Anforderungen an das Kreditrisikomanagement unter besonderer Berücksichtigung der Funktionen der internen Revision

Inhaltsverzeichnis

Abbildungsverzeichnis

Abkürzungsverzeichnis

1 Einleitung

2 Grundlagen des Kreditrisikomanagements
2.1 Inhaltliche und prozessuale Abgrenzung des Kreditrisikomanagements
2.1.1 Komponenten des Kreditrisikos
2.1.2 Kreditrisikomanagement als dynamischer Prozess
2.2 Aufsichtsrechtliche Anforderungen an das Kreditrisikomanagement
2.2.1 Rechtlicher Rahmen
2.2.2 Anforderungen an das Kreditrisikomanagement
2.3 Betriebswirtschaftliche Notwendigkeit des Kreditrisikomanagements
2.4 Bedeutung und Aufgaben der internen Revision
2.5 Kreditrisikostrategie als Ausgangspunkt

3 Risikoquantifizierung und wesentliche Prüfungsfelder der internen Revision
3.1 Risikoquantifizierung auf Einzelengagementebene
3.1.1 Ausfallwahrscheinlichkeit und Risikoklassifizierungsverfahren
3.1.2 Erwarteter Verlust und risikoadjustierte Bepreisung
3.1.3 Umsetzung in der Praxis: RAP-Tool des DSGV
3.2 Risikoquantifizierung auf Portfolioebene
3.2.1 Normal-Case-Betrachtung
3.2.1.1 Der Einsatz von Kreditrisikomodellen
3.2.1.2 Praktische und wissenschaftliche Anforderungen an Risikomaße
3.2.1.3 Value at Risk Konzept
3.2.2 Szenariobetrachtungen und Stresstests
3.2.3 Risikoadjustierte Performance

4 Risikotragfähigkeit und interne Kapitalallokation
4.1 Risikotragfähigkeitskonzept
4.1.1 Die Sichtweisen auf die Risikotragfähigkeit
4.1.2 Berücksichtigung der Risikobereitschaft
4.2 Limitsysteme
4.3 Laufende Überwachung und Berichtswesen

5 Fazit und Ausblick

Anhang

Literaturverzeichnis

Abbildungsverzeichnis

Abb. 1: Risiken des Kreditgeschäfts

Abb. 2: Kreditrisikomanagement als Regelkreislauf

Abb. 3: Hypothetische rechtsschiefe Verlustverteilung eines Kreditportfolios

Abb. 4: Modularer Aufbau der MaRisk

Abb. 5: Entwicklung der Insolvenzen in Deutschland

Abb. 6: Risikovorsorge der Kreditinstitute 1997 - 2006

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

Trotz erheblicher Belastungen der Ertragslage durch schlagend gewordene Kreditrisiken in der Vergangenheit, zunehmendem Wettbewerbsdruck und auf niedrigem Niveau verharrender Margen hat das Kreditgeschäft nach wie vor eine zentrale Bedeutung für die deutschen Kre-ditinstitute. Das Kreditrisiko stellt für die Kreditinstitute in der Regel eine elementare Risiko-kategorie dar und erfordert daher ein effektives Risikomanagement. Insbesondere Risikokon-zentrationen in Kreditportfolien stellen eine Gefahr dar, da diese leicht zu wirtschaftlichen Schwierigkeiten von Finanzinstituten führen können und die es deswegen zu vermeiden gilt. Daher sind der wirtschaftliche Erfolg und die Wettbewerbsfähigkeit der Kreditinstitute mehr denn je von der Beherrschung und Steuerung der Kreditrisiken abhängig.¹

