Fachbeiträge & Kommentare zu Risikomanagement

Rz. 18 Ein Institut sollte über einen ganzheitlichen institutsweiten Rahmen für das Risikomanagement ("Risk Management Framework", RMF) verfügen, der sich auf alle Geschäftsbereiche und internen Einheiten, einschließlich der internen Kontrollfunktionen, erstreckt und dem ökonomischen Gehalt aller Risikopositionen voll und ganz Rechnung trägt. Der RMF sollte das Institut in d...mehr

8.1.1 Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo) Rz. 230 Die prominenteste Schwester der MaRisk für Banken und Finanzdienstleistungsinstitute waren die im Januar 2009 von der BaFin veröffentlichten "Mindestanforderungen an das Risikomanagement von Versicherungsunternehmen" (MaRisk VA).[1] Die MaRisk VA gaben auf der Basis des damalig...mehr

Im Nachgang der letzten Sitzung des Fachgremiums hatte die DK ihre Position zum Umgang mit EBA-Leitlinien gegenüber der Aufsicht mit Bezug auf das Risikomanagement der Institute noch einmal schriftlich dargelegt. Die Aufsicht erläutert in der Sitzung nochmals ihre Position. Diese wurde in einem Antwortschreiben an die DK dargelegt. Die wesentlichen Inhalte des Antwortschreib...mehr

Rz. 141 Die innovativen Entwicklungen auf den Finanzmärkten erfordern eine laufende Anpassung des Risikomanagements in den Instituten. Vor allem der technische Fortschritt im IT-Bereich trägt dazu bei, dass neue Konzepte schnell und erfolgreich von den Instituten umgesetzt werden können. An dieser Stelle sei z. B. auf die Digitalisierung sowie die zunehmende Bedeutung der In...mehr

Rz. 37 Auch für das Risikomanagement auf Gruppenebene gilt der Grundsatz der Proportionalität (→ AT 1 Tz. 3). Die Ausgestaltung des Risikomanagements hängt insbesondere von Art, Umfang, Komplexität und Risikogehalt der von der Gruppe betriebenen Geschäftsaktivitäten ab. Dies ergibt sich aus dem Verweis in § 25a Abs. 3 Satz 1 KWG auf § 25a Abs. 1 Satz 4 KWG. Ein "wirksames Ri...mehr

Rz. 474 Bei gruppen- und verbundinternen Auslagerungen können im Rahmen der Risikoanalyse wirksame Vorkehrungen auf Gruppen- bzw. Verbundebene, insbesondere ein einheitliches und umfassendes Risikomanagement sowie Durchgriffsrechte, bei der Erstellung und Anpassung der Risikoanalyse risikomindernd berücksichtigt werden. Bei Institutsgruppen und (gemischten) Finanzholding-Gru...mehr

Rz. 32 Gemäß AT 4.5 Tz. 1 MaRisk sind die Geschäftsleiter des übergeordneten Unternehmens einer Institutsgruppe, Finanzholding-Gruppe, gemischten Finanzholding-Gruppe oder eines übergeordneten Finanzkonglomeratsunternehmens für die Einrichtung eines angemessenen und wirksamen Risikomanagements auf Gruppenebene verantwortlich. Im Hinblick auf die Bestimmung des jeweils überge...mehr

[…] wie in meinem o. g. Schreiben angekündigt, kann ich Ihnen nunmehr einen ersten Entwurf über die "Mindestanforderungen an das Risikomanagement" (MaRisk) zuleiten (Anlage 1). Der Entwurf wurde von Mitarbeitern der Deutschen Bundesbank und meiner Behörde ausgearbeitet; er stellt den "starting point" für den weiteren Abstimmungsprozess dar (MaRisk-Fachgremium, Konsultation), ...mehr

