MaRisk-Grundlagen: Mindestanforderungen an das Risikomanagement für Banken

Einleitung

Die Mindestanforderungen an das Risikomanagement (MaRisk) bilden das Herzstück der qualitativen Bankenaufsicht in Deutschland. Sie konkretisieren die §§ 25a bis 25d KWG und definieren, wie Institute ihre Geschäftsorganisation, Risikosteuerung und interne Kontrollen ausgestalten müssen.

Rechtsgrundlagen und Struktur

Gesetzliche Basis

§ 25a KWG - Allgemeine Organisationspflichten:

• Ordnungsgemäße Geschäftsorganisation
• Angemessenes Risikomanagement
• Interne Kontrollverfahren
• Ausschluss von Interessenkonflikten

§ 25b KWG - Geschäftsleiter:

• Anforderungen an fachliche Eignung
• Zuverlässigkeit
• Zeitliche Verfügbarkeit

§ 25c KWG - Vergütungssysteme:

• Angemessene, transparente Vergütung
• Keine Anreize für unverhältnismäßige Risikoübernahme

MaRisk-Struktur

Die MaRisk gliedern sich in drei Hauptbereiche:

AT - Allgemeiner Teil:

• Geltungsbereich und Proportionalitätsprinzip
• Verantwortung der Geschäftsleitung
• Risikomanagement und -strategie
• Interne Kontrollverfahren
• Auslagerungen

BT - Besonderer Teil:

• Kreditgeschäft (BTR 1)
• Handelsgeschäft (BTR 2)
• IT (BTR 3)
• Adressenausfallrisiken

Proportionalitätsprinzip

Größenklassen

Die MaRisk unterscheiden drei Institutsgruppen:

Gruppe	Kriterium	Bilanzsumme
Gruppe 1	Kleine, nicht komplexe Institute	< 15 Mrd. EUR
Gruppe 2	Mittlere Institute	15-30 Mrd. EUR
Gruppe 3	Große, komplexe Institute	> 30 Mrd. EUR

Bedeutung:

• Anforderungen werden risikobasiert skaliert
• Kleinere Institute haben reduzierte Pflichten
• Aber: Proportionalität entbindet nicht von Kernpflichten

Risikogehalt

Neben der Größe ist der Risikogehalt des Geschäftsmodells entscheidend:

• Art der Geschäfte
• Komplexität der Risikostruktur
• Geografische Diversifikation
• Produktkomplexität

Governance und Organisation

Verantwortung der Geschäftsleitung

Gesamtverantwortung (AT 4.2):

• Festlegung der Geschäfts- und Risikostrategie
• Angemessene Geschäftsorganisation
• Ordnungsgemäße Überwachung
• Nicht delegierbare Kernaufgaben

Ressortverantwortung:

• Jeder Geschäftsleiter für sein Ressort verantwortlich
• Kollegialentscheidungen für strategische Themen
• Clear lines of responsibility

Aufbauorganisation

Funktionstrennung:

• Markt (Handel, Vertrieb)
• Marktfolge (Abwicklung, Kontrolle)
• Risikocontrolling (unabhängige Überwachung)
• Compliance
• Interne Revision

Vermeidung von Interessenkonflikten:

• Personelle Trennung sensibler Funktionen
• Vier-Augen-Prinzip bei kritischen Entscheidungen
• Chinesische Mauern zwischen Bereichen

Auslagerungen (AT 9)

Anforderungen:

• Schriftliche Verträge mit klaren SLAs
• Weisungsrechte der Bank
• Prüfungsrechte (inkl. BaFin)
• Exit-Strategien
• Keine Auslagerung von Kernaufgaben an unkontrollierte Dritte

Besondere Regelungen für Cloud:

• Erfüllung regulatorischer Anforderungen
• Datenschutz (DSGVO)
• Standort der Daten
• Business Continuity

Risikomanagement-Framework

Risikostrategie (AT 4.2)

Inhalte:

• Risikotragsähigkeit
• Risikoappetit
• Limite für wesentliche Risikoarten
• Stressszenarien

Prozess:

• Jährliche Überprüfung
• Ad-hoc-Anpassung bei wesentlichen Änderungen
• Zustimmung durch Gesamtgeschäftsleitung

Risikosteuerung und -controlling

Wesentliche Risikoarten:

• Adressenausfallrisiken (Kreditrisiko)
• Marktpreisrisiken (Zinsrisiko, FX, Aktien)
• Liquiditätsrisiken
• Operationelle Risiken
• Reputationsrisiken

Risikocontrolling-Funktion:

• Unabhängig von risikoeingehenden Bereichen
• Direkte Berichtslinie zur Geschäftsleitung
• Vetorecht bei Risikoüberschreitungen

Risikokonzentration

Klumpenrisiken identifizieren:

• Branchen-Konzentrationen
• Geografische Konzentrationen
• Einzelengagement-Konzentrationen
• Produktkonzentrationen

Limite und Überwachung:

• Granulare Limitstrukturen
• Frühwarnindikatoren
• Eskalationsprozesse

Interne Kontrollsysteme

Drei-Linien-Modell

1. Linie: Operatives Management

• Risikoverantwortung im Tagesgeschäft
• Umsetzung von Richtlinien
• Self-Assessment

