Überblick zur 5. Novelle der MaRisk

Die gesetzlichen Anforderungen der MaRisk (Mindestanforderungen an das Risikomanagement der Banken) bilden die Grundlage des Risikomanagements bei Factoring- und Leasingunternehmen. Am 27. Oktober 2017 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) - die seit langem erwartete - finale Fassung der überarbeiteten Mindestanforderungen an das Risikomanagement veröffentlicht. Mit der Veröffentlichung des Rundschreibens treten diese auch unmittelbar in Kraft. Für Neuerungen besteht eine Umsetzungsfrist von einem Jahr bis Ende Oktober 2018, sog. Klarstellungen sind von den Instituten umgehend anzuwenden. Wie erwartet betreffen die wesentlichen Neuerungen vor allem die Bereiche Datenaggregation, Risikoberichterstattung, Risikokultur und Auslagerungen. Zudem ergeben sich zahlreiche Klarstellungen, die im Factoring- und Leasingbereich zu einigen organisatorischen und prozessualen Anpassungen führen dürften. Generell lässt sich festhalten, dass die neuen MaRisk eine stärkere Grundlage für eine nachhaltige Unternehmensführung und das Risikobewusstsein weiter schärfen.  Je nach Komplexität des Geschäftsmodells werden die erweiterten Anforderungen die Factoring- und Leasingunternehmen in unterschiedlichem Ausmaß betreffen.

 

Datenaggregation

Von entscheidender Bedeutung ist die frühzeitige Erkennung und Bewältigung von Risiken. Dies erfordert, gerade auch in Stressphasen, dass risikorelevante Informationen die verantwortlichen Entscheidungsträger schnell erreichen. Der Baseler Ausschuss verschärfte mit den bereits im Jahr 2013 veröffentlichten „Grundsätzen für die effektive Aggregation von Risikodaten und die Risikoberichterstattung“ (BCBS 239) die regulatorischen Anforderungen. Durch die MaRisk werden diese nun auch in die deutsche Aufsichtspraxis übernommen. Die BaFin hat die Anforderungen an die Datenaggregation somit erhöht, jedoch gilt das neue Modul AT 4.3.4 ausschließlich für global und anderweitig systemrelevante Institute. Gleichzeitig wird im Anschreiben der BaFin jedoch empfohlen, dass auch Institute, die nicht den Anforderungen des AT 4.3.4 unterliegen, “im wohlverstandenen Eigeninteresse prüfen”, ob mit Blick auf die Risikodatenaggregationsfähigkeit Optimierungsbedarf besteht. Dieser Hinweis bleibt damit zwar bestehen, es wird jedoch eine im Vergleich eher weiche Umsetzungsformulierung gewählt.

 

Risikoberichterstattung

Im neuen Modul BT 3 wurden die Anforderungen an die Risikoberichterstattung gebündelt. Neben neuen Anforderungen beinhaltet BT 3 auch eine Zusammenführung bestehender Berichtspflichten, die zuvor verteilt in den MaRisk zu finden waren. Weiterhin mindestens einmal pro Quartal hat die Geschäftsleitung das Aufsichtsorgan schriftlich über die Risikosituation zu informieren. Neu aufgenommen wurde die Verpflichtung der Geschäftsleitung, Informationen, die unter Risikogesichtspunkten wesentlich sind, unverzüglich an das Aufsichtsorgan weiterzuleiten. Alle Factoring- und Leasinginstitute müssen somit in der Lage sein, regelmäßige Risikoberichte zu erstellen, um bei Bedarf auch kurzfristig Risikoinformationen generieren zu können. Wichtig ist, dass die Risikoberichterstattung nicht nur nachvollziehbar und aussagefähig ist, sie muss die Risikosituation auch beurteilen und stets auf vollständigen, genauen und aktuellen Daten beruhen. Unter Berücksichtigung des Proportionalitätsprinzips können alle Factoring- und Leasinginstitute die konkrete Ausgestaltung Ihrer Berichterstattung auch weiterhin auf die jeweiligen Bedürfnisse angepasst individuell festlegen. Die Anforderung der vollständigen, genauen und aktuellen Daten ist somit relativ zu sehen, jedes Institut soll in der Qualität Informationen generieren, wie sie zur Steuerung und Überwachung der Risiken auch tatsächlich erforderlich sind. Ebenso wird eine Einschätzung der künftigen Risiken gefordert, gegebenenfalls mit Handlungsempfehlungen zur Risikoreduktion. Umsetzungsfrist für das Modul BT 3 ist der 31.10.2018.

