Über die Krise ist bereits Vieles gesagt und geschrieben worden: Was mit dem überhitzten US-Hypothekenmarkt als regionales Problem begann, potenzierte sich über den Verbriefungsmarkt zu einem globalen Problem, das schließlich die gesamte (reale) Weltwirtschaft erfasste. Die Ursachen sind vielfältig. Die Krise ist das Ergebnis einer Kette von Fehleinschätzungen, denen zunächst einmal Bankmanager, aber auch Rating-Agenturen, Politiker, Zentralbanken und Aufsichtsbehörden aufgesessen sind. Es ist der Entschlossenheit der internationalen Staatengemeinschaft zu verdanken, dass den Finanzmärkten nach der Insolvenz von Lehman Brothers im September 2008 der Kollaps erspart blieb.

Natürlich kann der Staat nicht permanent als Retter in der Not in die Bresche springen. Daher sind eine ganze Reihe von Initiativen in die Wege geleitet worden, die die Stabilität der Finanzmärkte verbessern sollen. Wesentlicher Treiber ist dabei das Financial Stability Board, das bis vor kurzem noch unter der Bezeichnung Financial Stability Forum firmierte. Dem Board gehören hochrangige Vertreter der G 20-Notenbanken, Aufsichtsbehörden und Finanzministerien sowie des Baseler Ausschusses für Bankenaufsicht, des IWF, der Weltbank und anderer internationaler Institutionen an. Das damalige FSF hat im April 2008 den nach seinem Vorsitzenden benannten "Draghi-Report" veröffentlicht, der 67 Empfehlungen enthält, zu deren Umsetzung sich auch Deutschland verpflichtet hat. Der Draghi-Report hat im Weiteren eine Reihe von "Anschlussarbeiten" ins Rollen gebracht, die auch auf EU-Ebene fieberhaft vorangetrieben werden. Im Fokus der Regulatoren stehen unterschiedliche Aspekte: So wird etwa eine engere Kooperation zwischen den Aufsichtsbehörden (Stichwort "Supervisory Colleges") oder die Beaufsichtigung von Rating-Agenturen angemahnt.

Einen Schwerpunkt bildet natürlich auch das Risikomanagement der Institute, bei dem erheblicher Verbesserungsbedarf gesehen wird. Im Draghi-Report werden in diesem Zusammenhang vor allem die Themen Vergütungssysteme, Stresstesting, Liquiditätsrisiko, Konzentrationsrisiko sowie das Management von "firm wide risks" und bilanzunwirksamen Geschäften betont.

Mindestanforderungen an das Risikomanagement

Die deutsche Aufsicht räumt der Qualität der bankinternen Risikomanagementstrukturen seit jeher einen hohen Stellenwert ein. So veröffentlichte das damalige Bundesaufsichtsamt für das Kreditwesen (BaKred) bereits 1975 als Reaktion auf die Herstatt-Krise Regelungen zu den bankinternen Kontrollmaßnahmen bei Devisengeschäften. Später folgten Anforderungen an das Handels- und Kreditgeschäft und die Ausgestaltung der Internen Revision. Die Umsetzung von Basel II nahm die deutsche Aufsicht schließlich zum Anlass, alle bereits existierenden Regelungen zu konsolidieren und um neue Regelungselemente zu ergänzen (Anforderungen an das Management von Zinsänderungsrisiken im Anlagebuch). Ergebnis sind die Mindestanforderungen an das Risikomanagement (MaRisk), die die BaFin im Dezember 2005 nach intensiven Diskussionen mit der Industrie veröffentlicht hat. Die MaRisk geben auf der Grundlage von § 25a Kreditwesengesetz (KWG) einen qualitativen Rahmen für die Ausgestaltung des bankinternen Risikomanagements vor, der sich auf alle wesentlichen Risiken erstreckt.

