Gastbeitrag von Thomas Maul*
Einführung
Bereits im Jahr 1995 hat das damalige Bundesaufsichtsamt für das Kreditwesen mit den Mindestanforderungen an das Betreiben von Handelsgeschäften (sog. MaH) eine Verlautbarung veröffentlicht, die konkretisiert, was es im Teilbereich des Handelsgeschäftes von Banken unter der ordnungsgemäßen Geschäftsorganisation gem. §25a Abs. 1 KWG versteht. In der Folge wurden die Mindeststandards, nunmehr Mindestanforderungen an das Risikomanagement (MaRisk) genannt, immer weiter gefasst und decken nunmehr den gesamten Geschäftsbetrieb der Banken ab. Diese zentrale Richtschnur ist bindend für alle Kreditinstitute Deutschlands und wird trotz seiner immens hohen Tragweite in den meisten Medien trotz der Rufe nach weiterer Regulierung der Banken vergleichsweise wenig beachtet, so dass fast nur Insider tiefere Kenntnisse besitzen.
Am 14. Dezember 2012 hat die BaFin nach fast einem dreiviertel Jahr der Konsultation die adjustierte Mindestnorm für das Risikomanagement deutscher Banken veröffentlicht (die MaRisik nebst Rundschreiben und Anlagen auf dieser Seite der Bundesbank). Hintergrund der Aktualisierung waren vor allem die offenbar notwendige Forcierung der Banken hin zu einer angemessenen Risikogovernance, der Minderung des Liquiditätsrisikos sowie die neue EU-Bankenrichtlinie CRD IV. Dabei hält die Aufsicht an ihren bewährten Traditionen der Prinzipienorientiertheit und der Proportionalität fest. Dies gewährt den Banken die Möglichkeit, angepasst an ihr Geschäftsmodell, vor allem hinsichtlich dessen Komplexität und Umfangs, nicht nur die verwendeten Methoden, Prozesse und Systeme selbst zu wählen, sondern auch die Überwachungstiefe selbst festzulegen. Damit stellen die MaRisk die Leitplanken für das Risikomanagement und damit für die ordnungsgemäße Geschäftsorganisation gem. §25a KWG, das KonTraG sowie der EBA Richtschnur für die Interne Governance (guggsdu hier EBA-GL44 und alle Richtschnüre hier) dar.
Die Mindestanforderungen treten zum 01. Januar 2013 in Kraft. Jedoch ist nicht vor dem 31. Dezember 2013 mit Sanktionen zu rechnen, sofern einzelne Punkte bis zu diesem Zeitpunkt noch nicht umgesetzt werden können. Vom Regulator ist jedoch zu erwarten, dass er die Umsetzung beobachtet und insbesondere den komplexeren Instituten unterstellt, unverzüglich mit der Umsetzung zu beginnen. Neben einigen klar stellenden Änderungen gibt es jedoch auch qualitativ neue Anforderungen, die, bei genauer Betrachtung der Landschaftsveränderungen durch Veröffentlichungen internationaler Gremien und Behörden vor allem in Folge der andauernden Banken- und Staatsschuldenkrise, längst zu erwarten waren und somit keinen Bankenmanager mehr überraschen sollten. Die MaRisk sind vom Grundsatz her in sich nicht abgeschlossen und enthalten mit der bewusst gewählten „Proportionalität nach oben“ Öffnungsklauseln für weiter gehenden Regelungsumfang und Regelungstiefe. Zum einen handelt es sich wörtlich um Mindestanforderungen, das heißt es ist die Pflicht und nicht die Kür im Bankgeschäft und zum anderen wird grundsätzlich erwartet, dass zumindest die größeren Institute die Veröffentlichungen des Baseler Ausschusses für Bankenaufsicht (siehe auch BCBS) und des Financial Stability Boards (siehe FSB) „in ihre Überlegungen zur angemessenen Ausgestaltung des Risikomanagements“ einbeziehen, jedoch nicht einfach schablonenartig umsetzen. Hier wird es für die mittelgroßen Institute sicher Schwierigkeiten hinsichtlich der Abgrenzung geben, während es bei den großen und den kleinen Banken weniger Zeit hinsichtlich der Abwägung bedarf, wie die einzelnen Regeln nun geeignet berücksichtigt werden sollen. Aus der Erwartungshaltung der Aufsicht lässt sich ableiten, dass keine zwingende Umsetzung der internationalen Richtschnüre erfolgen muss, diese sollten vielmehr an das Geschäftsmodell des Instituts angepasst werden. Letzten Endes bleiben mögliche Nicht-Umsetzungen der internationalen Standards wahrscheinlich zunächst unsanktioniert, da der Regulator dies mit dem Institut gemeinsam besprechen will, sofern er es für angebracht hält. Im Weiteren werden nun einige der wesentlichen Änderungen und Präzisierungen kurz vorgestellt.