Die hohe Anzahl an Unternehmensinsolvenzen zu Beginn des Jahrzehnts und die zunehmen-den bankaufsichtsrechtlichen Anforderungen an das Kreditrisikomanagement haben die rasan-te Entwicklung im Kreditrisikomanagement in den letzten Jahren geprägt. Zunehmend haben mathematische und statistische Modelle Einzug in die Risikosteuerung gehalten, um eine möglichst exakte Quantifizierung der Kreditrisiken zu ermöglichen. Denn nur die Kenntnis der Risiken ermöglicht effektive Maßnahmen zum Schutz und zur Steuerung. Gleichzeitig steigen mit den zunehmenden Anforderungen der Bankenaufsicht und dem Einsatz moderner Verfahren auch die Anforderungen an die interne Revision. Denn die interne Revision wird im Rahmen der Überarbeitung der Eigenkapitalvorschriften durch den Baseler Ausschuss (Basel II) als integraler Bestandteil des Risikomanagements aufgefasst. Dabei hat die interne Revision als unabhängige Kontrollinstanz insbesondere die Wirksamkeit und die Angemes-senheit der eingesetzten Risikomanagementsysteme zu beurteilen.

Im Rahmen dieser Arbeit soll auf die wesentlichen Verfahren eines modernen Kreditrisiko-managements eingegangen und wesentliche Prüfungsfelder sowie potentielle Herausforderun-gen für die interne Revision herausgearbeitet werden. Dafür werden in Kapitel 2 zunächst die Risiken des Kreditgeschäfts, der Kreditrisikomanagementprozess sowie die aufsichtsrechtli-chen und betriebswirtschaftlichen Anforderungen an das Kreditrisikomanagement dargestellt. Des Weiteren wird auf die Risikostrategie als Ausgangspunkt des Risikomanagementprozes-ses eingegangen. In Kapitel 3 werden anschließend die Methoden der Risikoquantifizierung analysiert. Aufbauend auf der Risikoquantifizierung werden in Kapitel 4 die Risikotragfähig-keit und Limitsysteme als wesentliche Steuerungsinstrumente sowie die laufende Über-wachung der Risiken erörtert.

2 Grundlagen des Kreditrisikomanagements

2.1 Inhaltliche und prozessuale Abgrenzung des Kreditrisikomanagements

Ziel eines Risikomanagementsystems ist es, die Risiken, die den unternehmerischen Erfolg sowie den Fortbestand des Unternehmens gefährden, frühzeitig zu identifizieren und zu steu-ern, um so eine positive Beeinflussung der Erfolgs- und Risikosituation des Unternehmens zu erzielen. Daher umfasst das Risikomanagement im Allgemeinen die systematische und per-manente Analyse, Steuerung und Kontrolle der Risikopositionen und versteht sich als dyna-mischer Prozess.² Zunächst wird erläutert, was unter den Begriffen Risiko bzw. Kreditrisiko zu verstehen ist, bevor das Kreditrisikomanagement genauer betrachtet wird.

2.1.1 Komponenten des Kreditrisikos

In der Banksteuerung ist Risiko ein viel verwendeter Begriff, für den in der betriebswirt-schaftlichen Literatur jedoch keine einheitliche Definition existiert. Im Allgemeinen wird un-ter Risiko die Gefahr einer negativen Abweichung zwischen dem erwarteten und dem tatsäch-lich erzielten Ergebnis auf Basis von unvollkommenen Informationen und der Unsicherheit über zukünftige Entwicklungen verstanden.³

Darauf aufbauend wird unter Kreditrisiko im engeren Sinne (i. e. S.) die nicht planmäßige Erfüllung des Kreditverhältnisses verstanden. Mit der Kreditvergabe geht grundsätzlich die Gefahr einher, dass sich die wirtschaftliche Situation des Kreditnehmers soweit verschlech-tert, dass dieser seinen vertraglichen Zahlungsverpflichtungen nicht mehr vollständig oder termingerecht nachkommen kann und somit Zins- oder Tilgungszahlungen ausfallen (Ausfall-risiko). Analog zur Solvabilitätsverordnung (SolvV) ist ein Kreditausfall gegeben, wenn die Bank davon ausgeht, dass der Schuldner ohne Einleitung von Maßnahmen der Bank seinen Kreditverpflichtungen mit hoher Wahrscheinlichkeit nicht nachkommen wird. Des Weiteren wird von einem Ausfall gesprochen, wenn der Schuldner mit einem wesentlichen Teil seiner Gesamtschuld mehr als 90 Tage in Verzug gerät. Im Forderungsausfall liegt jedoch lediglich der Extrempunkt von Bonitätsverschlechterungen. So umfasst das Kreditrisiko im weiteren Sinne (i. w. S.) das Bonitätsänderungsrisiko, welches die Gefahr der Bonitätsverschlechterung eines Kreditnehmers beschreibt, ohne zwingend zu einem Forderungsausfall zu führen. Mit einer zunehmenden Bonitätsverschlechterung steigt jedoch das Risiko eines Ausfalls. Dies führt zu einer bonitätsbedingten Wertminderung des Kredites.⁴ Das Kreditgeschäft bringt ne-ben dem Kreditrisiko i. w. S. noch weitere Risiken mit sich, die in Abb. 1 dargestellt sind.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 1: Risiken des Kreditgeschäfts⁵

