Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) konkretisiert und erweitert ihre Mindestanforderungen an das Risikomanagement von Kredit- und Finanzdienstleistungsinstituten (MaRisk). Am 14. August 2009 wurde die Neufassung der MaRisk veröffentlicht.
Durch die Neufassung der MaRisk werden vor allem die aufsichtlichen Anforderungen zum Stresstesting, zum Liquiditätsrisiko und zu Risikokonzentrationen geschärft und ausgebaut. So müssen alle Institute künftig auf der Basis der jeweiligen identifizierten Risikofaktoren Stresstests für ihre wesentlichen Risiken durchführen. Dabei sind vor allem auch Risikokonzentrationen zu berücksichtigen. Banken müssen zudem ihre Liquiditätsrisiken so steuern und überwachen, dass sie Liquiditätsengpässe, die sich anbahnen, frühzeitig erkennen. Verlustgefahren, die aus Risikokonzentrationen resultieren, müssen die Institute angemessen in das Risikomanagement einbeziehen. Höhere Anforderungen stellt die Aufsicht künftig auch an das gruppenweite Risikomanagement. Sie verlangt nun auch explizit, dass eine Strategie für die gesamte Gruppe entwickelt wird. Zudem müssen Institute nicht mehr nur auf Einzelinstitutsbasis ihre Risikotragfähigkeit gewährleisten, sondern dies für die Gruppe als Ganzes tun.
Auch dem Zusammenspiel von Vorstand und Aufsichtsrat räumt die Aufsicht nun ein größeres Gewicht ein. So müssen Geschäftsleiter dem Aufsichts- oder Verwaltungsrat künftig auch ein direktes Auskunftsrecht gegenüber der internen Revision einräumen, damit das Aufsichtsorgan seine Überwachungsfunktion besser ausüben kann.
Konkrete Anforderungen an Vergütungssysteme
Die neuen MaRisk enthalten zudem deutlich konkretere Anforderungen an die Vergütungssysteme der Banken. Aggressive Vergütungssysteme haben – neben vielen anderen Faktoren – mit zur Finanzkrise beigetragen, indem sie falsche Anreize gesetzt haben. Vergütungen wurden meist auf der Basis kurzfristiger Erfolge bemessen, was Banker dazu anspornte, unvertretbar hohe Risiken einzugehen. Künftig dürfen kurzfristige Renditen bei den variablen Bestandteilen der Vergütung von Geschäftsleitern und von Mitarbeitern, die hohe Risikopositionen begründen können, keine Rolle mehr spielen. Institute müssen sich bei der variablen Vergütung solcher Personen am Erfolg der Organisationseinheit und am Gesamterfolg des Instituts orientieren. Das Wohl des Mitarbeiters wird so an das Wohl des Instituts gebunden. Sollte sich im Nachhinein herausstellen, dass ein Geschäftsabschluss unter Risikogesichtspunkten nicht vertretbar ist, müssen die Verantwortlichen einen Teil oder sogar ihren gesamten Bonus zurückzahlen.
Mit der neuen Fassung der MaRisk trägt die BaFin den Erkenntnissen aus der Finanzmarktkrise Rechnung. Die neuen MaRisk setzen zum Beispiel die Empfehlungen des Draghi-Reports um, welche das Financial Stability Forum – jetzt Financial Stability Board – an die G 20-Staaten gerichtet hatte. Die BaFin hat in den neuen MaRisk außerdem schon jetzt Richtlinienvorgaben zum Risikomanagement berücksichtigt, die gegenwärtig auf EU-Ebene entworfen werden oder geplant sind und schwerpunktmäßig auf den Empfehlungen des Draghi-Reports aufbauen.
