MaRisk | BaFin Rundschreiben

Article

Aktualisierung der MaRisk (BA)

Konsultation zur sechsten MaRisk-Novelle

Am 26. Oktober 2020 hat die BaFin die schon länger erwartete Konsultation zur Aktualisierung der zuletzt 2017 geänderten Mindestanforderungen an das Risikomanagement von Banken (MaRisk2021-E) gestartet. Schwerpunkt der Änderungen ist die Umsetzung der Leitlinien der Europäischen Bankenaufsichtsbehörde EBA über das Management notleidender und gestundeter Risikopositionen (EBA/GL/2018/06) sowie der EBA-Leitlinien zu Auslagerungen (EBA/GL/2019/02). Außerdem sind die Anforderungen aus den EBA-Leitlinien für das Management von IKT und Sicherheitsrisiken (EBA/GL/2019/04) – soweit sie nicht durch die parallel gestartete Konsultation zur BAIT-Novelle adressiert werden – in die Neufassung der MaRisk eingeflossen. Darüber hinaus sind verschiedene Änderungen vorgesehen, die aus der Aufsichtspraxis resultieren.

In der Neufassung werden die EBA-Leitlinien für die Kreditvergabe und Überwachung (EBA/GL/2020/06) sowie die jüngsten Entwicklungen im Bereich Nachhaltigkeit (z.B. BaFin-Merkblatt und EZB-Leitfaden) hingegen nicht berücksichtigt. Sie sind der nächsten Überarbeitung der MaRisk (Siebte MaRisk-Novelle) vorbehalten.

Eine wesentliche Neuerung ergibt sich bereits in den Vorbemerkungen (AT 1, Tz. 6): Der Begriff der „großen und komplexen Institute“ ersetzt die bisherige Wortwahl, wonach auf „systemrelevante“ Institute abgestellt wurde. Institute und Institutsgruppen mit einer Bilanzsumme von mehr als 30 Mrd. Euro gelten i.d.R. als „groß und komplex“. Im Einzelfall können Institute also ausgenommen werden.

Der Umgang mit notleidenden (NPL) und forborne Krediten nimmt bei den Neuerungen eine wichtige Rolle ein. Sonderanforderungen bestehen für Institute bzw. (teilkonsolidierte) Gruppen, deren NPL‑Quote 5% überschreitet („Institute mit hohem NPL-Bestand“). Die Definition einer notleidenden Risikoposition (Non-Performing Exposure, NPE) richtet sich dabei nach dem Meldewesen. Die Begriffe NPL und NPE werden in den MaRisk nebeneinander verwendet. Die NPL-Quote ergibt sich als Bruttobuchwert notleidender Kredite und Darlehen geteilt durch den Bruttobuchwert aller Kredite und Darlehen (AT 2.1, Erläuterungen zu Tz. 1). Sofern die NPL-Quote nur in einzelnen Portfolios 5% übersteigt, kann die Aufsichtsbehörde die Einhaltung der Sonderanforderungen von den betroffenen Instituten verlangen.

Institute mit hohem NPL-Bestand müssen eine Strategie für notleidende Forderungen implementieren und diese regelmäßig überprüfen (AT 4.2, Erläuterungen zu Tz. 1 MaRisk2021-E). In diesen Instituten muss das Risikocontrolling die Risiken aus notleidenden Krediten überwachen und Fortschritte bei der Erreichung von NPE-bezogen Leistungsindikatoren (KPIs) – einschließlich der Auswirkungen auf den Eigenkapitalbedarf – messen (AT 4.4.1, Erläuterungen zu Tz. 2 MaRisk2021-E). Konkrete Mindest-KPI umfassen u.a. NPE-Messgrößen, Zahlungseingänge, Kreditnehmerinteraktionen und Forbearance- sowie Abwicklungsmaßnahmen.