[…] in den letzten Wochen sind mehrere Vertreter der Industrie und der Verbände an mich herangetreten und haben um weitere Informationen zu dem mittlerweile von mir in Angriff genommenen Projekt "Mindestanforderungen an das Risikomanagement" (MaRisk) gebeten. Diesem Informationsbedürfnis trage ich gerne Rechnung. Lassen Sie mich zunächst näher auf die Gründe eingehen, die mich...mehr

Rz. 125 Ein angemessenes und wirksames Risikomanagement hängt maßgeblich von den zugrunde liegenden Prozessen, Methoden und Verfahren ab. Defizite in diesen Bereichen können zu einer Fehleinschätzung der Risiken führen, denen ein Institut ausgesetzt ist, und damit in der Konsequenz zu falschen Steuerungsimpulsen. Diese Prozesse, Methoden und Verfahren sind allerdings nicht i...mehr

Rz. 185 Betrachtet man den gesamten Auslagerungsprozess, der von der strategischen Grundsatzentscheidung über die Anbahnung und Implementierung bis hin zum Regelbetrieb reicht, so nimmt die "Analyse der Risiken" eine exponierte Stellung ein.[1] Erst durch deren Einbindung in den Auslagerungsprozess entfaltet die Risikoanalyse ihre volle Wirksamkeit. Zugleich trägt das Instit...mehr

Rz. 157 Der Gesetzgeber hat an verschiedenen Stellen (AktG, HGB, KWG) deutlich zum Ausdruck gebracht, dass das Risikomanagement aufgrund seiner Bedeutung für die wirtschaftliche Entwicklung eines Unternehmens elementarer Bestandteil der Jahresabschlussprüfung ist.[1] Rz. 158 Diese Notwendigkeit ergibt sich nicht nur aus aufsichtsrechtlichen Normen. Gemäß § 91 Abs. 2 AktG sind...mehr

[…] nachdem der Inhalt des ersten Entwurfs über die "Mindestanforderungen an das Risikoma­nagement" (MaRisk) vom 02.02.2005 im Rahmen mehrerer Sitzungen des MaRisk-Fachgremiums intensiv diskutiert wurde, kann ich Ihnen nunmehr einen zweiten offiziellen Entwurf sowie ergänzende Dokumente zuleiten (Anlagen). Die Diskussion im Fachgremium, dem Experten aus kleineren und größeren ...mehr

Rz. 1 1 Nach § 25a Abs. 3 KWG sind die Geschäftsleiter des übergeordneten Unternehmens einer Institutsgruppe oder Finanzholding-Gruppe sowie die Geschäftsleiter des übergeordneten Finanzkonglomeratsunternehmens eines Finanzkonglomerates für die Einrichtung eines angemessenen und wirksamen Risikomanagements auf Gruppenebene verantwortlich. Die Reichweite des Risikomanagements...mehr

Hinweis zur Benutzung des Literaturverzeichnisses: Sofern es sich bei den Autoren bzw. Herausgebern um Organisationen handelt, sind die aufgeführten Werke i. d. R. auf der Internetseite der jeweiligen Organisation verfügbar. Achtelik, Olaf, in: Herzog, Felix (Hrsg.), Geldwäschegesetz, 5. Auflage, München, 2023, § 24c KWG, § 25h KWG und § 6 GwG. ACI Deutschland e. V. – Arbeitsg...mehr

Rz. 1 Risiken sind fester Bestandteil der menschlichen Umwelt. Neben gesundheitlichen Risiken, politischen Risiken oder unternehmerischen Risiken existiert eine Vielzahl weiterer Risiken. Ihre Dimensionen rücken dabei häufig erst durch Katastrophen, Unternehmenspleiten, Unfälle oder Krankheiten in das Bewusstsein unserer Gesellschaft. Risiken sind allgegenwärtig. Je offener ...mehr