Umsetzung der MaRisk bis zum 31.12.2009
Umsetzen müssen die Kredit- und Finanzdienstleistungsinstitute die neuen MaRisk grundsätzlich bis zum 31.12.2009. Sabine Lautenschläger, Exekutivdirektorin der Bankenaufsicht der BaFin, appelliert an die deutschen Institute: "Die Krise hat deutlich gemacht, dass es für jedes Institut von herausragender Bedeutung ist, ein funktionsfähiges Risikomanagement zu haben. Ich erwarte daher, dass die Institute die Umsetzungsarbeiten mit entsprechendem Nachdruck betreiben."
Da die neuen Anforderungen Institute, Prüfer und Aufseher in der Praxis vor große Herausforderung stellen werden, wird die BaFin künftig im Fachgremium MaRisk mit der Industrie über Umsetzungsbeispiele diskutieren, die sich aus der Praxis ergeben. Den offenen – auf Prinzipien basierenden – Charakter der MaRisk hat die BaFin beibehalten: Nach wie vor lassen die MaRisk den Instituten breite Spielräume für eine maßgeschneiderte Umsetzung. Auf komplexe Detailregelungen und Festschreibungen hat die Aufsicht bewusst verzichtet. Damit ermöglicht sie auch den zahlreichen kleineren Instituten in Deutschland, die Anforderungen umzusetzen. Die BaFin überprüft die Einhaltung der MaRisk im Rahmen einer risikoorientierten Routine sowie anlassbezogen.
Die MaRisk gelten seit 2005. Im Jahr 2007 sind sie erstmals geändert worden. Wie die beiden ersten Fassungen hat die BaFin auch die nun veröffentlichte Fassung der MaRisk gemeinsam mit der Deutschen Bundesbank und in enger Kooperation mit der Industrie entwickelt.
Banken müssen ihr Geschäft verstehen
Eine wesentliche Änderung ist im allgemeinen Teil AT 8 (Aktivitäten in neuen Produkten oder auf neuen Märkten) zu finden: "Jedes Institut muss die von ihm betriebenen Geschäftsaktivitäten verstehen." Für die Aufnahme von Geschäftsaktivitäten in neuen Produkten oder auf neuen Märkten (einschließlich neuer Vertriebswege) ist vorab ein Konzept auszuarbeiten. Grundlage des Konzeptes muss das Ergebnis der Analyse des Risikogehalts dieser neuen Geschäftsaktivitäten sein. In dem Konzept sind die sich daraus ergebenden wesentlichen Konsequenzen für das Management der Risiken darzustellen.
"Verstehen" ist allerdings nicht mit "Risiken messen" gleichzusetzen, denn in AT 4 (Allgemeine Anforderungen an das Risikomanagement) steht in 4.1: "Verfügt ein Institut über keine geeigneten Verfahren zur Quantifizierung einzelner Risiken, die in das Risikotragfähigkeitskonzept einbezogen werden sollen, so ist für diese auf der Basis einer Plausibilisierung ein Risikobetrag festzulegen. Die Plausibilisierung kann auf der Basis einer qualifizierten Expertenschätzung durchgeführt werden."
[Bildquelle: iStockPhoto]
Kommentare zu diesem Beitrag
Auch das Konzept der Risikotragfähigkeit ist nicht neu: Auf der Grundlage des Gesamtrisikoprofils ist sicherzustellen, dass die wesentlichen Risiken des Kreditinstituts durch das Risikodeckungspotenzial, gegebenenfalls unter Berücksichtigung von Wechselwirkungen, laufend abgedeckt sind und damit die Risikotragfähigkeit gegeben ist (MaRisk AT 4.1).
Es kommt also vor allem darauf an, dass die Institute die Regelungen der MaRisk umsetzen und in der Praxis leben. Und die BaFin muss die qualifizierten und angemessenene Ressourcen haben, um dies dann auch zu prüfen ... ansonsten werden die MaRisk ein Papiertiger bleiben!
Die wirklich wirksamen und wichtigen Instrumente wurden nicht geschaffen: Persönliche Haftung des Aufsichtsrats mit Umkehr der Beweislast, persönliche Haftung der Wirtschaftsprüfer usw.). Ich kann mich nicht erinnern wann zuletzt mal ein Aufsichtsrat oder Wirtschaftsprüfer wegen einem Crash vor Gericht stand und erfolgreich verurteilt wurde.
