Diese Website verwendet Cookies. Wenn Sie unsere Seiten nutzen, erklären Sie sich hiermit einverstanden. Weitere Informationen

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 16. August 2021 die sechste Novelle der Mindestanforderungen an das Risikomanagement (MaRisk) für Banken veröffentlicht. Darin wurden insbesondere die Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA) zu notleidenden und gestundeten Risikopositionen sowie zu Auslagerungen und weitere Anforderungen aus EBA-Leitlinien umgesetzt. „Profil“ gibt einen Überblick über die wesentlichen Neuerungen und deren Auswirkungen auf die bayerischen Volksbanken und Raiffeisenbanken. Der Genossenschaftsverband Bayern (GVB) und die Genossenschafts-Treuhand Bayern (GTB) bieten den Kreditgenossenschaften bei der Umsetzung Unterstützung an.

Neuerungen im Kreditgeschäft


Umgang mit notleidenden Krediten

Die Anforderungen der Leitlinien zu notleidenden Krediten (Non-performing loans; NPL) betreffen insbesondere Institute mit einer Quote notleidender Kredite von fünf Prozent oder mehr. Die Berechnung der NPL-Quote erfolgt analog der vierteljährlichen FINREP-Meldung. Diese Banken müssen bereits für das Jahr 2022 eine Strategie entwickeln, um die notleidenden Risikopositionen über einen realistischen, aber hinreichend ambitionierten Zeithorizont abzubauen. Neben der Beurteilung des operativen Geschäftsfelds und der externen Bedingungen ist die Strategie mit kurz-, mittel- und langfristigen Zielen zu hinterlegen. Dazu ist ein entsprechender Implementierungsplan mit einem vierteljährlichen Überprüfungsturnus hinsichtlich des Fortschritts beim Abbau zu entwickeln. Dabei kann es auch für Banken mit einer niedrigeren NLP-Quote sinnvoll sein, frühzeitig eine NPL-Strategie vorzuhalten. Im Rahmen der Musterarbeitsanweisungen MaRisk stellt der GVB seinen Mitgliedsbanken eine Orientierungshilfe zur Verfügung, die die Institute dabei unterstützen soll, eine Strategie für notleidende Risikopositionen zu finden.

Institute mit hohem NPL-Bestand unterliegen höheren Anforderungen an die Ausgestaltung der Risiko-Controlling-Funktion zur Überwachung der NPE-bezogenen Risiken (NPE = Non-performing exposures). In den Risikoberichten ist gesondert über notleidende Risikopositionen zu berichten. Notleidende Risikopositionen müssen durch eine spezialisierte Abwicklungseinheit bearbeitet werden, die organisatorisch außerhalb des Marktbereichs anzusiedeln ist. Sie kann der Problemkreditbearbeitung zugeordnet werden. Die genannten Anforderungen richten sich an Banken, deren NPE-Quote einen Wert von fünf Prozent an zwei aufeinanderfolgenden Quartalsstichtagen übersteigt. Allerdings behält sich die Aufsicht in begründeten Einzelfällen das Recht vor, auch von Banken mit einer geringeren NPE-Quote die Umsetzung der vorstehenden Anforderungen zu verlangen.
 

Forbearance

Die MaRisk-Novelle hat in einem neuen Abschnitt das Thema Forbearance (Modul BTO 1.2.3) aufgegriffen. Die Definition von Forbearance richtet sich dabei weiterhin nach dem aufsichtlichen Meldewesen (FINREP). Darunter fällt jede Art von Zugeständnissen, die Banken ihren Kreditnehmern aufgrund finanzieller Schwierigkeiten machen. Banken müssen künftig eine Forbearance-Richtlinie entwickeln. In dieser sind Prozesse und Verfahren zur Gewährung von Forbearance-Maßnahmen, die verfügbaren Forbearance-Maßnahmen, die Informationsanforderungen zur Prüfung der Tragfähigkeit der Maßnahmen, die Dokumentation sowie der Prozess für die Überwachung der Wirksamkeit samt Messgrößen festzuschreiben. Ferner sind Kriterien festzulegen, anhand derer eine angemessene Einstufung und gegebenenfalls Umgliederung von Forbearance-Risikopositionen als notleidend oder nicht-notleidend möglich ist. Forbearance-Maßnahmen sind nach tragfähigen (die die Risikoposition verringern) und nicht-tragfähigen Forbearance-Maßnahmen zu differenzieren. Aktuell erarbeitet eine Arbeitsgruppe beim Bundesverband der Deutschen Volksbanken und Raiffeisenbanken (BVR) einen Leitfaden, der die Anforderungen präzisiert und Umsetzungsmöglichkeiten aufzeigt. Der GVB ist an der Arbeitsgruppe beteiligt.
 

