BaFin veröffentlicht siebte Novelle ihres Rundschreibens zu den Mindestanforderungen an das Risikomanagement (MaRisk)
Die Bundesanstalt für Finanzdienstleistungen (BaFin) hat am 29. Juni 2023 die siebte Novelle ihres Rundschreibens „Mindestanforderungen an das Risikomanagement (MaRisk)“ (im Folgenden MaRisk 2023) veröffentlicht (BaFin - Aktuelles - BaFin veröffentlicht 7. MaRisk-Novelle). Vorausgegangen war eine im September 2022 eröffnete Konsultation zur Entwurfsfassung, in deren Rahmen finanzwirtschaftlichen Verbänden Gelegenheit zur Stellungnahme gegeben wurde. Die finale Version der Novelle weicht allerdings nur in Details – und zumeist lediglich klarstellend – von der Konsultationsfassung ab.
Die neuerliche Überarbeitung der MaRisk nach der erst im August 2021 veröffentlichten 6. MaRisk-Novelle macht deutlich, dass sich die Vorgaben an das Risikomanagement von Banken und Finanzdienstleistungsinstituten im steten Wandel befinden. Während die letzte Überarbeitung insbesondere die Themenkomplexe Outsourcing (Outsourcing im Finanzsektor, noerr.com) und notleidende bzw. gestundete Risikopositionen betraf, liegt der Fokus der neuerlichen Änderungen auf der Übernahme der Vorgaben der EBA-Leitlinien für die Kreditvergabe und Überwachung, der verbindlichen Berücksichtigung von Risiken aus dem Bereichen ESG (Environmental, Social and Governance – Umwelt, Soziales und Unternehmensführung) im Risikomanagement sowie der Regulierung von Risiken aus dem Immobiliengeschäft. Daneben sieht die Novelle spezifische Anforderungen an im Risikomanagement verwendete Geschäftsmodellanalysen, die Durchführung von Handelstätigkeit aus dem Homeoffice heraus sowie vereinzelte Regelungen für bedeutende Förderbanken vor.
Die MaRisk 2023 sind im Hinblick auf die Anforderungen, bei denen die BaFin lediglich von einer Konkretisierung bereits bestehender Vorgaben ausgeht, sofort anwendbar, im Übrigen nach einer kurzen Übergangsfrist ab dem 1. Januar 2024.
Übernahme der EBA-Leitlinien für die Kreditvergabe und Überwachung
Einer der Kernpunkte des MaRisk 2023 ist die Überführung der Detailvorgaben der EBA-Leitlinien für die Kreditvergabe und Überwachung – EBA/GL/2020/06 (kurz: EBA-Leitlinien) in den Regelungsbereich der MaRisk. Zwar wurde den in den EBA-Leitlinien enthaltenen Anforderungen an Kreditvergabe und -überwachung bereits durch die MaRisk in ihrer bisherigen Fassung teilweise Rechnung getragen, doch sehen die EBA-Leitlinien zum Teil auch sehr viel detailliertere Vorgaben vor, die bisher noch nicht oder nicht ausreichend in den MaRisk reflektiert wurden.
Zur Umsetzung der EBA-Leitlinien bedient sich die BaFin im Wesentlichen zwei verschiedener Regelungstechniken:
- Für den Fall, dass die bisherige Fassung der MaRisk die Vorgaben der EBA-Leitlinien bereits überwiegend abgebildet hat, werden Passagen des Textes der MaRisk oder – bei bloßen Klarstellungen – der Erläuterung zu einem Abschnitt der MaRisk so ergänzt, dass die Inhalte der EBA-Leitlinien nunmehr vollumfänglich abgebildet werden.
- Sofern die EBA-Leitlinien detailliert ausformulierte Anforderungen aufstellen, die nicht in der bisherigen Fassung der MaRisk enthalten waren, erfolgt ein Verweis auf den entsprechenden Abschnitt der EBA-Leitlinien. Die in Bezug genommenen Regelungen der EBA-Leitlinien sind gemäß Abschnitt 2 Tz. 16 lit. a–d EBA-Leitlinien nach dem Grundsatz der Verhältnismäßigkeit anzuwenden (vgl. Erläuterungen zu AT 1 Tz. 3 MaRisk 2023). Der Proportionalitätsgrundsatz bezieht sich hiernach nicht nur auf Größe, Art und Komplexität des kreditgebenden Instituts selbst, sondern auch auf Umfang, Art und Komplexität der Kreditfazilität.
