Fachbeiträge & Kommentare zu Risikomanagement

Rz. 11 Etwa zeitgleich mit der Veröffentlichung der EBA-Leitlinien zur internen Governance im Jahr 2011 hat sich der Baseler Ausschuss für Bankenaufsicht (BCBS) mit der Rolle der Internen Revision auseinandergesetzt.[1] Das im Dezember 2011 zur Konsultation gestellte Papier wurde im Juni 2012 in seiner endgültigen Fassung veröffentlicht. Darin beschreibt der BCBS das Verhält...mehr

Rz. 34 Seit der erstmaligen Veröffentlichung der MaRisk im Jahr 2005 hat der Wortlaut zur Gesamtverantwortung der Geschäftsleitung einige interessante Änderungen erfahren. Zunächst hieß es, dass die Geschäftsleiter ihrer Verantwortung für das Risikomanagement nur gerecht werden, wenn sie die Risiken beurteilen können und die erforderlichen Maßnahmen zu ihrer Begrenzung treff...mehr

Rz. 43 Im Hinblick auf die konkrete Ausgestaltung des Risikomanagements auf Gruppenebene werden den Instituten gewisse Spielräume gelassen. Offensichtlich stößt eine Eins-zu-eins-Orientierung an den entsprechenden Regelungen der MaRisk auf Institutsebene aus verschiedenen Gründen an ihre Grenzen (z. B. nicht praktikable Doppelungen auf Gruppen- und Institutsebene). Gemäß dem...mehr

Folgende Rundschreiben, Verlautbarungen, sonstigen Schreiben und Protokolle werden durch die Neufassung der Mindestanforderungen an das Risikomanagement (MaRisk) abgelöst: Mindestanforderungen an das Risikomanagement Mindestanforderungen an das Risikomanagement (MaRisk), Rundschreiben 18/2005 vom 20.12.2005 Protokoll zur ersten Sitzung des Fachgremiums MaRisk vom 04.05.2006 Prot...mehr

Rz. 85 Die bedeutenden Institute und die "großen Förderbanken" müssen allerdings keine exklusive Organisationseinheit ausschließlich für die Compliance-Funktion im Sinne des AT 4.4.2 einrichten. Eine Kombination mit den für andere Compliance-Themen zuständigen Einheiten, insbesondere die Compliance-Funktion nach MaComp sowie die für Geldwäscheprävention, Terrorismusfinanzier...mehr

Rz. 239 Zur Gewährleistung der Risikotragfähigkeit sind von den Instituten Prozesse zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken (Risikosteuerungs- und -controllingprozesse) einzurichten. Auch dieser Zusammenhang ist intuitiv klar, da die Bestimmung des Risikodeckungspotenzials überflüssig wäre, wenn das Institut nicht in der Lage is...mehr

Rz. 2 Zwar ist das Thema "Risiko" in nahezu jeder wissenschaftlichen Disziplin fest verankert. Dennoch hat sich bislang noch keine allgemein akzeptierte Risikodefinition über alle Disziplinen hinweg herausgebildet. Unterschiedliche Ansätze zur Beschreibung des Begriffes Risiko finden sich z. B. in der Mathematik, der Psychologie oder den Gesellschaftswissenschaften. Mögliche...mehr

Rz. 78 Über den genauen Starttermin der "siebten MaRisk-Novelle" lässt sich trefflich streiten. Ursprünglich hatte die deutsche Aufsicht schon in der Sitzung des Fachgremiums MaRisk am 2. September 2021, also kurz nach Veröffentlichung der endgültigen Fassung zur sechsten MaRisk-Novelle, über die geplanten Inhalte der Novelle berichtet und ihre Pläne zum Umgang mit Anlagen i...mehr

Rz. 43 Ein direkter Zusammenhang zu den operationellen Risiken besteht hinsichtlich der Risiken aus ausgelagerten Aktivitäten und Prozessen ("Outsourcing Risk"). Mangelhafte Leistungserbringung, schlecht vorbereitete Auslagerungen, insbesondere in Offshore-Regionen, unvollständige Kostenkalkulationen, Kontrollverluste und Abhängigkeiten sowie der irreversible Verlust von eig...mehr

Rz. 59 Die Senior Supervisors Group hat in ihrem Bericht aus dem Jahr 2010 eine wichtige Forderung aufgestellt: Die IT-Strategie muss essenzieller Teil der Geschäftsstrategie sein.[1] Die deutsche Aufsicht erwartet somit, dass die notwendigen Anforderungen an die digitale Transformation auf geschäftspolitischen Grundlagen basieren und strategisch verankert werden.[2] Um eine...mehr

