Contents
Risk Management
§ 317 Abs. 4 HGB
(4) Bei einer börsennotierten Aktiengesellschaft ist außerdem im Rahmen der Prüfung zu beurteilen, ob der Vorstand die ihm nach § 91 Abs. 2 des Aktiengesetzes obliegenden Maßnahmen in einer geeigneten Form getroffen hat und ob das danach einzurichtende Überwachungssystem seine Aufgaben erfüllen kann.
§ 91 Abs. 2 AktG
(2) Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.
§ 289 Abs. 1 HGB
(1) Im Lagebericht sind der Geschäftsverlauf einschließlich des Geschäftsergebnisses und die Lage der Kapitalgesellschaft so darzustellen, dass ein den tatsächlichen Verhältnissen entsprechendes Bild vermittelt wird. Er hat eine ausgewogene und umfassende, dem Umfang und der Komplexität der Geschäftstätigkeit entsprechende Analyse des Geschäftsverlaufs und der Lage der Gesellschaft zu enthalten. In die Analyse sind die für die Geschäftstätigkeit bedeutsamsten finanziellen Leistungsindikatoren einzubeziehen und unter Bezugnahme auf die im Jahresabschluss ausgewiesenen Beträge und Angaben zu erläutern. Ferner ist im Lagebericht die voraussichtliche Entwicklung mit ihren wesentlichen Chancen und Risiken zu beurteilen und zu erläutern; zugrunde liegende Annahmen sind anzugeben. Die Mitglieder des vertretungsberechtigten Organs einer Kapitalgesellschaft, die als Inlandsemittent (§ 2 Absatz 14 des Wertpapierhandelsgesetzes) Wertpapiere (§ 2 Absatz 1 des Wertpapierhandelsgesetzes) begibt und keine Kapitalgesellschaft im Sinne des § 327a ist, haben in einer dem Lagebericht beizufügenden schriftlichen Erklärung zu versichern, dass im Lagebericht nach bestem Wissen der Geschäftsverlauf einschließlich des Geschäftsergebnisses und die Lage der Kapitalgesellschaft so dargestellt sind, dass ein den tatsächlichen Verhältnissen entsprechendes Bild vermittelt wird und dass die wesentlichen Chancen und Risiken im Sinne des Satzes 4 beschrieben sind.
§ 53 HGrG
(1) Gehört einer Gebietskörperschaft die Mehrheit der Anteile eines Unternehmens in einer Rechtsform des privaten Rechts oder gehört ihr mindestens der vierte Teil der Anteile und steht ihr zusammen mit anderen Gebietskörperschaften die Mehrheit der Anteile zu, so kann sie verlangen, daß das Unternehmen
1.im Rahmen der Abschlußprüfung auch die Ordnungsmäßigkeit der Geschäftsführung prüfen läßt;
2.die Abschlußprüfer beauftragt, in ihrem Bericht auch darzustellen
a) die Entwicklung der Vermögens- und Ertragslage sowie die Liquidität und Rentabilität der Gesellschaft,
b) verlustbringende Geschäfte und die Ursachen der Verluste, wenn diese Geschäfte und die Ursachen für die Vermögens- und Ertragslage von Bedeutung waren,
c) die Ursachen eines in der Gewinn- und Verlustrechnung ausgewiesenen Jahresfehlbetrages;3.ihr den Prüfungsbericht der Abschlußprüfer und, wenn das Unternehmen einen Konzernabschluß aufzustellen hat, auch den Prüfungsbericht der Konzernabschlußprüfer unverzüglich nach Eingang übersendet.
(2) Für die Anwendung des Absatzes 1 rechnen als Anteile der Gebietskörperschaft auch Anteile, die einem Sondervermögen der Gebietskörperschaft gehören. Als Anteile der Gebietskörperschaft gelten ferner Anteile, die Unternehmen gehören, bei denen die Rechte aus Absatz 1 der Gebietskörperschaft zustehen.
