Walter Gruber  Linda Schöche  Markus Rose (Hg.)

Prüfungsleitfaden Interne Revision

 
 
1. Auflage 2016
Bibliografische Information der Deutschen Nationalbibliothek
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie;
detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Besuchen Sie uns im Internet: http://www.frankfurt-school-verlag.de
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.
Konvertierung in ePub: mediaTEXT Jena GmbH
ISBN 978-3-95647-057-8 (Print)
ISBN 978-3-95647-058-5 (PDF)
ISBN 978-3-95647-059-2 (ePub)
ISBN 978-3-95647-060-8 (Mobi)
1. Auflage 2016  © Frankfurt School Verlag GmbH, Sonnemannstraße 9-11, 60314 Frankfurt am Main

Inhaltsverzeichnis

Geleitwort
Vorwort der Herausgeber
Risikomanagementprozess
Markus Rose/Henning Heuter
Risikotragfähigkeits- und Kapitalplanungsprozess
Henning Heuter/Markus Rose
Bewertungsmodelle für Finanzinstrumente
Matthias Hetmanczyk/Stefan Reitz
Ratingsysteme
Jochen Klement/Christian Stepanek
Eigenmittelunterlegung für das Kreditrisiko – der Internal Ratings-Based Approach (IRBA)
Ronny Hahn
Kreditrisikomodelle
Walter Gruber/Christoph Hofmann
Regulatorische Kapitalunterlegung der Kontrahentenrisiken aus Derivaten
Marcus R. W. Martin/Linda Schöche
EMIR – Anforderungen aus der European Markets Infrastructure Regulation
Natalja Herbst/Hendryk Braun
Marktpreisrisikomodelle
Thorsten Gendrisch
Liquiditätsrisiken
Tobias Würtenberger/Henning Schneider
Modellrisiko
Walter Gruber/Sven Warnecke
Validierung
Christian Stepanek/Pavel Khomski
Funktionstrennung
Markus Rose
Meldewesen
Bernhard Deppisch
Großkredite/Gruppe verbundener Kunden
Jörg Linda
Sanierungspläne
Nicklas Braun/Andreas Igl/Marcel Krüger
IT-Prüfung
Markus Drissner/Dierk Heesch
Autoren

Geleitwort

Die bankaufsichtlichen Anforderungen im Zuge von CRR, SREP und MaRisk, die die verschiedenen Aufsichten als Folge der Finanzkrise verabschiedeten, haben eine kaum mehr handhabbare Komplexität erreicht. Der „Prüfungsleitfaden Interne Revision“ geht in verschiedenen Beiträgen auf die aktuellen Themenbereiche des Bankaufsichtsrechts und des Risikomanagements ein. Der Prüfungsleitfaden ist in Form einer Aufsatzsammlung konzipiert und enthält Beiträge für die Bereiche:
Für den umfangreichen Prüfungsleitfaden wurden praxis- und prüfungserfahrene Autoren gewonnen. Im Hinblick auf seinen Titel richtet sich dieses Handbuch zunächst primär an die „Interne Revision“. Aufgrund der Inhalte der verschiedenen Beiträge sind die Ausführungen jedoch auch für externe Prüfer – wie Jahresabschlussprüfer sowie Prüfer der Bankenaufsicht – in der täglichen Prüfungspraxis interessant. Die Aufsätze sind verständlich strukturiert und enthalten jeweils ein eigenes Kapitel mit Fragen, die als übersichtlicher Einstieg in die einzelnen Prüfungsgebiete genutzt werden können.
Mit dem Handbuch „Prüfungsleitfaden Interne Revision“ ist ein sehr gutes Buch und Nachschlagewerk zur Revisionspraxis in aktuellen Themen des Risikomanagements und der Bankenaufsicht gelungen. Die sehr fundierten und praxisnahen Ausführungen der Autoren ermöglichen einen transparenten Überblick über verschiedene prüfungsbezogene Themenbereiche der Internen Revision. Das Handbuch spricht sowohl die Zielgruppe der Prüfer als auch der relevanten Fachbereiche an und enthält viele Hinweise für eine erfolgreiche Umsetzung der Regulatorik in der Bankpraxis. Daher ist die Lektüre uneingeschränkt zu empfehlen.
Stuttgart, im Juni 2016                                                                                           Axel Becker
Mitglied im Verwaltungsrat des
Deutschen Instituts für Interne Revision e.V.