Angesichts der aktuellen internationalen  Regulierungsinitiativen kann die deutsche Aufsicht also bereits auf ein umfassendes Regelwerk zurückgreifen. Der Anpassungsbedarf bei den MaRisk hält sich entsprechend in Grenzen. Die notwendigen Änderungen berühren auch nicht die grundsätzliche Ausrichtung der Mindestanforderungen. Dem in § 25a KWG, aber auch in den MaRisk fest verankerten   Proportionalitätsgrundsatz wird auch künftig ein hoher Stellenwert eingeräumt. Das Rundschreiben enthält nach wie vor eine ganze Reihe von Öffnungsklauseln, die abhängig von der Größe der Institute, den Geschäftsschwerpunkten und der Risikosituation eine vereinfachte Umsetzung ermöglichen. Das ermöglicht auch den zahlreichen kleineren Institute in Deutschland, die auf regulatorische Spielräume angewiesen sind, eine flexible Umsetzung.

Ein erster Entwurf zur Anpassung der MaRisk an die neuen internationalen Vorgaben wurde im Februar dieses Jahres veröffentlicht und war im April Gegenstand der Diskussionen im MaRisk-Fachgremium, dem Experten aus Instituten, Prüfer, Verbandsvertreter und natürlich auch Bankenaufseher angehören. Am 24.06.2009 hat die BaFin einen zweiten offiziellen Entwurf veröffentlicht, zu dem bereits einige Verbände Stellung genommen haben. Im Anschluss an die Auswertung aller Stellungnahmen wird die BaFin zügig die Endfassung der MaRisk veröffentlichen.

Vergütungssysteme

Ein Highlight und wirklich neu in den geänderten MaRisk ist das Thema "Vergütung". Vergütungsfragen sind zunächst zwar Sache der Institute. Doch es lässt sich nicht von der Hand weisen, dass aggressive Vergütungssysteme – neben vielen anderen Faktoren – mit zur Krise beigetragen haben, indem sie falsche Anreize gesetzt haben. So hatten exorbitant hohe variable Vergütungsbestandteile zum Teil zur Folge, dass Banken sich unvertretbar hohe Risikopositionen aufgeladen haben. Dies sorgt in der Öffentlichkeit für großen Unmut und zwingt die Politik zum Handeln. Es ist daher nicht verwunderlich, dass dieses Thema auch von regulatorischer Seite aufgegriffen wurde. Verschiedene Gremien, wie das FSB und CEBS, der Ausschuss der europäischen Bankenaufseher (Committee of European Banking Supervisors), haben bereits "guidelines" zu Vergütungssystemen veröffentlicht. In Anlehnung an die CEBS-Guidelines plant die EU, Regelungen zur Vergütung demnächst auch in der CRD zu verankern.

Die BaFin hat die Diskussion im Fachgremium zum Anlass genommen, die Anforderungen zu den Vergütungssystemen stärker zu differenzieren: Der zweite Entwurf enthält daher zunächst "allgemeine Anforderungen", zum Beispiel die, dass die Vergütungssysteme kompatibel mit den Geschäfts- und Risikostrategien sein müssen. "Besondere Anforderungen" stellen die MaRisk hingegen nur an die variable Vergütung von Vorständen oder Mitarbeitern, die erhebliche Risikopositionen begründen können. Dabei geht es also um die (variable) Vergütung echter "risk taker" und nicht etwa um das dreizehnte Monatsgehalt eines Bankmitarbeiters. So soll beispielsweise die variable Vergütung auch künftige negative Entwicklungen berücksichtigen. Sollte sich also im Nachhinein herausstellen, dass ein Geschäftsabschluss unter Risikogesichtspunkten nicht vertretbar war, müssen die "risk taker" einen Teil oder sogar ihren gesamten Bonus zurückzahlen.