 

Risikokultur

Die Anforderungen an eine verantwortungsvolle Unternehmensführung wurden im Rahmen der Novelle durch den Begriff der Risikokultur genauer spezifiziert. Die Grundlage hierfür ist AT 3 der MaRisk. Explizit ergänzt wurde die Forderung nach der Entwicklung, Integration und Förderung einer angemessenen Risikokultur als originäre Aufgabe und Verpflichtung der Geschäftsführung eines jeden Unternehmens. Ziel ist die Schaffung eines Risikobewusstseins auf allen Ebenen des Instituts, welches das tägliche Denken und Handeln aller Mitarbeiter prägt. Bereits im April 2014 veröffentlichte der Finanzstabilitätsrat FSB einen Leitfaden hinsichtlich der Risikokultur. Dieser gibt ein Werkzeug an die Hand, anhand dessen sich die Zuverlässigkeit und Wirksamkeit der Risikokultur im Unternehmen beurteilen lässt. Vier - nicht abschließende - Indikatoren werden hier genannt: Leitungskultur (Tone from the Top), Verantwortlichkeiten der Mitarbeiter (Accountability), offene Kommunikation und kritischer Dialog (Effective Communication and Challenge) sowie angemessene materielle und immaterielle Anreizstrukturen (Incentives). Risikokultur bedeutet, dass sich jeder einzelne im täglichen Geschäft bewusst und kritisch mit Risiken auseinandersetzt. Auf allen Ebenen müssen klare Verantwortlichkeiten festgelegt werden und den Mitarbeitern müssen Konsequenzen möglicher Verstöße bewusst sein. Hierzu ist vorab eine klare Festlegung der Unternehmensführung hinsichtlich Risikoappetit und strategischer Ziele notwendig. Es muss deutlich kommuniziert werden, welches Verhalten gewünscht ist und welches nicht. Ein Verhaltenskodex, wie er in Modul AT 5 der MaRisk nun gefordert wird, kann auch für Factoring- und Leasingunternehmen eine wichtige Hilfe darstellen.

 

Auslagerungen

In den neuen MaRisk formuliert die Aufsicht klare Erwartungen hinsichtlich den Anforderungen an die Auslagerung von Prozessen und Tätigkeiten. Im Modul AT 9 wurden diese Anforderungen zum Teil konkretisiert, neu aufgearbeitet und klargestellt. Bereits in Tz 1 wird nun klargestellt, dass zivilrechtliche Gestaltungen nicht geeignet sind, um einen Auslagerungstatbestand zu umgehen. Sowohl die Risikocontrolling- und die Compliance-Funktion als auch die Interne Revision sollen künftig möglichst in den Instituten verbleiben. Bei kleineren Unternehmen ist eine vollständige Auslagerung der Compliance-Funktion sowie Internen Revision weiterhin möglich, eine Vollauslagerung der Risikocontrolling-Funktion ist jedoch nicht zulässig. Bei einer Vollauslagerung der Compliance-Funktion und /oder der Internen Revision ist zur Sicherstellung der Aufgaben zudem ein Beauftragter zu benennen. Auslagerungen einzelner Tätigkeiten und Prozesse der Kontrollfunktionen und der Internen Revision sind für alle Institute weiterhin möglich. Im Leasing- und Factoringbereich zu beachten ist auch hier wieder das Prinzip der (doppelten) Proportionalität. Ferner wird nun auch klargestellt, dass Unternehmen bei Auslagerungen von Aktivitäten und Prozessen in Kontroll- und Kernbereichen weiterhin über ausreichend interne Kenntnisse und Erfahrungen verfügen müssen, die eine wirksame Überwachung der Dienstleistungen des Auslagerungsunternehmen gewährleisten. Für den Fall einer unbeabsichtigten und unerwarteten Beendigung eines Auslagerungsverhältnisses sind Ausstiegsprozesse festzulegen, die den ordnungsgemäßen Betrieb in den ausgelagerten Bereichen sicherstellen. Um mögliche Handlungsoptionen regelmäßig und anlassbezogen überprüfen zu können, sind im Unternehmen Prozesse zu etablieren. Sollte keine Handlungsoptionen existieren, so muss für den Fall einer unbeabsichtigten und unerwarteten Beendigung eines Auslagerungsverhältnisses ein Notfallplan existieren. Oberster Anspruch ist es, ausgelagerte Aktivitäten und Prozesse aufrecht erhalten zu können oder in angemessener Zeit wieder herstellen zu können. Eine Auslagerung darf in keinem Fall zu einer Delegation der Verantwortung der Geschäftsführung an das Auslagerungsunternehmen führen.

 

Bei größeren Instituten bzw. bei entsprechendem Umfang und Komplexität der ausgelagerten Aktivitäten ist ein zentrales Auslagerungsmanagement nun zwingend vorgesehen, um zu gewährleisten, dass eine zentrale Stelle den Gesamtüberblick über ausgelagerte Aktivitäten und Prozesse hat und die Geschäftsleitung bei der Steuerung und Überwachung der damit verbundenen Risiken unterstützen kann. Ein Bericht über die wesentlichen Auslagerungen soll der Geschäftsführung mindestens einmal jährlich zur Verfügung gestellt werden, um gegebenenfalls rechtzeitig risikomindernde Maßnahmen ergreifen zu können. Im Bereich der Factoring- und Leasingunternehmen sollte den Anforderungen an ein zentrales Auslagerungsmanagement jedoch - zumindest bei nicht zu großem Umfang und Komplexität der ausgelagerten Aktivitäten - zunächst eine eher nachrangige Bedeutung zukommen.

 

Rechtlicher Hinweis: Eine konkrete rechtliche Beratung im Einzelfall durch einen Rechtsanwalt kann durch diesen Blogbeitrag nicht ersetzt werden. Bei den redaktionellen Inhalten handelt es sich in keinem Fall um Rechtsberatungsleistungen, sondern um einen persönlichen Kommentar des Autors. Verwendete Quellen: BaFin / Bundesbank