Neue MaRisk 2020 sind in Vorbereitung

Welche Änderungen sind mit den neuen MaRisk 2020 geplant? Neue MaRisk 2020 sind in Vorbereitung. Mit Protokoll zur Sitzung des Fachgremiums MaRisk am 27.09.2019 in Frankfurt gibt die Aufsicht einen Ausblick auf die nächste MaRisk‐Novelle. Im Fokus stehen die neue NPL-Leitlinie sowie die Strategie für notleidende Risikopositionen. Weitere Änderungen sind mit der Überarbeitung und Verschärfung der BAIT sowie neuer Anforderungen an das Notfallmanagement geplant. Mit S+P Inside erhalten Sie aktuelle Informationen zu

  1. Neue MaRisk 2020 in Vorbereitung
  2. Neue NPL-Leitlinien
  3. Strategie für notleidende Risikopositionen
  4. Verschärfung der BAIT
  5. Neue Anforderungen an das Notfallmanagement

 

Neue MaRisk 2020 sind in Vorbereitung

 

Neue MaRisk 2020 sind in Vorbereitung

Das sind die wichtigsten Änderungen der neuen MaRisk 2020 auf einen Blick:

  1. Neue MaRisk 2020 in Vorbereitung
  2. Neue NPL-Leitlinien
  3. Strategie für notleidende Risikopositionen
  4. Verschärfung der BAIT
  5. Neue Anforderungen an das Notfallmanagement

 

Neue NPL-Leitlinien + Neuer Schwellenwert von 5%

Mit Protokoll zur Sitzung des Fachgremiums MaRisk am 27.09.2019 in Frankfurt gibt die Aufsicht einen Ausblick auf die nächste MaRisk‐Novelle. Zur „Umsetzung“ führt die Aufsicht aus, dass die deutsche Aufsicht im Rahmen des „comply‐or‐explain‐Verfahrens“ der EBA ein „intend to comply“ bis Ende 2020 für diese Leitlinien erklärt hat. Ihre Umsetzung erfolgt im Rahmen der kommenden MaRisk‐Novelle. Somit ist eine verbindliche Anwendung der Anforderungen aus den NPL‐Leitlinien ab 01.01.2021 vorgesehen.

Die NPL‐Leitlinien  wurden am 31.10.2018 veröffentlicht. Die Leitlinien zielen insgesamt auf den wirksamen und nachhaltigen Abbau der Bestände als auch den begrenzten Zufluss notleidender Kredite. Somit beziehen sich die wesentlichen inhaltlichen Neuerungen auf die festzulegende Strategie für den Umgang mit notleidenden Krediten im Institut, als auch die Einbettung der Strategie in die Prozesse des Instituts auf allen Organisationsebenen.

Mit den neuen MaRisk 2020 wird der Anwendungsbereich der NPL‐Leitlinien wie folgt gestaltet:

  • Die NPL‐Leitlinien legen eine relative Schwelle fest, welche die Institute stichtagsbezogen ermitteln müssen. Erreicht oder überschreitet die Quote notleidender Kredite (NPL‐Quote) die Schwelle von 5 %, müssen die betroffenen Institute eine NPL‐Strategie implementieren. Die Berechnung der NPL‐Quote erfolgt durch Teilung des Bruttobuchwertes der notleidenden Kredite und  Darlehen durch den Bruttobuchwert der gesamten Darlehen und Kredite. Die Aufsicht führt aus, dass  63 Institute (4,24 % der deutschen Institute) zum 30.06.2019 (FINREP) NPL‐Quoten von 5 % oder mehr aufweisen.
  • Bei der Erläuterung der „Wesentlichen Neuerungen“ stellt die Aufsicht klar, dass die NPL‐Leitlinien von allen Instituten, die unter den Anwendungsbereich der MaRisk fallen, anzuwenden sein werden. Ein  Anpassungsbedarf der MaRisk entsteht aus den in den Abschnitten 4 und 5 der NPL‐Leitlinien formulierten Anforderungen, die für Institute mit einer NPL‐Quote von 5 % oder mehr einschlägig sind.