Die verantwortlichen WP-Gesellschaften und Namen der Aufsichtsräte im Zusammenhang mit den großen Crash sind in der Öffentlichkeit nicht mal publik. Genauso wie bei Lebensmittelskandalen die Hersteller oder Händler zu nennen wären (und bisher nicht aufgedeckt werden), ist auch hier mehr Transparenz und juristische Verfolgung dringend geboten. Diese beiden Gruppen haben es in der Hand eine wirksame Kontrolle auszüben und müssen endlich auch dazu gezwungen werden. Das gilt allerdings auch für die Bundesbank und BaFin-Prüfer.
Davon abgesehen werden sich die neuen MaRisk in die lange Reihe der bisherigen Papierwerke zur Arbeitsbeschaffung für Controlling und Revision einreihen: MaH, MaK, MaIR, MaRisk usw. ... Hat es jemals irgendwas genützt oder gar verhindern können? Die neuen MaRisk sind so effizient wie ein Parkverbots-Schild in der Innenstadtzone einer Großstadt... Wen interessiert es und wenn man mal beim Falschparken erwischt wird zahlt man es aus der Portokasse...
"Zielsetzung der Risikosteuerung ist es, für eingegangene Risiken einen risikoadäquaten Ertrag zu erzielen und gleichzeitig durch risikopolitische Leitlinien und Instrumente diese Risiken so zu begrenzen, dass keine unerwarteten Belastungen die Solidität des Konzerns beeinträchtigen.“ (Quelle: Geschäftsbericht der Hypo Real Estate). Bestätigt wird die Angemessenheit des Risikomanagements durch die KPMG Deutsche Treuhand-Gesellschaft AG Wirtschaftsprüfungsgesellschaft. Also gilt wohl doch das KPMG-Akronym "Keiner prüft mehr genau" bzw. "Kinder prüfen mein Geld" ...
Was dem Fass dann den Boden ausschlägt (und keiner diskutiert drüber):
Am 12.8.2008 prüft KPMG den Zwischenbericht des Vorstands der Hypo Real Estate auf zukünftige Risiken und Stress-Szenarien. Die KPMG-Experten weisen zwar auf Risiken hin, bescheinigen der HRE aber: „Selbst bei einem Worst-Case-Szenario ist sichergestellt, dass die Hypo Real Gruppe und ihre Tochterunternehmen jederzeit uneingeschränkt zahlungsfähig sind .“ Wenn das kein Skandal ist ... ;-(((
Weitere Neuerung: Historische Betrachtungen genügen nicht mehr! Nach einem längeren Diskussionsprozess und der im zweiten Entwurf vom Juni zwischenzeitlichen Klarstellung, dass auch historische Stresstests ausreichend sein können, kam nun doch wieder die Formulierung aus dem ersten Entwurf vom März zur Anwendung: „Die Stresstests haben auch außergewöhnliche, aber plausibel mögliche Ereignisse abzubilden. Dabei sind geeignete historische und auch hypothetische Szenarien darzustellen.“ (AT 4.3.2)
Neu und in der praktischen Umsetzung nicht ganz unproblematisch ist auch BTO 1.2 (Anforderungen an die Prozesse im Kreditgeschäft). Dort wurde ein Satz im alten Absatz 3 gestrichen („…Bei der Beurteilung der Adressenausfallrisiken kann auch auf externe Quellen zurückgegriffen werden….“). Stattdessen wurde nun der neue Absatz 4, wenn auch in abgeschwächter Form zum ersten Entwurf vom März 2009, aufgenommen: „Die Verwendung externer Bonitätseinschätzungen enthebt das Institut nicht von seiner Verpflichtung, sich ein Urteil über das Adressenausfallrisiko zu bilden und dabei eigene Erkenntnisse und Informationen in die Kreditentscheidung einfließen zu lassen.“
Weitere wichtige Änderungen im Überblick:
AT 2.2 Risiken
„1 … Zur Beurteilung der Wesentlichkeit hat sich die Geschäftsleitung regelmäßig und anlassbezogen einen Überblick über die Risiken des Instituts zu verschaffen
(Gesamtrisikoprofil). …“
Folgende Risikoarten müssen als wesentlich eingestuft werden:
a) Adressenausfallrisiken (einschließlich Länderrisiken),
b) Marktpreisrisiken,
c) Liquiditätsrisiken und
d) operationelle Risiken.
