So kompliziert ist es also geworden!?

Ist Aufsichtsrecht wirklich so kompliziert geworden oder machen wir uns die MaRisk-Umsetzung manchmal schwerer als nötig? Wie können wir den Überblick behalten und welche Fragen helfen in der Risikoinventur und im laufenden Risikomanagement weiter?

Eines Morgens scrolle ich durch die Postings eines MaRisk-Forums: Artikel, Veranstaltungen, Videos… Was man alles so braucht, um Aufsichtsrecht heutzutage solide zu erfüllen. Beiträge, die suggerieren, wie gewisse Anforderungen zukünftig wohl ausgelegt werden können und was es zu tun gilt, um diese einzuhalten. Darüber hinaus Checklisten und Umsetzungshilfen zu ökonomischer und normativer Risikotragfähigkeit, Stresstests und Governance. Da steckt viel Arbeit und auch viel Gehirnschmalz drin. Zwischendrin ein Seminar, um englischsprachige Fachbegriffe aus Banksteuerung und regulatorischem Sprachgebrauch auf europäischer Ebene zu lernen und zu verstehen.

Ich lese mir einige der Beiträge etwas genauer durch, andere überfliege ich. In mir kommt ein Unwohlsein auf: So kompliziert ist es geworden mit dem Risikomanagement und dem Aufsichtsrecht. Ich schließe das Forum , schaue auf die Uhr und es fühlt sich an als wäre ich kurz in einer anderen Welt gewesen – kein guter Einstieg in den Tag. ‘Das kann doch kein Mensch schaffen,’ denke ich kurz.

Wie konnte das passieren?

Oder besser: Ist es wirklich so kompliziert geworden? Ja und nein. Es gibt ohne Zweifel neue Anforderungen und auch welche, die den Instituten und Verbänden einiges abverlangen. Aber Vorsicht: Es gibt Anforderungen und es gibt (oft subjektive) Auslegungen. Und von letzteren gibt es für meinen Geschmack mehr als erforderlich.

Zu oft werden Auslegungen und auch Feststellungen, welche die Aufsicht in einem ganz bestimmten Kontext getroffen hat, blindlings aus diesem herausgerissen, verallgemeinert, übertragen und manchmal sogar als die neue Messlatte für alle gehandelt. Gerade eine kleine Bank oder Sparkasse könnte den gesamten Bankbetrieb lahmlegen, um sich an derartigen Messlatten auszurichten.

Die Aufsicht arbeitet noch immer prinzipienorientiert.

Im Bereich der MaRisk kann ich Sie trösten. Nach inzwischen über zehn Jahren Prüfungsvorbereitung und Prüfungsbegleitung  im Bereich des § 44a KWG habe ich erlebt, dass die Aufsicht mit viel Augenmaß unterwegs ist. Selten sah ich nennenswerte Feststellungen ohne einen konkreten Anlass oder geeigneten Hintergrund.

Wenn Sie Feststellungen verstehen wollen, müssen Sie das Institut und den Sachverhalt kennen. Was heute MaRisk-Auslegung ist, ist in vielen Teilen “Geschichtsschreibung” der Höhen und Tiefen deutscher Banksteuerung. Seien Sie sich sicher, dass die Aufsicht jeden einzelnen Sachverhalt akribisch dahingehend bewertet, welche Relevanz dieser für das jeweils geprüfte Institut entfaltet und welches Risikopotenzial in möglichen Schwachstellen steckt.

Unpassende Auslegungen kosten Zeit, Geld und Ihre Nerven.

Sehr oft wird darüber gesprochen, was Defizite in der Risikosteuerung bedeuten und was fehlende oder falsche Prozesse für Konsequenzen haben. Auch hier gibt es eine Art Fehler erster und zweiter Ordnung: Es gibt die Dinge, die Ihnen fehlen und welche Sie umsetzen sollten. Und es gibt höchstwahrscheinlich auch Dinge, die Sie einfacher machen könnten oder welche manchmal sogar verzichtbar sind.

Die Aufsicht prüft nicht, was sie zu viel tun. Sicher bekommen Sie von freundlichen Prüfern gelegentlich auch Hinweise, wo Sie vielleicht auch pragmatischer arbeiten könnten, aber es ist nicht der Job der Aufsicht, Einsparpotenziale im Risikomanagement sowie in der Umsetzung der MaRisk zu identifizieren und Alternativen aufzuzeigen.

