MaRisk | BaFin Rundschreiben

Article

Aktualisierung der MaRisk (BA)

Sechste MaRisk-Novelle

Am 16. August 2021 hat die BaFin die finale Fassung der Sechsten Novelle zur Änderung der Mindestanforderungen an das Risikomanagement von Banken veröffentlicht. Haupttreiber der Änderungen sind die Umsetzung der Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA) über das Management notleidender und gestundeter Risikopositionen (EBA/GL/2018/06) sowie der EBA-Leitlinien zu Auslagerungen (EBA/GL/2019/02). Außerdem sind die Anforderungen aus den EBA-Leitlinien für das Management von IKT und Sicherheitsrisiken (EBA/GL/2019/04) – soweit sie nicht durch die zeitgleich veröffentlichte BAIT-Novelle adressiert werden – in die aktuelle Fassung der MaRisk eingeflossen. Darüber hinaus ergeben sich verschiedene weitere Änderungen, die aus der Aufsichtspraxis resultieren.

In der jetzigen Fassung werden die EBA-Leitlinien für die Kreditvergabe und Überwachung (EBA/GL/2020/06) sowie die jüngsten Entwicklungen im Bereich Nachhaltigkeit (z.B. BaFin-Merkblatt und EZB-Leitfaden) hingegen nicht berücksichtigt. Sie sind der nächsten, bereits laufenden Überarbeitung der MaRisk (Siebte MaRisk-Novelle) vorbehalten. Auch sollen mit der Siebten MaRisk-Novelle verschiedene Praxisfragen der organisatorischen Anbindung der Intensivbetreuung adressiert werden. Die Arbeiten an der Siebten MaRisk-Novelle sollen im Jahr 2022 abgeschlossen werden.

Eine wesentliche Änderung ergibt sich mit der Sechsten MaRisk-Novelle bereits in den Vorbemerkungen (AT 1 Tz. 6 MaRisk2021): Der Begriff der „bedeutenden Institute“ ersetzt die bisherige Wortwahl, wonach auf „systemrelevante“ Institute abgestellt wurde. Die im Rahmen der Konsultation vorgesehene Abgrenzung „große und komplexe Institute“ erwies sich als zu unbestimmt. Als bedeutende Institute gelten hierbei Institute, die gemäß Art. 6 der SSM-Verordnung (Verordnung (EU) Nr. 1024/2013) als bedeutend eingestuft sind. Hierdurch soll ein einheitlicher Aufsichtsansatz für die von der EZB unmittelbar beaufsichtigten Unternehmen sichergestellt werden. Für bedeutende Institute ergeben sich spezifische Anforderungen in Bezug auf Geschäftsstrategie (AT 4.2 Erl. zu Tz. 1 MaRisk2021), Datenmanagement/Datenqualität (AT 4.3.4. Tz. 1 MaRisk2021), Risikocontrolling-Funktion (AT 4.4.1 Tz. 5 MaRisk2021), Compliance-Funktion (4.4.2 Tz. 4 MaRisk2021) und Risikoberichterstattung (BT 3.2 Tz. 5 MaRisk2021). Dabei geht die BaFin davon aus, dass für die Ausgestaltung grundsätzlich auch das Proportionalitätsprinzip zur Anwendung kommt.

Entsprechend der NPE-Leitlinien unterscheiden die MaRisk zwischen notleidenden Krediten (non-performing loans, NPL) und dem umfassenderen Begriff der notleidenden Risikopositionen (non-performing exposures, NPE). Für Institute bzw. (teilkonsolidierte) Gruppen, deren NPL‑Quote 5% erreicht oder überschreitet („Institute mit hohem NPL-Bestand“) werden durch die MaRisk Sonderanforderungen für die notleidenden Risikopositionen formuliert. Diese zusätzlichen Anforderungen sind zu beachten, wenn die NPL-Quote an zwei aufeinanderfolgenden Quartalsstichtagen über 5% liegt. Sofern die NPL-Quote nur in einzelnen Portfolios 5% übersteigt, kann die Aufsichtsbehörde ebenfalls die Einhaltung der Sonderanforderungen von den betroffenen Instituten verlangen. Die Definition der NPE richtet sich dabei nach dem Meldewesen. Die NPL-Quote ergibt sich als Bruttobuchwert notleidender Kredite und Darlehen geteilt durch den Bruttobuchwert aller Kredite und Darlehen (AT 2.1 Erl. zu Tz. 1 MaRisk2021). Im Anschreiben an die Verbände wird darauf hingewiesen, dass die Berechnung – analog zu den EBA-Leitlinien – vorerst ohne Einbeziehung der Zentralbankguthaben erfolgt.

