Bilanzsumme | Einstufung |
< 30,0 Mrd. € | Weniger bedeutende Institute gem. SSM-VO[2] |
> 15,0 Mrd. € | Bedeutende Institute[3] gem. KWG oder High-Impact-LSI gem. SSM (EZB) |
< 5,0 Mrd. € | Kleine und weniger komplexe Institute[4] gem. CRR (Small and Non-Complex Institutions – SNCIs) |
Die Anzahl der Arbeitnehmer stellt ein weiteres größenbezogenes Abgrenzungskriterium dar.[5]
Bei zunehmender Größe können Institute bisher genutzte Öffnungsklauseln der MaRisk möglicherweise nicht mehr oder nur noch in geringerem Umfang nutzen. Zudem können sich Auswirkungen auf die Prüfungsintervalle der Aufsicht, den Turnus der Aufsichtsgespräche und der SREP-Festsetzung sowie die Tiefe der jährlichen Risikoanalyse ergeben.[6]
Dieser Beitrag soll einen kompakten Überblick über die Schwellenwerte für unterschiedliche Themen bieten und Transparenz erzeugen für die Anforderungen, die ab dem Erreichen neuer Größenordnungen zu berücksichtigen sind. Mit Blick auf die fließenden Grenzen des Proportionalitätsprinzips der MaRisk erfolgt zudem der Versuch einer Einordnung auf Basis von Praxisbeobachtungen.
II. Aktuelle Relevanz und Folgen für die Aufsichtsintensität
1. Fusionen und Aktivwachstum als maßgebliche Treiber
Ende 2022 wurden 1.217 Institute als LSI eingestuft.[7] Mit einem Anteil von 90 % repräsentieren vor allem Sparkassen und Genossenschaftsbanken diese Institutsgruppe.[8] In den drei vorangegangenen Jahren reduzierte sich die Gesamtzahl der LSIs um etwa zehn Prozent.[9] Diese Entwicklung ist maßgeblich auf Fusionen zurückzuführen. Solche Fusionen führen Institute nicht selten sprunghaft in neue Größenordnungen. Viele LSIs sind auch unabhängig von Fusionen in den vergangenen Jahren um bis zu 30 Prozent gewachsen.[10]
2. Abgrenzungskriterien und relevante Größenordnungen für LSI
LSIs werden direkt von der nationalen Aufsichtsbehörde beaufsichtigt und lediglich indirekt durch die EZB überwacht.[11] Dazu bildet die Aufsicht Cluster, anhand derer sie Ihre Prüfungsintensität ableitet:
- Neben der Größe (ab 5,0 Mrd. €)[12] können kleine und nicht komplexe Institute auf Basis von Komplexitätskriterien mitunter nicht mehr als SNCI eingestuft werden. Dazu gehört der Umfang der Handelsbuchtätigkeiten oder Derivatepositionen sowie der Einsatz interner Modelle zur Erfüllung der CRR-Anforderungen.[13]
- Die Definition bedeutender Institute nach dem KWG (ab 15,0 Mrd. €)[14] ist nicht mit dem Begriff bedeutende Institute in den MaRisk (ab 30,0 Mrd. €) gleichzusetzen.[15] Der einheitliche Aufsichtsmechanismus (Single Supervision Mechanism – SSM) klassifiziert Institute ab einer Bilanzsumme von 15,0 Mrd. € als High-Impact-LSI. Neben der Größe können weitere Faktoren zu einer Einstufung als HI-LSI führen. In Deutschland trifft das jedoch derzeit nur auf zwei LSIs aufgrund der Relevanz des Geschäftsmodells bzw. der grenzüberschreitenden Aktivitäten zu.[16] Der Status wird jährlich überprüft.
- Die Anzahl von Mitarbeitern stellt ein weiteres Größenkriterium dar. Bei einer Überschreitung von 500 Arbeitnehmern im Jahresdurchschnitt ergeben sich zusätzliche Anforderungen aus der CSRD.[17] Bei mehr als 1.000 Arbeitnehmern sind seit 2024 auch Vorgaben aus dem Lieferkettensorgfaltsgesetz (LkSG) zu berücksichtigen.[18]
Unabhängig von der Größe bildet der SSM auch ein Cluster für Institute mit hohen Risiken. Diese werden auf Basis der jährlichen Risikobeurteilung der nationalen Aufsicht unter Berücksichtigung der Einhaltung der Anforderungen an das Eigenkapital und die Verschuldungsquote als High-Risk-LSI (HR-LSI) klassifiziert. Die Klassifizierung erfolgt vierteljährlich und dient als internes Kriterium für die Aufsichtsintensität. Ein klares Abgrenzungskriterium, wie z. B. die Größe, besteht nicht.[19] Relevante Kriterien können z. B. die Komplexität der Geschäftsaktivitäten, die Organisationsstruktur, Konzentrationsrisiken sowie die Kapital- und Liquiditätsausstattung sein.
Im Sanierungs- und Abwicklungsgesetz (SAG) werden Institute zudem hinsichtlich ihrer Systemgefährdung abgegrenzt.[20] Neben global system-relevanten Instituten oder anderweitig systemrelevanten Instituten stuft die Behörde auch LSIs bei Erfüllung entsprechender Kriterien als potenziell systemgefährdende Institute (PSI) ein. Bei Instituten, die der SREP-Kategorie 1 (= Institute mit dem höchsten Risiko) zugehören, ist von einer Erfüllung dieser Kriterien grundsätzlich auszugehen. Die Einstufung erfolgt mindestens alle zwei Jahre durch die Abwicklungsbehörde. Neben einer qualitativen Bewertung erfolgt eine Überprüfung quantitativer Kriterien anhand eines Punktesystems. Dabei werden Indikatoren für die Größe, Verflechtung, Umfang und Komplexität der Tätigkeiten sowie Art der Geschäftstätigkeit berücksichtigt. Notwendige Informationen erhält die Aufsicht über die FINREP-Meldungen der Institute.[21]
3. Aufsichtsintensität
Die BaFin und die Deutsche Bundesbank erstellen über den aufsichtlichen Überprüfungs- und Evaluierungsprozess (Supervision Review and Evaluation Process – SREP) eine jährliche Risikoanalyse für alle LSIs. Dabei werden im Wesentlichen die Dimensionen Qualität und Auswirkungen betrachtet.