Im Wesentlichen werden die folgenden Inhalte der EBA-Leitlinien in den MaRisk 2023 umgesetzt:
- Interne Governance für Kreditvergabe und Überwachung (Abschnitt 4 EBA-Leitlinien): Dieser Abschnitt befasst sich schwerpunktmäßig mit den Themen Management von Kreditrisiken, Risikokultur, Risikoappetit, Risikostrategie und Risikolimitierung, jeweils in Bezug auf Kreditrisiken und Kreditentscheidungsprozesse, die in der bisherigen Fassung der MaRisk tendenziell umfangreich behandelt wurden. Die Umsetzung erfolgt daher weitgehend durch punktuelle Ergänzungen z.B. in den Erläuterungen zu AT 3 Tz. 1 und AT 4.2 Tz. 1 und 2 MaRisk 2023. So wird beispielsweise ergänzend eine Rechenschaftspflicht der Mitarbeiter für ihr Risikoverhalten, die Einrichtung von Kontrollverfahren hinsichtlich der Einhaltung der Risikokultur durch die Mitarbeiter sowie Vorgaben für die frühzeitige Durchführung geeigneter Maßnahmen bei festgestellten Mängeln als Merkmal einer angemessenen Risikokultur definiert. Mit Blick auf die Strategien für das Management von Kreditrisiken übernimmt die Aufsicht in den Erläuterungen zu BTO 1.2 Tz. 1 längere Passagen aus den EBA-Leitlinien zu den Anforderungen an Kreditvergabeprozesse nahezu wörtlich, während in der Konsultationsfassung noch die Verweistechnik genutzt wurde.
- Kreditentscheidungen (Abschnitt 4.4.1 der EBA-Leitlinien): Auch mit Blick auf Kreditentscheidungen werden die entsprechenden Anforderungen der EBA-Leitlinien im Wesentlichen durch umfangreiche Übertragung des Regelungstextes (anders noch in der Konsultationsfassung) in die Erläuterungen zu BTO 1.1 Tz. 6 in die MaRisk überführt.
- Verfahren zur Kreditvergabe (Abschnitt 5 EBA-Leitlinien): Hier erfolgt die Umsetzung insbesondere durch Verweisungstechnik in den Erläuterungen zu BTO 1.2.1 Tz. 1 MaRisk 2023 auf die EBA-Leitlinien, da die Differenzierung in diesem Abschnitt der EBA-Leitlinien nach Kreditnehmern, Kreditprodukten sowie Finanzierungsgegenständen nicht recht in die eher prozessorientierte Systematik der MaRisk passt.
- Vorgaben für die (risikobasierte) Bepreisung von Krediten (Abschnitt 6 EBA-Leitlinien): Die inhaltlich weitgehend von der bisherigen Fassung der MaRisk abgedeckten Vorgaben werden in BTO 1.2 Tz. 7 MaRisk 2023 und der entsprechenden Erläuterung wiederum durch z.T. wörtliche Übernahme (anders noch in der Konsultationsfassung) entsprechender Passagen der EBA-Leitlinien spezifiziert.
- Anforderungen an die Bewertung von Immobilien und beweglichen Vermögenswerten (Abschnitt 7 EBA-Leitlinien): Die Umsetzung erfolgt insbesondere in den Erläuterungen zu BTO 1.2 Tz. 2 und 3, BTO 1.2.1 Tz. 2 und BTO 1.2.2 Tz. 3 MaRisk 2023, wobei die spezifischen Anforderungen an sogenannte fortgeschrittene statistische Bewertungsmodelle zur Bewertung, Neubewertung und Überwachung der Werte von Sicherheiten aus den EBA-Leitlinien in BT 1.2.1 Tz. 2 MaRisk 2023 größtenteils wörtlich übernommen werden.
- Überwachungssysteme (Abschnitt 8 EBA-Leitlinien): Hier erfolgt die Umsetzung in der Erläuterung zu AT 4.3.2 Tz. 1 MaRisk 2023 mittels eines Verweises auf die EBA-Leitlinien.
Zudem wird mit AT 4.3.5 MaRisk 2023 ein neues Modul eingeführt, das die Anwendung, Datenqualität, Validierung und Erklärbarkeit von Modellen im Rahmen der Säule II näher ausgestaltet. Diese Ergänzung dient – mit Blick auf die Teilbereiche der Kreditvergabe und Kreditwürdigkeitsprüfung – zum einen der Umsetzung der Abschnitte 4.3.3 und 4.3.4 der EBA-Leitlinien. Darüber hinaus erweitert die BaFin die spezifischen Anforderungen auch auf alle weiteren Modelle, die für das Risikomanagement im Rahmen der in den MaRisk geregelten Prozesse eingesetzt werden. Eine Ausnahme bilden insofern lediglich Modelle, die in den Anwendungsbereich der Verordnung (EU) Nr. 575/2013 (CRR) fallen (Erläuterung zu AT 4.3.5 Tz. 1 MaRisk 2023). Klargestellt wird zudem, dass die Anforderungen des neuen Moduls u.a. bei Modellen unter Einsatz künstlicher Intelligenz anwendbar sind. Als spezielle Ausprägung des Proportionalitätsgrundsatzes richten sich die konkreten Anforderungen des Moduls AT 4.3.5 im Einzelfall nach der Komplexität des Modells, seiner Bedeutung für das Risikomanagement sowie den Risiken, die mit seiner Anwendung einhergehen (Erläuterung zu AT 4.3.5 Tz. 1 MaRisk 2023).
