Navigation und Service

Willkommen auf der Seite der Bundesanstalt für Finanzdienstleistungsaufsicht

MaRisk-Novelle 2012 - Veröffentlichung der Endfassung

Anschreiben an die Verbände

Geschäftszeichen BA 54-FR 2210-2012/0002
Bonn/Frankfurt a. M., 14. Dezember 2012

Sehr geehrte Damen und Herren,

in der Anlage übersende ich Ihnen die offizielle Endfassung der überarbeiteten MaRisk, die den Schlusspunkt einer mehrmonatigen Konsultation mit der Kreditwirtschaft bildet. Vorangegangen waren intensive Diskussionen mit Verbänden und Praxisvertetern zum Entwurf der MaRisk, aus der eine Reihe von konstruktiven Lösungsansätzen hervorgingen, die demgemäß auch in die Endfassung eingeflossen sind. Das neue Rundschreiben sowie einige weitere relevante Dokumente sind diesem Schreiben als Anlagen beigefügt. Alle Dokumente können zudem unter www.bafin.de und www.bundesbank.de abgerufen werden.

Über die Hintergründe für die erneute Überarbeitung, die schwerpunktmäßig in den internationalen Regulierungsvorhaben (CRD IV, EBA Guidelines on Internal Governance, CEBS Guidelines on Liquidity Cost Benefit Allocation) zu suchen sind, hatte ich Sie schon mit dem Anschreiben zum ersten Entwurf vom 26.04.2012 informiert. Sichtbaren Niederschlag haben diese internationalen Vorgaben vor allem in den neuen Modulen AT 4.4.1 (Risikocontrolling-Funktion) und AT 4.4.2 (Compliance-Funktion) sowie in den Änderungen des BTR 3.1 (Verrechnungssystem für Liquiditätskosten, -nutzen und –risiken) gefunden. Weiterhin ist das Modul AT 8 nun in drei Untermodule aufgeteilt, um die verschiedenen Aspekte, die dort abgehandelt werden – Neu-Produkt-Prozess, Änderungen betrieblicher Strukturen, Übernahmen/Fusionen - stärker voneinander abzugrenzen. Weitere Anpassungen haben teils internationalen Hintergrund (z. B. Mindestabwesenheiten von Händlern), teils dienen sie aber auch dazu, die Erwartungshaltung der Aufsicht hinsichtlich schon existierender Vorgaben stärker zu verdeutlichen (z. B. Anpassungen in AT 4.1 Tz. 8, AT 4.3.2).

Bevor ich auf die wesentlichen Punkte der Neufassung näher eingehe, möchte ich an dieser Stelle noch zwei Aspekte aufgreifen, die mir wichtig erscheinen. Zum einen ist in der nun vorgelegten MaRisk-Fassung dem Prinzip der sog. „Proportionalität nach oben“ ein stärkeres Gewicht als bisher eingeräumt. Mir ist sehr daran gelegen, dass das in den MaRisk angelegte Proportionalitätsprinzip nicht ausschließlich im Zusammenhang mit einer weniger anspruchsvollen Anwendung bei weniger großen Instituten diskutiert wird. Die von großen Instituten geforderte Einbeziehung von Inhalten einschlägiger Papiere zum Risikomanagement des Baseler Ausschusses für Bankenaufsicht und des Financial Stability Board bedeutet im Übrigen nicht, dass betroffene Institute schablonenhaft die Inhalte dieser Papiere zu sichten und undifferenziert umzusetzen hätten. Vielmehr sollen deren Inhalte in die eigenen Überlegungen zur Verbesserung des eigenen Risikomanagements einbezogen werden, um ggf. Punkte zu adressieren, die im prinzipienorientierten Rahmen der
MaRisk nicht explizit in dieser Form aufgegriffen werden. Dieser Passus im AT 1 besitzt vornehmlich Appellcharakter und ist somit nicht unbedingt als (rechts-)verbindliche Vorgabe zu verstehen. Ich behalte mir aber vor, einzelne Themen aus internationalen Papieren aufzugreifen und ihre Adressierung im Risikomanagement mit den betroffenen Instituten zu diskutieren.

Zum anderen möchte ich an dieser Stelle ankündigen, dass BaFin und Deutsche Bundesbank möglichst frühzeitig – idealerweise noch in der ersten Jahreshälfte 2013 – Sitzungen des Fachgremiums MaRisk zu einzelnen neuen Themenbereichen der MaRisk anberaumen werden, um mit der Praxis diesbezügliche Auslegungs- und Anwendungsfragen zu diskutieren. Hierfür kommen aus meiner Sicht insbesondere die Themenbereiche Compliance-Funktion und Verrechnungssysteme für Liquiditätskosten, -nutzen und –risiken in Frage. Dabei bietet sich für beide Seiten – Aufsicht und Praxis - die Gelegenheit, einen vertieften Austausch bezüglich dieser MaRisk-Neuerungen zu führen und auf diese Weise sinnvolle Lösungswege zur Umsetzung der neuen Anforderungen zu erörtern.

