Mindestanforderungen an das Risikomanagement für Investmentgesellschaften (InvMaRisk)

Im Rundschreiben 5/2010 vom 30. Juni 2010 hat das BaFin die Mindestanforderungen an das Risikomanagement für Investmentgesellschaften (InvMaRisk) veröffentlicht.

Nicht nur durch die MaComp (Mindestanforderungen an Compliance und die weiteren Ver­haltens-, Organisations- und Transparenzpflichten nach §§ 31 ff. WpHG), veröffentlicht im Rundschreiben 4/2010 vom 7. Juni 2010, stellen eine Verschärfung der Anforderungen an die Compliance bei Banken dar.

Nachdem das BaFin in seinem Rundschreiben 15/2009(BA) vom 14.08.2009 die Mindestan­forderungen an das Risikomanagement [MaRisk (BA)] von Banken (konkretisiert die Maßnahmen im Zusammenhang mit § 25 a KWG) und im Rundschreiben 03/2009 (VA) vom 22. Januar 2009 die aufsichtsrechtlichen Mindestanforderungen an das Risikomanagement [MaRisk (VA)] von Versicherungen (konkretisiert die Maßnahmen im Zusammenhang mit dem 2008 in Kraft getretenen § 64a VAG) veröffentlichte, wurden jetzt die InvMaRisk ver­abschiedet, welche die Forderungen des § 9a InvG in zwölf Punkten konkretisieren. Legt man die drei hier benannten Standards nebeneinander und vergleicht diese, so lassen sich überschneidende Bereiche sehr schnell identifizieren.

Diese Beispiele unterstreichen einmal mehr die Sinnhaftigkeit der Einführung von Compliance-Manage­ment-Systemen (CMS) in Unternehmen, vor allem für Banken und Versicherungen, aber auch für Unternehmen anderer Branchen, da die Gesetzgeber und Aufsichts­behörden ständig an der Weiterentwicklung der Maßgaben arbeiten. Aber zurück zu den InvMaRisk.

 

Zielsetzung der InvMaRisk

Die Zielsetzung der InvMaRisk besteht darin, einen „… Rahmen für die Ausgestaltung einer ordnungsgemäßen Geschäftsorganisation der Kapitalanlagegesellschaften und selbstverwaltenden Investmentaktiengesellschaften…“ [1] vorzugeben.

Nähere Erläuterungen zu den Ausführungen in den InvMaRisk in der Fassung vom 30.06.2010 finden Sie hier.

 

Von wem sind die Anforderungen der InvMaRisk zu berücksichtigen?

Die Anforderungen der InvMaRisk sind von allen Kapitalgesellschaften im Sinne von § 6 Abs. 1 InvG zu berücksichtigen und darüber hinaus von allen Investmentgesellschaften, definiert im § 96 InvG, im erforderlichen Umfang umzusetzen. Ferner sind die Anforderungen auch von Zweigniederlassungen deutscher Gesellschaften im Ausland zu berücksichtigen. Hiervon ausgenommen sind Zweigniederlassungen von Verwaltungsgesellschaften mit Sitz in einem anderen Staat des europäischen Wirtschaftsraumes (§ 13 InvG).

 

§9a InvG

Ferner bedeuten die InvMaRisk, gleichzeitig zur Konkretisierung des §9a InvG, die Um­setzung der  Anforde­rungen der Art. 12 Abs. 1 Unterabsatz 2 Buchstabe a sowie Art. 51 Abs. 1 Unterabsatz 1 der Richtlinie 85/611 EWG vom 20. Dezember 1985 [zuletzt durch Richtlinie 2009/65/EG des Europäischen Parlaments und des Rates vom 13. Juli 2009 (OGAW-IV-Richtlinie geändert] in deutsches Recht.

Der  § 9a des Investmentgesetzes (InvG) beinhaltet im Wesentlichen die nachfolgenden sechs Kriterien:

„§ 9a Organisationspflichten

Die Kapitalanlagegesellschaft muss über eine ordnungsgemäße Geschäftsorganisation verfügen, die die Einhaltung der von der Kapitalanlagegesellschaft zu beachtenden gesetzlichen Bestimmungen gewährleistet. Eine ordnungsgemäße Geschäftsorganisation umfasst insbesondere

1.    ein angemessenes Risikomanagement, das insbesondere gewährleistet, dass das mit den Anlagepositionen
       verbundene Risiko sowie deren jeweilige Wirkung auf das Gesamtrisikoprofil des Investmentvermögens
       jederzeit überwacht und gemessen werden kann,

2.    geeignete Regelungen für die persönlichen Geschäfte der Mitarbeiter,

3.    geeignete Regelungen für die Anlage des eigenen Vermögens der Kapitalanlagegesellschaft in
       Finanzinstrumenten,

4.    angemessene Kontroll- und Sicherheitsvorkehrungen für den Einsatz der elektronischen Datenverarbeitung,