Risikotragfähigkeit
Die Betrachtung der Risikotragfähigkeit ist tief in den Grundprinzipien der Unternehmenssteuerung verankert und stellt die Verlustpotenziale/Risiken dem vorhanden ökonomischen, bilanziellen und/oder regulatorischen Eigenkapital gegenüber. Insbesondere für Banken wurde die Risikotragfähigkeit in den letzten Jahren deutlich stärker in den Fokus gerückt als dies bislang für die Unternehmen in anderen Industrien der Fall war Die laufende Überwachung der Risikotragfähigkeit erhält nun einige tiefer greifende Änderungen und wesentliche Präzisierungen, die für einige Schweißperlen in Zeiten knappen Kapitals sorgen dürften.
Die Aufsicht hat endlich klargestellt, dass die Risikotragfähigkeit nunmehr von allen Instituten in den beiden unterschiedlichen Sichtweisen des Going Concerns und der Liquidation bzw. des Gläubigerschutzes betrachtet werden muss. Mehr noch, es sind sowohl das ökonomische Kapital als auch das regulatorische Kapital zu berücksichtigen. Dies wird vor allem kleinere Institute vor größere Herausforderungen stellen, da sie bisher häufig nur den Going-Concern-Ansatz gefahren haben mit Hinblick auf das bilanzielle und regulatorische Eigenkapital. Die meisten größeren Institute fahren dagegen schon seit einiger Zeit zweigleisig.
Darüber hinaus erwartet der Regulator auch die Anwendung des Vorsichtsprinzips bei der Risikoquantifizierung. Das betrifft unter anderen den sorgsamen Ansatz von Korrelationsannahmen und die Berücksichtigung von Validierungen der Risikomodelle, -methoden und damit verbundener Parameter und Prozesse.
Eine grundsätzlich neue Formulierung ist die Forderung einer formalisierten Kapitalplanung. Hierbei wird zwar kein konkreter Planungshorizont vorgegeben, aber eine Berücksichtigung in der mittelfristigen und strategischen Planung wird angemessen erfolgen müssen. Auch hier wird erwartet, dass sowohl das ökonomische als auch das regulatorische Kapital berücksichtigt wird. In der Betrachtung sollen vor allem mögliche Geschäftsmodelländerungen, Marktveränderungen und mögliche weitere negative Einflüsse dem vorhanden Kapital gegenüber gestellt werden, um frühzeitig darüber Auskunft zu erhalten, ob eventuell weiterer Kapitalbedarf besteht oder nicht. Die Aufsicht betont, dass es ihr nicht um eine bloße Ausweitung des „normalen“ Risikotragfähigkeit-Betrachtungshorizontes geht. Vielmehr geht es darum, die Planung kritisch zu beleuchten und auch hier prinzipielle Vorsicht walten zu lassen, indem auch Negativszenarien berücksichtigt werden.
