So kompliziert ist es also geworden!?

Ist Auf­sicht­srecht wirk­lich so kom­pliziert gewor­den oder machen wir uns die MaRisk-Umset­zung manch­mal schw­er­er als nötig? Wie kön­nen wir den Überblick behal­ten und welche Fra­gen helfen in der Risikoin­ven­tur und im laufend­en Risiko­man­age­ment weit­er?

Eines Mor­gens scrolle ich durch die Post­ings eines MaRisk-Forums: Artikel, Ver­anstal­tun­gen, Videos… Was man alles so braucht, um Auf­sicht­srecht heutzu­tage solide zu erfüllen. Beiträge, die sug­gerieren, wie gewisse Anforderun­gen zukün­ftig wohl aus­gelegt wer­den kön­nen und was es zu tun gilt, um diese einzuhal­ten. Darüber hin­aus Check­lis­ten und Umset­zung­shil­fen zu ökonomis­ch­er und nor­ma­tiv­er Risiko­tragfähigkeit, Stresstests und Gov­er­nance. Da steckt viel Arbeit und auch viel Gehirn­schmalz drin. Zwis­chen­drin ein Sem­i­nar, um englis­chsprachige Fach­be­griffe aus Banks­teuerung und reg­u­la­torischem Sprachge­brauch auf europäis­ch­er Ebene zu ler­nen und zu ver­ste­hen.

Ich lese mir einige der Beiträge etwas genauer durch, andere über­fliege ich. In mir kommt ein Unwohl­sein auf: So kom­pliziert ist es gewor­den mit dem Risiko­man­age­ment und dem Auf­sicht­srecht. Ich schließe das Forum , schaue auf die Uhr und es fühlt sich an als wäre ich kurz in ein­er anderen Welt gewe­sen – kein guter Ein­stieg in den Tag. ‚Das kann doch kein Men­sch schaf­fen,‘ denke ich kurz.

Wie konnte das passieren?

Oder bess­er: Ist es wirk­lich so kom­pliziert gewor­den? Ja und nein. Es gibt ohne Zweifel neue Anforderun­gen und auch welche, die den Insti­tuten und Ver­bän­den einiges abver­lan­gen. Aber Vor­sicht: Es gibt Anforderun­gen und es gibt (oft sub­jek­tive) Ausle­gun­gen. Und von let­zteren gibt es für meinen Geschmack mehr als erforder­lich.

Zu oft wer­den Ausle­gun­gen und auch Fest­stel­lun­gen, welche die Auf­sicht in einem ganz bes­timmten Kon­text getrof­fen hat, blin­d­lings aus diesem her­aus­geris­sen, ver­all­ge­mein­ert, über­tra­gen und manch­mal sog­ar als die neue Mess­lat­te für alle gehan­delt. Ger­ade eine kleine Bank oder Sparkasse kön­nte den gesamten Bank­be­trieb lahm­le­gen, um sich an der­ar­ti­gen Mess­lat­ten auszuricht­en.

Die Aufsicht arbeitet noch immer prinzipienorientiert.

Im Bere­ich der MaRisk kann ich Sie trösten. Nach inzwis­chen über zehn Jahren Prü­fungsvor­bere­itung und Prü­fungs­be­gleitung  im Bere­ich des § 44a KWG habe ich erlebt, dass die Auf­sicht mit viel Augen­maß unter­wegs ist. Sel­ten sah ich nen­nenswerte Fest­stel­lun­gen ohne einen konkreten Anlass oder geeigneten Hin­ter­grund.

Wenn Sie Fest­stel­lun­gen ver­ste­hen wollen, müssen Sie das Insti­tut und den Sachver­halt ken­nen. Was heute MaRisk-Ausle­gung ist, ist in vie­len Teilen „Geschichtss­chrei­bung” der Höhen und Tiefen deutsch­er Banks­teuerung. Seien Sie sich sich­er, dass die Auf­sicht jeden einzel­nen Sachver­halt akribisch dahinge­hend bew­ertet, welche Rel­e­vanz dieser für das jew­eils geprüfte Insti­tut ent­fal­tet und welch­es Risikopoten­zial in möglichen Schwach­stellen steckt.

Unpassende Auslegungen kosten Zeit, Geld und Ihre Nerven.

Sehr oft wird darüber gesprochen, was Defizite in der Risikos­teuerung bedeuten und was fehlende oder falsche Prozesse für Kon­se­quen­zen haben. Auch hier gibt es eine Art Fehler erster und zweit­er Ord­nung: Es gibt die Dinge, die Ihnen fehlen und welche Sie umset­zen soll­ten. Und es gibt höchst­wahrschein­lich auch Dinge, die Sie ein­fach­er machen kön­nten oder welche manch­mal sog­ar verzicht­bar sind.

Die Auf­sicht prüft nicht, was sie zu viel tun. Sich­er bekom­men Sie von fre­undlichen Prüfern gele­gentlich auch Hin­weise, wo Sie vielle­icht auch prag­ma­tis­ch­er arbeit­en kön­nten, aber es ist nicht der Job der Auf­sicht, Einspar­poten­ziale im Risiko­man­age­ment sowie in der Umset­zung der MaRisk zu iden­ti­fizieren und Alter­na­tiv­en aufzuzeigen.

Die Kosten ein­er zu gut gemein­ten Risikoüberwachung und -steuerung und zu kom­plex­en Prozessen kön­nen jedoch hoch sein: Erstens kosten sie natür­lich Zeit und per­son­elle Ressourcen und zweit­ens bleibt dabei manch­mal sog­ar das auf der Strecke, worum es eigentlich geht: Die qual­i­ta­tive Auseinan­der­set­zung mit der aktuellen Risiko­lage und die Ableitung wirk­lich Nutzen stif­ten­der Infor­ma­tio­nen und Steuerungsim­pulse.