Institute mit hohem NPL-Bestand müssen eine Strategie für NPE implementieren und diese regelmäßig überprüfen (AT 4.2 Tz. 3 MaRisk2021). In diesen Instituten muss das Risikocontrolling die Risiken aus notleidenden Krediten überwachen und Fortschritte bei der Erreichung von NPE-bezogenen Leistungsindikatoren (KPIs) – einschließlich der Auswirkungen auf den Eigenkapitalbedarf – messen (AT 4.4.1 Erl zu Tz. 2 MaRisk2021). Konkrete Mindest-KPI umfassen u.a. NPE-Messgrößen, Interaktionen mit den Kreditnehmern und Zahlungseingänge sowie Forbearance- und Abwicklungsmaßnahmen.

Auch im Bereich der Prozessanforderungen ergeben sich Anpassungen hinsichtlich der Behandlung von Problemkrediten (BTO 1.2.5 Tz. 1 MaRisk2021). Die Kriterien für die Einstufung als notleidender Kredit müssen bei dem Übergang einer Forderung in die Problemkreditbearbeitung von allen Instituten berücksichtigt werden. Für Institute mit hohem NPL-Bestand gilt, dass diese Abwicklungseinheiten für NPE einrichten sollen. Diese müssen organisatorisch zwingend außerhalb des Marktbereichs verankert sein. Die Mitarbeiter müssen auf die NPE-Abwicklung spezialisiert und ausreichend qualifiziert sein.

Für alle Institute gilt, dass bei Überleitung von Engagements in die Sanierung bzw. Abwicklung eine Überprüfung der Werthaltigkeit von Sicherheiten und ggf. eine neue, unter Realisationsgesichtspunkten erstellte Wertermittlung erfolgen sollen. Im Rahmen der jährlich durchzuführenden Überprüfung sind erhebliche Schwankungen und insbesondere ein erheblicher Rückgang des Sicherheitenwerts zu berücksichtigen (BTO 1.2.5 MaRisk2021). Dabei sollen Spezialisten mit entsprechenden Kenntnissen eingebunden werden. In den Sicherheitenwert soll der voraussichtliche Verwertungserlös unter Berücksichtigung der Verwertungskosten und -dauer einfließen. Abwicklungskonzepte müssen geeignete Abwicklungsmaßnahmen beinhalten und der Zeitraum zur Abwicklung von Sicherheiten soll überwacht werden. Rettungserwerbe von Sicherheiten sollen nur auf Basis einer internen Richtlinie durchgeführt werden, in der u.a. die beabsichtigte Haltedauer festgelegt werden muss. Notleidende Risikopositionen müssen überwacht werden, um die Bestände an NPE in einem angemessenen Zeitraum abzubauen und eine angemessene Risikovorsorge sicherzustellen. Nach BTO 1.2.6 Tz. 3 MaRisk2021 sind die Methoden und Verfahren zur Bildung von Risikovorsorgen regelmäßig einem Backtesting zu unterziehen, um Abweichungen zwischen gebildeten Wertberichtigungen und tatsächlichen Verlusten bis zur Ausbuchung des Engagements möglichst zu vermeiden.