So wird die Höhe des Forderungsausfalls durch die Werthaltigkeit der vom Kreditnehmer gestellten Sicherheiten determiniert. Dabei beinhaltet das Besicherungsrisiko die Gefahr der Wertminderung der gestellten Sicherheiten, was im Verwertungsfall zu einer nicht aus-reichenden Deckung der Zahlungsansprüche des Kreditgebers und somit zu einem höheren Ausfall führt. Neben diesen unmittelbar mit dem Kreditengagement bzw. Kreditnehmer ein-hergehenden Risiken sind die mittelbar einhergehenden Risken zu nennen. Dazu zählen Li-quiditäts-, Zinsänderungs-, Inflations- und Währungsrisiken, die hier nicht weiter betrachtet werden sollen.⁶

2.1.2 Kreditrisikomanagement als dynamischer Prozess

Der Kreditrisikomanagementprozess kann als Regelkreislauf verstanden werden, der aus fünf Phasen besteht und in Abb. 2 schematisch dargestellt ist. Im weiteren Verlauf dieser Arbeit wird der Fokus auf die dort rot gekennzeichneten Phasen gelegt. Diese umfassen insbesondere die Risikomessung (sh. Kapitel 3) sowie die Risikolimitierung und die Risikoüberwachung (sh. Kapitel 4).

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2: Kreditrisikomanagement als Regelkreislauf ⁷

Die Ausgangssituation wird durch die Risiko- bzw. Kreditrisikostrategie determiniert, in der der Umgang mit den Risiken durch die Geschäftsleitung bestimmt wird. Die in der Strategie festgelegte Risikopolitik trifft unter Berücksichtigung der geplanten Geschäftsaktivitäten ins-besondere Aussagen über die Risikotragfähigkeit und die Risikoneigung. Darauf aufbauend werden strategische Vorgaben zur Steuerung der Risiken formuliert. Somit hat die Risikostra-tegie maßgeblichen Einfluss auf das Kreditrisikomanagement, da dieses nach den strategi-schen Vorgaben ausgerichtet wird. Es folgt die Risikoidentifikation, bei der zunächst die Ab-leitung eines vollständigen Risikoprofils im Vordergrund steht, in dem alle betriebswirtschaft-lichen Risiken identifiziert und klassifiziert werden. Um das Ausmaß der eingegangenen Ri-siken abschätzen zu können, ist es im darauf folgenden Schritt notwendig, die Risiken mit geeigneten Instrumenten zu messen und zu quantifizieren. Dies erfolgt sowohl auf Einzelen-gagement- als auch auf Portfolioebene und bildet die Voraussetzung für eine zielgerichtete Steuerung. Die Bewertung der quantifizierten Risiken wird geprägt durch die zuvor festgeleg-te Risikoneigung des Instituts. Vorrangiges Ziel der Bewertung ist es, einen möglichen Hand-lungsbedarf aufzudecken, um mögliche Steuerungsmaßnahmen einzuleiten.⁸

