Kredit 2016

Bank Law Day 2016

die Verwaltungs- und Verbraucherkredite, einen Kreditvertrag oder eine Bürgschaftsvereinbarung betreffen oder den Gesamtbetrag des Kredits erhöhen.... Der Refinanzierungsgegenstand für ein weiteres Darlehen ist hier nur als "gerechtfertigtes.... des Kredits" angewachsen, siehe Preuss, die europäischen Konsumenten schliessen zügig Kredite ab, FAZ v. 2016, 2065, 2066; konkretisieren....

Die Bild-Zeitung greift das Thema auf, siehe http://www.bild.de/geld/mein-geld/kredit/immobilienkredit-46762696.bild. HTML.

MaRisk-Anpassung 2016 - Klare Anforderungen an die Kreditwirtschaft

Am 16. Januar 2016 veröffentlichte die BaFin das Vernehmlassungspapier (02/2016) zur fünften Änderung der MaRisk (Mindestanforderungen an das Risikomanagement). Das Konsultationsverfahren ermöglicht es nun, bis zum 26. Mai 2016 Stellungnahmen einzureichen. Die Änderung wird voraussichtlich vor Ende 2016 verabschiedet.

Aufbau einer risikokulturellen Ausrichtung, erhöhte Ansprüche an das Risikoreporting durch die Fachabteilungen, Ansprüche an das Datamanagement, die Qualität der Daten bei der Zusammenführung von Risikoinformationen, eine umfassende Betrachtung von IT-Risiken und IDVs sowie die Auslagerung von Informationen im Bereich des Risikomanagements, der Auditplanung und der Organisationsanforderungen zur Vermeidung von Interessenkonflikten. Wichtige nationale Vorschriften, wie z. B. BCBS 239, werden in das nationale Recht miteinbezogen.

Die fünfte MaRisk-Novelle gibt damit dem Management (erhöhte Integrations- und Berichtspflichten), dem Risiko-Management (z.B. Darstellung von IT-Risiken und Nachsicht) sowie dem CIO s und COO (Datenmanagement und -qualität, IDVs und Outsourcing) einen entscheidenden Anstoß. Bislang galt die Anforderung des BCBS 239 an die Aggregation von Risikodaten und die Risikoberichterstattung nur für weltweit systemisch relevante Institutionen (G-SIBs).

Aus den Erfahrungen und Überprüfungsergebnissen der EZB geht hervor, dass grundlegende strukturbedingte und vielschichtige Veränderungen auf allen Stufen der EZB erforderlich sind, um die Erfordernisse zu erfüllen. In der nachfolgenden Grafik sind die wesentlichen Veränderungen und neuen Erfordernisse der MaRisk-Novelle dargestellt. Nach zahlreichen aufsichtsrechtlichen Publikationen wie SREP oder den BIZ-Richtlinien "Corporate Governance-Grundsätze für Banken" zum Themenbereich der Risikokultur sind in den Mindestvorschriften nun die entsprechenden Vorgaben aus CRD IV verankert.

Dies umfasst sowohl die Identifikation als auch den bewussten Einsatz von Einzelrisiken im Sinne des vom Management auf Basis der institutsspezifischen Risikobereitschaft gewährten Deckungspotenzials. Darüber hinaus sollte das Management eine offensive und tranparente Kommunikation innerhalb des Unternehmens erleichtern und vorantreiben. Zu diesem Zweck könnte z. B. ein Initial Review-Prozess im Zuge eines strukturellen Self-Assessments erfolgen, das die Verzahnung anhand von zentralen risikokulturellen Indikatoren evaluiert und beurteilt.

In einem neuen Kapitel (BT 4.3) wurden die zuvor an verschiedenen Punkten der MaRisk festgelegten Berichtspflichten zusammengefaßt und ergänzt. Für die Kreditinstitute heißt das, dass die Informationen auszuwerten, zu verarbeiten und die entsprechenden Berichtsprozesse zu errichten sind. Dabei ist zu überprüfen, ob alle Voraussetzungen von den Institutionen bereits vollständig erfüllbar sind.

