Der Grund waren zahlreiche weitere Entwicklungen in der Bankenregulierung – auch im Hinblick auf das Risikomanagement. Als prominentestes Beispiel sei die Überarbeitung der EU-Bankenrichtlinie angeführt, die in erster Linie dazu dient, das neue Baseler Rahmenwerk zur Bankenregulierung, Basel III, in europäisches Recht zu überführen. Diese Arbeiten, die unter dem Schlagwort CRD IV laufen, dauern aktuell noch an und werden in eine neue EU-Verordnung (Capital Requirements Regulation – CRR) sowie eine deutlich geänderte EU-Bankenrichtlinie (Capital Requirements Directive – CRD) münden. Parallel dazu arbeitet der deutsche Gesetzgeber an der Umsetzung dieser künftigen EU-Vorgaben, was ein runderneutes Kreditwesengesetz zur Folge haben wird.

EBA-Leitlinien und Empfehlungen des ESRB

Aber auch die europäische Bankenaufsichtsbehörde EBA (European Banking Authority) war in dieser Zeit nicht untätig. Im Oktober 2011 veröffentlichte sie Leitlinien zur Internal Governance, die sich – wie der Name schon sagt – vor allem mit Fragen der angemessenen Governance in Banken beschäftigen. Das Komitee der europäischen Bankenaufseher CEBS (Committee of European Banking Supervisors), Vorgängerinstitution der EBA, hatte zudem Ende 2010 Leitlinien zur Allokation der Liquiditätskosten und -nutzen veröffentlicht, die bei der MaRisk-Überarbeitung 2010 nicht mehr berücksichtigt werden konnten. Zwei Empfehlungen des Europäischen Ausschusses für Systemrisiken ESRB (European Systemic Risk Board) adressierten zudem die Vergabe von Fremdwährungsdarlehen und Refinanzierungen in US-Dollar.Damit war der inhaltliche Rahmen für die MaRisk-Überarbeitung abgesteckt.

Mit Beginn des Jahres 2012 begann die BaFin gemeinsam mit der Deutschen Bundesbank, den Entwurf einer MaRisk-Anpassung zu erarbeiten. Im Fokus standen dabei in erster Linie die oben genannten Punkte. Daneben griff die Aufsicht, wie auch bei den letzten Änderungen, Aspekte aus der Verwaltungspraxis auf und integrierte sie in den Entwurf. Viele dieser Ergänzungen haben eher klarstellenden Charakter. Darüber hinaus flossen Erkenntnisse in die neuen MaRisk ein, die die Aufsicht bei den Diskussionen im Fachgremium MaRisk gewinnen konnte. Bedeutende Anpassungen finden sich vor allem in den vier MaRisk-Themenblöcken Kapitalplanung, Risikocontrolling-Funktion, Compliance-Funktion und Verrechnungssysteme für Liquiditätskosten,-nutzen und -risiken.

Kapitalplanungsprozess

Die MaRisk fordern nun, dass jedes Institut über einen Prozess zur Planung des zukünftigen Kapitalbedarfs verfügen muss. Der Aspekt der Kapitalplanung ist damit deutlich stärker akzentuiert worden. Die MaRisk enthielten auch bislang eine zukunftsgerichtete Komponente: Beim internen Prozess zur Sicherstellung der Risikotragfähigkeit mussten die Institute auch analysieren, wie sich beabsichtigte Veränderungen der eigenen Geschäftstätigkeit oder der strategischen Ziele und erwartete Veränderungen des wirtschaftlichen Umfelds auf die zukünftige Risikotragfähigkeit auswirken würden.

Mit dem nun geforderten Kapitalplanungsprozess hat die Aufsicht diesen Grundgedanken weiterentwickelt. Um künftigen Kapitalbedarf möglichst frühzeitig zu identifizieren, muss ein Zeitraum betrachtet werden, der über den – in der Regel einjährigen – Risikobetrachtungshorizont des Risikotragfähigkeitskonzeptes hinausgeht. Der Kapitalplanungsprozess soll daher einen angemessen langen, mehrjährigen Zeitraum umfassen. Er soll das Risikotragfähigkeitskonzept insofern um eine stärker zukunftsgerichtete Komponente ergänzen und Institute in die Lage versetzen, notwendige Kapitalmaßnahmen frühzeitig in Angriff nehmen zu können.