Einzelne Anforderungen können auch auf Kreditinstitute mit Portfolien angewendet werden, die einen großen Anteil von notleidenden Krediten in einem Portfolio halten, das Konzentrationen in einer geografischen Region oder in einem Wirtschaftssektor aufweist. Außerdem können die zuständigen Behörden gemäß Tz. 13 der NPL‐Leitlinien eine Anwendung der Abschnitte 4 und 5 verlangen, wenn sie Anzeichen einer Verschlechterung der Qualität der Vermögenswerte erkennen (z. B. erhöhte Zuflüsse notleidender Kredite oder geringe Deckungsquoten).

 

Begründung zu AT 2.1 Anwenderkreis

Anwenderkreis bei NPL-Quote von 5 % oder mehr 
Einige Anforderungen des Rundschreibens sind nur für Institute mit einer Quote notleidender Kredite (brutto) von 5 % oder mehr auf Einzelinstitutsebene oder teilkonsolidiert bzw. konsolidiert auf Gruppenebene zu beachten. Diese Anforderungen sind in den einzelnen Modulen entsprechend gekennzeichnet (im Folgenden: Institute mit hohem NPL-Bestand). Die Aufsichtsbehörde kann die Einhaltung dieser Abschnitte auch von Instituten verlangen, deren Quote notleidender Kredite die 5 %-Schwelle zwar nicht übersteigt, die aber z. B. einen großen Anteil an notleidenden Risikopositionen in einem einzelnen Portfolio aufweisen.

NPL-Quote (Quote notleidender Kredite)
Zur Berechnung der Quote notleidender Kredite wird der Bruttobuchwert der notleidenden Kredite und Darlehen durch den Bruttobuchwert der gesamten Darlehen und Kredite geteilt (in Übereinstimmung mit der NPE-Definition).

NPE (non-performing-exposures/ notleidende Risikopositionen)
Das Institut sollte eine NPE-Definition in Anlehnung an die Definitionen internationale Aufsichtsbehörden (z. B. EBA) vornehmen.

Risikoposition
Unter einer Risikoposition können u. a. Kredite, Schuldverschreibungen sowie widerrufliche und unwiderrufliche Kreditzusagen verstanden werden.

 

Strategie für notleidende Risikopositionen

Mit Protokoll zur Sitzung des Fachgremiums MaRisk am 27.09.2019 in Frankfurt gibt die Aufsicht einen Ausblick auf die nächste MaRisk‐Novelle. Die neue MaRisk 2020 fordern mit den NPL‐Leitlinien folgende wesentliche Neuerung: Die Implementierung einer Strategie für notleidende Risikopositionen für Institute mit signifikanten NPE‐Beständen. Laut der NPL‐Leitlinien sollen Institute dazu eine Vorstellung entwickeln, welche Bestände an notleidenden Risikopositionen – sowohl auf Portfoliobasis als auch insgesamt – langfristig vertretbar sind. Die Strategie sollte zudem durch einen vom Leitungsorgan definierten und genehmigten NPE‐Implementierungsplan ergänzt werden.

Der Implementierungsplan muss festlegen, wie die Strategie für notleidende Risikopositionen über einen Zeithorizont von mindestens 1 bis 3 Jahren umgesetzt wird. Zusätzlich sollen das operative Umfeld und die externen Bedingungen des Instituts analysiert werden. Darüber hinaus müssen bei Instituten mit einer NPL‐Quote von 5 % oder mehr alle NPE‐bezogenen Daten zentral in robusten und sicheren IT‐Systemen gespeichert werden.

Des Weiteren werden von der Aufsicht die Neuerungen in Abschnitt 6 der NPL‐Leitlinien angesprochen. Diese betreffen z. B. Stundungen von Kapitaldienst bei wirtschaftlichen Schwierigkeiten des Kreditnehmers. Hier werden eine Entwicklung einer Forbearance‐Richtlinie sowie eine Einrichtung solider Forbearance‐Prozesse als Anpassungsbedarf in den MaRisk gesehen. In den NPL‐Leitlinien werden auch explizite Anforderungen an die Auswahl von Sachverständigen für die Sicherheitenbewertung gestellt. Dies soll in den MaRisk ergänzt werden. Ein weiterer Punkt betrifft die Bewertung von Rettungserwerben, der in den NPL‐Leitlinien genannt wird.

