REGULIERUNG
REGULIERUNG MARISK-NOVELLE 2021 Was die neuen Vorgaben für die Banken in der Praxis bedeuten Die Neufassung der MaRisk vom 16. August 2021 betrifft u. a. organisatorische Anforderungen an das Beauftragtenwesen als zweite Verteidigungslinie im Risikomanagement und an das Auslagerungsmanagement. Die MaRisk orientiert sich dabei an den europäischen EBA-Leitlinien und übersetzt diese in deutsches Aufsichtsrecht. Betroffene Institute sind derzeit mit der Umsetzung beschäftigt: Welche Inhalte sind wichtig, und welche Fragen stellen sich in der Praxis? 40 09 // 2021
REGULIERUNG Mit der Einführung der einheitlichen europäischen Bankaufsicht (Single Supervisory Mechanism, SSM) im Jahr 2014 entstand die Gefahr einer inhaltlichen Redundanz zwischen europäischen Normen und nationalen Anforderungen. Die frühere Erwartung einiger Beobachter, dass die deutsche MaRisk obsolet werden könnte, hat sich allerdings nicht bestätigt. Stattdessen wurden die Mindestanforderungen an das Risikomanagement seither vor allem zu einem Vehikel für die Umsetzung europäischer Richtlinien. Hier gab es zwei Neufassungen im Oktober 2017 und im August 2021 mit erheblichen inhaltlichen Erweiterungen. Die aktuelle Neufassung enthält u. a. neue und geschärfte Vorgaben zum Beauftragtenwesen und zum Auslagerungsmanagement, die sich an den korrespondierenden EBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken und zu Auslagerungen orientieren (IKT steht für Informations- und Kommuikationstechnologie.) Bei der Umsetzung von EBA-Leitlinien verfügen die nationalen Aufsichtsbehörden grundsätzlich über einen Ermessensspielraum, sodass es zu inhaltlichen Unterschieden zwischen EBA-Leitlinien und nationalen Vorschriften kommen kann. Die neue MaRisk gilt ab sofort mit einer Übergangsfrist bis Ende des Jahres 2021. Eine angemessene Umsetzung vor dem Hintergrund individueller Gegebenheiten ist für die Institute ökonomisch bedeutend, weil die neuen Regelungen Auswirkungen auf regulatorisch bedingte Sockelkosten für notwendige Mitarbeiterkapazitäten haben und die Fähigkeit beeinflussen, Kostenreduktionen durch Inanspruchnahme spezialisierter Dienstleister zu realisieren. Geltungsbereich und Proportionalität Die neue MaRisk verschärft Anforderungen an besondere Funktionen im Risikomanagement generell dadurch, dass diese nun nicht mehr nur für die systemrelevanten Institute gelten, sondern bereits für bedeutende Institute. Institute gelten als bedeutend, wenn sie die Kriterien von Artikel 6 der SSM-Verordnung erfüllen und deshalb direkt von der EZB beaufsichtigt werden. Dabei handelt es sich in Deutschland (Stand Juli 2021) um 21 Konzerne und ihre (teilweise internationalen) Tochter-Institute. Für die Klassifizierung ist vor allem das Größenkriterium ausschlaggebend, hier liegt die Schwelle bei einer Bilanzsumme von über 30 Mrd. €. Deshalb bleiben im Wesentlichen alle Sparkassen und Genossenschaftsbanken außerhalb des Geltungsbereichs. Ausnahmen betreffen die Hamburger Sparkasse und die Sparkasse Mittelholstein (als Töchter der Haspa Finanzholding), die Frankfurter Sparkasse (als Tochter der Helaba) sowie die Deutsche Apotheker- und Ärztebank (aufgrund ihrer eigenen Größe). Der Hinweis, dass kleine Tochterinstitute wie die Sparkasse Mittelholstein von den verschärften Anforderungen ausgenommen werden sollten, wurde im Konsultationsprozess von der BaFin nicht aufgegriffen. Anforderungen der neuen MaRisk, die das Auslagerungsmanagement betreffen, sind teilweise auch für weniger bedeutende Institute relevant. So müssen sie künftig in jedem Fall einen zentralen Auslagerungsbeauftragen benennen (AT 9 Tz. 12), der direkt an die Geschäftsleitung berichtet oder selbst Mitglied der Geschäftsleitung ist, und ein zentrales Auslagerungsregister einrichten (AT 9 Tz. 14). Die generelle Notwendigkeit eines Auslagerungsbeauftragten geht über die Vorgaben der EBA-Leitlinie hinaus. Compliance-Funktion und Risiko- Controlling Schon bisher muss jedes Institut eine Compliance-Funktion einrichten (AT 4.4.2 Tz. 1), um den Risiken aus der Nichteinhaltung aufsichtsrechtlicher Regelungen vorzubeugen und entgegenzuwirken. Bei bedeutenden Instituten muss die Compliance-Funktion fortan grundsätzlich aufbauorganisatorisch eigenständig (AT 4.4.2 Tz. 4) sein. In ihr dürfen ausdrücklich weitere Compliance-nahe Auf- 09 // 2021 41