Für die aktive Steuerung von Kreditrisiken stehen Instrumente zur Verfügung, die sowohl das Risiko auf Einzelengagement- als auch auf Portfolioebene beeinflussen können. Zu den in der Praxis am weitesten verbreiteten Steuerungsinstrumenten zählen das risikoadjustierte Pricing (sh. Kapitel 3.1.2), Limitsysteme (sh. Kapitel 4.2), Garantien, Kreditderivate, Kreditversiche-rungen und Verbriefungen. Moderne Finanzinstrumente wie Kreditderivate oder Verbriefun-gen von Kreditportfolien ermöglichen es, Risiken auf Dritte zu transferieren, um so bspw. Konzentrationsrisiken zu reduzieren. Auf Grund der Vielfalt dieser Instrumente wird im Rahmen dieser Arbeit auf eine genauere Betrachtung verzichtet. In der anschließenden Pro-zessstufe der Risikoüberwachung erfolgt eine Überprüfung hinsichtlich des Eintritts der Risi-ken und der Wirksamkeit der eingeleiteten Maßnahmen. Die daraus resultierenden Ergebnisse fließen in die Strategieüberarbeitung ein und schließen somit den Regelkreis.⁹

2.2 Aufsichtsrechtliche Anforderungen an das Kreditrisikomanagement

2.2.1 Rechtlicher Rahmen

Mit der Überarbeitung der Eigenkapitalvorschriften durch den Baseler Ausschuss (Basel II) und der Umsetzung in nationales Recht fand ein Paradigmenwechsel in der Bankenaufsicht statt. Neben den Neuerungen der quantitativen Eigenmittelanforderungen (Säule I), die sich aus der Richtlinie 2006/49/EG der Europäischen Union (EU) über die angemessene Eigenka-pitalausstattung von Wertpapierfirmen und Kreditinstituten ergeben, sind insbesondere der bankaufsichtliche Überprüfungsprozess (Säule II) und erweiterte Offenlegungspflichten (Säu-le III) in den Fokus gerückt.

Der bankaufsichtliche Überprüfungsprozess (Supervisory Review Process – SRP) verfolgt das Ziel einer verstärkt qualitativ ausgerichteten Bankenaufsicht mit Fokussierung auf die Quali-tät der Risikomanagementsysteme der Kreditinstitute. Die Kernelemente des SRP stellen der Internal Capital Adequacy Assessment Process (ICAAP) sowie der Supervisory Review and Evaluation Process (SREP) dar. Im Rahmen des ICAAP sind die Institute dazu angehalten, auf Basis ihres individuellen Risikoprofils genügend internes Kapital zur Abdeckung aller wesentlichen Risiken unter Berücksichtigung eventueller Wechselwirkungen zwischen den Risken vorzuhalten. Des Weiteren werden klare Organisationsstrukturen sowie wirksame Verfahren zur Ermittlung, Steuerung, Überwachung und Meldung der Risiken gefordert. Der SREP richtet sich direkt an die Bankenaufsicht und fordert die Beurteilung der Qualität des ICAAP, der vorhandenen Strukturen und der eingesetzten Verfahren zur Risikosteuerung in den Instituten. Dabei gilt der Grundsatz der doppelten Proportionalität. D. h., sowohl die Aus-gestaltung des Risikomanagements als auch die Intensität der aufsichtsrechtlichen Überwa-chung sind auf Größe, Art und Umfang der betriebenen Geschäfte der Institute auszurichten.¹⁰

Die Umsetzung der EU-Richtlinie erfolgte auf nationaler Ebene über die Anpassung des Kre-ditwesengesetzes (KWG). So fordert der Gesetzgeber von den Instituten in § 25a Abs. 1 KWG eine ordnungsgemäße Geschäftsorganisation, die insbesondere ein angemessenes Risi-komanagement umfasst. Dieses beinhaltet die Festlegung angemessener Strategien und inter-ner Kontrollverfahren unter Berücksichtigung der Risikotragfähigkeit. Die internen Kontroll-verfahren setzen sich dabei aus dem internen Kontrollsystem sowie der internen Revision zusammen. Das interne Kontrollsystem hat aus aufbau- und ablauforganisatorischen Regelun-gen sowie Prozessen zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommu-nikation der Risiken zu bestehen.