Vorwort der Herausgeber

Die regulatorischen Anforderungen an die Institute haben seit dem Ausbruch der Finanzkrise 2007/2008 eine nie dagewesene Komplexität und Tiefe erreicht. Sie erstrecken sich über alle institutsrelevanten Themengebiete und betreffen z. B. die Sicherstellung der Risikotragfähigkeit und Liquidität, die Risikomessung, die Verwendung von Ratingverfahren, die Bewertung von Finanzinstrumenten, das Meldewesen sowie die Mindestanforderungen an die Ausgestaltung von Sanierungsplänen. Letztlich verfolgen europäische und nationale Aufsichtsbehörden mit ihren aufsichtlichen Regelwerken das Ziel, eine Überschuldung oder Illiquidität der Institute zu verhindern und dadurch die Stabilität des Finanzsystems insgesamt zu gewährleisten.
Vor diesem Hintergrund kommt der Internen Revision in den Instituten eine besondere Bedeutung zu: Gemäß AT 4.4.3 Tz. 3 MaRisk hat sie „risikoorientiert und prozessunabhängig die Wirksamkeit und Angemessenheit des Risikomanagements im Allgemeinen und des internen Kontrollsystems im Besonderen sowie die Ordnungsmäßigkeit grundsätzlich aller Aktivitäten und Prozesse zu prüfen und zu beurteilen […].“ Das bedeutet angesichts der inzwischen immensen Anzahl der bankaufsichtlichen Anforderungen zunächst einen beachtlichen Anstieg der Quantität der durchzuführenden Prüfungshandlungen. Weiterhin sieht sich die Interne Revision auch hinsichtlich ihrer Einbindung in gestalterische Prozesse steigenden Ansprüchen gegenüber: Durch ihre Unabhängigkeit vom Tagesgeschäft, die umfassenden Informationsrechte und durch ihre aufbauorganisatorisch verankerte, herausgehobene Position als direkt der Geschäftsleitung unterstellte Organisationseinheit kann sie in einem dynamischen wirtschaftlichen und regulatorischen Umfeld viel schneller auf aktuelle und neu entstehende Risiken im Institut hinweisen als externe Prüfinstanzen. Folglich soll eine moderne Revision neben den bisher eher vergangenheitsorientierten Prüfungen zunehmend auch strategische Entwicklungen begleiten.
Um eine angemessene Mitwirkung in den zahlreichen regulatorischen Handlungsfeldern leisten und wertvolle strategische Impulse setzen zu können, sind vertiefte und aktuelle Kenntnisse zu den einschlägigen aufsichtsrechtlichen Vorgaben, den Verfahren zur Risikosteuerung und deren Zusammenspiel nötig. Nur dann kann die Interne Revision beispielsweise qualifiziert beurteilen, inwiefern einzelne Steuerungsinstrumente geeignet sind, um dem Vorstand sinnvolle, steuerungsrelevante Informationen zu liefern oder ob bestimmte Projekte mit Blick auf ihre Relevanz adäquat priorisiert und aufeinander abgestimmt sind. Ein ausschlaggebender Aspekt für eine künftig erfolgreiche Banksteuerung dürfte die systematische Vernetzung der regulatorischen Prozesse darstellen, wodurch auch der Internen Revision unter Wahrung ihrer Unabhängigkeit eine integrative, gesamtheitliche Perspektive abverlangt wird.
Das vorliegende Handbuch knüpft an diese moderne Sicht auf die Interne Revision an und möchte Ihnen dabei helfen, die neuen Herausforderungen an Ihr anspruchsvolles Aufgabengebiet erfolgreich zu meistern. In den einzelnen Artikeln, die die Breite der für die Interne Revision relevanten Themengebiete widerspiegeln, werden die ökonomischen Hintergründe und regulatorischen Anforderungen wichtiger Prüfungsfelder beleuchtet. Dabei werden Schnittstellen zu anderen Artikeln im Handbuch aufgezeigt, die bestimmte Sachverhalte weiter detaillieren. Ein zentraler Bestandteil jedes Artikels ist ein umfangreicher (Prüfungs-)Fragenkatalog, der als Leitlinie zur systematischen Erschließung des jeweiligen Prüfungsgebiets und als direkte Grundlage Ihrer Prüfungshandlungen dienen kann.
Alle Autoren dieses Handbuchs sind ausgewiesene Spezialisten aus Banken, Beratungsunternehmen und wirtschaftswissenschaftlichen Fakultäten. Sie verfügen über exzellente fachliche Kenntnisse und haben zahlreiche Projekte zu den unterschiedlichsten Aufgabenstellungen des Aufsichtsrechts, des Risikomanagements und der Gesamtbanksteuerung in Kreditinstituten verschiedener Größe und Geschäftsausrichtung erfolgreich durchgeführt. Zudem besitzen unsere Autoren umfassende praktische Erfahrung bei der Begleitung der Internen Revision von Banken, Sparkassen und Finanzdienstleistern. Die Verzahnung der Projekt- und Prüfungserfahrung erlaubt es, die Sachgebiete nicht nur verständlich und fundiert, sondern vor allem praxisbezogen vorzustellen.
Wir möchten Ihnen mit diesem Handbuch einen wertvollen Begleiter zur Seite stellen, der Sie bei künftigen Prüfungen der zunehmend komplexeren regulatorischen Fragestellungen effektiv unterstützt. Insbesondere hoffen wir, Ihnen zahlreichende Anregungen und interessante Hinweise für Ihre tägliche Revisionsarbeit mit auf den Weg geben zu können.
Juni 2016                                                                                                   Dr. Walter Gruber
Linda Schöche
Dr. Markus Rose

Risikomanagementprozess

Markus Rose/Henning Heuter
 
1  
Einführung
2  
Aufsichtliche Anforderungen
2.1  
Prüfungsansätze für den übergeordneten Prozess
2.2  
Risikoinventur
2.3  
Sicherstellung der Risikotragfähigkeit
2.4  
Bedeutung der Strategien
2.5  
Risikosteuerungs- und -controllingprozesse
2.6  
Risikoberichterstattung
2.7  
Ausblick
3  
Fragenkatalog
3.1  
Der übergeordnete Prozess
3.2  
Risikoinventur
3.3  
Risikotragfähigkeit
3.4  
Geschäfts- und Risikostrategie
3.5  
Risikosteuerungs- und -controllingprozesse
3.6  
Risikoberichterstattung
Literatur

1  Einführung

Ertragsorientiertes Bankmanagement umfasst unter dem Primat der Rentabilität eine ertragsorientierte Wachstums- und Risikopolitik.[1] Da Entscheidungen von Unternehmen und damit auch von Instituten stets unter Unsicherheit getroffen werden, kommt dem Risikomanagement als Mittel der ertragsorientierten Risikopolitik in der Praxis eine herausgehobene Bedeutung zu. Im Risikomanagement der Institute sind zwei Risikokalküle von Bedeutung:
  1. Risikotragfähigkeitskalkül,

  2. Risiko-Chancen-Kalkül.[2]

Während Letztgenanntes beurteilt, ob sich angesichts des Chance-Risiko-Profils von Bankgeschäften die Übernahme der Risiken jeweils lohnt, beantwortet das Risikotragfähigkeitskalkül die Frage, ob und in welchem Umfang sich das Institut die Übernahme von Risiken überhaupt leisten kann.
Als Grundvoraussetzung für eine andauernde Existenz auf den Finanzmärkten müssen Institute daher über eine ausreichende Eigenkapitalausstattung verfügen und ihre Zahlungsfähigkeit laufend sicherstellen. Die Erreichung dieser Sicherungsziele liegt folglich in ihrem wohlverstandenen Eigeninteresse. Daneben sieht auch die Bankenaufsicht eine angemessene Kapitalausstattung und eine effektive Steuerung der Risikotragfähigkeit der Institute als unverzichtbare, wesentliche Voraussetzungen für ein stabiles Finanzsystem an[3] und zielt mit ihren zahlreichen regulatorischen Initiativen der mikroprudenziellen Aufsicht auf die Vermeidung von Überschuldung und Illiquidität von Instituten. Ausgehend vom Baseler Rahmenwerk aus dem Jahre 2004 lassen sich die regulatorischen Anforderungen zur Sicherstellung von Risikotragfähigkeit und Liquidität in eine regelbasierte, quantitative Säule 1 und in eine prinzipienorientierte, qualitative Säule 2 unterteilen. Hinzu kommt die dritte Säule „Marktdisziplin“ mit dem Ziel, durch eine Reihe von Offenlegungspflichten die disziplinierende Wirkung der Marktkräfte ergänzend zu den regulatorischen Anforderungen der ersten beiden Säulen zu nutzen.[4]
Im Fokus dieses Artikels zum Risikomanagementprozess stehen die vergleichsweise wenigen, prinzipienorientierten Vorgaben der zweiten Baseler Säule. Sie sind auf europäischer Ebene in die CRD IV – Capital Requirements Directive – und auf nationaler Ebene in die MaRisk – Mindestanforderungen an das Risikomanagement – eingeflossen. Die MaRisk präzisieren als rechtsnormkonkretisierende Verwaltungsvorschrift die qualitative Norm des § 25a KWG, die von den Instituten eine ordnungsgemäße Geschäftsorganisation verlangt. Deren Kern bildet ein angemessenes und wirksames Risikomanagement, auf dessen Basis ein Institut die Risikotragfähigkeit laufend sicherzustellen hat.
Der Risikomanagementprozess umfasst dabei die Phasen der Identifikation, Beurteilung, Steuerung sowie Überwachung/Kontrolle und Kommunikation der Risiken. Er ist eingebettet in den Rahmen der institutsspezifischen Geschäfts- und Risikoziele sowie Risikoneigung und -toleranz (Risikopolitik) und unterliegt darüber hinaus einer prozessunabhängigen Kontrolle durch die Interne Revision. Diese überwacht die Qualität und Funktionsfähigkeit des Risikomanagements und der dazu eingesetzten Instrumente.
Im folgenden Kapitel werden die prinzipienorientierten regulatorischen Anforderungen an das Risikomanagement und seinen Prozess vorgestellt. Das dritte Kapitel enthält schließlich für die einzelnen, in Kapitel 2 dargestellten Komponenten jeweils einen detaillierten Fragenkatalog.