Zur Bewertung der Dimension Qualität nimmt die Aufsicht eine systematische Bewertung und Risikoeinstufung der LSIs in Bezug auf die vier nachfolgenden Elemente vor:
- Tragfähigkeit des Geschäftsmodells
- Governance und Risikomanagement
- Kapitaladäquanz
- Liquidität
Für jeden der vier Prüfbereiche vergibt die Aufsicht eine (Teil-)Note von 1 (keine/sehr geringe Risiken; stark ausgeprägtes Risikomanagement) bis 4 (hohe Risiken; schwaches Risikomanagement) und führt diese zu einer Gesamtnote zusammen.
Bei der Bewertung der Dimension Auswirkung werden die Folgen einer möglichen Solvenz- oder Liquiditätskrise auf die Stabilität des Finanzsektors betrachtet. Diese ergeben sich insbesondere aus der Größe des Instituts (= Bilanzvolumen) sowie der Art der Geschäftsaktivitäten. Hinsichtlich der Dimension Auswirkung werden die Institute ebenfalls in Kategorien (= niedrig bis hoch) eingestuft. Seit der Überarbeitung der Ausprägungen im Jahr 2022 fließt das Kriterium SNCI in die Zuordnung zu den Auswirkungsdimensionen niedrig/mittelniedrig ein, um dem Thema Proportionalität stärker Rechnung zu tragen.[22] Die nachfolgende Risikomatrix zeigt eine Aufteilung der Einstufungen der LSIs in Bezug auf die Dimensionen Qualität und Auswirkungen:
Abbildung 1: Ergebnisse der Risikoklassifizierung von LSIs in 2022 unter Aufsicht des Geschäftsbereichs Bankenaufsicht[23]
Aus den beiden Bewertungen leitet die Aufsicht das Risikoprofil des Instituts ab. Dabei erfolgt eine abschließende Kategorisierung der Institute von 1 (= Institute mit dem höchsten Risiko für das Finanzsystem) bis 4 (niedriges Risiko). In der Kategorie 1 sind neben globalen und anderen systemrelevanten Instituten auch LSIs, die aufgrund ihrer Größe und internen Organisation sowie Art, Umfang, Komplexität der Geschäfte ein erhöhtes Risiko darstellen. Bei diesen Instituten erfolgt jährlich eine ausführliche Bewertung aller SREP-Elemente. Institute der Kategorie 2 unterliegen der ausführlichen SREP-Bewertung alle zwei Jahre. Für Institute der Kategorien 3 und 4 sieht die Aufsicht einen dreijährigen Turnus vor. Anlässe für eine vorgezogene SREP-Kapitalquantifizierung können sich aus einer drastischen Verschlechterung der Risikolage oder durch eine wesentliche Veränderung der Situation (z. B. einer Fusion) ergeben.
Aus der dargestellten Kategorisierung leitet die BaFin die Intensität ihres Aufsichtsprogramms ab. Die für 2024 avisierte Einführung des neuen Risikotoleranzrahmenwerkes der BaFin und Bundesbank soll durch eine Überarbeitung der Kriterien zu einer noch stärker risikoorientierten Ausgestaltung des Aufsichtsprogramms führen. Dazu gehören die Prüfungsintervalle, der Turnus der Aufsichtsgespräche und der SREP-Festsetzung sowie die Tiefe der jährlichen Risikoanalyse.[24] Mit zunehmenden Risikoprofil lassen sich ein erhöhter Informationsbedarf der Aufsicht und eine erhöhte Erwartung an die Ausgestaltung der Risikosteuerungs- und -controllingprozesse beobachten.
III. Regulatorische Anforderungen nach Kategorie
1. Bilanzsumme über 5,0 Mrd. €
Bei einer nachhaltigen Überschreitung der Bilanzsumme von 5,0 Mrd. € entfällt der Status als SNCI, wodurch dieses Kriterium nicht mehr als Anhaltspunkt für eine proportionale Anwendung der MaRisk-Vorgaben im Kontext von „kleineren Instituten“ dient. Eine Bilanzsumme von 5,0 Mrd. € erscheint zunächst nicht viel. Mit Blick auf die kleinteilige deutsche Bankenlandschaft lässt sich jedoch festhalten, dass ein Institut damit bereits zu der rd. 13 % großen Spitzengruppe der LSIs gehört.[25]
a) Offenlegung
Neben einer detaillierten Übersicht über die Zusammensetzung und Entwicklung der Eigenmittel (z. B. Aufteilung nach Bestandteilen des harten und zusätzlichen Kern- sowie Ergänzungskapitals) sind für nicht kapitalmarktorientierte Institute ab der Größenordnung ausführliche Angaben zu den Risikomanagementzielen und dem Risikoprofil des Instituts aufzunehmen.[26] Dazu gehören z. B. Angaben über die wesentlichen Risiken sowie Informationen zur Ratingklassenstruktur. Erweiterte Offenlegungspflichten hinsichtlich der Vergütungspolitik werden unter c) aufgeführt.
