Wie schnell sich die Regulierungswelle mittlerweile bewegt und dabei manche ihrer Ursprünge in Vergessenheit geraten, lässt sich gut am Beispiel des sogenannten Supervisory Review Process (SRP) verdeutlichen. Auch ausgewiesene Fachexperten verweisen mitunter darauf, dass der für die Institute zunehmend an Bedeutung gewinnende "Supervisory Review and Evaluation Process" (SREP) früher als SRP bezeichnet worden sei. Das ist allerdings nicht korrekt, wie ein Blick in die Geschichte zeigt. Im Juni 2004 hatten die Notenbankgouverneure der G10-Staa ten und die Präsidenten der Aufsichtsbehörden dieser Länder der vom Baseler Ausschuss für Bankenaufsicht (BCBS) überarbeiteten Rahmenvereinbarung zur internationalen Konvergenz der Kapitalmessung und Eigenkapitalanforderungen (Basel II) zugestimmt. Basel II setzte erstmals auf einer Drei-Säulen-Architektur auf, wobei der SRP den Kern der zweiten Säule bildete. Im September 2005 hat der europäische Gesetzgeber den SRP über die "Capital Requirements Directive" (CRD) in europäisches Recht transformiert.
ICAAP und der SREP: zwei Seiten einer Medaille
In der CRD bestand der SRP im Wesentlichen aus zwei Elementen: dem "Internal Capital Adequacy Assessment Process" (ICAAP) und dem "Supervisory Review and Evaluation Process" (SREP). Das "E" von "Evaluation" war also schon in der Geburtsstunde des SRP angelegt. Im Rahmen des ICAAP müssen die Institute auch heute noch gewährleisten, dass sie ihrem individuellen Risikoprofil entsprechend über genügend Kapital zur Abdeckung aller wesentlichen Risiken verfügen. Gleichzeitig fordert der Regulator von ihnen angemessene interne Governance-Strukturen sowie geeignete Strategien und Verfahren zum Management dieser Risiken. Die zuständigen Aufsichtsbehörden müssen beim SREP unter anderem die Qualität des ICAAP und die sachgerechte Umsetzung der genannten Anforderungen in den Instituten überprüfen und bewerten. Der ICAAP und der SREP sind folglich zwei Seiten einer Medaille, die den Namen SRP trägt.
Weder die Weiterentwicklung von Basel II noch die zugehörige Umsetzung auf europäischer Ebene durch die CRD in ihrer jeweiligen Fassung haben an dieser grundsätzlichen Ausrichtung etwas geändert. Allerdings hat der europäische Gesetzgeber die Anforderungen im Laufe der Jahre deutlich verschärft. Deshalb stellt die Aufsicht mittlerweile nicht mehr nur auf die Kapitalausstattung der Institute ab, sondern durch Einführung des "Internal Liquidity Adequacy Assessment Process" (ILAAP) ebenso auf ihre Liquiditätssituation.
Insofern müssen die zuständigen Behörden beim SREP sowohl den ICAAP als auch den ILAAP beurteilen. Zudem hat der europäische Gesetzgeber der Europäischen Bankenaufsichtsbehörde (EBA) das Mandat erteilt, Leitlinien zur Ausgestaltung des SREP zu erarbeiten, um diesen Prozess auf europäischer Ebene weiter zu harmonisieren. Im Ergebnis haben aufsichtliche Benchmark-Berechnungen stark an Bedeutung gewonnen. Gleichzeitig sind die Ansprüche an die Qualität des Kapitals zur Risikodeckung gestiegen. Die aktuellen Leitlinien zum SREP vom Dezember 2014 werden von der EBA gerade überarbeitet.
Maßgeblichkeit der MaRisk für die "bedeutenden Institute"
Da es sich bei der CRD um eine Richtlinie handelt, müssen deren Vorgaben von den beteiligten Staaten in nationales Recht überführt werden. Ebenso müssen die nationalen Aufsichtsbehörden die EBA-Leitlinien nach dem Prinzip "Comply or Explain" entweder umsetzen oder erklären, warum sie dies (in Teilen) nicht zu tun beabsichtigen. In Deutschland sind die Anforderungen an den ICAAP und den ILAAP in § 25a Abs. 1 KWG und die Vorgaben zum SREP in § 6b KWG niedergelegt. Als Konsequenz kann die Aufsicht gemäß § 10 Abs. 3 KWG einen zusätzlichen institutsspezifischen SREP-Kapitalzuschlag verhängen. Um die an die Institute gerichteten Anforderungen in § 25a Abs. 1 KWG zu konkretisieren, hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) in Zusammenarbeit mit der Deutschen Bundesbank im Dezember 2005 die Mindestanforderungen an das Risikomanagement (MaRisk) veröffentlicht. Bei diesem Rundschreiben, das in den Folgejahren mehrfach überarbeitet wurde, handelt es sich um norminterpretierende Verwaltungsvorschriften, mit denen die gesetzlichen Anforderungen des KWG konkreter ausgelegt werden.
