MaRisk Compliance

Mindestanforderungen an das Risikomanagement — regulatorischer Rahmen für deutsche Banken und Finanzdienstleistungsinstitute.

When to Activate

• Implementierung oder Überprüfung der MaRisk-Konformität
• Aufbau des Risikomanagement-Frameworks nach MaRisk
• Risikotragfähigkeitskonzept erstellen oder überarbeiten
• Prüfung der Geschäftsorganisation nach AT-Modulen
• Kredit- oder Handelsgeschäft nach BTO-Anforderungen gestalten
• Outsourcing-Bewertung nach AT 9
• Neue-Produkte-Prozess (NPP) einführen
• Vorbereitung auf BaFin-Prüfung oder interne Revision

Core Concepts

MaRisk-Struktur

Die MaRisk (Rundschreiben der BaFin) konkretisieren § 25a KWG und gliedern sich in:

AT — Allgemeiner Teil:

• AT 1: Vorbemerkung, Anwendungsbereich
• AT 2: Gesamtverantwortung der Geschäftsleitung
• AT 3: Allgemeine Anforderungen an das Risikomanagement
• AT 4: Allgemeine Anforderungen an die Geschäftsorganisation
• AT 5: Organisationsrichtlinien
• AT 6: Dokumentation
• AT 7: Ressourcen (Personal, technisch-organisatorisch)
• AT 8: Anpassungsprozesse (neue regulatorische Anforderungen, Geschäftsaktivitäten)
• AT 9: Auslagerung (Outsourcing)

BT — Besonderer Teil:

• BTO: Besondere Anforderungen an die Aufbau- und Ablauforganisation
  • BTO 1: Kreditgeschäft
  • BTO 2: Handelsgeschäft
• BTR: Besondere Anforderungen an das Risikomanagement
  • BTR 1: Adressenausfallrisiken
  • BTR 2: Marktpreisrisiken
  • BTR 3: Liquiditätsrisiken
  • BTR 4: Operationelle Risiken

Risikotragfähigkeit (AT 4.1)

Konzept: Das Institut muss sicherstellen, dass die wesentlichen Risiken durch das Risikodeckungspotenzial laufend abgedeckt sind.

Zwei Perspektiven (nach ICAAP-Leitfaden der BaFin):

Normative Perspektive:

• Sicherstellung der regulatorischen Kapitalanforderungen über einen Planungshorizont von mindestens 3 Jahren
• Kapitalplanung unter Basisszenario und adversem Szenario
• Berücksichtigung aller regulatorischen Quoten (CET1, Tier 1, Gesamtkapital, Leverage Ratio)

Ökonomische Perspektive:

• Barwertiger/ökonomischer Ansatz zur Risikoquantifizierung
• Risikodeckungspotenzial: ökonomischer Substanzwert
• Risikoquantifizierung: VaR oder vergleichbare Maße auf hohem Konfidenzniveau (typisch 99,9%)
• Aggregation der wesentlichen Risiken unter Berücksichtigung von Diversifikation

Wesentliche Risikoarten:

• Adressenausfallrisiko (Kredit, Kontrahent, Beteiligung)
• Marktpreisrisiko (Zins, Aktien, Währung, Spread)
• Liquiditätsrisiko (Zahlungsunfähigkeit, Refinanzierung)
• Operationelles Risiko (IT, Prozesse, Personal, Recht)
• Weitere: Konzentrationsrisiken, Geschäftsrisiko, Reputationsrisiko

Risikosteuerung und -überwachung (AT 4.3)

• Limitsystem für alle wesentlichen Risiken
• Risikoreporting an Geschäftsleitung (mindestens vierteljährlich, bei Bedarf ad hoc)
• Eskalationsverfahren bei Limitüberschreitungen
• Stresstesting: Regelmäßige Stresstests, inverse Stresstests, Szenarioanalysen
• Risikofrüherkennungssystem

Kreditgeschäft (BTO 1)

Aufbauorganisation:

• Funktionstrennung: Markt (Vertrieb) und Marktfolge (Risikobeurteilung) bis zur Kompetenzgrenze getrennt
• Votierung: Markt- und Marktfolgevotum erforderlich (Zwei-Voten-Prinzip)
• Kompetenzordnung: Klare Regelung der Entscheidungsbefugnisse

Ablauforganisation:

• Kreditgewährung: Kreditantrag, Bonitätsbeurteilung, Sicherheitenbewertung, Kreditentscheidung, Vertragserstellung
• Kreditweiterbearbeitung: Laufende Überwachung, Konditionsanpassung
• Kreditbearbeitungskontrolle: Regelmäßige Überprüfung der Einhaltung von Kreditrichtlinien
• Intensivbetreuung und Problemkreditbearbeitung: Frühwarnsystem, Sanierung, Abwicklung

Handelsgeschäft (BTO 2)

• Funktionstrennung: Handel (Front Office), Abwicklung/Kontrolle (Back Office), Risikocontrolling
• Tägliche Ergebnisermittlung und -zuordnung
• Limitsystem mit täglicher Überwachung
• Neue-Produkte-Prozess für neue Handelsaktivitäten

Outsourcing (AT 9)

Wesentliche Auslagerung: Aktivitäten, die so bedeutsam sind, dass ein Ausfall die Finanzlage, die Geschäftsstrategie oder die Einhaltung regulatorischer Anforderungen wesentlich beeinträchtigen würde.

