MaRisk- kompakt

Mindestanforderungen an das Risikomanagement (MaRisk) – Rundschreiben 06/2024 (BA)

Das Rundschreiben 06/2024 (BA) der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) definiert die Mindestanforderungen an das Risikomanagement (MaRisk) für alle Kredit- und Finanzdienstleistungsinstitute in Deutschland. Diese Anforderungen sollen die Stabilität des Finanzsystems fördern und sicherstellen, dass Institute verantwortungsvoll mit Risiken umgehen.

Die MaRisk bieten einen praxisnahen und flexiblen Rahmen für die Gestaltung des Risikomanagements. Sie zielen darauf ab, potenzielle Missstände im Kredit- und Finanzdienstleistungswesen zu verhindern, die sowohl die Sicherheit anvertrauter Vermögenswerte gefährden als auch die ordnungsgemäße Durchführung von Bank- und Finanzgeschäften beeinträchtigen könnten. Zudem tragen sie dazu bei, Nachteile für die Gesamtwirtschaft zu vermeiden.

Die MaRisk gelten für alle Institute gemäß Kreditwesengesetz (KWG), einschließlich ihrer Zweigniederlassungen im Ausland. Sie berücksichtigen die unterschiedlichen Größen und Geschäftsfelder der Institute und enthalten Regelungen, die eine vereinfachte Umsetzung in Abhängigkeit von Größe, Risikosituation und Geschäftsschwerpunkten ermöglichen.

Der modulare Aufbau der MaRisk umfasst zwei Hauptbereiche:

  • Allgemeiner Teil (Modul AT): Enthält grundsätzliche Prinzipien des Risikomanagements.
  • Besonderer Teil (Modul BT): Definiert spezifische Anforderungen an die Organisation des Kredit-, Handels- und Immobiliengeschäfts.

Die MaRisk beziehen sich auf das Management aller wesentlichen Risiken, darunter Adressenausfallrisiken, Marktpreisrisiken, Liquiditätsrisiken und operationelle Risiken. Dabei folgt das Konzept dem Prinzip der doppelten Proportionalität: Die Anforderungen sind individuell auf die Größe, Geschäftstätigkeit und Risikosituation der Institute abgestimmt.

Anforderungsübersicht

Steuerung und Überwachung von Risiken

Gesamtverantwortung der Geschäftsleitung: Die Geschäftsleitung ist für die ordnungsgemäße Geschäftsorganisation und ein angemessenes Risikomanagement verantwortlich, inklusive der Entwicklung einer angemessenen Risikokultur.

Risikotragfähigkeit: Institute müssen sicherstellen, dass ihre wesentlichen Risiken, unter Berücksichtigung von Risikokonzentrationen, durch das Risikodeckungspotenzial gedeckt sind. Dazu ist ein interner Prozess zur Sicherstellung der Risikotragfähigkeit einzurichten.

Strategien: Die Geschäftsleitung muss eine nachhaltige Geschäftsstrategie und eine damit konsistente Risikostrategie festlegen, die den Risikoappetit des Instituts für alle wesentlichen Risiken definiert.

Risikocontrolling-Funktion: Jedes Institut muss über eine unabhängige Risikocontrolling-Funktion verfügen, die die wesentlichen Risiken überwacht und darüber kommuniziert.

Interne Revision: Jedes Institut benötigt eine unabhängige Interne Revision, die die Wirksamkeit des Risikomanagementsystems prüft.

Stresstests: Regelmäßige und anlassbezogene Stresstests sind für die wesentlichen Risiken sowie für das Gesamtrisikoprofil durchzuführen.

Risikoberichterstattung: Die Geschäftsleitung muss regelmäßig über die Risikosituation des Instituts informiert werden, sowohl über einzelne Risikoarten als auch in einem Gesamtrisikobericht.

Internes Kontrollsystem und Prozesse

Internes Kontrollsystem: Institute müssen ein angemessenes internes Kontrollsystem einrichten, das alle wesentlichen Risiken erfasst. Dazu gehören klare Prozesse, Aufgaben, Kompetenzen und Verantwortlichkeiten.

Risikosteuerungs- und -controllingprozesse: Für die wesentlichen Risiken müssen angemessene Prozesse zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation eingerichtet werden.

Datenmanagement und Datenqualität: Bedeutende Institute müssen institutsweit und gruppenweit geltende Grundsätze für Datenmanagement und -qualität festlegen.

Verwendung von Modellen: Modelle, die im Risikomanagement eingesetzt werden, müssen Anforderungen an Angemessenheit, Eignung, Datenqualität und Validierung erfüllen.

Compliance-Funktion: Jedes Institut muss eine Compliance-Funktion einrichten, die der Nichteinhaltung rechtlicher Vorgaben entgegenwirkt.

Organisationsrichtlinien: Die Geschäftsaktivitäten des Instituts müssen auf der Grundlage schriftlicher Organisationsrichtlinien erfolgen.