Es liegt in der Natur der Sache, dass die damit verbundene Betrachtung zukünftiger Risiken nicht mit der gleichen Genauigkeit vonstattengehen kann wie im Risikotragfähigkeitskonzept selbst. Demzufolge werden die Institute mit plausiblen Annahmen bezüglich der Entwicklung der Risiken arbeiten müssen. Allerdings müssen auch mögliche adverse – sprich: für das Institut negative – Entwicklungen, die von den Erwartungen abweichen, in die Betrachtung einfließen. Auf diese Weise lässt sich antizipieren, welche Auswirkungen auf Kapitalausstattung und -bedarf sich ergeben können, sollten die Erwartungen an die Entwicklung der Risiken und der zur Verfügung stehenden Risikodeckungspotenziale ein zu positives Bild zeichnen.

Risikocontrolling-Funktion

Dem Risikocontrolling bei wichtigen geschäfts- und risikopolitischen Entscheidungen ein deutlich stärkeres Gewicht einzuräumen, war und ist erklärtermaßen eines der großen regulatorischen Ziele. EU-Kommission und EBA haben sich dies bei ihren regulatorischen Initiativen ausdrücklich auf die Fahnen geschrieben. So überrascht es nicht, dass sowohl die Bankenrichtlinie als auch die EBA-Leitlinien zur Internal Governance dem Risikocontrolling und ihrem Leiter, dem Chief Risk Officer, eine entscheidende Rolle beimessen.

Dies hat in den neuen MaRisk Niederschlag gefunden: Der Leiter des Risikocontrollings muss nun in der Hierarchie möglichst hoch angesiedelt sein – bei großen, international tätigen Instituten ausdrücklich auf der Vorstandsebene. Damit wird gewährleistet, dass Risikothemen hochrangig, frühzeitig und mit Nachdruck aufgegriffen werden können.

Im Einklang mit den Vorgaben der geplanten Bankenrichtlinie und der EBA-Leitlinien soll die Leitung des Risikocontrollings diese Funktion grundsätzlich exklusiv ausüben. Um den Proportionalitätsgrundsatz zu wahren, kann das Institute allerdings abhängig von seiner Größe und von Art, Umfang, Komplexität und Risikogehalt der betriebenen Geschäfte davon abweichen. Eine Bündelung der Aufgabenbereiche Risikocontrolling und Finanzen/Rechnungswesen (Chief Financial Officer) in einem Vorstandsressort ist damit bei großen, international tätigen Instituten nun nicht mehr möglich. Bei weiteren Aufgaben, die nicht den Bereichen Markt oder Handel zuzuordnen sind, wird die BaFin im Einzelfall prüfen, inwieweit sie mit der Kernaufgabe des Risikocontrollings, der unabhängigen Überwachung und Kommunikation der Risiken des Instituts, im Einklang stehen und somit beim Risikovorstand angesiedelt sein dürfen.

Compliance-Funktion

Die überarbeiteten MaRisk enthalten nun auch Anforderungen, die vor allem auf eine angemessene Compliance-Organisation und -Kultur im Institut abzielen. Der Themenkomplex Compliance ist natürlich nicht neu: Selbstverständlich hat jedes Unternehmen, gleich welcher Branche, sicherzustellen, dass es gesetzliche und andere rechtliche Vorgaben einhält. Dies bedeutet indes nicht, dass alle Rechtsbereiche gleichermaßen durch gesonderte Unternehmensfunktionen oder Organisationseinheiten durchleuchtet werden müssen. In der Praxis ist es daher üblich, nur bestimmte Rechtsbereiche, nämlich solche, die unter Compliance-Gesichtspunkten mit besonderen Risiken behaftet sind, in den Aufgabenbereich einer Compliance-Funktion fallen zu lassen. Hierzu gehören aus Sicht der BaFin zwingend die Bereiche Wertpapierdienstleistungen, Geldwäsche, Verhinderung (interner und externer) doloser Handlungen, Datenschutz und allgemeiner Verbraucherschutz (zum Beispiel bei Kreditgeschäften). Darüber hinaus haben die Institute gemäß den MaRisk eigenverantwortlich zu prüfen, in welchen Bereichen weitere besondere Compliance-Risiken existieren, die von der Compliance-Funktion aufzugreifen sind.