Rz. 16 Der deutsche Gesetzgeber hat erstmals im Rahmen der sechsten KWG-Novelle im Jahr 1998 in § 25a Abs. 2 KWG a. F. für Institute Anforderungen an die Zulässigkeit und Ausgestaltung der Auslagerung von Aktivitäten und Prozessen auf andere Unternehmen festgelegt. Die Aufnahme der Regelung in das KWG stellte zugleich klar, dass die Auslagerung von Aktivitäten und Prozessen ...mehr

Bisherige Entwicklung der MaRisk Die Mindestanforderungen an das Risikomanagement (MaRisk) sind von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) am 15. April 2004 angekündigt[1] und in Abstimmung mit der Deutschen Bundesbank erstmalig am 20. Dezember 2005 als vorzeitiges Weihnachtsgeschenk für die Kreditwirtschaft veröffentlicht worden.[2] Mit Fertigstellung de...mehr

Rz. 63 Die Risikokultur beschreibt allgemein die Art und Weise, wie Mitarbeiter des Institutes im Rahmen ihrer Tätigkeit mit Risiken umgehen (sollen). Sie soll die Identifizierung und den bewussten Umgang mit Risiken fördern und sicherstellen, dass Entscheidungsprozesse zu Ergebnissen führen, die auch unter Risikogesichtspunkten ausgewogen sind. Die Risikokultur stellt somit...mehr

Rz. 160 Die BaFin kann gemäß § 44 Abs. 1 KWG Prüfungen bei den Instituten anordnen.[1] Sie beauftragt mit diesen Sonderprüfungen regelmäßig Dritte, wie Wirtschaftsprüfungsgesellschaften, Prüfungsverbände oder die Deutsche Bundesbank. Eigene Prüfungen führt die BaFin nur in überschaubarem Umfang durch. Durch die Sonderprüfungen wird die BaFin in die Lage versetzt, umfangreich...mehr

Rz. 2 Maßgeblich für den Anwenderkreis der MaRisk auf Institutsebene ist der Institutsbegriff nach den §§ 1 Abs. 1b und 53 Abs. 1 KWG. Rz. 3 Gemäß § 1 Abs. 1b KWG zählen zu den Instituten im Sinne des Kreditwesengesetzes sowohl Kreditinstitute (§ 1 Abs. 1 KWG) als auch Finanzdienstleistungsinstitute (§ 1 Abs. 1a KWG). Erfasst werden daher alle deutschen Kredit- und Finanzdien...mehr

Rz. 63 Gemäß Tz. 2.2 BAIT ist die Geschäftsleitung dafür verantwortlich, dass auf Basis der IT-Strategie die Regelungen zur IT-Aufbau- und IT-Ablauforganisation festgelegt und bei Veränderungen der Aktivitäten und Prozesse zeitnah angepasst werden. Es ist sicherzustellen, dass diese Regelungen wirksam umgesetzt werden. Rz. 64 Laut Tz. 4.4 BAIT hat die Geschäftsleitung die Fun...mehr

Rz. 2 Naturkatastrophen, Terroranschläge, Pandemien oder Hackerangriffe können Unterbrechungen der innerbetrieblichen Geschäftsabläufe zur Folge haben, die sich im Extremfall aufgrund der Vernetzung der internationalen Finanzmärkte zu globalen Krisen ausweiten. Aber auch weniger spektakuläre Ereignisse können bei Instituten zu gravierenden Beeinträchtigungen führen, wie z. B...mehr

Rz. 185 In Deutschland haben sich die von BaFin und Bundesbank im Jahr 2005 erstmals veröffentlichten MaRisk zur Konkretisierung der gesetzlichen Anforderungen gemäß § 25a Abs. 1 KWG und § 25b KWG bewährt. Bei dem Rundschreiben handelt es sich um norminterpretierende Verwaltungsvorschriften, die für die Institute rechtlich nicht verbindlich sind. Sie tragen jedoch als "Bench...mehr

