Die in den MaRisk enthaltenen Grundsätze der Methodenfreiheit, der Prinzi pienorientierung und der Proportionalität sollen den Instituten eine an die jeweilige Risikostruktur angepasste flexible Umsetzung der aufsichtsrechtlichen Anforderungen ermöglichen.1) Nachfolgend wird aufgezeigt, wie eine aufsichtskonforme Umsetzung der aktuellen MaRisk-Novelle mit vertretbarem Aufwand gewährleistet werden kann.
Erleichterungsvorschriften
Die Kriterien, an denen die Erleichterungsvorschriften sich orientieren, sind zum einen die Institutsgröße und zum anderen die individuelle Risikostruktur des Instituts (vgl. AT 1 Tz. 4). Selbstverständlich muss diese Analyse auch in nachprüfbarer Form dokumentiert werden.
Insgesamt können kleine und mittlere Leasing-Gesellschaften aufgrund der vorhandenen Institutsgröße sowie eines vergleichsweise risikoarmen Geschäftsmodells umfangreiche Erleichterungsvorschriften in Form von Öffnungsklauseln in Anspruch nehmen.2)
Größenabhängige Erleichterungen (sogenannte formale Öffnungsklauseln) ergeben sich insbesondere für die Aufbau- und Ablauforganisation sowie für die Anforderungen zur Einrichtung besonderer Funktionen (Module AT 4.4; BT 1/BTO und BT 2). Der Begriff "Größe" bezieht sich dabei auf die relative Größe im Branchenvergleich; in den MaRisk wird "Größe" aber häufig auch in direktem Zusammenhang mit "Komplexität des Geschäftsmodells" verwendet; erstmalig bereits in AT 1 Tz. 2.
Risikoorientierte Öffnungsklauseln, die von Art, Umfang, Komplexität und Risikogehalt der Geschäfte abhängen, bringen weitere Erleichterungen und beziehen sich vor allem auf Anforderungen an die Risikosteuerungs- und Controllingprozesse (Module AT 4 und BT 1/BTR).
Darüber hinaus bilden die in den MaRisk enthaltenen unbestimmten Begriffe, "wesentlich", "angemessen" oder "geeignet" sowie "Soll-/Können-Anforderungen" einen weiteren Ermessensspielraum.
Strategien
Den Ausgangspunkt des Risikomanagementsystems bildet die Risikostrategie (AT 4.2), die sich aus der Geschäftsstrategie ableitet und mindestens jährlich zu über prüfen ist. Die Risikostrategie beschreibt, wie mit den aus der Geschäftsstrategie abgeleiteten Risiken umzugehen ist. Risiken, die aufgrund der Geschäftsstrategie nicht auftreten oder als unwesentlich eingestuft werden, brauchen nicht "gemanagt" zu werden. Es empfiehlt sich daher, die Geschäftsund Risikostruktur sorgfältig zu beschreiben, da es sich hierbei um die Stellschrauben für Art und Umfang des erforderlichen Risikomanagementsystems handelt.3)
Im Rahmen der Strategiebeschreibung sind lediglich allgemeine Ausführungen erforderlich, die den Umgang der Gesellschaft mit Risiken darstellen ("Risikohunger"4) ). Hierzu gehören:
- Definition der wesentlichen aus der Geschäftsstrategie folgenden Risiken, die der gesonderten Überwachung unterliegen sollen.
- Regeln zum Umgang mit Risiken (Vermeidung/Reduzierung, Abwälzung/Versicherung oder Inkaufnahme der Risiken).
- Risikotragfähigkeitskonzept: Maßnahmen zur Absicherung und Begrenzung wesentlicher Risiken durch Grenzwerte für die Hinnahme von Risiken ("Risikotoleranzen").
Sind die Geschäftsleiter und die Eigentümer einer Gesellschaft identisch, kann die Geschäftsstrategie jederzeit ohne größere formelle Anforderung geändert werden. Als Geschäftsstrategie würde daher eine Formulierung wie folgt ausreichen:
- "Die XY Leasing betreibt ausschließlich das Leasing-Geschäft mit mobilen Gegenständen. Der Schwerpunkt der Aktivitäten liegt im Bereich Produktionsmaschinen (bis 500 000 Euro), Land- und Baumaschinen-, Pkw und Nutzfahrzeuge Kernbranchen liegen demzufolge im Transport-, Produktions- und Baugewerbe. Die Kunden haben ihren Geschäftsschwerpunkt ausschließlich in Deutschland. Geschäft mit Privatpersonen wird nicht betrieben."