2  Aufsichtliche Anforderungen

2.1  Prüfungsansätze für den übergeordneten Prozess

Im Zentrum der MaRisk steht der Begriff des Risikomanagements als Teil einer ordnungsgemäßen Geschäftsorganisation. Diesen präzisieren die MaRisk in AT 1 Tz. 1 wie folgt: „Ein angemessenes und wirksames Risikomanagement umfasst unter Berücksichtigung der Risikotragfähigkeit insbesondere die Festlegung von Strategien sowie die Einrichtung interner Kontrollverfahren. (…)“.
Hieraus lassen sich folgende Prozessschritte ableiten, die sich im modularen Aufbau der MaRisk widerspiegeln: Zunächst ist im Rahmen einer Risikoinventur das aktuelle Gesamtrisikoprofil des Instituts zu bestimmen, dem die zu seiner Abdeckung zur Verfügung stehenden Risikodeckungspotenziale gegenüberzustellen sind. Hieran knüpft die Festlegung der Geschäfts- und der Risikostrategie an, die nach Art, Umfang, Komplexität und Risikogehalt der Geschäftstätigkeiten vom Institut gegebenenfalls in Teil- bzw. Unterstrategien unterteilt werden. In operativer Hinsicht hat jedes Institut angemessene interne Kontrollverfahren einzurichten, die aus dem internen Kontrollsystem (IKS) zur prozessabhängigen und der Internen Revision zur prozessunabhängigen Überwachung bestehen. Das IKS umfasst dabei Regelungen zur Aufbau- und Ablauforganisation, zu Risikosteuerungs- und -controllingprozessen, Stresstests sowie zur Einrichtung einer Risikocontrolling- und einer Compliance-Funktion.[5] Diesen Prozessschritten folgt auch der Aufbau der weiteren Abschnitte dieses Kapitels.
Die Interne Revision hat gemäß AT 4.4.3 und BT 2 risikoorientiert und prozessunabhängig die einzelnen Elemente des IKS zu prüfen. Dies bedeutet insbesondere, dass sich die Prüfungshäufigkeit und -intensität am Risikogehalt der zu prüfenden Bereiche zu orientieren hat. Hierzu benötigt die Interne Revision ein klares Verständnis der Strategien sowie der im Institut eingesetzten Verfahren zur Ermittlung und Sicherstellung der Risikotragfähigkeit.
AT 1 Tz. 2 MaRisk betont, dass die Festlegung von Strategien und von angemessenen Leitungs-, Steuerungs- und Kontrollprozessen darauf abzielt, die Risikotragfähigkeit des Instituts zu gewährleisten. Im Zentrum der prinzipienorientierten MaRisk steht somit die Entwicklung von internen Prozessen zur Ermittlung und Sicherstellung der Risikotragfähigkeit (ICAAP – Internal Capital Adequacy Assessment Process) und damit einer angemessenen Eigenkapitalausstattung. Ein wirksames Risikomanagement bildet gleichzeitig die Grundlage für die sachgerechte Wahrnehmung der Überwachungsfunktion durch das Aufsichtsorgan, das daher – wie AT 1 Tz. 1 MaRisk betont – angemessen in die institutsinternen Leitungs-, Steuerungs- und Kontrollprozesse eingebunden werden muss.
Ein Wesensmerkmal der MaRisk bildet der in AT 1 Tz. 2 MaRisk verankerte Grundsatz der doppelten Proportionalität:
  1. Die Ausgestaltung der Methoden und Prozesse zur Sicherstellung der Risikotragfähigkeit liegt – dem prinzipienorientierten Grundgedanken der MaRisk folgend – im Ermessen des einzelnen Instituts und ist abhängig von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten.

  2. Die Häufigkeit und Intensität der Prüfungstätigkeiten durch die Aufsicht muss in einem angemessenen Verhältnis zur Bedeutung des Instituts und zu Art, Umfang, Komplexität und Risikogehalt seiner Geschäftsaktivitäten stehen.

Im Hinblick auf den Proportionalitätsgedanken macht die Aufsicht an dieser Stelle allerdings auch deutlich, dass sie von global oder national systemrelevanten Instituten mit komplexen Geschäftsmodellen, besonderer Risikoexponierung oder internationaler Ausrichtung eine „Übererfüllung“ der MaRisk erwartet: Diese Häuser sollen die Veröffentlichungen zum Risikomanagement des Baseler Ausschusses für Bankenaufsicht (BCBS) und des Financial Stability Boards (FSB) eigenverantwortlich in ihre Überlegungen zur angemessenen Ausgestaltung des Risikomanagements einbeziehen.

2.2  Risikoinventur

Gemäß AT 2.2 Tz. 2 MaRisk haben Institute regelmäßig und anlassbezogen im Rahmen einer Risikoinventur zu prüfen, welche Risiken ihre Vermögenslage einschließlich Eigenkapitalausstattung, ihre Ertragslage oder ihre Liquiditätssituation wesentlich beeinträchtigen können. Folgende Punkte sind in diesem Zusammenhang hervorzuheben:
Zum einen geht es – wie auch AT 2.2 Tz. 1 MaRisk betont – um das (Risiko-)Management der für ein Institut bzw. eine Institutsgruppe[6] wesentlichen Risiken („Was tut weh?“). Zur Ermittlung des Gesamtrisikoprofils, das alle wesentlichen und sonstigen, nicht wesentlichen Risiken umfasst, stehen Institute vor der Aufgabe, ihre Risiken eigenständig und systematisch zu identifizieren und zu analysieren. Genau diese Erwartung der Aufsicht an einen planmäßigen Prozess kommt im Begriff „Risikoinventur“ zum Ausdruck. Grundsätzlich geht die Aufsicht davon aus, dass alle Institute zumindest Adressenausfallrisiken einschließlich Länderrisiken, Marktpreisrisiken, Liquiditätsrisiken und operationelle Risiken als wesentlich einstufen. Sollte ein Institut davon abweichend eine oder mehrere dieser Risikoarten für sich als nicht wesentlich ansehen, empfiehlt sich vor dem Hintergrund von AT 6 Tz. 2 MaRisk eine ausführliche und nachvollziehbare Begründung dieser Einschätzung. Die Frage, ob der Nachweis der Unwesentlichkeit im Einzelfall geführt werden soll, ist institutsindividuell somit auch vor dem Hintergrund des zusätzlichen Dokumentationsaufwandes zu beantworten.
Alle wesentlichen Risiken eines Hauses im Allgemeinen und die in AT 2.2 Tz. 1 MaRisk hervorgehobenen wesentlichen Risikoarten im Besonderen erfordern eine prozessuale Sonderbehandlung in Form von Risikosteuerungs- und -controllingprozessen[7] sowie die Durchführung von Stresstests. Dagegen haben Institute für ihre sonstigen, nicht wesentlichen Risiken lediglich angemessene Vorkehrungen zu treffen. Hierfür kommen z.B. arbeitsregelnde Unterlagen in Betracht. Da im Sinne von AT 6 Tz. 2 MaRisk auch die Ergebnisse der Risikoinventur nachvollziehbar zu dokumentieren sind, bietet es sich darüber hinaus an, in der Geschäftsstrategie oder der Risikostrategie auf das Gesamtrisikoprofil des Hauses/der Gruppe und damit auch auf die nicht wesentlichen Risiken einzugehen. Alternativ könnte dies auch im Rahmen der turnusmäßigen Risikoberichterstattung an die Geschäftsleitung und ggf. auch an das Aufsichtsorgan in einem separaten Abschnitt zum Gesamtrisikoprofil erfolgen.
Das Ergebnis der Risikoinventur kann – neben den Rahmenbedingungen der Risikokapitalsteuerung und der Steuerung der Risikoarten sowie Darstellungen zu Methoden, Prozessen und Verantwortlichkeiten (auf Gruppenebene) – auch im Risikohandbuch des Instituts dokumentiert festgehalten werden.

