Fabian Zissel, Partner, FSA PartmbB Wirtschaftsprüfungsgesellschaft

Mit Veröffentlichung der MaRisk 8.0 am 29.06.2023 wurden erstmalig ESG-Risiken in den MaRisk konkretisiert bzw. neu aufgenommen. Für die Umsetzung der wesentlichen ESG-Anforderungen sah die BaFin eine Übergangsfrist bis zum 01.01.2024 vor.

Im Rahmen laufender Jahresabschluss- und Revisionsprüfungen werden die Ergebnisse aus institutsinternen ESG-Umsetzungsprojekten erstmalig als Bestandteil der aufsichtlichen Prüfungsgebiete beurteilt. Welche konkreten Aspekte werden aus Prüfungssicht adressiert und welche praktischen Erwägungen lassen sich daraus ableiten?

Exemplarisch werden im Folgenden ausgewählte MaRisk-Anforderungen mit ESG-Implikationen behandelt:

Risikoidentifizierung und -bewertung

Gemäß AT 2.2 Tz. 1 MaRisk umfassen ESG-Risiken Ereignisse oder Bedingungen aus den Bereichen Umwelt, Soziales oder Unternehmensführung, deren Eintreten sich potenziell negativ auf die Vermögens-, Finanz- oder Ertragslage eines Instituts auswirken kann. Diese ökonomische Betrachtungsweise steht auch im Fokus der Prüfung. Es besteht die Erwartungshaltung, dass ESG-Risiken als Risikotreiber untersucht werden, die sich auf die für das Institut wesentlichen Risikoarten auswirken können. Im Zuge der Risikoinventur sind pauschale Fragestellungen zur ESG-Relevanz nicht mehr ausreichend. Die Auseinandersetzung erfordert eine granulare Herangehensweise, etwa unter Verwendung von KPIs/Risikofaktoren aus etablierten Rahmenwerken (GRI, ESRS).

Bei der Identifikation relevanter Risikofaktoren sind Dokumentationsanforderungen von zentraler Bedeutung. Dies gilt aus Prüfungssicht insbesondere dann, wenn Risikofaktoren als relevant eingestuft werden, nicht aber als wesentlich. Im Falle wesentlicher Risikofaktoren stellt sich die Frage, wie diese innerhalb der Risikotragfähigkeitskonzeption berücksichtigt werden. Gerade kleine und mittlere Institut wenden in der Praxis bislang selten quantitative Verfahren an. Qualitative Ansätze werden in den MaRisk nicht ausgeschlossen, sie sollten jedoch gleichermaßen nachvollziehbar ausgestaltet und dokumentiert werden.   

Geschäftsorganisation und Geschäftsmodell

Die Bezeichnung „ESG-Risiken“ wird an 44 Stellen innerhalb der MaRisk verwendet. ESG-Aspekte werden in nahezu sämtlichen Teilbereichen der MaRisk adressiert. Im Rahmen von (Revisions-)Prüfungen werden entsprechende Umsetzungsthemen insofern ganzheitlich durch Sichtung der schriftlich fixierten Ordnung gewürdigt. Neben der Erwartungshaltung an einen „roten Faden“ wird hierbei transparent, ob sich alle relevanten Organisationseinheiten mit den für sie einschlägigen ESG-Themenstellungen auseinandergesetzt haben. Die prüferische Erwartungshaltung korrespondiert dabei mit der Relevanz von ESG-Risiken für das spezifisch betrachtete Institut.

Als Teil der MaRisk 8.0 wurden Verpflichtungen zur Analyse des Geschäftsmodells konkretisiert (AT 4.2 Tz. 1 MaRisk). Im Kern geht es dabei um die Frage, ob sich das eigene Geschäftsmodell über einen angemessen langen, mehrjährigen Zeitraum aufrechterhalten lässt. Über das Kriterium der Langfristigkeit werden regelmäßig auch ESG-Aspekte Gegenstand dieser Analyse sein. In der Praxis haben sich noch keine einheitlichen Vorgehensweisen etabliert. Aus Prüfungssicht gilt es den Zukunftsbezug der Geschäftsmodellanalyse zu bewerten – dabei werden sowohl getroffene Annahmen als auch verwendete Daten kritisch hinterfragt.      

Outsourcing-Risikoanalyse nach AT 9 MaRisk

Mit den MaRisk 8.0 ergaben sich im Themenbereich Auslagerungen grundsätzlich keine Neuerungen – mit einer Ausnahme: die Ergänzung von ESG-Risiken innerhalb der Risikoanalyse nach AT 9 Tz. 2 MaRisk. In der Praxis wurde dieser Aspekt im Regelfall bereits in die Vorlagen zur Durchführung der Risikoanalyse integriert. Weitaus heterogener gestaltet sich der Blick auf die inhaltliche Betrachtung von ESG-Risiken. Gerade im Bereich Auslagerungen werden die breiten Auslegungsmöglichkeiten von ESG deutlich. Entgegen des teilweise noch etwas priorisiert behandelten „E“-Pillars (Umwelt- und Klimarisiken) können hier Risikofaktoren aus den Bereichen Soziales und Governance von größerer Relevanz sein. So kann bei einer Auslagerung der Internen Revision oder Compliance-Funktion die Frage im Fokus stehen, inwiefern arbeitnehmerbezogene Risikofaktoren (z. B. hohe Fluktuation) auf Ebene des Dienstleisters bestehen, die sich mittelbar auf die Qualität und Verfügbarkeit der ausgelagerten Tätigkeit auswirken können. Eine detaillierte Auseinandersetzung mit ESG-Risikofaktoren gewinnt an Bedeutung und wird auch im Rahmen von Prüfungen einzelfallbezogen beurteilt.  

PRAXISTIPPS

• Setzen Sie sich auf Institutsebene nachvollziehbar mit potenziellen ESG-Risiken, insbesondere im Rahmen der Risikoinventur, auseinander. Deren Ergebnis ist Grundlage für den Ausprägungsgrad der ESG-Umsetzungsthemen.
• Gehen Sie proaktiv und frühzeitig an ESG-Themenstellungen heran. Die regelmäßig von den Aufsichtsbehörden veröffentlichten „best practices“ von ausgewählten Instituten bestätigen diesen Ansatz.
• Diskutieren Sie die institutsspezifische ESG-Integration regelmäßig mit Ihrem Abschlussprüfer und der Internen Revision. Ebenso wie das Themenfeld ESG selbst werden sich auch prüferische Erwartungshaltungen dynamisch weiterentwickeln.