Im Dezember 2005 veröffentlichte die Bundesanstalt für Finanzdienstleistungsaufsicht (Ba-Fin) die Mindestanforderungen an das Risikomanagement (MaRisk) als norminterpretierende Verwaltungsvorschrift, die die Anforderungen, die sich aus § 25a KWG ergeben, konkretisiert und den Kreditinstituten einen flexiblen und praxisnahen Rahmen zur Ausgestaltung des Ri-sikomanagements geben soll. Anlage 1 zeigt den modularen Aufbau der MaRisk mit vorange-stelltem allgemeinem Teil (AT), in dem die grundlegenden Anforderungen an die ordnungs-gemäße Geschäftsorganisation sowie zentrale Begriffe und Definitionen erläutert werden. In den darauf folgenden besonderen Teilen (BT) werden die spezifischen Anforderungen an die Ausgestaltung der internen Kontrollsysteme und der internen Revision dargestellt.¹¹ Das Kre-ditrisikomanagement betreffende Anforderungen der verschiedenen Module, die im Rahmen dieser Arbeit fokussiert werden, sind in der Anlage 1 rot unterlegt und werden im Folgenden näher betrachtet.

2.2.2 Anforderungen an das Kreditrisikomanagement

Die Anforderungen der MaRisk haben grundsätzlich Gültigkeit für alle wesentlichen Risiken, wobei die Beurteilung der Wesentlichkeit auf Basis eines individuellen Gesamtrisikoprofils durchzuführen ist. Der aufsichtsrechtlichen Auffassung nach sind Adressenausfallrisiken, unter denen auch Kreditrisiken zu subsumieren sind, in der Regel als wesentlich anzusehen (AT 2.2 Tz. 1). Jeder einzelne Geschäftsleiter ist unabhängig von den internen Zuständigkeits-regelungen für die ordnungsgemäße Geschäftsorganisation und somit auch für die wesentli-chen Elemente des Risikomanagements verantwortlich. Um dieser Verantwortung gerecht zu werden, ist es notwendig, dass die Beurteilung der Risiken und das Einleiten erforderlicher Maßnahmen zur Begrenzung der Risiken durch das Risikomanagement ermöglicht werden (AT 3 Tz. 1). Diese Formulierung zeigt, dass die MaRisk weniger die Eignung der Geschäfts-leiter als vielmehr die Ausgestaltung und die Qualität des Risikomanagements fokussieren.

Insbesondere die diversen Anforderungen an die Berichterstattung, die in Kapitel 4.3 betrach-tet werden, geben Hinweise darauf, wie es der Geschäftsleitung ermöglicht werden soll, eine Einschätzung der Risiken vorzunehmen.¹²

Eine herausragende Bedeutung für das Risikomanagement kommt dabei der Risikotragfähig-keit zu, die gem. AT 4.1 die Vorgaben des o. g. ICAAP umsetzt. Die Wahl der Methoden zur Beurteilung der Risikotragfähigkeit, die in Kapitel 4.1 näher betrachtet werden, liegt in der Verantwortung der Institute (AT 4.1 Tz. 4). Unter Berücksichtigung der Risikotragfähigkeit ist neben einer Geschäftsstrategie eine dazu konsistente Risikostrategie zu formulieren (AT 4.1 Tz. 2 u. AT 4.2 Tz. 1). Dabei sind die in der Geschäftsstrategie niedergelegten Ziele und Planungen der wesentlichen Geschäftsaktivitäten zu berücksichtigen. Zudem sind die Ziele der Risikosteuerung aufzuzeigen und Risikokonzentrationen ist angemessen Rechnung zu tragen. Die Risikostrategie kann ggf. in Teilstrategien unterteilt werden und ist mindestens jährlich zu überprüfen und ggf. anzupassen sowie mit dem jeweiligen Aufsichtsorgan zu erör-tern (AT 4.2 Tz. 1 - 3). Für Institute, bei denen Kreditrisiken eine wesentliche Rolle spielen, ist eine separate Kreditrisikostrategie empfehlenswert¹³.¹⁴ Die Verantwortung der Strategie-findung liegt bei den Geschäftsleitern und ist nicht delegierbar, was die besondere Bedeutung der Strategien hervorhebt (AT 4.2 Tz. 1).