Bei den Kriterien für die Überleitung zur Intensivbetreuung sind nach BTO 1.3.2 MaRisk2021 auch Forbearance-Maßnahmen zu berücksichtigen, wobei sich die Definition von Forbearance am Meldewesen orientiert. Grundsätzlich ist für diese Maßnahmen eine Richtlinie zu implementieren, die die Zuständigkeiten und Verfahren zur Entscheidungsfindung, die verfügbaren Maßnahmen, die Informationsanforderungen zur Prüfung der Tragfähigkeit, die Dokumentation der gewährten Maßnahmen sowie den Prozess und die Messgrößen für die Überwachung der Wirksamkeit regelt. Diese Richtlinie muss regelmäßig überprüft werden. Ferner muss geregelt sein, unter welchen Umständen Exposures, die Forbearance-Maßnahmen unterliegen, als notleidend bzw. nicht-notleidend klassifiziert werden. Eine Änderung des Status darf nur erfolgen, wenn zuvor eine Analyse der finanziellen Lage des Schuldners durchgeführt wurde. Zudem ist ein geeigneter Gesundungszeitraum zu berücksichtigen. Für eine Einstufung einer Forborne-Risikoposition als notleidend geben die MaRisk konkrete Kriterien vor.

Für die Beurteilung der finanziellen Lage des Kreditnehmers darf ein Institut nicht auf etwaige Sicherheiten bzw. Garantien zurückgreifen. Werden in Abhängigkeit von Art und Laufzeit des Kredits kurzfristige Forbearance-Maßnahmen ergriffen, soll für diese ein Zeitraum von zwei Jahren nicht überschritten werden; unbeschadet dessen sind auch langfristige Forbearance-Maßnahmen möglich. Für die Beurteilung von Forbearance-Maßnahmen hat das Institut insbesondere die Rückzahlungs- bzw. Kapitaldienstfähigkeit zu berücksichtigen und zu beurteilen, ob eine Verringerung des Kreditsaldos mittelfristig zu erwarten ist. Zudem soll der Prozess für die Gewährung von Forbearance-Maßnahmen und die Wirksamkeit der gewährten Maßnahmen vom Institut in angemessenen Abständen überwacht werden.

Mit Blick auf die Umsetzung der EBA-Leitlinien zur Auslagerung ergeben sich auch umfassende Änderungen des AT 9, die den gesamten Auslagerungszyklus betreffen. Entsprechend der EBA-Leitlinien wurde in den Erläuterungen zu AT 9 Tz. 1 MaRisk2021 der Katalog der Leistungen, die sonstigen Fremdbezug und insoweit keine Auslagerung darstellen, erweitert.

Grundsätzlich gilt, dass Auslagerungen nur dann zulässig sind, wenn das Auslagerungsunternehmen befugt ist, die entsprechenden Leistungen durchzuführen (AT 9 Erl. zu Tz. 4 MaRisk2021). Das bedeutet u.a., dass das Auslagerungsunternehmen ggf. über die erforderlichen Erlaubnisse und Registrierungen verfügen muss, was insbesondere bei grenzüberschreitenden Auslagerungsverhältnissen relevant werden kann. Auch dürfen durch die Auslagerungen keine leeren Hüllen verbleiben. Eine vollständige Auslagerung der besonderen Funktionen Risikocontrolling, Compliance und Interne Revision ist lediglich für Tochterunternehmen innerhalb einer Institutsgruppe zulässig, sofern das auslagernde Institut sowohl hinsichtlich seiner Größe, Komplexität und dem Risikogehalt der Geschäftsaktivitäten für den nationalen Finanzsektor als auch hinsichtlich seiner Bedeutung innerhalb der Gruppe als nicht wesentlich einzustufen ist. (AT 9 Tz. 5 MaRisk2021).

