BaFin veröffentlicht sechste MaRisk-Novelle


Hintergrund

ǀ Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 16. August 2021 die sechste Novelle der Mindestanforderungen an das Risikomanagement (MaRisk) veröffentlicht. Die Novelle setzt insbesondere die Leitlinien der European Banking Authority (EBA) zu notleidenden und gestundeten Risikopositionen (EBA/GL/2018/06) und zu Auslagerungen (EBA/GL/2019/02) um. Weitere Anpassungen gehen auf die EBA-Leitlinien zum Management von IKT- (Informations- und Kommunikationstechnik) und Sicherheitsrisiken (EBA/GL/2019/04) sowie Erfahrungen aus der bisherigen Aufsichtspraxis zurück.

Im Vergleich zur Konsultationsfassung haben sich nach Auswertung der Stellungnahmen und Diskussionen an einigen Stellen Änderungen ergeben, die einerseits Sinn und Zweck der aufsichtlichen Vorgaben stärker herausstellen sollen, andererseits aber auch den berechtigten Interessen insbesondere kleinerer Institute gerecht werden.


Neue Anforderungen an High-NPL-Institute

Einige der neuen MaRisk-Anforderungen, die aus der Umsetzung der EBA-Leitlinien zu notleidenden und gestundeten Risikopositionen resultieren, betreffen ausschließlich Institute, deren Quote notleidender Kredite (NPL-Quote; NPL = Non-Performing Loans) fünf Prozent überschreitet. Die Sonderanforderungen an diese High-NPL-Institute schlagen sich insbesondere in den Abschnitten AT 4.2 und BTO 1.2 MaRisk nieder und beinhalten unter anderem die Entwicklung und regelmäßige Überprüfung einer Strategie für notleidende Risikopositionen sowie höhere Anforderungen an die Ausgestaltung der Risikocontrolling-Funktion. Des Weiteren haben die Institute unter anderem eine außerhalb des Bereichs Markt angesiedelte spezialisierte Abwicklungseinheit einzurichten und in den Risikoberichten künftig notleidende und Forborne-Risikopositionen gesondert darzustellen.

Zu beachten ist jedoch, dass die Aufsicht die Einhaltung der zuvor genannten Anforderungenauch von Instituten mit einer NPL-Quote von unter fünf Prozent verlangen kann, sofern diese einen wesentlichen Anteil an notleidenden Risikopositionen in einem einzelnen Portfolio aufweisen.

Entsprechend der Abstimmung in der Sitzung des Fachgremiums MaRisk vom 12. Februar 2021 sind die erhöhten Anforderungen an Institute mit hohem NPL-Bestand erst dann einzuhalten, wenn die NPL-Quote an zwei aufeinanderfolgenden Quartalsstichtagen überschritten wird. Es wird jedoch erwartet, dass die Institute sich mit den zusätzlichen Anforderungen bereits auseinandersetzen, sobald eine entsprechende Überschreitung absehbar ist.


Neue Anforderungen an alle Institute

Bereits in den Vorbemerkungen (AT 1 MaRisk) ergibt sich eine wesentliche Neuerung, bei welcher der Begriff der „bedeutenden“ Institute den bisherigen Begriff der „systemrelevanten“ Institute ersetzt. Bedeutende Institute sind hierbei solche Institute, die gemäß Art. 6 der SSM-Verordnung (Verordnung (EU) Nr. 1024/2013) als bedeutend eingestuft sind.

Des Weiteren beinhalten die nachfolgenden Schwerpunktthemen neue Anforderungen, die sich an alle Institute – nicht nur die High-NPL-Institute ­– richten:


Notfallmanagement AT 7.3 MaRisk:

Künftig sind zur Identifikation zeitkritischer Aktivitäten und Prozesse Auswirkungs- und Risikoanalysen durchzuführen. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte). Das Notfallkonzept ist anlassbezogen und jährlich auf Aktualität zu überprüfen und angemessen zu kommunizieren. Die Geschäftsleitung muss sich mindestens quartalsweise und anlassbezogen über den Zustand des Notfallmanagements schriftlich berichten lassen. Zudem sind die Wirksamkeit und Angemessenheit des Notfallkonzepts regelmäßig zu überprüfen; für zeitkritische Aktivitäten und Prozesse ist die Überprüfung für alle relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen. Die Inhalte des Notfallkonzepts wurden in den Erläuterungen konkretisiert und durch abzudeckende Notfallszenarien erweitert. Weiterhin wurde die Überprüfung des Notfallkonzepts um Inhalte ergänzt, wie etwa einen Test der technischen Vorsorgemaßnahmen, Kommunikations-, Krisenstabs- und Alarmierungsübungen sowie Ernstfall- oder Vollübungen.