2.3  Sicherstellung der Risikotragfähigkeit

Die Sicherstellung der Risikotragfähigkeit ist nicht nur eine zentrale Fragestellung im Risikomanagement der Institute, sondern auch eine Kernanforderung der qualitativen Vorgaben der zweiten Säule des Baseler Rahmenwerks.
Das erste der dort formulierten vier Grundprinzipien verlangt von den Instituten die Einrichtung eines internen Prozesses zur Beurteilung und Gewährleistung der Risikotragfähigkeit – Internal Capital Adequacy Assessment Process: ICAAP[8] – und damit einer ausreichenden Eigenkapitalausstattung im Verhältnis zu den eingegangenen Risiken.[9] Bestandteile dieses Prozesses sind u.a. die regelmäßige Analyse des Gesamtrisikoprofils, die Aktualisierung des verfügbaren Risikodeckungspotenzials, die Aufstellung und Umsetzung der Geschäfts- und Risikostrategie(n), das interne Limitsystem, die Durchführung von Stresstests und das interne Berichtswesen.[10]
Die Risikotragfähigkeit ist gegeben, wenn das Risikodeckungspotenzial – also Deckungsmassen, die qualitativ geeignet sind, auftretende Verluste zu absorbieren – die wesentlichen Risiken des Instituts unter Berücksichtigung von Risikokonzentrationen laufend abdecken.
Zur Beantwortung der Frage, ob die Risikotragfähigkeit eines Instituts gegeben ist, werden in der Praxis regelmäßig mehrere Sichtweisen unterschieden[11]:
  1. Die regulatorischen Mindestkapitalanforderungen aus der CRR i.V.m. § 10 KWG (Säule 1) stellen die Sicht des Regulators auf die Solvenz dar und müssen von den Instituten als strenge Nebenbedingung eingehalten und gesteuert werden, um den Fortbestand des eigenen Hauses dauerhaft zu sichern.

  2. Zur internen Beurteilung ihrer Risikotragfähigkeit nutzen Institute eine periodische Sichtweise – Ableitung des Risikodeckungspotenzials aus Bilanz- und GuV-Positionen – und/oder eine wertorientierte Perspektive – Bestimmung des Risikodeckungspotenzials als barwertiges Vermögen.

Die Risikotragfähigkeitskonzeption – die Gesamtheit aller in einem Institut verwendeten Sichtweisen – repräsentiert als oberste und umfassende Sicht auf die Risikosituation eines Instituts ein wichtiges Element der Gesamtbanksteuerung und das wesentliche Risikosteuerungsinstrument der Geschäftsleitung.[12] Wie schon bei wesentlichen Risiken in AT 2.2 Tz. 1 MaRisk sind auch bei der Sicherstellung der Risikotragfähigkeit gemäß AT 4.1 Tz. 1 MaRisk Risikokonzentrationen zu berücksichtigen. Häufig tragen Institute dieser Anforderung implizit bei der Risikomessung über Kreditportfolio- und/oder Marktrisikomodelle Rechnung, die etwaige Risikokonzentrationen im Portfolio transparent machen. Daher kann deren Begrenzung über eine wirksame Limitierung erfolgen und in der Risikotragfähigkeitskonzeption dokumentiert werden.
AT 4.1 Tz. 4 MaRisk stellt Anforderungen an Ausnahmen vom Grundsatz, wonach alle wesentlichen Risiken in das Risikotragfähigkeitskonzept einzubeziehen sind. So sind eigentlich wesentliche Risiken dann nicht im Konzept zu berücksichtigen, wenn die jeweilige Risikoart aufgrund ihrer Eigenart nicht sinnvoll durch Risikodeckungspotenzial begrenzt werden kann und diese Nichtberücksichtigung nachvollziehbar begründet wird. Der Regulator nennt in AT 4.1 Tz. 4 MaRisk explizit Liquiditätsrisiken als ein Beispiel für eine solche Risikoart.[13] Unabhängig hiervon sind wesentliche Risiken aber immer angemessen in den Risikosteuerungs- und -controllingprozessen (vgl. Kapitel 2.5) zu berücksichtigen. Diese prozessuale Sonderbehandlung unterscheidet sie von den nicht wesentlichen Risiken, für die jeweils nur angemessene Vorkehrungen zu treffen sind (vgl. Kapitel 2.2).
Für wesentliche Risiken ergibt sich grundsätzlich die Notwendigkeit der Messung, um im Rahmen des ICAAP die Risikotragfähigkeit zu ermitteln und laufend sicherzustellen. Ihrem prinzipienorientierten Ansatz und Proportionalitätsgedanken folgend geben die MaRisk aber keine konkreten Risikomessmethoden vor. Folglich kann „Messung“ sowohl eine (modellgestützte) Quantifizierung als auch eine expertenbasierte Abschätzung eines Risikobetrags mittels Plausibilisierung bedeuten (vgl. AT 4.1 Tz. 5 MaRisk). Die durch die Experten jeweils verwendeten Annahmen und Bewertungen sollten vor dem Hintergrund der Anforderungen des AT 6 Tz. 2 MaRisk nachvollziehbar begründet und dokumentiert werden.