Im Rahmen der hinsichtlich der Auslagerung vorzunehmenden Risikoanalyse ist zu berücksichtigen, inwiefern eine auszulagernde Aktivität oder ein auszulagernder Prozess innerhalb der Prozesslandschaft des Instituts als von wesentlicher Bedeutung einzustufen ist. Zudem sind nun u.a. auch Konzentrationsrisiken (mehrere Auslagerungsverträge mit demselben Auslagerungsunternehmen), politische Risiken, mögliche Interessenkonflikte, Datenschutzaspekte und Kosten sowie Maßnahmen zur Risikosteuerung/-minderung zu berücksichtigen (AT 9 Erl. zu Tz. 2 MaRisk2021). Soweit sinnvoll und verhältnismäßig ist die Risikoanalyse durch eine Szenarioanalyse unter Verwendung (soweit verfügbar) interner und externer Verlustdaten zu ergänzen. In Entsprechung zu Tz. 65 der EBA-Leitlinien geht die BaFin davon aus, dass eine Szenarioanalyse in vielen Fällen durchaus sinnvoll bzw. erforderlich ist, um hierdurch die möglichen Auswirkungen von unterlassenen oder auch nur unzureichenden Dienstleistungen zu bewerten. Kleinere, weniger komplexe Institute können dabei qualitative Ansätze heranziehen.

Wesentliche Auslagerungsverträge müssen zwingend in Textform abgeschlossen werden und die vorgegebenen Mindestbestandteile nach AT 9 Tz. 7 MaRisk2021 aufweisen. Hierunter fallen u.a. Angaben zu Beginn und ggf. Ende der Auslagerung, geltendes Recht (sofern vom deutschen Recht abweichend), Standorte der Leistungserbringung, vereinbarte Dienstleistungsgüte mit eindeutigen Leistungszielen und Aussagen zu Notfallkonzepten. Neu ist, dass spezifische Anforderungen an den Auslagerungsvertrag, wie z.B. die Informations- und Prüfungsrechte gem. AT 9 Tz. 7 lit. h) und i) MaRisk2021 möglichst auch bei nicht wesentlichen Auslagerungen vereinbart werden sollen, sofern abzusehen ist, dass diese Auslagerungen in naher oder mittlerer Zukunft wesentlich werden können. Dies führt zur teilweisen Anwendbarkeit von AT 9 auch auf nicht wesentliche Auslagerungen, für die bislang nur § 25a Abs. 1 KWG Anwendung findet. Die im Rahmen der Konsultation noch vorgesehene vertragliche Regelung, dass das Auslagerungsunternehmen im Einklang mit den Werten und dem Verhaltenskodex des Instituts handeln soll, wurde nicht in den finalen Wortlaut der MaRisk2021 aufgenommen. Bei allen Auslagerungen, also auch bei nicht wesentlichen Auslagerungen, sind die sonstigen Sicherheitsanforderungen vertraglich zu vereinbaren. Hierzu gehören Zugangsbestimmungen zu Räumen und Gebäuden, Zugriffsberechtigungen auf Softwarelösungen zum Schutz wesentlicher Daten und Informationen. Der Standort der Datenverarbeitung soll auf Basis eines risikobasierten Ansatzes gewählt werden. Dabei muss sichergestellt sein, dass der Datenzugriff erhalten bleibt, wenn das Auslagerungsunternehmen seinen Betrieb einstellt.

Sofern Auslagerungsverhältnisse bestehen, muss ein Institut intern über einen zentralen Auslagerungsbeauftragten verfügen, der durch ein zentrales Auslagerungsmanagement unterstützt werden soll (AT 9 Tz. 12 MaRisk2021). Der zentrale Auslagerungsbeauftragte hat einer Organisationseinheit anzugehören, die der Geschäftsleitung unmittelbar unterstellt ist. Alternativ kann er auch in einer anderen Einheit angesiedelt sein, sofern eine direkte Berichtslinie zur Geschäftsleitung sichergestellt ist. Bei kleineren, weniger komplexen Instituten kann ein Mitglied der Geschäftsleitung die Aufgaben des Auslagerungsbeauftragten übernehmen. In diesem Fall muss aber eine Aufgabentrennung zwischen der Zuständigkeit für das Management der Auslagerungen und deren Kontrolle sichergestellt sein.

