Mit Datum vom 27. Oktober 2017 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) eine Neufassung der Mindestanforderungen an das Risikomanagement (MaRisk) bekanntgegeben. Diese Neufassung ersetzt die bisherige Fassung der Ma-Risk vom 14. Dezember 2013. Sie ist mit dem Datum der Veröffentlichung anwendbar, soweit es sich aus der Sicht der BaFin lediglich um Klarstellungen handelt; für Neuregelungen gilt eine Übergangsfrist bis zum 31. Oktober 2018.1
Die Neuerungen der MaRisk betreffen die Implementierung einer Risikokultur und eines Verhaltenskodex (AT 3 und AT 5) sowie geänderte Anforderungen an das Outsourcing von Funktionen (AT 9). Die ebenfalls neuen Vorschriften für das Datenmanagement und die Aggregation von Risikodaten (AT 4.3.4) betreffen nur solche Institute, die von der BaFin als "systemrelevant" eingestuft wurden; dies dürfte für kleine und mittlere Leasing-Gesellschaften nicht in Betracht kommen. Neben diesen Neuerungen enthält die MaRisk-Novelle noch eine Fülle von Klarstellungen, sodass es Sinn macht, im Anschluss an eine vorhergehende Veröffentlichung2 den Überblick über die Anforderungen an das Risikomanagement im Lichte der neuen MaRisk zu aktualisieren.
Ergänzend hat die BaFin mit Rundschreiben 10/2017 vom 3. November 2017 "Bankaufsichtliche Anforderungen an die IT (BAIT)" veröffentlicht, die die Anforderungen der MaRisk für den Bereich des IT-Einsatzes konkretisieren.
Grundsatz der doppelten Proportionalität
Der Grundsatz der doppelten Proportionalität befindet sich unverändert auch in der Neuregelung. Er besagt, dass3
- die Ausgestaltung des Risikomanagements proportional zur Größe, zum Geschäftsvolumen und der Risikostruktur der Gesellschaft und
- die Prüfung des Systems durch die Bankenaufsicht hinsichtlich der Häufigkeit und Intensität proportional zur Ausgestaltung des Prozesses zu sein hat.
Nach wie vor besteht für kleine und mittlere Leasing-Gesellschaften daher die Möglichkeit, ein auf die individuelle Risikostruktur abgestimmtes Risikomanagement zu errichten und dabei in den MaRisk angelegte Erleichterungsvorschriften in Form von Öffnungsklauseln in Anspruch zu nehmen. Dies wird nunmehr in AT 1 Tz. 3 besonders herausgestellt, wobei weiterhin der Begriff "Größe" in Verbindung mit "besondere Komplexität" gebracht wird. Daraus darf man folgern, dass für "kleine" Gesellschaften ein eher "weniger komplexes" Geschäftsmodell gelten soll, was wohl auch durch die Praxis bestätigt wird. Darüber hinaus bilden die in den Ma-Risk enthaltenen Anforderungen mit unbestimmten Begriffen wie "wesentlich", "angemessen" oder "geeignet" sowie "sollte"/"können" einen weiten Ermessensspielraum.
Es empfiehlt sich daher, in die Dokumentation des Risikomanagements eine Selbsteinschätzung der Gesellschaft hinsichtlich der allgemeinen Risikostruktur aufzunehmen. Sinnvollerweise erfolgt dies im Rahmen der Beschreibung der Strategie.
Strategien
Ausgangspunkt des Risikomanagementsystems ist weiterhin die durch die Geschäftsleitung zu definierende Geschäftsstrategie, aus der die Risikostrategie konsistent abgeleitet werden muss.4 Der Inhalt dieser Geschäftsstrategie liegt allein in der Verantwortung der Geschäftsleitung; die MaRisk stellen klar, dass die Strategie nicht der Prüfung durch den Jahresabschlussprüfer oder der Internen Revision unterliegt.5
Neu ist der in der Geschäftsstrategie zu beschreibende Risikoappetit. Es muss dargelegt werden, in welchem Umfang die Gesellschaft bereit ist, Risiken einzugehen und als unvermeidbar erkannte Risiken weiterzuwälzen (zum Beispiel durch Abschluss von Versicherungen) beziehungsweise zu begrenzen. Der Risikoappetit kann dabei quantitativ wie auch qualitativ beschrieben werden. Beispiel für eine quantitative Beschreibung ist beispielsweise die Definition einer Mindest-Risikodeckungsmasse in der Substanzwertrechnung oder im Rahmen von Stresstests; bei einer qualitativen Beschreibung könnten zum Beispiel bestimmte Bonitätsanforderungen an Leasing-Nehmer oder die generelle Vermeidung bestimmter Geschäfte gewählt werden.