2.4  Bedeutung der Strategien

In einer Marktwirtschaft verfolgen Institute wie andere Unternehmen auch das Ziel, nachhaltig Gewinne zu erwirtschaften, um ihren Fortbestand am Markt dauerhaft zu sichern. Die Festlegung von Strategien, mit denen Institute die Richtschnur ihres wirtschaftlichen Handelns vorgeben, zählt zu den unerlässlichen Voraussetzungen für die Erreichung ihrer ökonomischen Ziele.
Die Formulierung der Strategien und ihrer konkreten Inhalte hängt jeweils von der Fähigkeit der Institute ab, Verluste absorbieren bzw. kompensieren zu können.[14] Daher muss die Risikotragfähigkeit – und ihre laufende Sicherstellung – bei der Ausgestaltung und Anpassung der Strategien eine maßgebliche Rolle spielen. Daher verwundert es nicht, dass der Themenkomplex „Strategien“ – neben der Ermittlung und Sicherstellung der Risikotragfähigkeit – nicht nur im ökonomischen Interesse der Institute liegt, sondern auch ein Kernelement der qualitativen regulatorischen Anforderungen im § 25a KWG und in den MaRisk darstellt.
Neben der Vorgabe an die Geschäftsleitung, eine nachhaltige Geschäftsstrategie und eine dazu konsistente Risikostrategie festzulegen, stellt AT 4.2 MaRisk folgende allgemeine Anforderungen an Strategien:
  1. Die Geschäftsleitung ist für die Festlegung der Strategien verantwortlich; diese Verantwortung kann nicht delegiert werden (Tz. 3).

  2. Es bleibt den Instituten überlassen, von der Öffnungsklausel in Tz. 3 Gebrauch zu machen und abhängig von Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten beide Strategien zu einer Gesamtstrategie zusammenzufassen.

  3. Die Strategien sind dem Aufsichtsorgan zur Kenntnis zu geben und mit diesem zu erörtern – das gilt auch bei etwaigen Anpassungen derselben (Tz. 5).

  4. Die Strategien sind in geeigneter Weise innerhalb des Instituts zu kommunizieren (Tz. 6).

Trotz der alleinigen Verantwortung der Geschäftsleitung für die Festlegung und der unter 2. erwähnten Öffnungsklausel zum Detaillierungsgrad der Strategien lassen sich aus AT 4.2 MaRisk besondere Anforderungen an die Mindestinhalte von Geschäftsstrategie einerseits und Risikostrategie andererseits ableiten, die nachfolgend dargestellt werden.
Die Geschäftsstrategie dokumentiert das Verständnis der Geschäftsleitung im Hinblick auf die weitere Entwicklung des Instituts. Sie muss gemäß AT 4.2 Tz. 1 MaRisk für alle wesentlichen Geschäftsaktivitäten nachprüfbare Ziele und Maßnahmen zu ihrer Erreichung enthalten, so dass sie plausibel in die operative Unternehmensplanung überführbar[15] sind und Abweichungen im Rahmen eines Soll-Ist-Vergleichs identifiziert werden können.[16] Geeignete Maßnahmen zur Zielerreichung müssen dann in konsistenter Weise eine strategische, langfristige Ausrichtung besitzen.[17] Seit der vierten MaRisk-Novelle vom 14.12.2012 wird in der Erläuterung zu AT 4.2 Tz. 1 explizit gefordert, dass die Geschäftsstrategie auch Aussagen zur zukünftig geplanten technisch-organisatorischen Ausstattung (IT-Systeme) und im Falle umfangreicher Auslagerungen auch Ausführungen zum Outsourcing enthält.
Bei der Ausgestaltung und Anpassung seiner Geschäftsstrategie hat ein Institut seine Ausgangssituation zu bedenken, die von externen – wie z.B. Konkurrenzsituation, regulatorisches Umfeld – und internen Einflussfaktoren – wie z.B. der Risikotragfähigkeit, Ertragslage – bestimmt wird. Die für deren zukünftige Entwicklung getroffenen Annahmen sind entscheidend für den Erfolg der Geschäftsstrategie und daher regelmäßig und anlassbezogen zu überprüfen; dies kann in letzter Konsequenz eine Anpassung der Geschäftsstrategie erfordern, sofern eine Veränderung der strategischen Maßnahmen sich nicht als zielführend erweisen sollte.
Auch die Risikostrategie muss für alle wesentlichen Risiken messbare Ziele der Risikosteuerung der wesentlichen Geschäftsaktivitäten[18] und Maßnahmen zu ihrer Erreichung umfassen. Mit der dritten MaRisk-Novelle vom 15.12.2010 hat die Aufsicht die Mindestinhalte der Risikostrategie um die zentrale Anforderung erweitert, für alle wesentlichen Risiken unter Berücksichtigung von Risikokonzentrationen Risikotoleranzen festzulegen. In der Risikotoleranz bringt die Geschäftsleitung ihre Bereitschaft zum Ausdruck, Risiken einzugehen; diese ist abhängig von ihrer Risikoneigung („Risikoappetit“), dem Ausmaß der Risikotragfähigkeit, der Liquiditätsausstattung und der strategischen Ausrichtung des Instituts. Risikotoleranzen spiegeln sich wider im Anteil des Risikodeckungspotenzials, das als Risikodeckungsmasse zur Absorption von unerwarteten Verlusten eingesetzt wird und die für die einzelnen wesentlichen Risikoarten festgelegten Limite. Korridore oder Schwellenwerte für Risikokonzentrationen und für akzeptierte Veränderungen von Risikofaktoren stellen weitere Beispiele für quantitative Vorgaben von Risikotoleranzen dar. Sie können aber auch qualitativ – z.B. Vermeidung der Finanzierung nicht drittverwendungsfähiger Immobilien – ausgestaltet werden. Wichtig ist, dass Risikotoleranzen auch für wesentliche Risiken festzulegen sind, die nicht sinnvoll mit Risikodeckungspotenzial unterlegt werden können.
Zur strukturierten Auseinandersetzung mit und Festlegung von strategischen Zielen fordert AT 4.2 Tz. 4 MaRisk von den Instituten, einen Strategieprozess einzurichten. Dieser hat sich insbesondere auf die Prozessschritte Planung, Beurteilung, Umsetzung und gegebenenfalls Anpassung der Strategien zu erstrecken.
Dieser Regelkreis erfordert, die Ursachen für etwaige Strategieabweichungen zu analysieren und zu dokumentieren. Die Umsetzung der Strategien schließt ihre geeignete Kommunikation innerhalb des Instituts ein. Die Annahmen von relevanten Einflussfaktoren für die Geschäftsstrategie sind einer laufenden Überprüfung zu unterziehen, was – sofern erforderlich – bis zur Anpassung der Geschäftsstrategie reichen kann. Schließlich muss der Strategieprozess – wie die Erläuterung zu AT 4.2 Tz. 1 MaRisk betont – auch Gegenstand von Revisionsprüfungen sein.

