Ziele der 6. MaRisk-Novelle
Die Kreditinstitute und Verbände sind nunmehr aufgefordert, bis zum 4. Dezember 2020 ihre Stellungnahmen zur Konsultationsfassung der 6. MaRisk-Novelle der Aufsicht einzureichen. Über die Ergebnisse der Konsultationsphase wird die Aufsicht im ersten Quartal 2021 informieren. Ein Veröffentlichungsdatum der 6. MaRisk-Novelle wurde bisher nicht genannt, allerdings sollten sich die Kreditinstitute auf die Veröffentlichung der 6. MaRisk-Novelle ab Ende des ersten Quartals 2021 einstellen. Welche Themenfelder dann unmittelbar in Kraft treten bzw. welche Umsetzungszeiträume für Themenfelder eingeräumt werden, ist derzeit nicht publiziert.
Mit der Umsetzung der 6. MaRisk-Novelle überführt die BaFin verschiedene internationale Regulierungsinitiativen in deutsches Recht (u. a. „Leitlinien über das Management notleidender und gestundeter Risikopositionen“[2], „Leitlinien zu Auslagerungen“[3] sowie „EBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken“[4]), erweitert die Anforderungen bei bestehenden Regelungen (u. a. zum Auslagerungsmanagement, zum Notfallmanagement, zur Sicherheitenbewertung sowie zur Kreditüberwachung) und setzt letztlich wie bei jeder Novelle Klarstellungen aus Sicht der Aufsicht sowie aus der Prüfungspraxis um.
Die BaFin führt somit die bisherige Aufsichtspraxis für die Regulierung der Säule-II-Anforderungen fort und schafft gemäß Aussage im Anschreiben zur 6. MaRisk-Novelle ein ganzheitliches Rahmenwerk, in dem die Mindestanforderungen an das Risikomanagement gebündelt sind. Die MaRisk-Novelle richtet sich an alle nationalen Kreditinstitute.
Wesentliche Änderungen und neue Anforderungen
Die zentralen Änderungen und Neuanforderungen der 6. MaRisk-Novelle sind in der folgenden Abbildung zusammengefasst:
1. Signifikanzschwelle
Eine Neuerung der MaRisk-Novelle ist die Anpassung der Definition von „großen und komplexen Instituten“. Während bisher auf die Definition von „systemrelevanten Instituten“ zurückgegriffen wurde, wird nun auf das Größenkriterium für signifikante Institute abgestellt. Das heißt, hierunter fallen alle Institute, die als Gruppe oder Einzelinstitut eine Bilanzsumme von mindestens 30 Mrd. Euro ausweisen. Beispielsweise haben diese Institute die besonderen Anforderungen an das Datenmanagement, die Datenqualität sowie die Aggregation von Risikodaten, den Risikobericht über die Liquiditätsrisiken sowie an die Compliance-Funktion zu erfüllen. Dies weitet den Anwendungskreis auf alle signifikanten Institute bzw. Tochtergesellschaften von signifikanten Instituten, die als Einzelinstitut diese Größenschwelle überschreiten, aus.
Die betroffenen Institute müssen überprüfen, inwieweit die von den MaRisk adressierten Anforderungen über bestehende Vorgaben der EZB bereits im Scope sind. Mit Blick auf die Risikodatenaggregation bedeutet dies allerdings, dass die Anforderungen für signifikante, aber nicht systemrelevante Institute deutlich zunehmen. Dies gilt ebenso für Institute, die sich aufgrund von Bilanzwachstum der 30-Mrd.-EUR-Grenze nähern. Neben dem Wechsel der Aufsicht (von BaFin zur EZB) ergeben sich mit dieser Neuerung noch weitere Anforderungen für die Institute.
