Finale Fassung der 6. MaRisk-Novelle: Das kommt jetzt auf Banken zu

Die BaFin hat am 16. August 2021 die finale Fassung des geänderten Rundschreibens der Mindestanforderungen an das Risikomanagement (MaRisk) veröffentlicht. Es enthält die nationale Umsetzung von wichtigen Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA). Dabei geht es insbesondere um den Umgang mit notleidenden und gestundeten Risikopositionen, Auslagerungsvereinbarungen und Sicherheitsrisiken, bezogen auf Informations- und Kommunikationstechnologien. Außerdem hat die BaFin weitere Themen aufgegriffen, die sich aus anderen regulatorischen Initiativen oder der laufenden Prüfungspraxis ableiten. 

Gegenüber der Konsultationsfassung vom 26. Oktober 2021 wurden Anpassungen vorgenommen, die entweder den beabsichtigten Regelungszweck besser herausstellen oder stärker den Bedürfnissen vor allem der kleineren Institute entsprechen. Mit dem Übersendungsschreiben gibt die BaFin wichtige Hinweise zu Hintergründen und Schwerpunkten. Gesondert sind zudem alle Änderungen gegenüber der 5. Novelle in reine Klarstellungen und tatsächliche Neuerungen differenziert, dies auch mit Blick auf die relevanten Übergangsfristen. Während Klarstellungen ab sofort gelten, besteht für Neuerungen grundsätzlich eine Übergangsfrist bis 1. Januar 2022. Mit 31. Dezember 2022 gilt eine Ausnahme für die Anpassung von bestehenden oder in Verhandlung befindlichen Auslagerungsverträgen. Zur Frist für die Umstellung der Risikotragfähigkeitskonzepte auf den Leitfaden vom 24. Mai 2018 wird die BaFin noch gesondert informieren.

Die neuen Vorgaben stellen insbesondere Less Significant Institutes (LSIs) in Deutschland vor Herausforderungen. Es kommt dabei darauf an, die neuen Vorgaben zeitnah und pragmatisch umzusetzen und in eine ggf. vorhandene übergreifende Transformationsagenda auch mit Blick auf die Gesamtbanksteuerung zu integrieren. Das gilt vor allem in Zeiten steigenden Kosten- und Transformationsdrucks, wie unsere Studie zur Zukunft des Bankensektors zeigt. Wir unterstützen Sie dabei gerne und kombinieren dazu unsere umfangreiche regulatorische Expertise mit unseren Erfahrungen im Markt.

Die sechste MaRisk-Novelle lässt sich in folgende Themenbereiche und Handlungsfelder einteilen:

1. Notleidende und gestundete Kredite (NPE): Die Übernahme der EBA-Leitlinien in die nationale Aufsichtspraxis folgt dem Proportionalitätsprinzip. Das heißt, die Umsetzung nach Größe, Art, Komplexität und Geschäftsmodell der Institute ist zulässig. Dabei entsteht vor allem für besonders betroffene Banken umfangreicher Handlungsbedarf:

• Konzeption und Operationalisierung der Strategie für notleidende Risikopositionen sowie entsprechender Implementierungspläne bei hohen NPL-Beständen, wobei als (Quartals-)Stichtage für die etwaige Überschreitung der 5%-Quote zum 30. September und 31. Dezember 2021 gelten
• Umgang mit spezialisierten NPE-Abwicklungseinheiten bei NPL-Quoten von fünf oder mehr Prozent
• Normkonforme Umsetzung der Definitionen von NPE und Forbearance
• Operationalisierung von Forbearance in Kredit- und Überwachungsprozesse
• Anpassungen am Überwachungsturnus von Sicherheiten und Sachverständigenrotation bei Immobiliensicherheiten
• Analyse der Wechselwirkungen zwischen Wiedergesundungsperioden durch die neue Ausfalldefinition, Mindestdeckungsregelungen für NPE und zusätzlichen Prozess- und Governance-Anforderungen bei hohen NPE-Beständen

2. Auslagerungsvereinbarungen: Die vorgeschlagenen Änderungen für das Outsourcing bleiben in Umfang und Detailgrad hinter den weitreichenden EBA-Leitlinien zurück. Das gilt auch, da Deutschland hierzu im Vergleich zu europäischen Nachbarn bereits detaillierte Vorgaben gemacht hat. Dies betrifft unter anderem die Auslagerung von Aktivitäten und Prozessen (§ 25b KWG). Dennoch ist der Themenbereich ein Schwerpunkt der MaRisk-Novelle und eröffnet entsprechende Handlungsfelder für Banken: 

• Überprüfung der Abgrenzung von Auslagerung zu sonstigem Fremdbezug (Definition von Auslagerungen)
• Erweiterung der Risikoanalyse um ggf. zusätzliche Kriterien, dabei besonderes Augenmerk auf Weiterverlagerungen sowie ggf. Ergänzung einer Szenarioanalyse
• Erweiterung der Auslagerungsverträge um Mindestinhalte und dabei Entscheidung über einen Ansatz zur Ansprache der Dienstleister bei Neu- bzw. Bestandsverträgen
• Sofern notwendig, Schärfung der Überwachungskriterien der Leistungen von Dienstleistern um Key Risk Indicators (KRI) und Key Performance Indicators (KPI)
• Benennung eines zentralen Auslagerungsbeauftragten und Entscheidung über die organisatorische Ansiedlung
• Prüfung von Erleichterungen in Gruppen und Verbünden entlang eines ggf. angepassten strategischen Zielbildes für das Auslagerungsmanagement
• Weiterentwicklung der Bestandsführung für Auslagerungsvereinbarungen in Richtung eines auswertbaren zentralen Registers und Einrichtung entsprechender Berichts- bzw. Anzeigeprozesse in Einklang mit dem durch das FISG geänderten § 24 KWG
• Sicherstellung der Eignung von Dienstleistern bei der Auslagerung von erlaubnispflichtigen Bankgeschäften innerhalb des europäischen Wirtschaftsraums und im Besonderen nach Drittstaaten