Auch im Bereich der Prozessanforderungen gibt es Neuerungen hinsichtlich der Behandlung von Problemkrediten (BTO 1.2.5 MaRisk2021-E). Die Kriterien für die (regulatorische) Einstufung als notleidender Kredit müssen bei dem Übergang einer Forderung in die Problemkreditbearbeitung von allen Instituten berücksichtigt werden. Für Institute mit hohem NPL-Bestand gilt, dass diese Abwicklungseinheiten für NPE eingerichtet sein sollen. Diese müssen organisatorisch zwingend außerhalb des Marktbereichs verankert sein. Die Mitarbeiter müssen auf die NPE-Abwicklung spezialisiert und ausreichend qualifiziert sein (Tz. 1).

Für alle Institute gilt, dass bei Überleitung von Engagements in die Sanierung bzw. Abwicklung eine Sicherheitenbewertung durchzuführen und jährlich zu überprüfen ist. Dabei sollen Spezialisten mit entsprechenden Kenntnissen eingebunden werden. In den Sicherheitenwert soll der erwartete Verwertungserlös unter Berücksichtigung der Verwertungskosten und -dauer einfließen (Tz. 2). Abwicklungskonzepte sollen geeignete Abwicklungsmaßnahmen beinhalten. Der Zeitraum zur Abwicklung von Sicherheiten soll überwacht werden (Tz. 7). Rettungserwerbe von Sicherheiten sollen nur auf Basis einer internen Richtlinie durchgeführt werden, in der u.a. die beabsichtigte Haltedauer festgelegt werden muss (Tz. 8). Notleidende Risikopositionen müssen überwacht werden, um die Bestände an NPE in einem angemessenen Zeitraum abzubauen und eine angemessene Risikovorsorge sicherzustellen (Tz. 9). Nach BTO 1.2.6 MaRisk2021-E sind die Methoden und Verfahren zur Bildung von Risikovorsorgen regelmäßig einem Backtesting zu unterziehen, um Abweichungen zwischen gebildeter Risikovorsorge und tatsächlichen Verlusten möglichst zu vermeiden (Tz. 3).

Bei den Kriterien sind nach BTO 1.3.2 MaRisk2021-E für die Überleitung zur Intensivbetreuung auch Forbearance-Maßnahmen zu berücksichtigen, wobei sich die Definition von Forbearance am Meldewesen orientiert (Tz. 1). Grundsätzlich muss für diese Maßnahmen eine Richtlinie implementiert sein, welche die Zuständigkeiten und Entscheidungen, die zulässigen Maßnahmen, die Prüfung deren Tragfähigkeit sowie deren Dokumentation und Überwachung regelt. Die Richtlinie muss regelmäßig überprüft werden (Tz. 2). Ferner muss geregelt sein, unter welchen Umständen Expsosures, die Forbearance-Maßnahmen unterliegen, als notleidend bzw. nicht-notleidend zu klassifizieren. Eine Änderung des Status darf nur erfolgen, wenn zuvor die finanzielle Lage des Schuldners überprüft wurde. Für eine zwingende Einstufung als notleidend gibt der Entwurf der MaRisk mehrere Kriterien vor (Tz. 3).

Die Beurteilung der finanziellen Lage des Kreditnehmers darf nicht auf etwaige Sicherheiten zurückgreifen. Nachverhandlungen bei Kreditnehmern, die sich nicht in finanziellen Schwierigkeiten befinden, sind von Forebearance-Maßnahmen zu unterscheiden. (Tz. 4). Die entsprechenden Maßnahmen sollen einen Zeitraum von zwei Jahren nicht überschreiten und u.a. die Rückzahlungs- bzw. Kapitaldienstfähigkeit verbessern und so mittelfristig zu einer Reduzierung des Exposures beitragen (Tz. 5). Insgesamt sollen die Maßnahmen hinsichtlich Qualität, Prozesseffizienz und Wirksamkeit überwacht werden. Mögliche Messgrößen sind Gesundungsquoten, Zahlungseingänge oder Teilabschreibungen (Tz. 6).