Wie bei nahezu allen Neuregelungen werden auch die Anforderungen zur Vergütung in der praktischen Anwendung eine Reihe von Fragen aufwerfen. Die BaFin plant daher, dass sich das Fachgremium nach Veröffentlichung der Endfassung nochmals intensiv mit dem Thema auseinandersetzt. Gemeinsam mit Vergütungsexperten könnte man über praktische Umsetzungsbeispiele diskutieren, um den Instituten, den Prüfern, aber auch den Aufsehern die Anwendung der neuen Regelungen zu erleichtern.

Risikokonzentrationen

Gegenstand intensiver Diskussionen im Fachgremium war auch das Thema "Risikokonzentrationen". Die Frage, ob es sich bei Risiken aus Konzentrationen um eine eigenständige Risikoart handelt ("Konzentrationsrisiken") oder ob sie von anderen Risikoarten abgeleitet sind ("Risikokonzentrationen"), ist allerdings eher theoretischer Natur. Die BaFin hat sich letztendlich aus systematischen Gründen dazu entschlossen, das im Februar-Entwurf noch vorgesehene separate Modul für Konzentrationsrisiken wieder aufzulösen und die Anforderungen in andere Module zu überführen. Dies hat jedoch grundsätzlich keine materiellen Auswirkungen. Mit den neuen Anforderungen zu Risikokonzentrationen will die BaFin vor allem erreichen, dass die Institute Verlustgefahren, die aus Konzentrationen resultieren, auf angemessene Weise in ihr Risikomanagement einbeziehen. Dabei sollten auch Ertragskonzentrationen angemessen berücksichtigt werden, denn die Finanzmarktkrise hat unter anderem deutlich gemacht, dass Institute, die stark abhängig von bestimmten Ertragsquellen sind, tendenziell anfälliger gegenüber (Markt-) Veränderungen sind. Der Schwerpunkt der Neuregelungen liegt bei Adressen- und Sektorkonzentrationen und bei regionalen Konzentrationen im Kreditgeschäft. Derartige Risikokonzentrationen sind mit Hilfe geeigneter Verfahren zu steuern und zu überwachen. Dabei können Banken zum Beispiel auf "harte" Limite wie etwa Branchenlimite, aber auch auf so genannte "Ampelsysteme" oder sonstige Vorkehrungen zurückgreifen.

Auch für Institute mit regionaler Ausrichtung und für spezialisierte Institute haben die Regelungen zur Konsequenz, dass sie sich entsprechend intensiv mit ihren jeweiligen "Klumpen" auseinandersetzen müssen, was sie allerdings schon aus Eigeninteresse tun sollten. Die BaFin hat allerdings im Anschreiben zum zweiten Entwurf vom 24.06.2009 nochmals herausgestellt, dass sie Konzentrationen nicht per se abstrafen will. Auch von einem "Zwang zur Diversifizierung" kann nicht die Rede sein. Schließlich können über Spezialisierung oder regionale Schwerpunktbildungen regelmäßig auch Know-how-Effekte gewonnen werden, die dazu beitragen können, dass Portfolien trotz hoher Konzentrationen eine gute Qualität mit geringen Ausfallquoten aufweisen.

Management von Liquiditätsrisiken

Mit der Finanzmarktkrise ist auch das Thema Liquidität schlagartig in den Mittelpunkt der Diskussionen gerückt. Bis dahin vorherrschende Thesen, nach denen die Liquidität nur das Spiegelbild der Bonität ist und somit immer der Bonität folgt, können eben nur unter den Bedingungen funktionierender Geld- und Kapitalmärkte Geltung beanspruchen. Auf diesen Märkten war es jedoch vor allem nach der Insolvenz von Lehman Brothers zu tief greifenden Störungen gekommen, so dass – je nach Refinanzierungsmodell – sogar Marktteilnehmer mit guten externen Ratings in Schwierigkeiten gerieten.

