Sehr geehrte Damen und Herren,

ich kann Ihnen nun den ersten Entwurf einer neuen Fassung der MaRisk vorlegen, den Mitarbeiterinnen und Mitarbeiter von BaFin und Deutscher Bundesbank gemeinsam entwickelt haben. Seit der letzten Überarbeitung der MaRisk im Jahre 2012 sind einige Themen zum Risikomanagement in den Vordergrund gerückt, die bisher noch nicht bzw. noch nicht explizit in den MaRisk verankert waren und daher als Haupttreiber einer Novellierung angesehen werden können. Dabei stehen vor allem die Inhalte des Baseler Papiers zur Risikodatenaggregation und Risikoberichterstattung (BCBS 239) im Vordergrund, die eine Ergänzung der MaRisk erforderlich machen. Als weiteres Schwerpunktthema hat sich in letzter Zeit das Erfordernis einer angemessenen Risikokultur herauskristallisiert, das international intensiv diskutiert wird und demzufolge auch in internationalen Papieren seinen Niederschlag gefunden hat. Das einschlägige Papier des Financial Stability Board (FSB) – „Guidance on Supervisory Interaction with financial institutions on Risk Culture” – kann hier stellvertretend angeführt werden. Hinweise hierzu finden sich aber auch in den einschlägigen Publikationen der EBA, so zuletzt in den EBA „Guidelines on common procedures and methodologies for the SREP“. Daneben habe ich mich entschlossen, einige Änderungen im Modul AT 9 – Auslagerung – vorzunehmen, wobei hier die stärkere Herausarbeitung der Grenzen von Auslagerungslösungen sowie die institutsinterne Überwachung von ausgelagerten Aktivitäten und Prozessen im Vordergrund stehen. Eine Reihe weiterer Anpassungen, die teils an der schon geltenden Rechtslage anknüpfen (z.B. Anpassungen in AT 4.3.3, BT 2), die aktuelle Verwaltungspraxis der Aufsicht widerspiegeln oder Erfahrungen aus der Verwaltungspraxis aufgreifen, runden das Spektrum der geplanten Anpassungen in den MaRisk ab.

Lassen sich mich nun auf die oben genannten Schwerpunkthemen im Einzelnen eingehen:

Risikodatenaggregation und Risikoberichterstattung

Mit der nun eingeläuteten MaRisk-Überarbeitung sollen insbesondere die Inhalte des Baseler Papiers BCBS 239 zur Risikodatenaggregation und zur Risikoberichterstattung in die Aufsichtspraxis übernommen werden. Erklärtes Ziel ist es, die IT-Infrastruktur der großen, systemrelevanten Institute dahingehend zu verbessern, dass eine umfassende, genaue und zeitnahe Aggregation der Risikopositionen eines Instituts ermöglicht wird und diese Informationen zeitnah für das Berichtswesen der Bank zur Verfügung gestellt werden können. Diese Zielsetzung speist sich insbesondere aus den während der Finanzkrise gemachten Erfahrungen der Aufsichtsbehörden, dass Institute oftmals kaum in der Lage waren, Informationen zu Gesamtexposures gegenüber bestimmten Adressen und in bestimmten Produkten innerhalb eines möglichst kurzen Zeitraums zu generieren. Als Folge davon konnten Institute bisweilen nicht schnell genug auf kritische Entwicklungen reagieren, da aktuelle, belastbare Zahlen fehlten. Zudem hat sich gezeigt, dass die teilweise erst nach Wochen zur Verfügung stehenden Informationen nicht hinreichend qualitätsgesichert waren. Genau an dieser Stelle setzt das Papier des Baseler Ausschusses an, wobei die Fähigkeit zur umfassenden, genauen und zeitnahen Aggregation von Risikopositionen vor allem dem Zweck dient, den jeweiligen Entscheidungsträgern entscheidungsrelevante Daten und Informationen über das institutsinterne Berichtswesen an die Hand zu geben. Außerdem sollen manuelle Eingriffe bei der Aggregation der Risikodaten möglichst auf das absolut Notwendige reduziert werden. Mir ist klar, dass der Um- und Ausbau der IT-Systeme bei den betroffenen Banken zu erheblichen Anstrengungen führen wird, bin mir aber auch sicher, dass sich dies in einer deutlich verbesserten Berichterstattung niederschlagen wird.

