Mindestanforderungen an das Risikomanagement (MaRisk) - RiskNET

Ein zentraler Bestandteil der Neuen Baseler Eigenkapitalvereinbarung (Basel II) ist die qualitative Ausrichtung der Bankenaufsicht. Die zweite Säule des Regelwerkes ("Aufsichtsrechtliches Überprüfungsverfahren" auch Supervisory Review Process genannt), fokussiert sich dabei im Wesentlichen auf die qualitative Überprüfung des Risikomanagements durch die Aufsicht. Hierbei geht es vor allem um eine adäquate Umsetzung der "Sound Practices", das heißt einer adäquaten Aufbau- und Ablauforganisation hinsichtlich Corporate Governance und Risikomanagement, der Definition von klaren Verantwortlichkeiten sowie ein angemessenes Management von operationellen Risiken.

Einen ganz wesentlichen Kern dieser qualitativen Dimension werden zukünftig die "Mindestanforderungen an das Risikomanagement" (MaRisk) darstellen. Ein Schwerpunkt des aufsichtlichen Überprüfungsverfahrens ist der so genannte "Internal Capital Adequacy Assessment Process" (ICAAP). Danach ist von den Unternehmen sicherzustellen, dass entsprechend dem individuellen Risiko-Profil genügend "internes Kapital" zur Abdeckung aller relevanten Risiken vorhanden ist. Voraussetzung für die Ermittlung eines angemessenen Risiko-Kapitals ist eine "ganzheitliche Risiko-Betrachtung" sowie adäquate Leitungs-, Steuerungs- und Kontrollprozesse ("robust governance arrangements"). Hierbei wird vor allem auf das Konzept der Risiko-Tragfähigkeit abgestellt. Diese ist dann gegeben, wenn die Risiken durch das Risiko-Deckungspotenzial (= "internes Kapital") abgedeckt sind.

Die Risiko-Tragfähigkeit ist des Weiteren mit den Prozessen zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken verknüpft. Aus der Perspektive der Aufsichts ist es demnach vor allem die Qualität der internen Governance-Strukturen, die verstärkt in den Fokus rückt. Insoweit wird von dem aufsichtlichen Überprüfungsverfahren auch ein starker Impuls in Richtung der qualitativen Banken- und Versicherungsaufsicht ausgehen.

Basierend auf bewährten Konzepten

Beim Aufbau der MaRisk greift die Aufsicht auf das bereits aus der Vergangenheit bewährte Konzept der Mindestanforderungen zurück. So sollen etwa die MaK (Mindestanforderungen an das Kreditgeschäft) ein frühzeitiges Erkennen und Steuern von Kreditrisiken ermöglichen. In diesem Kontext werden die MaK durch die MaH (Mindestanforderungen an das Betreiben der Handelsgeschäfte der Kreditinstitute) sowie die MaIR (Mindestanforderungen an die Ausgestaltung der Innenrevision der Kreditinstitute) ergänzt und bilden das Grundkonzept der in § 25a Abs. 1 KWG aufgestellten aufsichtsrechtlichen Grundkonzeption. Damit basiert die Umsetzung von Basel II auf der deutschen Regulierungspyramide (vgl. Abb.). Die oberste Ebene ist durch das Kreditwesengesetz (KWG) geprägt. Auf der darunter liegenden Verordnungsebene steht vor allem die Neuordnung der Solvabilitätsverordnung, die vor allem die Risiko-Messverfahren der ersten Baseler Säule enthalten. Auf der untersten Ebene werden die MaRisk angesiedelt sein.

