(aktualisiert 22.04.2013)

Finanzinstitute (Banken, Finanzdienstleistungsinstitute etc.) haben eine branchenspezielle Reglementierung des Risikomanagements und werden streng danach überwacht. Insbesondere wurden sog. MaRisk entwickelt.

Überblick:

• Pflicht zum Risikomanagement nach KWG
• Mindestanforderung an das Risikomanagement MaRisk
• Anforderungen an die Strategie
• Risiken bei Finanzinstituten
• Prüfung des Risikomanagements bei Finanzinstituten

Zu den besonderen organisatorischen Pflichten eines Finanzinstituts zählt nach § 25 a KWG (Kreditwesengesetz) eine ordnungsgemäße Geschäftsorganisation, die insbesondere folgende Komponenten:

1. Risikomanagement
2. Regelung zur Bestimmung der finanzielle Lage des Instituts
3. Dokumentation der Geschäftstätigkeit über 5 Jahre hinaus

Ein angemessenes und wirksames Risikomanagement, auf dessen Basis das Institut die Risikotragfähigkeit laufend sicherzustellen hat, wird folgendermaßen umschrieben:

• Festlegen von Strategien, Verfahren zur Ermittlung und Sicherstellung der Risikotragfähigkeit
• Einrichtung interner Kontrollverfahren mit einem internen Kontrollsystem und einer internen Revision
• angemessene personelle und technisch-organisatorische Ausstattung des Instituts
• Festlegung eines angemessenen Notfallkonzepts, insbesondere für IT-Systeme
• Ausgestaltung hängt von Art, Umfang, Komplexität und Risikogehalt der Geschäftstätigkeit ab

Die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) hat erstmals am 20.12.2005 Mindestanforderungen an das Risikomanagement (MaRisk) erlassen, am 30.07.2007 (nach der Kernschmelze des Subprimemarktes und der Landesbankenkrise sowie kurz vor dem Einfrieren des Bankengeldmarkts) aktualisiert und am 14.08.2009 (kurz nach dem Erlass des Badbankgesetzes) um erste Erfahrungen aus der Finanzkrise (z.B. Stresstests) aktualisiert. Eine Einbindung der ISO 31000 vom 18.11.2009 ist allerdings noch nicht erfolgt. Die MaRisk wurden wieder am 15.12.2010 und 14.12.2012 überarbeitet.

Die MaRisk sind auszugsweise folgendermaßen strukturiert:

AT = Allgemeiner Teil

AT 1 Einleitung

AT 2 Anwendungsbereich

AT 2.1 Anwenderkreis

AT 2.2 Risiken

AT 2.3 Geschäfte

AT 3 Gesamtverantwortung der Geschäftsleitung

AT 4 Allgemeine Anforderungen an das Risikomanagement

AT 4.1 Risikotragfähigkeit

AT 4.2 Strategien

AT 4.3 Internes Kontrollsystem

AT 4.3.1 Aufbau- und Ablauforganisation

AT 4.3.2 Risikostreuerungs- und -controllingprozesse

AT 4.3.3 Stresstest

AT 4.4 Besondere Funktionen

AT 4.4.1 Risikocontrolling-Funktion

AT 4.4.2 Compliance-Funktion

AT 4.4.3 Interne Revision

AT 4.5 Risikomanagement auf Gruppenebene

AT 5 Organisationsrichtlinien

AT 6 Dokumentation

AT 7 Ressourcen

AT 7.1 Personal

AT 7.2 Technisch-organisatorische Ausstattung

AT 7.3 Notfallkonzept

AT 8 Aktivitäten in neuen Produkten und auf neuen Märkten

AT 8.1 Neu-Produkt-Prozess

AT 8.2 Änderungen betrieblicher Prozesse und Strukturen

AT 8.3 Übernahmen und Funktionen

AT 9 Outsourcing

BT = Besonderer Teil

BT 1 Besondere Anforderungen an das interne Kontrollsystem

BTO Anforderungen an die Aufbau- und Ablauforganisation

BTR Anf. an die Risikosteuerungs- und -controllingprozesse

BT 2 Besondere Anforderungen an die interne Revision

(Wegen weiterer Einzelheiten empfehlen wir die BaFin-Seite)

Die MaRisk definieren die Anforderungen an die Strategien in etwa so:

• Geschäftsleitung legt nachhaltige Geschäftsstrategie fest;
• dazu auch die passende Risikostrategie
• Berücksichtigung der in der Geschäftsstrategie niederzulegenden Ziele und Planungen der wesentlichen Geschäftstätigkeiten
• Berücksichtigung der Risiken wesentlicher Auslagerungen
• Detaillierungsgrad der Strategien ist abhängig von Umfang und Komplexität sowie Risikogehalt der geplanten Geschäftsaktivitäten sowie dem Risikogehalt der geplanten Geschäftsaktivitäten
  
• Die Risikostrategie hat die Ziele der Risikosteuerung der wesentlichen Geschäftsaktivitäten  zu umfassen, ggf. unterteilt nach einzelnen Risiken.
• Risikokonzentrationen sind dabei auch mit Blick auf die Ertragssituation des Instituts (Ertragskonzentration) zu berücksichtigen
• Strategien müssen mindestens jährlich überprüft werden und dem Aufsichtsrat und innerhalb des Instituts kommuniziert werden

• Adressrisiken (Kreditrisiken):
  • Gefahr durch Ausfall oder Bonitätsverschlechterung von Geschäftspartnern
  • Gefahr durch Ausfall von Einlageninstituten
• Marktpreisrisiken:
  • Wechselkursrisiken
  • Zinsänderungsrisiken
• Liquiditätsrisiken:
  • Zahlungsunfähigkeit
• Konzentrationsrisiken:
  • Ertragskonzentrationsrisiko
• Operationelle Risiken (OpRisk):
  • Verfahrens- und Systemversagen
  • Menschliches Versagen
  • Betrug, Geldwäsche, Insiderhandel
  • Extern verursachte Schäden, Katastrophen
  • Wegfall des Büros, der Infrastruktur
  • Ausfall der IT
• Andere Risiken:
  • Wettbewerbsrisiken
  • Vertriebsrisiken
  • Regulatorische Risiken
  • Projektrisiken
    

Der IDW Prüfungsstandard EPS 525 regelt die Beurteilung des Risikomangementsim Rahmen von Abschlussprüfungen und ist folgendermaßen aufgebaut:

1. Vorbemerkung
2. Risikomanagement als Element der Banksteuerung
3. Beurteilung der Funktionsfähigkeit des Risikomanagements
   1. Strategie und Risikobewußtsein
   2. Risikoerkennung
   3. Risikoanalyse
   4. Risikosteuerung
   5. Risikokommunikation und - überwachung
4. Beurteilung der Funktionsweise und Ergebnisse der Risikotragfähigkeitsrechnung
   
5. Berichterstattung

Anforderungen an die Risikoanalyse:

• Kategorisierung der Risiken
• geeignete Verfahren der Risikomessung
• Konsistenz der zugrundeliegenden Geschäftsdaten
• Überprüfung der Eignung der verwendeten Risikomodelle
• zeitnahe Risikomessung
• Zerlegung derivativer und strukturierter Produkte
• Anwendung von Stressszenarien
• geeigneter Bewertungsturnus der Risikopositionen
• geeignete Zusammenfassung von Einzelrisiken

Risikotragfähigkeitsrechnung:

• Vergleich Risikodeckungsmasse zu Risikopotenzial