2.2.6 Controlling von Geschäftsrisiken

Das Risikocontrolling, im Sinne der Risikoüberwachung und des Risikoreportings, umfasst neben der Überwachung der Risiken bzw. deren Entwicklung auch die Überprüfung des gesamten Risikomanagementprozesses im Hinblick auf die angewendeten Methoden, Verfahrenweisen und Prozesse. In diesem Zusammenhang werden über die Methodenkontrolle insbesondere die eingesetzten Bewertungsmodelle und -instrumente und vor allem die Steuerungsmaßnahmen hinsichtlich ihrer Effizienz analysiert und untersucht. Ziel ist es zu prüfen, inwiefern die erfassten Risikotreiber/ Einflussfaktoren richtig bzw. treffend ermittelt und/oder die Wirkungsweisen hinreichend eingeschätzt wurden.¹⁴⁰

Gemäß Schierenbeck/Lister soll die Risikoüberwachung sicherstellen, „dass die Ist-Risikosituation der Unternehmung in allen Risikofeldern dem vorgegebenen Sollzustand zu jedem Zeitpunkt entspricht.“ Mit regelmäßigen Abweichungsanalysen soll zum einem die Einhaltung der im vor hinein festgelegten Risikolimite und damit die Risikotragfähigkeit sichergestellt werden. Zum anderen wird überprüft, ob und in wie weit die Netto-Ergebnisse die (risikoadjustierten) Eigenkapitalkosten im Sinne des Risiko-Chancen-Kalküls übertreffen. Dabei können Kennzahlen zur Überprüfung qualitativer aber auch quantitativer Ziele herangezogen werden.¹⁴¹

Die Risikoüberwachung versteht sich als kontinuierlicher Prozess, so dass durch die Integration eines Früherkennungssystems der laufende Risikoerkennungsund -erfassungsprozess sichergestellt werden kann.

Die Aufgabe des Risikoreportings (Berichtswesen) ist es, „über die identifizierten und bewerteten Risiken sowie über die eingeleiteten Steuerungsmaßnahmen und deren Wirksamkeit zu berichten“, diese qualitativ zu analysieren sowie zu bewerten. „Zentrale Aufgabe der Risikoreportings ist es somit, die Transparenz der Risikolage sowohl der operativen Geschäfte als auch des Gesamtunternehmens sicherzustellen. Das Risikoreporting muss somit die Ergebnisse der Risikoüberwachung rechtzeitig, kontinuierlich und in klar strukturierter Form kommunizieren.“¹⁴²

Wichtig ist in diesem Zusammenhang, die Struktur, den Umfang sowie die Periodizität der Berichte festzulegen. Dabei sollte auch der Empfängerkreis berücksichtigt und dementsprechend die Inhalte und die Ausführlichkeit der Informationen im Sine der Wesentlichkeit festgelegt werden.

Die BaFin konkretisiert die Anforderungen an die Kreditinstitute hinsichtlich der Risikoüberwachungs- und Risikoreportingprozesse in den Ausführungen zu den MaRisk¹⁴³ wie folgt:

• Information der Geschäftsleitung zur Risikosituation in angemessenen Abständen,
• vierteljährliche (schriftliche) Information des Aufsichtsorgans durch die Geschäftsleitung,
• der Risikobericht ist in nachvollziehbarer, aussagefähiger Art und Weise zu verfassen nebst Darstellung und Beurteilung der Risikosituation,
• insbesondere sind die Ergebnisse der Stresstests und ihre potentiellen Auswirkungen auf die Risikosituation und die Risikodeckungspotenziale sowie die den Stresstests zugrunde liegenden wesentlichen Annahmen darzustellen,
• bei Bedarf sind auch Handlungsvorschläge aufzunehmen,
• auf besondere Risiken für die Geschäftsentwicklung und dafür geplante Maßnahmen der Geschäftsleitung ist gegenüber dem Aufsichtsorgan gesondert einzugehen,
• unter Risikogesichtspunkten wesentliche Informationen sind unverzüglich an die Geschäftsleistung, die jeweiligen Verantwortlichen, gegebenenfalls die Interne Revision sowie durch die Geschäftsleitung an das Aufsichtsorgan weiterzuleiten, so dass geeignete Maßnahmen beziehungsweise Prüfungshandlungen frühzeitig eingeleitet werden können. Hierfür sind geeignete Verfahren festzulegen.

Die BaFin stellt in den MaRisk¹⁴⁴ nur für die Adressenausfall- , Marktpreis-, Liquiditätsrisiken sowie Operationelle Risiken konkrete Anforderungen hinsichtlich der Ausgestaltung der Risikosteuerungs- und -controllingprozesse. Die Ausgestaltung der Prozesse für die weiteren als wesentlich eingestuften Risiken, wie z.B. die Geschäftsrisiken, liegt in der Verantwortung der Kreditinstitute.

Vor dem Hintergrund der Empfehlungen der BaFin der „Einbindung der Risikosteuerungs- und -controllingprozesse in ein integriertes System zur Ertrags- und Risikosteuerung“¹⁴⁵ auf Gesamtbankebene sowie eines integrierten Risikomanagements sind die generellen Anforderungen aus den MaRisk auch für die Geschäftsrisiken zu interpretieren.

¹⁴⁰ Vgl. Schierenbeck/Lister (2002), S. 370.
¹⁴¹ Ebenda.
¹⁴² Ebenda.
¹⁴³ BaFin (MaRisk, 2009, AT 4.3.2 Risikosteuerungs- und -controllingprozesse).
¹⁴⁴ BaFin (MaRisk, 2009, BTR Anforderungen an die Risikosteuerungs- und -controllingprozesse).
¹⁴⁵ BaFin (MaRisk, 2009, Anlage 1: Erläuterungen zu den MaRisk in der Fassung vom 14.08.2009, AT 4.3.2 Risikosteuerungs- und -controllingprozesse).