IDW PS 340
Die Prüfung des Risikofrüherkennungssystems nach § 317 Abs. 4 HGB
IDW PS 981
Grundsätze ordnungsmäßiger Prüfung von Risikomanagementsystemen
§ 25a KWG
(1) Ein Institut muss über eine ordnungsgemäße Geschäftsorganisation verfügen, die die Einhaltung der vom Institut zu beachtenden gesetzlichen Bestimmungen und der betriebswirtschaftlichen Notwendigkeiten gewährleistet. Die Geschäftsleiter sind für die ordnungsgemäße Geschäftsorganisation des Instituts verantwortlich; sie haben die erforderlichen Maßnahmen für die Ausarbeitung der entsprechenden instituts internen Vorgaben zu ergreifen, sofern nicht das Verwaltungs- oder Aufsichtsorgan entscheidet. Eine ordnungsgemäße Geschäftsorganisation muss insbesondere ein angemessenes und wirksames Risikomanagement umfassen, auf dessen Basis ein Institut die Risikotragfähigkeit laufend sicherzustellen hat; das Risikomanagement umfasst insbesondere
- die Festlegung von Strategien, insbesondere die Festlegung einer auf die nachhaltige Entwicklung des Instituts gerichteten Geschäftsstrategie und einer damit konsistenten Risikostrategie, sowie die Einrichtung von Prozessen zur Planung, Umsetzung, Beurteilung und Anpassung der Strategien;
- Verfahren zur Ermittlung und Sicherstellung der Risikotragfähigkeit, wobei eine vorsichtige Ermittlung der Risiken und des zu ihrer Abdeckung verfügbaren Risikodeckungspotenzials zugrunde zu legen ist;
- die Einrichtung interner Kontrollverfahren mit einem internen Kontrollsystem und einer Internen Revision, wobei das interne Kontrollsystem insbesondere
- aufbau- und ablauforganisatorische Regelungen mit klarer Abgrenzung der Verantwortungsbereiche,
- Prozesse zur Identifizierung, Beurteilung, Steuerung sowie Überwachung und Kommunikation der Risiken entsprechend den in Titel VII Kapitel 2 Abschnitt 2 Unterabschnitt II der Richtlinie 2013/36/EU niedergelegten Kriterien und
- eine Risikocontrolling-Funktion und eine Compliance-Funktion umfasst;
- eine angemessene personelle und technischorganisatorische Ausstattung des Instituts;
- die Festlegung eines angemessenen Notfallkonzepts, insbesondere für IT-Systeme, und
- angemessene, transparente und auf eine nachhaltige Entwicklung des Instituts ausgerichtete Vergütungssysteme für Geschäftsleiter und Mitarbeiter unter Berücksichtigung von Absatz 5; dies gilt mit Ausnahme der Pflicht zur Offenlegung vergütungsbezogener Informationen nicht, soweit die Vergütung durch Tarifvertrag oder in seinem Geltungsbereich durch Vereinbarung der Arbeitsvertragsparteien über die Anwendung der tarifvertraglichen Regelungen oder auf Grund eines Tarifvertrags in einer Betriebs- oder Dienstvereinbarung vereinbart ist.Die Ausgestaltung des Risikomanagements hängt von Art, Umfang, Komplexität und Risikogehalt der Geschäftstätigkeit ab. Seine Angemessenheit und Wirksamkeit ist vom Institut regelmäßig zu überprüfen. Eine ordnungsgemäße Geschäftsorganisation umfasst darüber hinaus
- angemessene Regelungen, anhand derer sich die finanzielle Lage des Instituts jederzeit mit hinreichender Genauigkeit bestimmen lässt;
- eine vollständige Dokumentation der Geschäftstätigkeit, die eine lückenlose Überwachung durch die Bundesanstalt für ihren Zuständigkeitsbereich gewährleistet; erforderliche Aufzeichnungen sind mindestens fünf Jahre aufzubewahren; § 257 Absatz 4 des Handelsgesetzbuchs bleibt unberührt, § 257 Absatz 3 und 5 des Handelsgesetzbuchs gilt entsprechend;