Endfällige Kredite

Bei der jährlichen Beurteilung der Adressausfallrisiken (Modul BTO 1.2.2 Tz. 2) wird nun die Vorgehensweise bei endfälligen Krediten erläutert. Dabei hat die Bank in Abhängigkeit vom Risikogehalt der Engagements die Rückzahlungsfähigkeit des Kreditnehmers zu beurteilen, da die fortlaufende Zahlung der fälligen Zinsbeträge allein keinen hinreichenden Grund für die Annahme darstellt, dass der Gesamtkreditbetrag am Ende der Laufzeit getilgt wird. Zur Bewertung der Rückzahlungsfähigkeit gehört zum Beispiel eine angemessene Beurteilung der Finanzlage des Kreditnehmers auf Grundlage hinreichender Informationen und unter Berücksichtigung maßgeblicher Faktoren wie zum Beispiel der Kapitaldienstfähigkeit und der Gesamtverschuldung des Kreditnehmers oder dem Wert der Immobilie oder des Projekts. Insofern ist zumindest im risikorelevanten Bereich bei endfälligen Darlehen in der Kapitaldienstrechnung ein fiktiver und der Höhe nach sachgerechter Tilgungsanteil anzusetzen. Dazu können auch Tilgungsersatzleistungen zählen. Wenn vertraglich geregelt ist, dass die Rückzahlung durch dafür vorgesehene Sicherheiten sichergestellt ist, ohne dass dafür Tilgungsersatzleistungen erbracht werden müssen (zum Beispiel durch die Verpfändung von Guthaben in Kredithöhe), kann die Rückzahlungsfähigkeit auch anhand dieser Kriterien bewertet werden.
 

Wertermittlungen von Immobiliensicherheiten

Die Aufsicht regelt, dass die mit der Wertermittlung von Immobiliensicherheiten betrauten sachverständigen Personen über die erforderlichen Qualifikationen und Erfahrungen zu verfügen haben und nicht in den Kreditvergabeprozess und in die Kreditbearbeitung beziehungsweise Kreditentscheidung eingebunden sein dürfen. Für diese Zwecke können auch externe Sachverständige herangezogen werden. Mögliche Interessenkonflikte im Zusammenhang mit der Wertermittlung sind auszuschließen. Diese Bestimmung ist vom Grundsatz her nicht neu. Hier gilt es aber noch abschließend mit der Aufsicht zu klären, was beziehungsweise wer unter dem Begriff „sachverständige Personen“ im Zusammenhang mit der geforderten Unabhängigkeit zu verstehen ist, da ansonsten die Funktionstrennung augenscheinlich auch innerhalb der Kleindarlehensgrenze einzuhalten wäre.

Darüber hinaus ist eine angemessene Rotation der für die Wertermittlung zuständigen Personen sicherzustellen. Eine Rotation sollte vorgenommen werden, wenn dieselbe mit der Wertermittlung betraute sachverständige Person zwei aufeinanderfolgende Einzelbewertungen derselben Immobilie durchgeführt hat. Auch hier ist noch eine Klärung herbeizuführen, wie sich Institute verhalten sollen, die nur über einen internen Sachverständigen verfügen. Werden für die Wertermittlung von Immobiliensicherheiten externe Sachverständige herangezogen, hat das Institut die Immobilienwertermittlung zu plausibilisieren und dabei gegebenenfalls eigene Erkenntnisse und Informationen in die Beurteilung einfließen zu lassen.