Der Baseler Ausschuss für Bankenaufsicht hat zum Thema Liquiditätsrisikomanagement eine ganze Reihe neuer Regelungen veröffentlicht, die über EU-Richtlinien Eingang in deutsches Recht finden werden. Ein Blick in den Entwurf zur CRD-Änderungsrichtlinie macht deutlich, dass die EU vorhat aufzurüsten. Aus den vormals zwei Textziffern im Annex V zu Art. 22 der CRD sind zehn geworden, was sich auch in dem entsprechenden MaRisk-Modul niederschlägt. So müssen die Institute künftig beispielsweise gewährleisten, dass ein sich abzeichnender Liquiditätsengpass frühzeitig erkannt wird (Frühwarnverfahren).

Kapitalmarktorientierte Institute haben darüber hinaus sehr anspruchsvolle Stresstests durchzuführen. Die BaFin hat jedoch diverse Öffnungsklauseln eingebaut, die den Instituten die Umsetzung erleichtern sollten. Bestimmte Anforderungen – wie etwa die erwähnten anspruchsvollen Stresstests – sollen zudem nur für kapitalmarktorientierte Institute gelten.

Einbindung des Aufsichtsorgans

Um die Governance-Strukturen der Institute zu stärken, hat die BaFin die bereits bestehenden Pflichten der Geschäftsleitung gegenüber dem Aufsichtsorgan, also dem Aufsichtsrat oder Verwaltungsrat, ausgebaut. Geschäftsleiter sind schon jetzt dazu verpflichtet, ihre Strategien mit dem Aufsichtsorgan zu erörtern und dieses vierteljährlich (schriftlich) über die Risikosituation des Instituts zu unterrichten. Künftig werden Geschäftsleiter dem Aufsichtsorgan auch ein direktes Auskunftsrecht gegenüber der internen Revision einräumen müssen, damit es seine Überwachungsfunktion noch besser ausüben kann. Die Revision bietet sich als Ansprechpartner des Aufsichtsorgans an, da beide das gesamte Institut im Blick haben. Das Deutsche Institut für Interne Revision begrüßt die Neuregelung ausdrücklich. Es sieht in der Neuregelung eine "wirkungsvolle Stärkung der Unternehmensüberwachung und der Funktion der Internen Revision."

Bankenvertreter hatten hierzu im Fachgremium Vorbehalte geäußert, welche die BaFin berücksichtigt hat. So bestand etwa die Sorge, dass die Revision im Spannungsfeld zwischen Vorstand und Aufsichtsorgan aufgerieben werden könne. Außerdem wurde die Befürchtung geäußert, die Revision wäre möglicherweise damit überfordert, wenn sich alle möglichen Mitglieder des Aufsichtsorgans beliebig an sie wendeten. Um solchen Entwicklungen entgegenzuwirken, hat die BaFin einige Korrekturen vorgenommen.
So soll beispielsweise die Kommunikation kanalisiert werden, indem der Vorsitzende des Aufsichtsorgans mit dem Leiter der Innenrevision sprechen soll. Außerdem ist die Geschäftsleitung über Auskunftsersuchen des Aufsichtsorgans an die Innenrevision zu informieren.

Risikomanagement auf Gruppenebene

In einer Welt, die zunehmend von Finanzkonzernen dominiert wird, kommt auch dem gruppenweiten Risikomanagementsystem eine immer größere Bedeutung zu. Die BaFin hat dies berücksichtigt, indem sie die gruppenbezogenen Anforderungen des Gesetzgebers (§ 25a Abs. 1a KWG) durch das neue Modul AT 4.5 der MaRisk präzisiert. Die Aufsicht wird künftig auf Gruppenebene Strategien, Risikotragfähigkeitsbetrachtungen, prozessuale Vorgaben (etwa abgestimmte Kommunikationswege), Risikosteuerungs- und -controllingprozesse und eine "Konzernrevision" verlangen, die das jeweils übergeordnete Unternehmen (in Abstimmung mit den nachgeordneten Instituten) einzurichten hat. Wie das Risikomanagement auf Gruppenebene zu gestalten ist, hängt von Art, Umfang, Komplexität und Risikogehalt der von der Gruppe betriebenen Geschäfte sowie den "gesellschaftsrechtlichen Möglichkeiten" ab. Mit dem Verweis auf die "gesellschaftsrechtlichen Möglichkeiten" tragen die MaRisk dem Umstand Rechnung, dass der direkte Durchgriff von "oben nach unten" durch einschlägiges Gesellschaftsrecht (vor allem § 76 AktG) eingeschränkt werden kann.