Weitere Risiken wie z.B. Reputationsrisiken können je nach Geschäftsmodell noch hinzukommen. „Für Risiken, die als nicht wesentlich eingestuft werden, sind angemessene Vorkehrungen zu treffen.“
AT 2.3 Geschäfte
Hier wird im Kommentar zu Absatz 3 (Handelsgeschäfte) das traditionelle Warengeschäft von gemischtwirtschaftlichen Kreditgenossenschaften behandelt: „Für das traditionelle Warengeschäft von gemischtwirtschaftlichen Kreditgenossenschaften kann in Abhängigkeit von Art, Umfang und Risikogehalt dieser Geschäftsaktivitäten eine sinngemäße Umsetzung der Anforderungen für das Handelsgeschäft angemessen sein.“
AT 4.1 Risikotragfähigkeit
„2 … Das Institut hat einen internen Prozess zur Sicherstellung der Risikotragfähigkeit einzurichten. …“
„3 …Wesentliche Risiken, die nicht in das Risikotragfähigkeitskonzept einbezogen werden, sind festzulegen. Ihre Nichtberücksichtigung ist nachvollziehbar zu begründen und nur dann möglich, wenn das jeweilige Risiko aufgrund seiner Eigenart nicht sinnvoll durch Risikodeckungspotenzialkapital begrenzt werden kann (z. B. im allgemeinen Liquiditätsrisiken). …“
„4 …Verfügt ein Institut über keine geeigneten Verfahren zur Quantifizierung einzelner Risiken, die in das Risikotragfähigkeitskonzept einbezogen werden sollen, so ist für diese auf der Basis einer Plausibilisierung ein Risikobetrag festzulegen. Die Plausibilisierung kann auf der Basis einer qualifizierten Expertenschätzung durchgeführt werden. …“
AT 4.2 Strategien
„1 … Die Geschäftsleitung hat eine nachhaltige Geschäftsstrategie und eine dazu konsistente Risikostrategie festzulegen. …“ Neu ist hier die Betonung auf die Nachhaltigkeit der Geschäftsstrategie!
„2 … Risikokonzentrationen sind dabei auch mit Blick auf die Ertragssituation des
Instituts (Ertragskonzentrationen) zu berücksichtigen. …“ Dieser Absatz könnte spannend werden für Institute, die sehr stark von einer einzigen Ertragsquelle abhängig sind (z.B. Fristentransformation o.ä.).
AT 4.3.2 Risikosteuerungs- und -controllingprozesse
„3 … Es sind regelmäßig angemessene Stresstests für die wesentlichen Risiken durchzuführen. Dies hat auf der Basis der für die jeweiligen Risiken identifizierten wesentlichen Risikofaktoren zu geschehen. ...“
„4 … Die Stresstests haben auch außergewöhnliche, aber plausibel mögliche Ereignisse abzubilden. Dabei sind geeignete historische und auch hypothetische Szenarien darzustellen. …“
„9 … Für das Aufsichtsorgan unter Risikogesichtspunkten wesentliche Informationen sind von der Geschäftsleitung unverzüglich weiterzuleiten. Hierfür hat die Geschäftsleitung gemeinsam mit dem Aufsichtsorgan ein geeignetes Verfahren festzulegen. …“
AT 4.4 Interne Revision
„2. … Unbeschadet dessen ist sicherzustellen, dass der Vorsitzende des Aufsichtsorgans unter Einbeziehung der Geschäftsleitung direkt bei dem Leiter der Internen Revision Auskünfte einholen kann. …“
AT 4.5 „Risikomanagement auf Gruppenebene“ wurde neu in die MaRisk aufgenommen.