- einen Prozess, der es den Mitarbeitern unter Wahrung der Vertraulichkeit ihrer Identität ermöglicht, Verstöße gegen die Verordnung (EU) Nr. 575/2013, die Verordnung (EU) Nr. 596/2014 des Europäischen Parlaments und des Rates vom 16. April 2014 über Marktmissbrauch (Marktmissbrauchsverordnung) und zur Aufhebung der Richtlinie 2003/6/EG des Europäischen Parlaments und des Rates und der Richtlinien 2003/124/EG, 2003/125/EG und 2004/72/EG der Kommission (ABl. L 173 vom 12.6.2014, S. 1), die zuletzt durch die Verordnung (EU) 2016/1033 (ABl. L 175 vom 30.6.2016, S. 1; L 287 vom 21.10.2016, S. 320; L 306 vom 15.11.2016, S. 43; L 348 vom 21.12.2016, S. 83) geändert worden ist, die Verordnung (EU) Nr. 600/2014, die Verordnung (EU) Nr. 1286/2014 oder die Verordnung (EU) 2017/1129 des Europäischen Parlaments und des Rates vom 14. Juni 2017 über den Prospekt, der beim öffentlichen Angebot von Wertpapieren oder bei deren Zulassung zum Handel an einem geregelten Markt zu veröffentlichen ist und zur Aufhebung der Richtlinie 2003/71/EG (ABl. L 168 vom 30.6.2017, S. 12) oder gegen dieses Gesetz oder gegen die auf Grund dieses Gesetzes erlassenen Rechtsverordnungen oder gegen das Wertpapierhandelsgesetz oder gegen die auf Grund des Wertpapierhandelsgesetzes erlassenen Rechtsverordnungen sowie etwaige strafbare Handlungen innerhalb des Unternehmens an geeignete Stellen zu berichten.
(2) Die Bundesanstalt kann Vorgaben zur Ausgestaltung einer plötzlichen und unerwarteten Zinsänderung und zur Ermittlungsmethodik der Auswirkungen auf den Barwert bezüglich der Zinsänderungsrisiken aus den nicht unter das Handelsbuch fallenden Geschäften festlegen. Die Bundesanstalt kann gegenüber einem Institut im Einzelfall Anordnungen treffen, die geeignet und erforderlich sind, die ordnungsgemäße Geschäftsorganisation im Sinne des Absatzes 1 Satz 3 und 6 sowie die Beachtung der Vorgaben nach Satz 1 sicherzustellen.
(3) Die Absätze 1 und 2 gelten für Institutsgruppen, Finanzholding-Gruppen und gemischte Finanzholding-Gruppen sowie Unterkonsolidierungsgruppen nach Artikel 22 der Verordnung (EU) Nr. 575/2013 mit der Maßgabe entsprechend, dass die Geschäftsleiter des übergeordneten oder zur Unterkonsolidierung verpflichteten Unternehmens für die ordnungsgemäße Geschäftsorganisation der Institutsgruppe, Finanzholding-Gruppe, gemischten Finanzholding-Gruppe oder der Unterkonsolidierungsgruppe verantwortlich sind. Zu einer Gruppe im Sinne von Satz 1 gehören auch Tochterunternehmen eines übergeordneten Unternehmens oder nachgeordneten Tochterunternehmens einer Institutsgruppe, Finanzholding-Gruppe oder gemischten Finanzholding-Gruppe, auf die weder die Verordnung (EU) Nr. 575/2013 noch § 1a zur Anwendung kommt. Die sich aus der Einbeziehung in das Risikomanagement auf Gruppenebene ergebenden Pflichten müssen von Tochterunternehmen der Gruppe mit Sitz in einem Drittstaat nur insoweit beachtet werden, als diese Pflichten nicht dem geltenden Recht im Herkunftsstaat des Tochterunternehmens entgegenstehen.
(4) Das Bundesministerium der Finanzen wird ermächtigt, durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, im Einvernehmen mit der Deutschen Bundesbank und nach Anhörung der Europäischen Zentralbank nähere Bestimmungen über die Ausgestaltung eines angemessenen und wirksamen Risikomanagements auf Einzelinstituts- und Gruppenebene gemäß Absatz 1 Satz 3 Nummer 1 bis 5 und Absatz 3 und der jeweils zugehörigen Tätigkeiten und Prozesse zu erlassen. Vor Erlass der Rechtsverordnung sind die Spitzenverbände der Institute zu hören.