Die Kehrseite des Risikoappetits ist die Risikokultur, die die MaRisk jetzt in AT 3 ausdrücklich ansprechen. Risikokultur beschreibt allgemein die Art und Weise, wie Mitarbeiter der Gesellschaft im Rahmen ihrer Tätigkeit mit Risiken umgehen (sollen). Die Risikokultur soll die Identifizierung und den bewussten Umgang mit Risiken fördern und sicherstellen, dass Entscheidungsprozesse zu Ergebnissen führen, die auch unter Risikogesichtspunkten ausgewogen sind. Kennzeichnend für eine angemessene Risikokultur ist vor allem das klare Bekenntnis der Geschäftsleitung zu risikoangemessenem Verhalten, die strikte Beachtung des durch die Geschäftsleitung kommunizierten Risikoappetits durch alle Mitarbeiter und die Ermöglichung und Förderung eines transparenten und offenen Dialogs innerhalb der Gesellschaft zu risikorelevanten Fragen.6
Nach wie vor gilt, dass die Geschäfts- und Risikokultur der Gesellschaft sorgfältig beschrieben werden muss, da es sich hierbei um die Stellschrauben für Art und Umfang des erforderlichen Risikomanagementsystems handelt.7 Bei kleinen und mittleren Gesellschaften ist aber zu berücksichtigen, dass diese Kultur maßgeblich von Geschäftsleitern bestimmt wird, die zugleich Gesellschafter sind, und deswegen ohne größere formelle Anforderungen jederzeit geändert werden kann. Vor dem Hintergrund der zuvor beschriebenen doppelten Proportionalität wirkt sich das auf den Detaillierungsgrad der Beschreibung aus. Als Beschreibung der Geschäfts- und Risikokultur würde deswegen eine Formulierung wie folgt ausreichen:8
- 'Die XY Leasing betreibt ausschließlich das Leasing-Geschäft mit mobilen Gegenständen. Der Schwerpunkt der Aktivitäten liegt im Bereich Produktionsmaschinen, Land- und Baumaschinen, Pkw und Nutzfahrzeuge. Kernbranchen liegen demzufolge im Transport-, Produktions- und Baugewerbe.
Die Gesellschaft finanziert ausschließlich Einzelobjekte mit einem Wert bis 500 000 Euro mit guten Verwertungsaussichten auf dem Gebrauchtmarkt. Damit wird eine Verminderung sowohl des Restwert- und Verwertungsrisikos wie auch des Adressenausfallrisikos angestrebt, da die Gesellschaft sich primär auf die objektbezogenen Sicherheiten stützt. Die Kunden haben ihren Geschäftsschwerpunkt ausschließlich in Deutschland und sollen bei Anbahnung des Geschäftes über ein Bonitätsrating von mindestens xxx verfügen. Geschäfte mit Privatpersonen werden nicht betrieben.
Aufgrund der geringen Komplexität dieser Geschäftsstrategie, des überschaubaren Geschäftsumfangs und der Mitarbeit der Geschäftsleiter im operativen Geschäft ist die Gesellschaft als "kleine Gesellschaft" im Sinne der MaRisk einzustufen mit der Folge, dass die Anforderungen an das Risikomanagementsystem angemessen reduziert werden können (Grundsatz der doppelten Proportionalität).
Die Geschäftsleiter leben durch ihre Einbindung in das operative Geschäft der Gesellschaft die Risikokultur des Unternehmens vor und sorgen dafür, dass auch die Mitarbeiter einen bewussten Umgang mit den Risiken pflegen, die das Geschäft typischerweise und unvermeidbar mit sich bringt. '
Die Überleitung dieser Geschäftsstrategie in eine Risikostrategie könnte dann wie folgt lauten:
- 'Die Erfüllung des Geschäftszwecks (Geschäftsstrategie) und die Erzielung eines wirtschaftlichen Erfolges erfordern die Eingehung von Risiken. Soweit sich diese Risiken nicht vermeiden oder auf Dritte verlagern lassen (zum Beispiel durch Abschluss von Versicherungen) stellt die Gesellschaft sicher, dass die aggregierte Summe aller Risiken stets geringer ist als das vorhandene Risikodeckungspotenzial. Dies wird anhand einer Substanzwertrechnung ermittelt, die mindestens jährlich - bei Bedarf auch häufiger - aufgestellt wird. Zur Abdeckung unwägbarer oder unbekannter Risiken soll der Substanzwert stets mindestens xxx Euro betragen.