Zu bestimmten Themenfeldern existieren bereits aufsichtliche Compliance-Vorgaben, beispielsweise im Wertpapierhandelsgesetz (WphG) oder in den Vorschriften des Kreditwesengesetzes (KWG) zur Geldwäscheprävention. Es dürfte daher aus Institutssicht sinnvoll erscheinen zu prüfen, inwieweit das erweiterte Compliance-Spektrum in die schon vorhandenen Organisationsstrukturen eingefasst werden kann. Die MaRisk machen dazu keine Vorgaben. Grundsätzlich wird es demnach weiterhin möglich sein, die Compliance-Funktion zentral oder dezentral, also nach Rechtsbereichen getrennt, aufzustellen. Auch eine Anbindung an andere Kontrolleinheiten wie beispielsweise das Risikocontrolling ist im Grundsatz möglich – allerdings müssen die Institute die speziellen Compliance-Vorgaben aus anderen Rechtsbereichen beachten, was die direkte Berichtspflicht und organisatorische Anbindung von Compliance-Beauftragten angeht. Ausgeschlossen ist dagegen, dass die Interne Revision Compliance-Aufgaben wahrnimmt, da diese keine prozessabhängigen Kontrollen durchführen kann und soll.

Verrechnungssystem für Liquiditätskosten, -nutzen und -risiken

Auf Basis der Guidelines on Liquidity Cost Benefit Allocation des EBA-Vorgängers CEBS, die wiederum auf einer Vorgabe der geplanten EU-Bankenrichtlinie beruhen, hat die Aufsicht die Anforderungen an die Verrechnung von Liquiditätskosten, -nutzen und -risiken in den neuen MaRisk konkreter gefasst. Die Institute haben nun hierfür ein geeignetes System einzurichten, dessen Ausgestaltung von Größe sowie Art, Umfang, Komplexität, Risikogehalt und Refinanzierungsstruktur der Institute abhängt.

Um dem Proportionalitätsprinzip ausreichend Geltung zu verschaffen, hat die BaFin bei der Umsetzung entsprechend differenziert: Institute mit überwiegend kleinteiligem Kundengeschäft und einer stabilen Refinanzierung können auf ein einfaches Kostenverrechnungssystem zurückgreifen. Große Institute mit komplexen Geschäftsaktivitäten haben hingegen ein Liquiditätstransferpreissystem zu etablieren, das dadurch gekennzeichnet ist, dass Kosten, Nutzen und Risiken durch zentral gestellte Transferpreise bank-intern transferiert werden.

Ziel eines solchen Systems ist es, die Liquidität bindenden Vermögensgegenstände verursachungsgerecht, also möglichst auf Transaktionsebene, mit den jeweiligen Kosten für Liquidität zu belasten und so eine interne Steuerungswirkung zu entfalten. Naturgemäß spielen die Haltedauer und die Marktliquidität der Vermögensgegenstände dabei eine wichtige Rolle, weshalb die Institute diese Aspekte ausdrücklich berücksichtigen müssen. Ferner hat ein solches System auch die Kosten für vorzuhaltende Liquiditätsreserven zu verrechnen, wobei diese Verrechnung auch separat erfolgen kann. Aber auch dabei ist darauf zu achten, dass die interne Belastung mit Liquiditätskosten möglichst verursachungsgerecht erfolgt.