Fachbeiträge & Kommentare zu Risikomanagement

Rz. 38 Von den bedeutenden Instituten wird erwartet, dass sie alle als wesentlich identifizierten Risiken entweder hinreichend durch Liquidität abdecken oder ausreichend dokumentieren, aus welchen Gründen sie von jener hinreichenden Abdeckung durch Liquidität absehen.[1] Die Institute sollten daher auch beurteilen, ob wesentliche Klima- und Umweltrisiken zu erheblichen Netto...mehr

Rz. 33 Eine weitere Aufgabe der Risikocontrolling-Funktion besteht in der Unterstützung der Geschäftsleitung bei der Einrichtung und Weiterentwicklung der Risikosteuerungs- und -controllingprozesse. Die Einrichtung dieser Prozesse zur Identifizierung, Beurteilung, Steuerung sowie Überwachung und Kommunikation der wesentlichen Risiken und damit verbundener Risikokonzentration...mehr

Rz. 151 Nicht als Auslagerung im aufsichtsrechtlichen Sinne einzustufen sind allgemeine Service- und Unterstützungsleistungen sowie die Nutzung von Infrastruktureinrichtungen, wie z. B. Geldautomatenversorgung, Kantinenbetrieb, Reinigungsdienst, Wachdienst, Fuhrpark, Betriebsarzt, technisches Gebäudemanagement, Strom, Wasser oder Postzustellung.[1] Diese Leistungen ohne eine...mehr

Rz. 169 Die modulare Struktur der MaRisk hat gegenüber dem Aufbau der alten Mindestanforderungen erhebliche Vorteile für Institute, Prüfer, Verbände, Aufsicht und andere Betroffene. Anpassungen des Regelwerkes führen nicht mehr automatisch zu weiteren Rundschreiben der BaFin. Ein zusätzlicher Vorteil besteht darin, dass im Bedarfsfall vollkommen neue Regelungsbereiche in die...mehr

Rz. 58 Die Risikotragfähigkeit ist auf der Grundlage des Gesamtrisikoprofils sicherzustellen. Das Gesamtrisikoprofil ist das Ergebnis der – regelmäßig und anlassbezogen durchzuführenden – Risikoinventur. In deren Rahmen verschafft sich das Risikocontrolling einen Überblick über die Risiken auf der Ebene des gesamten Institutes. Die Definition der Risiken obliegt den Institut...mehr

Rz. 31 Das "IKT-Risiko" bezeichnet gemäß Art. 4 Abs. 1 Nr. 52c CRR die Gefahr von Verlusten in Verbindung mit jedem vernünftigerweise identifizierbaren Umstand im Zusammenhang mit der Nutzung von Netzwerk- und Informationssystemen, die bei Eintritt – durch die damit einhergehenden nachteiligen Auswirkungen im digitalen oder physischen Umfeld – die Sicherheit der Netzwerk- un...mehr

Rz. 29 Um die mit der eigenen Geschäftstätigkeit verbundenen Risiken beurteilen und dafür angemessene Gegensteuerungsmaßnahmen initiieren zu können, müssen der Geschäftsleitung vor allem die wesentlichen Merkmale dieser Risiken bekannt sein. Dies ergibt sich nicht zuletzt durch den im Rahmen der siebten MaRisk-Novelle eingefügten Zusatz hinsichtlich der ESG-Risiken (→ AT 3 T...mehr

Rz. 27 Die Institute müssen bei der Identifizierung, Beurteilung, Steuerung sowie Überwachung und Kommunikation der wesentlichen Risiken die Auswirkungen von ESG-Risiken explizit berücksichtigen. Das ergibt sich bereits aus der Definition der ESG-Risiken als Ereignisse oder Bedingungen aus den ESG-Bereichen, die als Risikotreiber die Wesentlichkeit anderer Risikoarten beeinf...mehr