2. Institute mit NPE[5]-Bestand ≥ 5 %
Aus Sicht der Aufsicht ist der bewusste und nachhaltige Abbau der NPE/NPL in den Bilanzen der Banken sowohl aus mikroprudenzieller als auch aus makroprudenzieller Sicht vorteilhaft für die Wirtschaft. Institute mit einem Bestand an notleidenden Risikopositionen (Non-Performing Exposure – NPE) von 5 % oder mehr haben daher eine NPE-Strategie zu formulieren und diese über einen NPE-Implementierungsplan zu operationalisieren[6]. Ziel der Aufsicht ist dabei in der Regel die strukturierte Reduktion hoher NPE-Bestände in Bankbilanzen. Hierfür haben die betroffenen Institute eine spezialisierte NPE-Abwicklungseinheit aufzubauen, die grundsätzlich vom Kreditvergabeprozess getrennt sein muss. Die Risikocontrollingfunktion soll zudem den NPE/NPL-Abbau zur Erreichung der Zielwerte gemäß Strategie überwachen und die Auswirkung auf die internen sowie regulatorischen Eigenkapitalanforderungen einwerten.
Herausforderungen für die betroffenen Institute sind sowohl inhaltlicher als auch prozessualer Natur. Im engeren Sinne muss eine Strategie und ein belastbarer Implementierungsplan etabliert werden, der realistisch umsetzbar ist. Hierbei wird die Aufsicht die NPE-Strategie sowie den Implementierungsplan im Rahmen der SREP-Bescheide bewerten.
Zudem sind die Strategie und der Implementierungsplan einheitlich mit dem bestehenden Risikomanagement-Framework (ICAAP, Risikostrategie, Sanierungsplan) zu verzahnen.
Darüber hinaus stehen die Institute vor der Herausforderung, die spezialisierte Abwicklungseinheit effizient in die Organisationsstrukturen zu integrieren und gleichzeitig das notwendige Spezial-Know-how für die Abwicklung der NPE-Positionen aufzubauen und vorzuhalten. Für Institute, die oberhalb der Grenze liegen, ist hier ein deutlicherer Umsetzungsaufwand zu erwarten – alle übrigen müssen sich zumindest darauf vorbereiten.
Regulatory Compliance effizient sicherstellen
Behalten Sie den Überblick über die aktuellen regulatorischen Initiativen und ordnen Sie deren Relevanz für Ihr Haus effizient ein:
Auf Anfrage stellen wir Ihnen gerne detaillierte Informationen zum Leistungsumfang sowie einen befristeten Testzugang zu unserem Serviceangebot bereit. Bitte kontaktieren Sie uns unter subscription@regulatory-hub.com.
3. Forbearance
Mit der aktuellen MaRisk-Novelle werden auch die Anforderungen an Verfahren zur Früherkennung von Risiken sowie die Begrifflichkeit „Forbearance“ neu geordnet und ergänzt. Während in der 2017-Fassung der MaRisk, die Thematik Forbearance lediglich in den Kommentaren zum Thema Intensivbetreuung (BTO 1.2.4) erläutert wurde, wird nun im Bereich des BTO 1.3 „Anforderungen an Verfahren zur Früherkennung von Risiken“ mit dem Abschnitt 1.3.2 ein eigenes Kapitel mit ausführlichen Vorgaben formuliert. Somit werden die bereits seit 2014 durch verschiedene Guidelines und Regeln in den Banken bekannten Regeln zum Umgang mit Engagements, bei denen während der Vertragslaufzeit Zugeständnisse zugunsten des Kreditnehmers gemacht werden (Forbearance-Maßnahmen)[7], in der novellierten Form deutlich konkreter in den MaRisk und damit für alle Institute verankert. Ziel der Aufsicht ist es, dass die Kreditinstitute den Forbearance-Tatbestand an sich transparenter ausgestalten und insbesondere notleidende und nicht notleidende Forbearance-Tatbestände anhand definierter Kriterien differenzieren. Dazu haben die Institute eine eigenständige Forbearance-Richtlinie zu etablieren und die Wirksamkeit der eingesetzten Forbearance-Maßnahmen zu überwachen und ihre Tragfähigkeit explizit zu bewerten.
Somit resultieren erhöhte prozessuale und organisatorische Anforderungen hinsichtlich der Behandlung von Forbearance-Positionen insbesondere durch den erhöhten Formalisierungsgrad, der Gesamtaufwand ist aber je nach Institutsstand eher als mittel einzuschätzen.