Die Risiken lassen sich wie folgt klassifizieren: ...'
Geschäftsorganisation
Die Geschäftsorganisation beschreibt die Aufbau- und Ablauforganisation in der Gesellschaft.
- Die Aufbauorganisation beinhaltet die interne Organisation und die Regelung der Zuständigkeiten innerhalb der Gesellschaft. Unverändert verlangen die MaRisk die Aufteilung der Zuständigkeiten in die Bereiche Markt und Marktfolge und lassen auch für kleine und mittlere Gesellschaften keine Ausnahme zu.
- Die Ablauforganisation beschreibt die einzelnen Prozesse zur Abwicklung des laufenden Geschäftes innerhalb der Gesellschaft. Dazu gehören die Vertragsanbahnung (Erstellung und Abgabe von Angeboten), Regelungen zur Annahme von Verträgen (Votierung), laufende Vertragsabwicklung und Regelungen zur Intensivbetreuung notleidender Engagements: Mahnverfahren, Kündigung, Objektverwertung et cetera.
Die Anforderungen, die die Ma-Risk an die Ausgestaltung der Aufbau- und Ablauforganisation stellen, sind in AT 4.3.1 im Wesentlichen unverändert geblieben. Neu ist, dass bei einem Wechsel von Mitarbeitern zwischen Markt- und Marktfolge-Bereichen angemessene Übergangsfristen eingehalten werden müssen, um zu verhindern, dass diese Mitarbeiter sich künftig selbst prüfen und überprüfen. Da dies bei kleineren Gesellschaften mit nur wenigen Mitarbeitern oftmals nicht ohne unverhältnismäßige Verzögerungen möglich ist, ist die Einrichtung anderweitiger Kontrollmechanismen möglich wie zum Beispiel eine Gegenprüfung durch die Geschäftsleitung nach dem Vier-Augen-Prinzip.
Der Umfang der erforderlichen Dokumentation hängt von der Größe des Unternehmens, den Geschäftsschwerpunkten und der Risikosituation ab (doppelte Proportionalität).
AT 3 Tz.1 stellt heraus, dass die Geschäftsleiter für die ordnungsgemäße Geschäftsorganisation und deren laufende Weiterentwicklung gesamtverantwortlich sind, selbst wenn intern die Zuständigkeitsbereiche aufgeteilt wurden. Daneben ist jeder Geschäftsleiter (selbstverständlich) für die Einrichtung angemessener Kontroll- und Überwachungsprozesse innerhalb seines Bereiches verantwortlich.
Technisch-organisatorische Ausstattung
Der Umfang der technisch-organisatorischen Ausstattung der Gesellschaft richtet sich unverändert nach den betriebsinternen Erfordernissen, den Geschäftsaktivitäten sowie der Risikosituation (AT 7.2). Explizit wird in AT 7.2 Tz. 4 f. nunmehr auf Steuerungs- und Überwachungsrisiken für den IT-Betrieb eingegangen. Diese werden konkretisiert in dem BaFin- Rundschreiben 10/2017 vom 3. November 2017 "Bankaufsichtliche Anforderungen an die IT (BAIT)". Auch die dort aufgeführten Anforderungen stehen ausdrücklich unter dem Vorbehalt der doppelten Proportionalität.
Grundlage des Risikomanagements im Bereich IT ist die Formulierung einer IT-Strategie mit folgendem Inhalt:9
- strategische Entwicklung der IT-Aufbau- und IT-Ablauforganisation sowie Auslagerung von IT-Dienstleistungen,
- Zuordnung der gängigen Standards, an denen sich die Gesellschaft orientiert, auf die Bereiche der IT,
- Zuständigkeit und Einbindung der Informationssicherheit in die Organisation,
- strategische Entwicklung der IT-Architektur,
- Aussagen zum Notfallmanagement,
- Aussagen zu den in den Fachbereichen selbst betriebenen beziehungsweise entwickelten IT-Systemen.