b) Meldewesen
Bei Wegfall des SNCI-Status entstehen erweiterte Meldeanforderungen in Bezug auf die AMM[27] und NSFR[28]. Für die AMM sind zwei zusätzliche Meldebögen (C68 bis C69) an die Aufsicht zu übermitteln. Die Meldebögen beinhalten Angaben zu Finanzierungskonzentrationen nach Produktarten sowie Kosten für unterschiedliche Finanzierungszeiträume. Ergänzend ist die Meldung monatlich, statt vierteljährlich abzugeben.[29]
Mögliche Erleichterungsregelungen in Bezug auf die Meldung der NSFR können ebenfalls nicht mehr genutzt werden. Demnach ist die NSFR auf Basis der Meldebögen C80 und C81 (statt C82 und C83) zu melden, die einen deutlich erweiterten Meldeumfang vorsehen. Diese verfügen über ein zusätzliches Laufzeitband sowie granularere Gewichtungsfaktoren für die verfügbare und erforderliche stabile Refinanzierung.[30]
c) Institutsvergütungsverordnung
Zusätzlich zu den bereits als SNCI einzuhaltenden Vorgaben ergeben sich erweiterte Offenlegungspflichten. Demnach sind Angaben zum Gesamtbetrag aller Vergütungen sowie die Anzahl der Begünstigten der variablen Vergütung zu veröffentlichen.[31] Falls die Institute zudem nicht vom Sanierungs- und Abwicklungsgesetz befreit sind oder den vereinfachten Anforderungen unterliegen, sie erhöhte Handelsbuchtätigkeiten vorweisen oder über einen hohen Anteil an Derivatepositionen verfügen, sind zusätzlich ein Großteil (jedoch nicht alle) der besonderen Anforderungen aus der InstitutsVergV einzuhalten, die sonst nur durch bedeutende Institute i. S. des KWG zu beachten sind (vgl. Darstellung unter III. 2. b)).[32]
d) Bestellung weiterer Ausschüsse
Mit zunehmender Größe eines Instituts sowie in Abhängigkeit von der Art, Komplexität und dem Risikogehalt der Geschäfte erwartet die Aufsicht für eine ordnungsgemäße Wahrnehmung der Kontrollfunktion des Verwaltungs- oder Aufsichtsorgans die Bestellung weiterer Ausschüsse. Die Bestellung erfolgt durch das Verwaltungs- oder Aufsichtsorgan und sieht die Einrichtung eines Risiko-, Prüfungs-, Nominierungs- und Vergütungskontrollausschusses vor. Die Mitglieder müssen die zur Erfüllung der jeweiligen Ausschussaufgaben erforderlichen Kenntnisse, Fähigkeiten und Erfahrungen haben und fachlich in der Lage sein, die Geschäftsleiter angemessen zu überwachen. Die Ausschüsse haben eine beratende Funktion und unterstützen das Aufsichtsorgan bei der Überwachung der Umsetzung der Strategie.
Der Risikoausschuss wacht darüber, dass Konditionen im Kundengeschäft mit dem Geschäftsmodell und der Risikostruktur des Unternehmens im Einklang stehen. Er selbst bestimmt Art, Umfang, Format und Häufigkeit der Informationen, die die Geschäftsleitung zum Thema Strategie und Risiko vorlegen muss. Der Prüfungsausschuss unterstützt bei der Überwachung des Rechnungslegungsprozesses sowie der Wirksamkeit des Risikomanagementsystems und der Internen Revision. Der Risiko- und Prüfungsausschuss kann unter bestimmten Voraussetzungen auch gemeinsam gebildet werden. Der Nominierungsausschuss hilft u. a. dabei, regelmäßig eine Bewertung der Kenntnisse, Fähigkeiten und Erfahrung der einzelnen Geschäftsleiter und Mitglieder des Verwaltungs- oder Aufsichtsorgans vorzunehmen. Der Vergütungskontrollausschuss unterstützt bei der angemessenen Ausgestaltung der Vergütungssysteme des Instituts für Geschäftsleiter. Dies umfasst z. B. die Vorbereitung der Beschlüsse zur Festsetzung des Gesamtbetrags der variablen Vergütungen.[33]
Während ausgewählte Bundesländer z. B. über Sparkassengesetze explizite Vorgaben zur Einrichtung von Risikoausschüssen machen[34], gilt für die Vielzahl der LSIs der Grundsatz der Proportionalität.[35] Die Offenlegungsberichte von Sparkassen und Genossenschaftsbanken lassen diesbezüglich kein einheitliches Muster erkennen. Institute sollten sich gezielt mit der Frage auseinandersetzen, ob der Verzicht auf die Einrichtung ausgewählter Ausschüsse unter den oben geschilderten Proportionalitätsgesichtspunkten angemessen ist. Dabei erscheint es wichtig, dass die internen Risikosteuerungs- und -controllingprozesse konsistent zur Entscheidung über die Notwendigkeit der Einrichtung eines Risikoausschusses ausgestaltet sind.
2. Bilanzsumme über 15,0 Mrd. €
a) Bestellung weiterer Ausschüsse und zusätzliche Mandatsbeschränkungen
Die Aufsicht sieht für bedeutende Institute eine ordnungsgemäße Wahrnehmung der Kontrollfunktion des Verwaltungs- oder Aufsichtsorgan zwingend durch die Bestellung eines Risiko-, Prüfungs-, Nominierungs- und Vergütungskontrollausschusses vor.[36] Eine Darstellung der jeweiligen Aufgaben und der Anforderungen zur Zusammensetzung findet sich im vorherigen Abschnitt.