Eine mögliche Risikostrategie könnte dann wie folgt lauten:
- "Die Erfüllung des Geschäftszwecks (Geschäftsstrategie) und die Erzielung eines wirtschaftlichen Erfolges erforderten die Eingehung von Risiken. Diese Risiken lassen sich wie folgt klassifizieren:"
Aufbau- und Ablauforganisation
Die Aufbauorganisation beschreibt die interne Organisation und die Zuständigkeiten innerhalb der Gesellschaft. Hierzu regeln die MaRisk lediglich, dass miteinander unvereinbare Tätigkeiten durch verschiedene Mitarbeiter durchgeführt und auch bei Arbeitsplatzwechseln Interessenkonflikte vermieden werden sollen. Als grundsätzlich unvereinbar sieht die MaRisk die Bereiche "Markt" und "Marktfolge" an, dabei bezeichnet "Markt" den Bereich des Unternehmens, in dem Geschäfte nach außen angebahnt werden (BTO 1.2 a.) während "Marktfolge" die interne Bearbeitung der Verträge beinhaltet.
Im Gegensatz zur Aufbauorganisation beschreibt die Ablauforganisation die einzelnen Prozesse des laufenden Geschäftes innerhalb einer Gesellschaft. Hierzu gehören: Vertragsanbahnung (Erstellung und Abgabe von Angeboten), Regelungen zur Annahme von Verträgen ("Votierung"), laufende Abwicklung von Verträgen, Regelungen zur "Intensivbetreuung": Mahnverfahren, Kündigung et cetera. Der Umfang der Dokumentation hängt wiederum von der Größe des Unternehmens, den Geschäftsschwerpunkten und der Risikosituation ab. Daher sind bei kleinen und mittleren Gesellschaften in der Regel deutlich geringere Anforderungen an die Umsetzung zu stellen.
Risikosteuerung und -controlling
Das Institut hat angemessene Risikosteuerungs- und -controllingprozesse einzurichten, die eine Identifizierung, Beurteilung, Steuerung sowie Überwachung und Kommunikation der wesentlichen Risiken und damit verbundener Risikokonzentrationen gewährleisten.5) Nicht wesentliche Risiken brauchen danach nicht speziell gesteuert und überwacht werden. Sofern allerdings solche Risiken als nicht wesentlich klassifiziert werden, die von der MaRisk als wesentlich angesehen werden, bedarf dies besonderer Begründung.
Die Steuerung von Risiken setzt voraus, dass ihre Auswirkungen auf das Unternehmen bestimmt werden. Dies können qualitative Auswirkungen sein (etwa der Reputationsverlust); in der Regel handelt es sich allerdings um quantitative Auswirkungen im Sinne eines potenziellen Schadens. Dieser Schaden ist gegebenenfalls noch mit seiner Eintrittswahrscheinlichkeit zu gewichten, um zu einer sinnvollen Steuerungsmöglichkeit zu gelangen. Kompensatorische Maßnahmen (so etwa mögliche Versicherungsentschädigungen) sind zu berück sichtigen.
Die Geschäftsleitung und - soweit vorhanden - die Aufsichtsorgane sind mindestens vierteljährlich über die aktuelle Risikosituation in Form eines schriftlichen Risikoberichts durch das Risikocontrolling zu informieren.6) Sofern sich im Berichtszeitraum keine relevanten Änderungen der Risikosituation ergeben, kann dabei auf die vorherige Risikoanalyse verwiesen werden.7)
Steuerung wesentlicher Risiken
AT 2.2 betrachtet Adressausfallrisiken, Marktpreisrisiken, Liquiditätsrisiken und operationelle Risiken grundsätzlich als wesentlich, die damit auch als "Mindestanforderung" zu überwachen und zu steuern sind. Für die "nicht wesentlichen" Risiken sieht die MaRisk nur vor, angemessene Vorkehrungen zu deren Beobachtung zu treffen in Hinblick darauf, ob sie im Laufe der Zeit ihren Charakter verändern und zu "wesentlichen Risiken" werden.8)
Adressausfallrisiko
Das Adressenausfallrisiko betrifft in erster Linie die Bonität des Kunden des Instituts (Leasing-Nehmer); es bezieht sich aber auch auf Lieferanten, wenn diese Teile des Risikos der Gesellschaft übernehmen (so etwa Rückkaufgarantien).
Leasingtypisch: Hier steht zunächst die Sicherheit des Leasing-Gegenstandes (objektbezogene Sicherheit) im Vordergrund, während die allgemeine Zahlungsfähigkeit des Kunden zurücktritt. Der Leasing-Geber bleibt während der gesamten Vertragslaufzeit Eigentümer des Leasing-Objektes und verfügt somit im Insolvenzfall oder bei Eintritt von Zahlungsstörungen über eine objektbezogene Sicherheit. Damit wird der Wertverlauf des Leasing-Gegenstandes stärker als im Falle des Bankkredits zum Instrument der Risikosteuerung; durch entsprechende Vertragsgestaltung (beispielsweise Mietsonderzahlungen, degressive Ratenverläufe) sollte sichergestellt sein, dass die ausstehenden Leasing-Raten jederzeit durch den voraussichtlichen Verwertungserlös des Leasing-Gegenstandes abgelöst werden können. Aufgrund der ausgeprägten Objekt- und Verwertungskompetenz des Leasing-Gebers resultieren aus den hier beschriebenen Ausfall- und Verwertungsrisiken in der Praxis nur geringe Ausfallquoten.