5.    eine vollständige Dokumentation der ausgeführten Geschäfte, die insbesondere gewährleistet, dass jedes
       das Investmentvermögen betreffende Geschäft nach Gegenpartei, Art und Abschlusszeitpunkt rekonstruiert
       werden kann,

6.    angemessene Kontrollverfahren, die insbesondere das Bestehen einer internen Revision voraussetzen und
       gewährleisten, dass das Vermögen der von der Kapitalanlage­gesell­schaft verwalteten Investmentvermögen
       in Übereinstimmung mit den Vertragsbe­dingungen sowie den jeweils geltenden rechtlichen Bestimmungen
       angelegt wird.“ [2]

Dabei gilt das "Prinzip der doppelten Proportionalität". Das Prinzip der doppelten Proportionalität beschreibt, dass sowohl die allgemeinen regulatorischen Anforderungen als auch die Intensität der operativen Aufsicht in einem ausgewogenen Verhältnis

-        zur Größe,

-        zur Geschäftstätigkeit und

-        zum Risikoprofil

des jeweiligen Unternehmens stehen müssen. In Deutschland gilt der ver­fassungs­rechtliche Grundsatz der Verhältnismäßigkeit des Verwaltungshand­elns, an welchen sich die BaFin von Rechtswegen halten muss. [3]

 

Welche Kontrollbereiche decken die InvMaRisk konkret ab? 

Die nachfolgende grafische Aufbereitung (angelehnt an die genannte „mind mapping“-Methode) soll a) dabei unterstützen, ein Verständnis des komplexen Sachverhaltes struk­turiert, übersichtlich und verständlich aufbereiten zu können und b) eine Projektvorlage darstellen, die so z.B. in ein Projektmanagementtool übernommen werden könnte:

Sollte noch kein Tool vorhanden sein, so würde sich in einem ersten Schritt entweder eine Tabellenkalkulationssoftware (z.B. MS Excel)  oder aber eine kleine Datenbankanwendung (z.B. MS Access) sehr gut für die Umsetzung empfehlen.

Die InvMaRisk lassen sich in insgesamt zwölf Hauptmodule und 19 Untermodule unterteilen. Die nachfolgende Abbildung soll dabei als Orientierungshilfe dienen.

Abbildung 1: Inhaltspunkte und Prüfbereiche der InvMaRisk (Farbgebung dient lediglich der besseren Übersichtlichkeit)
Quelle: Autor

 

Die „Besonderheiten“

Die „Besonderheiten“ dieser Mindestanforderungen bestehen u. a. darin, dass diese sehr deutlich die Verantwortung sowohl der Geschäftsleitung

Alle Geschäftsleiter (§ 2 Abs. 16 InvG) sind, unabhängig von der internen Zuständig­keits­regelung, für die ordnungsgemäße Geschäftsorganisation und deren Weiterentwicklung verantwortlich. Diese Verantwortung bezieht sich auch auf alle wesentlichen Elemente des Risikomanagementsystems und alle ausgelagerten Aufgaben im Sinne des Abschnitts 9 [Outsourcing]. Die Geschäftsleiter werden dieser Verantwortung nur gerecht, wenn sie die Risiken beurteilen können und die erforderlichen Maßnahmen zu ihrer Begrenzung treffen. [4]

als auch die des Aufsichtsrates

„… Das Risikomanagementsystem und die übrigen Kontrollverfahren schaffen die Grundlage für die sachgerechte Wahrnehmung der Überwachungsfunktionen des Aufsichtsrats der Gesellschaft und beinhalten deshalb auch dessen angemessene Einbindung. …“ [5]

hervorheben.

 

Der Zusammenhang mit Compliance

Ferner geht die Bafin wieder, wie auch schon in den MaComp, auf das Thema Compliance ein. Dieses Thema wird im Abschnitt 10 der InvMaRisk adressiert und hat im Rahmen der Setzung von Umsetzungsfristen durch die BaFin einen eigenen Zeithorizont erhalten.

Die Definition für Compliance lautet in diesem Zusammenhang:

„Die Compliance-Funktion ist ein Instrument der Geschäftsleitung. Sie kann auch einem Mitglied der Geschäftsleitung unterstellt sein. Unbeschadet dessen ist sicherzustellen, dass der Vorsitzende des Aufsichtsrats unter Einbeziehung der Geschäftsleitung direkt beim Compliance-Beauftragten Auskünfte einholen kann. Dieses Modul erläutert die Anforderungen an Stellung und Aufgaben der Compliance-Funktion aus § 33 Abs. 1 WpHG und § 12 WpDVerOV.“ [6]

 

Umsetzungsfristen

Die Umsetzungsfristen sind sehr sportlich, natürlich in der jeweiligen Abhängigkeit des Institutes zu betrachten, festgesetzt. Dies steht mit Sicherheit im Zusammenhang der bereits geltenden MaRisk (BA), da hierdurch entsprechende Synergieeffekte genutzt werden sollen. 