Die Aufsicht führt aus, dass sie bei der Umsetzung mit Augenmaß vorgehen wird. So kann von einem kleinen Institut, das z. B. durch den Ausfall von zwei großen Kreditnehmern über den Schwellenwert rutscht, nicht erwartet werden, dass eine ausufernde Strategie entwickelt wird. In diesem Fall könnte sich die Aufsicht beispielsweise in den Aufsichtsgesprächen mit dem Institut darüber austauschen, wie mit diesen beiden Kreditnehmern umzugehen ist und wie die weitere Information der Aufsicht erfolgen kann.

Abschließend erklärt die Aufsicht, dass die grundlegenden Anforderungen der NPL‐Leitlinien im Bereich „Vergütung“ bereits in der InstitutsVergV umgesetzt sind. So enthält § 4 InstitutsVergV die Anforderung, dass die Vergütungsstrategien und die Vergütungssysteme auf die Erreichung der Ziele ausgerichtet sein müssen. Diese müssen in den Geschäfts‐ und Risikostrategien des jeweiligen Instituts niedergelegt sein. Die spezifischen Anforderungen für die Mitarbeiter in spezialisierten NPE‐Abwicklungseinheiten (Tz. 54 und Tz. 81 – 83) können im Wesentlichen unter die Paragraphen der InstitutsVergV subsumiert werden.

 

Welche Verschärfungen bringen die neuen BAIT 2020?

Die neuen BAIT 2020 gelten künftig nicht nur für alle Kreditinstitute und Finanzdienstleistungsinstitute, sondern auch für Zahlungsinstitute und E-Geld-Institute einschließlich der Institute im Sinne von § 53 Abs. 1 des Kreditwesengesetzes (KWG) bzw. § 42 des Zahlungsdiensteaufsichtsgesetzes (ZAG).

Die neuen BAIT 2020 gelten auch für die Zweigniederlassungen deutscher Institute im Ausland. Auf  Zweigniederlassungen von Unternehmen mit Sitz in einem anderen Staat des Europäischen Wirtschaftsraums nach § 53b KWG bzw. § 39 ZAG finden sie keine Anwendung. Soweit die neuen BAIT auf Bestimmungen der MaRisk verweisen, sind diese auch durch Zahlungsinstitute und E-Geld-Institute anzuwenden. Dasselbe gilt für die Anforderungen gemäß AT 4.4.3 i. V. m. BT 2.3 und BT 2.5 der MaRisk.

Die neuen BAIT 2020 führen zu folgenden 11 Verschärfungen und Neuerungen:

  1. Verschärfte Anforderungen an die IT Strategie
  2. Verschärfte Anforderungen an die Darstellung des Informationsverbunds
  3. Neue Prüfpflichten für das Informationsrisikomanagement
  4. Verschärfte Anforderungen an die Informationspflichten
  5. Verschärfte Anforderungen an die Pflichten von Geschäftsführer und Vorstände
  6. BaFin fordert eine Richtlinie über das Testen und Überprüfen der Maßnahmen zum Schutz der Informationssicherheit
  7. Verschärfte Anforderungen an das Schulungsprogramm zur Informationssicherheit
  8. Neue Anforderungen an das IT Notfallmanagement
  9. Spezielle Regelungen für Zahlungsdienstleister
  10. Verschärfte Anforderungen an die Organisation von IT-Projekten
  11. Neue Anforderungen mit dem Kapitel Operative IT-Sicherheit

Ausführliche Erläuterungen zu den neuen BAIT 2020 finden Sie in unserem Informationsblog: Welche Verschärfungen bringen die neuen BAIT 2020?

 

Neue Anforderungen an das Notfallmanagement + Neue MaRisk 2020 sind in Vorbereitung

Neue MaRisk 2020 sind in Vorbereitung: Künftig wird das Kapitel AT 7.3 in Notfallmanagement unbenannt.

