Die Relevanz der MaRisk für Corporates | KPMG | DE

Die Relevanz der MaRisk für Corporates ...

Die Relevanz der MaRisk für Corporates

... und aktuelle Änderungen durch die 5. Novelle 2017

Verwandte Inhalte

FTM Bildwelt: Eiskletterer

Die MaRisk (Mindestanforderungen an das Risikomanagement) ist eine für deutsche Finanzinstitute bindende Richtlinie, welche auf der Basis von § 25a KWG einen ganzheitlichen Rahmen hinsichtlich der Aufbau- und Ablauforganisation für das finanzielle Risikomanagement vorgibt.

Im Gegensatz zu Banken ist die Anwendung der MaRisk für Industrieunternehmen rechtlich nicht verpflichtend. Allerdings gibt die MaRisk allgemein anerkannte und führende Methoden für die Identifizierung, Bewertung und Steuerung finanzieller Risiken wieder und stellt daher auch für Industrieunternehmen einen Bezugsrahmen dar. Abweichungen von den Vorgaben sollte jedes größere Nicht-Finanzunternehmen entweder mit dem Fehlen oder der Unwesentlichkeit des entsprechenden Risikos begründen können. Aus diesem Grund orientieren sich zahlreiche Leitfäden und Richtlinien für das Risikomanagement an den Vorgaben der MaRisk, sodass die MaRisk auch für einen breiteren Kreis von Unternehmen indirekt maßgeblich wird.

Dabei finden die Regelungen zum Kreditgeschäft in Industrieunternehmen meist keine Anwendung, während unter anderem die Regelungen zu Risikotragfähigkeit, internem Kontrollsystem, Risikosteuerung und -controlling auch im Unternehmenstreasury bzw. im Rohstoff- und Energiehandel von großer Relevanz sind.

Insbesondere Unternehmen mit einer umfangreichen Handelstätigkeit von derivativen und nicht derivativen Finanzinstrumenten sowie Rohstoff- und Energiekontrakten wenden aufgrund der damit verbundenen Risiken häufiger freiwillig die Vorgaben der MaRisk an und lassen sich die korrekte Anwendung zum Teil auch durch einen unabhängigen Prüfer bestätigen. Bei diesen Unternehmen stellen die MaRisk eine klare, durch unternehmensinterne Aufsichtsgremien vorgegebene Richtschnur dar, an welcher die interne Organisation auszurichten ist. Darüber hinaus wird eine Anwendung der MaRisk oft als eine vertrauensbildende Maßnahme gegenüber externen Handelspartnern und Banken gesehen.

Die MaRisk besteht seit 2005 und hat seitdem mehrere Überarbeitungen erfahren. Mit der nach vielfachen Verschiebungen am 27. Oktober 2017 veröffentlichten Richtlinie liegt nach längerer Konsultationsphase nun die fünfte Novelle vor, welche ohne Übergangsfristen unmittelbar wirksam ist.

Mit der aktuellen MaRisk-Novelle hat der Regulator unter anderem veränderte internationale Vorgaben der Europäischen Bankenaufsichtsbehörde (EBA) sowie des Basler Ausschusses für Bankenaufsicht (BCBS) berücksichtigt und versucht, frühere Interpretationsspielräume zu reduzieren. Wesentliche, auch für Industrieunternehmen relevante Anpassungen, ergeben sich in den folgenden Abschnitten:

Risikokultur und -governance:

In Zukunft soll eine angemessene Risikokultur in das Risikomanagement integriert werden. Die Schaffung einer Risikokultur erfordert neben der Definition des Risikoappetits die Förderung risikoadäquaten Verhaltens und den offenen Austausch zu risikobezogenen Fragestellungen innerhalb des Unternehmens.

  • ­Hierfür sind Kontroll- und Überwachungsprozesse im Unternehmen zu etablieren sowie ein Verhaltenskodex festzulegen und an die Mitarbeiter zu kommunizieren.

Risikodaten und Risikoberichterstattung:

Die Risikoberichterstattung ist regelmäßig auf Basis aktueller, vollständiger und exakter Daten durchzuführen. Für diese sind gruppenweite Regelungen bzgl. Datenmanagement, -qualität und -aggregation festzulegen.

  • ­Der Risikobericht muss sowohl die Abbildung der Risiken als auch deren Beurteilung umfassen. Zudem sind Stresstestergebnisse inklusive möglicher zukünftiger Konsequenzen zu integrieren. Durch das Unternehmen ist dabei zu gewährleisten, dass die Berichterstattung zeitnah erfolgt und dass die Erstellung von Ad-Hoc-Berichten zu jedem Zeitpunkt möglich ist.
  • ­Die Datenaggregationskapazitäten sind flexibel zu gestalten, um die Verfügbarkeit von Risikodaten jederzeit zu sicherzustellen. Ad-Hoc-Informationen sollen zudem nach verschiedenen Kategorien erzeugt werden können.

Auslagerungen (Outsourcing):

  • Eine Auslagerung ist nur zulässig, wenn das Unternehmen auch im Anschluss über verlässliche Kenntnisse und Erfahrungen im ausgelagerten Bereich verfügt und somit eine etwaige Re-Integration sicherstellen kann. Es ist zudem ein zentrales Auslagerungsmanagement einzurichten und es sind Ausstiegsstrategien zu definieren. Die Auslagerung des Risikocontrollings ist nicht erlaubt.
  • ­Die Inanspruchnahme von Software und fachlichen Leistungen im Risikomanagement kann ebenfalls als Auslagerung klassifiziert werden.

Sonstiges:

  • ­Bei Mitarbeiterwechseln von Handels- und Vertriebsbereichen in Kontrollbereiche, innerhalb derer keine Tätigkeiten ausgeübt werden dürfen, ist auf eine angemessene Kontrollfrist zu achten, die eine Einhaltung des Verbots der Selbstprüfung und -überprüfung gewährleistet.
  • ­Für IT-Risiken ist die Etablierung angemessener Risikosteuerungs- und -controllingprozesse erforderlich.

Der überwiegende Teil der Neuerungen wird für Industrieunternehmen tendenziell weniger relevant sein als für Kreditinstitute. Die Veröffentlichung der 5. MaRisk-Novelle sollte für viele Unternehmen jedoch einen Anlass darstellen, neben der Berücksichtigung der neuen Anforderungen auch für bestehende Regelungen die Anwendung zu vertiefen und die Stringenz der Umsetzung zu schärfen.  

Quelle: KPMG Corporate Treasury News, Ausgabe 73, November 2017
Autor: Daniel Rahmann, Manager, Finance Advisory, drahmann@kpmg.com 

KPMG Corporate Treasury News

So kontaktieren Sie uns

 

Angebotsanfrage (RFP)

 

Absenden