BaFin veröffentlicht Entwurf zu den neuen MaRisk 2021
BaFin veröffentlicht Entwurf zu den neuen MaRisk 2021. Die Überarbeitung mit den neuen MaRisk ist auf Änderungen der internationalen Regelsetzung zurückzuführen. Mit der aktuellen MaRisk-Novelle werden die folgende internationale Leitlinien in die deutsche Aufsichtspraxis umgesetzt:
- EBA Leitlinien zu notleidenden und gestundeten Risikopositionen (Guidelines on management of non-performing and forborne exposures – NPL Guidelines)
- EBA Leitlinien zu Auslagerungen (Guidelines on out-sourcing arrangements – Outsourcing Guidelines)
- EBA Leitlinien zu ICT Risk (Guidelines on ICT and Security Risk Management – ICT Guidelines)
BaFin veröffentlicht Entwurf zu den neuen MaRisk 2021
Mit der aktuellen MaRisk-Novelle werden die folgende internationale Leitlinien in die deutsche Aufsichtspraxis umgesetzt:
- EBA Leitlinien zu notleidenden und gestundeten Risikopositionen (Guidelines on management of non-performing and forborne exposures – NPL Guidelines)
- EBA Leitlinien zu Auslagerungen (Guidelines on out-sourcing arrangements – Outsourcing Guidelines)
- EBA Leitlinien zu ICT Risk (Guidelines on ICT and Security Risk Management – ICT Guidelines)
EBA Leitlinien zu notleidenden und gestundeten Risikopositionen
Die NPL Guidelines erfordern Anpassungen der MaRisk insbesondere in den Abschnitten AT 4.2 und BTO 1.2. Die Anforderungen der Abschnitte 4 (Strategie für notleidende Risikopositionen) und 5 (Governance für notleidende Risikopositionen) der NPL Guideline betreffen Institute mit einer Quote notleidender Kredite von 5% oder mehr.
Was sind High-NPL-Institute?
In den neuen MaRisk 2021 werden Finanzinstitute dann als High-NPL-Institute klassifiziert, wenn eine NPL Quote von 5 % und mehr überschritten wird. Diese Institute haben eine Strategie für notleidende Risikopositionen zu entwickeln, um einen zeitlich festgelegten Abbau der notleidenden Risikopositionen über einen realistischen, aber hinreichend ambitionierten Zeithorizont anzustreben.
High-NPL-Institute unterliegen höheren Anforderungen an die Ausgestaltung der Risikocontrolling-Funktion. Sie haben eine spezialisierte Abwicklungseinheit einzurichten und haben in den Risikoberichten eine gesonderte Darstellung von notleidenden und Forborne-Risikopositionen aufzunehmen.
Das Proportionalitätsprinzip gibt diesen Instituten die Möglichkeit die einzurichtende spezialisierte Abwicklungseinheiten nach der Größe, Art, Komplexität und dem Risikoprofil des Instituts einzurichten.
Welche Anforderungen müssen alle Institute mit den neuen MaRisk 2021 beachten?
Die Anforderungen der anderen geänderten Abschnitte richten sich an alle Institute. Neu sind die umfassenden Anforderungen zu Forbearance.
Was ist Forbearance?
Forbearance umfasst jede Art von Zugeständnissen, die zugunsten von Kreditnehmern aufgrund sich abzeichnender oder bereits eingetretener finanzieller Schwierigkeiten gemacht werden.
Kreditinstitute sollen solide Forbearance-Prozesse einrichten sowie eine Forbearance-Richtlinie entwickeln. Darüber hinaus werden Anforderungen zur Erfassung notleidender Risikopositionen (z. B. in robusten IT-Systemen), Wertminderungen und Abschreibungen (z. B. rechtzeitige Erfassung von Wertminderungen) zur Bewertung von Sicherheiten (z. B. Anforderungen an Wertgutachter) sowie zu Rettungserwerben präzisiert und ergänzt.
Verschärfte Anforderungen an das Outsourcing?