(5) Die Institute haben angemessene Verhältnisse zwischen der variablen und fixen jährlichen Vergütung für Mitarbeiter und Geschäftsleiter festzulegen. Dabei darf die variable Vergütung vorbehaltlich eines Beschlusses nach Satz 5 jeweils 100 Prozent der fixen Vergütung für jeden einzelnen Mitarbeiter oder Geschäftsleiter nicht überschreiten. Hierbei kann für bis zu 25 Prozent der variablen Vergütung der zukünftige Wert auf den Zeitpunkt der Mitteilung an die jeweiligen Mitarbeiter oder Geschäftsleiter über die Höhe der variablen Vergütung für einen Bemessungszeitraum abgezinst werden, wenn dieser Teil der variablen Vergütung in Instrumenten gezahlt wird, die für die Dauer von mindestens fünf Jahren nach dieser Mitteilung zurückbehalten werden. Bei der Zurückbehaltung dürfen ein Anspruch und eine Anwartschaft auf diesen Teil der variablen Vergütung erst nach Ablauf des Zurückbehaltungszeitraums erwachsen und während des Zurückbehaltungszeitraums lediglich ein Anspruch auf fehlerfreie Ermittlung des noch nicht zu einer Anwartschaft oder einem Anspruch erwachsenen Teils dieses Teils der variablen Vergütung bestehen, nicht aber auf diesen Teil der variablen Vergütung selbst. Die Anteilseigner, die Eigentümer, die Mitglieder oder die Träger des Instituts können über die Billigung einer höheren variablen Vergütung als nach Satz 2, die 200 Prozent der fixen Vergütung für jeden einzelnen Mitarbeiter oder Geschäftsleiter nicht überschreiten darf, beschließen. Zur Billigung einer höheren variablen Vergütung als nach Satz 2 für Mitarbeiter haben die Geschäftsleitung und das Verwaltungs- oder Aufsichtsorgan, zur Billigung einer höheren variablen Vergütung als nach Satz 2 für Geschäftsleiter nur das Verwaltungs- oder Aufsichtsorgan, einen Vorschlag zur Beschlussfassung zu machen; der Vorschlag hat die Gründe für die erbetene Billigung einer höheren variablen Vergütung als nach Satz 2 und deren Umfang, einschließlich der Anzahl der betroffenen Mitarbeiter und Geschäftsleiter sowie ihrer Funktionen, und den erwarteten Einfluss einer höheren variablen Vergütung als nach Satz 2 auf die Anforderung, eine angemessene Eigenmittelausstattung vorzuhalten, darzulegen. Der Beschlussvorschlag ist so rechtzeitig vor der Beschlussfassung bekannt zu machen, dass sich die Anteilseigner, die Eigentümer, die Mitglieder oder die Träger des Instituts angemessen informieren können; üben die Anteilseigner, die Eigentümer, die Mitglieder oder die Träger ihre Rechte in einer Versammlung aus, ist der Beschlussvorschlag mit der Einberufung der Versammlung bekannt zu machen. Der Beschluss bedarf einer Mehrheit von mindestens 66 Prozent der abgegebenen Stimmen, sofern mindestens 50 Prozent der Stimmrechte bei der Beschlussfassung vertreten sind, oder von mindestens 75 Prozent der abgegebenen Stimmen. Anteilseigner, Eigentümer, Mitglieder oder Träger die als Mitarbeiter oder Geschäftsleiter von einer höheren variablen Vergütung als nach Satz 2 betroffen wären, dürfen ihr Stimmrecht weder unmittelbar noch mittelbar ausüben.
(5a) Auf Risikoträger und Risikoträgerinnen bedeutender Institute, deren jährliche fixe Vergütung das Dreifache der Beitragsbemessungsgrenze in der allgemeinen Rentenversicherung im Sinne des § 159 des Sechsten Buches Sozialgesetzbuch überschreitet und die keine Geschäftsführer, Betriebsleiter und ähnliche leitende Angestellte sind, die zur selbständigen Einstellung oder Entlassung von Arbeitnehmern berechtigt sind, findet § 9 Absatz 1 Satz 2 des Kündigungsschutzgesetzes mit der Maßgabe Anwendung, dass der Antrag des Arbeitgebers auf Auflösung des Arbeitsverhältnisses keiner Begründung bedarf. § 14 Absatz 1 des Kündigungsschutzgesetzes bleibt unberührt.