2. Linie: Risikocontrolling und Compliance

• Unabhängige Überwachung
• Methodenentwicklung
• Reporting an Geschäftsleitung

3. Linie: Interne Revision

• Prozessunabhängige Prüfung
• Berichterstattung an Aufsichtsorgan
• Risikobasierte Prüfungsplanung

Interne Revision (AT 4.4.3)

Anforderungen:

• Funktionale Unabhängigkeit
• Fachliche Eignung der Prüfer
• Angemessene Ressourcen
• Risikobasierter Prüfungsplan
• Berichterstattung an Aufsichtsorgan (Aufsichtsrat)

Prüfungsschwerpunkte:

• Einhaltung von Policies
• Wirksamkeit interner Kontrollen
• Angemessenheit der Risikomanagement-Systeme
• IT-Sicherheit und Datenschutz

Compliance-Funktion (AT 4.4.2)

Aufgaben:

• Identifizierung rechtlicher Risiken
• Beurteilung von Compliance-Risiken
• Beratung der Geschäftsleitung
• Überwachung der Einhaltung
• Schulung und Sensibilisierung

Organisation:

• Unabhängigkeit von operativen Bereichen
• Angemessene Befugnisse
• Direkte Berichtslinie zur Geschäftsleitung

IT und Datenmanagement

BAIT (Bankaufsichtliche Anforderungen an die IT)

Die BaFin hat die IT-Anforderungen in den BAIT konkretisiert:

• IT-Strategie und IT-Governance
• Informationsrisikomanagement
• Informationssicherheitsmanagement
• IT-Betrieb
• Auslagerungen und Notfallmanagement

Datenqualität (AT 4.3.4)

Anforderungen:

• Vollständigkeit
• Richtigkeit
• Angemessene Granularität
• Aktualität
• Verfügbarkeit

Data Governance:

• Verantwortlichkeiten für Datenqualität
• Datenqualitätskennzahlen
• Prozesse zur Fehlerkorrektur

Kreditgeschäft (BTR 1)

Kreditrisikostrategie

Elemente:

• Zielgruppen und -märkte
• Risikotoleranz
• Limite (Branchen, Länder, Einzelkredite)
• Qualitätsstandards

Kreditprozess

Kreditvergabe:

• Kreditwürdigkeitsprüfung
• Bewertung von Sicherheiten
• Kompetenzregelung (Vier-Augen-Prinzip)
• Dokumentation

Marktfolge:

• Überwachung von Engagements
• Frühwarnsysteme
• Intensivbetreuung
• Sanierung/Abwicklung

Bewertung und Risikovorsorge

Einzelwertberichtigungen:

• Objektive Hinweise auf Wertminderung
• Discounted-Cash-Flow-Methode
• Sicherheitenverwertung

Portfoliowertberichtigungen:

• IFRS 9 / Expected Credit Loss
• Forward-looking Szenarien
• Staging-Modelle

Sanktionen und Enforcement

BaFin-Maßnahmen

Bei Verstößen:

• Anordnungen zur Beseitigung von Mängeln
• Begrenzung von Geschäften
• Erhöhung von Eigenmitteln
• Abberufung von Geschäftsleitern
• Öffentliche Bekanntmachung

Bußgelder:

• Bis zu 5 Millionen Euro oder
• 10% des Jahresumsatzes

SREP (Supervisory Review and Evaluation Process)

Die BaFin bewertet jährlich:

• Geschäftsmodell
• Governance und Risikomanagement
• Risikolage (Kapital)
• Risikolage (Liquidität)

Ergebnis:

• SREP-Score (1-4)
• Kapitalzuschläge (P2R, P2G)
• Qualitative Maßnahmen

Aktuelle Entwicklungen

Novellierung 2023

Wesentliche Änderungen:

• Integration von ESG-Risiken
• Erweiterte Anforderungen an Auslagerungen
• Digitalisierung und Cyber-Risiken
• Proportionalität weiter geschärft

ESG-Risiken

Neue Anforderungen:

• Integration von Klimarisiken in Risikostrategie
• ESG-Faktoren in Kreditvergabe
• Stresstests für Transitionsrisiken
• Offenlegung nach Artikel 8 Taxonomie-VO

Best Practices

1. Risikoorientierung: MaRisk nicht als Checkliste, sondern risikobasiert umsetzen
2. Dokumentation: Lückenlose Dokumentation von Entscheidungen und Prozessen
3. Technologie: Investition in moderne Risikomanagement-Systeme
4. Kultur: Risikokultur von oben vorleben
5. Kontinuierliche Verbesserung: Regelmäßige Selbstbewertungen und Gap-Analysen

Fazit

Die MaRisk sind das Rückgrat einer soliden Bankenaufsicht in Deutschland. Sie erfordern eine ganzheitliche, risikobasierte Herangehensweise an Governance, Risikomanagement und Kontrollen. Die konsequente Umsetzung schützt nicht nur vor regulatorischen Sanktionen, sondern stärkt die langfristige Stabilität und Wettbewerbsfähigkeit des Instituts.