Für die Umsetzung der strategischen Vorgaben ist es erforderlich, geeignete Risikosteue-rungs- und Risikocontrollingprozesse zu implementieren (AT 4.1 Tz. 2) sowie die Inhalte und eventuelle Änderungen der Strategien in geeigneter Weise zu kommunizieren (AT 4.2 Tz. 4). Analog AT 4.3.2 Tz. 1 müssen die eingesetzten Verfahren und Prozesse eine Identifizierung, Beurteilung, Steuerung, Überwachung sowie Kommunikation der Kreditrisiken ermöglichen und sollten in ein integriertes System zur Ertrags- und Risikosteuerung eingebunden werden. Des Weiteren haben diese Verfahren eine frühzeitige Erkennung, vollständige Erfassung und angemessene Darstellung der Risiken zu gewährleisten (AT 4.3.2 Tz. 2). Zu diesen Verfahren werden explizit Szenariobetrachtungen gezählt (sh. Kapitel 3.2.2), über deren Ergebnisse sich die Geschäftsleitung regelmäßig berichten zu lassen hat (AT 4.3.2 Tz. 3 u. 4).

Weitere Anforderungen ergeben sich aus dem besonderen Teil „Anforderungen an die Risi-kosteuerungs- und -controllingprozesse“ (BTR) 1. So sind die Kreditrisiken unter Berücksich-tigung der Risikotragfähigkeit zu begrenzen (BTR 1 Tz. 1), wodurch die Bedeutung der Risi-kotragfähigkeit nochmals hervorgehoben wird. Auf Einzelkreditnehmer- oder Kreditnehmer-einheitenebene ist ein Kreditgeschäft ohne ein vorher festgelegtes Limit bzw. Kreditbeschluss untersagt. Die Anrechnung von Kreditgeschäften auf die festgelegten bzw. beschlossenen Limite hat unverzüglich zu erfolgen und die Einhaltung ist zu überwachen. Bei Limitüber-schreitungen sind die ggf. eingeleiteten Maßnahmen festzuhalten. Auf Portfolioebene sind Verfahren notwendig, die die Steuerung und Überwachung von gesamtgeschäftsbezogenen Risiken wie z. B. Branchen- oder Portfoliostrukturrisiken gewährleisten (sh. a. Kapitel 4.2). Die mit Hilfe der eingesetzten Verfahren erzielten Analyseergebnisse sind regelmäßig, min-destens aber vierteljährlich, in einem Risikobericht zusammen zu fassen und der Geschäftslei-tung zur Verfügung zu stellen (BTR 1 Tz. 2, 5, 6 u. 7). Neben den Anforderungen aus dem BTR 1 werden in den MaRisk in dem besonderen Teil „Anforderungen an die Aufbau- und Ablauforganisation“ (BTO) 1 weitere Anforderungen gestellt, auf die an dieser Stelle nicht weiter eingegangen wird. Sollten diese im weiteren Verlauf dieser Arbeit von Relevanz sein, wird an gegebener Stelle gesondert darauf eingegangen.

2.3 Betriebswirtschaftliche Notwendigkeit des Kreditrisikomanagements

In der Regel ist mit jeder unternehmerischen Entscheidung ein gewisses Risiko verbunden. Für die Bankenaufsicht steht bei den MaRisk die Existenzsicherung der Kreditinstitute und somit die Stabilität des Finanzsystems im Vordergrund. Die zentrale Frage ist dabei, wie viel Risiko ein Kreditinstitut eingehen kann, ohne in eine existenzgefährdende Situation zu gera-ten. Die Erfüllung der bankaufsichtsrechtlichen Anforderungen liegt somit auch im Eigeninte-resse der Institute. Aber ein besonderes Interesse der Institute sollte auch die Beantwortung der weitergehenden Fragestellung sein, inwiefern sich das eingegangene Risiko lohnt.¹⁵