Zu den wichtigsten Anpassungen und Ergänzungen in den MaRisk im Einzelnen:

Kapitalplanungsprozess

Mit dem Kapitalplanungsprozess, wie er nun in AT 4.1 Tz. 9 gefordert wird, soll das Risikotragfähigkeitskonzept um eine stärker zukunftsgerichtete Komponente ergänzt werden. Ziel ist die frühzeitige Identifizierung etwaigen Kapitalbedarfs, weshalb die Kapitalplanung einen mehrjährigen Zeitraum über den Risikobetrachtungshorizont des Risikotragfähigkeitskonzepts hinweg betrachten soll (in der Regel 2 bis 3 Jahre über den Risikobetrachtungshorizont hinweg). Ich möchte nochmals betonen, dass dies nicht bedeutet, dass das Risikotragfähigkeitskonzept im Sinne der MaRisk nun über einen mehrjährigen Zeitraum ausgedehnt werden soll. So zielt die Anforderung nicht etwa auf eine Ausdehnung des Risikobetrachtungshorizonts, auf den die Risikoquantifizierung im Risikotragfähigkeitskonzept abstellt. Auch bedeutet der Hinweis auf adverse Entwicklungen, denen bei der Planung Rechnung zu tragen sind, nicht automatisch die Durchführung von Stresstests im Sinne des AT 4.3.3. Institute werden naturgemäß mit Annahmen arbeiten müssen, was die Kapitalbestandteile und die ihnen gegenübergestellten Risiken im Rahmen der Planung angeht. Die Institute werden jedoch auch Überlegungen anzustellen haben, welche Auswirkungen auf die Kapitalausstattung und den Kapitalbedarf ausgehen, sollten die erwartete Entwicklung des Instituts und die zugrundeliegenden Annahmen ein zu positives Bild zeichnen. Diese Überlegungen in unterschiedlichen Szenarien abzubilden, denen jeweils unterschiedliche Annahmen zugrunde liegen, dürfte i. d. R. eine sinnvolle Vorgehensweise darstellen. Während der Konsultation ist zudem die Frage aufgekommen, ob der Kapitalplanungsprozess auf internes Kapital, auf regulatorisches Kapital oder auf beide Komponenten abzustellen hat. Wenn auch im MaRisk-Kontext die Betrachtung internen Kapitals üblich ist, bin ich der Überzeugung, dass sowohl die Betrachtung internen als auch regulatorischen Kapitals sinnvoll und erforderlich ist. In der Endfassung wird dieser Aspekt nun klargestellt.

Risikocontrolling-Funktion

Die inhaltlichen Anforderungen an die Risikocontrolling-Funktion in AT 4.4.1 (neu) stellen im Wesentlichen nichts Neues, sondern im Kern eine gebündelte Darstellung dessen dar, was schon heute im MaRisk-Kontext – implizit oder explizit – gefordert wird. Tz. 4 enthält hingegen eine Anforderung, die in dieser Form bisher nicht in den MaRisk zu finden war. Demnach ist die Leitung der Risikocontrolling-Funktion einer Person auf einer ausreichend hohen Führungsebene zu übertragen und in Abhängigkeit von der Größe des Instituts sowie des Umfangs, der Komplexität und des Risikogehalts der Geschäftsaktivitäten grundsätzlich in exklusiver Weise wahrzunehmen. Außerdem ist die Leitung der Risikocontrolling- Funktion bei wichtigen risikopolitischen Entscheidungen der Geschäftsleitung zu beteiligen. Ausdrückliche Zielsetzung ist dabei die Stärkung der Governance-Strukturen in den Instituten und insbesondere eine Stärkung der Risikosicht bei wichtigen risikopolitischen Entscheidungen. Um der Risikocontrolling-Funktion die hierfür nötige Durchschlagskraft und Unabhängigkeit zu verschaffen, sehen zudem sowohl Bankenrichtlinie als auch die einschlägigen EBA Guidelines on Internal Governance vor, dass die mit der Leitung der Risikocontrolling-Funktionbetraute Person diese Aufgabe in exklusiver Weise wahrnimmt. Dabei ist es bei großen, international tätigen Instituten international gängige Praxis, dass die Leitung dieser Funktion durch einen eigenständigen Risikovorstand („CRO“) ausgeübt wird, um somit risikopolitische Fragestellungen auf Geschäftsleiterebene frühzeitig, nachdrücklich und hochrangig zu adressieren. Diese Aspekte schlagen sich auch in den MaRisk nieder, wobei ich betonen möchte, dass ich die exklusive Wahrnehmung dieser Aufgabe auf Vorstandsebene ausdrücklich nur von großen, international tätigen Instituten mit komplexen Geschäftsaktivitäten verlange. Mir ist natürlich bewusst, dass bei vielen großen Instituten das Risikocontrolling auch mit anderen Bereichen (z. B. Finanzen, Markfolge) in einem Vorstandressort gebündelt ist. Teilweise übernimmt dabei das Risikocontrolling unterhalb der Vorstandsebene auch Aufgaben, die eher dem Bereich Finanzen zugeordnet werden können oder zumindest für diesen Bereich unterstützend wirken. Inwieweit eine solche Kombination von Aufgaben bei größeren Instituten zukünftig als zulässig erachtet werden kann, hängt in meinen Augen auch vom konkreten Aufgabenzuschnitt ab. Die Trennung des Risikocontrollings von den Bereichen Finanzen und Marktfolge auf Vorstandsebene bei großen, international tätigen Instituten
bleibt davon jedoch unberührt.