Im Rahmen der turnusmäßigen Sicherheitenüberprüfung hat das Institut beim Einsatz von Marktschwankungskonzepten ergänzend eigene Marktbeobachtungen und weitere Analysen für das relevante Sicherheitenportfolio durchzuführen. Zudem ist zu prüfen, inwieweit das Marktschwankungskonzept für das eigene Portfolio repräsentativ ist und für welche Immobilien es folglich genutzt werden kann.

Wertermittlungen unter Realisationsgesichtspunkten betreffen grundsätzlich Engagements in der Abwicklung. Diese sind mindestens jährlich durch geeignete Mitarbeiter zu überprüfen. Dabei sind erhebliche Schwankungen und insbesondere ein erheblicher Rückgang des Sicherheitenwerts zu berücksichtigen.
 

Rettungserwerbe

Zieht ein Institut einen sogenannten Rettungserwerb in Betracht, so hat es nunmehr eine entsprechende Richtlinie zu entwickeln, in der unter anderem die Bewertungsverfahren, die Überprüfung der Sicherheitenwerte sowie die beabsichtigte Haltedauer festzulegen sind.
 

Intensivbetreuung
Mit einer eigenen Textziffer wurde in den MaRisk geregelt, dass bei einem Übergang von Engagements in die Intensivbetreuung Maßnahmen mit dem Ziel der Rückführung in die Normalbetreuung zu ergreifen und zu überwachen sind. Als mögliche Maßnahmen wurden der verstärkte Kundenkontakt, eine enge Überwachung beispielsweise im Rahmen einer Watchlist, eine unterjährige Analyse der Finanzlage oder die Neuordnung von Engagements (zum Beispiel Umschuldung, Sicherheitenverstärkung) definiert.

Neuerungen im Auslagerungsrecht

Einen inhaltlichen Schwerpunkt der sechsten MaRisk-Novelle stellen die umfangreichen Änderungen zum Auslagerungsrecht dar. Hintergrund sind Überarbeitungen der internationalen Regelsetzung, insbesondere die EBA-Leitlinien zur Auslagerung (Outsourcing-Guidelines) aus dem Jahr 2019.
 

Auslagerungsbegriff im KWG unverändert

Bei der Konzeption des MaRisk-Rundschreibens war die BaFin indes an die formalgesetzlichen Vorgaben aus dem Kreditwesengesetz (KWG) gebunden: So werden zwar – entgegen des Widerstands der Kreditwirtschaft – Anzeigepflichten bei Absicht, Vollzug und wesentlichen Änderungen einer Auslagerung neu beziehungsweise wieder eingeführt. Der enge Auslagerungsbegriff des § 25b KWG bleibt jedoch unverändert. Dies stellt einen ganz entscheidenden Erfolg der Interessenvertretung auch des GVB dar. Denn andernfalls wäre die Anwendbarkeit der Outsourcing-Vorgaben der MaRisk in jedem Einzelfall risikoorientiert zu prüfen gewesen, was einen ganz erheblichen Mehraufwand für Kreditinstitute zur Folge gehabt hätte.
 

Risikoanalyse erweitert

Relevante Änderungen enthalten die neuen MaRisk insbesondere bei der Risikoanalyse, die auf weitere Prüffelder ausgedehnt werden muss. So sind zum Beispiel Risikokonzentrationen stärker zu berücksichtigen und es ist auch der Kostenaufwand zu würdigen. Über den BVR-Arbeitskreis Outsourcing, an dem der GVB aktiv beteiligt ist, wird eine entsprechende Erweiterung der Muster-Risikoanalyse erarbeitet.
 

Vertragsklauseln ergänzt

Auch die vertragsinhaltlichen Mindestanforderungen bei Auslagerungen werden ausgedehnt. Verlangt wird unter anderem die Vereinbarung von Informations-, Prüfungs- und Zugangsrechten, und zwar „möglichst“ auch für nicht wesentliche Auslagerungen. Dies jedenfalls dann, sofern eine Umstufung als „wesentlich“ absehbar ist. Auch ist zu vereinbaren, an welchen Standorten Daten gespeichert werden sollen. Hier wird der Einfluss des europäischen Datenschutzrechts deutlich. Der BVR-Arbeitskreis Outsourcing wird die Mustervertragsklauseln prüfen und soweit notwendig überarbeiten.