Zu Beginn des Jahrzehnts war ein sprunghafter Anstieg von Unternehmensinsolvenzen zu verzeichnen, der nur zum Teil auf eine Umstellung der statistischen Datenerhebung zurückzu-führen ist¹⁶. Im Jahre 2003 erreichte dieser Anstieg seinen Höhepunkt. Zwar sind die Unter-nehmensinsolvenzen seitdem rückläufig, dennoch befinden sie sich, wie in Anlage 2 darge-stellt, auf einem historisch hohen Niveau. Generell bringt eine steigende Zahl von Unterneh-mensinsolvenzen ein höheres Risiko von Kreditausfällen mit sich und bewirkt somit einen höheren Risikovorsorgebedarf im Kreditgeschäft der Kreditinstitute. Der gesamte Risikovor-sorgebedarf, der im Wesentlichen aus dem Kreditgeschäft resultiert, ist zwar seit 2003 stark rückläufig, was auch ein verändertes Bewusstsein hinsichtlich des Kreditrisikos in den Kredit-instituten vermuten lässt, dennoch verbleibt dieser analog Anlage 3 auf hohem Niveau.¹⁷

Trotz der hohen Risiken, die mit dem Kreditgeschäft verbunden sind, hat der Wettbewerbs-druck durch neue Marktteilnehmer wie z. B. ausländische Geschäftsbanken zugenommen.

Infolgedessen sind die erzielbaren Margen im Kreditgeschäft gesunken.¹⁸ Die Kombination aus hohem Risiko und niedrigen Margen macht es notwendig, beide Größen zu kennen und gegenüberzustellen. Nur so kann eine nachhaltige Sicherung von positiven Ergebnisbeiträgen erzielt werden.

2.4 Bedeutung und Aufgaben der internen Revision

Mit steigenden Anforderungen an die Geschäftsleitung und tendenziell immer größer werden-den Unternehmenseinheiten nimmt der direkte Einblick der Leitung in das Unternehmensge-schehen tendenziell ab. Dies kann zu Überwachungsdefiziten führen. So kann in der Regel die Geschäftsleitung die Überwachungsaufgabe für das Kreditrisiko in einem Kreditinstitut nicht mehr selbst übernehmen. Auf Grund der Delegierung dieser Aufgabe durch die Geschäftslei-tung und die Übernahme der Verantwortung durch die interne Revision wird diese integraler Bestandteil der Unternehmensleitung. Auch die MaRisk sehen die interne Revision als In­strument der Geschäftsleitung, das dieser unmittelbar unterstellt und berichtspflichtig ist (AT 4.4 Tz. 2). Als Instrument der Geschäftsleitung sind unternehmerisches Denken und Handeln der internen Revision erforderlich. Dies beinhaltet u. a., die Organisation auf unge-nutzte Gewinnmöglichkeiten zu untersuchen sowie potentielle Fehlentwicklungen und Schwachstellen aufzuzeigen.¹⁹

Die MaRisk verlangen gem. AT 4.4 Tz. 1 u. 3 von jedem Institut eine funktionsfähige interne Revision, die prozessunabhängig und risikoorientiert die Wirksamkeit und Angemessenheit des Risikomanagements im Allgemeinen, des internen Kontrollsystems im Besonderen und die Ordnungsmäßigkeit grundsätzlich aller Aktivitäten und Prozesse zu prüfen und zu beurtei-len hat. Es liegt somit in der Verantwortung der internen Revision, der Geschäftsleitung Fehl-entwicklungen bzw. Mängel aufzuzeigen und Lösungsvorschläge zu präsentieren. Um dieser Intension der MaRisk gerecht zu werden, sind insbesondere im Kreditbereich, der in der Ver-gangenheit von Einzelfallprüfungen geprägt war, vermehrt Systemprüfungen durchzuführen. Einzelfallprüfungen können in die materielle und formelle Kreditprüfung unterteilt werden. Im Rahmen der materiellen Prüfung wird eine inhaltliche Prüfung, bspw. hinsichtlich der Werthaltigkeit der Sicherheiten, vorgenommen, während die formelle Prüfung die Ordnungs-mäßigkeit des Kreditgeschäfts umfasst. Darunter fallen z. B. die Einhaltung externer und in-terner Richtlinien sowie die Dokumentation. Zu den wesentlichen Systemprüfungen, die min-destens jährlich erfolgen sollten, zählen die Prüfung der Kreditrisikostrategie, der Rating-systeme und -prozesse, der Verfahren zur Messung der Kreditrisiken, des Limitsystems und des internen Berichtswesens.²⁰ Diese Prüffelder werden im weiteren Verlauf dieser Arbeitgenauer betrachtet.

