Die Mindestanforderungen an das Risikomanagement (BA), abgekürzt MaRisk (BA), sind Verwaltungsanweisungen, die mit einem Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für die Ausgestaltung des Risikomanagements in deutschen Kreditinstituten veröffentlicht wurden. Sie wurden von der BaFin erstmals mit Rundschreiben 18/2005 vom 20. Dezember 2005 veröffentlicht und zuletzt am 16. August 2021 durch das Rundschreiben 10/2021 (BA) geändert.[1] BA steht hierbei für Bankenaufsicht.[2] Show
Die MaRisk konkretisieren den § 25a KWG und sind die Umsetzung der qualitativen Anforderungen aus Basel II bzw. Basel III an das Risikocontrolling von Banken und die entsprechenden bankaufsichtlichen Überprüfungsprozesse in deutsches Recht (sogenannte „zweite Säule“ von Basel II/III). Es handelt sich bei ihnen (ihrer Rechtsnatur) um sogenannte normeninterpretierende Verwaltungsvorschriften, die eine Selbstbindung der deutschen Aufsicht gegenüber den Finanzinstituten bzw. Versicherungen darstellen. Die MaRisk sind somit de facto eine verbindliche Auslegung des § 25a Abs. 1 KWG. Sie sollen der Aufsichtsbehörde eine konsistente Anwendung gegenüber den Finanzinstituten bzw. Versicherungen ermöglichen und Rechts- und Planungssicherheit schaffen. Die Einhaltung der MaRisk wird vom Abschlussprüfer im Rahmen der Jahresabschlussprüfung geprüft. Sie sind auch Gegenstand von Sonderprüfungen nach § 44 Abs. 1 KWG. Solche Prüfungen werden nach der Neufassung der Aufsichtsrichtlinie, die die Arbeitsteilung zwischen BaFin und Deutscher Bundesbank auf der Basis von § 7 KWG präzisiert, von Prüfern der Bundesbank durchgeführt. Aufbau der MaRisk[Bearbeiten | Quelltext bearbeiten]Das MaRisk-Rundschreiben ist modular strukturiert: Im allgemeinen Teil (Modul AT) befinden sich grundsätzliche Prinzipien für die Ausgestaltung des Risikomanagements, Organisationsrichtlinien, Dokumentation, Personalwesen oder Notfallvorsorge und der Rahmen für die Ausgestaltung von Outsourcing. Im besonderen Teil (Modul BT) sind spezifische Anforderungen an die Organisation bzw. die Prozesse für das Management und Controlling von Adressenausfallrisiken, Marktpreisrisiken, Liquiditätsrisiken sowie operationellen Risiken niedergelegt. Außerdem werden dort Rahmen für die Ausgestaltung der internen Revision vorgegeben.[3] Weiterentwicklung der MaRisk[Bearbeiten | Quelltext bearbeiten]Zur Diskussion von Auslegungs- und Anwendungsfragen in der Praxis tagt in gewissen Abständen das sog. Fachgremium MaRisk. Dieses setzt sich aus Experten der Industrie, Prüfern, Verbandsvertretern und Bankenaufsehern (BaFin, Bundesbank) zusammen. Im Gremium werden Vorschläge zu Anpassungen diskutiert. Bei Annahme durch die BaFin wird eine angepasste Formulierung der MaRisk vorgenommen. Die Protokolle und Änderungsentwürfe (Arbeitsversionen) werden im Internet veröffentlicht. Am 30. Oktober 2007 erfolgte eine Neufassung der MaRisk, in dem die MaRisk vor allem um Regelungen zum Outsourcing ergänzt wurden.[4] Als Reaktion auf die Finanzmarktkrise wurden vom Financial Stability Forum, in dem die Bankenaufsichten, Zentralbanken und Finanzministerien zahlreicher wirtschaftlich bedeutender Länder vertreten sind, im April 2008 Empfehlungen veröffentlicht, die unter anderem auch das Risikomanagement in den Instituten betreffen.[5] Im Februar 2009 wurde von der BaFin ein Entwurf der MaRisk veröffentlicht, der entsprechende Anpassungen enthält. Dieser Entwurf war Grundlage für die am 14. August 2009 veröffentlichte überarbeitete Fassung.[6] Zitat Rundschreiben der BaFin:
