Fachbeiträge & Kommentare zu Risikomanagement

Rz. 466 Die Institute lagern zu einem erheblichen Anteil Aktivitäten und Prozesse innerhalb ihrer Gruppe aus. Einer Untersuchung der EZB zufolge entfallen über 50 Prozent der Auslagerungsaktivitäten von europäischen Banken auf "Intra-Group-Outsourcing", wobei die Auslagerungen auf Mutter-, Tochter- oder Schwestergesellschaften möglich sind.[1] Häufig werden Serviceprozesse, ...mehr

Rz. 77 Der "IT-Betrieb" hat laut Tz. 8.1 BAIT jene Anforderungen umzusetzen, die sich aus der Geschäftsstrategie und den IT-unterstützten Geschäftsprozessen ergeben. Für die Umsetzung der Anforderungen des Informationssicherheitsmanagements ist nach Tz. 5.1 BAIT hingegen die "operative Informationssicherheit" zuständig. Insofern entspricht die Tätigkeit der operativen Inform...mehr

Rz. 27 Das geltende Bankaufsichtsrecht ist durch eine vielschichtige Interaktion internationaler Standards, unionsrechtlicher Bestimmungen sowie nationaler Gesetzgebung geprägt. Der Regelungsbestand des Bankenaufsichtsrechts auf nationaler Ebene beruht auf verschiedenen Rechtsgrundlagen, wie z. B. Gesetzen, Verordnungen oder Verwaltungsvorschriften. Während Gesetze oder Vero...mehr

Rz. 119 Die wesentlichen operationellen Risiken, d. h. die bedeutenden potenziellen Schadensfälle, müssen identifiziert und beurteilt werden. Für die Identifizierung potenzieller Schadensfälle und zur Beurteilung ihrer möglichen negativen Auswirkungen auf die Ertrags- oder Vermögenslage des Institutes kann u. a. auf die in der Vergangenheit beobachteten Verluste abgestellt w...mehr

[…] hiermit übersende ich Ihnen den ersten Entwurf für eine Überarbeitung der MaRisk, den Mitarbeiterinnen und Mitarbeiter der Deutschen Bundesbank und meines Hauses entwickelt haben. Die erneute Überarbeitung ist einerseits auf die Überarbeitung der EU-Bankenrichtlinie ("CRD IV") zurückzuführen. Andererseits hat die EBA schon im September 2011 mit den "EBA Guidelines on Inte...mehr

Rz. 6 Mit Blick auf § 25a Abs. 1 Satz 3 Nr. 3 KWG fällt auf, dass ein wesentlicher Begriff aus dem Gesetzestext, nämlich die "internen Kontrollverfahren", in der Gliederung dieses Moduls gar nicht auftaucht. Im KWG werden als Kernbestandteile eines angemessenen und wirksamen Risikomanagements an erster Stelle die Risikotragfähigkeit, die Strategien und die "internen Kontroll...mehr

Rz. 87 Das übergeordnete Unternehmen hat angemessene ablauforganisatorische Vorkehrungen auf Gruppenebene zu treffen. Konkret sind Prozesse und die damit verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen sowie Kommunikationswege innerhalb der Gruppe klar zu definieren und aufeinander abzustimmen. Die deutsche Aufsicht schränkt die Organisationsverantwortung...mehr

Rz. 22 Auf europäischer Ebene war in diesem Zusammenhang die am 28. September 2005 vom Europäischen Parlament verabschiedete "Capital Requirements Directive" (CRD) von entscheidender Bedeutung. Mit deren Hilfe hat die EU-Kommission die Anforderungen von Basel II in europäisches Recht transformiert. Dieser Umsetzungsprozess betraf die Neufassung der Bankenrichtlinie[1] sowie ...mehr

Rz. 38 Die Aufsicht muss sich im Rahmen des SREP intensiv mit den Methoden, Prozessen, Verfahren und Strategien der Institute auseinandersetzen und diese u. a. hinsichtlich ihrer Angemessenheit bezüglich einer dauerhaften Sicherstellung der Risikotragfähigkeit beurteilen. Dabei misst sie bei der Beurteilung des ICAAP verstärkt der Datenhaltung sowie den Management-Informatio...mehr

Rz. 102 Institute mit einem Portfolio an gehebelten Transaktionen ("Leveraged Transactions", LT) müssen bei der Festlegung ihrer Strategie die Anforderungen aus Abschnitt 4.3.2 der EBA-Leitlinien für die Kreditvergabe und Überwachung beachten (→ AT 4.2 Tz. 1, Erläuterung). Demnach wird von den Instituten insbesondere erwartet, dass sie eine für alle relevanten Geschäftsberei...mehr