Compliance-Funktion

Die Diskussionen während der Konsultation bezüglich des neuen Untermoduls AT 4.4.2 hat gezeigt, dass in der Praxis noch viel Unsicherheithinsichtlich der aufsichtlichen Erwartungshaltung herrscht. Dies betrifft sowohl den Umfang der rechtlichen Regelungen und Vorgaben, die diese Funktion im Fokus haben soll, als auch die organisatorische Einordnung und den konkreten Aufgabenumfang. Hier einige klarstellende Bemerkungen:

Im Kern zielen die neuen Anforderungen an die Compliance-Funktion auf eine angemessene Compliance-Kultur innerhalb des Instituts ab, die natürlich auch die Geschäftsbereiche umfasst. Diese werden in letzter Konsequenz für die Implementierung wirksamer Verfahren, die die Einhaltung der rechtlichen Regelungen und Vorgaben sicherstellen, auch weiterhin verantwortlich bleiben. Die Compliance-Funktion wird demgegenüber auch eine stärker beratende und koordinierende Funktion ausüben. Sie soll darauf achten, dass die Geschäftsbereiche dieser oben genannten Verantwortung nachkommen und keine unerwünschten Regelungslücken im Institut auftreten. Während der Konsultation ist mehrfach die Frage aufgekommen, welche rechtlichen Regelungen und Vorgaben dabei zu betrachten sind. Bisweilen wurde und wird befürchtet, die Aufsicht verlange einen umfassenden Ansatz, der (nahezu) alle relevanten Rechtsbereiche eines Instituts umfasst. Ich kann Ihnen versichern, dass solche Befürchtungen völlig unbegründet sind. Es würde auch die Tatsache ignorieren, dass einige wichtige Bereiche schon heute durch andere Kontroll- und Stabseinheiten bzw. spezialisierte Mitarbeiter adressiert werden. Das Risikocontrolling, das Rechnungswesen oder der Bereich Recht seien hier exemplarisch
angeführt. Wesentliche rechtliche Regelungen und Vorgaben, die im Zusammenhang mit der Compliance-Funktion relevant sind, können als solche angesehen werden, denen ein wesentliches Compliance-Risiko anhaftet. Demzufolge lassen sich die Rechtsbereiche, um die es hier in letzter Konsequenz gehen soll, deutlich stärker eingrenzen: Vorgaben zu Wertpapierdienstleistungen (WpHG), Geldwäsche und Terrorismusfinanzierung, allgemeine Verbraucherschutzvorgaben (z. B. auch mit Bezug auf das Kreditgeschäft oder andere Aktivitäten), Datenschutzvorgaben, Verhinderung doloser Handlungen zu Lasten des Instituts, ggf. weitere rechtliche Regelungen und Vorgaben, soweit sie vom Institut als unter Compliance-Gesichtspunkten wesentlich eingestuft wurden. Viele dieser Rechtsbereiche sind schon heute Gegenstand von Compliance-Vorgaben. Es erscheint mir praktikabel, die diesbezüglichen Aufgaben soweit wie möglich zu bündeln, auch wenn die MaRisk dies nicht zwingend einfordern. Eine dezentrale Wahrnehmung wird grundsätzlich auch weiterhin möglich sein, wobei spezielle aufsichtliche Vorgaben zu einzelnen Bereichen weiterhin zu beachten sind. Wichtig ist, dass die genannten Rechtsbereiche unter Compliance-Gesichtspunkten adressiert werden und eine entsprechende Berichterstattung an die Geschäftsleitung erfolgt.