Geschäftsleiter sowie Mitglieder von Verwaltungs- oder Aufsichtsorganen müssen der Wahrnehmung ihrer Aufgaben ausreichend Zeit widmen. Daher sind zusätzliche Mandatsbeschränkungen zu beachten. Beispielsweise dürfen Geschäftsleiter nur über maximal zwei Mandate in Verwaltungs- oder Aufsichtsorganen verfügen. Auch für Mitglieder der Verwaltungs- und Aufsichtsorgane ist die Anzahl an Mandaten mit bis zu vier begrenzt. Mandate, die bereits vor der Einstufung als bedeutendes Institut bestanden haben, dürfen bestehen bleiben („Altmandatsschutz“). Unter diese Regelung fällt auch eine Verlängerung der Mandate durch Wiederwahl bzw. Wiederbestellung.[37]
b) Besondere Anforderungen aus der Institutsvergütungsverordnung
Bedeutende Institute müssen zusätzlich die besonderen Anforderungen der InstitutsVergV beachten. Diese sehen eine vollumfängliche Risikoträgeridentifizierung vor. Auf Grundlage einer Risikoanalyse sind weitergehende Kriterien zugrunde zu legen, nach denen z. B. Personen mit Managementverantwortung (z. B. Finanzen oder Personal) als Risikoträger einzustufen sind.[38] Auch die komplexen Anforderungen bei der Erfolgsmessung und Auszahlung der variablen Vergütung sind zusätzlich anzuwenden.[39] Ausnahmen gelten für Risikoträger, deren variable Vergütung unter 50 T€ liegt und deren Anteil nicht mehr als ein Drittel der Gesamtjahresvergütung beträgt.[40]
Neben der Bestellung eines Vergütungskontrollausschuss durch das Aufsichts- oder Verwaltungsorgan hat die Geschäftsleitung zudem einen Vergütungsbeauftragten zu bestellen. Der Vergütungsbeauftragte ist für die Überprüfung der Angemessenheit der Vergütungssysteme zuständig und benötigt ausreichende Kenntnisse und Erfahrungen im Bereich der Vergütungssysteme und des Risikocontrollings.[41]
c) Stärkere Überwachung durch die Aufsicht
Die nationalen Aufsichtsbehörden sind verpflichtet, die EZB über wesentliche Aufsichtsverfahren und Aufsichtsbeschlüsse zu informieren, die sie in Bezug auf diese Institute durchführen oder zu erlassen beabsichtigen.[42] Wenngleich sich durch die Regelungen keine direkten zusätzlichen Anforderungen für die Institute ergeben, verdeutlicht dies den verstärkten Fokus der Aufsicht. Konkret sichtbar wird das durch die verstärkte Einbeziehung größerer LSIs bei anlass- oder themenspezifischen Umfragen der deutschen Aufsicht (z. B. 2019 zum Thema ILAAP oder 2021 in Bezug auf Klima- und Umweltrisiken). Zudem geht die Aufsicht im Rahmen des SREP verstärkt risikoorientiert vor und bestimmt die Tiefe der Analyse in ausgewählten Themengebieten jährlich neu.[43]
Erfahrungswerte zeigen bei HI-LSI einen erhöhten Turnus für Aufsichtsgespräche unter Hinzuziehung von Vorsitzenden des Aufsichtsorgans sowie der Leitung der Internen Revision. Zudem wird regelmäßig die Zusendung der Risikoberichte verlangt. Implizit lässt sich eine erhöhte Erwartungshaltung an die Umsetzung von aufsichtsrechtlichen Vorgaben ableiten, so dass betroffene LSIs dies für die proportionale Anwendung entsprechender Regelungen der MaRisk im Kontext der „Größe“ berücksichtigen sollten (vgl. auch Abschnitt IV.).
3. Erreichung einer Mindestanzahl von Arbeitnehmern
a) Institute mit über 500 Arbeitnehmern
Kreditinstitute haben ihren Lagebericht um eine nichtfinanzielle Erklärung zu erweitern, sofern im Jahresdurchschnitt über 500 Arbeitnehmer beschäftigt sind.[44] Dazu gehören z. B. die Beschreibung des Geschäftsmodells sowie zusätzliche Angaben zu Umwelt- und Klimarisiken (u. a. Treibhausgasemissionen, Wasserverbrauch, Arbeitsbedingungen).[45]
Durch die EU-Richtlinie CSRD wird die nichtfinanzielle Erklärung in Nachhaltigkeitsberichterstattung umbenannt. Der Anwendungsbereich und der Umfang der bisherigen Berichterstattung haben sich zudem deutlich erweitert. Als Grundlage für die Nachhaltigkeitsberichterstattung ist eine Analyse zur Identifizierung der wesentlichen Auswirkungen der Tätigkeiten des Instituts auf Menschen, Umwelt und Unternehmen vorzunehmen. Dies impliziert die Fragestellung, wie sich der Klimawandel auf die Entwicklung, Leistung und Lage des Unternehmens auswirkt. Die Pflicht zur Umsetzung der neuen Inhalte gilt für die Geschäftsjahre ab dem 01. Januar 2024.[46]
b) Institute mit über 1.000 Arbeitnehmern
Die Sorgfaltspflichten aus dem Lieferkettengesetz (LkSG) gelten seit Beginn des Jahres 2024 auch für Unternehmen mit über 1.000 Arbeitnehmern[47] (zuvor: 3.000 Arbeitnehmer). Daraus entstehen umfangreiche Sorgfaltspflichten, u. a. in Bezug auf die
- Durchführung einer jährlichen Risikoanalyse
- Festlegung von Präventions- und Abhilfemaßnahmen
- Einrichtung unternehmensinterner Beschwerdeverfahren sowie
- Dokumentations- und Berichtspflichten[48]
4. Art, Komplexität und Risikogehalt der Geschäftstätigkeit als weitere Kriterien
Neben der Größe eines Instituts bestehen weitere Kriterien, aus denen die Aufsicht ihre Erwartungshaltung an die Umsetzung aufsichtsrechtlicher Vorgaben ableitet. Während die dargestellten Größenordnungen als Orientierung für eine angemessene (proportionale) Umsetzung der MaRisk dienen, sind die Anforderungen entsprechend Art, Komplexität und Risikogehalt der Geschäftsaktivitäten vergleichsweise intransparent und können nur aus Beobachtungspunkten gewonnen werden, die wiederum nicht immer eindeutig sind.
Die Ergebnisse aus dem regelmäßigen SREP-Prozess können den Instituten eine Orientierung für die Ausgestaltung ihrer Risikosteuerungs- und -controllingprozesse geben. Auf Basis der Gesamteinschätzung (siehe auch Kapitel „Aufsichtsintensität“) wird der Turnus für eine umfassende Bewertung aller SREP-Elemente abgeleitet. Aus einem jährlichen Turnus kann z. B. eine engere Auslegung des Proportionalitätsprinzips abgeleitet werden.