Bei gruppen- bzw. verbundinternen Auslagerungen können nach AT 9 Tz. 15 MaRisk2021 Erleichterungen in Anspruch genommen werden. Insbesondere darf das zentrale Auslagerungsmanagement auf Gruppen- bzw. Verbundebene angesiedelt sein, wenn es den Anforderungen des AT 9 entspricht. Die Risikoberichterstattung der Auslagerungsunternehmen darf auf zentraler Ebene vorausgewertet werden. Zudem sind bei internen Auslagerungen die Anforderungen an Exit-Prozesse (Verzicht auf die Erstellung von Ausstiegsprozessen und Handlungsoptionen) geringer. Dessen ungeachtet müssen auch bei internen Auslagerungsverhältnissen die (finanziellen) Bedingungen geregelt sein.

Ausgehend von der durch das Gesetz zur Stärkung der Finanzmarktintegrität (FISG) vorgenommenen Ergänzung des § 25b Abs. 1 KWG haben alle Institute ein Auslagerungsregister zu führen, in dem sämtliche wesentlichen und nicht wesentlichen Auslagerungen (inkl. der Auslagerungen innerhalb einer Institutsgruppe oder eines Finanzverbundes) zu erfassen sind. Die inhaltlichen Mindestanforderungen an das Auslagerungsregister haben sich gemäß AT 9 Tz. 14 MaRisk2021 grundsätzlich für alle Auslagerungen an der Tz. 54 und für wesentliche Auslagerung an der Tz. 55 der EBA-Leitlinien zu Auslagerungen (EBA/GL/2019/02) zu orientieren. Sofern wesentliche Auslagerungen weiterverlagert werden und auch der weiterverlagerte Teil wesentlich ist, muss dies ebenfalls im Auslagerungsverzeichnis erfasst werden.

Parallel zur Überarbeitung der AT 9-Anforderungen wurde mit dem FISG in § 24 Abs. 1 Nr. 19 KWG u.a. eine Meldepflicht für die Absicht, den Vollzug sowie jede Änderung einer wesentlichen Auslagerung vorgeschrieben. Zudem müssen schwerwiegende Vorfälle im Rahmen bestehender wesentlicher Auslagerungen, die einen wesentlichen Einfluss auf die Geschäftstätigkeit des Instituts haben können, angezeigt werden. Gleichzeitig erhält die BaFin die Ermächtigung, auch unmittelbar gegenüber Auslagerungsunternehmen Anordnungen zu treffen (§ 25b Abs. 4a KWG), um z.B. Verstöße gegen aufsichtsrechtliche Bestimmungen zu verhindern oder zu unterbinden oder um Missstände beim Institut zu verhindern oder zu beseitigen.

Aus den IKT-Leitlinien werden in den MaRisk insbesondere die Anforderungen zum Notfallmanagement in Abschnitt AT 7.3 MaRisk2021 umgesetzt. Hiernach sind für alle im Rahmen einer Auswirkungsanalyse (z.B. auf Basis einer Prozesslandkarte) identifizierten zeitkritischen Aktivitäten und Prozesse Risikoanalysen durchzuführen. Im Notfallkonzept muss entsprechend dargestellt werden, welche Ersatzlösungen im Notfall zeitnah zur Verfügung stehen und wie eine Rückkehr zum Normalbetrieb verlaufen soll.

Neben den beschriebenen Änderungen enthält die Sechste MaRisk Novelle eine Vielzahl von weiteren Änderungen. So betont die aktuelle Fassung nochmals die Notwendigkeit, Verfahren zur Sicherstellung der Risikotragfähigkeit sowohl aus der normativen als auch aus der ökonomischen Perspektive einzurichten (AT 4.1 Tz. 2 MaRisk2021). Im Rahmen des Übersendungsschreibens weist die BaFin darauf hin, dass sie die Frist für den Wegfall der bisher bestehenden Möglichkeit der Fortführung des Going-Concern-Ansatzes in einem gesonderten Schreiben mitteilen wird. Dementsprechend hat sie zwischenzeitlich mit Schreiben vom 3. Dezember 2021 (BA 54-FR 2210-2021/0007) mitgeteilt, dass eine vollständige Umstellung der internen Risikotragfähigkeitsansätze auf die normative und ökonomische Perspektive bis spätestens zum 1. Januar 2023 zu erfolgen hat. Die Risikotragfähigkeit ist als Rahmenbedingung in der nach AT 4.1 Tz. 2 MaRisk2021 festzulegenden Strategie zu berücksichtigen. Zudem entfällt die Möglichkeit, auf Jahresabschlussgrößen (rollierende GuV-Planung) zurückzugreifen (AT 4.1 Tz. 3 MaRisk2021).

