(aktualisiert 22.04.2013)
Risikomanagement bei Finanzinstituten
Finanzinstitute (Banken, Finanzdienstleistungsinstitute etc.) haben eine branchenspezielle Reglementierung des Risikomanagements und werden streng danach überwacht. Insbesondere wurden sog. MaRisk entwickelt.
Überblick:
- Pflicht zum Risikomanagement nach KWG
- Mindestanforderung an das Risikomanagement MaRisk
- Anforderungen an die Strategie
- Risiken bei Finanzinstituten
- Prüfung des Risikomanagements bei Finanzinstituten
Pflicht zum Risikomanagement nach KWG
Zu den besonderen organisatorischen Pflichten eines Finanzinstituts zählt nach § 25 a KWG (Kreditwesengesetz) eine ordnungsgemäße Geschäftsorganisation, die insbesondere folgende Komponenten:
- Risikomanagement
- Regelung zur Bestimmung der finanzielle Lage des Instituts
- Dokumentation der Geschäftstätigkeit über 5 Jahre hinaus
Ein angemessenes und wirksames Risikomanagement, auf dessen Basis das Institut die Risikotragfähigkeit laufend sicherzustellen hat, wird folgendermaßen umschrieben:
- Festlegen von Strategien, Verfahren zur Ermittlung und Sicherstellung der Risikotragfähigkeit
- Einrichtung interner Kontrollverfahren mit einem internen Kontrollsystem und einer internen Revision
- angemessene personelle und technisch-organisatorische Ausstattung des Instituts
- Festlegung eines angemessenen Notfallkonzepts, insbesondere für IT-Systeme
- Ausgestaltung hängt von Art, Umfang, Komplexität und Risikogehalt der Geschäftstätigkeit ab
Mindestanforderungen an das Risikomanagement MaRisk
Die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) hat erstmals am 20.12.2005 Mindestanforderungen an das Risikomanagement (MaRisk) erlassen, am 30.07.2007 (nach der Kernschmelze des Subprimemarktes und der Landesbankenkrise sowie kurz vor dem Einfrieren des Bankengeldmarkts) aktualisiert und am 14.08.2009 (kurz nach dem Erlass des Badbankgesetzes) um erste Erfahrungen aus der Finanzkrise (z.B. Stresstests) aktualisiert. Eine Einbindung der ISO 31000 vom 18.11.2009 ist allerdings noch nicht erfolgt. Die MaRisk wurden wieder am 15.12.2010 und 14.12.2012 überarbeitet.
Die MaRisk sind auszugsweise folgendermaßen strukturiert:
AT = Allgemeiner Teil
AT 1 Einleitung
AT 2 Anwendungsbereich
AT 2.1 Anwenderkreis
AT 2.2 Risiken
AT 2.3 Geschäfte
AT 3 Gesamtverantwortung der Geschäftsleitung
AT 4 Allgemeine Anforderungen an das Risikomanagement
AT 4.1 Risikotragfähigkeit
AT 4.2 Strategien
AT 4.3 Internes Kontrollsystem
AT 4.3.1 Aufbau- und Ablauforganisation
AT 4.3.2 Risikostreuerungs- und -controllingprozesse
AT 4.3.3 Stresstest
AT 4.4 Besondere Funktionen
AT 4.4.1 Risikocontrolling-Funktion
AT 4.4.2 Compliance-Funktion
AT 4.4.3 Interne Revision
AT 4.5 Risikomanagement auf Gruppenebene
AT 5 Organisationsrichtlinien
AT 6 Dokumentation
AT 7 Ressourcen
AT 7.1 Personal
AT 7.2 Technisch-organisatorische Ausstattung
AT 7.3 Notfallkonzept
AT 8 Aktivitäten in neuen Produkten und auf neuen Märkten
AT 8.1 Neu-Produkt-Prozess
AT 8.2 Änderungen betrieblicher Prozesse und Strukturen
AT 8.3 Übernahmen und Funktionen
AT 9 Outsourcing
BT = Besonderer Teil
BT 1 Besondere Anforderungen an das interne Kontrollsystem
BTO Anforderungen an die Aufbau- und Ablauforganisation
BTR Anf. an die Risikosteuerungs- und -controllingprozesse
BT 2 Besondere Anforderungen an die interne Revision
(Wegen weiterer Einzelheiten empfehlen wir die BaFin-Seite)
Anforderungen an die Strategie
Die MaRisk definieren die Anforderungen an die Strategien in etwa so:
- Geschäftsleitung legt nachhaltige Geschäftsstrategie fest;
- dazu auch die passende Risikostrategie
- Berücksichtigung der in der Geschäftsstrategie niederzulegenden Ziele und Planungen der wesentlichen Geschäftstätigkeiten
- Berücksichtigung der Risiken wesentlicher Auslagerungen
- Detaillierungsgrad der Strategien ist abhängig von Umfang und Komplexität sowie Risikogehalt der geplanten Geschäftsaktivitäten sowie dem Risikogehalt der geplanten
Geschäftsaktivitäten
- Die Risikostrategie hat die Ziele der Risikosteuerung der wesentlichen Geschäftsaktivitäten zu umfassen, ggf. unterteilt nach einzelnen Risiken.
- Risikokonzentrationen sind dabei auch mit Blick auf die Ertragssituation des Instituts (Ertragskonzentration) zu berücksichtigen
- Strategien müssen mindestens jährlich überprüft werden und dem Aufsichtsrat und innerhalb des Instituts kommuniziert werden
Risiken bei Finanzinstituten
- Adressrisiken (Kreditrisiken):
- Gefahr durch Ausfall oder Bonitätsverschlechterung von Geschäftspartnern
- Gefahr durch Ausfall von Einlageninstituten
- Marktpreisrisiken:
- Wechselkursrisiken
- Zinsänderungsrisiken
- Liquiditätsrisiken:
- Zahlungsunfähigkeit
- Konzentrationsrisiken:
- Ertragskonzentrationsrisiko
- Operationelle Risiken (OpRisk):
- Verfahrens- und Systemversagen
- Menschliches Versagen
- Betrug, Geldwäsche, Insiderhandel
- Extern verursachte Schäden, Katastrophen
- Wegfall des Büros, der Infrastruktur
- Ausfall der IT
- Andere Risiken:
- Wettbewerbsrisiken
- Vertriebsrisiken
- Regulatorische Risiken
- Projektrisiken
Prüfung des Risikomanagements der Finanzinstitute
Der IDW Prüfungsstandard EPS 525 regelt die Beurteilung des Risikomangementsim Rahmen von Abschlussprüfungen und ist folgendermaßen aufgebaut:
- Vorbemerkung
- Risikomanagement als Element der Banksteuerung
- Beurteilung der Funktionsfähigkeit des Risikomanagements
- Strategie und Risikobewußtsein
- Risikoerkennung
- Risikoanalyse
- Risikosteuerung
- Risikokommunikation und - überwachung
- Beurteilung der Funktionsweise und Ergebnisse der Risikotragfähigkeitsrechnung
- Berichterstattung
Anforderungen an die Risikoanalyse:
- Kategorisierung der Risiken
- geeignete Verfahren der Risikomessung
- Konsistenz der zugrundeliegenden Geschäftsdaten
- Überprüfung der Eignung der verwendeten Risikomodelle
- zeitnahe Risikomessung
- Zerlegung derivativer und strukturierter Produkte
- Anwendung von Stressszenarien
- geeigneter Bewertungsturnus der Risikopositionen
- geeignete Zusammenfassung von Einzelrisiken
Risikotragfähigkeitsrechnung:
- Vergleich Risikodeckungsmasse zu Risikopotenzial