Die umfassende Bewertung meint den Prozess zur SREP-Kapitalquantifizierung, bei dem institutsindividuell ein Kapitalzuschlag fixiert wird.[49] Dieser setzt sich aus der Höhe der Zinsänderungsrisiken im Anlagebuch sowie den weiteren wesentlichen Risiken, die nicht bereits durch die Säule-1-Eigenmittelanforderungen abgedeckt sind, zusammen. Zudem vergibt die Aufsicht Risikoprofilteilnoten für das Zinsänderungsrisiko im Anlagebuch, die Interne Governance sowie den ICAAP (1 = keine erkennbaren Risiken, 4 = hohes Risiko), die maßgeblichen Einfluss auf die Höhe des SREP-Kapitalzuschlags haben. Die Zuordnung der Risikoprofilnoten erfolgt auf Basis einer Gesamtwürdigung der nachfolgenden Informationen:
- Kennzahlen des Meldewesens (z. B. FinaRisikoV, COREP, LCR/NSFR)
- LSI-Stresstest
- Erkenntnisse aus den laufenden Aufsichtsgesprächen
- Ergebnissen aus aufsichtlichen Prüfungen (§ 44 KWG) und
- Prüfungsberichte der Wirtschaftsprüfer[50]
Die konkreten Kriterien für die Zuordnung sind nicht determiniert. Auf Basis der Kennzahlen des Meldewesens und den Ergebnissen des LSI-Stresstests lassen sich jedoch Aussagen zur Nachhaltigkeit des Geschäftsmodells und implizit auch zur Qualität des Risikomanagements ableiten. Die Ergebnisse aus aufsichtlichen Prüfungen gemäß § 44 KWG sowie der regelmäßigen Prüfungsberichte der Wirtschaftsprüfer sind ebenfalls von hoher Relevanz für die Festlegung der Risikoprofilnoten und werden maßgeblich von der institutsindividuellen Ausgestaltung der Risikosteuerungs- und -controllingprozesse beeinflusst.
IV. Einordnung des Proportionalitätsgrundsatzes
Die MaRisk beinhalten eine Vielzahl von Öffnungsklauseln, die den Instituten eine individuelle Ausgestaltung ihres Risikomanagements ermöglichen. Als Anhaltspunkte für die institutseigene Umsetzung können die dargestellten Größenordnungen und Kriterien dienen, wenngleich die MaRisk „fließende Grenzen“ vorsehen. Die nachfolgende Einordung bietet eine Orientierung für die kritische Reflektion ausgewählter Öffnungsklauseln.[51]
1. Geschäfts- und Risikostrategie inkl. Geschäftsmodellanalyse
Auf Basis der Geschäfts- und Risikostrategie formuliert das Aufsichtsorgan die Vorgaben für die Geschäftstätigkeit. Die inhaltlichen Anforderungen der Aufsicht an die Ausgestaltung der Strategien richten sich proportional nach dem Gesamtrisikoprofil der Institute.[52] Die Darstellung strategischer Ziele und Maßnahmen in der Geschäftsstrategie muss hinreichend konkret formuliert sein.[53] Wenngleich die Festlegung des Risikoappetits in der Risikostrategie in vielfacher Weise zum Ausdruck gebracht werden kann, ist auf eine angemessene Überprüfbarkeit (und somit auch Konkretisierung) zu achten.
Der Detaillierungsgrad ist so festzulegen, dass aus der Strategie die Eckpunkte für die mittelfristige Unternehmensplanung angemessen abgeleitet werden können. Kleinere LSIs integrieren ihre Risikostrategie häufig in die Geschäftsstrategie. Größere LSIs erstellen hingegen oft Teilstrategien für ihre wesentlichen Risiken. Losgelöst vom reinen Umfang der Strategien ist auf eine verständliche und verbindliche Formulierung der Strategien zu achten. Bewährt hat sich eine Festlegung der Ziele nach dem SMART-Prinzip (spezifisch, messbar, anspruchsvoll, realistisch und terminiert). Dazu sollten Institute zwischen kurz-, mittel- und langfristigen Zielen unterscheiden.
Hinsichtlich der Zielvorgaben ist die Festlegung geeigneter KPIs als zentrale Steuerungsgröße elementar. Neben qualitativen Zielen sind auch quantitative Ziele zu nennen (z. B. Mindestwerte für die EK-Rendite oder Kapitalkennzahlen). Zur Sicherstellung eines nachhaltigen Geschäftsmodells legt die Aufsicht bei Geschäftsmodellprüfungen ein verstärktes Augenmerk auf die Betrachtung von Rendite-/Risikorelationen und die Steuerungsebenen. Über adäquate Steuerungskennzahlen, wie z. B. den RORAC[54], können Institute den Nachweis für eine angemessene Steuerung der Gesamtbank und eine damit einhergehende Nachhaltigkeit des Geschäftsmodells erbringen. Strategische Zielvorgaben werden auf Ebene von Einzelgeschäften oder auf übergeordneter Ebene gemacht. Während kleine Institute ihre Limite regelmäßig auf Gesamtbankebene oder auf Ebene der einzelnen Risikoarten festlegen, steuern größere Institute granularer über Limitvorgaben auf Ebene von Geschäftsfeldern oder Kundengruppen.
2. Ausgewählte Risikosteuerungs- und -controllingprozesse
Neben den Zielvorgaben für die Strategie über KPIs stehen Institute vor der Herausforderung, ein geeignetes Set von Frühwarnschwellen für eine zeitnahe Identifizierung von Risiken zu definieren.[55] Das Früherkennungssystem sollte grundsätzlich die in der Risikoinventur identifizierten, wesentlichen Risikoindikatoren umfassen. Neben quantitativen und qualitativen Indikatoren (z. B. Ratingveränderungen oder negative Pressemitteilungen) sind Erkenntnisse aus den Stresstests und der Kapitalplanung zu berücksichtigen. Es sind nicht zwingend komplex konstruierte Indikatoren festzulegen. Auch einfache Indikatoren können die erwünschte Steuerungswirkung entfalten[56], sofern sie eine Relevanz in Bezug auf die festgelegten Zielwerte haben.