(5b) Ein bedeutendes Institut hat auf der Grundlage einer Risikoanalyse eigenverantwortlich die Risikoträger und Risikoträgerinnen zu ermitteln. Dabei sind immer mindestens die Kriterien gemäß den Artikeln 3 und 4 der Delegierten Verordnung (EU) Nr. 604/2014 der Kommission vom 4. März 2014 zur Ergänzung der Richtlinie 2013/36/EU des Europäischen Parlaments und des Rates im Hinblick auf technische Regulierungsstandards in Bezug auf qualitative und angemessene quantitative Kriterien zur Ermittlung der Mitarbeiterkategorien, deren berufliche Tätigkeit sich wesentlich auf das Risikoprofil eines Instituts auswirkt (ABl. L 167 vom 6.6.2014, S. 30), die durch die Delegierte Verordnung (EU) 2016/861 vom 18. Februar 2016 (ABl. L 144 vom 1.6.2016, S. 21) geändert worden ist, zugrunde zu legen. Das Institut teilt den betroffenen Mitarbeitern und Mitarbeiterinnen die Einstufung als Risikoträger mit. Die Risikoanalyse ist schriftlich oder elektronisch zu dokumentieren und regelmäßig zu aktualisieren. Ausnahmen gemäß Artikel 4 Absatz 2 der Delegierten Verordnung (EU) Nr. 604/2014 bedürfen der Zustimmung der Geschäftsleitung und der Kenntnisnahme durch das Verwaltungs- oder Aufsichtsorgan.
(5c) Die nach Artikel 4 Absatz 5 Satz 1 der Delegierten Verordnung (EU) Nr. 604/2014 an die Aufsichtsbehörde zu stellenden Anträge sind unverzüglich, spätestens jedoch sechs Monate nach Ablauf des Geschäftsjahres, zu stellen
(6) Das Bundesministerium der Finanzen wird ermächtigt, durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, im Benehmen mit der Deutschen Bundesbank nähere Bestimmungen zu erlassen über
- die Ausgestaltung der Vergütungssysteme nach Absatz 1 Satz 3 Nummer 6 einschließlich der Ausgestaltung
- der Entscheidungsprozesse und Verantwortlichkeiten,
- des Verhältnisses der variablen zur fixen Vergütung und der Vergütungsinstrumente für die variable Vergütung,
- positiver und negativer Vergütungsparameter, der Leistungszeiträume, Zurückbehaltungszeiträume und Rückforderungszeiträume einschließlich der Voraussetzungen und Parameter für einen vollständigen Verlust oder eine teilweise Reduzierung oder eine vollständige oder teilweise Rückforderung der variablen Vergütung sowieder Berücksichtigung der institutsspezifischen und gruppenweiten Geschäfts- und Vergütungsstrategie einschließlich deren Anwendung und Umsetzung in gruppenangehörigen Unternehmen, der Ziele, der Werte und der langfristigen Interessen des Instituts,
- die Voraussetzungen und das Verfahren bei Billigung eines höheren Verhältnisses zwischen der variablen und fixen jährlichen Vergütung nach Absatz 5 Satz 2 bis 9, die Berechnung des Verhältnisses der variablen zur fixen Vergütung nach Absatz 5 Satz 2 bis 5, insbesondere über die Diskontierungsfaktoren zur Ermittlung des zugrunde zu legenden Barwerts der variablen Vergütung,
- die Überwachung der Angemessenheit und der Transparenz der Vergütungssysteme durch das Institut und die Weiterentwicklung der Vergütungssysteme, auch unter Einbeziehung des Vergütungskontrollausschusses und eines Vergütungsbeauftragten,
- die Offenlegung der Ausgestaltung der Vergütungssysteme und der Zusammensetzung der Vergütung einschließlich des Gesamtbetrags der garantierten Bonuszahlungen und der einzelvertraglichen Abfindungszahlungen unter Angabe der höchsten geleisteten Abfindung und der Anzahl der Begünstigten, soweit nicht von Artikel 450 der Verordnung (EU) Nr. 575/2013 erfasst, das Offenlegungsmedium und die Häufigkeit der Offenlegung,