Es ist Teil der Geschäftsstrategie der Gesellschaft, wie sie die Risikokomponenten "Objektsicherheit" und "allgemeine Zahlungsfähigkeit" zueinander gewichtet. Entscheidend ist, dies nachvollziehbar zu dokumentieren und im tatsächlichen Geschäftsverlauf einzuhalten.
Bei Teilamortisationsverträgen unterliegt die Leasing-Gesellschaft einem latenten Verwertungsrisiko am Ende der Vertragslaufzeit. Auch hier müssen im Rahmen der Geschäftsstrategie Entscheidungen zur Beherrschung dieses Risikos getroffen werden. Dabei können zum Beispiel die genannten Rückkaufgarantien eine Rolle spielen - was aber voraussetzt, die Hersteller- oder Lieferantenbonität entsprechend zu überwachen.
Die Einhaltung der Bonitätsanforderungen wird auf der Kundenseite üblicherweise durch das Genehmigungsverfahren abgesichert. Zum Einsatz kommen in der Regel selbst entwickelte Verfahren (zum Beispiel Scoring-Modelle), die in einer bestimmten Gewichtung auf die Kunden- und Objektbonität - gegebenenfalls unter Berücksichtigung der bisherigen Historie des Kunden - abstellen. Dies ist auch dann erforderlich, wenn die Gesellschaft sich auf die Risikosteuerungssysteme der finanzierenden Bank abstützt oder die Risiken - wie im Fall der Forfaitierung - weiterwälzt. Die Verwendung externer Bonitätseinschätzungen enthebt das Institut nicht von seiner Verpflichtung, sich ein eigenes Urteil über das Adressenausfallrisiko aufgrund eigener Erkenntnisse und Informationen zu bilden.9) Dies gilt umso mehr, wenn die Leasing-Gesellschaft besondere eigene Sachkunde hinsichtlich des Leasing-Objektes in den Prozess einbringt. Stellt sich später heraus, dass es auch bei Anwendung der Scoring-Grundsätze zu nennenswerten Ausfällen gekommen ist, muss eine Anpassung des Modells erfolgen. Es ist daher für die Risikosteuerung wichtig, eine Statistik über die endgültigen Ausfälle von Leasing-Forderungen - also unter Einschluss der Verwertung der Leasing-Objekte - zu führen.
Die Beurteilung des Adressenausfallrisikos stößt bei kleinen und mittleren Gesellschaften auf das Problem, dass für die Anwendung der im allgemein üblichen statistischen Verfahren zur Beurteilung von Bonitäten und Ausfallwahrscheinlichkeiten keine hinreichend große Grundgesamtheit zur Verfügung steht, weil auch viele Verträge individuell angepasst werden. In diesen Fällen ist es zulässig, die Ausfallwahrscheinlichkeiten vertragsindividuell zu schätzen.10)
Marktpreisrisiken
Marktpreisrisiken betreffen Preisänderungen an Waren- oder Geldmärkten (Zinsen). Dabei sind Leasing-Gesellschaften von Zinsrisiken verhältnismäßig wenig betroffen, weil die Leasing-Verträge in der Regel fristenkongruent refinanziert sind, womit bereits zum Zeitpunkt des Vertragsabschlusses eine Barwertmarge realisiert wird. Aufgrund der branchentypischen Steuerung des Neugeschäfts auf der Grundlage von Barwertmargen entstehen im Vertragsportfolio nahezu keine offenen Zinspositionen.
Marktpreisrisiken treten bei Leasing-Gesellschaften daher hauptsächlich als Verwertungsrisiken am Ende der Vertragslaufzeit (Restwertrisiken aus nicht garantierten offenen Restwerten bei bestimmten Objekten11) ) beziehungsweise bei unplanmäßiger vorzeitiger Beendigung der Verträge auf. Die Leasing-Gesellschaft kann diese Risiken weiterwälzen, indem sie mit dem Leasing-Nehmer Andienungsrechte zu definierten Preisen vereinbart oder entsprechende Vereinbarungen mit Dritten - insbesondere den Lieferanten des Leasing-Gutes - trifft (Rückkaufvereinbarung). Die Gesellschaft kann sich aber auch dazu entschließen, die Verwertung selber vorzunehmen. In diesem Fall kann die Risikosteuerung erfolgen, indem eine Statistik der Verwertungsergebnisse geführt wird, die rechtzeitig sinkende Verwertungsergebnisse - oder Abweichungen von geplanten Ergebnissen - erkennen lässt.