Auslagerung AT 9 MaRisk:

Zunächst wird die Abgrenzung zum sonstigen Fremdbezug von Leistungen und Auslagerungen durch weitere Beispiele konkretisiert. Künftig müssen die Institute die mit allen Auslagerungen (nicht nur den wesentlichen) verbundenen Risiken angemessen steuern. Die Mindestinhalte der Risikoanalysen wurden unter anderem um Risikokonzentrationen, politische Risiken und Interessenkonflikte erweitert und sind, soweit sinnvoll und verhältnismäßig, darüber hinaus um quantitative Szenarioanalysen zu ergänzen. Unter politischen Risiken ist die Beurteilung der politischen Stabilität im Hinblick auf die Sicherheitslage der betreffenden Rechtsordnung zu verstehen, was sich in der Regel nicht auf EWR-Länder beziehen dürfte. Die Befugnis der Leistungserbringung von Auslagerungsunternehmen ist anhand erforderlicher Erlaubnisse und Registrierungen zu überprüfen. Zudem wurden die Anforderungen an die schriftlichen Mindestvertragsinhalte bei wesentlichen Auslagerungen ergänzt. Darüber hinaus sind auch bei nicht wesentlichen Auslagerungen, wenn zu erwarten ist, dass diese wesentlich werden, Informations-, Prüfungs- und Zugangsrechte zu vereinbaren. Auch sollten Regelungen zu datenschutzrechtlichen Bestimmungen und sonstigen Sicherheitsanforderungen vertraglich vereinbart werden, und zwar für alle Auslagerungen, also auch für nicht wesentliche.
Jedes Institut, das Auslagerungen vornimmt, hat zudem einen zentralen Auslagerungsbeauftragten zu benennen, der in einer Einheit angesiedelt ist, die der Geschäftsleitung unmittelbar untersteht. Der Auslagerungsbeauftragte bzw. das zentrale Auslagerungsmanagement haben nunmehr auch anlassbezogen einen Bericht über die wesentlichen Auslagerungen zu erstellen und der Geschäftsleitung zur Verfügung zu stellen. Bei kleineren, weniger komplexen Instituten ist eine Berichterstattung im Rahmen einer Vorstandssitzung ausreichend. Weiterhin ist ein aktuelles Auslagerungsregister mit Informationen über alle Auslagerungsvereinbarungen vorzuhalten; die Mindestinhalte und Anforderungen für die Auslagerungsvereinbarungen werden zudem konkretisiert. Eine vollständige Auslagerung der besonderen Funktionen (Risikocontrolling-Funktion, Compliance-Funktion oder Interner Revision) ist nunmehr auch für Schwesterinstitute einer Institutsgruppe zulässig, sofern das auslagernde Institut sowohl hinsichtlich Größe, Komplexität und Risikogehalt der Geschäftsaktivitäten für den nationalen Finanzsektor als auch hinsichtlich seiner Bedeutung innerhalb der Gruppe als nicht wesentlich einzustufen ist. Mit der Novelle wird künftig auch die Möglichkeit eingeräumt, ein zentrales Auslagerungsmanagement auf Gruppen- bzw. Verbundebene einzurichten. Allerdings gelten die Regelungen für Vereinfachungen auf Gruppenebene vollumfänglich nur, wenn die Gruppe sowie die Institute, bei denen Funktionen zentralisiert werden sollen, unter die Anwendung der CRR und damit auch der Outsourcing-Guidelines fallen.


Anforderungen an die Prozesse im Kreditgeschäft BTO 1.2 MaRisk:

Die mit der Wertermittlung von Immobiliensicherheiten betrauten Personen müssen künftig erweiterte Anforderungen hinsichtlich ihrer Unabhängigkeit und Qualifikation erfüllen. Bei externen Wertermittlungen von Immobiliensicherheiten ist über eine Auswahl an unabhängigen und qualifizierten Sachverständigen zu verfügen. Die Leistung des externen Sachverständigen ist zu überprüfen und die Auswahl ggf. anzupassen. Außerdem ist eine Rotation der mit der Sicherheitenbewertung betrauten Personen vorzunehmen.


Behandlung von Problemkrediten BTO 1.2.5 MaRisk:

Bei der Festlegung der Kriterien für den Übergang in die Problemkreditbearbeitung sind auch die Indikatoren für die Einstufung als notleidende Risikoposition (Non-Performing Exposures = NPE) zu berücksichtigen. Im Rahmen der Überleitung eines Engagements in die Sanierung bzw. Abwicklung ist mindestens jährlich eine Überprüfung der Werthaltigkeit von Sicherheiten vorzunehmen. Gegebenenfalls hat eine neue, unter Realisationsgesichtspunkten erstellte Wertermittlung zu erfolgen. Die Institute sollen in den Abwicklungskonzepten geeignete Abwicklungsmaßnahmen festhalten und den Zeitraum zur Abwicklung von Sicherheiten überwachen. Rettungserwerbe von Sicherheiten dürfen unter Berücksichtigung von Ausnahmen künftig ausschließlich auf Basis einer Richtlinie erfolgen, die u. a. die beabsichtigte Haltedauer festlegt. Notleidende Risikopositionen sind anhand angemessener Fristen zu überwachen.