Qualität vor Quantität.

Manche Insti­tute wären gut berat­en, weniger Dat­en aufzu­bere­it­en, dafür aber mehr Energie in die Inter­pre­ta­tion und Ableitung von Hand­lungsempfehlun­gen zu investieren.

Der inves­tiga­tive Umgang mit vorhan­de­nen Dat­en und Infor­ma­tio­nen kommt oft zu kurz. Das Risiko, dass hier­aus fehler­hafte oder schlichtweg fehlende Steuerungsim­pulse resul­tieren, ist oft größer als das Risiko, dass in einem oft großen Bericht­sum­fang noch eine kleine Angabe fehlt.

Qual­i­ta­tive Steuerung bedeutet dabei nicht nur, dass die Prozess- und Daten­qual­ität stimmt. Vielmehr geht es auch um die Würdi­gung und inhaltliche reflek­tierte Auseinan­der­set­zung mit der Unternehmenss­teuerung.

Im Mit­telpunkt sollte dabei ste­hen: „Welche Prozesse und Infor­ma­tio­nen braucht die Bank wirk­lich?” Die Kun­st beste­ht also auch hier darin, die richti­gen Dinge zu tun. Ein zu bre­ites und ständig disku­tiertes Spek­trum an Möglichkeit­en und Ausle­gun­gen, was man alles tun kön­nte, ist hier­bei eher kon­trapro­duk­tiv und lenkt schnell von den wichti­gen Din­gen und Zie­len ab.

Was Sie tun können.

Wie kön­nen Sie die Welt der MaRisk für sich und die Bank nun etwas ein­fach­er machen und den Überblick behal­ten?

  1. Tren­nen Sie echte Anforderun­gen und mögliche Ausle­gun­gen (Inter­pre­ta­tio­nen). Über­legen Sie erst selb­st, was die wirk­liche Absicht ein­er auf­sichtlichen Anforderung ist und wie Sie dieser in Ihrem Insti­tut mit gesun­dem Men­schen­ver­stand nachkom­men wür­den.
  2. Ver­ste­hen Sie Inter­pre­ta­tio­nen als ein Spek­trum von Möglichkeit­en, Sichtweisen und Umset­zungsvari­anten, das Ihnen zur Ver­fü­gung ste­ht. Sie kön­nen sich daraus bedi­enen, brauchen aber nie alles.
  3. Fra­gen Sie bei zweifel­haften Ausle­gun­gen, die sich für Sie über­zo­gen anfühlen, kri­tisch nach. Hin­ter­fra­gen Sie, woher diese kom­men und in welchem Kon­text die damit ver­bun­de­nen Sichtweisen ent­standen sind.
  4. Sprechen Sie mit Experten: Experten kön­nen Ihnen meis­tens konkret nachvol­lziehbare Prax­is-Beispiele nen­nen, in welchem Zusam­men­hang bes­timmte Ausle­gun­gen ent­standen sind. So kön­nen Sie prüfen und erken­nen, was in welchem Umfang für Sie Rel­e­vanz besitzt.
  5. Der beste Anknüp­fungspunkt für Ihre Umset­zung und Ihre eigene Ausle­gung auf­sichtlich­er Anforderun­gen ist die Risikoin­ven­tur. Im besten Fall ist diese nicht nur Werk zur Iden­ti­fika­tion wesentlich­er Risiken und Risikokonzen­tra­tio­nen. Sie ermöglicht Ihnen auch, schlüs­sig zu erken­nen und darzule­gen weshalb Sie bes­timmte Dinge tun, vere­in­facht tun oder auch lassen.
  6. Definieren Sie bei allem, was Sie tun, das „Warum” bzw. „Wofür”. Geben Sie sich auch hier nicht mit einem „Weil es in MaRisk AT x” ste­ht zufrieden. Definieren Sie den Sinn, die indi­vidu­elle Rel­e­vanz und Ihre Nutzen­er­wartung und hal­ten Sie diese fest. Machen Sie dieses Vorge­hen zum Rit­u­al in Pro­jek­ten, Organ­i­sa­tion­sricht­li­nen, Besprechun­gen und Beschlüssen.
  7. Lassen Sie sich nicht in oper­a­tive Hek­tik zu den Fra­gen „Wie” und „Was” ver­set­zen, bevor Sie das „Warum” und das „Wofür” nicht konkret gek­lärt haben. Das gilt auch, wenn Sie die Lösung faszinierend find­en.
  8. Trauen Sie sich zu fra­gen, was Sie nicht ver­ste­hen und führen Sie sich vor Augen, dass auch Spezial­is­ten manch­mal in Ihrer eige­nen Welt etwas ein­genom­men sind. Ermuti­gen Sie Mitar­beit­er, sich Freiräume zu schaf­fen und diese sin­nvoll auszugestal­ten.
  9. Haben Sie Mut, auch ein­mal „Nein” zu sagen und Unnötiges wegzu­lassen oder prag­ma­tis­ch­er zu gestal­ten und zeigen Sie auf, was stattdessen die wichtigere Alter­na­tive ist.
  10. Acht­en Sie darauf, dass Sie Herrsch­er Ihres Risiko­man­age­ments sind und nicht das Risiko­man­age­ment Sie beherrscht.
Wie Sie MaRisk wieder ein­fach machen.