Mit der 6. MaRisk-Novelle, veröffentlicht am 16.08.2021, hat die BaFin gleich drei EBA-Guidelines umgesetzt. Dabei wurden allerdings keine neuen Regelungsinhalte aufgenommen, sondern bereits bestehende konkretisiert. Zur Umsetzung ggf. notwendiger Anpassungen gibt es Übergangsfristen, die aus dem Übersendungsschreiben der BaFin hervorgehen. Hier die wesentlichen Inhalte kurz zusammengefasst:
Kreditrisiko
Entsprechend EBA/GL/2018/06 müssen High-NPL-Institute, also Institute mit einer NPL-Quote über 5 Prozent am gesamten Kreditportfolio, eine Strategie für den zeitnahen Abbau notleidender Risikopositionen (non-performing exposures, kurz NPE) entwickeln. Zur Überwachung des NPE werden key performance indicators herangezogen, die der Aufsicht Aufschluss darüber geben sollen, ob die neu einzurichtenden NPE-Work-out-Units das Kreditportfolio tatsächlich bereinigen. Neben den non-performing loans (NPL) sind endfällige Darlehen zukünftig auch während der Laufzeit auf ihr Adressenausfallrisiko hin zu untersuchen. Auch die Risikovorsorge (EWB und PWB) wird zukünftig häufiger zu beurteilen sein. Völlig neu ist der Abschnitt BTO 1.3.2 „Behandlung von Forbearance“. Bei Forbearance handelt es sich um Zugeständnisse an Kreditnehmer, die diese vor der Zahlungsunfähigkeit bewahren sollen. Damit auch hier ein echter Abbau von NPL-Anteilen am Kreditportfolio stattfindet und nicht bloß eine Maskierung, sind zukünftig Forbearance-Prozesse und Leitlinien zu etablieren, die zu einem tragfähigen Nicht-NPL-Status der betroffenen Positionen führen.
Auslagerungsrisiken
Als zweites erfahren Auslagerungen, wie in der EBA-Guideline EBA/GL/2019/02 angestoßen, Ergänzungen und Präzisierungen. So wird bei Auslagerungen zukünftig eine Risikoanalyse notwendig sein, die insbesondere auch auf Risikokonzentrationen eingeht. Auch der Auslagerungsvertrag wurde um weitere Anforderungen, wie beispielsweise Beginn- und Enddatum, erweitert. Außerdem werden Grenzen der Auslagerung definiert, sodass Institute nicht in eine leere Hülle verwandelt werden können.
Notfallmanagement bei IKT
Schließlich werden zusätzliche Anforderungen an das Notfallmanagement der Informations- und Kommunikationstechnologie (kurz IKT) gestellt (vgl. EBA/GL/2019/04). Es ist ein Notfallmanagementprozess zu implementieren, der vorab gesteckte Ziele erfüllt. Zeitkritische Aktivitäten und Prozesse sind zu identifizieren, deren Ausbleiben zu inakzeptablen Schäden führen würde. Neben den Anpassungen der MaRisk wurde auch eine Neufassung der Bankaufsichtlichen Anforderungen an die IT (kurz BAIT) veröffentlicht, die ebenjene Konkretisierungen in den MaRisk aufgreift.
NEU: IT-Risiken bei Zahlungs- und E-Geldinstituten
Daneben hat die BaFin ebenfalls am 16. August ihr neues Rundschreiben Zahlungsdiensteaufsichtliche Anforderungen an die IT, kurz ZAIT, veröffentlicht. Darin erläutert die Aufsicht, welche Anforderungen an eine ordnungsgemäße Geschäftsführung Zahlungs- und E-Geld-Institute mit Blick auf den Einsatz von Informationstechnik und Cybersicherheit beachten müssen. Das Rundschreiben orientiert sich sehr eng an den MaRisk und den BAIT. Es beinhaltet insbesondere die Anforderungen aus den oben genannten Guidelines der Europäischen Bankenaufsichtsbehörde EBA für das Management von IKT- und Sicherheitsrisiken sowie Auslagerungen.
Wenn Sie Fragen zu den neuen Anforderungen der Bankenaufsicht haben oder kompetente Unterstützung für die entsprechenden Umsetzungsprojekte suchen, zögern Sie nicht, uns zu kontaktieren. Wir freuen uns auf Sie.
Ihre Ansprechpartner in der proresult Unternehmensberatung AG
Christopher Klein
christopher.klein@proresult.de
+49 (0)173 6998 471