Die letzte Neufassung der MaRisk vom 14.12.2012 (Rundschreiben 10/2012 (BA)) steckt den Instituten noch in den Knochen. Vor knapp drei Jahren gaben übergeordnete Richtlinien und Empfehlungen (Internal Governance, Liquiditätskosten/-nutzen, Fremdwährungsgeschäft) Anlass zur Veröffentlichung der vierten MaRisk-Novelle in der gewohnten Form einer normeninterpretierenden Verwaltungsvorschrift zu § 25a KWG. Zentrale Handlungsfelder betrafen die obligatorische Einrichtung einer Risikocontrolling- und einer Compliance-Funktion, eines mehrperiodischen Kapitalplanungsprozesses im Rahmen der Risikotragfähigkeit und erweiterter Steuerungsmechanismen im Bereich des Liquiditätsrisikos (Liquiditätstransferpreissystem, Fremdwährungsrisiken).
Mit Blick auf die Fülle der allein durch die CRD-IV-Umsetzung angestoßenen Veröffentlichung zahlreicher Umsetzungs- und Regulierungsstandards durch die European Banking Authority (EBA) überrascht es nicht, dass nun nach knapp drei Jahren eine neuerliche Überarbeitung der MaRisk anscheinend kurzfristig bevorsteht. Die Veröffentlichung des Referentenentwurfs des "Single Resolution Mechanism (SRM)"-Anpassungsgesetzes ("SRM-AnpG") durch das Bundesfinanzministerium im März diesen Jahres gibt einen ersten Einblick in die zu erwartenden Neuregelungen.
Wesentlicher Anstoß für die bevorstehende Novellierung der MaRisk sind auch dieses Mal internationale Regulierungsinitiativen, die gemeinhin als Antwort auf die Lehren der Finanzmarktkrise zu sehen sind. Von besonderer Bedeutung für die nun anstehenden Neuregelungen sind dabei die "Principles for effective risk data aggregation and risk reporting" des Baseler Ausschuss für Bankenaufsicht (Basel Committee for Banking Supervision, BCBS 239) vom Januar 2013.
Eine konzeptionelle Neuerung betrifft die Aufnahme des Begriffs "systemrelevant" in das Vokabular der MaRisk. Für systemrelevante Institute zeichnen sich hinsichtlich bestimmter Regelungsbereiche künftig explizit strengere Anforderungen ab.
Die Kernpunkte der zu erwartenden MaRisk-Neuregelungen gemäß SRM-AnpG Referentenentwurf betreffen (ohne Anspruch auf Vollständigkeit):
- Risikoberichterstattung: Die Erstellung von anlassbezogenen "Ad-hoc"- Risikoberichten sehen wir trotz der im Gesetzesentwurf vorgenommen Einstufung ("mittlere Komplexität") als einen Haupt-Aufwandstreiber, sowohl konzeptionell als auch umsetzungsbezogen. Ferner ist ein Quartals-Risikobericht zeitnah an Geschäftsleitung und Aufsicht zu übermitteln. "Zeitnah" wird bisher nicht näher definiert, von uns mit der Aufsicht geführte Gespräche lassen aber auf einen Zeitrahmen von etwa zwei Wochen nach Quartalsende schließen.
- Risikodatenaggregation: Systemrelevante Institute müssen künftig Risikodaten angemessen managen. Beispielsweise ist sicherzustellen, dass die Risikodaten vollständig und nach unterschiedlichen Kategorien auswertbar sind. Die Datenqualität der Risikodaten ist zu überwachen. Die Risikodaten sind anhand anderer Informationen zu plausibilisieren. Der Einsatz und der Umfang manueller Prozesse und Eingriffe sind zu begründen und zu dokumentieren.
- Interne Revision: Obligatorisch wird ein vierteljährlicher Gesamtbericht an die Geschäftsleitung und das Aufsichtsorgan. Ferner ist in die Prüfungsplanung eine Wesentlichkeitseinstufung von Aktivitäten und Prozessen vorzunehmen und das Verlustpotenzial zu berücksichtigen, das durch Manipulationen der Mitarbeiter entstehen kann. Gruppenübergreifend sind Prüfungsansätze zu harmonisieren.
- Outsourcing: Gefordert wird eine Risikoanalyse nach instituts- bzw. gruppenübergreifend einheitlichen Kriterien. Risikokonzentrationen und Risiken aus Weiterverlagerungen sind dabei zu berücksichtigen. Ein zentraler Beauftragter für das gesamte Auslagerungsmanagement ist zu ernennen. Höhere Maßstäbe werden bei Auslagerungen von Steuerungs- und Kontrollbereichen gefordert. Es ist in diesem Zuge zu prüfen, ob die vollständige Auslagerung noch der Ordnungsmäßigkeit der Geschäftsorganisation entspricht. Bei gruppeninterner Auslagerung sind ein Gruppenrisikomanagement und Durchgriffsrechte sicherzustellen. Für wesentliche Auslagerungen ist eine Ausstiegsstrategie festzulegen. Ferner sind dem auslagernden Institut Zustimmungsvorbehalte einzuräumen und dem Auslagerungsunternehmen Informationspflichten aufzuerlegen.
Weitere Neuerungen betreffen unter anderem den Neu-Produkt-Prozess gemäß AT 8.1 MaRisk. Gefordert wird künftig eine mindestens jährliche Überprüfung, ob der NPP in der Rückschau zu einem sachgerechten Umgang mit neuen Produkten oder neuen Märkten geführt hat. Auch dem Management der Risiken aus der Erhöhung der eigenen Refinanzierungskosten wird gemäß Gesetzentwurf ein höherer Stellenwert unter BTR 3.1 MaRisk (d.h. relevant auch für nicht-kapitalmarktorientierte Institute) beigemessen. Dem ließe sich zum Beispiel anhand der LVaR-Methode angemessen Rechnung tragen. Übergreifend reiht sich in die Pflichten der Geschäftsleitung künftig die Förderung der Risikokultur ein. Eine tabellarische Übersicht über die gemäß Gesetzesentwurf zu erwartenden MaRisk-Neuregelegungen inklusive einer individuellen Würdigung seitens der Autoren liegt als Anlage zu diesem Beitrag auf der Webseite der TriSolutions GmbH bereit.
Im Zuge des EU-weit zu vereinheitlichenden Abwicklungsmechanismus wird im Entwurf des SRM AnpG überdies eine rechtliche Aufwertung der MaRisk von dem bisher nicht rechtsverbindlichen Rundschreiben hin zu einer Verordnung in Aussicht gestellt ("Verordnungsermächtigung"). Begründet wird dieser Schritt mit einer für beide Parteien – Aufsicht und Institute – erhöhten Rechtssicherheit sowie den hierdurch erreichten erweiterten Eingriffsrechten (aufsichtliche Maßnahmen und Sanktionen). Die Industrie sieht hingegen die bisherige Methodenfreiheit und den Proportionalitätsgrundsatz der MaRisk durch Umwidmung zu einer Rechtsverordnung gefährdet. Diese Sichtweise kommt in der Stellungnahme zum Referentenentwurf SRM-AnpG der deutschen Kreditwirtschaft zum Ausdruck.
Fazit: Der Referentenentwurf des SRM-Anpassungsgesetzes gibt unter anderem einen Einblick in die wahrscheinlich bevorstehenden Anpassungen von KWG und MaRisk. Inhaltlich stehen erweiterte Pflichten in Hinblick auf die Risikoberichterstattung, das Management von Risikodaten, Anforderungen an die Interne Revision und das Outsourcing im Vordergrund. Im Gefüge der Normenhierarchie sollen die bisher als Rundschreiben veröffentlichten MaRisk künftig rechtsverbindlichen Verordnungscharakter erlangen. Bei der Fülle der Neuregelungen gibt es jedoch einen "kleinen" Lichtblick: Ginge es nach dem Gesetzesentwurf, so würde künftig die Pflicht zur Einhaltung von § 11 KWG und folglich zur Meldung nach der Liquiditätsverordnung wegfallen.
Die Autoren:
Dr. Olaf Jäger-Roschko und Dr. Hannu Christian Wichterich sind Berater bei der TriSolutions GmbH, einer auf Risikomanagement und Gesamtbanksteuerung spezialisierten Unternehmensberatung.