AT 7.1 „Personal und Anreizsysteme“ wurde umfangreich überarbeitet und regelt insbesondere die variablen Bezüge von Führungskräften und für das Eingehen von Risiken verantwortlichen Mitarbeitern.
AT 8 „Aktivitäten in neuen Produkten oder auf neuen Märkten“ dürfte bei vielen Lesern zum Schmunzeln führen: „1 … Jedes Institut muss die von ihm betriebenen Geschäftsaktivitäten verstehen. …“. Im Kommentar wird darauf verwiesen, dass hierzu auch die „Methoden zur Beurteilung damit verbundener Risiken“ zählen.
Für die Praxis dürfte der Absatz interessante Fragen zum Umgang mit strukturierten Produkten insbesondere im Eigengeschäft aufwerfen. Hierzu zählen insbesondere auch die unzähligen Innovationen der Landesbanken und Zentralbanken.
Im BTO 1.2 „Anforderungen an die Prozesse im Kreditgeschäft“ wurde im Absatz 3 der Satz „Bei der Beurteilung der Adressenausfallrisiken kann auch auf externe Quellen zurückgegriffen werden. …“ gestrichen. Stattdessen regelt ein neuer Absatz 4: „Die Verwendung externer Bonitätseinschätzungen enthebt das Institut nicht von seiner Verpflichtung, sich ein Urteil über das Adressenausfallrisiko zu bilden und dabei eigene Erkenntnisse und Informationen in die Kreditentscheidung einfließen zu lassen.“
Wie die eigene Urteilsbildung in der Praxis aussehen soll, lassen die MaRisk offen.
Im BTR 1 „Adressenausfallrisiken“ wird im Absatz 1 geregelt, dass „Risikokonzentrationen unter Berücksichtigung der Risikotragfähigkeit“ im Adressenausfallrisiko zu begrenzen sind.
Der BTR 2.1 „Allgemeine Anforderungen“ fordert in Absatz 3 „…Die Verfahren zur Beurteilung der Marktpreisrisiken sind regelmäßig zu überprüfen. Es ist zu überprüfen, ob die Verfahren auch bei schwerwiegenden Marktstörungen zu verwertbaren Ergebnissen führen. Für länger anhaltende Fälle fehlender, veralterter oder verzerrter Marktpreise sind für wesentliche Positionen alternative Bewertungsmethoden festzulegen. …“
Nach einem Streit der so alt wie die Barwert-Methode sein dürfte, erfolgt nun in BTR 2.3 „Marktpreisrisiken des Anlagebuches (einschließlich Zinsänderungsrisiken)“ im Kommentar zu Absatz 7 eine Klarstellung zu der „Berücksichtigung von Positionen mit unbestimmter Kapital- oder Zinsbindung“: „Eigenkapitalbestandteile, die dem Institut zeitlich unbegrenzt zur Verfügung stehen, dürfen nicht in die barwertige Ermittlung der Zinsänderungsrisiken
einbezogen werden.“
BTR 3 „Liquiditätsrisiken“ regelt umfassend die Früherkennung von Liquiditätsrisiken und deren proaktive Steuerung. So muss das Institut gemäß Absatz 2 „… für Liquiditätsrisiken seine Risikotoleranz festlegen und deren Einhaltung durch geeignete Maßnahmen sicherstellen. ...“
„3 … Das Institut hat zu gewährleisten, dass ein sich abzeichnender Liquiditätsengpass frühzeitig erkannt wird. Hierfür sind Verfahren einzurichten, deren Angemessenheit regelmäßig zu überprüfen ist. Auswirkungen anderer Risiken auf die Liquidität des Instituts (z. B. Reputationsrisiken) sind bei den Verfahren zu berücksichtigen. …“