Die Komplexität der Umsetzung eines regulatorisch definierten Risikomanagements in Banken (und anderen Finanzdienstleistungsinstituten) wird deutlich, wenn man die 1955 Seiten MaRisk-Kommentar durchblättert. Rund 2,2 Kilogramm Papier wurden bedruckt, um die 41 Seiten des BaFin-Rundschreibens 09/2017 vom 27.10.2017 zu kommentieren. Rechtlich handelt es sich bei den "Mindestanforderungen an das Risikomanagement", abgekürzt MaRisk, um sogenannte Verwaltungsanweisungen der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Erstmals wurden die MaRisk mit Rundschreiben 18/2005 vom 20. Dezember 2005 veröffentlicht.
Die MaRisk konkretisieren den § 25a Kreditwesengesetz (KWG) und sind die Umsetzung der qualitativen Anforderungen aus Basel II bzw. Basel III an das Risikocontrolling von Banken und die entsprechenden bankaufsichtlichen Überprüfungsprozesse in deutsches Recht. Damit sind die MaRisk (bzw. die MaGo für Versicherungen) de facto eine verbindliche Auslegung des § 25a Abs. 1 KWG (bzw. § 23 Versicherungsaufsichtsgesetz (VAG)). Sie sollen der Aufsichtsbehörde eine konsistente Anwendung gegenüber den Finanzinstituten bzw. Versicherungen ermöglichen und vor allem Rechts- und Planungssicherheit schaffen.
Die BaFin weist in diesem Kontext darauf hin, dass bei einem völligen Fehlen von Auslegungshinweisen in Form der MaRisk (bzw. MaGo) aufgrund der häufig sehr weit gefassten Ermessens- und Auslegungsspielräume sowohl für die Aufseher als auch die Prüfer unsachgemäße Beurteilungen – oder im Extremfall willkürliche Maßnahmen – nicht ausgeschlossen werden können.
Der Inhalt der MaRisk kann vereinfacht auf drei Fragen (in dieser Reihenfolge) reduziert werden:
- 1. Wie viel Risiko darf ich eingehen?
- 2. Wie viel Risiko kann ich eingehen?
- 3. Wie viel Risiko will ich eingehen?
Im Vordergrund stehen zunächst verbindliche aufsichtsrechtliche Vorgaben, zum Beispiel im Bereich der Markpreis- oder Kreditrisiken. In der Folge wird die Risikonahme limitiert. Die zweite Frage beschäftigt sich mit dem Risikotragfähigkeitskonzept der Unternehmen. Die im Unternehmen individuell vorhandene Risikodeckung zeigt die (maximalen) Grenzen der Risikonahme auf. Die letzte Frage zielt auf den "Risikoappetit" der Unternehmen, oder besser, auf die Bereitschaft der Verantwortlichen in den Unternehmen, Chancen wahrzunehmen, damit aber auch das Unternehmen Risiken auszusetzen. Für die Abwägung dieser Chancen und Risiken hat man einen schönen Begriff gefunden – man nennt es "Wertorientierte Steuerung".
Der Kommentar des Autorentrios Hannemann/Steinbrecher/Weigl ist nicht erst in der komplett überarbeiteten 5. Auflage der Standardkommentar zu den MaRisk. In der Folge der fünften Novellierung der MaRisk wurden die Anforderungen des Baseler Ausschusses an die Risikodatenaggregation und Risikoberichterstattung, das Thema "Risikokultur" sowie neue Erkenntnisse zum Thema "Funktionsauslagerungen" ergänzt. Außerdem kommentiert das Autorentrio weitere relevante Anforderungen, etwa die Bankenaufsichtlichen Anforderungen an die IT (BAIT) sowie maßgebliche Publikationen der Europäischen Zentralbank (EZB) und der "European Banking Authority" (EBA).
Die Autoren Ralf Hannemann (Direktor und Bereichsleiter Bankenaufsicht beim Bundesverband Öffentlicher Banken Deutschlands, VÖB), Ira Steinbrecher (Referat "Grundsatz IT-Aufsicht und Prüfungswesen", Bundesanstalt für Finanzdienstleistungsaufsicht, BaFin) sowie Thomas Weigl (KfW IPEX-Bank) haben mit ihrer Publikation einen exzellenten MaRisk-Kommentar geschrieben, der den Praktiker sicher und fundiert durch den Dschungel der Anwendungs- und Auslegungsfragen begleitet.
Fazit: Der MaRisk-Kommentar von Hannemann/Steinbrecher/Weigl ist eine wertvolle und praxisorientierte Umsetzungshilfe und liefert Antworten auf konkrete Umsetzungsfragen. Der Kommentar ist konkurrenzlos und kann uneingeschränkt empfohlen werden.