Kleine und mittlere Gesellschaften verwenden in der Regel spezialisierte Softwareprogramme von Drittanbietern und verzichten auf eine eigene strategische Entwicklung ihrer IT-Systeme. In diesem Fall ist innerhalb der IT-Strategie aber jedenfalls zu beschreiben,
- wie mit Updates und Programmänderungen umgegangen wird, die durch den Softwareanbieter vorgenommen werden (Einspielung in das eigene System, gegebenenfalls eigene Testläufe, Schulung);
- ob und wie mit individuellen Programmierungen und Auswertungen umgegangen werden soll, die im Auftrag der Gesellschaft durch den Drittanwender vorgenommen werden (Definition der Anforderungen, Weiterleitung an das Softwarehaus, Tests und Implementierung der entwickelten Lösung);
- ob ergänzende eigene Programmierungen zugelassen sind und wie gegebenenfalls damit umzugehen ist.
Werden eigene Entwicklungen vorgenommen, so regeln die BAIT in Abschnitt 6 umfänglich die Anforderungen an die Definition und Umsetzung von IT-Projekten.
Unabhängig davon, ob die Gesellschaft auf Standardsoftware oder eigene Entwicklungen zurückgreift, muss innerhalb der IT-Organisation geregelt werden, dass jeder Mitarbeiter nur über die Rechte verfügt, die er für seine Tätigkeit benötigt. Es muss insbesondere verhindert werden, dass durch eine zu weite Vergabe von Passworten oder Rollen innerhalb des IT-Systems die auf fachlicher Ebene vorgenommene Trennung zwischen Markt und Marktfolge auf der technischen Ebene unterlaufen wird. Umgekehrt muss sichergestellt sein, dass den zuständigen Mitarbeitern alle für ihre Arbeit erforderlichen Informationen zeitnah, unverfälscht und vollständig zur Verfügung stehen.
Die IT-Organisation muss auch die physische und logische Datensicherheit und -integrität sicherstellen. Die physische Datensicherheit betrifft die Datensicherung und den Schutz der IT-Hardware (Server und Serverräume). Die logische Datensicherheit bezieht sich auf den Schutz vor interner und externer Manipulation (Datendiebstahl durch eigene Mitarbeiter oder Dritte, Berechtigungsvergabe, Firewall und Virenschutz).
Das Notfallkonzept regelt, wie nach einem kompletten oder teilweisen Ausfall des IT-Systems (Hardware und/oder Software) vorzugehen ist, um in geordneter Form eine Weiterführung des Geschäftsbetriebes ohne (wesentliche) Datenverluste kurzfristig wieder sicherzustellen. Das Konzept muss daher Aussagen über die Systemkonfiguration (Hardware), Art und Umfang der eingesetzten Software und die Wiederherstellung der Daten aus vorhandenen Datensicherungen enthalten. Zum Notfallkonzept gehört auch ein regelmäßiger Test aller oder einzelner Komponenten des IT-Systems der entsprechend dokumentiert werden muss.
Zur Erfüllung der Aufgaben innerhalb der IT-Organisation ist ein Informationssicherheitsbeauftragter zu bestimmen.10 Die Funktion kann mit weiteren Funktionen innerhalb der Gesellschaft (zum Beispiel dem Risikocontrolling) kombiniert werden. Die Gesellschaft kann sich dabei auch externer Unterstützung von IT-Dienstleistern nach den für das Outsourcing geltenden Grundsätzen bedienen.
Risikotragfähigkeit
Unverändert benennt AT 2.2 Adressenausfallrisiken, Marktpreisrisiken, Liquiditätsrisiken und operationelle Risiken als die wesentlichen durch die Gesellschaft zu überwachenden Risiken.11
Die Risikotragfähigkeit soll sicherstellen, dass diese wesentlichen Risiken der Gesellschaft durch das Risikodeckungspotenzial laufend abgedeckt werden. Neu ist die explizite Ausformulierung des Ziels der Risikotragfähigkeit - nämlich die Sicherstellung der Fortführung der Gesellschaft einerseits und der Schutz der Gläubiger andererseits.12 Dabei differenziert die BaFin nun grundsätzlich zwischen einer normativen und einer ökonomischen Perspektive des Risikodeckungspotenzials:13
- Die normative Perspektive stellt auf die Eigenkapitalanforderungen und aufsichtsrechtliche Kennzahlen ab und verlangt eine (Bilanz-)Planung über einen Zeitraum von mindestens drei Jahren. Neben der erwarteten Entwicklung ("normal case") sollen dabei auch unerwartete Entwicklungen ("worst case") geplant werden. Die normative Perspektive dient der Sicherung der Unternehmensfortführung.
- Die ökonomische Perspektive umfasst auch Positionen, die in der bilanziellen Planung nicht berücksichtigt werden können. Im Ergebnis handelt es sich um eine barwertorientierte Berechnung eines Abwicklungsergebnisses. Die ökonomische Perspektive soll den Gläubigerschutz abdecken.
