6. MaRisk-Novelle – regulatorische Änderungen

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 16. August 2021 die 6. MaRisk-Novelle (6. Novelle der Mindestanforderungen an das Risikomanagement)[1] – in Kraft gesetzt.

Übersicht und Ziele der 6. MaRisk-Novelle

Ziel der 6. MaRisk-Novelle ist es, verschiedene internationale Regulierungsinitiativen in deutsches Recht umzusetzen (u. a. „Leitlinien über das Management notleidender und gestundeter Risikopositionen“[2], „Leitlinien zu Auslagerungen“[3] sowie „EBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken“[4]), bestehende Regelungen weiterzuentwickeln (u. a. zum Auslagerungsmanagement, zum Notfallmanagement, zur Sicherheitenbewertung sowie zur Kreditüberwachung) und bestehende Regelungen zu präzisieren.

 

6. MaRisk-Novelle: Wesentliche neue Anforderungen

Änderungen aus den MaRisk betreffen überwiegend diejenigen Institute, die unter der Beaufsichtigung deutscher Aufsichtsbehörden stehen. Die EZB-überwachten Institute haben die oben genannten EBA-Guidelines bereits umgesetzt.

Die zentralen Änderungen und neuen Anforderungen aus der 6. MaRisk-Novelle für die betroffenen Institute inkl. einer Bewertung der Kritikalität und des Aufwands für die Umsetzung sind in der folgenden Abbildung zusammengefasst:

6. MaRisk-Novelle: ÄnderungenAbbildung 1: Zentrale Änderungen

Alle Änderungen, die lediglich Anpassungen und Präzisierungen betreffen, traten direkt mit Veröffentlichung der MaRisk-Novelle am 16.08.2021 in Kraft. Für Neuerungen besteht eine Übergangsfrist bis zum 31.12.2021. Eine längere Übergangsfrist bis zum 31.12.2022 gilt alleine für Auslagerungsverträge, die bereits bestehen bzw. sich in Verhandlungen befinden.

Die Frist für die Umsetzung der Risikotragfähigkeitskonzepte wird von der BaFin noch bekannt gegeben. Derzeit ist zu erwartet, dass der „Going Concern alter Prägung“ maximal noch bis Ende 2022 toleriert wird. Eine Übersicht über die Umsetzungsfristen gibt die nachfolgende Abbildung:

6. MaRisk-Novelle: UmsetzungsfristenAbbildung 2: Umsetzungsfristen

Signifikanzschwelle

Besondere Anforderungen werden bisher an „systemrelevante Institute“ gestellt. Die Definition wird gemäß der 6. MaRisk Novelle auf das Kriterium der „bedeutenden Institute“ umgestellt. Für die überwiegende Mehrzahl der Institute in Deutschland führt diese Änderung nicht zu einer Neueinstufung.

Auf die betroffenen Institute kommen gleichwohl hohe Anforderungen zu, insbesondere an das Datenmanagement, die Datenqualität sowie die Aggregation von Risikodaten („BCBS 239“), die Risikoberichterstattung sowie an die Compliance-Funktion.

Institute mit NPE[5]-Bestand ≥ 5 %

Aus Sicht der Aufsicht ist der bewusste und nachhaltige Abbau der NPE in den Bilanzen der Banken sowohl aus mikroprudenzieller als auch aus makroprudenzieller Sicht vorteilhaft für die Wirtschaft. Institute mit einem Bestand an notleidenden Risikopositionen von 5 %[6] oder mehr haben daher eine NPE-Strategie zu formulieren und diese über einen NPE-Implementierungsplan zu operationalisieren.

Ziel der Aufsicht ist es, die strukturierte Reduktion hoher NPE-Bestände in Bankbilanzen zu fördern. Hierfür haben die betroffenen Institute eine spezialisierte NPE-Abwicklungseinheit aufzubauen, die grundsätzlich vom Kreditvergabeprozess getrennt sein muss. Die Risikocontrollingfunktion soll zudem den NPE-Abbau zur Erreichung der Zielwerte gemäß Strategie überwachen und die Auswirkung auf die internen sowie regulatorischen Eigenkapitalanforderungen bewerten.