In den MaRisk ist ferner klargestellt, dass die Aufgaben der Compliance-Funktion nicht bei der Internen Revision angesiedelt werden dürfen. Damit wird die prozessunabhängige Rolle der Revision nochmals hervorgehoben. Insbesondere soll verdeutlicht werden, dass die Durchführung von Prüfungen – unbeschadet der Durchführung von Kontrollhandlungen der Compliance-Funktion, wie sie sich auch teilweise aus speziellen rechtlichen Regelungen und Vorgaben für einzelne Bereiche ergeben – uneingeschränkt Aufgabe der Internen Revision ist und bleibt. Dies schließt im Übrigen auch die Ordnungsmäßigkeit der Compliance-Funktion selbst mit ein.

Verrechnungssystem für Liquiditätskosten, -nutzen und –risiken

Ich habe die Diskussionen im Rahmen der Konsultation zum Anlass genommen, die Anforderungen an Verrechnungssysteme für Liquiditätskosten, -nutzen und –risiken stärker zu differenzieren. Enthält Tz. 5 nun die allgemeine Anforderung zur Einrichtung eines solchen Verrechnungssystems, finden sich die detaillierten Anforderungen, wie sie sich auch aus den einschlägigen CEBS Guidelines ergeben, nun in den Tzn. 6 und 7 wieder. Die Anwendung dieser Anforderungen bleibt zudem auf große Institute mit komplexen Geschäftsaktivitäten beschränkt. Weniger große Institute mit weniger komplexen Geschäftsaktivitäten können hingegen einfachere Verfahren zur internen Verrechnung der Liquiditätskosten, -nutzen und –risiken zur Anwendung bringen. Insbesondere können Institute
mit vorwiegend kleinteiligem Kundengeschäft und einer stabilen Refinanzierung hierfür auf einfache Kostenverrechnungssysteme zurückgreifen. Damit werden der Masse der Institute keine unüberwindbaren Hürden für eine Umsetzung gestellt.

Auch die detaillierten Anforderungen an große Institute sind im Vergleich zum ersten Entwurf offener gestaltet. So wird nun klargestellt, dass bei der Verrechnung der Kosten, Nutzen und Risiken eine Zusammenfassung von Produkten mit gleichartigen Liquiditätseigenschaften möglich ist. Nichtsdestotrotz kann die Verrechnung nicht auf Positionsebene stehenbleiben, sondern soll möglichst auf Transaktionsebene heruntergebrochen werden. Ferner kann die Verrechnung der Kosten für das Halten von Liquiditätsreserven auf die Liquidität verbrauchenden Einheiten allgemein innerhalb des Verrechnungssystems erfolgen und muss nicht zwingend in den „originären“ internen Preisen enthalten sein.

Inkrafttreten

Die neue Fassung der MaRisk tritt mit dem 01.01.2013 in Kraft. Um den Instituten trotzdem ausreichende Umsetzungszeiträume einzuräumen, sind Anforderungen, die im MaRisk-Kontext neu sind und nicht lediglich Klarstellungen ohnehin schon vorhandener Anforderungen darstellen, bis zum 31.12.2013 umzusetzen. Die Institute müssen also bis zu diesem Tag mit Blick auf diese neuen Anforderungen nicht mit aufsichtlichen Sanktionen rechnen.

Grundsätzlich gilt Gleiches auch für die neuen Anforderungen an die Verrechnungssysteme für Liquiditätskosten, -nutzen und –risiken. Ich bin mir allerdings darüber im Klaren, dass gerade die detaillierteren Anforderungen, die sich ausschließlich an große Institute wenden, ggf. einen größeren zeitlichen Vorlauf benötigen. Ich werde daher bei der aufsichtlichen Beurteilung bezüglich dieser neuen Anforderungen über den Umsetzungszeitraum hinaus mit Augenmaß vorgehen, soweit Verzögerungen im Einzelfall nicht auf Versäumnisse des Instituts zurückzuführen sind. Ich erwarte aber, dass die Institute diesbezügliche Arbeiten frühzeitig angehen, schon vorhandene Mechanismen überprüfen – auch mit Blick auf schon existierende Anforderungen zur Identifizierung von Liquiditätskosten und –risiken – und möglichst frühzeitig Verbesserungen an ihren Systemen und Verfahren vornehmen, soweit dies möglich und sinnvoll erscheint.

Mit freundlichen Grüßen