Die Anwendung der Grundsätze 7-11 des BCBS 239 ist als wichtige Innovation bei den Berichtspflichten zu betrachten; in der jetzigen Konsultationsversion wird keine Differenzierung zwischen verschiedenen Größen von Instituten gemacht. Der Risikobericht sollte "auf der Grundlage vollständiger, genauer und aktueller Informationen erfolgen, die in flexibler Weise erstellt und an die Anforderungen des Managements angepaßt werden können" - darüber hinaus sind eine zukünftige Ausrichtung, Verständnis fähigkeit und ein entsprechendes Zusammenspiel von qualitativem und quantitativem Inhalt erforderlich.

Mit den neuen MaRisk werden damit die Vorgaben des BCBS 239 nicht nur vollumfänglich umgesetzt und in Teilbereichen erweitert, sondern vor allem der Kreise der von den "Less Important Institutes" (LSIs) erfassten Institutionen erweitert. In diesem Kontext scheint es fragwürdig, wie z. B. die Erfordernisse der flexiblen Anpassungsfähigkeit von Berichten und Ad-hoc-Berichten innerhalb eines geeigneten Zeitrahmens erfüllt werden können, wenn nicht zugleich automatische IT-Systeme mit körniger Datenspeicherung zur Verfügung stehen - d. h. die Erfordernisse des neuen Abschnittes über die Qualität und Aggregation der Daten werden auch von den LSIs weitestgehend erfüllt.

Der Vollzug der so genannten BCBS 239-Vorschriften in deutschem Recht findet sinngemäß für ausgewählte Erfordernisse im Bereich des Liquiditätsrisikos nur auf große und vielschichtige Kreditinstitute mit einer Bilanzsumme von 30 Mrd. EUR oder mehr (und damit der EZB-Aufsicht unterstellt) Anwendung. Die MaRisk legen den Anwendungsbereich als Konzernebene sowie als signifikante Einzelinstitutionen der Gruppe fest.

Das Anforderungsprofil selbst steht im Einklang mit den Grundsätzen 1-6 von Basel Paper, geht aber in mancher Hinsicht noch einen Schritt weiter. Die wesentlichen Forderungen dieses neuen Teils der MaRisk sind (AT 4.3. 4): Gestaltung der Datenverwaltung: Grundlagen für das Datenbankmanagement, die Qualität der Daten und die Zusammenführung von Risikoinformationen mit klaren Aufgaben und Zuständigkeiten.

Voraussetzungen für eine höhere Datenqualität: Gewährleistung der Richtigkeit, Unversehrtheit und Vollzähligkeit der Angaben sowie der Überwachungs- und Berichtsdatenqualität. Darüber hinaus formuliert die MaRisk in Analogie zum Baseler Dokument Vorgaben für die zeitnahe Berichterstattung, vor allem in den Stress-Phasen, wodurch eine genaue und unmissverständliche Festlegung der höchstzulässigen Frist für die zeitnahe Berichterstattung nicht erfolgt.

Die ausdrücklich vorgeschriebene Zusammenführung der Risikoinformationen für Adressenausfallrisiken auf Konzernebene ist als Verdichtung des Baseler Papiers zu werten. Der erforderliche Vergleich von Risiko- und Rechnungslegungsdaten ist als Straffung der Baseler Grundsätze zu verstehen - darüber hinaus sollte ein Vergleich mit dem Berichtswesen möglich sein. Ein weiterer signifikanter Straffung und nach Erfahrung ein Kostentreiber bei der Implementierung der BCBS 239-Anforderungen ist die Forderung, dass Adhoc-Analysen bis auf die Ebene der einzelnen Transaktionen möglich sein müssen.

Selbst wenn kleine Institutionen (LSIs) nicht unmittelbar den Vorgaben dieses Baukastens unterworfen sind, ist zu vermuten, dass die Aufsichtsbehörde auch hier eine gewisse Erwartung hat oder aufbaut - dies ist dann oft nur durch Aufsichtsaudits erkennbar. Darüber hinaus wurden die Voraussetzungen für selbst erstellte Applikationen (IDV) erneut signifikant erhöht.