Die Kosten einer zu gut gemeinten Risikoüberwachung und -steuerung und zu komplexen Prozessen können jedoch hoch sein: Erstens kosten sie natürlich Zeit und personelle Ressourcen und zweitens bleibt dabei manchmal sogar das auf der Strecke, worum es eigentlich geht: Die qualitative Auseinandersetzung mit der aktuellen Risikolage und die Ableitung wirklich Nutzen stiftender Informationen und Steuerungsimpulse.

Qualität vor Quantität.

Manche Institute wären gut beraten, weniger Daten aufzubereiten, dafür aber mehr Energie in die Interpretation und Ableitung von Handlungsempfehlungen zu investieren.

Der investigative Umgang mit vorhandenen Daten und Informationen kommt oft zu kurz. Das Risiko, dass hieraus fehlerhafte oder schlichtweg fehlende Steuerungsimpulse resultieren, ist oft größer als das Risiko, dass in einem oft großen Berichtsumfang noch eine kleine Angabe fehlt.

Qualitative Steuerung bedeutet dabei nicht nur, dass die Prozess- und Datenqualität stimmt. Vielmehr geht es auch um die Würdigung und inhaltliche reflektierte Auseinandersetzung mit der Unternehmenssteuerung.

Im Mittelpunkt sollte dabei stehen: “Welche Prozesse und Informationen braucht die Bank wirklich?” Die Kunst besteht also auch hier darin, die richtigen Dinge zu tun. Ein zu breites und ständig diskutiertes Spektrum an Möglichkeiten und Auslegungen, was man alles tun könnte, ist hierbei eher kontraproduktiv und lenkt schnell von den wichtigen Dingen und Zielen ab.

Was Sie tun können.

Wie können Sie die Welt der MaRisk für sich und die Bank nun etwas einfacher machen und den Überblick behalten?

  1. Trennen Sie echte Anforderungen und mögliche Auslegungen (Interpretationen). Überlegen Sie erst selbst, was die wirkliche Absicht einer aufsichtlichen Anforderung ist und wie Sie dieser in Ihrem Institut mit gesundem Menschenverstand nachkommen würden.
  2. Verstehen Sie Interpretationen als ein Spektrum von Möglichkeiten, Sichtweisen und Umsetzungsvarianten, das Ihnen zur Verfügung steht. Sie können sich daraus bedienen, brauchen aber nie alles.
  3. Fragen Sie bei zweifelhaften Auslegungen, die sich für Sie überzogen anfühlen, kritisch nach. Hinterfragen Sie, woher diese kommen und in welchem Kontext die damit verbundenen Sichtweisen entstanden sind.
  4. Sprechen Sie mit Experten: Experten können Ihnen meistens konkret nachvollziehbare Praxis-Beispiele nennen, in welchem Zusammenhang bestimmte Auslegungen entstanden sind. So können Sie prüfen und erkennen, was in welchem Umfang für Sie Relevanz besitzt.
  5. Der beste Anknüpfungspunkt für Ihre Umsetzung und Ihre eigene Auslegung aufsichtlicher Anforderungen ist die Risikoinventur. Im besten Fall ist diese nicht nur Werk zur Identifikation wesentlicher Risiken und Risikokonzentrationen. Sie ermöglicht Ihnen auch, schlüssig zu erkennen und darzulegen weshalb Sie bestimmte Dinge tun, vereinfacht tun oder auch lassen.
  6. Definieren Sie bei allem, was Sie tun, das “Warum” bzw. “Wofür”. Geben Sie sich auch hier nicht mit einem “Weil es in MaRisk AT x” steht zufrieden. Definieren Sie den Sinn, die individuelle Relevanz und Ihre Nutzenerwartung und halten Sie diese fest. Machen Sie dieses Vorgehen zum Ritual in Projekten, Organisationsrichtlinen, Besprechungen und Beschlüssen.
  7. Lassen Sie sich nicht in operative Hektik zu den Fragen “Wie” und “Was” versetzen, bevor Sie das “Warum” und das “Wofür” nicht konkret geklärt haben. Das gilt auch, wenn Sie die Lösung faszinierend finden.
  8. Trauen Sie sich zu fragen, was Sie nicht verstehen und führen Sie sich vor Augen, dass auch Spezialisten manchmal in Ihrer eigenen Welt etwas eingenommen sind. Ermutigen Sie Mitarbeiter, sich Freiräume zu schaffen und diese sinnvoll auszugestalten.
  9. Haben Sie Mut, auch einmal “Nein” zu sagen und Unnötiges wegzulassen oder pragmatischer zu gestalten und zeigen Sie auf, was stattdessen die wichtigere Alternative ist.
  10. Achten Sie darauf, dass Sie Herrscher Ihres Risikomanagements sind und nicht das Risikomanagement Sie beherrscht.
Wie Sie MaRisk wieder einfach machen.