Rz. 33 Eine "nachhaltige Geschäftsstrategie" zielt darauf ab, das eigene Geschäftsmodell zukünftig so auszurichten, dass es nicht nur kurzfristig tragfähig ist, sondern dem Institut die Überlebensfähigkeit aus eigener Kraft sichert. Die Zielsetzung dieser "ökonomischen Nachhaltigkeit" erfordert insofern auch eine rechtzeitige Orientierung des Geschäftsmodells an den absehbar...mehr

Rz. 2 Die Institute haben sich bei wesentlichen Veränderungen in der Aufbau- und Ablauforganisation mit deren Auswirkungen auf ihre internen Kontrollverfahren und -prozesse sorgfältig auseinanderzusetzen. Wegen der besonderen Bedeutung für nahezu sämtliche Risikomanagementprozesse erwartet die Aufsicht eine vergleichbare Analyse auch bei wesentlichen Veränderungen in den IT-...mehr

Rz. 100 Im Rahmen des SREP sollten die zuständigen Aufsichtsbehörden prüfen, ob das Institut eine angemessene und transparente Unternehmensstruktur aufweist, die geeignet und solide ist, sowie über kohärente Unternehmenswerte und eine Risikokultur verfügt, die der Art, dem Umfang und der Komplexität der dem Geschäftsmodell und den Aktivitäten des Institutes innewohnenden Ris...mehr

Rz. 150 Bevor näher auf ein Liquiditätstransferpreissystem eingegangen wird (→ BTR 3.1 Tz. 6), muss die Frage beantwortet werden, welche Anforderungen sich für die Institute der Gruppen 2 und 3 ableiten lassen. Dazu findet sich in den MaRisk bzw. den zugehörigen Schreiben der Aufsicht bisher nur eine überschaubare Zahl von Hinweisen. Die Notwendigkeit einer wie auch immer ge...mehr

1 Einführung und Überblick Rz. 1 Aufgrund des technologischen Fortschrittes sowie umfangreicher Marktliberalisierungen sind die Finanzmärkte heutzutage dynamischer und vernetzter als je zuvor. Das wirkt sich zunächst einmal auf die Entwicklung von Produkten aus. Private und institutionelle Nachfrager von Finanzdienstleistungen haben auf der einen Seite ständig Bedarf an neuen...mehr

Rz. 488 Die Diskussion der Kreditwirtschaft mit der deutschen Aufsicht über mögliche Erleichterungen gruppeninterner und ggf. gruppenexterner Auslagerungen ist gegenwärtig noch nicht beendet und wird parallel auch auf europäischer Ebene geführt. Den EBA-Leitlinien zufolge haben diejenigen gruppenangehörigen Institute, denen die Aufsichtsbehörde einen "Waiver" gemäß Art. 7 CR...mehr

Rz. 72 Seit der Umsetzung der Anforderungen von Basel III in europäisches Recht weist die Bankenverordnung (Capital Requirements Regulation, CRR) der Internen Revision – unter Berücksichtigung der Anpassungen im Jahr 2024 – insbesondere folgende Aufgaben explizit zu, die mehr ins Detail gehen: Gemäß Art. 191 CRR prüft die Interne Revision oder eine andere vergleichbare unabhä...mehr

Rz. 92 Im Zuge der fünften MaRisk-Novelle wurde die Regelung dahingehend ergänzt, dass die Berichterstattung der gruppenangehörigen Unternehmen an die Geschäftsleitung des übergeordneten Unternehmens zeitnah zu erfolgen hat. Das übergeordnete Unternehmen ist für ein angemessenes und wirksames Risikomanagement auf Gruppenebene verantwortlich. Dieser Verantwortung kann die Ges...mehr

Rz. 229 Auch die Versicherungs- und die Wertpapieraufsicht haben sich im Zuge der Finanzmarktkrise veranlasst gesehen, bestimmte Bereiche mit mehr oder minder ausgeprägtem Bezug zum Risikomanagement stärker zu regulieren. Daneben wurden und werden von der Bankenaufsicht weitere Dokumente auf den Weg gebracht, mit deren Hilfe die MaRisk konkretisiert bzw. ergänzt werden oder ...mehr