Aktuell gibt es - anders als für Banken - keine aufsichtsrechtlichen Anforderungen an die Eigenkapitalausstattung von Leasing-Gesellschaften oder die Einhaltung bestimmter Kennzahlen. Es gelten deswegen nur die allgemeinen und von der Rechtsform der Gesellschaft abhängigen Anforderungen an die Kapitalerhaltung flankiert durch Insolvenzantragspflichten bei Zahlungsunfähigkeit und Überschuldung (§§ 15 ff Insolvenzordnung). Prüfung eventueller Insolvenzgründe setzt in allen Fällen Planungsrechnungen voraus, die die ökonomische Perspektive der Gesellschaft über einen Zeitraum von zwei bis drei Jahren abbilden.14
Als das Standardmodell zur Berechnung der Risikotragfähigkeit hat sich die Substanzwertrechnung nach dem Schema des Bundesverbands Deutscher Leasing-Unternehmen (BDL) mittlerweile etabliert.15 Nach der Definition der BaFin handelt es sich zwar um ein Modell der ökonomischen Perspektive, da die Substanzwertrechnung zum einen dem Zweck dient, das Ergebnis der planmäßigen Abwicklung des bestehenden Geschäftes abzubilden und zum anderen den Rückfluss von Refinanzierungsmitteln an die finanzierenden (Bank-)Gläubiger abbildet. Die Substanzwertrechnung ist daneben aber auch geeignet, eine positive Fortführungsprognose für die Gesellschaft zu begründen und damit das Vorliegen des Insolvenzgrundes der Überschuldung auszuschließen. Dies entspricht der aktuellen Auffassung der BaFin, wonach Modelle der ökonomischen Perspektive auch für die normative Perspektive herangezogen werden können.16
Trotzdem dürfte die geänderte Sichtweise der BaFin dazu führen, dass künftig die bereits bisher geforderte Planung des Kapitalbedarfs17 eine gesteigerte Bedeutung erhält und daher neben der Substanzwertrechnung auch eine klassische Unternehmens- beziehungsweise Bilanzplanung erforderlich wird.
Die BaFin sieht in der zukunftsgerichteten Planung des Kapitalbedarfs - also einer normativen Perspektive - eine Ergänzung der Risikotragfähigkeit, um auch die zukünftige Fähigkeit abzubilden, die eigenen Risiken tragen zu können. Dieser zusätzliche Kapitalbedarf kann sich daraus ergeben, dass die Gesellschaft nicht - wie in der Substanzwertrechnung abgebildet - auf Abwicklung, sondern auf Fortbestand oder sogar auf Expansion angelegt ist. Expansion kann jedoch - ebenso wie eine erwartete Änderung der Geschäftsstrategie oder Änderungen des wirtschaftlichen Umfelds - dazu führen, dass die Gesellschaft Kapital und Liquidität benötigt, welche über den aus den künftigen Leasing-Erträgen erzeugten Rückfluss hinausgeht.18 Die Zusammenhänge sind in der Abbildung erläutert.
Es versteht sich von selbst, dass eine solche Kapitalbedarfsplanung mit der Substanzwertrechnung abgestimmt sein muss.
Schon bisher war in den MaRisk geregelt, dass die Angemessenheit der Methoden und Verfahren zur Bestimmung der Risikotragfähigkeit mindestens jährlich zu prüfen war. Dies wird in den neuen Regelungen noch weiter spezifiziert. Verlangt wird die nachvollziehbare Begründung der Methoden und Verfahren, die der Ermittlung der Risikotragfähigkeit zugrunde liegen.19 Bei der Verwendung externer Daten schließt dies die Prüfung ein, ob die Annahmen, die bei der Ermittlung dieser Daten zugrunde gelegen haben, die Verhältnisse der Gesellschaft angemessen widerspiegeln. Im Ergebnis wird es deswegen sinnvoll sein, die Risikotragfähigkeitsberechnungen durch Dritte wie den Wirtschaftsprüfer der Gesellschaft entsprechend dem IDW-Standard PS 810 prüfen zu lassen. Hierdurch kann allerdings die Verantwortung der Gesellschaft für die Berechnungen nicht verlagert werden. Dies wird in der Regel aber bereits so gehandhabt.