In Zukunft müssen sie die vorhandenen Voraussetzungen für IT-Systeme erfüllen. Daraus ergeben sich besonders erhöhte Ansprüche an die fachliche und funktionelle Gestaltung, die Verfahren und die Dokumentation: Die Aufsichtsbehörde achtet besonders auf die Notwendigkeit des Schutzes und der Informationssicherheit. Aufgrund der stark erhöhten Ansprüche an IDV-Anwendungen ist eine Ausweitung der bisher geltenden Governance-Regelungen und die Gestaltung von neuen Prozessen erforderlich.

Zukünftig werden die MaRisk erhöhte Ansprüche an die Güte und Offenheit von RTF-Methoden und -Abläufen sowie eine Aufgabentrennung bei der Erarbeitung und Bewertung von komplexen Methoden haben. In diesem Zusammenhang sind vor allem die Standfestigkeit und Kohärenz, aber auch die Bedeutung der Risikobestimmung zu untersuchen. Zur Verbesserung der Markttransparenz wird den Kreditinstituten empfohlen, sich stets einen umfassenden und aktualisierten Gesamtüberblick über die verwendeten RTF-Methoden und -Verfahren zu verschaffen.

Beispielsweise kann die Aufteilung auf Entscheider-/Mitarbeiterebene bei kleinen Kreditinstituten bereits ausreichen. Für komplexere Kreditinstitute sollte die Aufgabentrennung jedoch auf Gruppen- oder Abteilungsebene stattfinden. Für kleine Kreditinstitute bedeutet diese Innovation vor allem aufgrund ihrer begrenzten Fachkräfte eine große Herausforderung. Outsourcing ist ein zentraler Bestandteil der neu gefassten MaRisk.

Das Konzept des Outsourcings selbst wurde in der Novelle weiter präzisiert und die Anforderungen an das Outsourcing erweitert: In Zukunft wird der Einsatz von Fremdsoftware zu einer Outsourcing-Veranstaltung, wenn folgende Rahmenbedingungen gegeben sind: Die angepasste Lösung wird an die individuellen Bedürfnisse der Institution angepaßt. Die vollständige Fremdvergabe der Risikokontrollfunktion ist nicht mehr zulässig, und die Möglichkeiten der Fremdvergabe von weiteren Aufgaben hängen von der Grösse und Kompliziertheit des Institutes ab.

Darüber hinaus muss die Outsourcingbank eine Exit-Strategie erarbeiten und das Outsourcing in der Krisenplanung einbeziehen. Darüber hinaus müssen die Kreditinstitute ein Outsourcing-Managementsystem einführen, das einen Überblick über die outgesourcten Tätigkeiten gibt, Kontroll- und Überwachungsfunktionen wahrnimmt und zumindest einmal im Jahr einen Report an den Gesamtvorstand erstellt. Als Teil des Outsourcing-Managements müssen auch regelmäßig und ad hoc unter Einbeziehung von Risiko-Konzentrationen und Outsourcing-Risiken aufbereitet werden.

Aufgrund der erhöhten Ansprüche - vor allem an das Outsourcing-Management - wird der mit dem Outsourcing verbundene Arbeitsaufwand bei den Kreditinstituten erheblich zunimmt. Der Umgang mit Fremdsoftware im Bereich des Risikomanagements als Outsourcing-Fakt wird auch viele Kreditinstitute vor die Aufgabe gestellt, anschließend die Voraussetzung für die Usability der angewandten Technologie zu erfüllen.