Rz. 128 In der Konsequenz liegt es im Interesse der Institute, ihre Risikosteuerungs- und -controllingprozesse und die von ihnen zur Risikoquantifizierung eingesetzten Methoden und Verfahren im Einklang mit diesen Veränderungen weiterzuentwickeln, um auf dieser Basis auch in Zukunft ein angemessenes und wirksames Risikomanagement sicherstellen zu können. In einer früheren En...mehr

Rz. 382 Im Zusammenhang mit der Überarbeitung der CRD und der CRR im Hinblick auf ESG-Aspekte hat die EBA erstmals im Juni 2019 diverse Aufträge erhalten. Laut ihrem "Aktionsplan zur nachhaltigen Finanzierung" ("Action Plan on Sustainable Finance") vom Dezember 2019[1] wollte die EBA bei der Umsetzung ihrer Mandate schrittweise vorgehen. Mit der CRD VI sind neue Aufträge für...mehr

Rz. 466 Die Institute lagern zu einem erheblichen Anteil Aktivitäten und Prozesse innerhalb ihrer Gruppe aus. Einer Untersuchung der EZB zufolge entfallen über 50 Prozent der Auslagerungsaktivitäten von europäischen Banken auf "Intra-Group-Outsourcing", wobei die Auslagerungen auf Mutter-, Tochter- oder Schwestergesellschaften möglich sind.[1] Häufig werden Serviceprozesse, ...mehr

Rz. 77 Der "IT-Betrieb" hat laut Tz. 8.1 BAIT jene Anforderungen umzusetzen, die sich aus der Geschäftsstrategie und den IT-unterstützten Geschäftsprozessen ergeben. Für die Umsetzung der Anforderungen des Informationssicherheitsmanagements ist nach Tz. 5.1 BAIT hingegen die "operative Informationssicherheit" zuständig. Insofern entspricht die Tätigkeit der operativen Inform...mehr

Rz. 73 Im Rahmen des Abwicklungsmechanismusgesetzes hat der Gesetzgeber in § 25b Abs. 5 KWG eine Rechtsverordnungsermächtigung geschaffen, um die derzeit in den MaRisk enthaltenen Auslagerungsanforderungen zukünftig in eine Verordnung überführen zu können. Nach § 25b Abs. 5 Satz 1 KWG wird das Bundesministerium der Finanzen ermächtigt, durch Rechtsverordnung, die nicht der Z...mehr

Rz. 60 Das Institut hat die für eine angemessene Beurteilung, Steuerung und Überwachung von Risiken und für die Bereitstellung von Informationen relevanten Daten vorzuhalten. Hierunter fallen insbesondere Daten zu Sicherheiten und zur Beziehung zwischen der jeweiligen Sicherheit und der zugrunde liegenden Transaktion (→ AT 4.3.2 Tz. 1, Erläuterung). Es ist einleuchtend, dass...mehr

Rz. 27 Das geltende Bankaufsichtsrecht ist durch eine vielschichtige Interaktion internationaler Standards, unionsrechtlicher Bestimmungen sowie nationaler Gesetzgebung geprägt. Der Regelungsbestand des Bankenaufsichtsrechts auf nationaler Ebene beruht auf verschiedenen Rechtsgrundlagen, wie z. B. Gesetzen, Verordnungen oder Verwaltungsvorschriften. Während Gesetze oder Vero...mehr

Rz. 119 Die wesentlichen operationellen Risiken, d. h. die bedeutenden potenziellen Schadensfälle, müssen identifiziert und beurteilt werden. Für die Identifizierung potenzieller Schadensfälle und zur Beurteilung ihrer möglichen negativen Auswirkungen auf die Ertrags- oder Vermögenslage des Institutes kann u. a. auf die in der Vergangenheit beobachteten Verluste abgestellt w...mehr

Rz. 357 Mit dem Digital Operational Resilience Act (DORA)[1] hat der europäische Gesetzgeber für Finanz­unternehmen[2] als Bestandteil des Drittparteienrisikomanagements der Informations- und Kommunikationstechnologie (IKT-Drittparteienrisikomanagement) sektorübergreifende Mindestvorgaben an vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen zwischen Finan...mehr

Rz. 81 Nachhaltigkeitsrisiken bzw. ESG-Risiken, d. h. Risiken aus den Bereichen Umwelt, Soziales und Unternehmensführung ("Environmental, Social and Governance"), können die Institute in allen Phasen des Kreditprozesses treffen, von der Kreditgewährung bis zur Überwachung (→ AT 2.2 Tz. 1). Insbesondere können ESG-Risiken die wichtigsten Kreditparameter beeinflussen. Durch ve...mehr