Das Institut hat strategische Vorgaben zum Notfallmanagement zu definieren und hieraus abgeleitet einen Notfallmanagementprozess festzulegen. Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren.

Das Notfallkonzept ist anlassbezogen zu aktualisieren, jährlich auf Aktualität zu überprüfen und angemessen zu kommunizieren. Die Geschäftsleitung hat sich mindestens quartalsweise oder anlassbezogen über den Zustand des Notfallmanagements schriftlich berichten zu lassen.
Zeitkritisch sind grundsätzlich jene Aktivitäten und Prozesse, bei deren Beeinträchtigung ein hoher Schaden für das Institut zu erwarten ist.

Zur Identifikation von zeitkritischen Aktivitäten und Prozessen sowie von unterstützenden Aktivitäten und Prozessen, hierfür notwendigen IT-Systemen und sonstigen notwendigen Ressourcen führt das Institut Auswirkungsanalysen und Risikoanalysen durch. Als Basis hierfür dient eine Übersicht über alle Aktivitäten und Prozesse (z.B. in Form einer Prozesslandkarte).
In Auswirkungsanalysen (Business Impact Analysen) wird über verschiedene Zeiträume (z.B. nach 2 Stunden oder 5 Tagen) betrachtet, welche Folgen eine Beeinträchtigung von Aktivitäten und Prozessen für den Geschäftsbetrieb haben kann. Die neue MaRisk 2020 fordern, daß die Auswirkungsanalysen u.a. folgende Aspekte berücksichtigen sollen:

  • Art und Umfang des (im-)materiellen Schadens
  • Auswirkung des Zeitpunkts des Ausfalls auf den Schaden (z.B. Ausfall des Zahlungsverkehrs zu Hauptgeschäftszeiten)

In Risikoanalysen (Risk Impact Analysen) werden potentielle Gefährdungen identifiziert und bewertet, welche eine Beeinträchtigung der zeitkritischen Geschäftsprozesse verursachen können.

Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederanlaufpläne umfassen. Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Wiederanlaufpläne müssen innerhalb eines angemessenen Zeitraums die Rückkehr zum Normalbetrieb ermöglichen. Bei Notfällen ist eine angemessene interne und externe Kommunikation sicherzustellen. Im Fall der Auslagerung von zeitkritischen Aktivitäten und Prozessen haben das auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzepte zu verfügen.

Im Notfallkonzept werden Verantwortlichkeiten, Ziele und Maßnahmen zur Fortführung bzw. Wiederherstellung von zeitkritischen Aktivitäten und Prozessen bestimmt und Kriterien für die Einstufung sowie für das Auslösen der Pläne definiert.
Die neue MaRisk 2020 fordern, daß mindestens folgende Szenarien zu berücksichtigen sind:

  • (Teil-)Ausfall eines Standortes (z. B. durch Hochwasser, Großbrand, Gebietssperrung, Ausfall der Zutrittskontrolle)
  • Erheblicher Ausfall von Systemen oder Kommunikationsinfrastruktur (z. B. aufgrund von Fehlern oder Angriffen)
  • Ausfall einer kritischen Anzahl von Mitarbeitern (z. B. bei Pandemie, Lebensmittelvergiftung, Streik)
  • Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)

Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen. Für zeitkritische Aktivitäten und Prozesse ist sie für alle relevanten Szenarien mindestens jährlich nachzuweisen. Überprüfungen des Notfallkonzeptes sind zu protokollieren.
Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren. Risiken sind angemessen zu steuern. Die Ergebnisse sind den jeweiligen Verantwortlichen schriftlich mitzuteilen.
Die Häufigkeit und der Umfang der Überprüfungen soll sich grundsätzlich an der Gefährdungslage orientieren. Dienstleister sind angemessen einzubinden.
Die neue MaRisk 2020 fordern, daß die Überprüfungen folgendes beinhalten sollen:

  • Test der technischen Vorsorgemaßnahmen
  • Kommunikations-, Krisenstabs- und Alarmierungsübungen
  • Simulationen von Szenarien
  • Ernstfall- oder Vollübungen
Chaticon