Die MaRisk 2023 definieren ein „Modell“ dabei als eine quantitative Methode, ein System oder ein Ansatz, der statistische oder mathematische Theorien, Techniken und Annahmen anwendet, um Eingabedaten zu quantitativen Schätzungen zu verarbeiten (Erläuterung zu AT 4.3.5 Tz. 1 MaRisk 2023). Ein Institut hat die jeweils zugrunde gelegten Annahmen der nach seiner Wahl eingesetzten Modelle nachvollziehbar zu begründen. Ferner sind Angemessenheit und Eignung der Modelle vor dem Einsatz des Modells zu bewerten bzw. hiernach regelmäßig zu überprüfen (AT 4.3.5 Tz. 2 MaRisk 2023). Des Weiteren ist die Datenqualität im Rahmen von Modellen sicherzustellen (AT 4.3.5 Tz. 3 MaRisk 2023) und es sind angemessene Regelungen zur Verwendung von Modellergebnissen (einschließlich der Behandlung von vom Modell abweichender Werte) zu treffen (AT 4.3.5 Tz. 4 MaRisk 2023).
Das Institut hat eine regelmäßige Validierung der Modelle (auch mit Blick auf deren Grenzen und Beschränkungen, die zugrundeliegenden Annahmen und die verwendeten Daten) vorzunehmen und die Qualität der Modellergebnisse regelmäßig zu überprüfen (AT 4.3.5 Tz. 5 MaRisk 2023). Schließlich müssen Institute – was vor dem Hintergrund des vermehrten Einsatzes technologiegestützter Innovationen bzw. künstlicher Intelligenz im Rahmen des bankmäßigen Risikomanagements in Zukunft von besonderer Bedeutung sein wird – eine hinreichende Erklärbarkeit von Modellen gewährleisten (AT 4.3.5 Tz. 6 MaRisk 2023 nebst Erläuterungen). Dies setzt insbesondere voraus, dass Wirkungszusammenhänge zwischen Eingangs- und Ausgangsgrößen aufgezeigt werden können, wobei die konkreten Anforderungen an die Erklärbarkeit von den Risiken, die mit der Anwendung des Modells einhergehen und dessen Bedeutung im Risikomanagement abhängen (Erläuterungen zu AT 4.3.5 Tz. 6 i.V.m. Tz. 1 MaRisk 2023).
Verpflichtung zur Berücksichtigung von ESG-Risiken
Die Bedeutung von sog. Nachhaltigkeitsrisiken, d.h. Risiken aus den Bereichen Umwelt, Soziales und Unternehmensführung (kurz: ESG-Risiken), für das Risikomanagement von Banken hat die BaFin bereits in Ihrem Merkblatt zum Umgang mit Nachhaltigkeitsrisiken (BaFin - Merkblätter - Merkblatt zum Umgang mit Nachhaltigkeitsrisiken) vom 20. Dezember 2019 (kurz: Merkblatt) hervorgehoben. Demnach bilden ESG-Risiken keine eigene Risikokategorie, sondern können vielmehr in sämtliche in den MaRisk adressierte Risikoarten (d.h. Adressenausfallrisiken, Marktpreisrisiken, Liquiditätsrisiken und operationelle Risiken) hineinwirken, so dass eine Berücksichtigung im Rahmen des Risikomanagements geboten ist. Trotz der im Merkblatt geäußerten Erwartungshaltung der BaFin, dass sich beaufsichtigte Unternehmen mit den Auswirkungen dieser Risiken auseinandersetzen und diesen Prozess dokumentieren, hat die Aufsicht zuvor noch ausdrücklich betont, dass es sich bei den Vorgaben im Merkblatt zum Umgang mit ESG-Risiken lediglich um ein „Kompendium unverbindlicher Verfahrensweisen“ bzw. „Good-Practice-Ansätze“ handele. Der MaRisk 2023 übernehmen nunmehr die wesentlichen Aspekte des Merkblatts in den Regelungstext der MaRisk. Insofern stellen die nachfolgend skizzierten Anforderungen an die Berücksichtigung von ESG-Risiken (vorbehaltlich der Übergangsregelungen; hierzu sogleich) nunmehr – vorbehaltlich des eigentlichen Rechtscharakters der MaRisk als Verwaltungsanweisungen – verbindliche aufsichtliche Vorgaben dar. Für den Teilbereich der Kreditvergabe und -überwachung setzten die MaRisk 2023 zugleich die Anforderungen der EBA-Richtlinien im Hinblick auf ESG-Risiken um.