Rz. 203 Basierend auf geeigneten Risikoindikatoren für ESG-Risiken, die von der Aufsicht als quantitative Vorgabe betrachtet werden, sind bei der Festlegung des Risikoappetits ebenfalls die Auswirkungen von ESG-Risiken explizit zu berücksichtigen (→ AT 4.2 Tz. 2, Erläuterung). Die BaFin hat die Festlegung von geeigneten Risikoindikatoren unter Berücksichtigung der Risikotrag...mehr

Rz. 25 Die Compliance-Funktion ist zunächst dafür zuständig, regelmäßig die rechtlichen Regelungen und Vorgaben mit einem wesentlichen Compliance-Risiko zu identifizieren, d. h. deren Nichteinhaltung zu einer Gefährdung des Vermögens des Institutes führen kann. Darüber hinaus hat sie die Aufgabe, auf die Implementierung wirksamer Verfahren zur Einhaltung der gesetzlichen Bes...mehr

Rz. 57 Bei der Beurteilung der Auswirkungen von ESG-Risiken müssen die Institute verschiedene plausible Szenarien zugrunde legen, die im Einklang mit wissenschaftlichen Erkenntnissen stehen (→ AT 2.2 Tz. 1, Erläuterung). Zunächst sollten die Szenarien für die Beurteilung der Auswirkungen von ESG-Risiken "aus wissenschaftsbasierten Erkenntnissen abgeleitet" werden. Die Kredit...mehr

Rz. 68 Einer ersten Bestandsaufnahme der EZB vom August 2020 zufolge waren in den Instituten beim Management von klimabedingten Risiken noch erhebliche Anstrengungen erforderlich. Bis Mitte 2020 hatten zwar nahezu 75 Prozent der untersuchten bedeutenden Institute klimabezogene Risiken bei ihrer Risikoinventur berücksichtigt. Davon war aber nur ein Drittel zu dem Schluss geko...mehr

Rz. 6 Mit Blick auf § 25a Abs. 1 Satz 3 Nr. 3 KWG fällt auf, dass ein wesentlicher Begriff aus dem Gesetzestext, nämlich die "internen Kontrollverfahren", in der Gliederung dieses Moduls gar nicht auftaucht. Im KWG werden als Kernbestandteile eines angemessenen und wirksamen Risikomanagements an erster Stelle die Risikotragfähigkeit, die Strategien und die "internen Kontroll...mehr

Rz. 87 Das übergeordnete Unternehmen hat angemessene ablauforganisatorische Vorkehrungen auf Gruppenebene zu treffen. Konkret sind Prozesse und die damit verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen sowie Kommunikationswege innerhalb der Gruppe klar zu definieren und aufeinander abzustimmen. Die deutsche Aufsicht schränkt die Organisationsverantwortung...mehr

Rz. 22 Auf europäischer Ebene war in diesem Zusammenhang die am 28. September 2005 vom Europäischen Parlament verabschiedete "Capital Requirements Directive" (CRD) von entscheidender Bedeutung. Mit deren Hilfe hat die EU-Kommission die Anforderungen von Basel II in europäisches Recht transformiert. Dieser Umsetzungsprozess betraf die Neufassung der Bankenrichtlinie[1] sowie ...mehr

[…] hiermit übersende ich Ihnen den ersten Entwurf für eine Überarbeitung der MaRisk, den Mitarbeiterinnen und Mitarbeiter der Deutschen Bundesbank und meines Hauses entwickelt haben. Die erneute Überarbeitung ist einerseits auf die Überarbeitung der EU-Bankenrichtlinie ("CRD IV") zurückzuführen. Andererseits hat die EBA schon im September 2011 mit den "EBA Guidelines on Inte...mehr

Rz. 39 Nach einschlägigen gesellschaftsrechtlichen Regelungen besteht die Hauptaufgabe des Aufsichtsorgans darin, die Geschäftsführung durch den Vorstand zu überwachen (AktG, Sparkassengesetze der Länder, GenG). Die Interne Revision hat als Instrument der Geschäftsleitung risikoorientiert und prozessunabhängig die Wirksamkeit und Angemessenheit des Risikomanagements im Allge...mehr

Rz. 290 Die Risikocontrolling-Funktion hat u. a. die Aufgabe, die Geschäftsleitung in allen risikopolitischen Fragen zu unterstützen, insbesondere bei der Entwicklung und Umsetzung der Risikostrategie sowie bei der Ausgestaltung eines Systems zur Begrenzung der Risiken (→ AT 4.4.1 Tz. 2). Zudem ist die Leitung der Risikocontrolling-Funktion bei wichtigen risikopolitischen En...mehr