Liquiditätsrisiken
Liquiditätsrisiken entstehen in der Regel gemeinsam mit Adressen- und Marktpreisrisiken, wenn etwa Leasing-Raten nicht oder verspätet gezahlt oder geplante Verwertungserlöse nicht erreicht werden. Insofern wird mit der Steuerung dieser Risiken auch das Liquiditätsrisiko abgedeckt.
Unabhängig davon bestehen Liquiditätsrisiken, wenn die Gesellschaft zu irgendeinem Zeitpunkt nicht in der Lage ist, fällige Verbindlichkeiten (Gehälter, Mieten, IT-Kosten) zu begleichen. Insofern erfordert es immer auch eine laufende Liquiditätsüberwachung, die - zum Beispiel auf Monatsbasis - die zu er wartenden Ein- und Auszahlungen gegenüberstellt. Dies kann je nach Größe der Gesellschaft über einfache Excel-Tabellen bis hin zu komplexen Programmen er folgen. Die MaRisk enthalten hierzu keine Vorschriften.
Von der aufsichtsrechtlichen Messung der Liquiditätsrisiken nach den Vorschriften der Liquiditätsverordnung (LiqV) sind die Leasing-Gesellschaften gemäß § 2 Abs. 7 i. V. m. § 11 KWG grundsätzlich befreit. Dies ist auch sachgerecht, da Liquiditätsrisiken - verstanden als unplanmäßige Kapitalabflüsse12) - bei Leasing-Gesellschaften mit in der Regel vertragskongruenten Finanzierungen nur selten auftreten dürften.
Operationelle Risiken
Operationelle Risiken beschreiben das Risiko von Verlusten, die sich auf die Unangemessenheit oder das Versagen von internen Verfahren, Menschen und Systemen oder durch externe Ereignisse zurückführen lassen, einschließlich Rechtsrisiken.13) Im Gegensatz zu den anderen Risiken, die Gesellschaften bis zu einem gewissen Grade auch bewusst eingehen, um Erträge zu generieren, entstehen operationelle Risiken meist ungewollt aus der normalen Geschäftstätigkeit. Zu den typischen operationalen Risiken gehören unter anderem:
- IT-Risiken: Performance, Funktionalität und Systemsicherheit;
- Risiken aus der rechtskonformen Ausgestaltung der verwendeten Verträge; Risiken aus der Vertragsabwicklung;
- Risiken aus Verstößen gegen gesetzliche Vorschriften (KWG, aufsichtsrechtliche Vorgaben, Meldewesen, Geldwäsche);
- Risiken aus Fehlern in den betrieblichen Abläufen; mangelnde Dokumentation; damit verbunden mangelhafte Kontrollen der Einhaltung der Abläufe;
- Risiken aus der mangelnden Verfügbarkeit von Mitarbeitern, fehlende Doppelbesetzung wichtiger Positionen.
Während die bisher besprochenen Risikokategorien bei kleineren Gesellschaften eher in unterdurchschnittlicher Ausprägung auftreten, sieht es bei den operationellen Risiken umgekehrt aus. Der Grund: Diese Gesellschaften haben in der Regel weder die personellen noch die finanziellen Ressourcen, umfangreiche (Kontroll-) Systeme einzurichten, welche die Risiken aus fehlerhaften Abläufen überwachen. Die Ursachen hierfür sind vielschichtig; sie können beispielshalber liegen in einer mangelnden Qualifikation der Mitarbeiter, in einem übersteigerten gegenseitigen Vertrauensverhältnis der Mitarbeiter unter einander, im Fehlen einer durchgehenden Ausgestaltung eines Vier-Augen-Prinzips, an unzureichender Personalausstattung, an Mängeln in der IT-Ausstattung oder an einem fehlenden technischen und fachlichen Sicherungskonzept.
Da die Gesellschaft in der Regel nicht über Erfahrungen aus historischen Schadensfällen verfügt, kommt noch die Schwierigkeit hinzu, die Risiken qualitativ und quantitativ und hinsichtlich der Eintrittswahrscheinlichkeit einzuschätzen.
Stresstests
Die 4. MaRisk-Novelle führt zu der Notwendigkeit, regelmäßig (mindestens jährlich) sowie anlassbezogen angemessene Stresstests durchzuführen und zu dokumentieren. Dies erfolgt regelmäßig in der Form von Sensitivitäts- oder Szenarioanalysen.