Die Frage, die immer wieder die Gemüter erhitzt, betrifft die Maßgeblichkeit der MaRisk für die "bedeutenden Institute" in Deutschland, die seit November 2014 direkt von der Europäischen Zentralbank (EZB) beaufsichtigt werden. Auf diese Frage gibt es zunächst eine formale Antwort: Nach Erwägungsgrund 34 und Art. 4 Abs. 3 SSM-Verordnung muss die EZB zur Wahrnehmung der ihr übertragenen Aufgaben und mit dem Ziel, hohe Aufsichtsstandards zu gewährleisten, das einschlägige Unionsrecht anwenden. Wenn dieses Unionsrecht aus Richtlinien besteht, muss die EZB die nationalen Rechtsvorschriften berücksichtigen, mit denen diese Richtlinien umgesetzt wurden.
Klar ist insofern, dass die EZB die einschlägigen Paragrafen des KWG beachten muss. Weniger eindeutig verhält es sich mit den MaRisk, die als Verwaltungsvorschrift allein keinen Rechtsnormcharakter besitzen. Das Bundesministerium der Finanzen (BMF) hatte in der Vergangenheit diesen Weg der Umsetzung des Art. 74 CRD gewählt, weil damit für die deutsche Aufsicht eine ähnliche Bindungswirkung wie bei einer Rechtsnorm verbunden war. Vor dem Hintergrund der Etablierung des Einheitlichen Aufsichtsmechanismus (SSM) wurde dem BMF die Ermächtigung eingeräumt, die MaRisk in eine Rechtsverordnung zu überführen.
Inhalte und Grundlagen im Blick
Sofern das BMF von seiner Ermächtigung Gebrauch machen möchte, müsste es aufgrund entsprechender Vorschriften die EZB zumindest anhören. Die EZB hat die maßgeblichen Vorschriften in ihrem "Leitfaden zur Anhörung der Europäischen Zentralbank durch die nationalen Behörden zu Entwürfen für Rechtsvorschriften" vom Oktober 2015 zusammengetragen. Was die EZB davon halten würde, wenn auf nationaler Ebene in verschiedenen Ländern vollendete Tatsachen geschaffen würden, die letztlich ihrem Harmonisierungsauftrag im Wege stehen könnten, hat sie bereits bei verschiedenen Gelegenheiten verdeutlicht. Stoppen könnte die EZB einen solchen Prozess in Deutschland allerdings nicht. Derzeit ist es aus verschiedenen Gründen aber unwahrscheinlich, dass das BMF eine MaRisk-Verordnung außerhalb einer erneuten Novellierung der Anforderungen in Angriff nimmt.
So weit, so gut. Neben dieser formalen Ebene wird über die Maßgeblichkeit der MaRisk für "bedeutende Institute" allerdings auch inhaltlich diskutiert. Es ist keinesfalls so, dass die mit der Prüfung der "bedeutenden Institute" in Deutschland betrauten Joint Supervisory Teams bisher nur deshalb die MaRisk beim SREP zugrunde gelegt haben, weil sie mehrheitlich aus Mitarbeitern der Deutschen Bundesbank und der BaFin zusammengesetzt waren. Auch in den mit der laufenden Aufsicht betrauten Generaldirektionen MS I und MS II der EZB gibt es Vertreter, die ungeachtet der Frage nach der Maßgeblichkeit der MaRisk vor allem auf deren Inhalte und Grundlagen abstellen. Diesbezüglich lohnt es sich, die Entstehungsgeschichte der MaRisk und die Etappen ihrer Novellierung näher zu betrachten.
Entstehungsgeschichte der MaRisk und die Etappen ihrer Novellierung
Die deutsche Aufsicht hatte frühzeitig erkannt, dass eine rein quantitativ ausgestaltete Aufsichtspraxis nur wenige Erkenntnisse über die Qualität des Risikomanagements in den Instituten liefert. Bei vielen Schieflagen in der Vergangenheit waren zuvor keine nennenswerten Abweichungen hinsichtlich der quantitativen Kennziffern zu beobachten. Deshalb hatte die deutsche Aufsicht schon vor Basel II nach und nach eine ganze Reihe qualitativer Regelwerke veröffentlicht, die das Risikomanagement in den Instituten verbessern sollten.
Dazu gehörten die Mindestanforderungen an das Betreiben von Handelsgeschäften (MaH) vom Oktober 1995, die Mindestanforderungen an die Ausgestaltung der Internen Revision (MaIR) vom Januar 2000 und die Mindestanforderungen an das Kreditgeschäft (MaK) vom Dezember 2002. Schon zum damaligen Zeitpunkt sind die Vorgaben internationaler Standardsetzer eingeflossen, wie insbesondere die Prinzipien an das Management von Kreditrisiken vom BCBS. Diese drei Regelwerke wurden schließlich in die MaRisk überführt.
