Paradigmenwechsel

Mit der siebten MaRisk-Novelle läutet die BaFin mit der Art der Umsetzung von EBA-Leitlinien einen Paradigmenwechsel ein – Stichwort Verweistechnik. Gleichzeitig intensiviert der BVR den Dialog mit der Aufsicht, um weiterhin eine proportionale und prinzipienorientierte Umsetzung von EBA-Leitlinien zu erreichen. Denn immer mehr einzelfallorientiert ausgestaltete Regelungen bedeuten enorme Umsetzungsherausforderungen.

Am 29. Juni 2023 veröffentlichte die BaFin später als geplant die finale Fassung der siebten MaRisk-Novelle zur Konkretisierung ihrer neuen Anforderungen an das Risikomanagement der Institute. Vorausgegangen waren intensive Beratungen mit Vertretern der Kreditwirtschaft im gemeinsam von BaFin und Bundesbank geleiteten Fachgremium MaRisk und mündete in die im September 2022 vorgelegte Konsultationsfassung, an der sich der BVR über die Deutsche Kreditwirtschaft und zusätzlich mit dem DSGV über eine Verbändestellungnahme beteiligte.

Wesentlicher Treiber der aktuellen Novellierung waren neben Erfahrungen aus der aufsichtlichen Prüfungs- und Verwaltungspraxis die Umsetzung der EBA-Leitlinien für die Kreditvergabe und Überwachung in nationales Recht sowie die Integration von Nachhaltigkeitsrisiken. Hier stand insbesondere das BaFin-Merkblatt zum Umgang mit Nachhaltigkeitsrisiken aus Dezember 2019 Pate, aber auch die erwähnten EBA-Leitlinien für die Kreditvergabe und Überwachung. Diese stellen sozusagen das Herzstück der Novellierung dar.

Verweistechnik hält flächendeckend Einzug

Zur Transformation dieser sehr detaillierten Regelungen der EBA-Leitlinien für die Kreditvergabe und Überwachung in die nationale Aufsichtspraxis setzt die BaFin verstärkt auf eine so genannte Verweistechnik, mit der im MaRisk-Text direkt auf Passagen aus den EBA-Leitlinien für die Kreditvergabe und Überwachung referenziert wird. Damit leitet die BaFin im Vergleich zu den bisherigen MaRisk-Novellen einen historischen Paradigmenwechsel ein.

Hatte die Aufsicht bei den EBA-Leitlinien zu Auslagerungen oder zum Management von notleidenden und gestundeten Risikopositionen noch eine prinzipienorientierte Umsetzung vorgenommen und nur vereinzelt auf die Leitlinien referenziert, so bricht sie mit der aktuellen Novelle die geschlossene Struktur der MaRisk auf, indem durch umfangreiche Verweise eine 1:1-Umsetzung mehrseitiger Passagen der EBA-Leitlinien für Kreditvergabe und Überwachung erfolgt und damit kleinteilige und einzelfallorientierte Regelungen in die MaRisk Einzug erhalten.

Allerdings konnte diese neue aufsichtliche Vorgehensweise durch eine intensive Interessenvertretung von BVR und DSGV abgemildert werden. Sah der Konsultationsentwurf der MaRisk noch eine höchst umfangreiche Verweistechnik vor, so konnte der BVR gemeinsam mit dem DSGV in einer eigenen Verbändestellungnahme und in intensiven Diskussionen mit der Aufsicht im Fachgremium MaRisk und nachgelagerten Workshops eine Reduktion der Anzahl von Querverweisen auf die EBA-Leitlinien gegenüber der finalen Fassung der MaRisk erwirken.

Diese Verbändestellungnahme war zudem Ausgangslage für weitere Gespräche mit der Aufsicht, wie die EBA-Leitlinien für die Kreditvergabe und Überwachung proportional in den MaRisk umgesetzt werden können. So legte der BVR nach internen Beratungen mit den Regional- und Spartenverbänden der Aufsicht einen Entwurf der MaRisk vor, der mit deutlich weniger Verweisen auskam und dafür mehr Öffnungsklauseln enthielt. Auch wenn die BaFin nur Teile dieses Entwurfs übernommen hat, konnte der BVR schließlich Öffnungsklauseln erreichen, beispielsweise Erleichterungen im kleinteiligen, nichtrisikorelevanten Kreditgeschäft. Zudem wurde betont, dass Spielräume in der Proportionalität sowohl im Ermessen (des Proportionalitätsbegriffs) der EBA-Leitlinien als auch im Ermessen der MaRisk ausgeübt werden können.