Dabei werden in Sensitivitätsanalysen die Folgen eines bestimmten Ereignisses (beispielsweise Ausfall der fünf größten Leasing-Nehmer, Ausfall der IT-Anlage für zwei Tage) für die finanzielle Stabilität des Unternehmens ermittelt (Zahlungsfähigkeit, Jahresergebnis, Entwicklung des Substanzwertes). Szenarioanalysen ermitteln die Auswirkungen mehrerer Einflussfaktoren (etwa Einbruch der Baukonjunktur und damit Ausfall von Leasing-Nehmern und Schwierigkeiten bei der Verwertung der Leasing-Objekte). Bei "inversen Stresstests" wird ermittelt, wie negativ ein Einflussfaktor oder ein Szenario sich entwickeln muss, bis die finanzielle Stabilität erstmals gefährdet wird. Stresstests eignen sich besonders zur Beurteilung von Liquiditätsrisiken, da jedenfalls die unabhängigen Liquiditätsrisiken immer ein bestimmtes Szenario voraussetzen.
Die praktische Durchführung solcher Stresstests kann je nach Größe des Falles in Form von bloßen Schätzungen einzelner Ergebnisparameter oder in kompletten Planungsmodellen erfolgen, die wiederum von einfachen Excel-Tabellen bis hin zu einer spezialisierten Planungssoftware reichen.14)
Besondere Funktionen
Im Zuge der 4. MaRisk-Novelle hat man das Modul AT 4.4 von "Interne Revision" in "Besondere Funktionen" umbenannt. Folgende Funktionen wurden geregelt, die in einer Leasing-Gesellschaft personell abgebildet werden müssen: Risiko-Controlling, Compliance und Interne Revision. Die jeweiligen Träger dieser Funktionen und der Wechsel in der Person der Funktionsträger sind der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) anzuzeigen.
Gesellschaften, die ausschließlich das Leasing-Geschäft betreiben (§ 1 I Nr. 10 KWG), können auf Antrag durch die BaFin von der Verpflichtung zur Einrichtung des Risikocontrollings und der Compliance-Funktion - nicht aber von der Internen Revision - befreit werden, wenn dies aus besonderen Gründen, speziell aufgrund der Institutsgröße angezeigt ist.15) Nach Auskunft des Bundesverbandes Deutscher Leasing-Unternehmen (BDL) kommen für einen Antrag Institute mit weniger als 50 Beschäftigten und einer Bilanzsumme von weniger als 500 Millionen Euro in Betracht.
Soweit ein Verzicht auf diese Funktionen nicht in Erwägung kommt, stellt sich die Frage, ob sich einzelne oder alle Funktionen organisatorisch zusammenfassen lassen, die gegebenenfalls eine einzelne Person oder der Geschäftsleiter ausfüllt. Neben der Zusammenlegung kann eine Entlastung auch erfolgen, indem die Funktionen auf externe Dienstleister übertragen werden (Outsourcing). Die Abbildung 1, Seite 120, gibt einen Überblick der zulässigen organisatorischen Umsetzung der besonderen Funktionen im Institut beziehungsweise auf der Ebene eines externen Outsourcing-Dienstleisters.
Die besonderen Funktionen sind vom Bereich Markt organisatorisch und funktional zu trennen und dem Bereich Marktfolge zuzuordnen. Eine Zuordnung der Risikomanagement-Funktion und der Compliance-Funktion zum Bereich der Internen Revision ist ebenfalls unzulässig.
Eine Zusammenfassung der besonderen Funktionen, Risikomanagement- und Compliance-Funktion ist hingegen zulässig. Innerhalb dieser Organisationseinheit können darüber hinaus auch weitere aufsichtsrechtliche Funktionen wie die des Geldwäschebeauftragten, des Datenschutzbeauftragten oder das Meldewesen eingebunden sein. Die Aufgaben der besonderen Funktionen können in Abhängigkeit von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten des Instituts von einer Organisationseinheit, einem Mitarbeiter oder einem Geschäftsleiter wahrgenommen werden.
Die Leitung muss in Abhängigkeit von der Größe sowie der Komplexität des risikorelevanten Geschäftes grundsätzlich in exklusiver Weise ausgeführt werden. Bei mittelständischen Leasing-Gesellschaften ist es jedoch nach Auffassung der Autoren nicht zu beanstanden, wenn neben den Tätigkeiten der besonderen Funktionen noch andere Aufgaben im Bereich der Marktfolge durch den Mitarbeiter ausgeführt werden. Dies gilt insbesondere dann, wenn die Aufgaben der besonderen Funktionen der Geschäftsführer des Bereichs Marktfolge selbst wahrnimmt.
Entscheidend ist allerdings: Es darf bei der Kombination besonderer Funktionen oder einer besonderen Funktion mit sonstigen Tätigkeiten nicht zu Interessenkonflikten kommen; es empfiehlt sich, dies gegebenenfalls im Rahmen der Organisation zusätzlich zu dokumentieren.
