ZAG-MaRisk: BaFin konsultiert Rundschreiben

Die BaFin hat den Entwurf eines Rundschreibens zu den Mindestanforderungen an das Risikomanagement von ZAG-Instituten – ZAG-MaRisk veröffentlicht und zur öffentlichen Konsultation freigegeben.
Das Rundschreiben ist so aufgebaut, dass es aus verschiedenen Modulen besteht, wodurch eine zielgerichtete Aktualisierung einzelner Regelungsbereiche ermöglicht wird. Im allgemeinen Teil, bekannt als Modul AT, sind die grundlegenden Prinzipien für die Gestaltung des Risikomanagements festgelegt. Ein besonderes Teil für Organisation, bezeichnet als Modul BTO, enthält detaillierte Vorgaben für die Organisation von Zahlungsdiensten und dem Betrieb des E-Geld-Geschäfts. Im besonderen Teil für Risiken (Modul BTR), werden einzelne Risiken (Operationelle Risiken, Adressenausfallrisiken, Marktpreisrisiken und Liquiditätsrisiken) beschrieben. Zusätzlich bietet das Modul BT Leitlinien für die Strukturierung der Internen Revision in den Instituten und für die Erstellung von Risikoberichten.
Das Rundschreiben konzentriert sich auf einen flexiblen und praxisgerechten Rahmen für die Ausgestaltung einer ordnungsgemäßen Geschäftsorganisation nach § 27 Abs. 1 ZAG und geht insbesondere auf die Sicherungsanforderungen nach den §§ 17 und 18 ZAG sowie auf die Anforderungen an die Auslagerung nach § 26 ZAG ein.
Der Rahmen für die Ausgestaltung einer ordnungsgemäßen Geschäftsorganisation gemäß § 27 Absatz 1 des ZAG beinhaltet insbesondere angemessene Maßnahmen der Unternehmenssteuerung sowie Kontrollmechanismen und Verfahren. Diese sollen sicherstellen, dass das Institut seine Verpflichtungen erfüllt und umfassen Regelungen zur Aufbau- und Ablauforganisation, Prozesse zur Identifizierung, Beurteilung, Steuerung und Überwachung der Risiken sowie die Einrichtung einer Risikocontrolling-Funktion und einer Compliance-Funktion.
Es wird darauf hingewiesen, dass die Geschäftsleitung die Gesamtverantwortung für das Risikomanagement trägt. Die Anforderungen an das Risikomanagement sind vielfältig und beinhalten sowohl die Abschirmung von Risiken als auch die Entwicklung von Strategien zur Risikobewältigung. Das Rundschreiben betont die Bedeutung einer ganzheitlichen Risikoinventur. Hierbei werden auch sonstige Risiken wie Reputationsrisiken als wesentlich eingestuft. Die Anforderungen orientieren sich sowohl an inhaltlichen Kriterien der Risikolegung als auch an formalrechtlichen Ausgestaltungen, was die Komplexität und den ganzheitlichen Ansatz des Risikomanagements unterstreicht.
In Bezug auf die Anforderungen an Auslagerungen legt das Dokument fest, dass Finanzinstitute ein aktuelles Auslagerungsregister führen müssen, welches alle Auslagerungsvereinbarungen umfasst und spezifische Mindestanforderungen erfüllen muss.
Das Rundschreiben legt großen Wert auf ein wirksames Risikomanagement, das die Einrichtung einer Risikocontrolling-Funktion und einer Compliance-Funktion impliziert. Es bietet auch eine Grundlage für die sachgerechte Wahrnehmung der Überwachungsfunktionen des Aufsichtsorgans, sofern ein solches besteht. Darüber hinaus berücksichtigt das Rundschreiben das Prinzip der doppelten Proportionalität, was bedeutet, dass Institute, deren Geschäftsaktivitäten durch besondere Komplexität oder Risikoexponierung gekennzeichnet sind, weitergehende Vorkehrungen im Bereich des Risikomanagements treffen sollten.
Das Rundschreiben ist so konzipiert, dass es der heterogenen Struktur der Institute und der Vielfalt ihrer Geschäftsaktivitäten Rechnung trägt. Es enthält zahlreiche Öffnungsklauseln, die eine flexible Umsetzung ermöglichen, insbesondere für Institute mit weniger komplexen Geschäftsaktivitäten. Die BaFin ist offen für die laufende Weiterentwicklung der Prozesse und Verfahren im Risikomanagement und plant, einen fortlaufenden Dialog mit der Praxis zu führen. Die Behörde erwartet, dass die flexible Ausrichtung des Rundschreibens bei Prüfungen berücksichtigt wird, die auf der Grundlage eines risikoorientierten Ansatzes durchgeführt werden sollten.
Der Anwendungsbereich des neuen Rundschreibens erstreckt sich auf inländische Zahlungs- und E-Geld-Institute sowie auf inländische Zweigstellen von Unternehmen mit Sitz außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums. Das Rundschreiben gilt nicht für Zweigniederlassungen von Unternehmen mit Sitz in einem anderen Staat des Europäischen Wirtschaftsraums nach § 39 ZAG.
Die BaFin lädt alle Interessierten ein, ihre Stellungnahmen zum Entwurf des Rundschreibens bis zum 6. Dezember 2023 per E-Mail einzureichen. Die Behörde plant, die eingereichten Stellungnahmen auf ihrer Homepage zu veröffentlichen, um die Transparenz des Verwaltungsprozesses zu erhöhen. In diesem Zusammenhang weist die BaFin darauf hin, dass Stellungnahmen frei von personenbezogenen Daten sein sollten. Sollten dennoch vertrauliche Informationen oder personenbezogene Daten in den Stellungnahmen enthalten sein, wird um den Nachweis einer erteilten Einwilligung der betroffenen Personen gebeten.