Die mit der 6. MaRisk-Novelle einhergehenden Herausforderungen für die betroffenen Institute sind sowohl inhaltlicher als auch prozessualer Natur. Im engeren Sinne müssen eine Strategie und ein belastbarer Implementierungsplan etabliert werden, der realistisch umsetzbar ist. Hierbei wird die Aufsicht die NPE-Strategie sowie den Implementierungsplan im Rahmen der SREP-Bescheide bewerten.

Forbearance

Mit der aktuellen 6. MaRisk-Novelle werden auch die Anforderungen an Verfahren zur Früherkennung von Risiken sowie die Begrifflichkeit „Forbearance“ neu geordnet und ergänzt. Während in der MaRisk-Fassung von 2017 die Thematik Forbearance lediglich in den Kommentaren zum Thema Intensivbetreuung (BTO 1.2.4) erläutert wurde, wird nun im Bereich des BTO 1.3 „Anforderungen an Verfahren zur Früherkennung von Risiken“ mit dem Abschnitt 1.3.2 ein eigenes Kapitel mit ausführlichen Vorgaben formuliert.

Ziel der Aufsicht ist es, dass die Kreditinstitute den Forbearance-Tatbestand transparenter ausgestalten und insbesondere notleidende und nicht notleidende Forbearance-Tatbestände anhand definierter Kriterien differenzieren. Dazu haben die Institute eine eigenständige Forbearance-Richtlinie zu etablieren, die Wirksamkeit der eingesetzten Forbearance-Maßnahmen zu überwachen und ihre Tragfähigkeit explizit zu bewerten.

Somit ergeben sich erhöhte prozessuale und organisatorische Anforderungen hinsichtlich der Behandlung von Forbearance-Positionen – insbesondere in einem erhöhten Formalisierungsgrad.

Bewertung notleidender Kredite

Analog zu den Forbearance-Anforderungen verlangt die Aufsicht mit der 6. MaRisk-Novelle klar definierte Kriterien für die Zuordnung von Engagements zur Intensivbetreuung bzw. Problemkreditbearbeitung. Die Anforderungen an die betroffenen Positionen und Prozesse werden deutlich konkretisiert. Insbesondere die Anforderungen an die Wertansätze der Sicherheiten und die Bewertung der Wirksamkeit der getroffenen Maßnahmen werden näher beschrieben.

Neben den erhöhten Anforderungen an die Ablauforganisation liegen wesentliche Herausforderungen in der Weiterentwicklung der Datenhaltung – u. a. hinsichtlich der Verwertungsinformationen. Hier hat eine Vielzahl von Instituten noch Defizite hinsichtlich der Transparenz und Datenqualität bzgl. der Verwertungsinformationen in den bestandsführenden Systemen.

Kredit-/Bewertungsprozesse

Die Aufsicht erhöht die Anforderungen an den Bewertungsprozess von Immobiliensicherheiten. Die Bewertenden müssen grundsätzlich unabhängig sowohl von der Kreditvergabe, der Kreditbearbeitung als auch von der Kreditentscheidung sein. Ebenso wird ein Rotationsprinzip bei der Immobilienbewertung gefordert. In vielen Instituten wird gemäß dieser Anforderung der 6. MaRisk-Novelle eine organisatorisch eigenständige Bewertungseinheit etabliert werden müssen, sodass die prozessualen Kosten hier steigen werden.

Darüber hinaus enthält die neue Fassung eine Klarstellung zur laufenden Kreditüberwachung endfälliger Kredite. Hier ist eine regelmäßige Bewertung der Rückzahlungsfähigkeit durchzuführen. Auch wenn der Aspekt in der Praxis nichts Neues sein sollte, dürfte die explizite Formulierung ggf. zur Anpassung der Prozessbeschreibung sowie zu Dokumentationsnotwendigkeiten führen[7] .