Rz. 125 Die Weiterentwicklung der IT-Systeme ist oftmals ein komplexes Unterfangen und erfordert nicht selten eine gut funktionierende Projektstruktur. Die BaFin erwartet daher laut Tz. 7.2 BAIT, dass die organisatorischen Grundlagen für "IT-Projekte" und die Kriterien für deren Anwendung geregelt werden. Dabei sind u. a. folgende Aspekte zu berücksichtigen: Einbindung betrof...mehr

Rz. 9 Die Finanzmarktkrise im Jahr 2008 hat eindrucksvoll gezeigt, dass Unternehmenskrisen im Banken- und Versicherungssektor zu erheblichen Verwerfungen auf den Finanzmärkten führen können – mit entsprechend negativen Auswirkungen auf die Unternehmen des Finanzsektors sowie die Realwirtschaft. Darüber hinaus haben die notwendig gewordenen staatlichen Stützungsmaßnahmen die ...mehr

Rz. 2 Die technisch-organisatorische Ausstattung umfasst die Gesamtheit der Einrichtungen und Anlagen zur Leistungserstellung eines Institutes. Hierzu zählen z. B. Grundstücke, Gebäude, Büromaterial oder Aufbewahrungsmöglichkeiten. Es ist evident, dass sich z. B. hinsichtlich der Gebäude bei einem Institut mit weit verzweigtem Filialnetz andere Fragen ergeben als bei einem I...mehr

Rz. 9 Die Bankenaufsicht muss ebenfalls ihre Lehren aus den jeweils relevanten Ereignissen der Vergangenheit ziehen. Um den grenzüberschreitenden Aktivitäten vieler Institute gerecht zu werden, muss auch die Zusammenarbeit der Aufsichtsbehörden weiter vorangetrieben werden. Ferner werden seit einigen Jahren makroökonomische Entwicklungen bei der Beaufsichtigung der Institute...mehr

Rz. 10 Die dem Risikomanagementbegriff der MaRisk zugrunde liegende Systematik ist durch die verschiedenen Novellierungen des § 25a Abs. 1 KWG ebenfalls weitgehend unberührt geblieben. Auch für die Anforderungen an das Risikomanagement gilt grundsätzlich das Proportionalitätsprinzip: Die Ausgestaltung des Risikomanagements hängt von Art, Umfang, Komplexität und Risikogehalt ...mehr

Rz. 98 Im Zusammenhang mit dem Management der operationellen Risiken (→ BTR 4) wird von der EBA eine Reihe von Unterkategorien genannt, die von den Instituten im Risikomanagement und den zuständigen Behörden beim SREP zu berücksichtigen sind. Dazu gehören u. a. auch Auslagerungsrisiken sowie Informations- und Kommunikationstechnologie-Risiken (IKT-Risiken). Das "IKT-Auslager...mehr

Rz. 230 Die prominenteste Schwester der MaRisk für Banken und Finanzdienstleistungsinstitute waren die im Januar 2009 von der BaFin veröffentlichten "Mindestanforderungen an das Risikomanagement von Versicherungsunternehmen" (MaRisk VA).[1] Die MaRisk VA gaben auf der Basis des damaligen § 64a des Gesetzes über die Beaufsichtigung der Versicherungsunternehmen (VAG) einen Rah...mehr

Rz. 98 Gemäß § 25a Abs. 1 Satz 4 KWG hängt die Ausgestaltung des Risikomanagements von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten eines Institutes ab. Das mit dem "Finanzmarktrichtlinie-Umsetzungsgesetz" (FRUG)[1] in das KWG aufgenommene Proportionalitätsprinzip ist die Grundlage für den prinzipienorientierten Ansatz der MaRisk. Der Grundsatz der Prop...mehr