Risikosteuerung und -controlling
Die Anforderungen an die Einrichtung von angemessenen Risikosteuerungs- und -controllingprozessen haben sich nicht verändert. Nach wie vor verlangen die MaRisk eine Identifizierung, Beurteilung, Steuerung sowie Überwachung und Kommunikation der wesentlichen Risiken und damit etwa verbundener Risikokonzentrationen. 20
Weiterhin gibt es keine Regelungen in den MaRisk zu der Frage, wie die Risiken quantifiziert werden können. In der Praxis kleiner und mittlerer Gesellschaften hat sich dabei ein System herauskristallisiert, in dem einzelne Risiken in einer Risikoinventur aufgenommen und betragsmäßig geschätzt werden. Sodann werden sie mit einer ebenfalls geschätzten Eintrittswahrscheinlichkeit gewichtet, um auf diese Art und Weise ein Gesamtrisiko ermitteln zu können. Kompensatorische Maßnahmen (etwa mögliche Versicherungsentschädigungen) sind zu berücksichtigen.
Während bisher allerdings offen geblieben ist, in welchen Abständen berichtet werden muss, schreibt AT 4.3.2 Tz. 3 nunmehr ausdrücklich eine "mindestens vierteljährliche" schriftliche Information an die Geschäftsleitung und ein etwa vorhandenes Aufsichtsorgan vor, deren Einzelheiten in dem neu geschaffenen Abschnitt BT 3 "Anforderungen an die Risikoberichterstattung" geregelt sind. Im Wesentlichen geht es dabei darum, dass über die in AT 2.2 genannten Risiken und Risikoarten einzeln und in der Gesamtheit berichtet wird, wobei auch auf die voraussichtlich künftige Entwicklung dieser Risiken eingegangen werden muss. Art und Umfang der Berichterstattung richten sich wiederum nach der Größe der Gesellschaft und dem Umfang der Risiken (doppelte Proportionalität).
Weiterhin können sich Gesellschaften, die ausschließlich das Leasing-Geschäft betreiben (§ 1 I Nr. 10 Kreditwesengesetz) auf Antrag durch die BaFin von der Verpflichtung zur Einrichtung eines Risikocontrolling und der Compliance-Funktion - nicht aber von der Funktion einer Internen Revision - befreien lassen (§ 31 Abs. 2 KWG). Dies betrifft Gesellschaften mit weniger als 50 Beschäftigten und einer Bilanzsumme von weniger als 500 Millionen Euro.
Besondere Funktionen
Wird auf die Befreiung verzichtet, so können Risikocontrolling und Compliance in einer Person zusammengefasst werden. Ausdrücklich geregelt ist jetzt auch, dass diese Funktionen mit der Marktfolge zusammengefasst werden können, soweit hieraus keine wesentlichen Interessenkonflikte erkennbar werden. Dies gilt allerdings nur für Gesellschaften mit maximal drei Geschäftsleitern,21 was allerdings auf die Mehrzahl der kleinen und mittleren Gesellschaften zutreffen dürfte. Diese Funktionen dürfen auch mit weiteren aufsichtsrechtlichen Funktionen zusammengefasst werden (Geldwäschebeauftragter, Datenschutzbeauftragter, Meldewesen). Weiterhin nicht mit anderen Funktionen zusammengefasst werden kann die Interne Revision.
Insgesamt bieten die MaRisk kleinen und mittleren Leasing-Gesellschaften nunmehr einen weiteren Rahmen für die (risiko-)angemessene Organisation ihres Unternehmens. Einzige Richtschnur ist nunmehr nur noch die Frage möglicher Risikokonflikte bei einer Zusammenlegung von Funktionen. Dies ist entsprechend zu dokumentieren.
Outsourcing
Outsourcing - AT 9 der MaRisk verwendet jetzt den Begriff Auslagerung - von Geschäftsprozessen stellt angesichts knapper personeller und fachlicher Ressourcen gerade bei kleineren Gesellschaften weiterhin eine attraktive Alternative zu einer internen Lösung dar.
Auslagerungen sind weiterhin möglich und zulässig, solange hierdurch die Ordnungsmäßigkeit der Geschäftsorganisation nicht beeinträchtigt wird.
Die Geschäftsleitung bleibt weiterhin für den ausgelagerten Prozess verantwortlich.22 Dies bedeutet nunmehr auch, dass die Auslagerung nur in einem Umfang vorgenommen werden kann, der gewährleistet, dass das Unternehmen weiterhin über Kenntnisse und Erfahrungen verfügt, die eine wirksame Überwachung der von dem Dienstleister erbrachten Leistungen sicherstellt.23 Dies betrifft auch die Auslagerung der besonderen Funktionen; hier kann deswegen nicht die Funktion selber ausgelagert werden, sondern lediglich vorbereitende Handlungen und Hilfsfunktionen. Beispielsweise könnte ein Dienstleister mit der Durchführung von Internen Revisionen beauftragt werden, wenn die im Unternehmen für die Interne Revision verantwortliche Instanz die Revisionspläne genehmigt, Richtlinien für Umfang und Durchführung der Internen Revision erlassen und die Revisionsergebnisse fachlich gewürdigt hat.