4. Bewertung notleidender Kredite
Analog zu den Forbearance-Anforderungen verlangt die Aufsicht klar definierte Kriterien für die Zuordnung von Engagements zur Intensivbetreuung bzw. Problemkreditbearbeitung. Die Anforderungen an die betroffenen Positionen und Prozesse werden deutlich konkretisiert. Insbesondere die Anforderungen an die Wertansätze der Sicherheiten und die Bewertung der Wirksamkeit der getroffenen Maßnahmen werden näher beschrieben. Interessant ist hier der Hinweis der BaFin[8], dass die diesbezügliche Datenhaltung in „robusten IT-Systemen“ zu erfolgen hat.
Neben den erhöhten Anforderungen an die Ablauforganisation liegen wesentliche Herausforderungen in der Weiterentwicklung der Datenhaltung u. a. hinsichtlich der Verwertungsinformationen. Hier hat eine Vielzahl von Instituten noch Defizite hinsichtlich der Transparenz und Datenqualität bzgl. der Verwertungsinformationen in den bestandsführenden Systemen. Analog zu der Forebearance ist auch hier ein mittlerer Umsetzungsaufwand zu erwarten.
5. Kredit-/Bewertungsprozesse
Die Aufsicht erhöht die Anforderungen an den Bewertungsprozess von Immobiliensicherheiten insbesondere dadurch, dass die Bewertenden grundsätzlich unabhängig sowohl von der Kreditvergabe, der Kreditbearbeitung als auch von der Kreditentscheidung sein müssen. Ebenso wird ein Rotationsprinzip bei der Immobilienbewertung gefordert. In vielen Instituten wird gemäß dieser Anforderung eine organisatorisch eigenständige Bewertungseinheit etabliert werden müssen, sodass die prozessualen Kosten hier steigen werden.
Darüber hinaus enthält die Konsultationsfassung eine Klarstellung zur laufenden Kreditüberwachung endfälliger Kredite: Eine regelmäßige Bewertung der Rückzahlungsfähigkeit des Kreditnehmers ist durchzuführen. Auch wenn der Aspekt in der Praxis nichts Neues sein sollte, dürfte die explizite Formulierung ggf. eine Anpassung der Prozessbeschreibungen sowie Dokumentationsnotwendigkeiten im Einzelfall nach sich ziehen[9].
Zentrale Herausforderung ist hier, unter Beachtung der Proportionalität eine angemessene Lösung angepasst auf Institutsspezifika zu finden.
6. Auslagerungsmanagement
Der Entwurf sieht deutlich erhöhte Anforderungen an das Auslagerungsmanagement vor. Die erweiterten Dokumentationspflichten zu getroffenen Auslagerungsvereinbarungen machen eine Überprüfung von Neu- bzw. Bestandsverträgen notwendig. Die Bestimmung eines/einer zentralen Auslagerungsbeauftragten und erhöhte methodische Anforderungen an die Risikoanalyse führen zu deutlich erhöhtem organisatorischem Aufwand, wie in Abbildung 2 dargestellt ist. Erleichterungen insbesondere durch eine Zentralisierung des Auslagerungsmanagements auf Gruppen-/Verbundebene sollten daher eingehend geprüft werden.
Für Details siehe:
7. Notfallmanagement/BAIT[10]
Die vorhandenen Notfallkonzepte sind in einen Notfallmanagementprozess einzubetten. Dazu gehören neben der Definitionen von Zielen und der Abstimmung mit den Auslagerungsunternehmen vor allem auch die regelmäßige Überprüfung der Wirksamkeit in einem Mindestset vorgegebener Notfallszenarien. Abbildung 3 fasst die Inhalte des neuen MaRisk-Entwurfs für das Notfallmanagement zusammen. Viele Anforderungen sind bereits in den Instituten etabliert, Umfang und Vollständigkeit der Erfüllung der Anforderungen sind jeweils zu prüfen und anzupassen.
Neben den MaRisk wurden parallel auch die „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) überarbeitet. Sie werden derzeit konsultiert. Mit Veröffentlichung der Konsultation der BAIT am 26.10.2020 werden die bestehenden Anforderungen weiter konkretisiert und ergänzt sowie neue Themenfelder mitaufgenommen. Mit der Novellierung reagiert die Aufsicht auf die EBA-Leitlinien zum Umgang mit IKT- und Sicherheitsrisiken und nimmt die wesentlichen Inhalte in nationale Rechtsprechung auf. Die wesentlichen Anpassungen ergeben sich durch die neuen Kapitel: operative Informationssicherheit, IT-Notfallmanagement sowie zeitnah mit Konsultation der Zahlungsdiensteaufsichtlichen Anforderungen an die IT (ZAIT) die Anforderungen an Kundenbeziehungen mit Zahlungsdienstnutzern. Abbildung 4 fasst die Themenfelder auf Basis der BAIT-Konsultationsfassung 10/2020 zusammen.