Rz. 39 Nach einschlägigen gesellschaftsrechtlichen Regelungen besteht die Hauptaufgabe des Aufsichtsorgans darin, die Geschäftsführung durch den Vorstand zu überwachen (AktG, Sparkassengesetze der Länder, GenG). Die Interne Revision hat als Instrument der Geschäftsleitung risikoorientiert und prozessunabhängig die Wirksamkeit und Angemessenheit des Risikomanagements im Allge...mehr

Rz. 2 Gemäß § 25a Abs. 1 Satz 3 KWG wird von allen Instituten die Einrichtung eines angemessenen Risikomanagements gefordert, zu dessen Bestandteilen u. a. Prozesse zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken entsprechend den in Art. 76 bis 87 CRD IV niedergelegten technischen Kriterien zählen (→ Teil I, Kapitel 4.1 und AT 1 Tz. 1)....mehr

Rz. 290 Die Risikocontrolling-Funktion hat u. a. die Aufgabe, die Geschäftsleitung in allen risikopolitischen Fragen zu unterstützen, insbesondere bei der Entwicklung und Umsetzung der Risikostrategie sowie bei der Ausgestaltung eines Systems zur Begrenzung der Risiken (→ AT 4.4.1 Tz. 2). Zudem ist die Leitung der Risikocontrolling-Funktion bei wichtigen risikopolitischen En...mehr

Rz. 1 Operationelle Risiken werden im Gegensatz zu Adressenausfallrisiken oder Marktpreisrisiken vom Institut zwar grundsätzlich nicht bewusst eingegangen, um daraus Erträge zu generieren. Allerdings müssen sich die Institute z. B. bei der Einführung neuer (komplexer) Produkte oder bei Änderungen betrieblicher Prozesse und Strukturen der damit verbundenen prozessualen, recht...mehr

Rz. 22 In den MaRisk werden verschiedene Aspekte besonders betont, die den einzelnen Geschäftsleitern bzw. der Geschäftsleitung insgesamt im Zusammenhang mit ihrer Verantwortung für das Risikomanagement als unmittelbare Pflichten auferlegt werden. Dazu gehören insbesondere folgende Anforderungen: Die Geschäftsleitung hat sich zur Beurteilung der Wesentlichkeit regelmäßig und ...mehr

Rz. 11 Bei der Umsetzung dieser Anforderungen sind zumindest bis zum 17. Januar 2025 die "Bankaufsichtlichen Anforderungen an die IT" (BAIT)[1] zu beachten, mit deren Hilfe die MaRisk in den relevanten Bereichen weiter konkretisiert werden. Mithilfe der BAIT wird den Instituten die Erwartungshaltung der deutschen Aufsicht zur sicheren Ausgestaltung der IT-Systeme und zugehör...mehr

Rz. 13 Der Gesetzgeber räumt der Notwendigkeit von Strategien einen hohen Stellenwert ein. So hat der Vorstand nach § 90 Abs. 1 AktG dem Aufsichtsrat u. a. über die beabsichtigte Geschäftspolitik und andere grundsätzliche Fragen der Unternehmensplanung zu berichten. Dabei ist auch auf Abweichungen der tatsächlichen Entwicklung von früher berichteten Zielen unter Angabe von G...mehr

Rz. 1 In den letzten Jahrzehnten haben die Institute ihre Verfahren zur Beurteilung der wesentlichen Risiken permanent weiterentwickelt. So hat sich bei vielen Instituten als Standard zur Risikomessung der Value-at-Risk-Ansatz durchgesetzt, der insbesondere bei der Bestimmung des notwendigen Eigenkapitals und der internen Kapitalallokation Verwendung findet (→ AT 4.1 Tz. 1)....mehr

Rz. 169 Die MaRisk enthalten im Hinblick auf die Risikoanalyse keine konkreten Vorgaben. Es gilt der Grundsatz der Proportionalität. Die Intensität der Analyse hängt von Art, Umfang, Komplexität und Risikogehalt der ausgelagerten Aktivitäten und Prozesse ab. Die MaRisk verlangen lediglich, dass die maßgeblichen Organisationseinheiten bei der Erstellung der Risikoanalyse einz...mehr

Rz. 150 Da die relevanten Annahmen von grundsätzlicher Bedeutung für die Umsetzung der Strategie sind, müssen sie einer mindestens jährlichen und anlassbezogenen Überprüfung unterzogen werden. Auf diese Weise wird sichergestellt, dass das Institut zeitnah reagieren kann, wenn die Realität von den maßgeblichen Annahmen abweicht.[1] Eine anlassbezogene Überprüfung der Strategi...mehr