Umfassende Neuerungen ergeben sich in AT 9 MaRisk2021-E hinsichtlich der Bestimmungen zum Outsourcing zur Umsetzung der diesbezüglichen EBA-Leitlinien. In den Erläuterungen zu Tz. 1 finden sich diverse Änderungen und Klarstellungen in der Abgrenzung von sonstigem Fremdbezug von Leistungen, welche ggf. nicht als Auslagerung zu klassifizieren sind.

Grundsätzlich gilt, dass Auslagerungen nur dann zulässig sind, wenn das Auslagerungsunternehmen befugt ist, die entsprechenden Leistungen durchzuführen (Erläuterungen zu Tz. 4). Das bedeutet u.a., dass das Auslagerungsunternehmen ggf. über die erforderlichen Lizenzen und Genehmigungen verfügen muss, was insbesondere bei grenzüberschreitenden Auslagerungsverhältnissen relevant werden kann. Auch dürfen durch die Auslagerungen keine leeren Hüllen verbleiben. Eine Auslagerung von Risikocontrolling, Interner Revision oder der Compliance-Funktion ist nur zulässig, wenn das Institut weder für den deutschen Finanzsektor noch innerhalb einer Gruppe wesentlich ist (Tz. 5).

Die verpflichtende Risikoanalyse im Zuge von Auslagerungen muss zukünftig u.a. auch Konzentrationsrisiken (mehrere Auslagerungsverträge mit einem Auslagerungsunternehmen), politische Risiken, mögliche Interessenkonflikte, Datenschutzaspekte und Kosten sowie Maßnahmen zur Risikosteuerung beinhalten (Tz. 2). Soweit sinnvoll soll auch eine quantitative Szenarioanalyse durchgeführt werden.

Wesentliche Auslagerungsverträge müssen zwingend schriftlich abgeschlossen werden und Mindestbestandteile aufweisen, darunter u.a. Beginn und Ende der Auslagerung, geltendes Recht (sofern vom deutschen Recht abweichend), Standorte der Leistungserbringung, eindeutige Leistungsziele (SLAs) und Aussagen zu Notfallkonzepten (Tz. 7). Neu ist, dass spezifische Anforderungen an den Auslagerungsvertrag, wie z.B. die Informations- und Prüfungsrechte gem Tz. 7 lit h) und i) MaRisk2021-E auch bei nicht wesentlichen Auslagerungen vereinbart werden sollen. Dies führt zur teilweisen Anwendbarkeit von AT 9 MaRisk2021-E auch auf nicht wesentliche Auslagerungen, für die bislang nur § 25a Abs. 1 KWG Anwendung findet. Zudem muss für wesentliche Auslagerungen vertraglich geregelt sein, dass das Auslagerungsunternehmen im Einklang mit den Werten und dem Verhaltenskodex des Instituts handelt. Der Standort der Datenverarbeitung soll auf Basis eines risikobasierten Ansatzes gewählt werden. Dabei muss sichergestellt sein, dass der Datenzugriff erhalten bleibt, wenn das Auslagerungsunternehmen seinen Betrieb einstellt.

Sofern Auslagerungsverhältnisse bestehen, muss ein Institut intern über einen zentralen Auslagerungsbeauftragten verfügen, der durch ein zentrales Auslagerungsmanagement unterstützt werden soll (Tz. 12). Nur bei kleineren, weniger komplexen Instituten kann ein Mitglied der Geschäftsleitung die Aufgaben des Auslagerungsbeauftragten übernehmen. In diesem Fall muss aber eine Aufgabentrennung zwischen der Zuständigkeit für das Management der Auslagerungen und deren Kontrolle sichergestellt sein.

Erleichterungen bestehen nach Tz. 14 bei gruppen- bzw. verbundinternen Auslagerungen. Insbesondere darf das Auslagerungsmanagement ggf. zentral auf Gruppen- bzw. Verbundebene angesiedelt sein. Auch darf die Risikoberichterstattung der Auslagerungsunternehmen auf zentraler Ebene vorausgewertet werden. Zudem sind bei internen Auslagerungen die Anforderungen an Exit-Prozesse geringer. Dessen ungeachtet müssen auch bei internen Auslagerungsverhältnissen die Bedingungen geregelt sein.