- die Ausgestaltung der Offenlegung gemäß Artikel 450 der Verordnung (EU) Nr. 575/2013 sowie
- die vollständige oder teilweise Herausnahme von Instituten, die keine CRR-Institute sind, aus dem Anwendungsbereich der Rechtsverordnung.Die Regelungen haben sich insbesondere an Größe und Vergütungsstruktur des Instituts sowie Art, Umfang, Komplexität, Risikogehalt und Internationalität der Geschäftsaktivitäten zu orientieren. Im Rahmen der Bestimmungen nach Satz 1 Nummer 4 müssen die auf Offenlegung der Vergütung bezogenen handelsrechtlichen Bestimmungen nach § 340a Absatz 1 und 2 in Verbindung mit § 340l Absatz 1 Satz 1 des Handelsgesetzbuchs unberührt bleiben. Das Bundesministerium der Finanzen kann die Ermächtigung durch Rechtsverordnung auf die Bundesanstalt mit der Maßgabe übertragen, dass die Rechtsverordnung im Einvernehmen mit der Deutschen Bundesbank ergeht. Vor Erlass der Rechtsverordnung sind die Spitzenverbände der Institute zu hören.
MaRisk & BAIT
Banken und Finanzdienstleister sind einer ganzen Palette von Risiken ausgesetzt, die sie beherrschen müssen, um einerseits erfolgreich am Markt agieren zu können und andererseits ihre Existenz nachhaltig zu sichern. Angesichts der dynamischen Entwicklungen auf den Finanzmärkten kann sich eine moderne Regulierung nicht allein auf die Einhaltung quantitativer Kennziffern verlassen, sondern muss ganz besonders die Qualität des Risikomanagements der Institute im Auge behalten.
Mindestanforderungen an das Risikomanagement (MaRisk)
Die Mindestanforderungen an das Risikomanagement (MaRisk) setzen hier an. Auf der Basis von § 25a KWG, der die organisatorischen Pflichten von Instituten mit Blick auf das institutsinterne Risikomanagement regelt, geben die MaRisk einen ganzheitlichen Rahmen für das Management aller wesentlichen Risiken vor. Die gemeinsam mit der Praxis entwickelten MaRisk stecken einen prinzipienorientierten Rahmen ab, der den Instituten jedoch zugleich noch Spielräume für eine individuelle Umsetzung einräumt. Zahlreiche Öffnungsklauseln stellen zudem sicher, dass auch kleinere Institute die Anforderungen flexibel umsetzen können.
Die MaRisk sind modular strukturiert. Der allgemeine Teil (Modul AT) enthält grundlegende Anforderungen an das institutsinterne Risikomanagement und umfasst auch Vorgaben bei Auslagerungen. Besondere Anforderungen an die Ausgestaltung des internen Kontrollsystems für bestimmte Geschäftsarten und Risikoarten sowie an die Ausgestaltung der Internen Revision sind in Modulen des Besonderen Teils (Module BT) niedergelegt.
Neuere Entwicklungen und internationale Regulierungsinitiativen haben dazu geführt, dass die MaRisk mehrfach überarbeitet wurden. Die BaFin hat die derzeit aktuelle Fassung als Rundschreiben 09/2017 (BA) veröffentlicht.
Bankaufsichtliche Anforderungen an die IT (BAIT)
Wie die MaRisk konkretisieren auch die Bankaufsichtlichen Anforderungen an die IT (BAIT) die gesetzlichen Anforderungen des § 25a KWG. Darin wird erläutert, was die Aufsicht unter einer angemessenen technisch-organisatorischen Ausstattung der IT-Systeme, unter besonderer Berücksichtigung der Anforderungen an die Informationssicherheit sowie eines angemessenen Notfallkonzepts, versteht. Da die Institute zunehmend IT-Dienstleistungen von Dritten beziehen, auch im Rahmen von Auslagerungen, werden in den BAIT auch Anforderungen an den externen Bezug von IT-Dienstleistungen gestellt.
Die BaFin hat die derzeit aktuelle Fassung der BAIT als Rundschreiben 10/2017 (BA) veröffentlicht.