Rz. 36 Das übergeordnete Unternehmen hat auf der Basis des gruppenweiten Gesamtrisikoprofils eigenverantwortlich festzulegen, welche Unternehmen unter Risikogesichtspunkten in das Risikomanagement auf Gruppenebene einzubeziehen sind. Bei dieser Betrachtung sind nachgeordnete Unternehmen mit Sitz im Inland und Ausland zu berücksichtigen. Unternehmen, deren Risiken als nicht w...mehr

Rz. 97 3 Der sachgerechte Umgang mit dem Proportionalitätsprinzip seitens der Institute beinhaltet in dem prinzipienorientierten Aufbau der MaRisk auch, dass Institute im Einzelfall über bestimmte, in den MaRisk explizit formulierte Anforderungen hinaus weitergehende Vorkehrungen treffen, soweit dies zur Sicherstellung der Angemessenheit und Wirksamkeit des Risikomanagements...mehr

Rz. 96 Jene Weisungen und Beschlüsse der Geschäftsleitung, die für die Tätigkeit der Internen Revision von Bedeutung sein können, müssen ihr bekannt gegeben werden. Diese Anforderung ergänzt das allgemeine Informationsrecht der Internen Revision um Informationspflichten der Geschäftsleitung gegenüber der Revision. Die Interne Revision kann ihre Aufgabe nur effektiv wahrnehme...mehr

Rz. 4 Durch die Bezugnahme auf Institute nach § 1 Abs. 1b KWG, also auf Kredit- und Finanzdienstleistungsinstitute, wird § 25a Abs. 1 KWG Rechnung getragen, der sich auf beide Institutsarten bezieht, ohne zu differenzieren. Die Regelungen der MaRisk sind jedoch von Finanzdienstleistungsinstituten und großen Wertpapierfirmen (bzw. Wertpapierinstituten) gemäß § 2 Abs. 18 Wertp...mehr

Rz. 1 Nach den nationalen und internationalen Revisionsstandards des Deutschen Institutes für Interne Revision (DIIR)[1] und des Institute of Internal Auditors (IIA)[2] ist die Tätigkeit der Internen Revision u. a. darauf gerichtet, die Geschäftsprozesse zu verbessern. Gemäß diesen Standards unterstützt die Interne Revision die Organisation bei der Erreichung ihrer Ziele, in...mehr

Rz. 159 Das "Informations- und Kommunikationstechnologie-Risiko" (IKT-Risiko) wurde zunächst als Risiko von Verlusten aufgrund der Unzweckmäßigkeit oder des Versagens der Hard- und Software technischer Infrastrukturen verstanden, welche die Verfügbarkeit, Integrität, Zugänglichkeit und Sicherheit dieser Infrastrukturen oder der Daten beeinträchtigen können.[1] Neueren Defini...mehr

Rz. 58 Die Geschäftsleitung sollte nach den Vorstellungen des Baseler Ausschusses für Bankenaufsicht eine Unternehmenskultur etablieren, die von einem starken Risikomanagement geleitet wird, Standards und Anreize für professionelles und verantwortungsbewusstes Verhalten setzen und sicherstellen, dass die Mitarbeiter eine angemessene Schulung in Risikomanagement und Ethik erh...mehr

Rz. 202 Der interne Prozess zur Sicherstellung der angemessenen Kapitalausstattung ("Internal Capital Adequacy Assessment Process", ICAAP) ist als Gesamtheit aller Verfahren, Methoden und Prozesse zu verstehen, die gewährleisten, dass genügend Kapital zur Deckung von wesentlichen Risiken vorhanden ist. Es handelt sich um einen laufenden Prozess, der kontinuierlich die Angeme...mehr

Rz. 205 Prinzipienorientierte Regulierung sichert für Institute und Aufsicht die gerade im heterogenen deutschen Bankenmarkt notwendigen Handlungs- und Gestaltungsspielräume. Es liegt auf der Hand, dass das Risikomanagement von international tätigen Großbanken ganz andere Herausforderungen bewältigen muss als das einer kleineren Genossenschaftsbank mit regionalem Geschäftssc...mehr

Rz. 57 Gemäß § 2a Abs. 2 KWG kann die Aufsichtsbehörde auf Antrag ein Institut von bestimmten Anforderungen an das Management von Risiken nach § 25a Abs. 1 Satz 3 KWG – mit Ausnahme des Liquiditätsrisikos und der Compliance-Funktion – weitgehend freistellen, sofern die Voraussetzungen für den Waiver nach Art. 7 CRR vorliegen. Die Freistellung erstreckt sich auf die Festlegung...mehr