Das neue Modul AT 4.3.4 adressiert jene Teile des Baseler Papiers, die sich mit der Datenarchitektur und der IT-Infrastruktur auseinandersetzen. Diese richten sich gemäß der Zielrichtung des BCBS 239 ausschließlich an große und komplexe Institute. Ich möchte an dieser Stelle aber auch an andere Institute appellieren zu prüfen, inwieweit Datenaggregationskapazitäten weiter verbessert und ausgebaut werden können, denn das Thema Risikodatenaggregation betrifft natürlich nicht nur große, systemrelevante Institute. Jene Inhalte des Baseler Papiers, die sich explizit mit der Risikoberichterstattung beschäftigen, werden im neuen Modul BT 3 (Berichtswesen) aufgegriffen und mit den ohnehin schon existierenden Berichtspflichten an dieser Stelle gebündelt. Das Modul BT 3 gilt für alle Institute, die inhaltliche Ausgestaltung in der Praxis unterliegt, wie bisher, dem Proportionalitätsprinzip. Am grundsätzlichen Meldeturnus wird sich zwar zunächst nichts ändern, grundsätzlich können allerdings Produktionszeiten von einzelnen Berichten von zum Teil mehreren Wochen nicht mehr akzeptiert werden. Wichtig ist mir zudem eine inhaltlich aussagekräftige Aufbereitung der Informationen, was ein ausgewogenes Verhältnis zwischen quantitativen und qualitativen Informationen beinhaltet.

Risikokultur

Als Teil ihrer Gesamtverantwortung für eine ordnungsgemäße Geschäftsorganisation haben die Geschäftsleiter künftig gemäß AT 3 Tz. 1 eine angemessene Risikokultur innerhalb des Instituts und der Gruppe zu entwickeln, zu integrieren und zu fördern. Diese Anforderung hat ihren Ursprung im Erwägungsgrund 54 der Bankenrichtlinie CRD IV (Capital Requirements Directive IV), wonach die Institute Grundsätze und Standards einführen sollen, die eine wirksame Kontrolle von Risiken durch die Leitungsorgane gewährleisten. Diese Grundsätze sollen, als Teil eines wirksamen Risikomanagements, eine solide Risikokultur auf allen Unternehmensebenen fördern. Auch die EBA Leitlinien zu gemeinsamen Verfahren und Methoden für den aufsichtlichen Überprüfungs- und Bewertungsprozess (SREP) erwarten eine Überprüfung der Risikokultur der Institute durch die zuständige Aufsichtsbehörde und setzen damit voraus, dass Institute eine angemessene Risikokultur als Teil ihres Risikomanagements implementiert haben.

Ich möchte betonen, dass mit dem Konzept der angemessenen Risikokultur kein neuer Risikomanagementansatz angestrebt wird. Vielmehr beinhaltet dieser Begriff eine Reihe von bereits in den MaRisk vorhandenen Elementen, die im Zusammenhang mit einer angemessen Risikokultur wichtig sind, wie z.B. die Festlegung strategischer Ziele und des Risikoappetits (bislang als „Risikotoleranzen“ bezeichnet) inklusive der umfassenden Kommunikation dieser Ziele im Institut oder auch die Anforderungen an Kontrollen bzw. Kontrollfunktionen. Der eigentliche Inhalt einer angemessenen Risikokultur geht aber weiter. Zweck dieser neuen Anforderung ist es, die bewusste Auseinandersetzung mit Risiken im täglichen Geschäft fest in der Unternehmenskultur der Institute zu verankern und sowohl bei der Geschäftsleitung als auch bei den Mitarbeitern auf den verschiedenen Ebenen des Instituts ein Risikobewusstsein zu schaffen, das das tägliche Denken und Handeln prägt. Dies beinhaltet auch den kritischen Dialog innerhalb des Instituts, der von den Führungsebenen entsprechend gefördert werden soll. Eine angemessene Risikokultur setzt im Idealfall ein offenes und kollegiales Führungskonzept voraus. Wesentlich ist es daher, Mitarbeiter dazu zu motivieren, sich entsprechend dem Wertesystem und dem Verhaltenskodex zu verhalten und innerhalb der festgelegten Risikotoleranzen zu agieren. Hier können materielle und immaterielle Anreize sinnvoll sein. Vor allem aber ist es unerlässlich, innerhalb des Instituts Überzeugungsarbeit zu leisten, sodass ethisch und ökonomisch wünschenswertes Verhalten nicht nur durch finanzielle Anreize vermittelt wird. Wenngleich die Anforderung in AT 3 allgemeine Gültigkeit für alle Institute besitzt, so sehe ich doch große Institute mit weitverzweigten und komplexen Geschäftsaktivitäten besonders in der Pflicht, sich mit diesem Thema intensiv auseinander zu setzen.