Mit den neuen Anforderungen soll sichergestellt werden, dass Institute einen ihrem jeweiligen Geschäftsmodell und Risikoprofil angemessenen Ansatz zum Umgang mit ESG-Risiken verfolgen. Dabei ist wiederum stets der Proportionalitätsgrundsatz zu beachten. Das heißt, dass im Falle eines schwach ausgeprägten ESG-Risikoprofils einfachere Strukturen, Prozesse und Methoden genügen, während bei erheblicheren ESG-Risiken das Institut entsprechend aufwändigere Strukturen, Prozesse und Methoden vorhalten muss. Die BaFin konzediert im Begleitschreiben zur MaRisk 2023 zwar die methodischen Schwierigkeiten, ESG-Risiken – in Anbetracht des z.T. fehlenden historischen Datenbestands, der häufig über längere Zeiträume zu betrachtenden Faktoren sowie der Unwägbarkeiten mit Blick auf zukünftige Klima- und Politikszenarien – zutreffend zu messen und zu steuern. Gleichwohl betont die Aufsicht die Erwartung an die Institute, bisherige Prozesse anzupassen und neue Mess-, Steuerungs- und Risikominderungsinstrumente zu entwickeln. So sollten die Institute darauf hinarbeiten, „die Auswirkungen von ESG-Risiken in den Risikoklassifizierungsverfahren zu berücksichtigen.“ Solange dieser Ansatz – etwa aufgrund der aktuell z.T. noch fragmentarischen Datenlage zur ESG-Risiken – noch nicht praktikabel sei, könnten Institute auf separate ESG-Scores zurückgreifen.
In Zukunft sollen Institute ESG-Risiken umfassend in ihr Gesamtrisikoprofil einbeziehen (AT 2.2 Tz. 1 MaRisk 2023). Dabei sind der Beurteilung der Auswirkungen von ESG-Risiken verschiedene plausible und aus wissenschaftlichen Erkenntnissen abgeleitete Szenarien zugrunde zu legen, die einen angemessen langen Betrachtungszeitraum wählen (Erläuterung zu AT 2.2 Tz. 1 MaRisk 2023). Mit Blick auf die Nutzung von wissenschaftsbasierten Szenarien hat die BaFin im Begleitschreiben zu den MaRisk 2023 klargestellt, dass Institute insofern auf von allgemein anerkannten Institutionen oder Netzwerken entwickelte Modelle, wie z.B. die physischen und transitorischen Szenarien des „Central Banks and Supervisors for Greening the Financial Systems“ (NGFS), der EZB, der Internationalen Energieagentur, des Potsdamer Instituts für Klimaforschung oder des Helmholtz-Zentrums zurückgreifen können.
Fortan haben Institute ESG-Risiken bei der Bestimmung der Risikotragfähigkeit (AT 4.1 Tz. 1 MaRisk 2023) und der Festlegung ihrer Risikostrategie (AT 4.2 Tz. 2 MaRisk 2023) zu berücksichtigen. Dabei haben die Institute eine zukunftsgerichtete Betrachtung der ESG-Risiken sowohl in normativer als auch ökonomischer Hinsicht vorzunehmen; eine allein aus historischen Daten abgeleitete Betrachtung ist dagegen unzureichend (Erläuterung zu AT 4.1 MaRisk 2023). Die BaFin ist sich insofern der Unsicherheiten im Rahmen einer solchen zukunftsgerichteten Betrachtungen bewusst. Im Begleitschreiben zu den MaRisk 2023 wird zur Abmilderung der Unwägbarkeiten der Rückgriff auf verschiedene Klimaszenarien empfohlen. Zudem kommt nach Auffassung der BaFin auch dem Proportionalitätsgrundsatz bei der Auswahl der Szenarien und der Festlegung der Länge des Betrachtungszeitraums entscheidende Bedeutung zu, so dass etwa kleinere Institute abhängig von ihrer Exponierung gegenüber ESG-Risiken ggf. eine geringere Anzahl verschiedener Szenarien verwenden, die Komplexität der zu betrachtenden Szenarien reduzieren, die Bandbreite an Folgewirkungen vereinfachen, eine Quantifizierung der Effekte nur auf ihre größten und am meisten betroffenen Risikopositionen bzw. Portfolien beschränken oder für langfristige Betrachtungen einen ausschließlich qualitativen Ansatz wählen könnten.
Die Gesamtverantwortung für die ordnungsgemäße Geschäftsorganisation und damit auch das Risikomanagement unter Berücksichtigung von ESG-Risiken liegt bei der Geschäftsführung (AT 3 Tz. 1 MaRisk 2023). Weiterhin sind ESG-Risiken nach den Vorgaben des MaRisk 2023 in die Risikosteuerungs- und -controllingprozesse der Institute einzubeziehen (AT 4.3.2 Tz. 1 MaRisk 2023). Dies setzt eine Berücksichtigung von ESG-Risiken im Rahmen interner Kontrollsysteme insbesondere als Teil der Tätigkeit der Risikocontrolling-Funktion voraus (AT 4.4.1 Tz. 1, BT 1 Tz. 1 MaRisk 2023). Insofern sieht der MaRisk 2023 zudem spezifische Anforderungen an die Risikosteuerungs- und -controllingprozesse für alle Risikoarten, d.h. Adressenausfallrisiken (BTR 1 MaRisk 2023), Marktpreisrisiken (BTR 2 MaRisk 2023), Liquiditätsrisiken (BTR 3 MaRisk 2023) und operationelle Risiken (BTR 4 MaRisk 2023) vor. Ferner sind diese Risiken auch im Rahmen der Risikoberichterstattung angemessen darzustellen (vgl. die Erläuterungen zu BT 3.1 Tz. 1 MaRisk 2023 sowie BT 3.2 Tz. 1 MaRisk 2023). Auch sollen Institute ESG-Risiken im Kontext der regelmäßig durchzuführenden Stresstests berücksichtigt werden (AT 4.3.3 Tz. 1 MaRisk 2023 nebst Erläuterung).