Rz. 78 Seit der vierten MaRisk-Novelle werden als Bestandteile des internen Kontrollsystems explizit auch eine Risikocontrolling-Funktion und eine Compliance-Funktion gefordert. Mit Blick auf den beschriebenen Aufgabenbereich der Compliance-Funktion könnten sich in der Praxis u. a. Abgrenzungsprobleme zur Internen Revision ergeben. So soll die Compliance-Funktion den Risiken...mehr

Rz. 92 Im Zuge der fünften MaRisk-Novelle wurde die Regelung dahingehend ergänzt, dass die Berichterstattung der gruppenangehörigen Unternehmen an die Geschäftsleitung des übergeordneten Unternehmens zeitnah zu erfolgen hat. Das übergeordnete Unternehmen ist für ein angemessenes und wirksames Risikomanagement auf Gruppenebene verantwortlich. Dieser Verantwortung kann die Ges...mehr

Rz. 229 Auch die Versicherungs- und die Wertpapieraufsicht haben sich im Zuge der Finanzmarktkrise veranlasst gesehen, bestimmte Bereiche mit mehr oder minder ausgeprägtem Bezug zum Risikomanagement stärker zu regulieren. Daneben wurden und werden von der Bankenaufsicht weitere Dokumente auf den Weg gebracht, mit deren Hilfe die MaRisk konkretisiert bzw. ergänzt werden oder ...mehr

Rz. 38 Über § 91 Abs. 2, 3 AktG und das LkSG hinaus stellt sich ebenfalls die Frage, inwiefern eine regulative Ausdehnung des betrieblichen Risikomanagementsystems (RMS) um Nachhaltigkeitsaspekte notwendig erscheint. Dies impliziert, dass das unternehmerische RMS auf eine Steuerung nicht nur von finanziellen Risiken, sondern zusätzlich von Umwelt- und Sozialrisiken abzielen ...mehr

Rz. 6 In der Betriebswirtschaftslehre lassen sich grundsätzlich zwei Ansätze voneinander unterscheiden. Die sogenannten "ursachenbezogenen Ansätze" knüpfen an der Möglichkeit an, dass dem Eintritt bestimmter (unsicherer) Ereignisse Wahrscheinlichkeiten zugeordnet werden können. Dabei kann es sich um objektiv messbare Wahrscheinlichkeiten handeln, wie sie etwa bei Versicherun...mehr

Rz. 247 Die BaFin beaufsichtigt Banken, Finanzdienstleister, private Versicherungsunternehmen und den Wertpapierhandel und ist in diesen Bereichen auch für den kollektiven Verbraucherschutz zuständig. Am 4. Mai 2018 hat die BaFin erstmals die Mindestanforderungen an das Beschwerdemanagement veröffentlicht, die im Jahr 2020 überarbeitet wurden.[1] Das Rundschreiben ergänzt di...mehr

Rz. 13 Der Umfang und die Qualität der technisch-organisatorischen Ausstattung müssen allerdings auch mit der Entwicklung der Geschäftsaktivitäten eines Institutes und dem technischen Fortschritt mithalten können. Insofern genügt es nicht, die technisch-organisatorische Ausstattung einmal zu überprüfen und für angemessen zu befinden. So können sich die betriebsinternen Erfor...mehr

Rz. 196 Sofern relevant, hat das Institut die Auswirkungen von ESG-Risiken zu berücksichtigen, die den Wert der Sicherheiten beeinflussen, wie z. B. die Energieeffizienz von Gebäuden (→ BTO 1.2.1 Tz. 2, Erläuterung). Daneben können sich weitere ESG-Faktoren auf den Wert der Sicherheiten auswirken. So können z. B. Immobilien in Hochwassergebieten enormen Gefahren ausgesetzt s...mehr

Das nun vorliegende Rundschreiben zu den BAIT besteht aus insgesamt acht Themenbereichen. In den einzelnen Themenbereichen verweisen Leitsätze auf die jeweiligen Textziffern der MaRisk, die IT-spezifisch konkretisiert werden. Zentrales Ziel dieses Rundschreibens zu den BAIT ist es, dem Management der Institute auf der Grundlage des § 25a Abs. 1 KWG einen flexiblen und praxisn...mehr

Rz. 94 Das Vorhalten einer Liquiditätsübersicht (→ BTR 3.1 Tz. 3), das Durchrechnen einzelner Kennzahlen (→ BTR 3.1 Tz. 4) und die Verwendung eines Verrechnungs- oder Liquiditätstransferpreissystems (→ BTR 3.1 Tz. 5 und 6) erfordern eine umfassende Kenntnis über die Produkte des Institutes auf beiden Bilanzseiten. Darüber hinaus sind Kenntnisse über die Liquidierbarkeit der ...mehr

