Am 16. August 2021 hat die BaFin die 6. Novelle ihrer Mindestanforderungen an das Risikomanagement der Banken (MaRisk) veröffentlicht. Darin hat sie insbesondere die Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA) zu notleidenden und gestundeten Risikopositionen sowie zu Auslagerungen um-gesetzt. Daneben wurden auch einzelne Anforderungen aus den EBA-Leitlinien zum Management von IKT- und Sicherheitsrisiken einbezogen (IKT = Informations- und Kommunikationstechnologie).

Umgang mit notleidenden Krediten

Die Anforderungen der Leitlinien zu notleidenden Krediten (Non-performing Loans – NPL) betreffen insbesondere Institute mit einer Quote notleidender Kredite von fünf Prozent oder mehr, entweder im einzelnen Institut oder auf Gruppenebene. Diese müssen bereits für das Jahr 2022 eine Strategie entwickeln, um die notleidenden Risikopositionen über einen realistischen, aber hinreichend ambitionierten Zeithorizont abzubauen.

Institute mit hohem NPL-Bestand unterliegen höheren Anforderungen an die Ausgestaltung der Risikocontrolling-Funktion, haben eine spezialisierte Abwicklungseinheit einzurichten und in den Risikoberichten gesondert über notleidende Risikopositionen zu berichten. Die erhöhten Anforderungen gelten, sobald ein Institut die NPL-Quote an zwei aufeinanderfolgenden Quartalsstichtagen überschreitet.

An alle Institute richten sich die neuen Anforderungen zur Forbearance. Darunter fällt jede Art von Zugeständnissen, die Institute ihren Kreditnehmern aufgrund finanzieller Schwierigkeiten machen. Kreditinstitute müssen künftig solide Forbearance-Prozesse einrichten sowie eine Forbearance-Richtlinie entwickeln.

Auslagerungen

Ebenso detailliert sind die Anforderungen aus den Leitlinien zur Auslagerung, die die neuen MaRisk umsetzen. Die Änderungen, die sich im Abschnitt AT 9 finden, betreffen den gesamten Auslagerungszyklus von der Risikoanalyse über die Ausgestaltung des Auslagerungsvertrags bis hin zur Steuerung und Überwachung der Risiken der Auslagerung.

So sollen die Institute bei wesentlichen Auslagerungen im Auslagerungsvertrag neben Informations- und Prüfungsrechten auch die Rechte berücksichtigen, die für den Zutritt, Zugang oder Zugriff erforderlich sind. Um die Steuerung und Überwachung der Risiken aus Auslagerungen zentral zu bündeln, soll jedes Institut, das Auslagerungen vornimmt, einen Auslagerungsbeauftragten bestimmen. Bei umfangreichen oder komplexen Auslagerungsaktivitäten muss dieser durch ein zentrales Auslagerungsmanagement unterstützt werden. Dieses kann auch auf Ebene der Gruppe bzw. des Verbunds eingerichtet werden.

Die Novelle sieht vor, dass die Institute ein Auslagerungsregister mit Informationen über alle Auslagerungsvereinbarungen vorhalten und laufend aktualisieren müssen. Welche Parameter in diesem Register konkret zu erfassen sind, ist in den Nummern 54 und 55 der EBA-Leitlinien zu Auslagerungen festgelegt.

IKT-Risiken

Aus den Leitlinien für das Management von IKT-Risiken setzen die MaRisk im neu gefassten Abschnitt AT 7.3 Anforderungen an das Notfallmanagement um. Für zeitkritische Aktivitäten und Prozesse sind zunächst Risikoanalysen durchzuführen. Im Notfallkonzept müssen Ersatzlösungen für den Notfall und ein Pfad für die Rückkehr zum Normalbetrieb dargestellt sein. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse, zum Beispiel in Form einer Prozesslandkarte.

Änderungen aus der Aufsichtspraxis

Darüber hinaus hat die BaFin Änderungen an den MaRisk vorgenommen, die aus der Aufsichtspraxis heraus notwendig wurden. Im Einklang mit der Aufsichtspraxis der Europäischen Zentralbank (EZB) gelten etwa bestimmte erhöhte Anforderungen zum Datenmanagement und der Aggregation von Risikodaten (AT 4.3.4) jetzt nicht mehr nur für die systemrelevanten, sondern für alle bedeutenden Institute.

Auch die Regeln zu Handelsgeschäften, Liquidität und Risikotragfähigkeit hat die BaFin aktualisiert. Die Vorgaben zu Handelsgeschäften gelten nun auch für Kryptowerte. Zudem haben die Institute neue Anforderungen an das Bestätigungsverfahren und die Kontrolle der Marktgerechtigkeit einzuhalten. Bei der Liquidität haben sie künftig zwischen institutionellen Anlegern aus der Finanzbranche und anderen professionellen Anlegern zu unterscheiden. Hinsichtlich der Risikotragfähigkeit wurden die MaRisk-Regelungen an den überarbeiteten Leitfaden Risikotragfähigkeit angepasst.

Übergangsfristen

Die neue Fassung der MaRisk ist mit Veröffentlichung am 16. August in Kraft getreten. Unmittelbar anwenden müssen die Institute aber nur die Konkretisierungen.

Für die Implementierung der Änderungen, die neue Anforderungen mit sich bringen, gilt eine Übergangsfrist bis zum 31. Dezember 2021. Bereits bestehende oder ausgehandelte Auslagerungsverträge müssen die Institute erst bis Ende 2022 anpassen.