Je komplexer die Märkte werden, desto besser müssen Banken darauf vorbereitet sein, auch auf neu entstehende Risiken schnell reagieren können. Schwächen in der Unternehmensführung können nicht nur für den Finanzsektor, sondern auch für das gesamte Wirtschaftssystem erhebliche Folgen haben. Darum schaffen die neuen MaRisk eine stärkere Grundlage für eine nachhaltige Unternehmensführung. Wichtige Schalthebel sind hier das bankinterne Check-and-Balance-System und das Risikobewusstsein bei den Instituten. Der bewährte prinzipienorientierte Charakter der MaRisk blieb dabei erhalten, damit die Banken in der Praxis genügend Spielraum für die Umsetzung haben.

Bei der Konsultation im Frühjahr 2016 hatten Banken und Verbände Gelegenheit, den Entwurf zu kommentieren (siehe BaFinJournal April 2016). Verschiedene Aspekte aus den Stellungnahmen und anschließenden Diskussionen sind in die Endfassung eingeflossen und werden die praktische Umsetzung durch die Banken erleichtern.

Internationale Entwicklungen

Im Jahr 2014 wurde nicht nur die europäische Bankenaufsicht komplett neu geordnet, indem der Europäischen Zentralbank die Aufsicht über die bedeutenden Institute der Eurozone übertragen wurde. Durch die Eigenmittelrichtlinie CRD IV (Capital Requirements Directive IV) und die Eigenmittelverordnung CRR (Capital Requirements Regulation) erhöhten sich außerdem die regulatorischen Anforderungen an die Banken.

Mehrere Papiere internationaler Standardsetzer brachten weitere Anforderungen an das Risikomanagement von Banken mit sich. 2013 veröffentlichte der Basler Ausschuss für Bankenaufsicht BCBS Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung, zwei Jahre später überarbeitete Leitlinien zur Unternehmensführung. 2014 gab der Finanzstabilitätsrat FSB einen Leitfaden zum Zusammenwirken von Aufsicht und Finanzinstituten bei der Risikokultur heraus (siehe dazu auch BaFinJournal August 2015).

Datenaggregation: Systemrelevante Institute

Damit Risiken schnell erkannt und bewältigt werden können, ist es von entscheidender Bedeutung, dass die relevanten Informationen die verantwortlichen Entscheidungsträger schnell erreichen. Dafür müssen die Daten in kürzester Zeit vorliegen und zwar möglichst vollständig und genau. Gerade in Stressphasen sind belastbare Risikodaten wichtig. Vor allem bei größeren und komplexen Instituten hat die Aufsicht hier Mängel festgestellt.

Daher hat die BaFin die Anforderungen an die Datenaggregation erhöht. Das neue Modul AT 4.3.4 gilt ausschließlich für global und anderweitig systemrelevante Institute. Ihre IT-Infrastruktur soll eine umfassende und genaue Aggregation der Risikopositionen ermöglichen und dem Berichtswesen der Bank diese Informationen zeitnah zur Verfügung stellen. So können nicht nur Informationen, die das Management für die Identifizierung, Überwachung und Steuerung von Risiken benötigt, schneller generiert, sondern auch instituts- und konzernweite Entscheidungsprozesse verbessert werden.

Datenstruktur und -hierarchie sollen gewährleisten, dass die Daten zweifelsfrei identifiziert, zusammengeführt und ausgewertet werden können. Dafür sind instituts- und gruppenweit geltende Grundsätze für das Datenmanagement, die Datenqualität und die Aggregation von Risikodaten festzulegen, die von der Geschäftsleitung zu genehmigen und in Kraft zu setzen sind. Außerdem sind für alle Prozessschritte Verantwortlichkeiten festzulegen und Kontrollen einzurichten. Eine Stelle, die von den geschäftsinitiierenden beziehungsweise -abschließenden Organisationseinheiten unabhängig ist, hat außerdem zu prüfen, ob die institutsinternen Regelungen, Verfahren, Methoden und Prozesse von den Mitarbeitern eingehalten werden.