Erforderlich ist bei wesentlichen Auslagerungen künftig eine „laufende Überwachung“ der Leistung des Auslagerungsunternehmens anhand bestimmter Kriterien. Im Rahmen der Interessenvertretung konnte verhindert werden, dass diese laufende Überwachungspflicht auch für nicht-wesentliche Auslagerungen gilt.
 

Benennung eines Auslagerungsbeauftragten und Einrichtung eines Auslagerungsmanagements

Die wohl augenfälligste Neuerung im Auslagerungsrecht betrifft die verbindliche Benennung eines Auslagerungsbeauftragten in jedem Institut sowie die Einrichtung eines zentralen Auslagerungsmanagements. Bei kleineren Instituten kann auch ein Geschäftsleiter die Funktionen des Auslagerungsbeauftragten übernehmen. Zwar fordert die BaFin ein zentrales Auslagerungsmanagement nur in Abhängigkeit der Größe und Komplexität der Auslagerungsaktivitäten. Angesichts der Auslagerung der Bank-IT auf die genossenschaftliche Rechenzentrale ist jedoch davon auszugehen, dass auch kleinere Institute ein zentrales Auslagerungsmanagement einrichten müssen.
 

Auslagerungsregister im KWG

Die Einführung eines Auslagerungsregisters basiert letztlich auf neuen gesetzlichen Vorgaben im Kreditwesengesetz. In den MaRisk befinden sich allerdings ergänzende Auslegungen zum Inhalt des Registers, die wiederum auf die EBA-Leitlinie Bezug nehmen. Aufzuführen sind unter anderem der Name des Dienstleisters, eine Beschreibung der ausgelagerten Funktion, gegebenenfalls deren Wesentlichkeit sowie zahlreiche weitere Angaben.
 

Erleichterungen im Verbund

Ganz entscheidend ist, dass die BaFin in den MaRisk ausdrücklich Erleichterungen für Finanzverbünde einräumt. So ist insbesondere ein Risikomanagement auf Verbundebene berücksichtigungsfähig. Zudem kann das zentrale Auslagerungsmanagement für mehrere Institute durch ein Auslagerungsunternehmen vorgenommen werden; zum Beispiel hat die Genossenschaft für Zentrales Auslagerungsmanagement (ZAM eG) hierzu im Verbund ein erstes Angebot unterbreitet. Bei verbundinternen Auslagerungen kann auf die Erstellung von Ausstiegsprozessen verzichtet werden. Nicht zuletzt darf das Auslagerungsregister zentral geführt werden.
 

Übergangsfristen im Auslagerungsrecht

Die neuen MaRisk-Vorschriften zum Auslagerungsrecht sind grundsätzlich bis zum 31. Dezember 2021 umzusetzen. Bestehende Auslagerungsverträge müssen jedoch erst bis zum 31. Dezember 2022 angepasst werden. Bereits seit Mitte August 2021 gelten nur diejenigen Vorschriften, die lediglich Klarstellungen und keine materiellen Änderungen beinhalten. Die neuen auslagerungsrechtlichen Vorgaben im KWG sind überwiegend zum 1. Januar 2022 anzuwenden.

Weitere Änderungen


Handelsgeschäfte und Risikotragfähigkeit

Bei Geschäften in Kryptowährungen sind künftig die Anforderungen an Handelsgeschäfte einzuhalten. Darüber hinaus müssen Banken neue Anforderungen an das Bestätigungsverfahren und die Kontrolle der Marktgerechtigkeit einhalten. Im Bereich der Risikotragfähigkeit wurden die MaRisk an den überarbeiteten Leitfaden zur Risikotragfähigkeit angepasst. Die Inhalte der neuen Risikotragfähigkeit betreffen die Umstellung auf eine normative und ökonomische Perspektive und sind spätestens bis zum 31. Dezember 2022 umzusetzen. Der GVB stellt dafür eine komplett überarbeitete Musterarbeitsanweisung zur Verfügung.
 