Rz. 2 Gemäß § 25a Abs. 1 Satz 3 KWG wird von allen Instituten die Einrichtung eines angemessenen Risikomanagements gefordert, zu dessen Bestandteilen u. a. Prozesse zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken entsprechend den in Art. 76 bis 87 CRD IV niedergelegten technischen Kriterien zählen (→ Teil I, Kapitel 4.1 und AT 1 Tz. 1)....mehr

Rz. 169 Die MaRisk enthalten im Hinblick auf die Risikoanalyse keine konkreten Vorgaben. Es gilt der Grundsatz der Proportionalität. Die Intensität der Analyse hängt von Art, Umfang, Komplexität und Risikogehalt der ausgelagerten Aktivitäten und Prozesse ab. Die MaRisk verlangen lediglich, dass die maßgeblichen Organisationseinheiten bei der Erstellung der Risikoanalyse einz...mehr

Rz. 1 Operationelle Risiken werden im Gegensatz zu Adressenausfallrisiken oder Marktpreisrisiken vom Institut zwar grundsätzlich nicht bewusst eingegangen, um daraus Erträge zu generieren. Allerdings müssen sich die Institute z. B. bei der Einführung neuer (komplexer) Produkte oder bei Änderungen betrieblicher Prozesse und Strukturen der damit verbundenen prozessualen, recht...mehr

Rz. 22 In den MaRisk werden verschiedene Aspekte besonders betont, die den einzelnen Geschäftsleitern bzw. der Geschäftsleitung insgesamt im Zusammenhang mit ihrer Verantwortung für das Risikomanagement als unmittelbare Pflichten auferlegt werden. Dazu gehören insbesondere folgende Anforderungen: Die Geschäftsleitung hat sich zur Beurteilung der Wesentlichkeit regelmäßig und ...mehr

Rz. 11 Bei der Umsetzung dieser Anforderungen sind zumindest bis zum 17. Januar 2025 die "Bankaufsichtlichen Anforderungen an die IT" (BAIT)[1] zu beachten, mit deren Hilfe die MaRisk in den relevanten Bereichen weiter konkretisiert werden. Mithilfe der BAIT wird den Instituten die Erwartungshaltung der deutschen Aufsicht zur sicheren Ausgestaltung der IT-Systeme und zugehör...mehr

Rz. 13 Der Gesetzgeber räumt der Notwendigkeit von Strategien einen hohen Stellenwert ein. So hat der Vorstand nach § 90 Abs. 1 AktG dem Aufsichtsrat u. a. über die beabsichtigte Geschäftspolitik und andere grundsätzliche Fragen der Unternehmensplanung zu berichten. Dabei ist auch auf Abweichungen der tatsächlichen Entwicklung von früher berichteten Zielen unter Angabe von G...mehr

Rz. 1 In den letzten Jahrzehnten haben die Institute ihre Verfahren zur Beurteilung der wesentlichen Risiken permanent weiterentwickelt. So hat sich bei vielen Instituten als Standard zur Risikomessung der Value-at-Risk-Ansatz durchgesetzt, der insbesondere bei der Bestimmung des notwendigen Eigenkapitals und der internen Kapitalallokation Verwendung findet (→ AT 4.1 Tz. 1)....mehr

Rz. 150 Da die relevanten Annahmen von grundsätzlicher Bedeutung für die Umsetzung der Strategie sind, müssen sie einer mindestens jährlichen und anlassbezogenen Überprüfung unterzogen werden. Auf diese Weise wird sichergestellt, dass das Institut zeitnah reagieren kann, wenn die Realität von den maßgeblichen Annahmen abweicht.[1] Eine anlassbezogene Überprüfung der Strategi...mehr

Rz. 36 Das übergeordnete Unternehmen hat auf der Basis des gruppenweiten Gesamtrisikoprofils eigenverantwortlich festzulegen, welche Unternehmen unter Risikogesichtspunkten in das Risikomanagement auf Gruppenebene einzubeziehen sind. Bei dieser Betrachtung sind nachgeordnete Unternehmen mit Sitz im Inland und Ausland zu berücksichtigen. Unternehmen, deren Risiken als nicht w...mehr

Rz. 38 Die Aufsicht muss sich im Rahmen des SREP intensiv mit den Methoden, Prozessen, Verfahren und Strategien der Institute auseinandersetzen und diese u. a. hinsichtlich ihrer Angemessenheit bezüglich einer dauerhaften Sicherstellung der Risikotragfähigkeit beurteilen. Dabei misst sie bei der Beurteilung des ICAAP verstärkt der Datenhaltung sowie den Management-Informatio...mehr