Alle Institute müssen grundsätzlich über ein Auslagerungsregister verfügen (Tz. 15). Dieses Register muss alle Auslagerungsverhältnisse umfassen. Sofern wesentliche Auslagerungen weiterverlagert werden und auch der weiterverlagerte Teil wesentlich ist, muss dies ebenfalls im Auslagerungsverzeichnis erfasst werden.

Flankierend mit der Überarbeitung der AT9-Anforderungen sieht der Entwurf eines Gesetzes zur Stärkung der Finanzmarktintegrität (Finanzmarktintegritätsstärkungsgesetz – FISG) u.a. die Einführung einer Meldepflicht für die Absicht, den Vollzug sowie jede Änderung einer wesentlichen Auslagerung vor. Zudem müssen schwerwiegende Vorfälle im Rahmen bestehender Auslagerungen, die einen wesentlichen Einfluss auf die Geschäftstätigkeit des Instituts haben können, angezeigt werden (§ 24 Abs. 1 Nr. 18 KWG-E). Nach dem neugefassten § 25b Abs. 1 KWG-E hat das Institut überdies ein Auslagerungsregister zu führen (vgl. auch AT 9 Tz. 15. Die BaFin erhält die Ermächtigung, auch unmittelbar gegenüber Auslagerungsunternehmen Anordnungen zu treffen (§ 25b Abs. 4a KWG-E).

Neben den Änderungen im Zusammenhang mit NPL- bzw. forborne Exposures und Auslagerungsverhältnissen gibt es eine Vielzahl von weiteren Änderungen in den neuen MaRisk, auf die an dieser Stelle nur kurz eingegangen werden kann. So betont die Neufassung nochmals die Notwendigkeit, die Risikotragfähigkeit sowohl aus normativer als auch aus ökonomischer Perspektive sicherzustellen (AT 4.1 Tz. 2 MaRisk2021-E). Die Risikotragfähigkeit ist als Rahmenbedingung in der Strategie zu berücksichtigen (AT 4.1 Tz. 2 MaRisk2021-E). Die Möglichkeit, auf Jahresabschlussgrößen (rollierende GuV-Planung) zurückzugreifen, entfällt.

Institute sollen die für die Risikosteuerung relevanten Daten vorhalten. Darunter fallen explizit auch Informationen zu Sicherheiten, einschließlich Daten zur Beziehung zwischen Sicherheit und Transaktion (AT 4.3.2, Erl. zu Tz. 1 MaRisk2021-E). Risikokonzentrationen sind in die Risikoberichterstattung einzubeziehen (AT 4.3.2, Tz. 3 MaRisk2021-E).

Im Hinblick auf Liquiditätsrisiken finden sich in BTR 3.2 MaRisk2021-E Änderungen und Konkretisierungen zu Stresstests, insbesondere zur Definition der „institutionellen Anleger“ und der Vorgabe, das Einlagen Institutioneller Anleger im Stresstest in erheblichem Umfang und Einlagen von Unternehmen der Finanzbranche binnen einer Woche vollständig abgezogen werden (Tz. 3).

Das Risikomanagement operationeller Risiken muss nach BTR 4 MaRisk2021-E wesentliche Ausprägungen operationeller Risiken umfassen. Die Beurteilung soll anhand historischer Ereignisse bzw. Schadenfälle erfolgen, aber auch aktuelle Schwächen und potenzielle Ereignisse berücksichtigen (Tz. 4). Ausgehend von den identifizierten Risiken hat ggf. eine aktive Risikosteuerung, beispielsweise in Form von Versicherungen oder einer Neuausrichtung der Geschäftsaktivitäten, zu erfolgen (Tz. 5).

Die Konsultationsfrist für die sechste MaRisk-Novelle endet am 4. Dezember 2020. Die Rückmeldungen sollen im Fachgremium MaRisk besprochen werden, bevor die finale Fassung veröffentlicht wird. Dies wird voraussichtlich im ersten Quartal 2021 der Fall sein.