Operationelle Risiken

Durch Änderungen der MaRisk wird von Instituten künftig ein angemessenes Risikomanagement für operationelle Risiken (OpRisk) erwartet. Dabei rücken Beinahe-Verluste stärker in den Fokus. Es sind neben den historischen Erkenntnissen aus im Institut aufgetretenen Schadensfällen und aktuellen Schwächen (insbesondere erkannte Prozessschwächen, Schwachstellen aus Revisionsberichten etc.) auch potenzielle Ereignisse zu berücksichtigen. Insbesondere sollen Erkenntnisse aus der Informationssicherheit, der Compliance, den Anpassungsprozessen sowie den Prozessen des Notfall- und Auslagerungsmanagements herangezogen werden. Insgesamt ist die Berichterstattung um die gewonnenen Erkenntnisse zu ergänzen. Darüber hinaus sind geeignete Gegensteuerungsmaßnahmen zu dokumentieren. Insgesamt steigt der damit verbundene Dokumentations- und Überwachungsaufwand für die Banken.

Im Rahmen der Risikoinventurvergleichserhebung unterstützt der GVB Banken bei der Beurteilung der operationalen Risiken (siehe dazu auch den Beitrag „Risiken richtig bewerten und einordnen“ in „Profil“ 8/2020). Hier können Banken ihre eigenen Schadensfälle erfassen und erhalten im Anschluss neben den eigenen Daten in aggregierter Form auch externe Daten (Verbandsdaten) zur Überprüfung potenzieller Ereignisse, deren Eintrittswahrscheinlichkeit und deren Schadenshöhe. Dadurch wird die von den MaRisk geforderte detailliertere, individuelle Betrachtung der Schadensfälle ermöglicht.
 

Anforderungen an das Notfallmanagement

Im neu gefassten Modul AT 7.3 „Anforderungen an das Notfallmanagement“ der MaRisk sind zur Identifikation von zeitkritischen Aktivitäten und Prozessen Business-Impact- sowie Risk-Impact-Analysen durchzuführen. Für alle relevanten Szenarien ist die Wirksamkeit und Angemessenheit des Notfallkonzepts für zeitkritische Aktivitäten und Prozesse künftig mindestens jährlich (und natürlich anlassbezogen) nachzuweisen. In den Bankaufsichtlichen Anforderungen an die IT (BAIT) wurde ein komplett neuer Abschnitt zum IT-Notfallmanagement eingeführt, welcher die bereits in den MaRisk festgelegten neuen Anforderungen nochmal erheblich ausdehnt. Die bestehenden Musterarbeitsanweisungen des GVB werden angepasst sowie neue Musterarbeitsanweisungen zur Verfügung gestellt. Für den Bereich des Notfallmanagements bietet die GTB zudem individuelle Betreuungen bis hin zu einer umfangreichen Dauerbetreuung an. Zur Überarbeitung der BAIT siehe auch den Beitrag „Neue Vorschriften für die IT-Sicherheit“ in „Profil“ 2/2021.

Übergangsfristen

Die neue Fassung der MaRisk ist mit Veröffentlichung am 16. August 2021 in Kraft getreten. Unmittelbar anwenden müssen die Banken nur die Präzisierungen. Für die Implementierung der Änderungen, die neue Anforderungen mit sich bringen, gilt eine Übergangsfrist bis zum 31. Dezember 2021.