Soweit Institute nach den MaRisk verpflichtet sind, Organisationsrichtlinien als Grundlage ihrer Geschäftsaktivitäten aufzustellen, müssen die Organisationsrichtlinien ebenfalls die Auswirkungen von ESG-Risiken widerspiegeln (AT 5 Tz. 3 MaRisk 2023). Darüber hinaus sind ESG-Risiken in Gruppenkonstellationen, d.h. im Fall einer Instituts- oder Finanzholding-Gruppe sowie eines Finanzkonglomerats, durch die Geschäftsleiter des übergeordneten Unternehmens bzw. des übergeordneten Finanzkonglomeratunternehmens auch in das Risikomanagement auf Gruppenebene einzubeziehen (Erläuterungen zu AT 4.5 Tz. 1 sowie mit Blick auf die Identifizierung und Bewertung AT 4.5 Tz. 5 MaRisk 2023).
Schließlich wirken sich ESG-Risiken auch auf die Anforderungen an Prozesse im Kreditgeschäft aus. Insofern sind insbesondere die spezifischen Vorgaben in Abschnitt 4.3.5 EBA-Leitlinien zu beachten, die von den MaRisk 2023 in Bezug genommen werden (Erläuterung zu BTO 1.2 Tz.1). Für ökologisch nachhaltige Kreditfazilitäten gelten zudem ergänzend die Anforderungen von Abschnitt 4.3.6 EBA-Leitlinien (Erläuterung zu BTO 1.2 Tz.1). Darüber hinaus wird klargestellt, dass Institute Adressenausfallrisiken unter Berücksichtigung von ESG-Risiken zu bestimmen haben (BTO 1.2 Tz. 5 MaRisk). Schließlich haben Institute ESG-Risiken als Teil ihrer Risikoklassifizierungsverfahren sowohl bei der initialen Entscheidung über die Kreditgewährung (BTO 1.2.1 Tz. 1, BTO 1.2 Tz. 8 MaRisk 2023 nebst Erläuterung) als auch bei regelmäßigen bzw. anlassbezogenen Risikobewertungen (BTO 1.2 Tz. 8 MaRisk 2023 nebst Erläuterung) sowie im Rahmen von Verfahren zur Früherkennung von Kreditrisiken (BTO 1.3.1 Tz. 2 MaRisk 2023 nebst Erläuterung) zu beachten.
Anforderungen an das Immobiliengeschäft
Anders als das Kreditgeschäft ist das Immobiliengeschäft von Instituten, welches im Niedrigzinsumfeld der letzten Jahre erheblich zugenommen hatte, unter dem Gesichtspunkt der Anforderungen an das Risikomanagement bisher weitgehend ungeregelt. Diesen „blinden Fleck“ in der Aufsichts- und Prüfungspraxis adressieren die MaRisk 2023 nunmehr durch Einführung des neuen Moduls BTO 3 mit spezifischen Anforderungen an die Aufbau- und Ablauforganisation des Immobiliengeschäfts sowie durch Einführung einer Definition des Immobiliengeschäfts in AT 2.3 Tz. 5 MaRisk 2023. Hiernach sind Immobiliengeschäfte auf eigene Rechnung des Instituts betriebene Geschäfte mit Immobilien (d.h. der Erwerb oder die Errichtung von neuen oder Bestandsimmobilien), die mit der Absicht der Ertragsgenerierung durch Vermietung/Verpachtung bzw. Weiterveräußerung betrieben werden. Dem Erwerb von Immobilien wird die Eingehung eines Mutter-Tochterverhältnisses zu einem Unternehmen gleichgestellt, dessen Vermögensgegenstände ausschließlich oder überwiegend aus Immobiliengeschäften oder Beteiligungen an Immobiliengesellschaften stammen (Erläuterung zu AT 2.3 Tz. 5 MaRisk 2023). Ferner werden die auf eigene Rechnung betriebenen Immobiliengeschäfte von Tochterunternehmen (i.S.v. § 290 HGB) dem Institut zugerechnet, sofern die Vermögensgegenstände des Tochterunternehmens ausschließlich oder überwiegend aus Immobiliengeschäften stammen.
Die neuen Vorgaben in BTO 3 MaRisk 2023 orientieren sich z.T. an den schon bisher für das Kreditgeschäft geltenden Regelungen. Übergeordnetes Ziel ist dabei, dass auch Investitionen in Immobilien allein nach dezidierter Wertermittlung und Risikoanalyse erfolgen bzw. bestehende Immobilieninvestitionen angemessen überwacht werden. Sofern Institute dagegen nur in einem sehr geringen Umfang Immobiliengeschäfte betreiben und daher keinen besonderen Risiken in diesem Bereich ausgesetzt sind, greift eine Ausnahme von den spezifischen Regelungen des Moduls. Die Grenze liegt bei einem Investitionsvolumen aller Immobiliengeschäfte eines Instituts in absoluten Zahlen in Höhe von EUR 30 Mio. bzw. bei dem zugleich zu beachtenden relativen Schwellenwert von 2 % der Bilanzsumme (Erläuterung zu BTO 3 Tz. 1 MaRisk 2023).