Anforderungen bei wesentlicher Auslagerung:

• Risikoanalyse vor der Auslagerung
• Auslagerungsvertrag mit definierten Mindestinhalten (Leistungsbeschreibung, SLAs, Kündigungsrechte, Prüfungsrechte)
• Auslagerungsbeauftragter im Institut
• Laufende Überwachung des Dienstleisters
• Notfallkonzept und Exit-Strategie
• Anzeige an BaFin bei wesentlicher Auslagerung
• Auslagerungsregister führen

Neue-Produkte-Prozess (AT 8.1)

Vor Aufnahme neuer Produkte oder Märkte:

1. Strukturierte Analyse der Risiken
2. Beurteilung der Auswirkungen auf Gesamtrisikoprofil
3. Prüfung der Abbildung in Risikosteuerung und -controlling
4. Sicherstellung adäquater Ressourcen (IT, Personal, Know-how)
5. Freigabe durch Geschäftsleitung

Compliance-Funktion (AT 4.4.2)

• Eigenständige Compliance-Funktion erforderlich
• Identifikation wesentlicher rechtlicher Regelungen und Vorgaben
• Überwachung der Einhaltung
• Beratung der Geschäftsleitung
• Regelmäßige Berichterstattung an Geschäftsleitung
• Proportionalitätsprinzip bei Ausgestaltung

Interne Revision (AT 4.4.3)

• Eigenständige, von operativen Bereichen unabhängige Funktion
• Risikobasierter Prüfungsplan (alle Aktivitäten innerhalb angemessener Frist)
• Prüfung der Wirksamkeit und Angemessenheit des Risikomanagements
• Prüfung der Einhaltung interner und externer Vorgaben
• Direktes Berichtsrecht an Geschäftsleitung
• Follow-up der Feststellungen

Methodology

MaRisk-Implementierung

1. Gap-Analyse: Ist-Zustand gegen MaRisk-Anforderungen abgleichen
2. Risikoinventur: Wesentliche Risiken identifizieren und bewerten
3. Risikotragfähigkeit: Deckungspotenzial bestimmen, Risiken quantifizieren, Limite setzen
4. Aufbauorganisation: Funktionstrennung, Drei-Linien-Modell, Compliance, Revision einrichten
5. Prozesse: Kredit- und Handelsprozesse nach BTO gestalten
6. Dokumentation: Organisationsrichtlinien, Handbücher, Arbeitsanweisungen
7. IT-Systeme: Datenqualität, Berechtigungen, Notfallkonzepte
8. Outsourcing: Auslagerungsregister, Risikoanalysen, Verträge prüfen
9. Reporting: Risikoberichte, Stresstests, Eskalationsverfahren
10. Validierung: Interne Revision prüft Umsetzung

Risikoberichterstattung aufbauen

• Vierteljährlicher Gesamtrisikobericht an Geschäftsleitung
• Monatliche Risikoberichte je Risikoart
• Ad-hoc-Berichte bei wesentlichen Entwicklungen
• Inhalt: Risikolage, Limitauslastung, Stressergebnisse, Maßnahmen

Templates

MaRisk-Compliance-Checkliste

Modul     Anforderung                           Status    Verantwortlich    Maßnahme
AT 2      Gesamtverantwortung GL dokumentiert    [ ]       ____________     ____________
AT 3      Risikotragfähigkeit normativ           [ ]       ____________     ____________
AT 3      Risikotragfähigkeit ökonomisch         [ ]       ____________     ____________
AT 4.1    Risikostrategie konsistent             [ ]       ____________     ____________
AT 4.3    Limitsystem implementiert              [ ]       ____________     ____________
AT 4.3    Stresstesting durchgeführt             [ ]       ____________     ____________
AT 4.4.2  Compliance-Funktion eingerichtet       [ ]       ____________     ____________
AT 4.4.3  Revision unabhängig aufgestellt        [ ]       ____________     ____________
AT 7      Notfallkonzept vorhanden               [ ]       ____________     ____________
AT 9      Auslagerungsregister aktuell           [ ]       ____________     ____________
BTO 1     Funktionstrennung Markt/Marktfolge     [ ]       ____________     ____________
BTO 2     Handel/Abwicklung getrennt             [ ]       ____________     ____________
BTR 1-4   Risikosteuerung je Risikoart           [ ]       ____________     ____________

Auslagerungsbewertung

Dienstleister: _______________    Aktivität: _______________

Wesentlichkeit:
  [ ] Wesentliche Auslagerung    [ ] Sonstige Auslagerung

Risikoanalyse:
  Ausfallrisiko:         [ ] Niedrig  [ ] Mittel  [ ] Hoch
  Konzentrationsrisiko:  [ ] Niedrig  [ ] Mittel  [ ] Hoch
  Datenschutzrisiko:     [ ] Niedrig  [ ] Mittel  [ ] Hoch
  Reputationsrisiko:     [ ] Niedrig  [ ] Mittel  [ ] Hoch

Vertragliche Absicherung:
  [ ] SLAs definiert         [ ] Prüfungsrechte (Institut + BaFin)
  [ ] Kündigungsrechte       [ ] Datenschutzklauseln
  [ ] Notfallregelungen      [ ] Weiterverlagerung geregelt

Exit-Strategie:      _______________
Anzeige an BaFin:    [ ] Erfolgt  [ ] Nicht erforderlich

Quality Gate

• Risikoinventur identifiziert alle wesentlichen Risikoarten
• Risikotragfähigkeit in normativer und ökonomischer Perspektive berechnet
• Limitsystem ist konsistent mit Risikotragfähigkeit
• Funktionstrennung Markt/Marktfolge ist eingehalten
• Compliance-Funktion und Revision sind unabhängig aufgestellt
• Stresstests werden regelmäßig durchgeführt und berichtet
• Outsourcing-Register ist vollständig und aktuell
• Neue-Produkte-Prozess ist implementiert und wird angewendet
• Risikoberichterstattung erfolgt regelmäßig an Geschäftsleitung
• Notfallkonzept ist vorhanden und getestet
• Dokumentation entspricht AT 5/AT 6 Anforderungen