Die Maßnahmen zur Erreichung der gewünschten Risikokultur soll allen Beteiligten nicht nur vermitteln, welches Verhalten erwünscht bzw. unerwünscht ist, sondern auch, welche Risiken und Geschäfte überhaupt eingegangen werden können und welche nicht. Hierfür ist ein entsprechender Verhaltenskodex für Mitarbeiter eine wesentliche Voraussetzung. Deswegen werden die Institute künftig gemäß AT 5 Tz. 3 verpflichtet, einen solchen Verhaltenskodex vorzuhalten.

Auslagerungen

Erfahrungen aus der Aufsichtspraxis, die wiederholt Unklarheiten, aber auch Mängel in der Anwendung der aufsichtlichen Anforderungen bei Auslagerungsverhältnissen zu Tage gefördert haben, haben mich bewogen, einige Ergänzungen und Konkretisierungen im AT 9 vorzunehmen. Zunächst wird klargestellt, dass die Frage des Auslagerungstatbestands unabhängig von möglichen zivilrechtlichen Ausgestaltungen ist. Dies ist seit vielen Jahren gelebte Aufsichtspraxis, soll aber aufgrund immer wieder auftauchender Fragen und Unklarheiten nochmals ausdrücklich betont werden. In AT 9 Tz. 5 wird zudem deutlich gemacht, dass eine Auslagerung in Kernbankbereichen und in den wichtigen Kontrollbereichen (nur) dann zulässig ist, wenn in diesen Bereichen weiterhin fundierte Kenntnisse und Erfahrungen vorgehalten werden, die es ermöglichen, die Steuerung dieser ausgelagerten Bereichen effektiv wahrzunehmen und bei Bedarf auch eine Rückverlagerung in das Institut ohne Störungen des Betriebsablaufes zu gewährleisten. Mein besonderes Augenmerk gilt dabei auch den Kontrollbereichen Risikocontrolling, Compliance und Interne Revision, die als Steuerungs- und Kontrollinstrumente für die Geschäftsleitung von besonderer Wichtigkeit sind. In meinen Augen wird es der besonderen Bedeutung dieser Bereiche gerecht, wenn Vollauslagerungen der Risikocontrolling-Funktion gar nicht, Vollauslagerungen der Compliance-Funktion und der Internen Revision nur bei kleinen Instituten möglich sind, bei denen die Einrichtung letztgenannter Funktionen vor dem Hintergrund der Institutsgröße und der betriebenen Geschäfte unverhältnismäßig wäre. Dies berührt die Möglichkeit von Teilauslagerungen in den genannten Funktionen und Bereichen (Risikocontrolling, Compliance, IR) nicht, denn insbesondere auch kleinen Instituten soll und muss die Möglichkeit offenstehen, weiterhin Expertise von außen zu gewinnen, wenn in bestimmten Aufgabenfeldern diese Expertise nicht oder nur unter unverhältnismäßigen Aufwand innerhalb des Instituts zur Verfügung steht. Wichtig ist mir dabei, dass diese für die Leitung eines Instituts wichtigen Steuerungsinstrumente nicht vollständig in die Hände Dritter gelegt werden und dadurch dem direkten Zugriff des Instituts entzogen sind. Wie schon oben erwähnt, gelten aber hierbei für kleine Institute besondere Maßstäbe.

Zusätzlich sehe ich zumindest bei Instituten mit umfangreichen Auslagerungslösungen ein zentrales Auslagerungsmanagement für geboten, um sicherzustellen, dass eine Stelle im Institut einen Gesamtüberblick über ausgelagerte Prozesse und Aktivitäten hat und so ein möglichst einheitlicher Umgang mit den besonderen Risiken aus Auslagerungen und deren Überwachung sichergestellt werden kann.

Konsultation des MaRisk-Entwurfs

Ich bitte Sie hiermit, der Deutschen Bundesbank und der BaFin schriftliche Stellungnahmen zum Entwurf postalisch oder per E-Mail (Konsultation-02-16@bafin.de; banken-3@bundesbank.de) bis zum 07. April 2016 (verlängert bis zum 27.04.2016) zukommen zu lassen. Wie schon den Jahren zuvor, wird auch diesmal der MaRisk-Entwurf Gegenstand einer Sitzung des Fachgremiums MaRisk sein. Meine Mitarbeiter werden die Mitglieder des Fachgremiums hierzu gesondert informieren.

Es ist weiterhin vorgesehen, Stellungnahmen zum Entwurf auf den Internetseiten von BaFin und Bundesbank zu veröffentlichen, soweit die Verfasser der Stellungnahmen dagegen keine Einwände erheben.

Ich freue mich auf Ihre fachliche Unterstützung und bin zuversichtlich, dass für kritische Punkte auch diesmal Lösungen gefunden werden können, die eine praxistaugliche Anwendung der MaRisk für Industrie und Aufsicht auch weiterhin gewährleisten können.

Mit freundlichen Grüßen

Raimund Röseler