Im Abschnitt AT 7.2 werden an die unterstützenden IT-Systeme konkrete Anforderungen an Berechtigungssysteme gestellt. Ende 2010 wurden die MaRisk (BA) erneut überarbeitet (Rundschreiben 11/2010 (BA) vom 15. Dezember 2010).[8] Die Regelungen zu den Vergütungssystemen der Banken wurden im Zuge der Überarbeitung aus den MaRisk herausgenommen und finden sich nunmehr in detaillierterer Form in der Instituts-Vergütungsverordnung (InstitutsVergV).[9] Am 26. April 2012 wurde von der BaFin der Entwurf einer weiteren Überarbeitung der MaRisk veröffentlicht.[10] Die endgültige Fassung der MaRisk2012 wurde am 14. Dezember 2012 veröffentlicht und trat zum 1. Januar 2013 in Kraft. Die neue Fassung stellt u. a. die Compliance- sowie Risikocontrollingfunktionen in den Instituten stärker als eigenständige Prozesse dar, die unabhängig und aufbauorganisatorisch getrennt zu den überwachten Bereichen aufgestellt sein müssen. Zusätzlich werden konkretere Regelungen zu Risikotragfähigkeitsuntersuchungen gegeben.[11] Im Jahr 2016 wurde eine fünfte MaRisk-Novelle angekündigt. Schwerpunkte sind die Risikodatenaggregation und Risikoberichterstattung, die Risikokultur in den Instituten sowie Auslagerungen. Die Konsultation wurde am 18. Februar 2016 veröffentlicht.[12] In den Stellungnahmen insbesondere der Bankenverbände wurde kritisiert, dass die regulatorischen Anforderungen teilweise deutlich über internationale Vorgaben hinausgingen und gerade im Bezug auf die Auslagerungen für die Banken teilweise nur mit erheblichem zusätzlichem Aufwand umsetzbar seien. Am 24. Juni 2016 hat die BaFin den Bankenverbänden einen weiteren inoffiziellen Zwischenstand für eine finale Konsultation bereitgestellt. Die Endfassung sollte zunächst noch in der zweiten Jahreshälfte 2016 veröffentlicht werden.[13] Die endgültige Fassung der MaRisk2017 wurde am 27. Oktober 2017 durch das Rundschreiben 09/2017 (BA) veröffentlicht.[14] Wesentliche Neuerungen sind[15]
Am 16.08.2021 wurde die aktuelle Version der MaRisk 7.0 bzw. 6. Novelle veröffentlicht[16]. In Summe sind 79 Änderungen zu verzeichnen, wobei 49 Klarstellungen und 30 Neuerungen zu konstatieren sind. Diese mussten in der Regel bis zum 31. Dezember 2021 umgesetzt sein[17]. Schwerpunkt der Novelle lag auf den folgenden Punkten:
Diese 49 Änderungen umfassen 83,3 % der Neuerungen, ebenfalls 83,3 % der Aspekte, die einen hohen Umsetzungsaufwand mit sich bringen sowie 100 % der kritischen Aspekte (10) bei der Umsetzung[17]. Historische Entwicklung[Bearbeiten | Quelltext bearbeiten]Die MaRisk sind der zentrale Baustein in der Weiterentwicklung der qualitativen Bankenaufsicht, deren Entwicklung 1975 mit den Mindestanforderungen für bankinterne Kontrollmaßnahmen bei Devisengeschäften begann.[18] Entscheidende Änderung ist dabei der ganzheitliche Ansatz, der die bisherigen Regelungen für Teilbereiche ablöst. Dies betrifft insbesondere Strategien, Risikotragfähigkeit, Liquiditätsrisiken und operationelle Risiken. Die Regelungen der MaH und MaK bleiben dabei i. W. erhalten, die Anforderungen sind wie bisher vom Geschäftsumfang abhängig (Grundsatz der Proportionalität).[19] In den MaRisk hat die BaFin als Aufsichtsbehörde zur Konkretisierung des § 25a KWG die bis dahin gültigen