Detaillierte Anforderungen werden aus den EBA Outsourcing Guidelines in Abschnitt AT 9 umge-setzt. Die Änderungen betreffen den gesamten Auslagerungszyklus.
Diese neuen Anforderungen müssen Sie beachten:
So wurden Anforderungen
- zur Risikoanalyse und zur Bestimmung der Wesentlichkeit,
- zur Ausgestaltung des Auslagerungsvertrages sowie
- zur Steuerung und Überwachung der Risiken von Auslagerungsvereinbarungen
aufgenommen oder präzisiert.
Einführung eines zentralen Auslagerungsmanagements und eines zentralen Auslagerungsbeauftragten mit den neuen MaRisk 2021
Bei wesentlichen Auslagerungen im Auslagerungsvertrag sind neben Informations- und Prüfungs-rechten auch Zugangsrechte zu berücksichtigen. Um die zentrale Steuerung und Überwachung der Risiken von Auslagerungsvereinbarungen zu bündeln, soll jedes Institut, das Auslagerungen vornimmt, selbst einen zentralen Auslagerungsbeauftragten bestimmen.
Das zentrale Auslagerungsmanagement, das das Institut abhängig von Art, Umfang und Komplexität der Auslagerungsaktivitäten einzurichten hat, dient der Unterstützung des Auslagerungsbeauftragten.
Mit den neuen MaRisk 2021wird nunmehr auch die Möglichkeit eingeräumt, ein zentrales Auslagerungsmanagement auf Gruppen- bzw. Verbundebene einzurichten.
Als neue Dokumentationsanforderung ist vorgesehen, dass die Institute ein aktuelles Auslagerungsregister mit Informationen über alle Auslagerungsvereinbarungen vorzuhalten haben.
Was gilt bei der Auslagerung der besonderen Funktionen?
Es werden die Möglichkeiten hinsichtlich der vollständigen Auslagerung der besonderen Funktionen Risikocontrolling-Funktion, Compliance-Funktion und Interne Revision dahingehend erweitert, dass die vollständige Auslagerung nun auch auf Schwesterinstitute innerhalb einer Institutsgruppe möglich ist.
Diesen Funktionen wird als Steuerungs- und Kontrollinstrumente für die Geschäftsleitung weiterhin große Bedeutung beigemessen.
Neue Anforderungen an das Notfallmanagement
Aus den ICT Guidelines werden Anforderungen zum Notfallmanagement im neu gefassten Abschnitt AT 7.3 umgesetzt. Für alle im Rahmen einer durchzuführenden Auswirkungsanalyse identifizierten zeitkritischen Aktivitäten und Prozesse sind zunächst Risikoanalysen durchzuführen.
Im Notfallkonzept muss dargestellt sein, welche Ersatzlösungen im Notfall zeitnah zur Verfügung stehen und wie eine Rückkehr zum Normalbetrieb verlaufen soll. Hierzu macht die BaFin folgende Vorgaben:
- Übersicht über alle Aktivitäten und Prozesse (z. B. in Form einer Prozesslandkarte)
- Regelmäßige Überprüfung der Wirksamkeit und Angemessenheit des Notfallkonzeptes
Weitere Aktualisierungen aufgrund der Erfahrungen aus der Aufsichtspraxis
Aktualisierungen erfolgen zum Beispiel in den Bereichen
- operationelle Risiken (bessere Definition des Anwendungsbereiches),
- Handelsgeschäfte (Aufnahme von Kryptowerten in den Anwendungsbereich, Bestätigungsverfahren, Kontrolle der Marktgerechtigkeit),
- Liquidität (Unterscheidung zwischen institutionellen Anlegern aus der Finanzbranche und anderen professionellen Anlegern)
- Risikotragfähigkeit (Anpassung der MaRisk-Regelungen an den überarbeiteten Leitfaden) und
- Einführung des Begriffs des Informationsverbunds im AT 7.2 (wesentliche Bedeutung für die BAIT)