Was ist der ICAAP (Internal Capital Adequacy Assessment Process)?

Der **Internal Capital Adequacy Assessment Process (ICAAP)** ist der bankinterne Prozess, mit dem ein Institut laufend ermittelt, ob sein internes Kapital ausreicht, um alle wesentlichen Risiken abzudecken, denen es ausgesetzt ist oder sein könnte. Rechtsgrundlage ist **Art. 73 der Eigenkapitalrichtlinie CRD (Richtlinie 2013/36/EU)**: Institute müssen „solide, wirksame und umfassende Strategien und Verfahren” einrichten, um „die Höhe, die Art und die Verteilung des internen Kapitals” laufend zu bewerten und vorzuhalten — angemessen zur Art, zum Umfang und zur Komplexität ihrer Geschäfte ^[1].

Das Gegenstück auf der Liquiditätsseite ist der **ILAAP (Internal Liquidity Adequacy Assessment Process)** nach **Art. 86 Abs. 1 CRD**: derselbe Mechanismus für die Identifizierung, Messung, Steuerung und Überwachung des Liquiditätsrisikos. ICAAP und ILAAP sind die beiden internen Verfahren, die das Institut selbst verantwortet — im Unterschied zum SREP, den die Aufsicht durchführt ^[1].

Die EZB erwartet, dass der ICAAP aus **zwei einander ergänzenden Perspektiven** betrieben wird (Grundsatz 3 des EZB-Leitfadens); wirksames Risikomanagement verlangt beide, und sie „informieren sich gegenseitig”. Die **normative Perspektive** ist eine **mehrjährige** Beurteilung der Fähigkeit des Instituts, alle kapitalbezogenen regulatorischen und aufsichtlichen Anforderungen fortlaufend zu erfüllen — im Basisszenario und in adversen Szenarien über den Planungshorizont ^[2].

Die **ökonomische Perspektive** verlangt, dass das Institut **alle wesentlichen Risiken** identifiziert und quantifiziert, die zu wirtschaftlichen Verlusten führen und das interne Kapital aufzehren können, und sicherstellt, dass diese Risiken durch internes Kapital angemessen gedeckt sind — beurteilt auf Basis ökonomischer Werte, nicht regulatorischer oder bilanzieller Größen ^[2].

ICAAP und ILAAP sind zentrale Eingangsgrößen für den **SREP** (Supervisory Review and Evaluation Process) der Aufsicht. Der SREP hat vier Bewertungsblöcke: (1) Geschäftsmodell, (2) interne Governance und Risikomanagement, (3) **Risiken für das Kapital — gespeist vom ICAAP** und (4) **Risiken für Liquidität — gespeist vom ILAAP**. Der EZB-Leitfaden hält fest, dass der ICAAP „in alle SREP-Bewertungen und in die Festsetzung des Säule-2-Kapitals einfließt” ^[2][5].

Konkret prägt die Qualität des ICAAP die Kalibrierung der **Pillar-2-Anforderung (P2R, bindend)** und der **Pillar-2-Empfehlung (P2G, nicht bindend)**. Belastbare, gut dokumentierte ICAAP-Unterlagen verbessern das SREP-Ergebnis spürbar; schwache ICAAP-Verfahren können selbst Gegenstand qualitativer Aufsichtsmaßnahmen werden ^[5].

Die EZB veröffentlichte ihren **Leitfaden zum ICAAP** im **November 2018** (anwendbar seit dem 1. Januar 2019, parallel ein **ILAAP-Leitfaden**); er formuliert **sieben Grundsätze** und soll die Banken bei der Stärkung ihrer Verfahren unterstützen. Wichtig: Der Leitfaden ist **kein verbindliches Recht** — er stellt ausdrücklich klar, dass er geltendes Recht „weder ersetzt noch ihm vorgeht”, und dass im Konfliktfall das anwendbare Recht (Art. 73 CRD) vorrangig ist ^[2][3].

Der ICAAP ist **verhältnismäßig** auszugestalten: Art. 73 CRD verlangt eine Angemessenheit nach Art, Umfang und Komplexität des Instituts. Praktisch staffelt die Aufsicht Tiefe und Intensität entlang der **vier SREP-Kategorien (1–4)** der EBA-Leitlinien (EBA/GL/2014/13, überarbeitet durch EBA/GL/2022/03), die Institute nach systemischer Bedeutung und grenzüberschreitender Tätigkeit einordnen — größere, komplexere Institute müssen einen entsprechend tieferen ICAAP vorhalten ^[4][5].

In einer horizontalen Analyse der ICAAP-Unterlagen von **37 bedeutenden Instituten** (EZB-Bericht von 2020) fand die Aufsicht die Grundlagen weitgehend etabliert, benannte aber **drei zentrale Schwachstellen**: **Datenqualität** („viele Banken zeigen wesentliche Defizite in diesem Schlüsselbereich”), die **ökonomische Perspektive** (schwache Umsetzung des Konzepts, inkonsistente und zu wenig konservative Quantifizierung) und das **Stresstesting** (viele Banken beobachten ihr Umfeld nicht systematisch genug, um neue Bedrohungen früh zu erkennen) ^[6].

Die Konsequenz: Der ICAAP ist kein jährliches Dokument-Abliefern, sondern ein laufender Prozess, der nur so gut ist wie die zugrunde liegenden Daten. Lückenlose, prüffähige Datenhistorien über alle wesentlichen Risiken — und ihre konsistente Aggregation — sind die Voraussetzung dafür, dass die ökonomische Perspektive und das Stresstesting der aufsichtlichen Prüfung standhalten ^[6].