Rz. 55 Defizite in der Unternehmensführung, mangelhafte kulturelle Grundlagen und ein bedeutendes kulturelles Versagen werden als Hauptgründe für die Finanzmarktkrise im Jahr 2008 sowie die Skandale der letzten Jahre genannt.[1] Diese Gründe haben dazu beigetragen, dass eine Reihe von Instituten übermäßig hohe Risiken eingegangen ist, was letztlich zum Ausfall einzelner Inst...mehr

Rz. 10 Nach § 25a Abs. 1 KWG muss ein Institut über eine ordnungsgemäße Geschäftsorganisation verfügen, die insbesondere ein angemessenes und wirksames Risikomanagement umfasst, auf dessen Basis ein Institut die Risikotragfähigkeit laufend sicherzustellen hat. Die Geschäftsleiter sind für die ordnungsgemäße Geschäftsorganisation des Institutes verantwortlich. Ein angemessene...mehr

Rz. 115 Die interne Berichterstattung über ESG-Risiken kann sich auch an den Anforderungen an die Offenlegung zu ESG-Risiken orientieren. Schließlich lassen sich aus den aufsichtsrechtlich vorgegebenen Kennzahlen, die von (einigen) Instituten offengelegt werden müssen, immer auch gewisse Rückschlüsse auf die Erwartungen der Aufsichtsbehörden in diesem Bereich ziehen. Unabhän...mehr

mehr

Rz. 43 Die BaFin und die EZB haben ihre Vorstellungen zum Umgang mit ESG-Risiken frühzeitig formuliert.[1] Auf europäischer Ebene hat die deutsche Aufsicht damit eine Vorreiterrolle eingenommen, gefolgt von Veröffentlichungen der niederländischen Zentralbank (De Nederlandsche Bank, DNB)[2], der französischen Finanzaufsichtsbehörde (Autorité de Contôle Prudentiel et de Résolu...mehr

Rz. 173 Bei den MaRisk handelt es sich – wie schon bei den vorherigen qualitativen Regelwerken – um norminterpretierende Verwaltungsvorschriften der BaFin (→ AT 1 Tz. 1). Sie legen unbestimmte Rechtsbegriffe der §§ 25a und 25b KWG aus und bringen damit auf transparente Weise zum Ausdruck, was die BaFin z. B. unter einem "angemessenen Risikomanagement", "Strategien" und "inte...mehr

Rz. 46 Die ab dem Jahr 2007 anhaltende Finanzmarktkrise hatte die internationale Staatengemeinschaft dazu veranlasst, eine Reform der globalen Finanzarchitektur in Angriff zu nehmen. Hierzu hatte die G20[1] anlässlich ihres Gipfels Ende September 2009 in Pittsburgh eine ganze Reihe von Vorgaben formuliert, die weltweit umgesetzt werden sollten. Das Programm reichte von einer...mehr

Rz. 208 Mit Anwendung des Digital Operational Resilience Acts (DORA) ab dem 17. Januar 2025 müssen Institute, die Aktivitäten und Prozesse auslagern und dabei gleichzeitig als Finanzunternehmen eine vertragliche Vereinbarung über IKT-Dienstleistungen abschließen, bei der Durchführung der Risikoanalyse und Due-Diligence-Prüfung zusätzliche Anforderungen gemäß Art. 28 Abs. 4 u...mehr

Rz. 144 Im Zuge der fünften MaRisk-Novelle wurde die Abgrenzung zwischen einer Auslagerung und dem sonstigen Fremdbezug von Leistungen im Bereich der Software und der zugehörigen Unterstützungsleistungen neu geregelt. Die Aufsicht trägt damit der zunehmenden Bedeutung der Informationstechnik (IT) als Basisinfrastruktur für sämtliche fachlichen und nicht-fachlichen Prozesse i...mehr

Rz. 176 Zwar sind mit Informations- und Kommunikationstechnologien (IKT) sowohl Chancen als auch Risiken verbunden. Die IKT-Risiken bleiben nach Einschätzung der EU-Kommission aber trotz zahlreicher regulatorischer Maßnahmen in erster Linie eine Herausforderung für die "Betriebsstabilität", die Leistungsfähigkeit der Institute und die Stabilität des Finanzsystems in der EU. ...mehr