Die spezifische Anforderungen an die Aufbauorganisation des Immobiliengeschäfts sehen – wie für das Kreditgeschäft – eine organisatorische Trennung der Bereiche „Markt“ und „Marktfolge“ bis zur Ebene der Geschäftsleitung vor (BTO 3.1 Tz. 1 MaRisk 2023). Dabei können jeweils die Bereiche „Markt“ und „Marktfolge“ für Kredit- bzw. das Immobiliengeschäfte ggf. zusammenfallen (Erläuterungen zu BTO Tz. 2 MaRisk 2023). Das Institut hat zudem eine klare und konsistente Kompetenzordnung für die Geschäftsentscheidungen bezüglich Immobiliengeschäften festzulegen (BTO 3.1 Tz. 3 MaRisk 2023).
Ferner werden die Vorgaben für Prozesse im Immobiliengeschäft von den MaRisk 2023 näher ausgestaltet. Das Institut hat insbesondere geeignete Verfahren zur Wertermittlung von Immobilien (BTO 3.2 Tz. 2 MaRisk 2023) zu entwickeln. Hierbei muss das Institut auf die Expertise von Sachverständigen (BTO 3.2 Tz. 3 MaRisk 2023) zurückgreifen, wobei es – im Falle des Rückgriffs auf externe Sachverständige – entsprechende Wertermittlungen zusätzlich selbst zu plausibilisieren hat (BTO 3.2 Tz. 4 MaRisk 2023). Vor dem Erwerb bzw. der Errichtung einer Immobilie muss das Institut außerdem die hiermit einhergehenden Risiken angemessen analysieren und bewerten (BTO 3.2.1 Tz. 1 MaRisk 2023). Hierbei hat das Institut auch wirtschaftliche Aspekte der Immobilie zu analysieren und technische Risiken bei der Umsetzung des Immobilienprojekts zu berücksichtigen. Im Rahmen der Weiterbearbeitung und Überwachung von Immobiliengeschäften ist mit Blick auf laufende Projektentwicklungen in festzulegenden Abständen eine Bautenstands- und Kostenkontrolle durch das Institut erforderlich (BTO 3.2.2 Tz. 1 MaRisk 2023). Ferner ist der Wert der Immobilie jährlich und – bei wesentlich negativer Wertentwicklung – ggf. außerordentlich zu überprüfen (BTO 3.2.2 Tz. 2 und 3 MaRisk 2023). Ferner ist der Geschäftsleitung mindestens jährlich über die Immobiliengeschäfte zu berichten (BTO 3.2.2 Tz. 4 MaRisk 2023). Schließlich sind für die Bearbeitung von Immobiliengeschäften prozessabhängige interne Kontrollmechanismen zu installieren (BTO 3.2.3 MaRisk 2023).
Anpassungen hinsichtlich Geschäftsmodellanalyse
Geringfügige Anpassungen erfolgen in den MaRisk 2023 mit Blick auf die Anforderungen an Geschäftsmodellanalysen, wobei es sich zumeist um lediglich terminologische Klarstellungen handelt. Insofern wird mit Blick auf die nach der bisherigen Fassung von AT 4.2 Tz. 1 MaRisk bereits festzulegende Geschäftsstrategie die Notwendigkeit einer eingehenden zukunftsgerichteten Analyse des Geschäftsmodells hervorgehoben (AT 4.2 Tz. 1 MaRisk 2023). Diese setzt die Beurteilung voraus, ob sich das gegenwärtige Geschäftsmodell über einen angemessen langen, mehrjährigen Zeitraum aufrechterhalten lässt bzw. ob Anpassungsbedarf besteht und strategische Steuerungsmaßnahmen ergriffen werden müssen (Erläuterung zu AT 4.2 Tz. 1 MaRisk 2023). Ferner ist mit Blick auf die Kapitalplanung eines Instituts sicherzustellen, dass diese nicht allein mit seiner operativen Geschäftsplanung und deren strategischen Grundlagen, sondern zugleich mit dem Geschäftsmodell in Einklang steht (AT 4.1 Tz. 11 MaRisk 2023 nebst Erläuterung). Insofern betont die BaFin im Begleitschreiben zu den MaRisk 2023, dass die Geschäfts- und Kapitalplanung im Sinne einer integrierten Gesamtbanksteuerung miteinander einhergehen sollen. Schließlich wird in den MaRisk 2023 klargestellt, dass der Geschäftsleitung bzw. dem Aufsichtsorgan eines Instituts (wiederum durch die Geschäftsleitung) nicht allein über die Risikosituation des Instituts, sondern auch über dessen Geschäftslage zu berichten ist (AT 4.3.2 Tz. 3 sowie BT 3.1 Tz. 1 MaRisk 2023).