Rz. 98 Die Anforderung an die Entwicklung, Förderung, Integration und Überwachung einer angemessenen Risikokultur ist nicht nur auf der Ebene des einzelnen Institutes zu beachten, sondern auch auf Gruppenebene. Die Verantwortung hierfür liegt bei der Geschäftsleitung des übergeordneten Unternehmens (→ AT 4.5). Die Anforderungen an die Etablierung einer angemessenen gruppenwe...mehr

Rz. 194 Damit das Informationsrisikomanagement und das Informationssicherheitsmanagement (→ AT 7.2 Tz. 2) überhaupt greifen können, muss die Geschäftsleitung die IT-Organisation auch insgesamt angemessen steuern. Voraussetzung hierfür ist eine IT-Strategie, die dem Geschäftsmodell angemessen ist und in der IT-Organisation umgesetzt wird.[1] Die Geschäftsleitung hat daher nac...mehr

Rz. 52 Die Institute haben im Hinblick auf die prozessuale Umsetzung des Auskunftsrechtes weitgehende Gestaltungsfreiheit. In der Praxis setzen viele Institute dabei weniger auf formale Vorschriften als vielmehr auf das allgemeine Verständnis für eine gute Governance. Es erscheint jedoch ratsam, in den Richtlinien oder Geschäftsordnungen der Beteiligten (Geschäftsleitung, Au...mehr

Rz. 1 In der Banksteuerung lässt sich in den letzten Jahren eine zunehmende Anzahl und Bedeutung von Modellen beobachten. Die Institute verlassen sich stark auf quantitative Analysen und Modelle in nahezu allen Bereichen, z. B. bei der Kreditvergabe, der Bewertung von Finanzinstrumenten und der Risikoquantifizierung. Gleichzeitig wächst die Komplexität von Modellen durch den...mehr

Rz. 29 Im Zuge der fünften MaRisk-Novelle wurden die vom Baseler Ausschuss für Bankenaufsicht formulierten Anforderungen an das Datenmanagement, die Datenqualität und die Aggregation von Risikodaten (BCBS 239)[1] in das neue Modul AT 4.3.4 aufgenommen und damit in die deutsche Aufsichtspraxis überführt.[2] Die Anforderungen galten nur für systemrelevante Institute, wobei die...mehr

Rz. 31 Verwaltungsvorschriften werden von nahezu jeder Behörde mit ganz unterschiedlichen Bezeichnungen veröffentlicht (z. B. Richtlinien, Erlasse, technische Anweisungen, Verwaltungsverordnungen). In der öffentlichen Diskussion um Bürokratieabbau sind sie vor allem deshalb in die Kritik geraten, weil sie häufig nicht transparent gemacht werden und das Handeln der Behörden d...mehr

Rz. 131 Die relevanten Vorgaben der MiFID bzw. MiFID-Durchführungsrichtlinie decken die folgenden Inhalte ab: In Art. 5 MiFID-Durchführungsrichtlinie werden allgemeine organisatorische Anforderungen an Wertpapierfirmen gestellt. Dazu gehören z. B. die Einrichtung klarer Entscheidungsprozesse und Organisationsstrukturen, die Implementierung angemessener Kontrollmechanismen und...mehr

Rz. 58 Im Januar 2013 hat der Baseler Ausschuss für Bankenaufsicht Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung veröffentlicht.[1] Mit diesen Grundsätzen hat er auf einen entsprechenden Beschluss der G20 und damit verbundene Anforderungen des FSB vom 4. November 2011 reagiert. Betroffen sind das Risikomanagement und die Information...mehr

Rz. 486 Die im Zuge der sechsten MaRisk-Novelle eingefügten Erleichterungen für gruppeninterne Auslagerungen sind in Tz. 15 nicht abschließend geregelt. Seit der fünften MaRisk-Novelle können die Institute bereits Erleichterungen für Auslagerungen der besonderen Funktionen innerhalb einer Institutsgruppe in Anspruch nehmen. Eine vollständige Auslagerung der Risikocontrolling...mehr

Rz. 41 Das Aufsichtsorgan eines Institutes hat grundsätzlich aus seiner Mitte einen Risikoausschuss, einen Prüfungsausschuss, einen Nominierungsausschuss und einen Vergütungskontrollausschuss zu bilden, die es bei seinen Aufgaben beraten und unterstützen sollen (§ 25d Abs. 7 KWG).[1] Bei bedeutenden Instituten gemäß § 1 Abs. 3c KWG ist die Bestellung eines Risiko-, eines Prü...mehr