Dokumentation: Geschäfts-, Kontroll- und Überwachungsunterlagen müssen systematisch und nachvollziehbar dokumentiert werden.

Besondere Anforderungen an Geschäftsbereiche

Kreditgeschäft: Klare Trennung von Markt und Marktfolge; Prozesse für Kreditgewährung, -weiterbearbeitung, -bearbeitungskontrolle, Intensivbetreuung, Problemkreditbearbeitung und Risikovorsorge.

Handelsgeschäft: Trennung von Handel und Risikocontrolling sowie Abwicklung und Kontrolle; Prozesse für Handel, Abwicklung, Kontrolle und Abbildung im Risikocontrolling.

Immobiliengeschäft: Trennung von Markt und Marktfolge; Prozesse für Immobilienerwerb/-errichtung, Weiterbearbeitung und Überwachung sowie Bearbeitungskontrollen.

Sonstige Anforderungen

Ressourcen: Ausreichende personelle und technisch-organisatorische Ressourcen zur Erfüllung der MaRisk.

Auslagerung: Wesentliche Auslagerungen von Aktivitäten und Prozessen müssen bestimmte Anforderungen erfüllen, um die Kontrolle des Instituts über die ausgelagerten Funktionen zu gewährleisten.

Risikomanagement auf Gruppenebene: Zusätzliche Anforderungen an das Risikomanagement auf Gruppenebene für Institute, die Teil einer Gruppe sind.

IMPLEMENTUS – Beratungsleistungen

Wir bieten Beratungsleistungen gemäß MaRisk, die auf die individuellen Risiken und Bedürfnisse eines Instituts zugeschnitten sind.

Risikomanagement-Strategie & Governance:

  • Entwicklung und Umsetzung der Risikostrategie: Unterstützung bei der Definition des Risikoappetits, der Festlegung von Risikolimits und der Entwicklung von Richtlinien und Verfahren zur Risikosteuerung.
  • Einrichtung und Optimierung des internen Kontrollsystems: Beratung zur Aufbau- und Ablauforganisation, Implementierung von Risikosteuerungs- und -controllingprozessen sowie Einrichtung der besonderen Funktionen Risikocontrolling, Compliance und Interne Revision.
  • Risikotragfähigkeitsanalyse & -steuerung: Durchführung von Risikotragfähigkeitsanalysen, Entwicklung von Risikotragfähigkeitskonzepten und Beratung zur Steuerung der Risikotragfähigkeit im Einklang mit den strategischen Zielen des Instituts.
  • Integration von ESG-Risiken: Unterstützung bei der Identifizierung, Beurteilung und Steuerung von ESG-Risiken und deren Integration in das Risikomanagement-Framework.

Risikoarten-spezifische Beratung

  • Adressenausfallrisiken: Beratung zur Kreditvergabe und -überwachung, Risikoklassifizierung, Forbearance-Management, Problemkreditbearbeitung und Risikovorsorge.
  • Marktpreisrisiken: Unterstützung bei der Bewertung und Steuerung von Marktpreisrisiken im Handels- und Anlagebuch, Entwicklung von Risikomodellen und Limiten sowie Durchführung von Stresstests.
  • Liquiditätsrisiken: Beratung zur Liquiditätssteuerung, Entwicklung von Liquiditätsplanungs- und Stresstestverfahren, Implementierung von Liquiditätstransferpreissystemen und Erstellung von Notfallplänen.
  • Operationelle Risiken: Unterstützung bei der Identifizierung, Beurteilung und Steuerung operationeller Risiken, Entwicklung von Risikomodellen und -indikatoren sowie Implementierung von Schadensfallerfassungssystemen.
  • Kreditspreadrisiken im Anlagebuch: Beratung zur Bewertung und Steuerung von Kreditspreadrisiken, Entwicklung von Risikomodellen und -indikatoren sowie Durchführung von Stresstests.

Compliance & Regulatorische Anforderungen

  • Umsetzung der MaRisk: Unterstützung bei der Implementierung der MaRisk-Anforderungen in allen relevanten Geschäftsbereichen und Prozessen.
  • Auslagerungsmanagement: Beratung zur rechtssicheren Gestaltung von Auslagerungen, Durchführung von Risikoanalysen, Entwicklung von Auslagerungsverträgen und Überwachung der Auslagerungsunternehmen.
  • Risikoberichterstattung: Entwicklung und Implementierung von aussagekräftigen Risikoberichten für die Geschäftsleitung und das Aufsichtsorgan.
  • Compliance-Management: Beratung zur Einhaltung regulatorischer Anforderungen, Entwicklung von Compliance-Richtlinien und -prozessen sowie Durchführung von Compliance-Schulungen.
  • Interne Revision: Unterstützung bei der risikoorientierten Prüfungsplanung und -durchführung sowie der Bewertung der Wirksamkeit des Risikomanagements und des internen Kontrollsystems.