Handelsgeschäfte im Homeoffice
In ihrer Mitteilung vom 18. März 2022 über die weitere Behandlung der Corona-FAQ hat die Aufsicht angekündigt, die Möglichkeit einer dauerhaften Regelung für den Handel im Homeoffice im Rahmen der anstehenden MaRisk-Novellierung zu überprüfen. Dem ist die BaFin nunmehr nachgekommen und hat – bei grundsätzlicher Billigung der Vornahme von Handelsgeschäften aus dem Homeoffice – in den MaRisk 2023 spezifische Vorgaben für Geschäftsabschlüsse für das Handelsgeschäft an häuslichen Arbeitsplätzen aufgenommen. Die BaFin konzediert insofern, dass für die Sicherstellung störungsfreier Handelsaktivitäten nicht mehr die Anwesenheit in den Geschäftsräumen, sondern vielmehr der IT-Zugang zu den Handelsplattformen entscheidend sei.
Wie bisher gilt, dass Geschäftsabschlüsse im Handelsgeschäft außerhalb der Geschäftsräume nur im Rahmen der internen Vorgaben des Instituts zulässig sind (BTO 2.2.1 Tz. 3 MaRisk 2023). Für den Fall des Handels aus dem Homeoffice müssen diese internen Vorgaben insbesondere die folgenden Aspekte spezifizieren:
- Das Institut muss zum einen die Vertraulichkeit der den Geschäftsabschlüssen zugrundeliegenden Daten anhand geeigneter Richtlinien sicherstellen.
- Für den Handel an häuslichen Arbeitsplätzen sind grundsätzlich vergleichbaren Anforderungen hinsichtlich der Stabilität der Abwicklungs-bzw. Bestätigungssysteme sowie der Anforderungen an die IT-Sicherheit zu stellen, wie an den regulären Handel innerhalb von Geschäftsräumen (Erläuterungen zu BTO 2.2.1 Tz. 3 MaRisk 2023).
- Homeoffice-Arbeitsplätze für den Abschluss von Handelsgeschäften müssen sich an festgelegten Standorten befinden und dürfen nur so genutzt werden, dass die Vertraulichkeit von Geschäftsabschlüssen gewährleistet ist (Erläuterungen zu BTO 2.2.1 Tz. 3 MaRisk 2023).
- Es ist sicherzustellen, dass bei teilweisen Handelsaktivitäten im Homeoffice stets eine ausreichende Präsenz anderer Händler in den Geschäftsräumen gewährleistet ist, was wiederum der Fall ist, wenn bei (technischen) Beeinträchtigungen von Handelstätigkeiten das Handelsgeschäft unverzüglich in die Geschäftsräume verlegt werden kann. Insbesondere bei kleineren Instituten mit nur ein bis zwei Händlern sind insofern angemessene Vertretungsregeln bzw. Regelungen für den Wechsel vom häuslichen Arbeitsplatz in die Geschäftsräume erforderlich (BTO 2.2.1 Tz. 3 MaRisk 2023 nebst Erläuterungen).
Spezifische Regelungen für bedeutende Förderbanken
Im Zuge der vorangegangenen MaRisk-Novelle wurden bestimmte Regelungen der MaRisk, die vormals nur auf systemrelevante Institute anwendbar waren, auf bedeutende Institute erstreckt, da die EZB in ihrer Aufsichtspraxis bei diesen Regelungen nicht (mehr) nach dem Kriterium der Systemrelevanz differenziert. Nunmehr hat die BaFin im Rahmen der MaRisk 2023 evaluiert, ob bestimmte Regelungen gleichermaßen auf große Förderbanken angewendet werden sollten. Im Ergebnis sollen hiernach die bestimmte Vorgaben zur Wahrnehmung der Leitung der Risikocontrolling-Funktion durch einen Geschäftsleiter des Instituts (AT 4.4.1 Tz. 5 MaRisk 2023) sowie zur Einrichtung einer gesonderten Organisationseinheit für die Compliance-Funktion (AT 4.4.2 Tz. 4 MaRisk 2023) auch für bedeutende Förderbanken gelten.
Zeitliche Anwendbarkeit
Die MaRisk 2023 sind mit der Veröffentlichung am 29. Juli 2023 förmlich in Kraft getreten. Für die Anwendung der neuen hinzugekommenen Vorgaben hat die Aufsicht jedoch eine abgestufte Anwendbarkeit vorgesehen: Soweit die MaRisk 2023 lediglich klarstellende Ergänzungen der bisherigen Fassung und damit letztlich der existierenden Verwaltungspraxis vornehmen, ohne dass hiermit materiell neue Regelungsinhalte einhergehen, sind die Vorgaben sofort mit Veröffentlichung von den Instituten zu beachten. Sofern dagegen neue Anforderungen an das Risikomanagement durch die Novelle aufgestellt werden, gilt eine Übergangsfrist bis zum Jahresende, während derer die Institute ihre internen Prozesse an die MaRisk 2023 anpassen können. Die neuen Vorgaben gelten mithin insoweit erst ab dem 1. Januar 2024.