[...]

¹ Vgl. Buttler/ Papenbrock (2007), S.1; Deutsche Bundesbank (2004), S. 83 f.; Mauksch/ Schindler/ Schmeis- ser (2005), S. 9.

² Vgl. Bietke/ Henne/ Reichling (2007), S. 214; Christians (2006), S. 204; IIR (a), S. 2; Mauksch/ Schindler/ Schmeisser (2005), S. 12 f.

³ Vgl. Christians (2006), S. 203 f.; Mauksch/ Schindler/ Schmeisser (2005), S. 6 f.

⁴ Vgl. Bennenmann/ Blum/ Gehrmann (2005), S. 254; Bluhm/ Fahrmeir/ Henking (2006), S. 17; Hanenberg/ Hannemann/ Schneider (2008), S. 93; Rolfes (2008), S. 10 f.; Schierenbeck (2003), S. 314; SolvV (2006), § 125 Abs. 1, Satz 1.

⁵ Abbildung in Anlehnung an Mauksch/ Schindler/ Schmeisser (2005), S. 10.

⁶ Vgl. Mauksch/ Schindler/ Schmeisser (2005), S. 10 ff.

⁷ Abbildung in Anlehnung an Genau (2008), S. 26.

⁸ Vgl. Bietke/ Henne/ Reichling (2007), S. 214 f.; Christians (2006), S. 204 f.; Genau (2008), S. 29; Mauksch/ Schindler/ Schmeisser (2005), S. 14; Schröder (2008), S. 1982.

⁹ Vgl. Bietke/ Henne/ Reichling (2007), S. 216; Oesterreichische Nationalbank (2004a), S. 57.

¹⁰ Vgl. EU-Richtlinie 2006/48/EG, Artikel 22, 123 u. 124; Hanenberg/ Hannemann/ Schneider (2008), S. 8 f.; Loeper (2007), S. 318 ff.

¹¹ Vgl. Andrae (2006), S. 22 ff.; Hanenberg/ Hannemann/ Schneider (2008), S. 16 ff.; Schwirten/ Zattler (2007), S. 447 f.

¹² Vgl. BaFin (2006), S. 1; Christians (2006), S. 213; Hanenberg/ Hannemann/ Schneider (2008), S. 121.

¹³ In den folgenden Ausführungen wird unterstellt, dass eine separate Kreditrisikostrategie besteht.

¹⁴ Vgl. Bosse/ Fette (2006), S. 122 ff.; Genau (2008), S. 15.

¹⁵ Vgl. Hortmann/ Seide (2006), S. 305; Oesterreichische Nationalbank (2006), S. 10.

¹⁶ Vor dem Jahr 2000 sind die Daten der neuen Bundesländer nicht enthalten. Sh. Anlage 2.

¹⁷ Vgl. Deutsche Bundesbank (2007a), S. 24; Klement (2007), S. 1; Statistisches Bundesamt (2008).

¹⁸ Vgl. Klement (2007), S. 2 f.; Rolfes (2006a), S. 7 ff.

¹⁹ Vgl. DSGV (2007), S. 205; IIR (a), Rn. 5 u. 6; IIR (b), S. 17; Schnabel (2008), S. 148; Weilbach (1995), S. 1037.

²⁰ Vgl. Oesterreichische Nationalbank (2004b), S. 110 ff.; Schnabel (2008), S. 149.