Die Inhalte der Risikoberichterstattung an die Geschäftsleitung sind grundsätzlich durch die MaRisk vorgegeben.[57] In Bezug auf die Darstellung und Beurteilung der Risikosituation sowie der Berücksichtigung von ESG-Risiken ergeben sich Auslegungsspielräume. Durch fehlende (konkrete) Vorgaben für die Berichterstattung über die Geschäftslage besteht hier ebenfalls Gestaltungsfreiheit. Für die Berichterstattung an das Aufsichtsorgan bestehen auch in Bezug auf die Risiken keine detaillierten Vorgaben. Neben der Information über die Geschäftslage und Risikosituation inkl. vorhandener Risikokonzentrationen wird lediglich eine Darstellung und Beurteilung der Risikosituation gefordert. Dabei ist u. a. auf besondere Risiken für die Geschäftsentwicklung und dafür geplante Maßnahmen einzugehen.[58] Mit zunehmender Größe des Instituts und steigernder Komplexität der Geschäftsaktivitäten ist von einer erhöhten Informationspflicht (in Bezug auf Turnus und Detailtiefe der Berichterstattung) auszugehen. Wichtig ist die Sicherstellung einer angemessenen Überwachung der strategischen Vorgaben und eine konsistente Ausrichtung zur jährlichen Risikoinventur und Risikotragfähigkeit sowie zur Entscheidung über die Einrichtung eines Risikoausschusses.
Die Ausgestaltung der Stresstestkonzeption (inkl. Turnus) und die Detailtiefe der durchzuführenden Ermittlungen ist abhängig vom Gesamtrisikoprofil des Instituts.[59] Davon beeinflusst sind die Stresstests in der normativen und ökonomischen Perspektive der Risikotragfähigkeit. Dies betrifft zum einen die Ausgestaltung übergeordneter Szenarien, zum anderen aber auch die Durchführung von Sensitivitätsanalysen und inversen Stresstests. Als Ergänzung der sonstigen Stresstests können inverse Stresstests qualitativ oder quantitativ erfolgen.[60] Somit kann institutsindividuell festgelegt werden, ob z. B. für jede wesentliche Risikoart bzw. wesentlichen Risikofaktor inverse Stresstest durchzuführen sind oder ob auch eine quantitative Ermittlung risikoartenübergreifender Stresstests ausreichend ist.
In Abhängigkeit von der Komplexität der Methoden und Verfahren, der zugrundeliegenden Annahmen, Parameter oder einfließenden Daten ist zudem die Validierungstiefe zu bestimmen. Von zentraler Bedeutung ist der Umgang mit identifizierten Grenzen und Beschränkungen.[61] Hierbei sollten sich die Institute gemäß dem Proportionalitätsprinzip folgende Fragen stellen:
- Unter welchen Umständen sind eine qualitative Auseinandersetzung und Akzeptanz der Grenzen vertretbar?
- Ab wann sollten Risikoaufschläge in der Risikotragfähigkeit berücksichtigt werden?
- Ist eine pauschale Festlegung von Management Adjustments vertretbar oder eine weitergehende Herleitung bzw. Modellierung/Quantifizierung notwendig?
3. Corporate Governance
Die Corporate Governance gibt den rechtlichen und faktischen Rahmen für eine verantwortungsvolle Unternehmensführung vor und definiert, wie ein Unternehmen geleitet und überwacht werden. Zentraler Bestandteil ist die Sicherstellung einer angemessenen Funktionstrennung zur Vermeidung von Interessenkonflikten. Dies ist bei kleineren Instituten manchmal schwer umzusetzen. Daher bestehen in den MaRisk z. B. Erleichterungsregeln zur Wahrung der Funktionstrennung zwischen Marktbereichen und marktunabhängigen Bereichen. Als maßgebliches Größenkriterium nennen die MaRisk explizit die Anzahl der Geschäftsleiter (maximal drei).[62] Bei diesen LSIs ist die aufbauorganisatorische Trennung betroffener Bereiche regelmäßig nur bis zur zweiten Geschäftsebene einzuhalten. Unter Einhaltung bestimmter Voraussetzungen kann zudem die Leitung der Risikocontrolling-Funktion auf der dritten Geschäftsebene angesiedelt werden.[63] Hinsichtlich der aufbauorganisatorischen Zuordnung der Compliance-Funktion entfallen mit zunehmender Größe Gestaltungsmöglichkeiten und die Erwartungshaltung in Bezug auf die Einrichtung eines zentralen Auslagerungsmanagements steigt.[64]
Neben der Aufbaustruktur rückt die Risikokultur zunehmend in den Fokus der Bankenaufseher. Dies unterstreicht die Konkretisierung in der 7. MaRisk-Novelle sowie die für 2024 angekündigte Überarbeitung der EBA-Leitlinien zur Governance und Risikokultur.[65] In Abhängigkeit von der Größe sowie der Art, dem Umfang, der Komplexität und dem Risikogehalt der Geschäftsaktivitäten wird ein eigener Verhaltenskodex für Mitarbeitende gefordert.[66] Für die Entwicklung, Förderung und Integration einer angemessenen und nachhaltigen Risikokultur haben sich ab einer repräsentativen Anzahl von Mitarbeitern Umfragen und Führungskräfteworkshops als sinnvolle Maßnahmen erwiesen. Umfragen sind zudem eine geeignete Ausgangsbasis für „smarte“ Zielvorgaben in der Risikostrategie. Eine angemessene Risikokultur setzt ein gemeinsames Verständnis in Bezug auf das Eingehen von Risiken sowie die damit verbundene Sachkunde, insbesondere in den Schlüsselpositionen und im Aufsichtsorgan der Institute, voraus. Die Aufsicht erkennt hier zunehmend Defizite. Beispielsweise ist in der Praxis nicht selten zu beobachten, dass bedeutende Themen (z. B. Strategie, Risikoberichterstattung) nicht kritisch diskutiert werden bzw. keine eingreifenden Rückfragen seitens der Mitglieder im Aufsichtsorgan gestellt werden.