Risikovorsorge BTO 1.2.6 MaRisk:

Die Methoden und Verfahren zur Bildung von Risikovorsorgen sind regelmäßig anhand von Rückvergleichen zu überprüfen, um mögliche Abweichungen zwischen gebildeter Risikovorsorge und den tatsächlich eingetretenen Verlusten bis zur vollständigen Ausbuchung des Engagements zu vermeiden.


Forbearance BTO 1.3.2 MaRisk:

Grundsätzlich müssen Institute für Forbearance-Maßnahmen eine Forbearance-Richtlinie implementieren und diese regelmäßig überprüfen. Zudem sind Forbearance-Maßnahmen hinsichtlich ihrer Tragfähigkeit zu bewerten und in angemessenen Abständen in Bezug auf ihre Qualität, Wirksamkeit und die Effizienz des Gewährungsprozesses zu überwachen. Darüber hinaus sind Kriterien festzulegen, die eine angemessene Einstufung oder Umgliederung von Forborne-Risikopositionen in notleidende oder nicht notleidende Positionen – unter Berücksichtigung eines geeigneten Gesundungszeitraums – ermöglichen. Für eine Veränderung des Einstufungsstatus ist immer eine Analyse der finanziellen Lage des Kreditnehmers notwendig. Es wird außerdem verdeutlicht, dass die für die Durchführung von Forbearance-Maßnahmen erforderliche Beurteilung finanzieller Schwierigkeiten ausschließlich auf Grundlage seiner Situation und nicht unter Berücksichtigung von bereitgestellten Sicherheiten oder Garantien zu erfolgen hat.


Über die Schwerpunkte hinaus resultieren aus der Aufsichtspraxis notwendige Anpassungen in den folgenden Bereichen:
  • Operationelle Risiken: Die Verfahren zur Beurteilung operationeller Risiken müssen die wesentlichen Ausprägungen der operationellen Risiken erfassen; diese sind in den Erläuterungen spezifiziert.
  • Handelsgeschäfte: Der Anwendungsbereich wurde um Geschäfte in Kryptowerten erweitert. Zudem wurden die Hinweise zur Kontrolle der Marktgerechtigkeit erweitert und ein Bestätigungsverfahren bei OTC-Derivaten aufgenommen.
  • Liquidität: Die neuen MaRisk beinhalten eine Unterscheidung zwischen institutionellen Anlegern aus der Finanzbranche und anderen professionellen Anlegern.
  • Risikotragfähigkeit: Unwesentliche Risiken, die zusammengefasst wesentlich sein können, sind angemessen bei der Sicherstellung der Risikotragfähigkeit zu berücksichtigen. Des Weiteren wurden die MaRisk-Regelungen zur Ausgestaltung der Risikotragfähigkeitskonzepte an den aktuellen Leitfaden zur aufsichtlichen Beurteilung bankinterner Risikotragfähigkeitskonzepte angepasst.
  • Der Begriff des „Informationsverbunds“, der insbesondere für Abschnitt 3 „Informationsrisikomanagement“ der Bankaufsichtlichen Anforderungen an die Informationstechnik (BAIT) von Bedeutung ist, wird im AT 7.2 MaRisk eingeführt.


Übergangsfristen

Die neue Fassung der MaRisk tritt mit ihrer Veröffentlichung in Kraft. Klarstellungen sind von den Instituten unmittelbar nach der Veröffentlichung anzuwenden. Für neue Anforderungen gilt eine Übergangsfrist bis zum 31. Dezember 2021.

Für die auf das Auslagerungsregister bezogene Dokumentationsanforderung in AT 9 Tz. 14 MaRisk gilt mit Inkrafttreten des Gesetzes zur Stärkung der Finanzmarktintegrität (FISG) als Umsetzungsfrist der 1. Januar 2022.

Eine abweichende Umsetzungsfrist bis zum 31. Dezember 2022 ergibt sich für die Anpassung von bereits bestehenden oder in Verhandlung befindlichen Auslagerungsverträgen. Bei Vergabeverfahren, die ab dem 1. Januar 2022 initiiert werden, sind bereits die neuen Anforderungen zu berücksichtigen.

Institute mit hohem NPL-Bestand haben die Anforderungen aus den NPE-Guidelines bereits unmittelbar nach Ablauf der Übergangsfrist am 31. Dezember 2021 einzuhalten, sofern diese Institute an den zwei vorhergehenden Quartalsstichtagen (30. September 2021 und 31. Dezember 2021) eine NPL-Quote größer als fünf Prozent aufweisen. Der erste für die Einstufung als Institut mit hohem NPL-Bestand relevante Quartalsstichtag ist daher der 30. September 2021.


Handlungsbedarf

  • Ermittlung des Umsetzungsbedarfs zu den in den Übergangsfristen genannten Stichtagen und Anpassung der bestehenden Prozesse
  • Bestimmung der NPL-Quote zur Feststellung, ob sich erhöhte Anforderungen ergeben können; Vorsorgereserven nach § 340f und § 340g HGB sind einer übertriebenen konservativen EWB/Rückstellungsbildung vorzuziehen
Veröffentlicht in Allgemein, Campus4Business, Wirtschaftsprüfung