Aber auch die Vorgaben für die Innenrevision sind Gegenstand wesentlicher Weiterentwicklungen und Veränderungen. Darüber hinaus ist es Mitarbeitern, die in die Auditfunktion wechselt, für einen Zeitpunkt von mind. einem Jahr untersagt, die Selbstprüfung (Abkühlphase) durchzuführen, in dem sie keine früheren Aktivitäten von ihrer ursprünglichen Unternehmenseinheit auditieren dürfen. Einen neuen Schwerpunkt der Auditierung bildet die Untersuchung des künftigen Gefährdungspotenzials von AktivitÃ?ten und VorgÃ??ngen im Zuge der jeweiligen Auditierung.

Vor allem muss eine vorausschauende Risikobewertung zur Einhaltung der neuen Vorgaben auf der Grundlage nachvollziehbarer und damit revisionssicherer Merkmale und Kennziffern durchgeführt werden. Ausgehend von den weitergehenden Vorgaben an die Aufbau- und Ablauforganisation werden weitgehend Fragen der gestalterischen Abgrenzung von Risikocontrolling und Compliance festgelegt, die in der Regel in der Praxis zwischen Institut und Aufsichtsbehörde (meist im Zuge von Aufsichtsprüfungen) oft auf bilateraler Ebene abgeklärt wurden.

Die MaRisk stellen für die Sicherheitenwertermittlung strengere Maßstäbe; darüber hinaus werden die Voraussetzungen für die Feststellung der Fähigkeit eines Schuldners, seine Schulden zu bedienen, näher spezifiziert. Hierdurch dürften die Kosten für die Bewertung von Sicherheiten, vor allem für Hypothekarkreditgeber, deutlich ansteigen, da sie heute häufig auf Konzepte zur Marktschwankung setzen. Im Hinblick auf die Schuldendienstfähigkeit heben die MaRisk die Bedeutung der Zukunftsperspektiven hervor.

Daher ist bei der Beurteilung der Fähigkeit des Schuldners, seine Schulden zu bedienen, die künftige Vermögens- und Liquiditätslage, einschließlich der wahrscheinlichen Ertragsschwankungen des Schuldners, zu beachten. Erstmalig verlangen die MaRisk die Betrachtung von Konzessionen hinsichtlich der Tilgungsmodalitäten zugunsten eines Darlehensnehmers ("Nachsicht") im Zuge des Risikomanagements. Die MaRisk erfordern die Beachtung von Konzessionen hinsichtlich der Tilgungsmodalitäten zugunsten eines Darlehensnehmers ("Stundung"). Der Begriff der Unterlassung wird von den MaRisk nicht festgelegt und kann auf einzelne Institute zugeschnitten werden.

Weil Nachsicht jedoch bereits im Zusammenhang mit FinRep und AnaCredit von Bedeutung ist, sollten bestehende aufsichtsrechtliche Vorschriften bei der internen Festlegung des Instituts miteinbezogen werden. Ausgehend vom Liquiditätsmanagement müssen zukünftig belastetes Vermögen ("Asset-Belastung") frühzeitig identifiziert und bei der Liquiditätsbeurteilung und im Krisenplan miteinbezogen werden. Bei der Refinanzierung sollten auch etwaige Änderungen (im ökonomischen Kontext und in der eigenen Geschäftstätigkeit) oder Fehlentwicklungen des Refinanzierungsplans miteinbezogen werden.

Darüber hinaus wurden für die Sicherung der Intraday-Liquidität mit konkreten Massnahmen gearbeitet. Aufgrund der gestiegenen Ansprüche, vor allem an die Sicherung und Meldung der Intraday-Liquidität, stehen die Kreditinstitute vor nicht zu unterschätzenden Aufgaben. In der Änderung der MaRisk sind die bereits im Voraus diskutierten Neuerungen im Wesentlichen enthalten. Im Prinzip wurde die lange Zeit zwischen dieser und der letzten Adaption dazu verwendet, an vielen Orten die notwendigen Anpassungen und Updates durchzuführen.

Diese und die in der Praxis meist sehr kurzen Umsetzungsfristen für die Forderungen verstärken den Handlungs- druck auf die Institutionen. Es ist daher ratsam, frühzeitig mit der internen Implementierung der neuen MaRisk zu beginnen.