Für das nichtrisikorelevante Kreditgeschäft bedeutet dies, dass Banken zum Beispiel bei unbesicherten Verbraucherkrediten und Krediten an Kleinst- und Kleinunternehmen von Sensitivitätsanalysen absehen können und die Kreditwürdigkeitsprüfung mittels vereinfachter Verfahren durchgeführt werden kann.

Überblick der Neuerungen

Die neuen Anforderungen können in vier inhaltliche Themenbereiche unterteilt werden:

• Anforderungen an die Kreditvergabe und Überwachung, die hauptsächlich in BTO 1 „Kreditgeschäft“ und insbesondere in den Abschnitten zu den Anforderungen an die Prozesse im Kreditgeschäft (BTO 1.2) und Anforderungen an die Verfahren zur Früherkennung von Risiken (BTO 1.3) umgesetzt werden (siehe Artikel auf Seite 28),
• Anforderungen an Nachhaltigkeitsrisiken – von der strategischen Umsetzung bis hin zur Integration in die Risikosteuerung –, die sich durch die gesamten MaRisk ziehen (siehe Artikel auf Seite 34),
• Anforderungen an das Risikomanagement von Immobiliengeschäften im Eigenbestand (BTO 3 „Immobiliengeschäft“; siehe Artikel auf Seite 40) und
• Anforderungen an die Verwendung von Modellen (AT 4.3.5) (siehe Artikel auf Seite 42).

Hinzu kommen weitere neue Anforderungen, wie Vorgaben an die Geschäftsmodellanalyse, die aus der Ausweitung der ICAAP-Anforderungen und Anforderungen aus den SREP-Leitlinien resultieren, Anforderungen zu Handelsgeschäften im Homeoffice und zum Umgang mit pauschalen Emittentenlimiten sowie Verfahren zur Überwachung der Risikokultur.

Der BVR hat bereits zu Jahresbeginn 2023 ein verbundweites Projekt zur Umsetzung der MaRisk-Anforderungen und Aktualisierung des BVR MaRisk-Leitfadens initiiert, an dem neben Vertretern der Mitgliedsbanken alle Regional- und Spartenverbände, DGRV, Atruvia, parcIT und DZ Bank beteiligt waren. Hierzu wurden vier Arbeitskreise gegründet, jeweils einer zu jedem der oben genannten Themen. Die Verbundinterpretationen, Handlungsbedarfe und Unterstützungsmöglichkeiten zu den weiteren Themen wurden dann im Rahmen von Projektsitzungen erörtert.

Anforderungen an die Kreditvergabe und Überwachung

Mit diesen Anforderungen setzt die Aufsicht konkrete Vorgaben aus den entsprechenden EBA-Leitlinien um. Ziel: Zukünftigen notleidenden und gestundeten Risikopositionen durch umsichtige Kreditvergabestandards und Governance-Regelungen vorzubeugen unter der Nebenbedingung, dass die Regelungen im Einklang mit dem Verbraucherschutz stehen.

Die Anforderungen umfassen dabei den gesamten Kreditlebenszyklus von der Festlegung der Kreditrisikostrategie, Risikoappetit und Risikokultur über die Kreditvergabestandards und die risikoadjustierte Bepreisung bis hin zu Anforderungen an die Immobilienbewertung und Kreditüberwachung inklusive Frühwarnindikatoren.

Zwar existierten in den MaRisk bisher schon Prinzipien zur Kreditvergabe und Überwachung. Diese werden jedoch nun durch detaillierte und differenzierte Regelungen – beispielsweise zur Kundensegmentierung und durch erweiterte Vorgaben zur Kreditwürdigkeitsprüfung und umfangreiche Sensitivitätsanalysen zur Kreditüberwachung – ergänzt. Zudem werden weitere Anforderungen an die IT- und Dateninfrastruktur gestellt, wie das Vorhalten von Daten, die in die Prozesse und IT-Systeme integriert werden müssen. Allerdings hat die Ba-Fin gemäß den Wünschen der Kreditwirtschaft Ausnahmemöglichkeiten aufgenommen, wie für die Durchführung von Sensitivitätsanalysen bei Krediten an Klein- und Kleinstunternehmen im nichtrisikorelevanten Kreditgeschäft.