Die Operationalisierung der Vorgaben des Informationssicherheitsmanagements unter Nutzung von State-of-the-Art-Maßnahmen, die Erweiterung des Benutzerberechtigungsmanagements um Zugangs-/und Zutrittsrechte im umbenannten Kapitel „Identitäts- und Rechtemanagement“ zur Sicherstellung einer ganzheitlichen Betrachung sowie die durch AT 7.2 MaRisk breitere Fokussierung weg vom IT-System hin zu jeglichem Bestandteil des Informationsverbundes stellen die maßgeblichen Treiber für Handlungsbedarfe dar.
BankingHub-Newsletter
Analysen, Artikel sowie Interviews rund um Trends und Innovationen im Banking alle 2-3 Wochen direkt in Ihr Postfach
„(erforderlich)“ zeigt erforderliche Felder an
8. Risikotragfähigkeit
Die Anforderungen aus dem BaFin-Leitfaden zur Risikotragfähigkeit[11] werden in den MaRisk verbindlich verankert. Diejenigen Institute, die die Anforderungen noch nicht vollumfänglich umgesetzt und in der Gesamtbanksteuerung etabliert haben, sind demzufolge jetzt gefordert, die beiden Steuerungssichten, d. h. die normative sowie die ökonomische Perspektive, prozessual und DV-technisch umzusetzen. Die Steuerungswirkungen der beiden Perspektiven sollten dabei transparent und nachweislich angemessen für das Institut sein.
Weitergehend wird ausgeführt, dass aus der Aggregation einzelner nicht wesentlicher Risiken ein wesentliches Risiko resultieren kann. Die Risikoinventur sowie die nachgelagerten Risikosteuerungsprozesse sind entsprechend daran auszurichten.
Insbesondere die normative Sicht erfordert eine Anpassung von Systemen und der Datenversorgung – hier ist ein zeitnaher Umsetzungsbeginn angeraten.
9. Weitere Änderungen im Rahmen der Novellierung
Die Aufsicht hat eine Vielzahl weiterer Änderungen vorgenommen, die sich aus der Prüfungspraxis bzw. aus geänderten Gesetzeslagen heraus ergeben haben. Dies betrifft insbesondere Handelsgeschäfte. Hier werden Kryptowährungen als Handelsgeschäfte analog zum KWG aufgenommen. Zudem konkretisiert die Aufsicht Anforderungen an die Marktgerechtigkeitsprüfung.
Darüber hinaus werden die Anforderungen an die Messung von operationellen Risiken sowie von Liquiditätsrisiken konkretisiert und strenger gefasst.
Ebenso wird die Aktualität der Daten in der Risikoberichterstattung betont. Auch hier ist wahrscheinlich, dass die Aufsicht ihre Erwartungshaltung an die Aktualität der Daten in der Risikoberichterstattung innerhalb der SREP-Beurteilung berücksichtigen wird.
Fazit: Konsultation zur 6. MaRisk-Novelle
Die Konsultationsfassung zur 6. MaRisk-Novelle avisiert eine Vielzahl an Neuerungen und Änderungen im Vergleich zu den aktuellen MaRisk. Aufgrund der Heterogenität der adressierten Themenfelder und der Umsetzungsstände in den einzelnen Instituten ist eine zeitnahe institutsspezifische Einwertung der Handlungsbedarfe empfehlenswert – insbesondere, um sich noch zeitnah in die Konsultation einzubringen, wobei die Erfahrung aus den letzten Konsultationen zeigt, dass i. d. R. nur noch eher kleinere Korrekturen vorgenommen werden.
Besondere Herausforderungen werden für alle Institute vor dem Hintergrund des aktuellen Kostendrucks darin liegen, angemessene, prüfungssichere und institutsspezifische Lösungen für die relevanten Handlungsfelder zu finden.