Zentrale Herausforderung ist hier, unter Beachtung der Proportionalität eine angemessene Lösung angepasst auf Institutsspezifika zu finden.

Auslagerungsmanagement

Die Anforderungen an das Auslagerungsmanagement werden mit der 6. MaRisk-Novelle deutlich erhöht. Die erweiterten Dokumentationspflichten zu getroffenen Auslagerungsvereinbarungen machen eine Überprüfung von Neu- bzw. Bestandsverträgen bis spätestens Ende 2022 notwendig. Die Bestimmung eines/einer zentralen Auslagerungsbeauftragten und erhöhte methodische Anforderungen an die Risikoanalyse führen zu deutlich erhöhtem organisatorischem Aufwand. Erleichterungen insbesondere durch eine Zentralisierung des Auslagerungsmanagements auf Gruppen-/Verbundebene sollten daher eingehend geprüft werden.

Wesentliche neue Anforderungen an das Auslagerungsmanagement sind in der folgenden Abbildung zusammengefasst.

6. MaRisk-Novelle: Anforderungen AuslagerungsmanagementAbbildung 3: Zentrale Anforderungen Auslagerungsmanagement

Notfallmanagement

Die vorhandenen Notfallkonzepte sind in einen Notfallmanagementprozess einzubetten. Dazu gehören neben der Definition von Zielen und der Abstimmung mit den Auslagerungsunternehmen vor allem auch die regelmäßige Überprüfung der Wirksamkeit in einem Mindestset vorgegebener Notfallszenarien.

Der Umfang und die Vollständigkeit der Erfüllung der neuen Anforderungen sind jeweils zu prüfen. Zentrale Anforderungen sind in der Abbildung dargestellt:

6. MaRisk-Novelle: Anforderungen NotfallmanagementAbbildung 4: Zentrale Anforderungen Notfallmanagement

BAIT[8]

Neben den MaRisk wurden parallel auch die BAIT überarbeitet. Mit Veröffentlichung am 16.08.2021 treten die konkretisierten Anforderungen, Ergänzungen sowie neue Themenfelder im Sinne der EBA-Leitlinien zum Umgang mit IKT- und Sicherheitsrisiken in Kraft.

IT-Mitarbeite blicken gespannt auf Monitor als Metapher für "BAIT-Novelle (Konsultation 132020) – Kurzfristige Umsetzung in 2021"
BAIT-Novelle (Konsultation 13/2020) – Kurzfristige Umsetzung in 2021
Anforderungen der novellierten BAIT an Finanzdienstleister und erwartete Schwerpunkte in der Umsetzung.
Weiterlesen »

Die wesentlichen Anpassungen ergeben sich durch die neuen Anforderungen an die operative Informationssicherheit, das IT-Notfallmanagement sowie die Kundenbeziehungen mit Zahlungsdienstnutzerinnen und -nutzer. Die folgende Abbildung fasst die Anpassungsbedarfe der BAIT und deren Umsetzungsaufwand zusammen.

6. MaRisk-Novelle: Zentrale Anforderungen BAITAbbildung 5: Zentrale Anforderungen BAIT

Die Operationalisierung der Vorgaben des Informationssicherheitsmanagements unter Nutzung von State-of-the-Art-Maßnahmen, die Erweiterung des Benutzerberechtigungsmanagements um Zugangs‑/und Zutrittsrechte im umbenannten Kapitel „Identitäts- und Rechtemanagement“ zur Sicherstellung einer ganzheitlichen Betrachtung sowie die durch AT 7.2 MaRisk geforderte breitere Fokussierung des IT-Systems hin zu jeglichem Bestandteil des Informationsverbunds stellen die maßgeblichen Treiber für Handlungsbedarfe dar.

