Im Rahmen der Konsultation wird sich auch das Fachgremium MaRisk mit dem Entwurf befassen und diesen weiterentwickeln. Dem Gremium gehören Experten aus kleineren und größeren Instituten, Wirtschaftsprüfer, Verbandsvertreter und Aufseher an.

Der vorliegende Beitrag gibt einen Überblick über die Schwerpunkte der Überarbeitung. Mit der Veröffentlichung der neuen MaRisk ist noch im Sommer 2016 zu rechnen.

Schwerpunkte

Prominentester Treiber für die mittlerweile fünfte MaRisk-Novelle¹⁾ sind zweifellos die vom Basler Ausschuss für Bankenaufsicht BCBS veröffentlichten Prinzipien zur Risikodatenaggregation und zur Risikoberichterstattung, deren Inhalte es in die nationale Aufsichtspraxis zu überführen gilt.

Auch die Diskussionen um die Notwendigkeit der Implementierung und Förderung einer angemessenen Risikokultur haben ihren Niederschlag in einigen internationalen Papieren gefunden, an denen sich die Aufsicht bei der Überarbeitung der MaRisk orientiert hat. Der Leitfaden des Finanzstabilitätsrats FSB zum Zusammenspiel von Aufsicht und Banken bei der Risikokultur aus dem Jahr 2014 sei hier stellvertretend genannt. Dieses Thema findet sich auch in den Erwägungsgründen der europäischen Eigenmittelrichtlinie (Capital Requirements Directive IV – CRD IV).

Darüber hinaus sind in den MaRisk-Entwurf Erfahrungen aus der Aufsichtspraxis eingeflossen, die sich besonders bei den Anforderungen an Auslagerungen im MaRisk-Modul AT 9 bemerkbar machen. Hier sah sich die Aufsicht in letzter Zeit mit einer Reihe von Zweifelsfragen konfrontiert, die sie nun zum Anlass genommen hat, einige grundlegende Aspekte im Zusammenhang mit Auslagerungen klarer herauszuarbeiten. Dies betrifft vor allem Fragen zu den Grenzen von Auslagerungen und zur Überwachung und Steuerung der ausgelagerten Aktivitäten und Prozesse.

Daneben enthält der Entwurf weitere Änderungen, die unterschiedlichste Bereiche der MaRisk betreffen, zum Beispiel Validierung, Sicherheitenbewertung und Forbearance²⁾. Zum Teil entspringen sie auch einer geänderten Rechtslage, etwa die Vorgaben an die Berichterstattung der Internen Revision oder an Stresstests für das Gesamtrisikoprofil. Diese Ergänzungen und Klarstellungen sollen hier jedoch nicht weiter beleuchtet werden.

Risikodatenaggregation und Risikoberichterstattung

Der Basler Ausschuss für Bankenaufsicht hat sich mit seinen Prinzipien zur Risikodatenaggregation und -berichterstattung zum Ziel gesetzt, die IT-Infrastruktur der großen, insbesondere systemrelevanten Institute dahingehend zu verbessern, dass deren Risikopositionen umfassend, genau und zeitnah aggregiert werden können und diese Informationen unmittelbar für das Berichtswesen der Bank zur Verfügung stehen. Um die Fehleranfälligkeit der Aggregation zu minimieren, sind manuelle Eingriffe auf das Nötigste zu reduzieren und die Zusammenstellung der Risikodaten idealerweise so weit wie möglich zu automatisieren.

Hintergrund der Anforderungen ist insbesondere, dass einige Institute während der Finanzkrise ihre Gesamtexposures gegenüber einzelnen Marktteilnehmern, in bestimmten Produkten oder in bestimmten Ländern oft nur unter erheblichem Zeitaufwand zusammenstellen konnten und diese Informationen nur ungenügend qualitätsgesichert waren. Aufgrund dieses Mangels an aktuellen und belastbaren Risikoinformationen waren Institute bisweilen nicht in der Lage, schnell genug auf Krisenentwicklungen zu reagieren. Die Anforderungen des BCBS sollen diese Mängel im bankinternen Berichtswesen beseitigen.

Die Umsetzung der Prinzipien erfolgt in den MaRisk zweigeteilt: Jene Anforderungen, die sich mit der Datenarchitektur und der IT-Infrastruktur beschäftigen, werden im neuen Modul AT 4.3.4 (Datenmanagement, Datenqualität und Aggregation von Risikodaten) verortet. Die neuen Anforderungen gelten – entsprechend der Zielrichtung des Basler Ausschusses – nur für große und komplexe Institute. Jene Anforderungen, die sich mit der Risikoberichterstattung in den Instituten auseinandersetzen – und die im BCBS-Papier allgemein, also prinzipienorientiert formuliert sind –, werden im neuen Modul BT 3 gebündelt und mit den bereits existierenden Anforderungen an die Risikoberichterstattung zusammengefasst. Dieses Modul richtet sich an alle Institute. Die Umsetzung hat proportional zu erfolgen, also die Größe des Instituts sowie Art, Umfang, Komplexität und Risikogehalts seiner Geschäfte zu berücksichtigen. Zwar werden die aktuellen Meldeturnusse der Risikoberichte grundsätzlich beibehalten. Bei großen, komplexen Instituten wird die Aufsicht Produktionszeiten von mehreren Wochen für diese Berichte allerdings nicht mehr akzeptieren.