Insbesondere die folgenden Regelungen sind dabei nach Auffassung der Aufsicht sofort anzuwenden:
- Ergänzungen der Anforderungen an die Geschäftsmodellanalyse;
- Regelungen für das Handeln außerhalb von Geschäftsräumen bzw. den Handel im Homeoffice als Erleichterungen im Vergleich zu den bisher geltenden Anforderungen; und
- der überwiegende Teil der Anforderungen an das Risikomanagement im Zusammenhang mit ESG-Risiken als Klarstellung der bisherigen Anforderungen an die Einbeziehung aller wesentlichen Institutsrisiken in das Risikomanagement.
Demgegenüber finden insbesondere die folgenden Vorgaben erst ab dem 1. Januar 2024 Anwendung:
- Alle Anforderungen, die erst durch den Regelungstext der EBA-Leitlinien eingeführt wurden (z.B. Modul AT 4.3.5 MaRisk 2023);
- Regelungen betreffend das Immobiliengeschäft (insbesondere Modul BTO 3 MaRisk 2023); und
- Vorgaben im Zusammenhang mit ESG-Risiken soweit diese (i) nunmehr im Rahmen von Stresstests zu berücksichtigen sind (AT 4.3.3 Tz. 1 MaRisk 2023 samt Erläuterung), aufgrund des gegenüber der bisherigen Fassung der MaRisk verlängerten Risikobetrachtungszeitraums für ESG-Risiken als langfristige Risiken und (ii) – mit Blick auf den nunmehr geforderten Einsatz wissenschaftsbasierter Szenarien – in den folgenden Passagen der MaRisk 2023 zu beachten sind: Erläuterung zu AT 2.2 Tz. 1 (Anforderung an die Bestimmung der Auswirkungen von ESG-Risiken); AT 4.1 Tz. 1 und Erläuterung zu Tz. 1 (Berücksichtigung im Rahmen der Risikotragfähigkeit); AT 4.5 Tz. 5 (Berücksichtigung in Risikosteuerungs- und -controllingprozessen auf Gruppenebene); BTO 1.2 Tz. 4 (Berücksichtigung mit Blick auf das Adressenausfallrisiko eines Kreditengagements); BT 3.1 Tz. 1 (Berücksichtigung in Risikoberichten) und BT 3.2 Tz. 1 (Berücksichtigung in Berichten der Risikocontrollingfunktion).
Fazit
Die MaRisk 2023 enthält Licht und Schatten. Grundsätzlich positiv ist die Konkretisierung der Anforderungen für das Risikomanagement, die für die Institute größere Rechtssicherheit mit sich bringt. Das gilt bspw. für die Vorgaben an die Berücksichtigung von ESG-Risiken im Risikomanagement. Die Vorgaben reihen sich damit ein in die kaum noch zu überschauenden Regelungen mit ESG-bezogenen Compliance-Vorgaben für Finanzmarktteilnehmer (z.B. durch die Offenlegungsverordnung (Verordnung (EU) Nr. 2019/2088), der Taxonomieverordnung (Verordnung (EU) 2020/852) sowie den hierzu jeweils ergangenen Level-2-Maßnahmen). Unter dem Aspekt eines angemessenen Risikomanagements erscheint es auch geboten bzw. überfällig, den Instituten Vorgaben im Zusammenhang mit ihrem – jedenfalls bis zur Zinswende – stetig bedeutsamer werdenden Immobiliengeschäften zu machen. Weitere von den MaRisk 2023 umgesetzte Änderungen, wie insbesondere die ergänzende Übernahme der Vorgaben der EBA-Leitlinien einschließlich der besonderen Anforderungen an Modelle im Rahmen des Risikomanagements, die Ergänzung der Vorgaben für Geschäftsmodellanalysen sowie die Regulierung von Handelsgeschäften im Homeoffice-Kontext können insgesamt als praxisrelevante inkrementelle Ergänzung des aufsichtlichen Rahmens angesehen werden.
Freilich zeigen die Änderungen in den MaRisk 2023, dass der konzeptionelle Ansatz der MaRisk an seine Grenzen stößt, wenn die rechtstechnische Umsetzung der Vorgaben der EBA-Leitlinien im Wege verschiedener Regelungsansätze (Ergänzung bzw. Verweisungstechnik) erfolgt. Dies beeinträchtigt die Transparenz der MaRisk-Vorgaben, zumal sich gelegentlich die Frage stellen dürfte, ob EU-Vorgaben wie die EBA-Leitlinien im Detail zutreffend bzw. ausreichend umgesetzt wurden. Darüber hinaus zeigen auch die MaRisk 2023, dass der Rechtsrahmen für Institute stetig komplexer und damit der Aufwand zur Einhaltung der Vorgaben ständig steigt. Auch wenn in den MaRisk 2023 der Proportionalitätsgrundsatz an verschiedenen Stellen betont wird, ist insofern nicht zu verkennen, dass kleinere Institute Schwierigkeiten haben dürften, mit begrenzten Ressourcen in der doch recht eng bemessenen Übergangsfrist die neuen Vorgaben umzusetzen.