Strategien
An dieser Stelle gibt es im Text nur kleine Änderungen. Aber aufgepasst: die Berücksichtigung der IT-Systemlandschaft in den restlichen Strategien führt im Grunde zu einer eigenen übergreifenden IT-Strategie.
Darüber hinaus gibt es eine weniger überraschende Klarstellung, dass nämlich neben quantitativen Risikobegrenzungen auch qualitative bei der Festlegung von Risikotoleranzen herangezogen werden können.
Risikosteuerung und -Überwachung
Hier betont die Aufsicht nochmal, dass nicht nur quantitative sondern auch qualitative Begrenzungen für die angemessene Risikosteuerung erforderlich sein und entsprechend fallbezogen angewandt werden können.
Darüber hinaus wird mehrfach der Fokus auf die Wirksamkeit von Risikobegrenzungen gerichtet. Das wirkt wie ein Wink mit dem Zaunpfahl in Richtung technokratischer Value at Risk-Enthusiasten. Längst hat die Erfahrung gezeigt, dass die reine Begrenzung des Value at Risk basierend auf diversen Annahmen in Modellen, Positionen und Parametern nicht allein geeignet sind, das Ausmaß an potenziellen Verlusten zu prognostizieren. Hier sind zukünftig andere Methoden oder ein anderer, etwas kritischerer Umgang mit den bisherigen gefragt. In diesem Kontext ist auch das Thema der Validierung der Modelle und Verfahren sowie deren Parameter und Annahmen zu sehen.
Ebenfalls explizit gefordert sind nunmehr Risikofrühwarnsysteme wie beispielsweise Ampelsysteme oder Warnmarken und, neben den turnusmäßigen, auch die Durchführung anlassbezogener Stresstests.
Risikogovernance
Der Regulator stellt in einem Rundumschlag nunmehr seine Vorstellungen hinsichtlich der Mindestnormen für die organisatorische Gestaltung der Geschäftsführung dar. So wird dem Chief Risk Officer nunmehr explizit eine eigene Rolle bis in die Geschäftsleitung hinein zugeordnet. Lediglich in kleineren weniger komplexen Instituten kann dies auch beispielsweise im Bereich Finanzen oder Controlling angesiedelt werden, sofern die Aufgaben dort explizit und getrennt spezifiziert sind. Hier wird erst die Praxis zeigen, wie in mittleren und kleineren Banken angemessen verfahren werden kann.
Auch die Compliancefunktion erfährt eine neue Wertigkeit. Obgleich die Aufsicht nicht so weit springt wie zuvor erwartet oder befürchtet, so erhält sie doch nun eine Sonderstellung bei der Überwachung der Einhaltung bestimmter gesetzlicher Normen wie zum Beispiel das WpHG und beispielsweise im Rahmen der Vermeidung von Betrug, Geldwäsche und sonstigem dolosen Handeln zu Lasten des Instituts. Dabei ist sie nicht Teil der der Revision, die Prüffunktion besitzt, vielmehr soll der Compliance Officer dafür sorgen, dass gesetzliche Änderungen berücksichtigt werden und Prozesse und Systeme entsprechend übergreifend angepasst werden.
Die Regelungen zur Revision bleiben im Text weitgehend unberührt, außer, und das hat sie mit dem Chief Risk Officer und der Compliancefunktion gemein, dass eine personelle Änderung in der jeweiligen Führungsverantwortung der Aufsicht anzuzeigen ist.
Im Rahmen von Veränderungsprozessen wie zum Beispiel die „Neue Produkte Neue Märkte Prozesse“, IT-Systemänderungen oder sonstigen Prozessänderungen sind zukünftig das Risikocontrolling, Compliance und die Revision mit einzubeziehen. Das gleiche gilt für die regelmäßigen Analysen und Beurteilungen bestehender Prozesse und Systeme.