Risikotragfähigkeit

Die Anforderungen aus dem BaFin-Leitfaden zur Risikotragfähigkeit[9] werden in den MaRisk verbindlich verankert. Diejenigen Institute, welche die Anforderungen noch nicht vollumfänglich umgesetzt und in der Gesamtbanksteuerung etabliert haben, sind demzufolge jetzt mit der 6. MaRisk-Novelle gefordert, die beiden Steuerungssichten, d. h. die normative sowie die ökonomische Perspektive, prozessual und DV-technisch umzusetzen.

Risikotragfähigkeit: Bergsteiger am Abseilen
Neue Leitplanken für die Risikotragfähigkeit
Konsequenzen aus dem neuen Leitfaden der BaFin.
Weiterlesen »

Weitere Änderungen im Rahmen der Novellierung

Die Aufsicht hat zusätzlich eine Vielzahl weiterer Änderungen vorgenommen, die sich aus der Prüfungspraxis bzw. aus geänderten Gesetzeslagen heraus ergeben haben. Diese betreffen u. a. Kryptowährungen als Handelsgeschäfte, Anforderungen an die Marktgerechtigkeitsprüfung, an die Messung operationeller Risiken sowie von Liquiditätsrisiken.

6. MaRisk-Novelle: Fazit

Die 6. MaRisk-Novelle umfasst eine Vielzahl von Änderungen und Handlungsfeldern im Vergleich zu den bisher gültigen MaRisk. Präzisierungen, welche lediglich klarstellender Natur sind, d. h. bereits existierende Verwaltungspraxis widerspiegeln, sind unmittelbar mit der Veröffentlichung von den Instituten umzusetzen. Für neue Anforderungen gilt eine Übergangsfrist bis zum 31.12.2021, sodass die Umsetzung für die Institute sehr kurzfristig erfolgen muss (Ausnahme: Auslagerungsmanagement).

Aufgrund der Heterogenität der adressierten Handlungsfelder und Umsetzungsstände in den einzelnen Instituten ist eine zeitnahe institutsspezifische Einwertung der Handlungsbedarfe empfehlenswert. Besondere Herausforderungen werden für alle Institute darin liegen, angemessene, prüfungssichere und effiziente Lösungen für die relevanten Handlungsfelder zu finden.

[1] Rundschreiben 10/2021 (BA), Mindestanforderungen an das Risikomanagement – MaRisk vom 16.08.2021
[2] EBA/GL/2018/06: Leitlinien über das Management notleidender und gestundeter Risikopositionen, vom 31. Oktober 2018
[3] EBA/GL/2019/02: Leitlinien zu Auslagerungen, vom 25. Februar 2019
[4] EBA/GL/2019/04: EBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken, vom 28. November 2019
[5] NPE = Non Performing Exposure
[6] Die Quote notleidender Kredite wird dabei durch den Bruttobuchwert der notleidenden Kredite und Darlehen zu dem Bruttobuchwert der gesamten Darlehen und Kredite gebildet.
[7] Vgl. BTO 1.2.2. der 6. MaRisk-Novelle
[8] BaFin, Bankaufsichtliche Anforderungen an die IT in der Fassung vom 16.08.2021
[9] BaFin/Deutsche Bundesbank: Aufsichtliche Beurteilung bankinterner Risikotragfähigkeitskonzepte und deren prozessualer Einbindung in die Gesamtbanksteuerung („ICAAP“) – Neuausrichtung vom 24.05.2018

Sprechen Sie uns gerne an!

Ulf Morgenstern / Autor BankingHub

Dr. Ulf Morgenstern

Senior Manager Office Münster
Christian Witte/ Autor BankingHub

Christian Witte

Senior Manager Office Münster

Artikel teilen

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

BankingHub-Newsletter

Analysen, Artikel sowie Interviews rund um Trends und Innovationen
im Banking alle 2 Wochen direkt in Ihr Postfach

Send this to a friend