Rz. 6 In der Betriebswirtschaftslehre lassen sich grundsätzlich zwei Ansätze voneinander unterscheiden. Die sogenannten "ursachenbezogenen Ansätze" knüpfen an der Möglichkeit an, dass dem Eintritt bestimmter (unsicherer) Ereignisse Wahrscheinlichkeiten zugeordnet werden können. Dabei kann es sich um objektiv messbare Wahrscheinlichkeiten handeln, wie sie etwa bei Versicherun...mehr

Rz. 38 Über § 91 Abs. 2, 3 AktG und das LkSG hinaus stellt sich ebenfalls die Frage, inwiefern eine regulative Ausdehnung des betrieblichen Risikomanagementsystems (RMS) um Nachhaltigkeitsaspekte notwendig erscheint. Dies impliziert, dass das unternehmerische RMS auf eine Steuerung nicht nur von finanziellen Risiken, sondern zusätzlich von Umwelt- und Sozialrisiken abzielen ...mehr

Rz. 223 Modul AT umfasst in erster Linie übergeordnete Anforderungen an die Ausgestaltung des Risikomanagements, bei denen grundsätzlich kein konkreter Bezug zu bestimmten Geschäftsbereichen oder Risikoarten besteht. Viele Regelungen der "alten" Mindestanforderungen sind wegen ihres übergreifenden Charakters in diesem Modul "vor die Klammer" gezogen worden. Das betrifft z. B...mehr

Rz. 407 Mit der weiteren Umsetzung von EBA-Leitlinien in den MaRisk sind aus Sicht der deutschen Aufsicht bestimmte Nachteile verbunden. So nimmt der Umsetzungsprozess relativ viel Zeit in Anspruch, womit der in den EBA-Leitlinien genannte Termin des Inkrafttretens von den weniger bedeutenden Instituten i. d. R. nicht eingehalten wird. Zudem hinkt Deutschland damit anderen e...mehr

Rz. 358 Mit der zunehmenden Bedeutung der "Nachhaltigkeitsrisiken" bzw. "ESG-Risiken" (→ AT 2.2 Tz. 1) ist die Beantwortung der Frage dringlicher geworden, auf welche Weise diese Risiken sinnvoll in das interne Risikomanagement der Institute integriert werden können. Als problematisch hat sich schnell erwiesen, dass mit dieser Risikoart ein anderes Wesentlichkeitsverständnis...mehr

Rz. 20 Die Trennung zwischen "prozessabhängigen" – bzw. im Sprachgebrauch des IDW "prozessintegrierten" – und "prozessunabhängigen" Überwachungsmaßnahmen liegt auch der Systematik des Berufsstandes der Wirtschaftsprüfer zugrunde. Einzelne Begrifflichkeiten weichen jedoch von der Terminologie der Bankenaufsicht ab. So wird z. B. der Begriff "internes Überwachungssystem" anste...mehr

Rz. 9 Die Risikocontrolling- und die Compliance-Funktion gehören ebenfalls zum internen Kontrollsystem. Diese beiden Funktionen werden seit der vierten MaRisk-Novelle explizit genannt (→ AT 4.4.1 und AT 4.4.2). Die Risikocontrolling-Funktion ist vorrangig für die Überwachung der Risiken und die damit verbundene Berichterstattung zuständig. Die Compliance-Funktion muss in ers...mehr

Rz. 15 Eine Institutsgruppe zeichnet sich regelmäßig dadurch aus, dass es sich bei dem an der Spitze stehenden übergeordneten Unternehmen um ein der Aufsicht unterliegendes Institut handelt, dem ein oder mehrere zu konsolidierende Unternehmen nachgeordnet sind. Die Geschäftsleitung des übergeordneten Unternehmens ist für die Einhaltung des gruppenweiten Risikomanagements ver...mehr