Die aufsichtsrechtlichen Anforderungen, die in den Verträgen mit dem jeweiligen Dienstleister niedergelegt werden müssen, sind unverändert. Sie umfassen:24
- die Spezifizierung und Abgrenzung der von dem Dienstleister zu erbringenden Leistung;
- Festlegung angemessener Informations- und Prüfungsrechte der Internen Revision;
- Sicherstellung der uneingeschränkten Informations- und Prüfungsrechte sowie der Kontrollmöglichkeiten der Aufsichtsbehörden; -- soweit erforderlich Weisungsrechte;
- Regelungen, die sicherstellen, dass datenschutzrechtliche Bestimmungen und sonstige Sicherheitsanforderungen beachtet werden;
- Kündigungsrechte und angemessene Kündigungsfristen;
- Regelungen über die Möglichkeit und über die Modalitäten einer Weiterverlagerung, die sicherstellen, dass die Gesellschaft die aufsichtsrechtlichen Anforderungen weiterhin einhält;
- Verpflichtung des Dienstleisters, die Gesellschaft über Entwicklungen zu informieren, die die ordnungsgemäße Erledigung der ausgelagerten Aktivitäten und Prozesse beeinträchtigen können.
Da die Interne Revision nicht mit anderen besonderen Funktionen (intern) zusammengefasst werden kann, dürfte auch die Auslagerung dieser Funktion zusammen mit anderen Funktionen an denselben Dienstleister (extern) nicht möglich sein.
Klarstellend festgelegt wurde, dass auch Regelungen getroffen werden müssen, um bei einer Beendigung der Auslagerung den Prozess ohne zeitliche Verzögerung oder Datenverluste wieder auf das Unternehmen zurückverlagern zu können. Geregelt wurde auch, dass eine Weiterverlagerung der Aufgaben möglichst nur mit Zustimmung der auslagernden Gesellschaft erfolgen darf. Auf jeden Fall ist vertraglich sicherzustellen, dass die Vereinbarungen mit diesem Subunternehmer im Einklang mit dem ursprünglichen Auslagerungsvertrag stehen und dass das ursprüngliche Auslagerungsunternehmen die Gesellschaft über die Weiterverlagerung informiert. Insbesondere darf durch die Auslagerung das Aufsichtsrecht der BaFin nicht ausgehebelt werden, sodass sichergestellt werden muss, dass sich das Auslagerungsunternehmen ebenfalls der Aufsicht unterwirft.
Sofern die Auslagerungen einen größeren Umfang annehmen oder besonders komplex sind (zum Beispiel weil Prozesse in unterschiedlichem Umfang an verschiedene Dienstleister ausgelagert wurden), fordern die Ma-Risk die Einrichtung eines Auslagerungsmanagements, das folgende Aufgaben zu erfüllen hat:"25
- Implementierung und Weiterentwicklung eines angemessenen Auslagerungsmanagements und entsprechender Kontroll- und Überwachungsprozesse;
- Erstellung und Pflege einer vollständigen Dokumentation der Auslagerungen (einschließlich Weiterverlagerungen);
- Unterstützung der Fachabteilungen bezüglich der internen und gesetzlichen Anforderungen bei Auslagerungen;
- regelmäßige Risikoanalysen hinsichtlich der Angemessenheit der Auslagerung und der getroffenen Regelungen.
Da es sich bei der Auslagerung letztlich um eine strategische Entscheidung handelt, dürfte nichts dagegen sprechen, das Auslagerungsmanagement unmittelbar bei der Geschäftsleitung anzusiedeln. Die MaRisk stellen jetzt klar, dass der isolierte Bezug von (Leasing-)Software kein Outsourcing darstellt. Dies umfasst nicht nur den eigentlichen Kauf der Software, sondern auch folgende Dienstleistungen des Anbieters:26
- Anpassung der Software an die Erfordernisse der Gesellschaft (Customizing),
- entwicklungstechnische Umsetzung von Änderungswünschen (Programmierung),
- das Testen, die Freigabe und die Implementierung der Software in die Produktivsysteme,
- Fehlerbehebung (Wartung) gemäß den Anforderungs-/Fehlerbeschreibungen der Gesellschaft,
- sonstige Unterstützungsleistungen.