Risikoberichte: Alle Institute

Im neuen Modul BT 3 hat die BaFin die Anforderungen an die Risikoberichterstattung zusammengeführt. Es richtet sich an alle Institute. Hier gilt natürlich weiterhin das Proportionalitätsprinzip (siehe dazu auch das Interview mit Raimund Röseler im BaFinJournal April 2017). Am grundsätzlichen Meldeturnus ändert sich durch das neue Modul zwar nichts. Die Geschäftsleitung hat das Aufsichtsorgan weiterhin mindestens einmal pro Quartal schriftlich über die Risikosituation zu informieren. Sie ist außerdem verpflichtet, ihm Informationen, die unter Risikogesichtspunkten wesentlich sind, unverzüglich weiterzuleiten. Die BaFin erwartet allerdings, dass systemrelevante Institute bestimmte Berichte aufgrund der Anforderungen des AT 4.3.4 künftig schneller erstellen als bislang teilweise üblich.

Für alle Institute gilt: Sie müssen regelmäßige Risikoberichte erstellen und in der Lage sein, bei Bedarf kurzfristig Risikoinformationen zu generieren. Die Risikoberichterstattung muss nachvollziehbar und aussagefähig sein und die Risikosituation nicht nur darstellen, sondern auch beurteilen. Ferner stellen die MaRisk klar, dass die Risikoberichte auf vollständigen, genauen und aktuellen Daten beruhen müssen. Diese Anforderungen sind vor dem Hintergrund der betriebenen Geschäfte und eingegangenen Risiken relativ zu sehen – jedes Institut soll Informationen in der Qualität generieren, die zur Steuerung und Überwachung der Risiken tatsächlich erforderlich ist. Die Messlatte für systemrelevante Institute liegt hier deutlich höher als bei kleinen Instituten mit wenig komplexen Aktivitäten. Die Risikoberichte sollen darüber hinaus eine Einschätzung der künftigen Risiken enthalten. Bei Bedarf sind auch Handlungsvorschläge aufzunehmen, beispielsweise zur Risikoreduzierung. Auf besondere Risiken für die Geschäftsentwicklung und die Maßnahmen, die die Geschäftsleitung in diesem Zusammenhang plant, muss die Risikoberichterstattung gesondert eingehen.

Risikokultur

Die aktuellen Diskussionen rund um das Betreiben von Briefkastenfirmen (Panama Papers) und Dividendenstripping beziehungsweise Cum-ex-Geschäfte machen eines deutlich: Moralisch zumindest fragwürdiges Verhalten hat, unabhängig von der Frage der Rechtmäßigkeit, nicht nur unmittelbare Auswirkungen auf ein einzelnes Institut. Es schwächt außerdem das Vertrauen in den gesamten Bankensektor. Die BaFin hat daher die Unternehmens- und Risikokultur stärker in den aufsichtlichen Fokus gerückt.

Grundlage hierfür ist AT 3 MaRisk. Demnach sind die Geschäftsleiter künftig verpflichtet, eine angemessene Risikokultur zu entwickeln, im Institut zu integrieren und zu fördern. Ziel ist es, auf allen Ebenen eines Instituts ein Risikobewusstsein zu schaffen, das das tägliche Denken und Handeln aller Mitarbeiter prägt. Sie sollen sich im täglichen Geschäft bewusst und kritisch mit Risiken auseinandersetzen. Voraussetzung ist, dass die Geschäftsleitung, aber auch andere Führungsebenen klar kommunizieren, welches Verhalten gewünscht ist und welches nicht. Wesentlich hierfür ist aber auch, dass auf allen Ebenen klare Verantwortlichkeiten festgelegt und den Mitarbeitern die Konsequenzen möglicher Verstöße bewusst sind. Ein Verhaltenskodex, wie AT 5 ihn jetzt fordert, ist hier eine wichtige Hilfe.