Rz. 269 Im Unterschied zu den "klassischen" ereignisgetriebenen Stresstests (→ AT 4.3.3 Tz. 1), die zur Abgrenzung teilweise auch als "(Straight) Forward Stresstests" bezeichnet werden[1], geht man bei inversen Stresstests den umgekehrten Weg.[2] Sie werden deshalb als "inverse" Stresstests ("Reverse Stresstests") bezeichnet. Der Ausgangspunkt ist ein vordefiniertes Ergebnis...mehr

Rz. 32 Die deutsche Aufsicht stellt damit auf eine längere Diskussion mit der Kreditwirtschaft ab, die am 2. September 2021 im Fachgremium MaRisk gestartet und von den Aufsichtsbehörden mit einer E-Mail vom 3. Januar 2023 sowie einem ergänzenden Schreiben vom 5. Juni 2023 an die Deutsche Kreditwirtschaft (DK) abgeschlossen wurde. Die ersten Vorstellungen der Aufsicht, die al...mehr

Rz. 102 Im Rahmen der vierten MaRisk-Novelle ist darauf verzichtet worden, den Instituten die Einrichtung einer Risikocontrolling-Funktion auf Gruppenebene explizit vorzuschreiben. Allerdings wird mit dem Trennbankengesetz von den Geschäftsleitern des übergeordneten Unternehmens einer Institutsgruppe, Finanzholding-Gruppe oder gemischten Finanzholding-Gruppe gemäß § 25c Abs....mehr

Rz. 50 Die erneute Anpassung und Ergänzung der MaRisk [1] war u. a. auf die umfassende Überarbeitung der Eigenkapitalvorschriften und die Ausarbeitung der Liquiditätsvorschriften zurückzuführen, die zunächst auf internationaler Ebene erfolgte (Basel III)[2] und anschließend in Europa nachvollzogen wurde – unter Berücksichtigung einiger Besonderheiten des europäischen Finanzma...mehr

Rz. 87 Unmittelbar im Anschluss an die Veröffentlichung der fünften MaRisk-Novelle hat die deutsche Aufsicht im November 2017 die "Bankaufsichtlichen Anforderungen an die IT" (BAIT) vorgelegt.[1] Dieses Rundschreiben gibt auf der Grundlage des § 25a Abs. 1 KWG einen flexiblen und praxisnahen Rahmen für die technisch-organisatorische Ausstattung der Institute vor, insbesonder...mehr

Rz. 179 Die Institute[1] sollten zunächst einmal prüfen, ob die bestehenden internen Stresstests die ESG-Risiken in geeigneter Weise abbilden oder zu diesem Zweck neue oder modifizierte interne Stresstests durchgeführt werden müssen.[2] Auch nach den Vorstellungen der EZB sollten die Institute mit wesentlichen Klima- und Umweltrisiken im ersten Schritt prüfen, ob sie diese R...mehr

Rz. 1 Der Begriff "besondere Funktionen" geht ursprünglich auf die EBA-Leitlinien zur internen Governance aus dem Jahr 2011 zurück, in denen die Einrichtung einer Risikocontrolling-Funktion, einer Compliance-Funktion und einer Internen Revision als "interne Kontrollfunktionen" verlangt wurde. Gleichzeitig wurden u. a. die Leiter dieser Funktionen als "Inhaber von Schlüsselfu...mehr

Rz. 100 Vor allem bei großen, komplex strukturierten Gruppen, die in ihren einzelnen Unternehmenseinheiten Geschäfte mit hohem Spezialisierungsgrad betreiben, muss die Konzernrevision die Prozesse in diesen Einheiten im täglichen Geschäft auf ihre Angemessenheit und Wirksamkeit für die Gruppe als Ganzes beurteilen. Sie stiftet daher einen hohen Mehrwert für die gesamte Grupp...mehr