Unterstützungsleistungen sind nur dann nicht als Auslagerungen zu klassifizieren, wenn sie sich lediglich abstrakt auf IT-Fragen beziehen. Unterstützungsleistungen, die in konkrete Geschäfte eingreifen (zum Beispiel die Buchung konkreter Verträge, IT-gestützte Erstellung von Substanzwertrechnungen) oder die die Risikosteuerung- und -überwachung beeinflussen (zum Beispiel Steuerung der Risikoparameter) gelten als Auslagerung ebenso wie der komplette Betrieb des IT-Systems durch einen Dritten.
Neuerungen überschaubar
Insgesamt sind die durch die Ma-Risk vom 27. Oktober 2017 eingeführten echten Neuerungen überschaubar geblieben. Gerade für kleine und mittlere Leasing-Gesellschaften hat sich wenig Grundsätzliches geändert. Dies liegt insbesondere daran, dass infolge des Grundsatzes der doppelten Proportionalität viele Details der MaRisk auf diese Gesellschaften nicht oder nur abgemildert Anwendung finden. Oftmals handelt es sich auch um Regelungen, die bisher schon (freiwillig) umgesetzt wurden, nunmehr aber als Mindestanforderung durch die BaFin fixiert wurden.
Eine wirkliche Neuerung verbirgt sich möglicherweise hinter dem Konzept der normativen und ökonomischen Perspektive bei der Beurteilung der Risikotragfähigkeit. Hier könnte es dazu kommen, dass künftig die bisher allgemein gebräuchliche Substanzwertrechnung zum Nachweis der Risikotragfähigkeit nicht mehr ausreichend ist, sondern durch eine vollständige Unternehmensplanung (Bilanzplanung) für einen mehrjährigen Zeitraum zu ergänzen ist. Die Entwicklung bleibt abzuwarten.
Festzustellen ist allerdings, dass durch den höheren Detaillierungsgrad der MaRisk die Dokumentationsanforderungen an das Risikomanagementsystem (nochmals) gestiegen sind. Es empfiehlt sich daher, die vorhandenen Dokumentationen unter diesem Gesichtspunkt zu prüfen und gegebenenfalls (punktuell) anzupassen.
1) Begleitschreiben der BaFin vom 27.10.2017, Seite 6.
2) Vgl. Tönnes/Obst FLF 2/2015 Seite 21 ff.
3) Vgl. Braun in Boos/Fischer/Schulte-Mattler, KWG, 5. Auflage 2016, § 25a Tz. 88.
4) Vgl. AT 4.2.
5) Vgl. Erläuterungen der BaFin zu AT 4.2 Tz. 1.
6) Vgl. Erläuterungen der BaFin zu AT 3 Tz. 1.
7) Vgl. Hannemann/Schneider/Weigl, MaRisk, 4. Auflage 2013, Seite 110 f.
8) Vgl. Erläuterungen der BaFin zu AT 4.3.2 Tz. 3.
9) Vgl. BAIT Tz. 2.
10) Vgl. BAIT Tz. 18ff.
11) Vgl. Tönnes/Obst FLF 2/2015, Seite 24 ff.
12) Vgl. AT 4.1 Tz. 2.
13) Leitfaden "Aufsichtliche Beurteilung bank interner Risikotragfähigkeitskonzepte" vom 6. September 2017 (Diskussionspapier).
14) Vgl. Braun/Bußhardt , InsO, 7. Auflage 2017, § 19 InsO Tz. 32.
15) Vgl. Anwendungshinweise zur Umsetzung der MaRisk, Interpretationsleitfaden, BDL/Steria Mummert Consulting, 31. Juli 2009 Seite 50 ff.
16) Vgl. Leitfaden, a.a.O., Annex "Umgang mit bestehenden Ansätzen".
17) Vgl. AT 4.1 Tz. 10.
18) Vgl. Erläuterungen der BaFin zu AT 4.1 Tz. 11.
19) Vgl. AT 4.1 Tz. 8.
20) Vgl. AT 4.3.2.
21) Vgl. Erläuterungen der BaFin zu AT 4.4.1 Tz. 4.
22) Vgl. AT 9 Tz. 4.
23) Vgl. AT 9 Tz. 5.
24) Vgl. AT 9 Tz. 7.
25) Vgl. AT 9 Tz. 12 f.
26) Vgl. Erläuterungen der BaFin zu AT 9 Tz. 1.