Rz. 17 Nach § 25a Abs. 3 KWG sind die Geschäftsleiter des übergeordneten Unternehmens einer Institutsgruppe, Finanzholding-Gruppe, gemischten Finanzholding-Gruppe und die Geschäftsleiter des zur Unterkonsolidierung verpflichteten Unternehmens einer Unterkonsolidierungsgruppe gemäß Art. 22 CRR für die Einhaltung der aufsichtsrechtlichen Anforderungen auf Gruppenebene verantwo...mehr

Rz. 57 Die Geschäftsfortführungspläne müssen als Bestandteil des Notfallkonzeptes gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Hierzu gehören Maßnahmen, die bis zur Wiederherstellung des Normalbetriebes die Handlungsfähigkeit des Institutes sicherstellen. In Geschäftsfortführungsplänen können z. B. folgende Punkte geregelt werden: die Festlegung...mehr

Rz. 52 Der Baseler Ausschuss für Bankenaufsicht (BCBS) hat explizit klargestellt, dass sich die Grundsätze an die systemrelevanten Institute richten und sowohl auf Konzernebene (bzw. Gruppenebene) als auch auf Ebene der wesentlichen Einzelinstitute innerhalb der Gruppe anzuwenden sind.[1] Die deutsche Aufsicht erwartet entsprechend, die Anforderungen nicht nur auf Gruppenebe...mehr

Rz. 34 Seit der erstmaligen Veröffentlichung der MaRisk im Jahr 2005 hat der Wortlaut zur Gesamtverantwortung der Geschäftsleitung einige interessante Änderungen erfahren. Zunächst hieß es, dass die Geschäftsleiter ihrer Verantwortung für das Risikomanagement nur gerecht werden, wenn sie die Risiken beurteilen können und die erforderlichen Maßnahmen zu ihrer Begrenzung treff...mehr

Rz. 139 Gestaltungsmöglichkeiten ergeben sich auch aus unbestimmten Rechtsbegriffen (z. B. "wesentlich" oder "angemessen"), deren Präzisierung für allgemeingültige Zwecke weder möglich noch zweckmäßig ist. Auch hier müssen Institute – innerhalb des ihnen zustehenden Beurteilungsspielraumes – eine sachgerechte, einzelfallabhängige Lösung zur Auslegung und Umsetzung der entspr...mehr

Rz. 130 Seit der siebten MaRisk-Novelle sind bei der mindestens jährlichen Identifizierung und Beurteilung der wesentlichen operationellen Risiken die Auswirkungen von ESG-Risiken angemessen zu berücksichtigen. Diese Anforderung ergibt sich bereits aus den Vorgaben zur Risikoinventur. So muss sich die Geschäftsleitung bei der regelmäßigen und anlassbezogenen Beurteilung der ...mehr

Rz. 21 Eine zentrale Regulierung i. R. d. Sustainable Corporate Governance stellt das sog. " Lieferkettensorgfaltspflichtengesetz " (LkSG; § 15) dar. Wenngleich andere europäische Staaten, z. B. das Vereinigte Königreich und Frankreich, in den vergangenen Jahren ähnliche Gesetze erlassen haben, hat sich auf EU-Ebene neben der CSR-Richtlinie und der EU-Konfliktmineralien-Verord...mehr

Rz. 30 Zunächst hat die Risikocontrolling-Funktion die Aufgabe, die Geschäftsleitung bei der Behandlung aller risikopolitischen Fragestellungen zu unterstützen. Diese Anforderung läuft auf eine maßgebliche Beteiligung des Risikocontrollings an der Ausarbeitung und Umsetzung der Risikopolitik hinaus. Die "Risikopolitik" des Institutes wird von der Geschäftsleitung grundsätzli...mehr