Weitere Voraussetzung für eine angemessene Risikokultur ist, dass das Institut einen kritischen internen Dialog über risikorelevante Themen etabliert, den die jeweiligen Führungskräfte auch fördern. Sind Mitarbeiter und das Management offen für alternative Sichtweisen, ist gewährleistet, dass bei Entscheidungen alle Faktoren berücksichtigt werden.

Um die Motivation zu fördern, sich entsprechend des Wertesystems zu verhalten und keine übermäßigen Risiken einzugehen, sind angemessene Anreizstrukturen und eine auf Nachhaltigkeit ausgerichtete Vergütung wichtige Faktoren. Ethisch und ökonomisch wünschenswertes Verhalten sollte sich aber auf keinen Fall nur im Gehalt widerspiegeln. Auch Auszeichnungen und andere karrierefördernde Instrumente können wichtige Anreize darstellen.

Auslagerungen

Die neuen MaRisk konkretisieren zudem die Anforderungen an die Auslagerung von Prozessen und Tätigkeiten, da hier in der Praxis vielfach Mängel deutlich wurden. Vor allem regeln sie nun klarer, wo die Grenzen der Auslagerbarkeit liegen. Die Verwaltung besonderer, mit Auslagerungen verbundener Risiken soll effektiver zu gestaltet werden, um insbesondere Kontrollverluste zu vermeiden und dem Verlust von Expertise vorzubeugen.

Die Risikocontrolling- und die Compliance-Funktion als auch die Interne Revision sollen daher künftig möglichst in den Instituten verbleiben. Eine vollständige Auslagerung der Kontrollfunktionen und der Internen Revision ist lediglich für Tochterinstitute innerhalb einer Gruppe zulässig, und auch dies nur unter bestimmten Voraussetzungen. Erleichterungen sind außerdem für kleinere Institute vorgesehen. Sie können ihre Compliance-Funktion und die Interne Revision weiterhin vollständig auslagern, sofern deren Einrichtung angesichts der Institutsgröße sowie der Art, des Umfangs, der Komplexität und des Risikogehalts der betriebenen Geschäftsaktivitäten nicht angemessen erscheint. Auslagerungen einzelner Tätigkeiten und Prozesse der Kontrollfunktionen und Internen Revision sind dagegen für alle Institute weiterhin möglich.

Die MaRisk stellen nun außerdem klar, dass das Institut bei Auslagerungen von Aktivitäten und Prozessen in Kontroll- und Kernbankbereichen weiterhin über Kenntnisse und Erfahrungen verfügt muss, die eine wirksame Überwachung der Dienstleistungen des Auslagerungsunternehmen gewährleisten. Außerdem hat das Institut sicherzustellen, dass der ordnungsgemäße Betrieb in den ausgelagerten Bereichen auch fortgesetzt werden kann, wenn das Auslagerungsverhältnis endet oder sich die Gruppenstruktur ändert.

Die MaRisk fordern darüber hinaus zumindest von Instituten mit umfangreichen Auslagerungen ein zentrales Auslagerungsmanagement. Dies soll gewährleisten, dass eine zentrale Stelle den Gesamtüberblick über ausgelagerte Aktivitäten und Prozesse hat und die Geschäftsleitung bei der Steuerung und Überwachung der damit verbundenen Risiken unterstützen kann. Mindestens einmal jährlich soll das Auslagerungsmanagement der Geschäftsleitung einen Bericht über die wesentlichen Auslagerungen übermitteln, in der es beurteilt, ob die Dienstleistungen der Auslagerungsunternehmen den vertraglichen Vereinbarungen entsprechen, die ausgelagerten Aktivitäten und Prozesse angemessen gesteuert und überwacht werden können und ob weitere risikomindernde Maßnahmen ergriffen werden sollten.

Hinzu kommen weitere Klarstellungen, etwa zu Weiterverlagerungen, zur Abgrenzung vom Fremdbezug – gerade mit Blick auf eingesetzte Software – und zum Umgang mit unbeabsichtigten Beendigungen von Auslagerungen.