MaRisk: Mindestanforderungen an das Risikomanagement der BaFin

Für die Praxis der Finanzdienstleistungsinstitute sind die MaRisk (Mindestanforderungen an das Risikomanagement) der BaFin der wesentliche Ausgangspunkt unter Berücksichtigung des Verhältnismäßigkeitsgrundsatzes. Die maßgeblichen Segmente des Risikomanagements sind Grundlage der organisatorischen Festlegungen. Die Rechtsquellen sind die Del. VO 2017/565 Art. 23, KWG §§ 25 a, 25 h Abs. 1, GwG, §§ 4 – 6, WpHG § 120 Abs. 7 Zf. 8.

In der Vorbemerkung zu den MaRisk wird ausgeführt, diese gäben auf der Grundlage des § 25a Abs. 1 KWG einen praxisnahen Rahmen für die Ausgestaltung des Risikomanagements der Institute vor. Ein angemessenes Risikomanagement umfasse unter Berücksichtigung der Risikotragfähigkeit die Festlegung von Strategien sowie die Einrichtung interner Kontrollverfahren. Die internen Kontrollverfahren beständen aus dem internen Kontrollsystem und der internen Revision.

Soweit aus der Vorbemerkung zu den MaRisk.

Die Mindestanforderungen an das Risikomanagement gelten in den Teilen AT 1, AT 3, AT 5 und AT 7 (AT = Allgemeiner Teil) für Finanzdienstleistungsinstitute nach § 1 Abs. 1 a KWG, also für die Anlagevermittlung, Anlageberatung, den Betrieb eines multilateralen Handelssystems, das Platzierungsgeschäft, die Abschlussvermittlung, die Finanzportfolioverwaltung und den Eigenhandel, siehe Aufzählung § 1 Abs. 1 a KWG.

Die Mindestanforderungen an das Risikomanagement können die Informationsverarbeitung aus dynamischen Systemen mit banküblichem Sachverstand erleichtern, indem die lineare Planung durch eine umfassende Prognose von Verlusten und Gewinnen im Zeitablauf gestützt wird. Differenzierte Aussagen von Wahrscheinlichkeiten und von Zufällen über Details, die ein Problem für das Ganze darstellen, dürften damit in einem für die Rechtspraxis tauglichen Umfang darstellbar sein. Sollten die Ursachen von Risiken nicht gefunden werden, kann eine passende Haftpflichtversicherung für die Risikoauswirkungen der Schlüssel zur Lösung von Problemen sein. Die Eignung zur Auslösung des Versicherungsfalles ist Bedingung für die Ergebnisverbesserung.

In den Mindestanforderungen an das Risikomanagement wird weiter ausgeführt: Finanzdienstleistungsinstitute und Wertpapierhandelsbanken hätten die Anforderungen des Rundschreibens insoweit zu beachten, wie dies vor dem Hintergrund der Institutsgröße sowie von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten zur Einhaltung der gesetzlichen Pflichten aus §§ 25a und 25b KWG geboten erscheine. Dies gelte insbesondere für die Module AT 3, AT 5, AT 7 und AT 9 (AT 2.1. Anwenderkreis, MaRisk).

In AT 3 wird in Bezug auf die Gesamtverantwortung der Geschäftsleitung ausgeführt, alle Geschäftsleiter (§ 1 Abs. 2 KWG) seien unabhängig von der internen Zuständigkeitsregelung, für die ordnungsgemäße Geschäftsorganisation und deren Weiterentwicklung verantwortlich. Diese Verantwortung beziehe sich unter Berücksichtigung ausgelagerter Aktivitäten und Prozesse auf alle wesentlichen Elemente des Risikomanagements. Die Geschäftsleiter würden dieser Verantwortung nur gerecht, wenn sie die Risiken beurteilen können und die erforderlichen Maßnahmen zu ihrer Begrenzung treffen.

Ungeachtet der Gesamtverantwortung der Geschäftsleitung für die ordnungsgemäße Geschäftsorganisation und insbesondere für ein angemessenes und wirksames Risikomanagement sei jeder Geschäftsleiter für die Einrichtung angemessener Kontroll- und Überwachungsprozesse in seinem jeweiligen Zuständigkeitsbereich verantwortlich (AT 2, MaRisk).

