Der Eindruck, dass mit der „MaRisk-Konformität“ sämtliche Anforderungen an das Risikomanagement einer Bank oder Sparkasse erfüllt seien, ist weitverbreitet, aber unzutreffend. Insbesondere die Quantifizierung nicht finanzieller Risiken erfordert einige Ergänzungen.
Ganzheitliches Risikomanagement in Banken und Sparkassen sollte dazu beitragen, den Nebel zu lichten, um gute Entscheidungen zu treffen.
Partner des Bank Blogs
Das Risikomanagement der Kreditinstitute orientiert sich an MaRisk bzw. § 25a KWG und die Umsetzung der entsprechenden Anforderungen wird staatlicherseits konsequent geprüft. Der Eindruck, dass mit der „MaRisk-Konformität“ sämtliche Anforderungen an das Risikomanagement erfüllt seien, trifft jedoch nicht zu. Nachfolgend werden einige Problemfelder thesenförmig knapp zusammengefasst.
Bestandsgefährdende Entwicklungen durch „beliebige“ Risiken
Gemäß §91 AktG (KonTraG) wird gefordert, dass Unternehmen mögliche „bestandsgefährdende Entwicklungen“ früh erkennen müssen. Solche bestandsgefährdenden Entwicklungen ergeben sich im Allgemeinen durch „irgendwelche“ Kombinationseffekte von Risiken, was eine Analyse und Aggregation sämtlicher Risiken – unabhängig davon inwieweit diese z.B. in den MaRisk thematisiert werden – analysiert und aggregiert werden.
Relevant sind damit auch Risiken, wie z.B. die Bedrohung von Erfolgspotenzialen, CSR-Risiken oder schlicht rückläufige Erlöse durch den Verlust von Kunden oder ganzen Kundensegmenten (eine Risikokategorie, die bei Industrieunternehmen sehr intensiv, bei Banken aber vergleichsweise wenig im Risikomanagement beachtet wird).
Die einzige Möglichkeit, um beliebige Risiken mit Bezug auf die Unternehmensplanung zu aggregieren, um bestandsgefährdende Entwicklungen zu finden, ist zudem eine Monte-Carlo-Simulation. Analytische Lösungen, wie Varianz-Kovarianz-Modelle, sind nur eingeschränkt aussagefähig und ihr Einsatz kann dazu führen, dass an sich mittels Monte-Carlo-Simulation erkennbare „bestandsgefährdende Entwicklungen“ übersehen werden.
Sachgerechte Quantifizierung sämtlicher Risiken
Um bestandsgefährdende Entwicklungen aus quasi beliebigen Kombinationen von Risiken erfassen zu können, ist eine sachgerechte Quantifizierung sämtlicher Risiken mit finanziellen Auswirkungen erforderlich. Dazu gehören auch Extremrisiken, wie die COVID-19-Pandemie 2020, deren Wahrscheinlichkeit bei 0,1 Prozent bis 1 Prozent pro Jahr liegt. Zudem sind z.B. auch die finanziellen Auswirkungen strategischer Risiken, wie z.B. der Bedrohung von Erfolgspotenzialen, oder Risiken aus Projekten und dem Feld Corporate Social Responsibility (CSR) ausgehend von den besten verfügbaren Informationen zu quantifizieren.
Für die Erfüllung der Anforderungen nach KonTraG sind grundsätzlich die besten verfügbaren Informationen über ein Risiko bei der Quantifizierung heranzuziehen, was auch transparente aufbereitete subjektive Expertenschätzungen sein können. Entsprechend sind z.B. auch die finanziellen Auswirkungen von strategischen Risiken, wie den möglichen Verlust von Marktsegmenten durch innovative digitale Geschäftsmodelle von FinTechs, bei der Beurteilung des Grads der Bestandsgefährdung im Sinne §91 AktG zu berücksichtigen. Die Erosion der Geschäftsmodelle – oder Teile von diesen – bei vielen europäischen Kreditinstituten, zeigt die Relevanz dieser Anforderungen.
Präzisierungen zur Business Judgement Rule
Aus den Präzisierungen zur Business Judgement Rule (§93 AktG) folgt, dass bei jeder „unternehmerischen Entscheidung“ beweisbar „angemessene Informationen“ vorliegen müssen. Da die Auswirkungen unternehmerischer Entscheidungen unsicher sind, ist in den Entscheidungsvorlagen für die Vorstände insbesondere zu dokumentieren, wie sich der Risikoumfang durch eine solche Entscheidung verändern wird – was unabhängig davon ist, ob und inwieweit dieses unternehmerische Entscheidungsfeld z.B. Gegenstand der MaRisk wäre.
Grundsätzlich ist eine unternehmerische Entscheidung eine solche, bei der mindestens ein Vorstandsmitglied involviert ist, zwischen verschiedenen Handlungsoptionen gewählt werden kann und die Auswirkungen unsicher. Notwendig ist entsprechend eine entscheidungsorientierte Ausrichtung des Risikomanagements, wie es erstmalig im neuen Risikomanagementstandard des Deutschen Instituts für interne Revision betont wird.
Fazit: MaRisk-konform reicht nicht aus
Nicht automatisch erfüllen „MaRisk-konforme“ Risikomanagementsysteme auch die gesetzlichen Anforderungen aus den §§91 und 93 AktG, die übrigens auch für andere Gesellschaftsformen (wie Genossenschaften) aufgrund Gesetzeserläuterungen und Rechtsprechung maßgeblich sind. Aus dem Aktiengesetz ergibt sich insbesondere, dass sämtliche Risiken – z.B. auch strategische Risiken und die Unsicherheit über die Entwicklung der Kundenbasis – bei der Risikobeurteilung einzubeziehen sind und darüber hinaus möglichst umfassend Kombinationseffekte solcher Einzelrisiken untersucht werden müssen, um mögliche „bestandsgefährdende Entwicklungen“ früh zu erkennen.
Voraussetzung dafür ist, dass auch sämtliche Risiken mit finanziellen Auswirkungen quantifiziert werden (wofür subjektive Schätzungen durchaus zulässig sind, wenn Transparenz besteht). Schließlich ist zu gewährleisten, dass schon bei der Vorbereitung unternehmerischer Entscheidungen deren Auswirkungen auf den zukünftigen Risikoumfang festgehalten werden.
Um diese Anforderungen insgesamt zu prüfen, empfiehlt es sich, dass auch die Revision von Kreditinstituten den neuen DIIR RS Nr. 2 einbezieht, der als erster Standard die Anforderung aus den §§91 und 93 AktG gemeinsam betrachtet.