Anforderungen an Nachhaltigkeitsrisiken

Quer durch die gesamten MaRisk ziehen sich die Anforderungen an den Umgang mit Nachhaltigkeitsrisiken, die als Risikotreiber oder Risikofaktoren auf die einzelnen Risikoarten wirken. Wesentliche Leitplanken zur Integration von Nachhaltigkeitsrisiken in die MaRisk wurden bereits mit dem BaFin-Merkblatt zum Umgang mit Nachhaltigkeitsrisiken gesetzt und nun in die MaRisk transferiert.

Wichtige Neuerungen in diesem Kontext sind die Beurteilung der Auswirkungen von Nachhaltigkeitsrisiken unter Zugrundelegung von Szenarien, „die im Einklang mit wissenschaftlichen Erkenntnissen stehen“ (AT 2.2 MaRisk), die Berücksichtigung von Nachhaltigkeitsrisiken bei der Sicherstellung der Einhaltung der Risikotragfähigkeit, die Erweiterung des Stresstestprogramms um Nachhaltigkeitsrisiken sowie die Integration von Nachhaltigkeitsrisiken in die Risikoberichterstattung.

Hervorzuheben ist, dass die Aufsicht bereits einige Anforderungen an die Berücksichtigung von Nachhaltigkeitsrisiken in den MaRisk lediglich als Klarstellung ansieht, wie die Einbeziehung von Nachhaltigkeitsrisiken in die Geschäfts- und Risikostrategie, weil diese Risiken als „wesentliche Risiken“ bereits bisher schon berücksichtigt werden mussten. Die Institute müssen daher diese Regelungen bereits aktuell anwenden.

Immobilien verstärkt im Blick der Aufsicht

Mit dem neuen Modul BTO 3 wird ein Schwerpunkt aus 44er-Prüfungen – also aus Erfahrungen der Prüfungs- und Verwaltungspraxis – in die MaRisk aufgenommen. Im Rahmen der jüngsten Niedrigzinsphase hatten viele Kreditinstitute Immobilien im Eigenbestand als Renditeobjekte gekauft und verwaltet oder vermarktet. Nun zieht die BaFin hier Anforderungen ein, die weitgehend identisch mit den Vorgaben für das Kreditgeschäft sind, zum Beispiel eine klare Funktionstrennung bis zur Ebene der Geschäftsleitung, jährliche Berichterstattung inklusive Wertüberprüfung sowie Integration in die Risikomanagementprozesse.

Die Anforderungen beziehen sich auf im Eigenbestand gehaltene Immobilien als Renditeobjekte. Selbstgenutzte Immobilien (beispielsweise auf Filialen entfallene Geschäftsräume) und Immobilienfonds sind vom Anwendungsbereich ausgeschlossen. Dies gilt aber nur, wenn die Buchwerte dieser Immobiliengeschäfte weder 30 Millionen Euro noch 2 Prozent der Bilanzsumme übersteigen.

Anforderungen an die Verwendung von Modellen

Durch das neue Modul AT 4.3.5 „Modelle“ setzt die BaFin wiederum Anforderungen aus den EBA-Leitlinien für die Kreditvergabe und Überwachung um – im Hinblick auf Modelle für die Kreditvergabe und für die Kreditwürdigkeitsprüfung sowie für Kreditentscheidungen –, geht aber auch über den Anwendungsbereich der EBA-Leitlinien hinaus, um bewusst eine bis dahin existierende Regelungslücke zu schließen.

Die Modellanforderungen umfassen nun Dokumentations-, Validierungs- und Transparenzanforderungen aller für die Entscheidungsfindung der Bank relevanten bankinternen Modelle. Zudem gibt die Aufsicht erstmals eine Definition für den Begriff „Modell“ vor, den sie zur Abgrenzung zur Kapitaladäquanzverordnung (CRR) ausschließlich auf im Risikomanagement verwendete Modelle bezieht. Auch hier stehen Verbundlösungen parat, auf die im BVR-MaRisk-Leitfaden verwiesen wird. Sofern die Bank eigene Modelle nutzt, muss das Institut die Überprüfung und Eignung der Modelle selbst sicherstellen.