3. IT- und Notfallmanagement: Wie in der ebenfalls am 16. August 2021 erschienenen überarbeiteten Fassung zu bankaufsichtlichen Anforderungen an die IT (BAIT) finden sich auch in den MaRisk punktuelle Handlungsfelder: 

• Weiterentwicklung von Auswirkungs- und Risikoanalysen sowie Szenarioanalysen
• Quartalsweise Berichterstattung an die Geschäftsleitung
• Stärkung relevanter Schnittstellen (z. B. Risikomanagement, IT, Dienstleistersteuerung)
• Erweiterung bzw. Anpassung des Testkonzepts bzgl. Testumfang und Testfrequenz

4. Risikotragfähigkeit und Stresstests: Bereits die Sonderprüfungen der Bundesbank verlangen, die Aggregation von einzeln betrachtet nichtwesentlichen Risiken insgesamt auf ihre Wesentlichkeit hin zu untersuchen. Nun stellt auch die BaFin klar, dass eine gesamthafte und umfassende Umsetzung der Risikotragfähigkeit erwartet wird:

• Perspektivische Überprüfung des Risikotragfähigkeitskonzepts im Hinblick auf die Umsetzung der neuen verbindlichen Ansätze (normative bzw. ökonomische Perspektive anstelle der Gone- bzw. Going-Concern-Ansätze)
• Prüfung, ob die Risikotragfähigkeit entsprechend in der Strategie berücksichtigt ist
• Ergänzung der Stresstest-Agenda um Sensitivitäts- und Szenarioanalysen
• Sicherstellung, dass relevante Daten auch bzgl. der Sicherungsbeziehungen vorgehalten werden
• Sicherstellung der Aktualität der Risikoberichterstattung und Ergänzung um Informationen über vorläufige und Vorquartalsdaten

5. Operationelles Risiko: Die Anpassungen bezüglich der operationellen Risiken haben weitgehend klarstellenden Charakter und ergänzen bestehende Vorkehrungen nur. Die BaFin scheint dabei den Fokus des Risikomanagements auf eine prospektive Betrachtung potenzieller Schwachstellen und Risiken zu lenken:

• Überprüfung der Angemessenheit der Verfahren im Hinblick auf die Abdeckung der wesentlichen Ausprägungen
• Prüfung und ggf. Implementierung der Erfassung von Sammelschäden
• Ergänzung des operationellen Risikoberichtswesens bzgl. wesentlicher Schwächen und wesentlicher potenzieller Ereignisse

Die BaFin hat avisiert, dass sie zügig nach Inkraftsetzung der 6. MaRisk-Novelle mit den Vorarbeiten an einer 7. Novelle starten würde. Hier stehen insbesondere die Umsetzung der EBA-Leitlinien zur Kreditvergabe und -überwachung sowie einzelner Aspekte des Umgangs mit Nachhaltigkeitsrisiken im Fokus. Es ist damit zu rechnen, dass die 7. Novelle noch 2022 in Kraft gesetzt wird und somit zeitnah der aktuellen Überarbeitung der MaRisk folgt.

Die aufgezeigten Handlungsfelder der 6. Novelle zeigen, dass sich betroffene Banken auf eine komplexe und aufwändige Umsetzungsphase einstellen müssen. Neben den oben genannten Schwerpunktthemen gibt es eine weitere Vielzahl von Änderungen, die die Einbindung zahlreicher Bankbereiche erfordern. Eine effiziente Herangehensweise ist daher essenziell, um relevante Ressourcen zu sparen und kostspielige Verzögerungen zu vermeiden. Dabei sollte ein Stufenplan der Umsetzung, zunächst die von der BaFin genannten Klarstellungen adressieren, da diese umgehend anzuwenden sind, und im nächsten Schritt die Neuerungen behandeln.

Wir liefern Banken ein effizientes Umsetzungspaket, ergänzt durch folgende Vorzüge:

• Wir bieten bereits Dienstleistungen, insbesondere für die drei wesentlichen Handlungsfelder NPL-Management, Auslagerungsvereinbarung und IT-Notfallmanagement, an. Außerdem stellen wir Beratung im breiteren Kontext der Anforderungen zur Verfügung.
• Wir verfügen über entsprechend relevante Referenzen durch die bereits erfolgte Umsetzung von Anforderungen sowohl bei SIs (Significant Institutes) als auch bei einzelnen LSIs (Less-Significant-Institutes).
• Wir bereiten regelmäßig Banken auf von der BaFin angeordnete Prüfungen (nach Paragraf 44 KWG) vor und kennen daher typische Kritikpunkte und Feststellungen.
• Wir verfügen über eine am Markt etablierte Programmsteuerung und Qualitätssicherung für regulatorische Umsetzungen. 

Kontaktieren Sie uns gerne.