In die MaRisk werden die bestehenden MaH, MaK und MaIR sowie weitere qualitative Anforderungen (vgl. etwa das Outsourcing-Rundschreiben der BaFin) inhaltlich im Wesentlichen unverändert integriert. Eine solche Integration bietet vor allem den Vorteil, gewisse Wertungswidersprüche und Ungereimtheiten der bestehenden Mindestanforderungen zu beseitigen, die vor allem auf den unterschiedlichen Inkraftsetzungszeitpunkten der Regelungen beruhen. Ergänzt werden die MaRisk durch weitere Elemente, für die es bislang in Deutschland noch keine Rahmenvorgaben gab (etwa im Bereich der Operationellen Risiken sowie des Zinsänderungsrisikos). Einen großen Vorteil bieten die MaRisk sicherlich primär dadurch, dass alle betroffenen Gruppen – etwa Institute, Prüfer, Aufsicht, Verbände – auf einem einheitlichen Regelwerk aufsetzen und Schnittstellenprobleme reduziert sowie Redundanzen ausgeräumt werden.

Die BaFin weist in diesem Zusammenhang ausdrücklich darauf hin, dass es sich bei den MaRisk um flexible Rahmenbedingungen handeln wird, die abhängig von der Größe der Institute, deren Geschäftsschwerpunkten und deren Risiko-Situation eine angemessene Umsetzung der Anforderungen ermöglichen werden. Kleinere Institute müssen daher nicht befürchten, dass ihnen mit den MaRisk das Korsett einer deutschen Großbank übergestülpt wird. Des Weiteren weist die Aufsicht darauf hin, dass die MaRisk in enger Kooperation mit der Praxis entwickelt werden.

Terminologie und Aufbau der MaRisk

In ihrer Terminologie orientieren sich die MaRisk weitestgehend am § 25a Abs. 1 KWG. Das Risikomanagement im Sinne der MaRisk ist elementarer Bestandteil der institutsinternen Leitungs-, Steuerungs- und Kontrollprozesse. Basierend auf der individuellen Risiko-Tragfähigkeit umfassen diese als Teil einer ordnungsgemäßen Geschäftsorganisation insbesondere eine angemessene Strategie sowie die Einrichtung angemessener interner Kontrollverfahren, die aus einem internen Kontrollsystem und der Internen Revision bestehen. Zum interenen Kontrollsystem zählen insbesondere prozessabhängige Überwachungsmechanismen, welche die Aufbau- und Ablauforganisation eines Instituts betreffen und die Prozesse zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken (Risiko-Steuerungs- und -Controllingprozesse) sicherstellen. Die Interne Revision ist als prozessunabhängige Stelle im Auftrag der Geschäftsleitung für die Überprüfung und Beurteilung der Funktionsfähigkeit des internen Kontrollsystems zuständig.

Der Aufbau der MaRisk folgt einer modularen Struktur. Grundlegende Anforderungen, die keinen unmittelbaren spezifischen Bezug auf bestimmte Geschäftsarten oder Risiko-Kategorien nehmen, sind in einem allgemeinen Teil (AT) definiert. In diesem Kontext werden Anforderungen hinsichtlich Risiko-Tragfähigkeit, Strategie, internes Kontrollsystem und Interne Revision geregelt. In einem besonderen Teil (BT) werden die spezifischen Anforderungen an die Aufbau- und Ablauforganisation im Kredit- und Handelsgeschäft, die Prozesse zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation bestimmter Risiken sowie die Interne Revision beschrieben.

Mit dem modularen Aufbau verfolgt die BaFin unter anderem das Ziel, einen hohen Wiedererkennungswert im Kontext der MaK zu gewährleisten. So sind etwa die Anforderungen aus den Abschnitten 4 (Organisation des Kreditgeschäfts) und 6 der MaK (Identifizierung, Steuerung und Überwachung im Kreditgeschäft) weitgehend deckungsgleich in die MaRisk integriert worden. Des Weiteren bietet die modulare Struktur den Vorteil, dass sich Anpassungen der Anforderungen an neue Entwicklungen in der Praxis durch die zeitnahe Überarbeitung einzelner Module einfacher umsetzen lassen.

Die finale Version der MaRisk (Stand: 20.12.2005) finden Sie hier: