Fachbeiträge & Kommentare zu Risikomanagement

Rz. 63 Die Risikokultur beschreibt allgemein die Art und Weise, wie Mitarbeiter des Institutes im Rahmen ihrer Tätigkeit mit Risiken umgehen (sollen). Sie soll die Identifizierung und den bewussten Umgang mit Risiken fördern und sicherstellen, dass Entscheidungsprozesse zu Ergebnissen führen, die auch unter Risikogesichtspunkten ausgewogen sind. Die Risikokultur stellt somit...mehr

Rz. 160 Die BaFin kann gemäß § 44 Abs. 1 KWG Prüfungen bei den Instituten anordnen.[1] Sie beauftragt mit diesen Sonderprüfungen regelmäßig Dritte, wie Wirtschaftsprüfungsgesellschaften, Prüfungsverbände oder die Deutsche Bundesbank. Eigene Prüfungen führt die BaFin nur in überschaubarem Umfang durch. Durch die Sonderprüfungen wird die BaFin in die Lage versetzt, umfangreich...mehr

Rz. 2 Maßgeblich für den Anwenderkreis der MaRisk auf Institutsebene ist der Institutsbegriff nach den §§ 1 Abs. 1b und 53 Abs. 1 KWG. Rz. 3 Gemäß § 1 Abs. 1b KWG zählen zu den Instituten im Sinne des Kreditwesengesetzes sowohl Kreditinstitute (§ 1 Abs. 1 KWG) als auch Finanzdienstleistungsinstitute (§ 1 Abs. 1a KWG). Erfasst werden daher alle deutschen Kredit- und Finanzdien...mehr

Rz. 63 Gemäß Tz. 2.2 BAIT ist die Geschäftsleitung dafür verantwortlich, dass auf Basis der IT-Strategie die Regelungen zur IT-Aufbau- und IT-Ablauforganisation festgelegt und bei Veränderungen der Aktivitäten und Prozesse zeitnah angepasst werden. Es ist sicherzustellen, dass diese Regelungen wirksam umgesetzt werden. Rz. 64 Laut Tz. 4.4 BAIT hat die Geschäftsleitung die Fun...mehr

Rz. 2 Naturkatastrophen, Terroranschläge, Pandemien oder Hackerangriffe können Unterbrechungen der innerbetrieblichen Geschäftsabläufe zur Folge haben, die sich im Extremfall aufgrund der Vernetzung der internationalen Finanzmärkte zu globalen Krisen ausweiten. Aber auch weniger spektakuläre Ereignisse können bei Instituten zu gravierenden Beeinträchtigungen führen, wie z. B...mehr

Rz. 185 In Deutschland haben sich die von BaFin und Bundesbank im Jahr 2005 erstmals veröffentlichten MaRisk zur Konkretisierung der gesetzlichen Anforderungen gemäß § 25a Abs. 1 KWG und § 25b KWG bewährt. Bei dem Rundschreiben handelt es sich um norminterpretierende Verwaltungsvorschriften, die für die Institute rechtlich nicht verbindlich sind. Sie tragen jedoch als "Bench...mehr

Rz. 125 Die Weiterentwicklung der IT-Systeme ist oftmals ein komplexes Unterfangen und erfordert nicht selten eine gut funktionierende Projektstruktur. Die BaFin erwartet daher laut Tz. 7.2 BAIT, dass die organisatorischen Grundlagen für "IT-Projekte" und die Kriterien für deren Anwendung geregelt werden. Dabei sind u. a. folgende Aspekte zu berücksichtigen: Einbindung betrof...mehr

Rz. 9 Die Finanzmarktkrise im Jahr 2008 hat eindrucksvoll gezeigt, dass Unternehmenskrisen im Banken- und Versicherungssektor zu erheblichen Verwerfungen auf den Finanzmärkten führen können – mit entsprechend negativen Auswirkungen auf die Unternehmen des Finanzsektors sowie die Realwirtschaft. Darüber hinaus haben die notwendig gewordenen staatlichen Stützungsmaßnahmen die ...mehr

Rz. 2 Die technisch-organisatorische Ausstattung umfasst die Gesamtheit der Einrichtungen und Anlagen zur Leistungserstellung eines Institutes. Hierzu zählen z. B. Grundstücke, Gebäude, Büromaterial oder Aufbewahrungsmöglichkeiten. Es ist evident, dass sich z. B. hinsichtlich der Gebäude bei einem Institut mit weit verzweigtem Filialnetz andere Fragen ergeben als bei einem I...mehr

Rz. 9 Die Bankenaufsicht muss ebenfalls ihre Lehren aus den jeweils relevanten Ereignissen der Vergangenheit ziehen. Um den grenzüberschreitenden Aktivitäten vieler Institute gerecht zu werden, muss auch die Zusammenarbeit der Aufsichtsbehörden weiter vorangetrieben werden. Ferner werden seit einigen Jahren makroökonomische Entwicklungen bei der Beaufsichtigung der Institute...mehr

Rz. 10 Die dem Risikomanagementbegriff der MaRisk zugrunde liegende Systematik ist durch die verschiedenen Novellierungen des § 25a Abs. 1 KWG ebenfalls weitgehend unberührt geblieben. Auch für die Anforderungen an das Risikomanagement gilt grundsätzlich das Proportionalitätsprinzip: Die Ausgestaltung des Risikomanagements hängt von Art, Umfang, Komplexität und Risikogehalt ...mehr

Rz. 98 Im Zusammenhang mit dem Management der operationellen Risiken (→ BTR 4) wird von der EBA eine Reihe von Unterkategorien genannt, die von den Instituten im Risikomanagement und den zuständigen Behörden beim SREP zu berücksichtigen sind. Dazu gehören u. a. auch Auslagerungsrisiken sowie Informations- und Kommunikationstechnologie-Risiken (IKT-Risiken). Das "IKT-Auslager...mehr

Rz. 230 Die prominenteste Schwester der MaRisk für Banken und Finanzdienstleistungsinstitute waren die im Januar 2009 von der BaFin veröffentlichten "Mindestanforderungen an das Risikomanagement von Versicherungsunternehmen" (MaRisk VA).[1] Die MaRisk VA gaben auf der Basis des damaligen § 64a des Gesetzes über die Beaufsichtigung der Versicherungsunternehmen (VAG) einen Rah...mehr

Rz. 98 Gemäß § 25a Abs. 1 Satz 4 KWG hängt die Ausgestaltung des Risikomanagements von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten eines Institutes ab. Das mit dem "Finanzmarktrichtlinie-Umsetzungsgesetz" (FRUG)[1] in das KWG aufgenommene Proportionalitätsprinzip ist die Grundlage für den prinzipienorientierten Ansatz der MaRisk. Der Grundsatz der Prop...mehr

Rz. 55 Defizite in der Unternehmensführung, mangelhafte kulturelle Grundlagen und ein bedeutendes kulturelles Versagen werden als Hauptgründe für die Finanzmarktkrise im Jahr 2008 sowie die Skandale der letzten Jahre genannt.[1] Diese Gründe haben dazu beigetragen, dass eine Reihe von Instituten übermäßig hohe Risiken eingegangen ist, was letztlich zum Ausfall einzelner Inst...mehr

Rz. 10 Nach § 25a Abs. 1 KWG muss ein Institut über eine ordnungsgemäße Geschäftsorganisation verfügen, die insbesondere ein angemessenes und wirksames Risikomanagement umfasst, auf dessen Basis ein Institut die Risikotragfähigkeit laufend sicherzustellen hat. Die Geschäftsleiter sind für die ordnungsgemäße Geschäftsorganisation des Institutes verantwortlich. Ein angemessene...mehr

Rz. 115 Die interne Berichterstattung über ESG-Risiken kann sich auch an den Anforderungen an die Offenlegung zu ESG-Risiken orientieren. Schließlich lassen sich aus den aufsichtsrechtlich vorgegebenen Kennzahlen, die von (einigen) Instituten offengelegt werden müssen, immer auch gewisse Rückschlüsse auf die Erwartungen der Aufsichtsbehörden in diesem Bereich ziehen. Unabhän...mehr

mehr

Rz. 43 Die BaFin und die EZB haben ihre Vorstellungen zum Umgang mit ESG-Risiken frühzeitig formuliert.[1] Auf europäischer Ebene hat die deutsche Aufsicht damit eine Vorreiterrolle eingenommen, gefolgt von Veröffentlichungen der niederländischen Zentralbank (De Nederlandsche Bank, DNB)[2], der französischen Finanzaufsichtsbehörde (Autorité de Contôle Prudentiel et de Résolu...mehr

Rz. 173 Bei den MaRisk handelt es sich – wie schon bei den vorherigen qualitativen Regelwerken – um norminterpretierende Verwaltungsvorschriften der BaFin (→ AT 1 Tz. 1). Sie legen unbestimmte Rechtsbegriffe der §§ 25a und 25b KWG aus und bringen damit auf transparente Weise zum Ausdruck, was die BaFin z. B. unter einem "angemessenen Risikomanagement", "Strategien" und "inte...mehr

Rz. 46 Die ab dem Jahr 2007 anhaltende Finanzmarktkrise hatte die internationale Staatengemeinschaft dazu veranlasst, eine Reform der globalen Finanzarchitektur in Angriff zu nehmen. Hierzu hatte die G20[1] anlässlich ihres Gipfels Ende September 2009 in Pittsburgh eine ganze Reihe von Vorgaben formuliert, die weltweit umgesetzt werden sollten. Das Programm reichte von einer...mehr

Rz. 208 Mit Anwendung des Digital Operational Resilience Acts (DORA) ab dem 17. Januar 2025 müssen Institute, die Aktivitäten und Prozesse auslagern und dabei gleichzeitig als Finanzunternehmen eine vertragliche Vereinbarung über IKT-Dienstleistungen abschließen, bei der Durchführung der Risikoanalyse und Due-Diligence-Prüfung zusätzliche Anforderungen gemäß Art. 28 Abs. 4 u...mehr

Rz. 144 Im Zuge der fünften MaRisk-Novelle wurde die Abgrenzung zwischen einer Auslagerung und dem sonstigen Fremdbezug von Leistungen im Bereich der Software und der zugehörigen Unterstützungsleistungen neu geregelt. Die Aufsicht trägt damit der zunehmenden Bedeutung der Informationstechnik (IT) als Basisinfrastruktur für sämtliche fachlichen und nicht-fachlichen Prozesse i...mehr

Rz. 176 Zwar sind mit Informations- und Kommunikationstechnologien (IKT) sowohl Chancen als auch Risiken verbunden. Die IKT-Risiken bleiben nach Einschätzung der EU-Kommission aber trotz zahlreicher regulatorischer Maßnahmen in erster Linie eine Herausforderung für die "Betriebsstabilität", die Leistungsfähigkeit der Institute und die Stabilität des Finanzsystems in der EU. ...mehr

Rz. 17 Nach § 25a Abs. 3 KWG sind die Geschäftsleiter des übergeordneten Unternehmens einer Institutsgruppe, Finanzholding-Gruppe, gemischten Finanzholding-Gruppe und die Geschäftsleiter des zur Unterkonsolidierung verpflichteten Unternehmens einer Unterkonsolidierungsgruppe gemäß Art. 22 CRR für die Einhaltung der aufsichtsrechtlichen Anforderungen auf Gruppenebene verantwo...mehr

Rz. 57 Die Geschäftsfortführungspläne müssen als Bestandteil des Notfallkonzeptes gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Hierzu gehören Maßnahmen, die bis zur Wiederherstellung des Normalbetriebes die Handlungsfähigkeit des Institutes sicherstellen. In Geschäftsfortführungsplänen können z. B. folgende Punkte geregelt werden: die Festlegung...mehr

Rz. 52 Der Baseler Ausschuss für Bankenaufsicht (BCBS) hat explizit klargestellt, dass sich die Grundsätze an die systemrelevanten Institute richten und sowohl auf Konzernebene (bzw. Gruppenebene) als auch auf Ebene der wesentlichen Einzelinstitute innerhalb der Gruppe anzuwenden sind.[1] Die deutsche Aufsicht erwartet entsprechend, die Anforderungen nicht nur auf Gruppenebe...mehr

Rz. 34 Seit der erstmaligen Veröffentlichung der MaRisk im Jahr 2005 hat der Wortlaut zur Gesamtverantwortung der Geschäftsleitung einige interessante Änderungen erfahren. Zunächst hieß es, dass die Geschäftsleiter ihrer Verantwortung für das Risikomanagement nur gerecht werden, wenn sie die Risiken beurteilen können und die erforderlichen Maßnahmen zu ihrer Begrenzung treff...mehr

Rz. 139 Gestaltungsmöglichkeiten ergeben sich auch aus unbestimmten Rechtsbegriffen (z. B. "wesentlich" oder "angemessen"), deren Präzisierung für allgemeingültige Zwecke weder möglich noch zweckmäßig ist. Auch hier müssen Institute – innerhalb des ihnen zustehenden Beurteilungsspielraumes – eine sachgerechte, einzelfallabhängige Lösung zur Auslegung und Umsetzung der entspr...mehr

Rz. 130 Seit der siebten MaRisk-Novelle sind bei der mindestens jährlichen Identifizierung und Beurteilung der wesentlichen operationellen Risiken die Auswirkungen von ESG-Risiken angemessen zu berücksichtigen. Diese Anforderung ergibt sich bereits aus den Vorgaben zur Risikoinventur. So muss sich die Geschäftsleitung bei der regelmäßigen und anlassbezogenen Beurteilung der ...mehr

Rz. 21 Eine zentrale Regulierung i. R. d. Sustainable Corporate Governance stellt das sog. " Lieferkettensorgfaltspflichtengesetz " (LkSG; § 15) dar. Wenngleich andere europäische Staaten, z. B. das Vereinigte Königreich und Frankreich, in den vergangenen Jahren ähnliche Gesetze erlassen haben, hat sich auf EU-Ebene neben der CSR-Richtlinie und der EU-Konfliktmineralien-Verord...mehr

Rz. 30 Zunächst hat die Risikocontrolling-Funktion die Aufgabe, die Geschäftsleitung bei der Behandlung aller risikopolitischen Fragestellungen zu unterstützen. Diese Anforderung läuft auf eine maßgebliche Beteiligung des Risikocontrollings an der Ausarbeitung und Umsetzung der Risikopolitik hinaus. Die "Risikopolitik" des Institutes wird von der Geschäftsleitung grundsätzli...mehr

Rz. 77 Für eine angemessene Risikokultur ist es wesentlich, dass die Mitglieder der Geschäftsleitung und die Mitarbeiter ihr eigenes Verhalten am Wertesystem des Institutes ausrichten und dabei die Vorgaben zum Risikoappetit und zu den Risikolimiten berücksichtigen. Sie sollten in der Lage sein, ihre Aufgaben wahrzunehmen, und sich bewusst sein, dass sie für ihre Handlungen ...mehr

Rz. 220 Der Aufsichtsansatz der BaFin bleibt nicht bei der Ausarbeitung eines umfassenden Regelwerkes zum Risikomanagement stehen, denn der offene Charakter der MaRisk stellt auch für die Bankenaufseher eine Herausforderung dar. Die Frage, was im Einzelfall angemessen ist oder nicht, wird sich in vielen Fällen nur vor dem Hintergrund der spezifischen Verhältnisse vor Ort im ...mehr

Rz. 11 Etwa zeitgleich mit der Veröffentlichung der EBA-Leitlinien zur internen Governance im Jahr 2011 hat sich der Baseler Ausschuss für Bankenaufsicht (BCBS) mit der Rolle der Internen Revision auseinandergesetzt.[1] Das im Dezember 2011 zur Konsultation gestellte Papier wurde im Juni 2012 in seiner endgültigen Fassung veröffentlicht. Darin beschreibt der BCBS das Verhält...mehr

Rz. 43 Im Hinblick auf die konkrete Ausgestaltung des Risikomanagements auf Gruppenebene werden den Instituten gewisse Spielräume gelassen. Offensichtlich stößt eine Eins-zu-eins-Orientierung an den entsprechenden Regelungen der MaRisk auf Institutsebene aus verschiedenen Gründen an ihre Grenzen (z. B. nicht praktikable Doppelungen auf Gruppen- und Institutsebene). Gemäß dem...mehr

Rz. 81 Nachhaltigkeitsrisiken bzw. ESG-Risiken, d. h. Risiken aus den Bereichen Umwelt, Soziales und Unternehmensführung ("Environmental, Social and Governance"), können die Institute in allen Phasen des Kreditprozesses treffen, von der Kreditgewährung bis zur Überwachung (→ AT 2.2 Tz. 1). Insbesondere können ESG-Risiken die wichtigsten Kreditparameter beeinflussen. Durch ve...mehr

Rz. 68 Einer ersten Bestandsaufnahme der EZB vom August 2020 zufolge waren in den Instituten beim Management von klimabedingten Risiken noch erhebliche Anstrengungen erforderlich. Bis Mitte 2020 hatten zwar nahezu 75 Prozent der untersuchten bedeutenden Institute klimabezogene Risiken bei ihrer Risikoinventur berücksichtigt. Davon war aber nur ein Drittel zu dem Schluss geko...mehr

Rz. 85 Die bedeutenden Institute und die "großen Förderbanken" müssen allerdings keine exklusive Organisationseinheit ausschließlich für die Compliance-Funktion im Sinne des AT 4.4.2 einrichten. Eine Kombination mit den für andere Compliance-Themen zuständigen Einheiten, insbesondere die Compliance-Funktion nach MaComp sowie die für Geldwäscheprävention, Terrorismusfinanzier...mehr

Rz. 239 Zur Gewährleistung der Risikotragfähigkeit sind von den Instituten Prozesse zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken (Risikosteuerungs- und -controllingprozesse) einzurichten. Auch dieser Zusammenhang ist intuitiv klar, da die Bestimmung des Risikodeckungspotenzials überflüssig wäre, wenn das Institut nicht in der Lage is...mehr

Rz. 2 Zwar ist das Thema "Risiko" in nahezu jeder wissenschaftlichen Disziplin fest verankert. Dennoch hat sich bislang noch keine allgemein akzeptierte Risikodefinition über alle Disziplinen hinweg herausgebildet. Unterschiedliche Ansätze zur Beschreibung des Begriffes Risiko finden sich z. B. in der Mathematik, der Psychologie oder den Gesellschaftswissenschaften. Mögliche...mehr

Rz. 78 Über den genauen Starttermin der "siebten MaRisk-Novelle" lässt sich trefflich streiten. Ursprünglich hatte die deutsche Aufsicht schon in der Sitzung des Fachgremiums MaRisk am 2. September 2021, also kurz nach Veröffentlichung der endgültigen Fassung zur sechsten MaRisk-Novelle, über die geplanten Inhalte der Novelle berichtet und ihre Pläne zum Umgang mit Anlagen i...mehr

Folgende Rundschreiben, Verlautbarungen, sonstigen Schreiben und Protokolle werden durch die Neufassung der Mindestanforderungen an das Risikomanagement (MaRisk) abgelöst: Mindestanforderungen an das Risikomanagement Mindestanforderungen an das Risikomanagement (MaRisk), Rundschreiben 18/2005 vom 20.12.2005 Protokoll zur ersten Sitzung des Fachgremiums MaRisk vom 04.05.2006 Prot...mehr

Rz. 43 Ein direkter Zusammenhang zu den operationellen Risiken besteht hinsichtlich der Risiken aus ausgelagerten Aktivitäten und Prozessen ("Outsourcing Risk"). Mangelhafte Leistungserbringung, schlecht vorbereitete Auslagerungen, insbesondere in Offshore-Regionen, unvollständige Kostenkalkulationen, Kontrollverluste und Abhängigkeiten sowie der irreversible Verlust von eig...mehr

Rz. 128 In der Konsequenz liegt es im Interesse der Institute, ihre Risikosteuerungs- und -controllingprozesse und die von ihnen zur Risikoquantifizierung eingesetzten Methoden und Verfahren im Einklang mit diesen Veränderungen weiterzuentwickeln, um auf dieser Basis auch in Zukunft ein angemessenes und wirksames Risikomanagement sicherstellen zu können. In einer früheren En...mehr

Rz. 382 Im Zusammenhang mit der Überarbeitung der CRD und der CRR im Hinblick auf ESG-Aspekte hat die EBA erstmals im Juni 2019 diverse Aufträge erhalten. Laut ihrem "Aktionsplan zur nachhaltigen Finanzierung" ("Action Plan on Sustainable Finance") vom Dezember 2019[1] wollte die EBA bei der Umsetzung ihrer Mandate schrittweise vorgehen. Mit der CRD VI sind neue Aufträge für...mehr

Rz. 59 Die Senior Supervisors Group hat in ihrem Bericht aus dem Jahr 2010 eine wichtige Forderung aufgestellt: Die IT-Strategie muss essenzieller Teil der Geschäftsstrategie sein.[1] Die deutsche Aufsicht erwartet somit, dass die notwendigen Anforderungen an die digitale Transformation auf geschäftspolitischen Grundlagen basieren und strategisch verankert werden.[2] Um eine...mehr

Rz. 73 Im Rahmen des Abwicklungsmechanismusgesetzes hat der Gesetzgeber in § 25b Abs. 5 KWG eine Rechtsverordnungsermächtigung geschaffen, um die derzeit in den MaRisk enthaltenen Auslagerungsanforderungen zukünftig in eine Verordnung überführen zu können. Nach § 25b Abs. 5 Satz 1 KWG wird das Bundesministerium der Finanzen ermächtigt, durch Rechtsverordnung, die nicht der Z...mehr

Rz. 60 Das Institut hat die für eine angemessene Beurteilung, Steuerung und Überwachung von Risiken und für die Bereitstellung von Informationen relevanten Daten vorzuhalten. Hierunter fallen insbesondere Daten zu Sicherheiten und zur Beziehung zwischen der jeweiligen Sicherheit und der zugrunde liegenden Transaktion (→ AT 4.3.2 Tz. 1, Erläuterung). Es ist einleuchtend, dass...mehr

Rz. 77 Der "IT-Betrieb" hat laut Tz. 8.1 BAIT jene Anforderungen umzusetzen, die sich aus der Geschäftsstrategie und den IT-unterstützten Geschäftsprozessen ergeben. Für die Umsetzung der Anforderungen des Informationssicherheitsmanagements ist nach Tz. 5.1 BAIT hingegen die "operative Informationssicherheit" zuständig. Insofern entspricht die Tätigkeit der operativen Inform...mehr