutsvertretern, Prüfern und Revisoren zusammensetzt und die Aufsicht bei der Weiterentwicklung der Anforderungen unterstützt.

Umfassendes Regelwerk

Schon vor der erstmaligen Veröffentlichung der MaRisk im Dezember 2005 hatte die BaFin mit den Mindestanforderungen an das Handelsgeschäft (MaH, 1995), den Mindestanforderungen an die Interne Revision (MaIR, 2000) und den Mindestanforderungen an das Kreditgeschäft (MaK, 2002) qualitative Vorgaben zum Risikomanagement der Banken geschaffen. Diese bezogen sich jedoch nur auf bestimmte Teilbereiche. So stellte die Aufsicht in den MaH und den MaK Anforderungen an die Ausgestaltung des internen Kontrollsystems im Handelsgeschäft bzw. im Kreditgeschäft auf. Die MaIR enthielten Anforderungen an die Ausgestaltung der Internen Revision.

Erst mit den MaRisk erfolgte die Konsolidierung der genannten Verlautbarungen zu einem umfassenden Rahmenwerk zum Risikomanagement. Die Überführung der „alten“ Mindestanforderungen in das neue Rahmenwerk nahm die Aufsicht zum Anlass, Redundanzen, Schnittstellenprobleme und Wertungswidersprüche zu beseitigen. Ferner wurden die auf diesem Wege modernisierten Anforderungen um weitere Elemente ergänzt, die zwar in einschlägigen internationalen Papieren behandelt wurden, für die es jedoch in Deutschland kaum oder gar keine Anforderungen gab (zum Beispiel Zinsänderungsrisiken im Anlagebuch). Zusammen mit der Überführung der Vorgaben aus Basel II bzw. der Bankenrichtlinie konnte die Aufsicht somit ein Gesamtregelwerk entwickeln, das erstmals – in konsistenter Weise – alle Kernelemente des Risikomanagements in Banken adressiert.

Ausgestaltung und Aufbau

Den Anforderungen der MaRisk liegt ein prinzipienorientierter Charakter zu Grunde, der dem Anwender einen Handlungsrahmen vorgibt, ihm jedoch weitgehende Freiheiten bei der praktischen Umsetzung lässt, soweit diese mit der gesetzlichen Zielsetzung der Angemessenheit und Wirksamkeit des Risikomanagements vereinbar sind. Der Vorteil dieser prinzipienbasierten gegenüber einer regelbasierten Ausgestaltung besteht darin, dass die Anforderungen individuell je nach Größe, der Art der betriebenen Geschäftsaktivitäten und der Risikostruktur des jeweiligen Instituts umgesetzt werden können.

Die MaRisk sind in einen Allgemeinen Teil (AT) und in einen Besonderen Teil (BT) gegliedert und modular aufgebaut. Der Allgemeine Teil enthält grundlegende Anforderungen, die keinen speziellen Bezug zu den im BT behandelten Geschäften und Risiken haben. Sie wurden insofern aufgrund ihres übergreifenden Charakters vor die Klammer gezogen und sind unabhängig von den betriebenen Geschäften und Risiken zu beachten. Der Besondere Teil beinhaltet zum einen Vorgaben zum Internen Kontrollsystem, die Anforderungen an die Aufbau- und Ablauforganisation im Kredit- und Handelsgeschäft sowie Anforderungen an die Risikosteuerungs- und Risikocontrolling-Prozesse. Zum anderen konkretisiert er die Anforderungen an die interne Revision.

Überarbeitungen

In den vergangenen Jahren wurden die MaRisk mehrfach überarbeitet und vor dem Hintergrund neuer internationaler Vorgaben aktualisiert. Bereits nach knapp zwei Jahren, am 30. Oktober 2007, wurde die erste MaRisk-Novelle veröffentlicht. Die Umsetzung der Finanzmarktrichtlinie vom 16. Juli 2007 hatte auch eine Änderung des § 25a KWG zur Folge. Insbesondere wurden die qualitativen Vorgaben an das Outsourcing grundlegend überarbeitet und in stärker prinzipienorientierter Ausgestaltung in die MaRisk überführt.

Die Finanz- und Wirtschaftskrise der Jahre 2008 und 2009, die unter anderem zum Zusammenbruch der Bank Lehman Brothers führte, hat die Bedeutung eines angemessenen und wirksamen Risikomanagements nochmals aufgezeigt. Die MaRisk enthielten zwar schon ein umfassendes und risikoartenübergreifendes Set an Anforderungen, doch die Folgen der Finanzkrise und die dadurch ausgelösten Regulierungsvorhaben auf internationaler Ebene sorgten dafür, dass die MaRisk 2009 in bestimmten Themenfeldern ergänzt und erweitert werden mussten. So wurden beispielsweise Vorgaben zu Risikokonzentrationen, zu Stresstests, zum Liquiditätsrisikomanagement und zum Risikomanagement auf Gruppenebene sowie zu den Vergütungssystemen, die mittlerweile in einer eigenen Verordnung (InstitutsVergV) adressiert werden, hinzugefügt.

Auch in den Folgejahren wurden immer wieder Regulierungsvorhaben angestoßen – sei es vom Baseler Ausschuss für Bankenaufsicht, sei es von der Vorgängerinstitution der Europäischen Bankenaufsichtsbehörde EBA, dem Committee of Banking Supervisors (CEBS). Diese zogen weitere Anpassungen der MaRisk nach sich. So wurde auch im Jahre 2010 eine Überarbeitung der MaRisk vorgenommen, um insbesondere solche Aspekte aufzugreifen, die von den oben genannten internationalen Institutionen als Schwachstellen im Risikomanagement der Institute in der Finanzkrise identifiziert worden waren. Vornehmlich ging es um die Einführung eines Strategieplanungsprozesses, die Schärfung der Anforderungen im Umgang mit – vor allem risikoartenübergreifenden – Risikokonzentrationen, zusätzliche Anforderungen an die Stresstestprogramme der Institute (zum Beispiel eine Ergänzung um inverse Stresstests) und um den Aufbau und die Zusammensetzung angemessener Liquiditätsreserven.

Bei all diesen Anpassungen hat die Aufsicht stets darauf geachtet, den prinzipienorientierten Aufbau der MaRisk auch im Lichte immer konkreter werdender internationaler Vorgaben soweit wie möglich zu erhalten.

Vierte Novelle in Vorbereitung

Die Finanz- und Wirtschaftskrise der vergangenen Jahre hat gezeigt, wie schnell die Finanzstabilität in Deutschland und Europa gefährdet sein kann, wenn Institute über kein robustes Risikomanagement verfügen, um existenzgefährdende Entwicklungen zeitnah zu erkennen und zügig darauf zu reagieren. Die MaRisk leisten dazu einen wichtigen Beitrag, denn sie geben den Instituten nicht nur einen Handlungsrahmen für die Ausgestaltung ihres Risikomanagements vor, sondern sie schärfen auch das Risikobewusstsein in den Instituten und machen transparent, wie in der Praxis eine gesetzeskonforme Ausgestaltung des Risikomanagements vorgenommen werden kann.

Weiterentwicklungen der MaRisk wird es auch in Zukunft geben: Im Herbst 2012 soll die vierte MaRisk-Novelle veröffentlicht werden, zu der bereits eine Konsultation stattgefunden hat. Erfahrungen aus der bankenaufsichtlichen Praxis, Arbeitsergebnisse der EBA und Anforderungen der EU-Bankenrichtline (CRD IV) sowie weiterer EBA-Guidelines werden in die neuen MaRisk einfließen, über die das BaFinJournal in einem gesonderten Beitrag informieren wird.