Bei zahlreichen Novellierungen der Ma-Risk haben die BaFin und die Deutsche Bundesbank neben den Erfahrungen aus der Prüfungspraxis die jeweiligen internationalen Entwicklungen berücksichtigt. Beispielhaft zu nennen sind für die erste Novelle im Oktober 2007 die Vorgaben der europäischen Finanzmarktrichtlinie (MiFID) und deren Durchführungsrichtlinie zur Organisation, zum Risikomanagement, zur Internen Revision, zur Geschäftsleiterverantwortung und zu Auslagerungen. Die zweite Novelle im August 2009 basierte vornehmlich auf Vorgaben des Financial Stability Board (FSB) und darauf basierender Folgearbeiten vom BCBS zu Stresstests und zum Management der Liquiditätsrisiken.
Ausgebaut wurden zudem die Anforderungen an Risikokonzentrationen und das Risikomanagement auf Gruppenebene. Ferner wurden die Pflichten der Geschäftsleitung gegenüber dem Aufsichtsorgan erweitert. Bereits im Dezember 2010 folgte die dritte Novelle mit neuen Anforderungen an die Strategien und an die Risikotragfähigkeitskonzepte. Die Umsetzung von Basel III ging im Rahmen der vierten Novelle im Dezember 2012 mit einer Stärkung der besonderen Funktionen und einer Konkretisierung des Zusammenwirkens zwischen der Geschäftsleitung und dem Aufsichtsorgan einher.
Einen erheblichen Einfluss hatten damals die Leitlinien der EBA zur internen Governance. Umgesetzt wurden dabei auch ältere Vorgaben zum Management operationeller Risiken in Handelsaktivitäten. Schließlich stellte die fünfte Novelle im Oktober 2017 auf die Anforderungen vom BCBS an die Risikodatenaggregation und die Risikoberichterstattung ab. In dieser Novelle spiegelt sich auch die zunehmende Bedeutung der Informationstechnologie und von Auslagerungen wider. Aufgegriffen wurden daneben Initiativen mehrerer Standardsetzer, um eine angemessene Risikokultur in den Instituten zu etablieren.
Vorgaben internationaler Standardsetzer
An der Entwicklung der MaRisk wird deutlich, dass sie nicht vom Himmel gefallen sind, sondern in diversen Bereichen in erster Linie die CRD umsetzen und die Vorgaben internationaler Standardsetzer aufgreifen. Damit rücken anstelle der Maßgeblichkeit der MaRisk für die "bedeutenden Institute" zwei neue Fragen in den Vordergrund: In welchem Maße weichen die MaRisk von den Vorgaben der internationalen Standardsetzer ab? Und wie würde die deutsche Aufsicht auf harmonisierte europäische Vorgaben reagieren?
Hinsichtlich der ersten Frage wäre zum Beispiel die verpflichtende Einrichtung einer Marktfolge zu nennen, der die vertriebsunabhängige Votierung im Kreditgeschäft zukommt. Diese Funktion, mit der das Vier-Augen-Prinzip im Kreditgeschäft umgesetzt wird, findet sich in internationalen Regelwerken in dieser Form nicht wieder, was häufig zu Diskussionen über ihre Abgrenzung von der Risikocontrolling-Funktion führt. Allerdings hatte der BCBS schon im Jahre 2000 empfohlen, dass der Kreditentscheidungsprozess unter Proportionalitätsgesichtspunkten nicht nur auf einem Votum basieren sollte.
EZB als Treiber der Harmonisierung
Das Ziel einer Harmonisierung der europäischen Aufsichtspraxis besteht auch nicht in der Vereinheitlichung der Geschäfts- oder Organisationsmodelle, sondern in der Schaffung eines "Level Playing Field". Gerade vor diesem Hintergrund sollte in der Aufsichtspraxis darauf geachtet werden, dass "bedeutende Institute" nicht durch ergänzende nationale Vorgaben im Wettbewerb benachteiligt werden. So könnten die MaRisk zum Beispiel mit den zahlreichen EBA- Leitlinien abgeglichen werden, um mögliche Abweichungen oder Wertungswidersprüche zu identifizieren. Eventuelle Mehrbelastungen sollten dann ihren Niederschlag im SREP finden. Dies würde letztlich auch den "weniger bedeutenden Instituten" in Deutschland zugutekommen, die in absehbarer Zeit mit harmonisierten europäischen Vorgaben zum SREP umgehen müssen.
Mit Blick auf die zweite Frage lässt sich zunächst festhalten, dass die Harmonisierung seit der Etablierung des SSM im November 2014 von der EZB vorangetrieben wird. Derzeit entwickelt die EZB unter anderem SSM-Leitfäden zum ICAAP und zum ILAAP, in denen sie Erwartungen an die Institute formuliert, die sich zu einem großen Teil ebenfalls aus europäischen Richtlinien und Leitlinien der EBA ableiten lassen. Die deutsche Aufsicht ist an diesem Prozess maßgeblich beteiligt. Insofern verwundert es nicht, dass die Grundsätze im neuen nationalen Leitfaden zum Risikotragfähigkeitskonzept mit den Vorgaben der EZB zum ICAAP quasi übereinstimmen. Insgesamt ist zu erwarten, dass sich die Vorgaben der EZB und der deutschen Aufsicht, die regelmäßig überarbeitet werden, im Laufe der Zeit weiter angleichen werden. Vielleicht stehen am Ende dieses Prozesses sogar europäische MaRisk.