[…] in der Anlage übersende ich Ihnen die offizielle Endfassung der überarbeiteten MaRisk, die den Schlusspunkt einer mehrmonatigen Konsultation mit der Kreditwirtschaft bildet. Vorangegangen waren intensive Diskussionen mit Verbänden und Praxisvertretern zum Entwurf der MaRisk, aus der eine Reihe von konstruktiven Lösungsansätzen hervorgingen, die demgemäß auch in die End­fa...mehr

Rz. 197 Angesichts der anhaltenden Diskussion über den Rechtscharakter der MaRisk gibt es durchaus Überlegungen des deutschen Gesetzgebers, das Rundschreiben auf die Ebene einer Rechtsverordnung zu heben. Die MaRisk würden dann unter den in § 4 Abs. 3 SSM-Verordnung genannten Begriff "nationale Rechtsvorschrift" fallen und wären von der EZB in Bezug auf die bedeutenden Insti...mehr

Rz. 11 Die Grundsätze des Baseler Ausschusses für Bankenaufsicht beziehen sich auf alle Daten, die für das Risikomanagement wesentlich sind. Die Grundsätze sollen auf sämtliche Daten angewendet werden, die für die Risikosteuerung eines Institutes notwendig sind. Die Anforderungen schließen auch die Modelle für die Ermittlung der Kapitalanforderungen nach der ersten Säule (z....mehr

Rz. 47 Im Zuge der siebten MaRisk-Novelle wurden mit Blick auf die Organisationsrichtlinien – wie auch an zahlreichen anderen Textstellen der MaRisk – Anforderungen an den Einbezug von ESG-Risiken ergänzt. So haben die Organisationsrichtlinien nunmehr auch Regelungen zur Berücksichtigung der Auswirkungen von ESG-Risiken zu beinhalten. Dabei spezifizieren die MaRisk keine wei...mehr

Rz. 27 Die Art. 22 und 123 der Bankenrichtlinie wurden in Deutschland durch eine Präzisierung des § 25a Abs. 1 KWG umgesetzt. Auf der "untergesetzlichen Ebene" wurden ferner Anforderungen an ein gesamtbankbezogenes holistisches Risikomanagement entwickelt. Ergebnis waren die MaRisk in der Fassung vom 20. Dezember 2005, die auf der Basis des § 25a KWG einen qualitativen Rahme...mehr

Rz. 106 Synonyme für "Befugnis" sind u. a. Berechtigung, Bevollmächtigung, Kompetenz, Verantwortung und Zuständigkeit, d. h. im weiteren Sinne die Erlaubnis für eine bestimmte Tätigkeit. Aus der Organisationslehre ist das Kongruenzprinzip bekannt, wonach Aufgabe, Kompetenz und Verantwortung miteinander im Einklang stehen müssen. Eine zugewiesene Aufgabe kann schlicht nicht e...mehr

Rz. 17 Die Anforderungen aus BCBS 239 gelten in erster Linie für global ("Global Systemically Important Banks", G-SIBs) und national systemrelevante Banken ("Domestic Systemically Important Banks", D-SIBs). Global systemrelevante Institute (G-SRI)[1] haben die Grundsätze des Baseler Ausschusses für Bankenaufsicht (BCBS) bereits seit Anfang 2016 vollständig zu berücksichtigen...mehr

[…] nach eingehender Prüfung Ihrer Stellungnahmen zum Entwurf der MaRisk vom 09.07.2010 und anschließender Diskussion im Rahmen des Fachgremiums MaRisk am 07.10.2010 kann ich Ihnen heute die offizielle Neufassung der MaRisk zuleiten. Die entsprechenden Dokumente sind diesem Schreiben als Anlagen beigefügt. Sie sind zudem unter www.bafin.de und www.bundesbank.de abrufbar. Über ...mehr

Rz. 85 Seit der sechsten MaRisk-Novelle ist das Modul AT 9 ("Auslagerung") in 15 Textziffern gegliedert. Im Einzelnen sind insbesondere die folgenden Elemente von Bedeutung: Definition des Auslagerungstatbestandes (→ AT 9 Tz. 1), Bestimmung der Wesentlichkeit einer Auslagerung und (implizite) Berücksichtigung der Ergebnisse der Risikoanalyse im institutsinternen Risikomanageme...mehr