Die betroffenen Gesellschaften haben, bis auf die Anforderungen des Abschnitts 10 [Compliance] der InMaRisk, zur Umsetzung eine 6 Monatsfrist eingeräumt bekommen: „… Die in dem Rundschreiben niedergelegten Anforderungen mit Ausnahme des Abschnitts 10 [Compliance] sind nach einer Übergangsfrist von sechs Monaten nach Veröffentlichung dieses Rundschreibens auf der Internetseite der Bundesanstalt für Finanzdienstleistungsaufsicht umzusetzen…“ [7].

Das bedeutet, dass die Umsetzung der aus diesem Rundschreiben resultierenden Maßnahmen durch das Unternehmen bis spätestens 31.12.2010 abzuschließen sind. Die Abschlussprüfer haben in ihrem Prüfungsbereich für das Geschäftsjahr 2010 erstmalig über die erfolgten Umsetzungsschritte entsprechend zu berichten.

Die Maßnahmen, welche zur Einhaltung der im Abschnitt 10 [Compliance] der InvMaRisk aufgeführten Anforderungen dienen, müssen spätestens bis zum 30. Juni 2011 abgeschlossen sein. D.h. die durch die Gesellschaft im Zusammenhang mit den Compliance-Anforderungen getroffenen Maßnahmen sind durch die Abschlussprüfer erstmalig im Prüfungsbereicht für das Geschäftsjahr 2011 darzustellen.

 

Vorbereitung, Prüfung und Reporting

Der erste Schritt sollte die IST-Aufnahme sein, unter Berücksichtigung der Erfüllungsgrade der bereits etablierten Prozesse und Arbeitsergebnissen aus den Bereichen IKS, MaRsik, BCM etc. Dies kann z.B. unter zur Hilfenahme einer Excel-Matrix erfolgen.

Abbildung 2: Tabelle mit dem jeweiligen Erfüllungsgrad der InvMaRisk Anforderungen und jeweils zugeordneten Kontrollen
Quelle: Autor

Die in Bezug auf die einzelnen Anforderungen erhobenen Daten lassen sich durch die Erhebung, z.B. in einer entsprechenden Excel-Datei, auch mit einem Auswertungsalgorithmus versehen, welcher einen ganzheitlichen oder aber einen in Teilabschnitten untergliederten Überblick über den jeweiligen Status Quo geben kann.

Abbildung 3: Beispiel für eine Auswertungsgrafik für den Erfüllungsgrad der InvMaRisk
Quelle: Autor

Haben Sie Fragen, benötigen Unterstützung bei der Einführung oder Umsetzung? Nutzen Sie unser Kontaktformular – wir helfen Ihnen gern weiter.

Der Artikel ist nach bestem Wissen und Gewissen erarbeitet und recherchiert. Er dient lediglich dazu, einen Anhaltspunkt zu setzen, um weitere Schritte zu prüfen. Der Ersteller übernimmt keinerlei Haftung, Für den Inhalt der verlinkten Webseiten und Dokumente sind die Beitreiber der Webseiten verantwortlich. Alle Angaben ohne Gewähr.

---

Quellen:

-        BaFin Rundschreiben 5/2010 vom 30. Juni 2010, Mindestanforderungen an das Risikomanagement für
         Investmentgesellschaften (InvMaRisk)

-        BaFin Rundschreiben  4/2010 vom 7. Juni 2010, Mindestanforderungen an Compliance und die weiteren
         Ver­haltens-, Organisations- und Transparenzpflichten nach §§ 31 ff. WpHG (MaComp)

-        BaFin Rundschreiben 15/2009 (BA) vom 14.08.2009, Mindestan­forderungen an das Risikomanagement
         (MaRisk (BA))

-        Bafin Rundschreiben 03/2009 (VA) vom 22. Januar 2009, Mindestanforderungen an das Risikomanagement
         (MaRisk (VA))

-        Investmentgesetz (InvG), "Investmentgesetz vom 15. Dezember 2003 (BGBl. I S. 2676), das zuletzt durch
         Artikel 10 des Gesetzes vom 8. April 2010 (BGBl. I S. 386) geändert worden ist"

-        Gesetz über die Beaufsichtigung der Versicherungsunternehmen (Versicherungsaufsichtsgesetz - VAG),
         Versicherungsaufsichtsgesetz in der Fassung der Bekanntmachung vom 17. Dezember 1992 (BGBl. 1993 I S. 2),
         das zuletzt durch Artikel 4 Absatz 10 des Gesetzes vom 30. Juli 2009 (BGBl. I S. 2437) geändert worden ist

-        Artikel „Verschärfte Anforderungen an Compliance bei Banken (MaComp)“, vom 11. Juli 2010, Stand 13. Juli 2010,
         www.compliance-net.de