2.5  Risikosteuerungs- und -controllingprozesse

Zur Umsetzung der Geschäfts- und Risikostrategie sowie zur Gewährleistung der Risikotragfähigkeit hat ein Institut für seine wesentlichen Risiken geeignete Risikosteuerungs- und -controllingprozesse einzurichten[19], die integraler Bestandteil des ICAAP sind. Für die Schwerpunkt-Risikoarten Adressenausfall-, Marktpreis-, Liquiditäts- und operationelle Risiken stellen die MaRisk im Modul BTR besondere prozessuale Anforderungen. Da aber institutsspezifisch auch andere Risikoarten wesentlich sein können, schreibt AT 4.3.2 Tz. 1 MaRisk übergreifend vor, dass die eingerichteten Risikosteuerungs- und -controllingprozesse jedem Institut eine Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation seiner wesentlichen Risiken und damit verbundenen Risikokonzentrationen[20] ermöglichen müssen, die unter Berücksichtigung der Risikotragfähigkeit und der Risikotoleranzen wirksam zu begrenzen und zu überwachen sind. Dieser letztgenannten Anforderung des AT 4.3.2 Tz. 1 Satz 3 MaRisk wird in der Praxis häufig durch die Einrichtung von Limitsystemen im Rahmen der Risikotragfähigkeit Rechnung getragen. Darüber hinaus verlangen die MaRisk die Einbindung dieser Prozesse in eine Gesamtbanksteuerung, die neben der Berücksichtigung aller wesentlichen Risiken die zu realisierenden Erträge und weitere Kernelemente mit in die Planung einbezieht.[21]
Was diese Prozesse im Institut leisten müssen, gibt AT 4.3.2 Tz. 2 MaRisk vor: Eine frühzeitige Erkennung, vollständige Erfassung und ein angemessenes Reporting der wesentlichen Risiken. Die Früherkennung von Risiken zeichnet effektive Risikosteuerungs- und -controllingprozesse aus; daher ist es konsequent, aufsichtsrechtlich die Definition und Beobachtung von Frühwarnindikatoren zur rechtzeitigen Erkennung von Risiken und risikoartenübergreifenden Effekten zu fordern. Anknüpfend an die Ergebnisse der Risikoinventur bieten sich quantitative und qualitative Indikatoren an.[22] Die Institute sollten die verwendeten Frühwarnindikatoren mittels geeigneter Schwellenwerte operationalisieren und dabei deren Konsistenz zur Risikotragfähigkeit und zur Risikostrategie beachten. Bei sich ändernden Bedingungen sind die Risikosteuerungs- und -controllingprozesse gemäß AT 4.3.2 Tz. 7 MaRisk zeitnah anzupassen – auch dies ist Ausdruck der in § 25a KWG geforderten angemessenen Geschäftsorganisation.
Schließlich ist eine regelmäßige und aussagekräftige Berichterstattung ein wichtiger Bestandteil effektiver Risikosteuerungs- und -controllingprozesse. Die Anforderungen der MaRisk an die Ausgestaltung des Risikoreportings sind Thema des nächsten Kapitels.
Darüber hinaus stellen die SREP Guidelines[23] der European Banking Authority (EBA) detaillierte, stark formalisierte Anforderungen an die Ausgestaltung der Risikosteuerungs- und -controllingprozesse. Sie stellen dabei sowohl auf den ICAAP als auch auf den ILAAP – Internal Liquidity Adequacy Assessment Process – ab und beziehen sich dabei auf folgende Aspekte:
  • Solidität: Beachten Institute bei der Ausgestaltung der Vorgaben, Prozesse, Inputdaten und Modelle von ICAAP und ILAAP das Proportionalitätsprinzip?

  • Effektivität: Sind ICAAP und ILAAP so ausgestaltet, dass sie beim institutsspezifischen Risiko-, Eigenkapital- und Liquiditätsmanagement eine wesentliche Rolle („Use Test“) spielen?

  • Vollständigkeit: Erstrecken sich ICAAP und ILAAP auf alle Geschäftsfelder, Töchter und wesentliche Risikoarten und stehen sie im Einklang mit rechtlichen Anforderungen?

2.6  Risikoberichterstattung

Welche Bedeutung die Aufsicht der Risikoberichterstattung innerhalb der Institute beimisst, wird schon an der Vielzahl der Textziffern in den MaRisk deutlich, die diesen Themenkomplex behandeln. Für die Risikoberichte zu den vier Schwerpunktrisikoarten Adressenausfall-, Marktpreis-, Liquiditäts- und operationelle Risiken schreiben die MaRisk – anders als es ihr prinzipienorientierter Charakter erwarten lässt – zudem besondere Mindestinhalte und Reportingintervalle vor.[24] Unabhängig davon gelten für alle wesentlichen Risiken die allgemeinen Anforderungen des AT 4.3.2 MaRisk an die Inhalte der Berichterstattung:
  1. Tz. 3: Die Geschäftsleitung muss sich in angemessenen Abständen über die Risikosituation berichten lassen. Ein rein darstellender Charakter des Reportings reicht hierbei nicht aus, vielmehr müssen die wesentlichen Risiken auch in ihrer Tragweite für das Institut in Form von Stellungnahmen und Einschätzungen beurteilt und kommentiert werden. Dies impliziert eine kritische Auseinandersetzung des Managements mit den Risikoberichten. Handlungsvorschläge – z.B. zur Risikoreduzierung – können bei Bedarf mit aufgenommen werden. In diesem Fall ist es dann wichtig, die Umsetzung beschlossener Steuerungsentscheidungen und -maßnahmen sicherzustellen und mittels geeigneter Controllinginstrumente zu überwachen.

  2. Tz. 4: Die Institute müssen die Ergebnisse der Stresstests für alle wesentlichen Risiken und die ihnen zugrunde liegenden Annahmen in die Risikoberichterstattung integrieren – unabhängig davon, ob sie auch in die Risikotragfähigkeit einbezogen werden.