Institute sollen die für die Beurteilung, Steuerung und Überwachung relevanten Daten vorhalten. Darunter fallen explizit auch Informationen zu Sicherheiten, einschließlich Daten zur Beziehung zwischen Sicherheit und Transaktion (AT 4.3.2 Erl. zu Tz. 1 MaRisk2021). Risikokonzentrationen sind in die Risikoberichterstattung einzubeziehen (AT 4.3.2 Tz. 3 MaRisk2021).

Im Hinblick auf Liquiditätsrisiken finden sich in BTR 3.2 MaRisk2021 Änderungen und Konkretisierungen zu Stresstests, insbesondere zur Definition der „institutionellen Anleger“. Zudem geben die MaRisk2021 nun vor, dass Einlagen institutioneller Anleger im Stresstest in erheblichem Umfang und Einlagen von Unternehmen der Finanzbranche binnen einer Woche in der Regel vollständig abgezogen werden (BTR 3.2 Tz. 3 MaRisk2021).

Das Risikomanagement operationeller Risiken muss nach BTR 4 Tz. 4 MaRisk2021 wesentliche Ausprägungen operationeller Risiken umfassen. Die Beurteilung soll anhand historischer Ereignisse (insbesondere Schadensfälle) und potenzieller Ereignisse erfolgen, aber auch aktuelle Schwächen und potenzielle Ereignisse berücksichtigen. Ausgehend von den identifizierten Risiken ist zu entscheiden, ob und welche Maßnahmen zur Beseitigung der Ursachen zu treffen bzw. welche Risikosteuerungsmaßnahmen zu ergreifen sind.

Die MaRisk-Novelle ist seit 16. August 2021 in Kraft. Wie schon in der Vergangenheit finden reine Klarstellungen, die nach Ansicht der BaFin keine Neuerungen darstellen, unmittelbar Anwendung. Zur zeitgerechten Implementierung von neuen Anforderungen wurde den Instituten demgegenüber eine Übergangsfrist bis zum 31. Dezember 2021 eingeräumt. Dabei galt es zu berücksichtigen, dass die Anforderung zur Einrichtung eines Auslagerungsregisters mit Blick auf die Vorgaben des FISG bereits seit 1. Januar 2022 gilt. Für die Anpassung bereits bestehender oder in Verhandlung befindlicher Verträge wird eine gesonderte Umsetzungsfrist bis zum 31. Dezember 2022 gewährt. Sie geht damit über die Frist für EZB-beaufsichtigte Institute hinaus, für die nach den EBA-Leitlinien zu Auslagerungen eine Umsetzungsfrist bis zum 31. Januar 2021 galt. Mit Blick auf die rechtlichen Probleme brauchen Anpassungen von Vertragsverhältnissen, die auf Grundlage eines öffentlichen Vergabeverfahrens abgeschlossen werden, dann nicht angepasst werden, wenn sie befristet sind und innerhalb der nächsten fünf Jahre neu vergeben werden. Für Vergabeverfahren seit dem 1. Januar 2022 sind die neuen Anforderungen zu berücksichtigen. Zur besseren Unterscheidung der Regelungen, die nur klarstellenden Charakter haben, von den neuen Anforderungen hat die BaFin in einer Anlage zu den MaRisk2021 eine entsprechende Differenzierung vorgenommen.

Für Fragen zu den neuen Anforderungen der MaRisk2021 und deren praktischen Umsetzung stehen wir Ihnen gerne zur Verfügung. Mit dem neuen Poster zur MaRisk2021 fassen wir wie gewohnt alle zentralen Elemente der MaRisk in einer graphischen Übersicht für Sie zusammen.