4. Anforderungen an die Erstellung einer Sanierungs- und Abwicklungsplanung
Ziel von Sanierungsplänen ist die schnelle Wiederherstellung der Überlebensfähigkeit in schweren Stresssituationen.[67] Potenziell systemgefährdende Institute sind dazu verpflichtet, einen vollumfänglichen Sanierungsplan zu erstellen. Die BaFin teilt den betroffenen Instituten vor Ablauf des Jahres mit, welche Mindestinformationen sie im Folgejahr zum Einreichungstermin zu übermitteln haben.[68] Für die überwiegende Anzahl der LSIs, die als nicht potenziell systemgefährdend eingestuft sind, gelten vereinfachte Anforderungen.[69]
Die konkrete Ausgestaltung der Sanierungspläne ist jedoch auch bei vereinfachten Anforderungen abhängig von der Größe des Instituts sowie von Art, Umfang und Komplexität des Geschäftsmodelles und des damit einhergehenden Risikos.[70] Grundsätzlich ist mindestens ein Sanierungsindikator je Mindestkategorie (Kapital, Liquidität, Rentabilität und Qualität der Vermögenswerte) aufzunehmen. Die Sanierungsindikatoren und Schwellenwerte sind dabei so zu wählen, dass u. a. die Größe eines Instituts angemessen abgebildet wird.[71] Indikationen hinsichtlich des Detaillierungsgrads ergeben sich aus den bereits dargestellten Anhaltspunkten für die Auslegung des Proportionalitätsprinzips.
Kommt es trotz einer angemessenen Sanierungsplanung zu einer Gefährdung der Überlebensfähigkeit eines Instituts, ist zur Vermeidung negativer Auswirkungen auf die Finanzstabilität sowie zum Schutz der Einleger eine angemessene Abwicklung erforderlich. Die dafür vorgesehene Abwicklungsplanung erfolgt nicht durch das Institut selbst, sondern durch die BaFin als „Abwicklungsbehörde“. Die erforderlichen Inhalte werden im Zuge einer (mehrjährigen) Planung erarbeitet. Die BaFin hat hierbei die Möglichkeit, vereinfachte Anforderungen im Hinblick auf den Inhalt und Detaillierungsgrad der Abwicklungspläne festzulegen. Auch hinsichtlich des Zeitrahmens und der Aktualisierungsfrequenz der Pläne, des Inhalts und Umfangs der von den Instituten geforderten Informationen und des Detailgrads der Abwicklungsfähigkeitsprüfung macht die BaFin Abstufungen.[72] Bei HI-LSI sowie HR-LSI ist grundsätzlich von einer erhöhten Informationsbereitstellung auszugehen.
V. Ausblick
Die von BaFin und Bundesbank angekündigte neue Strategie für eine stärker risikoorientierte Ausgestaltung des Aufsichtsprogramms wird zukünftig eine Teilkomponente der Proportionalität in der Bankenaufsicht neu mit Inhalt füllen. Durch die Veränderung der Zuordnungskriterien will die Aufsicht Sparkassen und Banken mit niedrigem Risikoprofil künftig weniger intensiv überwachen. Bei Instituten mit einem höheren Risikoprofil ist hingegen von einer erhöhten Anzahl routinemäßiger Sonderprüfungen auszugehen. Aufgrund der Komplexität ausgewählter Geschäftsmodelle (z. B. Autobanken, Bausparkassen) richtet die Aufsicht zudem Kompetenzzentren zur Bündelung ihrer Expertise ein.[73] Letztendlich betrifft der noch für 2024 zu erwartende neue Risikotoleranzrahmen aber nur die Komponente der Aufsicht zur Festlegung ihrer Prüfungsintensität und ihrer eigenen organisatorischen Aufstellung.
Umso wichtiger erscheint es für die Institute, eine klare Vorstellung von ihrer eigenen Positionierung zu haben. Je besser die Risikokultur eines Instituts ausgeprägt ist, desto weniger Anlass gibt es für die Aufsicht, erhöhte Risiken zu vermuten. Das bietet den Instituten in 2024 Anlass zur kritischen Selbstreflexion einer angemessenen und konsistenten Anwendung des Proportionalitätsprinzips.
PRAXISTIPPS
- Kritische Reflektion der in Anspruch genommenen Öffnungsklauseln aufgrund „fließender Grenzen“ in den MaRisk, ggf. gezielte Überarbeitung ausgewählter Prozesse und Richtlinien.
- Zeitnahe Auseinandersetzung mit zusätzlichen Anforderungen bei Erreichen von Schwellenwerten (5,0 Mrd. €/15,0 Mrd. € bzw. 500/1.000 Arbeitnehmer).
Abbildung 2: Bandbreite der Proportionalität – Ein Überblick für LSIs
[1] Vgl. Deutsche Bundesbank, Monatsbericht Oktober 2017.
[2] Vgl. EZB, LSI-Aufsicht und -Überwachung.
[3] Bei durchschnittlicher Überschreitung der Schwelle in den letzten vier Jahren.
[4] Bei durchschnittlicher Überschreitung der Schwelle in den letzten vier Jahren.
[5] Vgl. § 340a KWG sowie § 1 Abs. 1 LkSG.
[6] Vgl. Jahresbericht 2022 der BaFin, S. 41.
[7] Vgl. Jahresbericht 2022 der BaFin, S. 41.
[8] Vgl. Ranglisten der Sparkassen und Genossenschaftsbanken aus 2022.
[9] Vgl. Jahresberichte 2019 (S. 64) und 2022 (S. 41) der BaFin.
[10] Vgl. Ranglisten der Sparkassen und Genossenschaftsbanken aus den Jahren 2018 und 2022.