In formaler Hinsicht muss die Risikoberichterstattung nachvollziehbar und aussagekräftig sein; hierzu bietet sich auch der Einsatz unterstützender grafischer Elemente (z.B. „Risiko-Cockpit“, Ampelsysteme) an. Zusätzlich kann sie jeweils durch prägnante Darstellungen (z.B. Management Summary)[25] ergänzt werden.
Die Geschäftsleitung ihrerseits hat das Aufsichtsorgan quartalsweise über die Risikosituation des Instituts in angemessener Weise schriftlich und nachvollziehbar zu informieren.[26] Hierzu hat sie besondere Risiken für die Geschäftsentwicklung gesondert zu erläutern, etwaigen Handlungsbedarf aufzuzeigen und die dazu geplanten Maßnahmen darzustellen.
Unter Risikogesichtspunkten wesentliche Informationen, für die das turnusmäßige Reporting nicht angemessen – da zu spät – ist, sind gemäß AT 4.3.2 Tz. 5 MaRisk unverzüglich an die Geschäftsleitung, die jeweiligen Verantwortlichen und ggf. die Interne Revision weiterzuleiten. Um dies sinnvoll und strukturiert leisten zu können, hat jedes Institut geeignete Verfahren mit entsprechenden Kommunikationswegen einzurichten, die die Einleitung von risikoreduzierenden Maßnahmen oder Prüfungshandlungen ermöglichen. Dies schließt eine nachvollziehbare Dokumentation ein. Eine Pflicht zur Ad-hoc-Berichterstattung besteht auch für die Geschäftsleitung an das Aufsichtsorgan, allerdings eingeschränkt auf diejenigen risikorelevanten Informationen, die für diesen Adressatenkreis wesentlich sind. Zu den eine Ad-hoc-Berichterstattung an die Geschäftsleitung auslösenden wesentlichen Informationen gehört z.B. eine erhebliche Beeinträchtigung der Risikotragfähigkeit, die durch bedeutende Schäden im Bereich der operationellen Risiken entstehen.[27] Ferner sind die Ergebnisse anlassbezogen durchgeführter Stresstests auf die Risikosituation des Instituts an die zuständigen Entscheidungsträger im Rahmen eines Ad-hoc-Reportings zu kommunizieren. Im besonderen Teil der MaRisk werden darüber hinaus konkrete Ereignisse genannt, die eine Ad-hoc-Berichtspflicht auslösen; hierzu zählt z.B. ein erheblicher Risikovorsorgebedarf im Kreditgeschäft.[28] Schließlich muss die Interne Revision unverzüglich (ad hoc) informiert werden, wenn nach Einschätzung der zuständigen Fachbereiche relevante Mängel zu erkennen oder bedeutende Schadensfälle aufgetreten sind oder ein konkreter Verdacht auf Unregelmäßigkeiten besteht.[29]
Reporting-Anforderungen bestehen auch für die in AT 4.4 MaRisk genannten besonderen Funktionen: Die Risikocontrolling-Funktion ist für die Erstellung der regelmäßigen und Ad-hoc-Berichterstattung verantwortlich. Das Reporting der Compliance-Funktion hat mindestens jährlich und anlassbezogen zu erfolgen mit den in AT 4.4.2 Tz. 6 MaRisk vorgegebenen Inhalten. Die Interne Revision ist nach AT 4.4.3 Tz. 2 MaRisk der Geschäftsleitung gegenüber berichtspflichtig; die Anforderungen an die Erstellung eines schriftlichen Berichts sind in BT 2.4 MaRisk kodifiziert.
Schließlich haben die Institute gemäß § 8 ff. FinaRisikoV[30] Angaben zur Konzeption der Risikotragfähigkeitssteuerung, zum Risikodeckungspotenzial, zu bestehenden Risiken und den Verfahren zu ihrer Ermittlung, Steuerung und Überwachung in elektronischer Form unter Verwendung vorgegebener Formulare der Deutschen Bundesbank zu melden. Es besteht grundsätzlich ein jährlicher Meldeturnus. Bestimmte Institute unterliegen einer halbjährlichen oder – sofern von der BaFin angeordnet – noch kürzeren Meldefrequenz; dies betrifft z.B. Häuser, deren Bilanzsumme im Durchschnitt der letzten drei Geschäftsjahre 30 Mrd. EUR erreicht oder überschritten hat. Die Meldungen müssen jeweils innerhalb von sieben Wochen nach dem Meldestichtag[31] eingereicht werden.

2.7  Ausblick

Am 02.11.2015 hat der Bundestag das Gesetz zur Anpassung des nationalen Bankenabwicklungsrechts an den einheitlichen Abwicklungsmechanismus und die europäischen Vorgaben zur Bankenabgabe – Abwicklungsmechanismusgesetz (AbwMechG)[32] – beschlossen. Dieses Gesetz sieht auch Änderungen im KWG vor und lässt folgende Auswirkungen auf § 25a Abs. 1 KWG und die MaRisk erkennen:
  • Das AbwMechG schafft in Art. 2 Nr. 12 eine Ermächtigungsgrundlage, die es ermöglicht, die MaRisk in eine Verordnung zu überführen mit dem Ziel, die Rechtssicherheit der Institute zu erhöhen. Derzeit besitzen die MaRisk als normenkonkretisierende Verwaltungsvorschrift keinen Rechtsnormcharakter, sondern entfalten ihre Bindungswirkung indirekt über ihre Anbindung an den § 25a Abs. 1 KWG.

  • Neben Überarbeitungen und Konkretisierungen u.a. zum Outsourcing sowie zur Risikokultur und Governance werden im Fokus der schon länger erwarteten, aber noch ausstehenden Novellierung der MaRisk die Themenkomplexe Risikodaten, IT-Infrastruktur und Risikoberichterstattung stehen. Damit sollen insbesondere die internationalen Anforderungen aus BCBS 239 „Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung“ und aus den SREP Guidelines Eingang in die MaRisk finden und somit für deutsche Institute verbindlich werden.[33]

3  Fragenkatalog

Dieser Katalog soll die wichtigsten Ausgangsfragen für eine Prüfung des Risikomanagementprozesses durch die Interne Revision darstellen. Die Prüfungsschwerpunkte werden für jedes Institut anders ausfallen. Einige Themen werden weniger relevant sein, andere müssen durch zusätzliche Fragen vertieft werden.

3.1  Der übergeordnete Prozess

  • Ist die Risikocontrollingfunktion auf einer ausreichend hohen Führungsebene angesiedelt?

    • Werden bei hierarchischer Einordnung und Aufgabenzuschnitt der Risikocontrollingfunktion die Komplexität und der Risikogehalt der Geschäftsaktivitäten berücksichtigt?

  • Liegt der Schwerpunkt der Tätigkeit des Risikocontrollings auf der Analyse und Interpretation der Risikodaten? Ist der Zeitaufwand für die Beschaffung und Auswertung von Daten verhältnismäßig?

    • Gibt es eine datenverantwortliche Organisationseinheit?

    • Stehen die benötigten Daten zeitnah zur Verfügung? Gilt dies auch in Krisen- und Stressphasen?

  • Ist das Aufsichtsorgan angemessen in den ICAAP eingebunden?

    • Kennt das Aufsichtsorgan die Strategien des Instituts? Diskutiert es sie mit dem Vorstand? Werden diese Diskussionen dokumentiert?

    • Wird das Aufsichtsorgan regelmäßig vom Vorstand über die Risikosituation des Instituts angemessen und schriftlich informiert?

    • Wurde das Aufsichtsorgan anlässlich eines Wechsels der Leitung der Risikocontrollingfunktion informiert?

  • Gibt es Monita aus früheren Revisionsberichten im Hinblick auf das Risikomanagement, die noch nicht abgestellt wurden?

    • Werden die Fristen, die in den Prüfungsberichten externer Prüfer zur Beseitigung festgestellter Mängel eingeräumt wurden, eingehalten?

    • Sind Feststellungen aus den letzten Prüfungsberichten der Internen Revision noch nicht abgearbeitet?

3.2  Risikoinventur

  • Wie wird die Risikoinventur zur Ermittlung des Gesamtrisikoprofils durchgeführt?

    • Gibt es Vorgaben für den Turnus der regelmäßigen Risikoinventur?

    • Welche Gründe gibt es für die Durchführung einer anlassbezogenen Risikoinventur?

  • Wie wird das Ergebnis der Risikoinventur dokumentiert?

  • Welche Risiken werden als wesentlich eingestuft?