Liquiditätsrisikomanagement
Neu ist die detaillierte Formulierung der Forderung eines angemessenen und verursachungsgerechten Verrechnungssystems für die Liquiditätskosten, -risiken und -nutzen. Hier schlägt sich die Absicht der Aufsicht nieder, dass die Institute ein Funds Transfer Pricing einführen müssen, wie es unter anderen die BIS und die EBA/CEBS bereits seit Jahren fordern. Hintergrund dieser Verrechnungspraxis ist es, den Kosten und den Nutzen von einzelnen Liquiditätsquellen und Liquiditätsverbrauchern idealerweise bis auf Einzeltransaktionsebene transparent werden zu lassen und in der internen Erfolgsrechnung geeignet abzubilden. Für die sachgerechte Umsetzung gibt es in den internationalen Veröffentlichungen detaillierte Richtlinien zur Orientierung. Erst durch ein solches Transferpreissystem wird es möglich die verschiedenen Steuerungskreise für das Kapital und für die Liquidität auch prozessual und methodisch zu harmonisieren.
Für kapitalmarktorientierte Institute gibt es darüber hinaus noch weitere Anforderungen, die das Liquiditätsrisikomanagement betreffen, welche jedoch nicht erschreckend wirken, sofern man den Blick in Richtung Basel III schweifen lässt. Denn die von der deutschen Aufsicht geforderten Minimalanforderungen sind über das Basel III Reglement grundsätzlich abgedeckt.
Die Aufsicht räumt allerdings auch erleichternd ein, dass die Wahl des Systems bzw. der Prozesse sich an der Größe des Instituts und der Komplexität des Geschäftes ausrichten kann. Dies wird insbesondere die kleineren Institute und die mit eher traditionell orientiertem Geschäftsmodell freuen. Aber auch hier nicht zu früh freuen: diese Erleichterung bedeutet keineswegs, dass diese Institute die Kosten nicht ermitteln und verrechnen brauchen. Sie erleichtert lediglich das „wie“, also die Wahl angemessener Methoden und Prozesse für die Kostenermittlung und deren Verrechnung, nicht aber das „ob“!
Fazit
Die Einführung der neuen Regeln kommt mit wenig Überraschungspotenzial daher. Und wenn man bedenkt, dass die Aufsicht mehrfach betont, dass die meisten Regeln wie bislang stets vor dem Hintergrund der Proportionalität des Geschäftes der einzelnen Institute zu interpretieren sind, so bleibt der große Schrecken aus.
Auch hinsichtlich des (unsanktionierten) Umsetzungszeitraums kann niemand wirklich verzweifeln, da die meisten vom deutlich erhöhten und detaillierten Regelungsbedarf betroffenen Institute bereits wegen Basel III, CRD IV, EMIR und anderen regulatorischen Neuerungen in den Startlöchern sitzen oder bereits mit den Umsetzungen begonnen haben.
Für kleine und mittlere Institute besteht zumindest Handlungsbedarf in der Entscheidungsfindung, wie den neuen Anforderungen angemessen begegnet werden soll. Der Umsetzungsaufwand sollte sich jedoch in Grenzen halten, wenngleich an einigen Stellen, wie zum Beispiel der Liquiditätskostentransparenz und der Rolle des Chief Risk Officers und des Compliance Office, möglicherweise kulturelle Anpassungen notwendig werden.
* Der Autor
Thomas Maul ist Berater bei der TriSolutions GmbH, einer auf die Themen Treasury- und Risikomanagement spezialisierten Unternehmensberatung. In den letzten Jahren befasste er sich im Wesentlichen mit den Themen Gesamtbanksteuerung und Interner Kapitaladäquanz (ICAAP). Neben diesen Themen ist er Spezialist für Treasury- und Liquiditätsmanagement. Thomas Maul studierte Mathematik an der Universität Leipzig und war vor seiner Beratertätigkeit unter anderem Leiter Risikocontrolling Handel, Leiter Handel und Sales und zuletzt Leiter des Treasury-Bereiches einer Bank.
Comments on this entry are closed.
{ 1 trackback }