[11] Vgl. Bankingsupervision.europa.eu/banking/lsi/html/index.de.html
[12] Bei durchschnittlicher Überschreitung der Schwelle in den letzten vier Jahren.
[13] Vgl. Artikel 4 Abs. 1 Nr. 145 CRR.
[14] Bei durchschnittlicher Überschreitung der Schwelle in den letzten vier Jahren.
[15] Vgl. AT 1 Tz. 6 MaRisk.
[16] Vgl. EZB-Jahresbericht zur Aufsichtstätigkeit 2022.
[17] Vgl. BaFin, Nachhaltigkeitsberichterstattung – CSRD, 20.12.2023 sowie § 340a Abs. 1a HGB i. V. m. § 267 Abs. 3 HGB.
[18] Vgl. § 1 Abs. 1 LkSG.
[19] Vgl. EZB, LSI-Aufsicht und -Überwachung.
[20] Vgl. § 20 Abs. 1 SAG i. V. m. § 12 KWG.
[21] Vgl. DelVO (EU) 2019/348 der Kommission v. 25.10.2018.
[22] Vgl. Jahresbericht 2022 der BaFin, S. 40 f. i. V. m. Dt. Bundesbank, Monatsbericht Oktober 2017.
[23] Vgl. Jahresbericht 2022 der BaFin, S. 42.
[24] Vgl. Jahresbericht 2022 der BaFin, S. 41 i. V. m. Monatsbericht der BaFin aus Oktober 2017, S. 40 f.
[25] Anzahl der LSI mit einer Bilanzsumme > 5 Mrd. € aus den Ranglisten der Sparkassen und Genossenschaftsbanken.
[26] Vgl. Art. 433c CRR i. V. m. Art. 435 Abs. 1 a, e und f sowie Art 437a CRR.
[27] AMM = Additional Monitoring Metrics for Liquidiy Reporting.
[28] NSFR = Net Stable Funding Ratio.
[29] Vgl. Art. 18c der Durchführungsverordnung (EU) 2022/1994.
[30] Vgl. Art. 428ai CRR i. V. m. Durchführungsverordnung (EU) 2021/451, Anhang XII.
[31] Vgl. §16 Abs. 2 InstitutsVergV.
[32] Vgl. §1 Abs. 3 S. 2 InstitutsVergV i. V. m. §§ 18, 19 Abs. 1 S. 1 und 2, Abs. 2 und 3, § 20 Abs. 1 und 3–6 sowie die §§ 21 und 22.
[33] Vgl. §25d KWG i. V. m. BaFin Merkblatt v. 24.06.2021, S. 28 ff.
[34] Vgl. §14a SpkG Schleswig-Holstein.
[35] Vgl. § 25d Abs. 7 KWG.
[36] Vgl. § 25d Abs. 7 KWG.
[37] Vgl. § 25d Abs. 3 KWG i. V. m. BaFin Merkblatt v. 24.06.2021, S. 36 ff.
[38] Vgl. § 25a Abs. 5 KWG i. V. m. Art. 5 u. 6 der DelVO (EU) 2021/923 und Dt. Bundesbank, Monatsbericht Oktober 2021, S. 91.
[39] Vgl. §§ 18 bis 22 InstitutsVergV.
[40] Vgl. § 18 Abs. 1 InstitutsVergV.
[41] Vgl. §§ 23 bis 26 InstitutsVergV.
[42] Vgl. EZB-Jahresbericht zur Aufsichtstätigkeit 2022.
[43] Vgl. EZB-Jahresbericht zur Aufsichtstätigkeit 2022.
[44] Vgl. § 340a HGB i. V. m. § 267 Abs. 3 HGB.
[46] Vgl. BaFin, Nachhaltigkeitsberichterstattung – CSRD v. 20.12.2023.
[47] Vgl. § 1 Abs. 1 LkSG.
[48] Vgl. § 3 bis 10 LkSG.
[49] Vgl. BaFin, Supervisory Review and Evaluation Process (SREP).
[50] Vgl. Deutsche Bundesbank, Monatsbericht Oktober 2017, S. 47 ff.
[51] Vgl. AT 1, Tz 5 MaRisk.
[52] Vgl. AT 4.2, Tz. 4 MaRisk.
[53] Vgl. AT 4.2, Tz. 1 (Erläuterungen) MaRisk.
[54] RORAC = Return on Risk Adjusted Capital.
[55] Vgl. AT 4.3.2, Tz. 2 MaRisk.
[56] Vgl. BaFin v. 26.04.2021, S. 4.
[58] Vgl. BT 3.1 Tz. 5 MaRisk.
[59] Vgl. AT 4.3.3 Tzn. 1–3 MaRisk.
[60] Vgl. AT 4.3.3 Tz. 4.
[61] Vgl. AT 4.1 Tzn. 8–10 MaRisk.
[62] Vgl. AT 4.4.1 Tz. 4 MaRisk.
[63] Vgl. AT 4.4.1 Tz. 4 MaRisk.
[64] Vgl. AT 4.4.2 Tz. 2 i. V. m. AT 9 Tz. 12 MaRisk sowie BaFin, Protokoll zur Sondersitzung des Fachgremiums MaRisk am 15.03.2018, S. 5 f.
[65] Vgl. Börsen-Zeitung, 20.09.2023.
[66] Vgl. AT 5 Tz. 3g) MaRisk.
[67] Vgl. EZB, Sanierungspläne.
[68] Vgl. BaFin, Abwicklungsplanung und Abwicklungsfähigkeitsprüfung.
[70] Vgl. § 13 Abs. 1 SAG.
[71] Vgl. § 7 Abs. 3–4 MaSanV i. V. m. BaFin, Sanierungsplanung nach vereinfachten Anforderungen gem. § 19 SAG, 19.10.2023.
[72] Vgl. § 7 Abs. 3-4 MaSanV i. V. m. BaFin, Sanierungsplanung nach vereinfachten Anforderungen gem. §19 SAG, 19.10.2023.
[73] Vgl. Osman, Handelsblatt, 09.08.2023.