  • Welche Kriterien werden zur Bestimmung und Operationalisierung der Wesentlichkeit herangezogen?

    • Welche Risikoarten umfasst das „Risikouniversum“ insgesamt, aus dem die wesentlichen Risiken extrahiert werden?

    • Woran wird die Wesentlichkeit der identifizierten Risikoarten, die das institutsindividuelle Gesamtrisikoprofil bilden, festgemacht?

    • Welche Faktoren spielen dabei eine Rolle (z.B. Beherrschbarkeit, Eintrittswahrscheinlichkeit, potenzielle Schadenshöhe)?

  • Werden Adressenausfall-, Marktpreis-, Liquiditäts- und operationelle Risiken im Einklang mit der Erwartungshaltung der Aufsicht als wesentlich eingestuft?

  • Welche dieser Risikoarten werden trotzdem als nicht wesentlich eingestuft?

    • Wird die Nichtberücksichtigung nachvollziehbar begründet und dokumentiert?

    • Ist der Umfang der Dokumentation angemessen?

  • Wird das Reputationsrisiko als wesentlich betrachtet?

    • Wird auf die Bedeutung des Reputationsrisikos eingegangen, das sowohl in den MaRisk (Erläuterung zu AT 2.2 Tz. 2) als auch in den SREP Guidelines der EBA (Tz. 235 und 268 ff.) explizit erwähnt wird?

  • Wird das in den SREP Guidelines genannte Pensionsrisiko als wesentlich eingestuft?

  • Werden alle in den MaRisk genannten Bereiche für die Beurteilung der Wesentlichkeit – Vermögenslage (inkl. Kapitalausstattung), Ertragslage und Liquiditätslage – einbezogen?

  • Werden die in Tz. 144 der SREP Guidelines aufgeführten Unterkategorien des Kreditrisikos betrachtet (Konzentrations-, Gegenparteiausfall- und Abwicklungsrisiken, Länderrisiken, Verbriefungsrisiken, Risiken aus Fremdwährungskrediten und aus Spezialfinanzierungen)?

  • Wird das Refinanzierungsrisiko als Teil des Liquiditätsrisikos als wesentlich eingestuft? Wird die Einstufung nachvollziehbar begründet, insbesondere bei einer Charakterisierung als nicht wesentliche Risikoart?

  • Wie wird das Konzentrationsrisiko als Teil des Kreditrisikos gemäß Art. 81 CRD bei der Risikoinventur eingestuft?

    • Welche Ausprägungen des Konzentrationsrisikos – gegenüber einzelnen Kreditnehmern und Gruppen verbundener Kunden, Branchen, Ländern, Produkten und Sicherheiten – werden dabei analysiert?

  • Wie werden Risikokonzentrationen identifiziert?

    • Werden Konzentrationsmaße verwendet (z.B. Herfindahl-Hirschman-Index)?

    • Dienen die eingesetzten Stresstests zur Identifizierung von Risikokonzentrationen?

  • Werden für alle wesentlichen Risikoarten auch Risikokonzentrationen berücksichtigt?

    • Werden die in den MaRisk genannten unterschiedlichen Ausprägungen von Risikokonzentrationen beachtet?

    • Wie werden die für jede wesentliche Risikoart – z.B. Adressenausfall- und Marktpreisrisiken – ermittelten Risikowerte aggregiert? Werden diese beispielsweise addiert (Annahme einer Korrelation von 1)?

    • Wie werden Risikokonzentrationen begrenzt?

  • Gibt es wesentliche, nicht abgesicherte Fremdwährungsrisiken im Kreditportfolio?

    • Wie wird die Wesentlichkeit definiert?

    • Werden dabei folgende vom European Systemic Risk Board (ESRB) definierten Wesentlichkeitsschwellen beachtet:

      • Der Anteil der Fremdwährungskredite gegenüber ungesicherten Darlehensnehmern beträgt mindestens 10% des Kreditportfolios und

      • Der Anteil des gesamten Kreditportfolios an der Bilanzsumme beläuft sich auf mindestens 25%?

  • Erhält der Vorstand einen Überblick über das Gesamtrisikoprofil, das neben den wesentlichen auch die nicht wesentlichen Risiken umfasst?

    • Welches Medium wird für die Darstellung des Gesamtrisikoprofils genutzt?

    • Ist der Umfang der Darstellung der nicht wesentlichen Risiken im Verhältnis zu den wesentlichen Risiken angemessen?

  • Welche angemessenen Vorkehrungen werden für die nicht wesentlichen Risiken des Gesamtrisikoprofils getroffen?

    • Gibt es arbeitsregelnde Vorschriften in den Organisationsrichtlinien?

3.3  Risikotragfähigkeit

  • Ist der Begriff Risikotragfähigkeit (RTF) intern definiert? Gibt es ein übergeordnetes Rahmenwerk für die interne Risikotragfähigkeitsberechnung?

    • Geht aus dem Konzept hervor, welche Sichtweisen betrachtet werden (z.B. regulatorische, ergebnisorientierte, barwertige Sichtweise)?

    • Ist nachvollziehbar, in welcher Hierarchie die Sichtweisen zueinander stehen und welche Bedeutung sie für die Steuerung haben?

    • Trägt das Risikotragfähigkeitskonzept den beiden Schutzzielen Eigentümer- und Gläubigerschutz angemessen Rechnung? Ist das für sachverständige Dritte sachgerecht nachprüfbar?

  • Hat es seit der letzten Prüfung grundlegende Änderungen am Risikotragfähigkeitskonzept gegeben?

    • Sind die Änderungen nachvollziehbar, liegen Begründungen vor?

    • Sind im Falle von Methoden- oder Parameteränderungen zum Stichtag der Änderung die Risiken vor und nach den Änderungen berechnet worden, damit klar ersichtlich ist, welche Änderungen modellbedingt und welche geschäftsbedingt sind?

    • Ist im Falle von Änderungen die Beschlussfassung durch die Geschäftsleitung erfolgt?

  • Sind alle Risiken, die im Ergebnis der Risikoinventur als wesentlich erkannt wurden, im Risikotragfähigkeitskonzept berücksichtigt?

  • Welche wesentlichen Risiken werden nicht im Risikotragfähigkeitskonzept berücksichtigt? Ist die Nichtberücksichtigung sachgerecht begründet?

  • Sind Risiken ausgenommen, die durch die Aufsicht als mindestens wesentlich behandelt werden sollen, z.B. die Liquiditätsrisiken? Liegen hierfür ausführliche Begründungen vor?

  • Wird das Refinanzierungsrisiko als Teilmenge des Liquiditätsrisikos wegen seines vermögensschädigenden Potenzials berücksichtigt? Wenn nicht, wird dies nachvollziehbar begründet?

  • Wie ist der Prozess zur Sicherstellung der Risikotragfähigkeit ausgestaltet?

  • Wie häufig werden Berechnungen der Risikotragfähigkeit durchgeführt?

  • Ist der gewählte Turnus der RTF-Berechnung vor dem Hintergrund des Geschäftsmodells und der Strategie angemessen?