Risikocontrolling
Die Risikocontrolling-Funktion (AT 4.4.1) hat die Geschäftsleitung in allen risikopolitischen Fragen zu unterstützen. Ihr obliegt die Mitwirkung an der Einrichtung einer Risikostrategie, Implementierung von Risikosteuerungs- und -controlling-Prozessen sowie der Durchführung der Risikoinventur. Darüber hinaus obliegt ihr die laufende Überwachung der Risikosituation, der Risikotragfähigkeit sowie der Einhaltung festgelegter Risikolimits.
Der Inhaber der Risikocontrolling-Funktion hat quartalsweise im Rahmen einer Risikoberichterstattung direkt an die Geschäftsführung zu berichten.16)
Compliance
Die Compliance-Funktion (AT 4.4.2) hat auf die Implementierung wirksamer Verfahren zur Einhaltung der für das Institut wesentlichen rechtlichen Regelungen und Vorgaben und entsprechender Kontrollen hinzuwirken. Anders als die Risikocontrolling-Funktion, die Risiken zu überwachen hat, ist die Compliance-Funktion dafür zuständig, durch die Einführung einer entsprechenden Organisation einen den gesetzlichen Regelungen entsprechenden Aufbau und Ablauf des Unternehmens sicherzustellen, um damit das Entstehen von Risiken von vorneherein zu minimieren.
Der Compliance-Beauftragte hat mindestens jährlich sowie anlassbezogen der Geschäftsführung über die Tätigkeit der Compliance-Funktion Bericht zu erstatten.17)
Interne Revision
Die Prüfungstätigkeit der Internen Revision (AT 4.4.3) hat sich auf der Grundlage eines risikoorientierten Prüfungsansatzes auf alle Aktivitäten und Prozesse des Institutes zu erstrecken. Dies beinhaltet auch die Überwachung der übrigen besonderen Funktionen (Risikocontrolling und Compliance).18)
Anders als bei den vorherigen Funktionen kann die Aufgabe der Internen Revision an sich nicht ausgelagert werden; es ist jedoch zulässig, die Durchführung der Internen Revision auf Dritte zu übertragen. Die Auslagerung der Internen Revision muss daher zusätzliche Anforderungen erfüllen:19)
- Benennung eines (internen) Revisionsbeauftragten;
- Beachtung der Anforderungen des AT 4.4 und BT 2;
- Erstellung des Prüfungsplans gemeinsam mit dem beauftragten Dritten durch den Revisionsbeauftragten;
- Erstellung Gesamtbericht nach BT 2.4 und Prüfung etwaiger Mängelbeseitigungen nach BT 2.5 durch den Revisionsbeauftragten.
Damit ist aufgrund der gebotenen Unabhängigkeit der Internen Revision nach Auffassung der Autoren eine Auslagerung der drei besonderen Funktionen (Risikocontrolling, Compliance, Interne Revision) auf den gleichen externen Anbieter aufsichtsrechtlich bedenklich, auch wenn hier eine personelle Trennung innerhalb des Auftragnehmers (zum Beispiel verschiedene Abteilungen) vorgenommen wird.
Die Leitung der Internen Revision hat quartalsweise sowie anlassbezogen Prüfungen durchzuführen und deren Ergebnisse schriftlich der Geschäftsführung mitzuteilen.20) Darüber hinaus ist jährlich ein Revisionsbericht an die Geschäftsführung zu erstellen.21)
Risikotragfähigkeitskonzept
Die Risikotragfähigkeitsberechnung soll sicherstellen, dass den Risikopositionen aus allen zuvor identifizierten Risiken laufend hinreichend Risikodeckungsmasse in Form von Eigenkapital oder eigenkapitalnahen Positionen gegenüberstehen.22) Als Risikotragfähigkeitskonzept (AT 4.1) hat sich bei Leasing-Gesellschaften der Vergleich der gewichteten, von der Gesellschaft selbst übernommenen Risiken mit dem Substanzwert durchgesetzt.
Die Risikopositionen sind in einem ersten Schritt für alle wesentlichen Risiken zu identifizieren, zu bewerten und zu einer Risikogröße zusammenzuführen. Genau genommen wäre dabei noch die Abhängigkeit der Risiken voneinander ("Korrelation") sowie der Zeitpunkt des Eintritts zu berücksichtigen. Für mittelständische Leasing-Gesellschaften ist es nach Meinung der Verfasser vereinfachend zulässig, die einzelnen Risiken additiv zu aggregieren und den Eintrittszeitpunkt unberücksichtigt zu lassen. Man unterstellt dabei, dass sich sämtliche Risiken unter Berücksichtigung ihrer Eintrittswahrscheinlichkeiten sofort realisieren. Dies scheint zwar wenig möglich und überzeichnet die Risikolage insgesamt; man befindet sich dabei jedoch auf der "sicheren Seite".