Rz. 211 Die qualitativen Anforderungen der deutschen Aufsicht basieren im Wesentlichen auf § 25a Abs. 1 KWG, der von den Instituten unter dem Oberbegriff "ordnungsgemäße Geschäftsorganisation" die Einrichtung eines angemessenen und wirksamen Risikomanagements verlangt (→ AT 1 Tz. 1). Die gesetzlichen Grundlagen für Auslagerungen werden hingegen in § 25b KWG adressiert. Zwisc...mehr

Rz. 19 Zu den prozessunabhängigen Überwachungsmechanismen zählt die Interne Revision, die im Auftrag der Geschäftsleitung grundsätzlich alle Aktivitäten und Prozesse auf ihre Ordnungsmäßigkeit prüft und beurteilt. Die Interne Revision hat u. a. auch die Wirksamkeit und Angemessenheit des Risikomanagements im Allgemeinen und des internen Kontrollsystems im Besonderen, d. h. d...mehr

Rz. 13 Die EBA sieht mit Blick auf das Kreditgeschäft die Kreditvergabe als entscheidende Phase an, um die notwendigen ESG-bezogenen Informationen und Daten von den Vertragspartnern zu sammeln, die in der Erstbewertungsphase direkt in den Überwachungsprozess einfließen. Im Rahmen der Kreditvergabe oder der laufenden Kundenbeziehung sollten die Institute die Bewertung von ESG...mehr

Rz. 4 1 Alle Geschäftsleiter (§ 1 Abs. 2 KWG) sind, unabhängig von der internen Zuständigkeitsregelung, für die ordnungsgemäße Geschäftsorganisation und deren Weiterentwicklung verantwortlich. Diese Verantwortung bezieht sich unter Berücksichtigung ausgelagerter Aktivitäten und Prozesse auf alle wesentlichen Elemente des Risikomanagements. Die Geschäftsleiter werden dieser V...mehr

Rz. 49 Die Anforderungen an die Auslagerung von Aktivitäten und Prozessen nach § 25b KWG sind nicht isoliert zu betrachten. Vielmehr besteht zwischen § 25a Abs. 1 KWG und § 25b KWG ein enger Zusammenhang. Gemäß § 25a Abs. 1 Satz 1 KWG muss ein Institut über eine ordnungsgemäße Geschäftsorganisation verfügen, die die Einhaltung der vom Institut zu beachtenden gesetzlichen Bes...mehr

Rz. 296 Wenngleich die Institute den Anforderungen hinsichtlich der Angemessenheit und Wirksamkeit der Risikotragfähigkeitskonzepte grundsätzlich durch unterschiedlich ausgestaltete interne Verfahren entsprechen können, findet die Methodenfreiheit dort ihre Grenze, wo die internen Verfahren das aufsichtsrechtlich vorgegebene Ziel "Sicherstellung der Risikotragfähigkeit" unte...mehr

Rz. 204 Den Vorgaben der EBA zufolge sollen die ermittelten Geschäftsfunktionen, Unterstützungsprozesse und IT-Assets unter Berücksichtigung der Schutzziele im Hinblick auf ihre "Kritikalität" ("criticality") eingestuft werden.[1] Eng damit verbunden ist die Umsetzung verschiedener Anforderungen. Folglich wird von der deutschen Aufsicht gefordert, dass die Anforderungen aus ...mehr

Rz. 95 5 Weisungen und Beschlüsse der Geschäftsleitung, die für die Interne Revision von Bedeutung sein können, sind ihr bekannt zu geben. Über wesentliche Änderungen im Risikomanagement ist die Interne Revision rechtzeitig zu informieren. 5.1 Informationspflichten der Geschäftsleitung Rz. 96 Jene Weisungen und Beschlüsse der Geschäftsleitung, die für die Tätigkeit der Interne...mehr