Weitere Anforderungen

Mit den Vorgaben zur Geschäftsmodellanalyse werden Anforderungen aus den SREP-Leitlinien umgesetzt. Ein Institut soll „beurteilen, ob sich das eigene Geschäftsmodell über einen angemessen langen, mehrjährigen Zeitraum aufrechterhalten lässt.“ (AT 4.2 Tz. 1 MaRisk). Hieraus leiten sich weitere Anforderungen an die Abstimmung der Kapitalplanung auf die operative Geschäftsplanung und das Geschäftsmodell ab. Zudem wird die Berichterstattung zur Geschäftslage erweitert (AT 4.3.2 Tz. 3).

Im Zuge der Coronapandemie wurde es den Instituten ermöglicht, Handelsgeschäfte im Homeoffice zu tätigen, obwohl die MaRisk bisher davon ausgingen, dass Handelsgeschäfte in den Handelsräumen vor Ort abgeschlossen werden müssen. In diesem Kontext sind die Neuregelungen zu verstehen, wonach Handelsgeschäfte nun auch an häuslichen Arbeitsplätzen durchgeführt werden dürfen, sofern sich stets eine ausreichende Anzahl Händler in den Geschäftsräumen vor Ort und am häuslichen Arbeitsplatz befindet Dieser häusliche Arbeitsplatz muss sich an einem festgelegten und vereinbarten Standort befinden. Darüber hinaus müssen die Einhaltung interner Vorgaben sowie die Vertraulichkeit der Geschäftsabschlüsse und die Stabilität der Abwicklungs- und Bestätigungssysteme gewährleistet sein (BTO 2.2.1 Tz. 3).

Schließlich wurden die bisherigen Anforderungen an die Risikokultur im Zuge der Umsetzung der EBA-Leitlinien für die Kreditvergabe und Überwachung erweitert. Institute müssen nun Verfahren einrichten, mit denen sie überwachen, ob die Mitarbeiter sich an die Risikokultur halten. Die Überwachung kann beispielsweise durch „Selbstbewertungen der Mitarbeiter“ erfolgen (AT 3 Tz. 1 MaRisk).

Umsetzungsfristen beachten

Die Aufsicht räumt den Instituten für Neuerungen eine Umsetzungsfrist bis zum 1. Januar 2024 ein. Als Neuerungen zu verstehen sind dabei die neuen Anforderungen aus der Umsetzung der EBA-Leitlinien für die Kreditvergabe und Überwachung, die Regelungen des neuen Moduls AT 4.3.5 „Modelle“, die Anforderungen an das Modul BTO 3 „Immobiliengeschäft“ und Anforderungen zu Nachhaltigkeitsrisiken, sofern sie nicht klarstellend aufgrund bisheriger Anforderungen an das Management wesentlicher Risiken sind.

Klarstellungen gelten sofort mit Inkrafttreten der MaRisk-Novelle. Als Klarstellung sieht die Aufsicht insbesondere die Regelungen zur Geschäftsmodellanalyse und den überwiegenden Teil der Anforderungen an das Management von Nachhaltigkeitsrisiken. Die Anforderungen an den Handel im Homeoffice gelten ebenfalls ab sofort, weil sie Erleichterungen für die Institute darstellen.

Als Unterstützungsleistung zur Umsetzung der neuen MaRisk-Novellierung stellt der BVR seinen Mitgliedsinstituten den bewährten MaRisk-Leitfaden zur Verfügung, der umfassend auf Verbundebene überarbeitet wurde. Ergänzend zum MaRisk-Leitfaden wurde zudem eine separate Anlage erstellt, wie mit Verweisen auf die EBA-Leitlinien für die Kreditvergabe und Überwachung umzugehen ist (beide Dokumente im BVR-Extranet unter Steuerung ► Regulatorik Risikomanagement ► Mindestanforderungen an das Risikomanagement – Ma-Risk ► MaRisk-Leitfaden [Version 8.0, Stand 28. September 2023] inklusive Anlage). Der DGRV hat außerdem einen separaten Leitfaden für die Kreditwürdigkeitsprüfung erarbeitet, der ebenfalls im BVR-Extranet zur Verfügung steht (unter Steuerung ► Regulatorik Risikomanagement ► Mindestanforderungen an das Risikomanagement – MaRisk ► Kreditwürdigkeitsprüfung).