Im zweiten Schritt des Risikotragfähigkeitskonzeptes ist das Risikodeckungspotenzial zu bestimmen. Hierzu können Leasing-Gesellschaften auf unterschiedliche Methoden zurückgreifen, üblicherweise wird hier der Substanzwert herangezogen, der den Barwert der künftigen Erträge und Aufwendungen aus einer (unterstellt) planmäßigen Abwicklung des Geschäftes ermittelt.23)
Ein letzter Schritt setzt die Risikogröße und das Risikodeckungspotenzial miteinander in Beziehung (vgl. Abbildung 2, Seite 122). Es ist darauf zu achten, die Methoden zur Bewertung der Risiken einerseits und die Ansätze zur Ermittlung der Risikodeckungsmasse andererseits methodenkonsistent anzuwenden. Bei zeitpunktbezogen ermittelten Risiken (zum Beispiel auf das Ende des Geschäftsjahres), muss auch die Risikodeckungsmasse auf diesen Zeitpunkt abgezinst und mit ihrem Barwert in die Berechnung einfließen. Hierauf ist besonders bei der Substanzwertberechnung zu achten; das BDL-Schema sieht allerdings eine solche barwertbezogene Berechnung bereits vor.
Kapitalbedarfsplanung
Eine weitere Neuerung durch die 4. MaRisk-Novelle ist die Ergänzung des Risikotragfähigkeitskonzeptes um einen mehrjährigen Kapitalplanungsprozess.24)
Die Berechnung der Risikotragfähigkeit geht von der (planmäßigen) Abwicklung des bestehenden Vertragsportfolios aus. Tatsächlich ist die Gesellschaft aber nicht auf Abwicklung, sondern auf Fortbestand oder sogar Expansion ausgelegt. Kapitalbedarf kann sich auch aus einer erwarteten Änderung der Geschäftsstrategie, des wirtschaftlichen Umfeldes oder sonstigen adversen Entwicklungen im jeweiligen Geschäftsfeld ergeben.
Die Kapitalplanung verfolgt dann das Ziel, etwaigen latenten Kapitalbedarf (Unterdeckung der Risikotragfähigkeit, GAP), der sich über den Risikobetrachtungshorizont hinaus er geben könnte, rechtzeitig zu identifizieren und erforderlichenfalls frühzeitig geeignete Maßnahmen, wie beispielsweise die Vorbereitung einer Kapitalerhöhung, einzuleiten (vgl. Abbildung 3).25)
Outsourcing
Das Outsourcing (AT 9), die Auslagerung von Tätigkeiten und Funktionen, stellt angesichts knapper personeller Ressourcen gerade bei kleinen Leasing-Gesellschaften eine attraktive Alternative zu einer internen Lösung dar. Mittlerweile gibt es auch eine Vielzahl spezialisierter Dienstleister, die eine besondere Expertise mitbringen, da sich ihre Tätigkeit auf mehrere Gesellschaften erstreckt.
Grundsätzlich lassen sich nach den MaRisk alle Aktivitäten und Prozesse auslagern, solange dadurch die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Abs. 1 KWG nicht beeinträchtigt wird. Die Auslagerung darf nicht zu einer Delegation der Verantwortung der Geschäftsleitung an das Auslagerungsunternehmen führen.26)
Die weitergehenden Anforderungen der MaRisk an Auslagerungsvorhaben beziehen sich ausschließlich auf Auslagerungen, die mit wesentlichen Risiken für das Institut einhergehen. Das Institut muss somit zunächst auf der Grundlage einer Risikoanalyse eigenverantwortlich festlegen, welche Auslagerungen von Aktivitäten und Prozessen unter Risikogesichtspunkten wesentlich sind. Vor diesem Hintergrund müssen beispielsweise an die Auslagerung der "Besonderen Funktionen" andere Anforderungen gestellt werden als an die Auslagerung der Lohnbuchhaltung und dort wieder andere als an die Auslagerung der IT-Administration.
Auslagerungsverträge
Die MaRisk verlangen für wesentliche Auslagerungen, dass die auslagernde Gesellschaft selber, deren externe Prüfer und die Organe der Aufsicht in ihren Tätigkeiten durch die Auslagerung nicht behindert oder eingeschränkt werden.27) Die Auslagerungsverträge müssen daher unter anderem Folgendes enthalten:
- Spezifizierung und Abgrenzung der vom Auslagerungsunternehmen zu erbringenden Leistung;
- Festlegung von Informations- und Prüfungsrechten der Internen Revision;
- Sicherstellung der Informations- und Prüfungsrechte sowie der Kontrollmöglichkeiten der BaFin;
- soweit erforderlich, Weisungsrechte;
- Beachtung datenschutzrechtlicher Bestimmungen;
- Kündigungsrechte und angemessene Kündigungsfristen;
- Regelungen über die Möglichkeit und über die Modalitäten einer Weiterverlagerung, die sicherstellen, dass das Institut die bankaufsichtsrecht lichen Anforderungen weiterhin einhält;
- Verpflichtung des Auslagerungsunternehmens, das Institut über Entwicklungen zu informieren, welche die ordnungsgemäße Erledigung der ausge lagerten Aktivitäten und Prozesse beeinträchtigen können.