Rz. 102 Institute mit einem Portfolio an gehebelten Transaktionen ("Leveraged Transactions", LT) müssen bei der Festlegung ihrer Strategie die Anforderungen aus Abschnitt 4.3.2 der EBA-Leitlinien für die Kreditvergabe und Überwachung beachten (→ AT 4.2 Tz. 1, Erläuterung). Demnach wird von den Instituten insbesondere erwartet, dass sie eine für alle relevanten Geschäftsberei...mehr

Rz. 97 3 Der sachgerechte Umgang mit dem Proportionalitätsprinzip seitens der Institute beinhaltet in dem prinzipienorientierten Aufbau der MaRisk auch, dass Institute im Einzelfall über bestimmte, in den MaRisk explizit formulierte Anforderungen hinaus weitergehende Vorkehrungen treffen, soweit dies zur Sicherstellung der Angemessenheit und Wirksamkeit des Risikomanagements...mehr

Rz. 96 Jene Weisungen und Beschlüsse der Geschäftsleitung, die für die Tätigkeit der Internen Revision von Bedeutung sein können, müssen ihr bekannt gegeben werden. Diese Anforderung ergänzt das allgemeine Informationsrecht der Internen Revision um Informationspflichten der Geschäftsleitung gegenüber der Revision. Die Interne Revision kann ihre Aufgabe nur effektiv wahrnehme...mehr

Rz. 159 Das "Informations- und Kommunikationstechnologie-Risiko" (IKT-Risiko) wurde zunächst als Risiko von Verlusten aufgrund der Unzweckmäßigkeit oder des Versagens der Hard- und Software technischer Infrastrukturen verstanden, welche die Verfügbarkeit, Integrität, Zugänglichkeit und Sicherheit dieser Infrastrukturen oder der Daten beeinträchtigen können.[1] Neueren Defini...mehr

Rz. 205 Prinzipienorientierte Regulierung sichert für Institute und Aufsicht die gerade im heterogenen deutschen Bankenmarkt notwendigen Handlungs- und Gestaltungsspielräume. Es liegt auf der Hand, dass das Risikomanagement von international tätigen Großbanken ganz andere Herausforderungen bewältigen muss als das einer kleineren Genossenschaftsbank mit regionalem Geschäftssc...mehr

Rz. 58 Die Geschäftsleitung sollte nach den Vorstellungen des Baseler Ausschusses für Bankenaufsicht eine Unternehmenskultur etablieren, die von einem starken Risikomanagement geleitet wird, Standards und Anreize für professionelles und verantwortungsbewusstes Verhalten setzen und sicherstellen, dass die Mitarbeiter eine angemessene Schulung in Risikomanagement und Ethik erh...mehr

Rz. 202 Der interne Prozess zur Sicherstellung der angemessenen Kapitalausstattung ("Internal Capital Adequacy Assessment Process", ICAAP) ist als Gesamtheit aller Verfahren, Methoden und Prozesse zu verstehen, die gewährleisten, dass genügend Kapital zur Deckung von wesentlichen Risiken vorhanden ist. Es handelt sich um einen laufenden Prozess, der kontinuierlich die Angeme...mehr

Rz. 4 Durch die Bezugnahme auf Institute nach § 1 Abs. 1b KWG, also auf Kredit- und Finanzdienstleistungsinstitute, wird § 25a Abs. 1 KWG Rechnung getragen, der sich auf beide Institutsarten bezieht, ohne zu differenzieren. Die Regelungen der MaRisk sind jedoch von Finanzdienstleistungsinstituten und großen Wertpapierfirmen (bzw. Wertpapierinstituten) gemäß § 2 Abs. 18 Wertp...mehr

Rz. 57 Gemäß § 2a Abs. 2 KWG kann die Aufsichtsbehörde auf Antrag ein Institut von bestimmten Anforderungen an das Management von Risiken nach § 25a Abs. 1 Satz 3 KWG – mit Ausnahme des Liquiditätsrisikos und der Compliance-Funktion – weitgehend freistellen, sofern die Voraussetzungen für den Waiver nach Art. 7 CRR vorliegen. Die Freistellung erstreckt sich auf die Festlegung...mehr

Rz. 78 Seit der vierten MaRisk-Novelle werden als Bestandteile des internen Kontrollsystems explizit auch eine Risikocontrolling-Funktion und eine Compliance-Funktion gefordert. Mit Blick auf den beschriebenen Aufgabenbereich der Compliance-Funktion könnten sich in der Praxis u. a. Abgrenzungsprobleme zur Internen Revision ergeben. So soll die Compliance-Funktion den Risiken...mehr