Die "Reichweite" des gruppenweiten Risikomanagements soll sich auf alle "wesentlichen Risiken" der Gruppe erstrecken, unabhängig davon, ob sie von  konsolidierungspflichtigen Unternehmen verursacht werden oder nicht. Soweit sie unter Risikogesichtspunkten von wesentlicher Bedeutung sind, wären demnach auch Industrieunternehmen, aber auch Zweckgesellschaften, die ja durch die Finanzkrise eine gewisse Prominenz erlangt haben, in das Gruppenrisikomanagement einzubeziehen.

Die Bundeskanzlerin hatte angesichts der Finanzmarktkrise bereits im vergangenen Jahr angekündigt, die Eingriffsbefugnisse der Bankenaufsicht zu stärken. Im März dieses Jahres hat die Bundesregierung einen Entwurf für ein "Gesetz zur Stärkung der Finanzmarkt- und Versicherungsaufsicht" vorgelegt, der in diese Richtung geht. Mittlerweile hat ihn der Deutsche Bundestag verabschiedet. Die neuen Regelungen berühren – zumindest mittelbar – auch die MaRisk. Beispielsweise ist vorgesehen, dass die BaFin Kapitalaufschläge verlangen kann, wenn bei einem Institut die Risikotragfähigkeit nicht mehr gegeben ist (§ 10 Abs. 1b Nr. 2 KWG-E). Stellt die BaFin organisatorische Mängel bei einem Institut fest, kann sie ferner deutlich einfacher als bisher gegen Institute vorgehen – auch mit Maßnahmen, die deren Geschäft beschränken (Novellierung von § 45b KWG). Durch die Neuregelungen wird insoweit das Maßnahmeninstrumentarium der BaFin nicht unerheblich ausgeweitet, wenn Institute gegen § 25a KWG verstoßen. Selbstverständlich sind dabei übergeordnete Verwaltungsgrundsätze, wie etwa der Grundsatz der Verhältnismäßigkeit, zu berücksichtigen.

Ausblick

Die neuen Anforderungen der MaRisk leisten einen wichtigen Beitrag zur Stärkung der  Finanzstabilität. Die Institute sind gefordert, die MaRisk unter Berücksichtigung des in § 25a KWG fest verankerten Proportionalitätsgrundsatzes auf sachgerechte Weise umzusetzen. Nicht umsonst fordert der Gesetzgeber in § 25a KWG von den Banken, ein wirksames Risikomanagement einzurichten. Betriebswirtschaftliches Kalkül und regulatorische Notwendigkeiten müssen dabei keinen unüberbrückbaren Gegensatz darstellen. Sie können sich vielmehr sinnvoll ergänzen. So hat etwa das Deutsche Institut für Wirtschaftsforschung in seiner viel beachteten Studie zur "Evaluierung der Bankenaufsicht" festgestellt, dass rund drei Viertel aller deutschen Institute in der qualitativen Bankenaufsicht eine Chance zur "marktgerechten Gestaltung der Geschäftsabläufe" sehen.


Autor: Andreas Schneider ist Referent in der Grundsatzabteilung der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und hat wesentlich an der Entwicklung der MaRisk mitgewirkt.










[Bildquelle oben: iStockPhoto, Text: BaFinJournal, Ausgabe Juli 2009]