Umsetzung
Das Geschäftsmodell kleiner und mittlerer Leasing-Gesellschaften lässt bei Dokumentation einer konsistenten Geschäfts- und Risikostrategie erhebliche Erleichterungen bei der anschließenden Risikosteuerung und -überwachung zu.
Die von der MaRisk adressierten Adressenausfall-, Marktpreis- und Liquiditätsrisiken sind bei diesen Gesellschaften überschaubar und daher auch mit angemessenen Mitteln zu steuern und zu dokumentieren. Besondere Sorgfalt ist aber den operationellen Risiken aufgrund begrenzter Ressourcen zur Steuerung und Überwachung zu widmen, die sich besonders schwierig quantifizieren lassen und in ihren Auswirkungen häufig unterschätzt werden.
Die dargestellten Erleichterungspotenziale ermöglichen den Leasing-Gesellschaften jedoch eine aufsichtskonforme Umsetzung der aktuellen MaRisk-Novelle mit einem vertretbaren wirtschaftlichen Aufwand und sollten im Zuge der Umsetzung neuer aufsichtsrechtlicher Anforderungen nicht ungenutzt bleiben.
1) Vgl. BaFin, Rundschreiben 10/2012 MaRisk-Novelle, 2012.
2) Hannemann/Schneider/Weigl, Mindestanforderungen an das Risikomanagement (MaRisk), 4. Aufl. 2013, S. 81 ff.
3) Hannemann/Schneider/Weigl, a.a.O., S. 110 f.
4) Boos/Fischer/Schulte-Mattler, a.a.O.; § 25a Tz. 184.
5) Vgl. AT 4.3.2 Tz. 1. Hannemann/Schneider/ Weigl, a.a.O., S. 298 ff.
6) Vgl. AT 4.3.2 Tz. 6.
7) Vgl. Erläuterungen der BaFin zu AT 4.3.2 Tz. 3.
8) Hannemann/Schneider/Weigl, a.a.O., S. 109.
9) Vgl. BTO 1.2. Tz. 4.
10) Hannemann/Schneider/Weigl, a.a.O., S. 747 f.
11) Das Restwertrisiko bezeichnet die Gefahr der (negativen) Abweichung des tatsächlich erzielbaren Verwertungserlöses vom bei Vertragsabschluss kalkulierten Restwert des Objekts. Fällt dagegen bei einem garantierten Restwert der Garant aus, handelt es sich um ein Adressatenrisiko.
12) Vgl. Hannemann/Schneider/Weigl, a.a.O., S. 961 ff.
13) Baseler Ausschuss, Management operationeller Risiken - Praxisempfehlung für Banken und Bankenaufsicht 2003, Rn. 4 f.
14) Hannemann/Schneider/Weigl a.a.O., S. 330 ff.
15) Die Befreiung wird im Rahmen des Gesetzes zur Anpassung von Gesetzen auf dem Gebiet des Finanzmarktes in § 31 Abs. 2 KWG geregelt. Das Gesetz ist am 1. 1. 2015 in Kraft getreten.
16) Vgl. AT 4.4.1 Tz. 2 i. V. m. AT 4.3.2 Tz. 6.
17) Vgl. AT 4.4.2 Tz. 6.
18) Zu möglichen Konflikten: Hannemann/ Schneider/Weigl, a.a.O., S. 430 f.
19) Abweichend zu den Auslagerungsverträgen bei besonderen Funktionen muss der Auslagerungsvertrag für organisatorische Pflichten des Geldwäschebeauftragten nach § 9 Abs. 3 GWG zwingend im Vorfeld durch die zuständige Aufsichtsbehörde genehmigt werden.
20) Vgl. BT 2.4 Tz. 1 i. V. m. AT 4.4. Tz. 2.
21) Hannemann/Schneider/Weigl, a.a.O., S. 423.
22) Vgl. AT 4.1 Tz.1.
23) Anwendungshinweise zur Umsetzung der MaRisk, Interpretationsleitfaden, Bundesverband Deutscher Leasing-Unternhemen/Steria Mummert Consulting, 31.7.2009, S. 50 ff.
24) Vgl. AT 4.1 Tz. 9.
25) Vgl. Erläuterungen der BaFin zu AT 4.1 Tz. 9. 26) Vgl. AT 9 Tz. 4.