konsolidiert, aktualisiert und ergänzt. Sämtliche aus den MaH, MaIR und MaK in die MaRisk überführten Anforderungen galten ab der Veröffentlichung im Dezember 2005. Neu hinzugekommene Anforderungen mussten jedoch erst mit Inkrafttreten von Basel II zum 1. Januar 2007 umgesetzt werden. Instituten, die das Wahlrecht gemäß Art. 152 Abs. 7 Eigenkapitalrichtlinie in Anspruch nahmen, erlaubten die EU-rechtlichen Vorgaben einen Anwendungsaufschub von Basel II bis zum 1. Januar 2008. Durch die 2009 erfolgte erste Veröffentlichung der an das Versicherungswesen gerichteten Mindestanforderungen an das Risikomanagement (VA), abgekürzt MaRisk (VA), wurde der Klammerzusatz „(BA)“ bei den Vorgaben für das Bankwesen nötig. Aufsichtliche Anforderungen an die IT[Bearbeiten | Quelltext bearbeiten]Die Informationstechnik ist die Basisinfrastruktur für sämtliche fachlichen, aber auch alle nichtfachlichen Prozesse bei Banken. Die Bankaufsichtlichen Anforderungen an die IT, abgekürzt BAIT, sind Verwaltungsanweisungen, die mit dem Rundschreiben 10/2017 (BA) der BaFin veröffentlicht wurden.[20] Die BAIT konkretisieren die gesetzlichen Anforderungen des § 25a Absatz 1 Satz 3 Nr. 4 und 5 Kreditwesengesetz (KWG). Darin wird erläutert, was unter einer angemessenen technisch-organisatorischen Ausstattung der IT-Systeme, unter besonderer Berücksichtigung der Anforderungen an die Informationssicherheit sowie eines angemessenen Notfallkonzepts, verstanden wird. Da Kreditinstitute zunehmend IT-Dienstleistungen von Dritten beziehen, auch im Rahmen von Auslagerungen, wird auch der § 25b KWG in diese Konkretisierung einbezogen. Literatur[Bearbeiten | Quelltext bearbeiten]
Weblinks[Bearbeiten | Quelltext bearbeiten]
Einzelnachweise[Bearbeiten | Quelltext bearbeiten]
Was bedeutet BTO MaRisk?Im Modul BT 1 werden die Anforderungen an das interne Kontrollsystem weiter spezifiziert. Dieses Modul gliedert sich in zwei Untermodule auf. Im Untermodul BTO werden die Grundlagen für die Aufbau- und Ablauforganisation im Kredit- und Handelsgeschäft festgeschrieben.
Ist MaRisk ein Gesetz?Die MaRisk sind somit de facto eine verbindliche Auslegung des § 25a Abs. 1 KWG. Sie sollen der Aufsichtsbehörde eine konsistente Anwendung gegenüber den Finanzinstituten bzw. Versicherungen ermöglichen und Rechts- und Planungssicherheit schaffen.
Für wen gilt die MaRisk?Für wen gelten die MaRisk? Die MaRisk gelten für Kreditinstitute und Finanzdienstleistungsinstitute mit Sitz in Deutschland. Für E-Geld-Institute und Zahlungsinstitute wiederum gelten die MaRisk grundsätzlich nicht. Dennoch haben die MaRisk auch für diese Institute Relevanz.
Was sind Handelsgeschäfte nach MaRisk?Der Begriff Handelsgeschäft stammt aus den MaH und wurde in die Mindestanforderungen an das Risikomanagement (MaRisk) übernommen, wobei Edelmetallgeschäfte durch Warengeschäfte allgemein ersetzt wurden. Handelsgeschäfte sind meist standardisiert und werden entsprechend über standardisierte Verfahren abgewickelt.
|