In dem AT 5 wird zu den Organisationsrichtlinien ausgeführt, das Institut habe sicherzustellen, dass die Geschäftsaktivitäten auf der Grundlage von Organisationsrichtlinien betrieben werden (z. B. Handbücher, Arbeitsanweisungen oder Arbeitsablaufbeschreibungen). Der Detaillierungsgrad der Organisationsrichtlinien hänge von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten ab.

Die Organisationsrichtlinien müssten schriftlich fixiert und den betroffenen Mitarbeitern in geeigneter Weise bekanntgemacht werden. Es sei sicherzustellen, dass sie den Mitarbeitern in der jeweils aktuellen Fassung zur Verfügung stehen. Die Richtlinien seien bei Veränderungen der Aktivitäten und Prozesse zeitnah anzupassen.

Die Organisationsrichtlinien hätten vor allem Folgendes zu beinhalten: a) Regelungen für die Aufbau- und Ablauforganisation sowie zur Aufgabenzuweisung, Kompetenzordnung und zu den Verantwortlichkeiten, b) Regelungen hinsichtlich der Ausgestaltung der Risikosteuerungs- und -controllingprozesse, c) Regelungen zu den Verfahren, Methoden und Prozessen der Aggregation von Risikodaten (bei systemrelevanten Instituten), d) Regelungen zur Internen Revision, e) Regelungen, die die Einhaltung rechtlicher Regelungen und Vorgaben (z. B. Datenschutz, Compliance) gewährleisten, f) Regelungen zu Verfahrensweisen bei wesentlichen Auslagerungen, g) abhängig von der Größe des Instituts sowie der Art, dem Umfang, der Komplexität und dem Risikogehalt der Geschäftsaktivitäten sowie einen Verhaltenskodex für die Mitarbeiter (AT 5 der MaRisk).

In dem AT 7 wird zu den Ressourcen ausgeführt, die quantitative und qualitative Personalausstattung des Instituts habe sich insbesondere an betriebsinternen Erfordernissen, den Geschäftsaktivitäten sowie der Risikosituation zu orientieren.

Bezüglich der technisch-organisatorischen Ausstattung wird ergänzt, Umfang und Qualität der technisch-organisatorischen Ausstattung hätten sich insbesondere an betriebsinternen Erfordernissen, den Geschäftsaktivitäten sowie der Risikosituation zu orientieren (Vergl. AT 7 der MaRisk).

Zum internen Kontrollsystem wird in AT 4.3 Stellung genommen. In jedem Institut seien entsprechend Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten a) Regelungen zur Aufbau- und Ablauforganisation zu treffen, b) Risikosteuerungs- und Controllingprozesse einzurichten und c) eine Risikocontrolling-Funktion und eine Compliance-Funktion zu implementieren (Vergl. AT 4.3 der MaRisk).

Vorgaben zu den Risikosteuerungs- und Controllingprozesse sind in dem AT 4.3.2 enthalten. Das Institut habe angemessene Risikosteuerungs- und Controllingprozesse einzurichten, die eine a) Identifizierung, b) Beurteilung, c) Steuerung sowie d) Überwachung und Kommunikation der wesentlichen Risiken und damit verbundener Risikokonzentrationen gewährleisten. Diese Prozesse seien in eine gemeinsame Ertrags- und Risikosteuerung einzubinden. Durch geeignete Maßnahmen sei zu gewährleisten, dass die Risiken und die damit verbundenen Risikokonzentrationen unter Berücksichtigung der Risikotragfähigkeit wirksam begrenzt und überwacht werden.

Fazit: Im Kerne stellen die Mindestanforderungen an das Risikomanagement der BaFin die Volatilität von komplexen Finanzinstrumenten in den Mittelpunkt kybernetischer Überlegungen und heuristischer Analysen. Wichtig ist die Gesamtverantwortung des Vorstandes für die ordnungsgemäße Geschäftsorganisation.