Neues Rundschreiben „Zahlungsdiensteaufsichtliche Anforderungen an die IT“

Parallel zu den neuen MaRisk hat die BaFin auch die Bankaufsichtlichen Anforderungen an die IT (BAIT) aktualisiert und ein neues Rundschreiben zu den Zahlungsdiensteaufsichtlichen Anforderungen an die IT (ZAIT) veröffentlicht. Die ZAIT orientieren sich dabei sehr nah an den bereits existierenden IT-Anforderungen für Banken (BAIT) und beinhalten insbesondere die Anforderungen der Europäischen Bankenaufsicht (EBA) aus den EBA-Leitlinien für Informations- und Kommunikationstechnologie (IKT) und Sicherheitsrisikomanagement (GL/2017/17) sowie den EBA-Leitlinien zu Auslagerungen (GL/2019/02). Darüber hinaus werden die Banken dazu verpflichtet, die Ausgestaltung ihrer IT auf gängige Standards wie den IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI), die internationalen Sicherheitsstandards der ISO/IEC 27000-Reihe oder branchenspezifischer auf den „Payment Card Industry Data Security Standard“ (PCI-DSS) abzustellen. Die Regelungen der ZAIT wurden im neuen Kapitel 11 „Management der Beziehungen mit Zahlungsdienstnutzern“ als integraler Bestandteil der BAIT veröffentlicht und sind seit 16. August 2021 gültig.

Die ZAIT enthalten neben Risikominderungsmaßnahmen zur Beherrschung der operationellen und sicherheitsrelevanten Risiken auch Maßnahmen, mit denen die Zahlungsdienstnutzer zur Reduzierung von Betrugsrisiken direkt adressiert werden. Dazu ist ein angemessenes Management der Beziehungen mit den Zahlungsdienstnutzern zu etablieren. Ein wichtiger Aspekt ist die Sensibilisierung der Zahlungsdienstnutzer. Die Regelungen innerhalb der ZAIT verpflichten Banken insbesondere dazu, Zahlungsdienstnutzer für mögliche Gefahren und Sicherheitsrisiken zu sensibilisieren. Die Sensibilisierung kann in Form allgemeiner Ansprachen (zum Beispiel als Information auf der Webseite der Genossenschaftsbank) oder bei Bedarf auch individuell erfolgen.

Viele der veröffentlichten Regelungen (etwa die Änderung der Betragsobergrenze oder die Deaktivierung einzelner Zahlungsfunktionalitäten) werden von den Volksbanken und Raiffeisenbanken schon umgesetzt. Ebenso hat der genossenschaftliche IT-Dienstleister Atruvia bereits viele technische Voraussetzungen im Banksystem implementiert.

Unterstützungsleistungen durch GVB und GTB

Der Genossenschaftsverband Bayern (GVB) und die Genossenschafts-Treuhand Bayern (GTB) unterstützen die bayerischen Kreditgenossenschaften bei der Implementierung der MaRisk-Novelle. Neben den bereits genannten Angeboten stehen unter anderem folgende Leistungen bereit: Die neuen, überarbeiteten Musterarbeitsanweisungen zum Themenkreis MaRisk werden zeitnah im Mitgliederbereich der GVB-Webseite kostenpflichtig zum Download zur Verfügung gestellt. Im Rahmen einer vorgezogenen Prüfungshandlung bietet der GVB seinen Mitgliedern einen MaRisk-Umsetzungscheck an. Die GTB unterstützt die bayerischen Kreditgenossenschaften in den Bereichen Notfallmanagement und (Zentrales) Auslagerungsmanagement.

Kontakt zu GVB und GTB

Der Genossenschaftsverband Bayern (GVB) unterstützt die bayerischen Volksbanken und Raiffeisenbanken gerne bei Fragen rund um MaRisk, BAIT und ZAIT. Ansprechpartner sind Anna Scherr (Leitung Grundsatz Prüfung, 089/2868-3590, grundsatz(at)gv-bayern.de), und für das Auslagerungsrecht Steffen Hahn (Leitung Grundsatz Aufsichtsrecht, 089/2868-3860, bankaufsichtsrecht(at)gv-bayern.de). Die Genossenschafts-Treuhand Bayern (GTB) ist unter 089/2868-3580 beziehungsweise gtb(at)gv-bayern.de erreichbar. Ansprechpartner bei der GTB ist Joachim Pletsch.

Mitarbeit am Text: Beate Diery, Klaus Hartinger, Robert Bruckmann, Thomas Goldbrunner und Markus Dürrbeck, Genossenschaftsverband Bayern.

Artikel lesen
Rat