Risikokultur

Laut Erwägungsgrund 54 der europäischen Eigenmittelrichtlinie CRD IV sollen Institute „Grundsätze und Standards einführen, die eine wirksame Kontrolle von Risiken durch die Leitungsorgane gewährleisten. Diese Grundsätze sollen, als Teil eines wirksamen Risikomanagements, eine solide Risikokultur auf allen Unternehmensebenen fördern”. Die Risikokultur ist damit stärker in den aufsichtlichen Fokus gerückt.

Mit der Entwicklung, Implementierung und Förderung einer angemessenen Risikokultur, wie sie die zukünftigen MaRisk in Modul AT 3 fordern werden, soll die bewusste Auseinandersetzung mit Risiken im täglichen Geschäft fest in der Unternehmenskultur der Institute verankert und sowohl bei der Geschäftsleitung als auch bei den Mitarbeitern auf den verschiedenen Ebenen des Instituts ein Risikobewusstsein geschaffen werden, das das tägliche Denken und Handeln prägt. Dieses allgemeine Ziel verfolgen zwar auch einige der schon existierenden Anforderungen der MaRisk; eine angemessene Risikokultur umfasst aber eindeutig mehr als die Kommunikation von Risikotoleranzen, die Entwicklung eines Limitsystems, mittels dessen Risiken begrenzt werden, und die Überwachung der Einhaltung dieser Limits. Vielmehr geht es auch um die Förderung eines kritischen Dialogs innerhalb des Instituts – nicht nur auf den Führungsebenen –, der die frühzeitige Identifizierung von Risiken ermöglicht. Vor allem aber müssen die Institute ein Wertesystem einrichten, dem sich alle Mitarbeiter verpflichtet sehen. Wie die Institute zu diesem Ziel gelangen, bleibt ihnen selbst überlassen; wesentlich wird sein, die Mitarbeiter zu motivieren und zu überzeugen, sich entsprechend des Wertesystems ethisch und ökonomisch wünschenswert zu verhalten. Natürlich können Anreizsysteme – nicht nur monetärer Art – hier unterstützend wirken. Letztendlich sollte es aber nicht nur von der “klingenden Münze” abhängen, ob sich Mitarbeiter im Sinne des definierten Wertesystems verantwortungsvoll verhalten.

Darüber hinaus wird Modul AT 5 die Aufstellung eines Verhaltenskodexes verlangen. Dieser soll nicht nur der Entwicklung des besagten Wertesystems dienen, sondern auch klarstellen, welche Geschäfte und Risiken überhaupt eingegangen werden sollen.

Auslagerungen

In den vergangenen Jahren gab es immer wieder Fragen zum Umfang und zur Anwendung bestimmter Anforderungen an Auslagerungen. Die BaFin hat dies zum Anlass genommen, die geltende Verwaltungspraxis im Modul AT 9 klarer als bisher zu formulieren. Ergänzt wurden insbesondere die Ausführungen zum Fremdbezug – das betrifft etwa den Erwerb von Software – sowie zur rechtlichen Ausgestaltung bestimmter Sachverhalte. Die MaRisk stellen künftig klar, dass der Auslagerungstatbestand unabhängig von der zivilrechtlichen Ausgestaltung zu beurteilen ist. Auch die Grenzen der Auslagerung sind deutlicher definiert als bisher. Derzeit dürfen die Institute Geschäftstätigkeiten dann auslagern, wenn die Ordnungsmäßigkeit der Geschäftsorganisation dadurch nicht beeinträchtigt wird. Künftig wird die Zulässigkeit einer Auslagerung in Kernbank- und in wichtigen Kontrollbereichen – zu letzteren zählen das Risikocontrolling, die Compliance-Funktion und die Interne Revision – davon abhängen, ob das Institut in diesen Bereichen weiterhin fundierte Kenntnisse und Erfahrungen vorhält. Diese müssen es ermöglichen, die ausgelagerten Aktivitäten und Prozesse effektiv zu steuern und zu gewährleisten, dass der Betrieb auch bei Beendigung des Auslagerungsverhältnisses ordnungsgemäß abläuft.

Für die besagten Kontrollbereiche enthält der MaRisk-Entwurf eine neue Regelung: Die Risikocontrolling-Funktion wird künftig generell nicht mehr vollständig auslagerbar sein. Eine Vollauslagerung der Compliance-Funktion oder der Internen Revision kommt nur noch bei kleinen Instituten mit begrenzten Personalressourcen infrage. Aufgrund ihrer Bedeutung für die Unternehmenssteuerung sollen diese Kontrollbereiche dem direktem Zugriff des Instituts fortan grundsätzlich nicht mehr vollständig entzogen werden. Teilauslagerungen werden aber in allen drei Bereichen auch weiterhin möglich sein. Gerade kleine, teilweise aber auch größere Institute müssen die Möglichkeit haben, in bestimmten Feldern spezielle Expertise von außen heranzuziehen, wenn sie selbst sie nur unter unverhältnismäßig großem Aufwand vorhalten könnten.

Darüber hinaus werden die MaRisk die Institute künftig verpflichten, ein zentrales Auslagerungsmanagement einzurichten. Dieses soll eine möglichst einheitliche und konsistente Überwachung der ausgelagerten Aktivitäten und Prozesse gewährleisten. Gerade bei größeren Instituten mit umfangreichen Auslagerungen sieht die Aufsicht hier Nachholbedarf, da es für sie besonders wichtig ist, einen Überblick über die ausgelagerten Aktivitäten und Prozesse und die damit verbundenen Risiken zu erhalten. Eine ganze Reihe von Instituten hat bereits ein solches zentrales Auslagerungsmanagement implementiert.

Fußnoten: