MaRisk für Zahlungs- und E-Geld-Institute seit dem 27. Mai 2024 – Zusammenfassung und Empfehlungen für die notwendige Analyse und Umsetzung
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat letztes Jahr den schon lange erwarteten Entwurf zu den Mindestanforderungen an das Risikomanagement von Zahlungsinstituten und -dienstleistern (ZAG-MaRisk) veröffentlicht.
Bis zum 6. Dezember 2023 stand dieser Entwurf zur Konsultation und seit dem 27. Mai 2024 sind die ZAG-MaRisk nun final veröffentlicht.
1. Bedeutung der finalen ZAG-MaRisk für die Payment-Branche
Nach § 27 ZAG (Zahlungsdiensteaufsichtsgesetz) sind Zahlungs- wie auch E-Geld Institute zur Einrichtung einer ordnungsmäßigen Geschäftsorganisation verpflichtet. Zur näheren Auslegung wurden bislang als Anhaltspunkt gerne die MaRisk für Banken (MaRisk BA) herangezogen - wohlwissend, dass diese formal keinen Geltungsbereich für die ZAG-Institute hatten. Diese Lücke hat die BaFin nun mit der Veröffentlichung der finalen ZAG-MaRisk geschlossen. Die ZAG-MaRisk treten mit ihrer Veröffentlichung in Kraft, allerdings hat die BaFin eine Übergangsfrist gewährt und erwartet die Umsetzung der Anforderungen zum 1. Januar 2025. Eine Überprüfung der Umsetzung kann danach jederzeit durch die Aufsicht erfolgen, zumal Sonderprüfungen bei ZAG-Instituten immer mehr in den Fokus der Aufsicht rücken. Die Überprüfung durch die Aufsicht kann durch ein Prüfungsteam vor Ort oder bereits durch die Übermittlung von (Prüfungs-)Fragen und zeitnahe Abfrage von Unterlagen erfolgen.
2. Kernpunkte der finalen ZAG-MaRisk und Änderungen ggü. der Entwurfsfassung vom 27. September 2023
In den finalen ZAG-MaRisk werden die Anforderungen an die erwarteten Risikomanagement- und Kontrollmechanismen und die Ausgestaltung der Prozesse, die für eine ordnungsgemäße Geschäftsorganisation erforderlich sind, konkreter festgelegt.
Die ZAG-MaRisk sind in zwei Hauptteile gegliedert: den Allgemeinen Teil (AT) und den Besonderen Teil (BT), die beide modular aufgebaut sind. Der Allgemeine Teil umfasst grundlegende Anforderungen, die nicht spezifisch auf die im BT behandelten Geschäftsarten und Risiken bezogen sind. Aufgrund ihres übergreifenden Charakters sind diese Anforderungen vor die Klammer gezogen und gelten unabhängig von den jeweiligen Geschäftsarten und Risiken.
Ein Kernelement stellt dabei der Aufbau eines Risikolebenszyklus dar:
- Strategieprozess: Festlegung und Anpassung einer Geschäfts- und Risikostrategie
- Risikoinventur: Identifikation und Beurteilung der Wesentlichkeit der für das ZAG-Institut relevanten Risiken (Gesamtrisikoprofil)
- Abschirmung von Risiken (Risikotragfähigkeitskonzept): Bemessung aller wesentlichen Risiken des ZAG-Instituts und Sicherstellung, dass diese durch Risikodeckungspotenzial ausreichend abgeschirmt sind (Analyse der Risikotragfähigkeit)
- Stresstest: Durchführung von regelmäßigen sowie anlassbezogenen Stresstests für die wesentlichen Risiken des ZAG-Instituts
- Risikoüberwachung und -berichterstattung: Regelmäßige Verpflichtung der Überwachung von Risiken sowie Risikoberichterstattung an die Geschäftsführung.
Weitere Wesentliche Bereiche sind:
- System of Governance: Funktionstrennung zur Vermeidung von Interessenkonflikten, sowie Aufbau eines Risikocontrollings, einer Compliance und einer internen Revision
- Internes Kontrollsystem (IKS) und Prozesse für Auslagerungsmanagement, Einführung neuer Produkte und Notfallmanagement (BCM)
Der Besondere Teil hingegen enthält spezifische Vorgaben für das interne Kontrollsystem, die Aufbau- und Ablauforganisation sowie für die Risikosteuerungs- und Risikocontrolling-Prozesse. Zudem konkretisiert er die Anforderungen an die interne Revision und an die Risikoberichterstattung.
Die ZAG-MaRisk legen ein besonderes Augenmerk auf die operationellen Risiken (einschließlich IT-Risiken) und die Steuerungsprozesse in Bezug auf diese Risiken. Des Weiteren werden die folgenden Risiken genannt:
- Adressausfallrisiken (einschließlich Erfüllungsrisiken und Charge-Back-Risiken)
- Marktpreisrisiken (einschließlich Währungsrisiken und Risiken im Hinblick auf die Anlagen zur Liquiditätssicherung und Einhaltung der gesetzlichen Sicherungsanforderungen)
Liquiditätsrisiken ggf. auch sonstige Risiken, wie etwa Reputationsrisiken in Abhängigkeit vom konkreten Gesamtrisikoprofil des ZAG-Instituts
Die ZAG-Institute müssen sich also im Rahmen der Durchführung der Risikoinventur mit diesen Risiken beschäftigen und nachvollziehbar begründen, warum ggf. ein Risiko nicht wesentlich ist. Des Weiteren wird in den ZAG-MaRisk auch eine Berücksichtigung von Risikokonzentrationen und ESG-Risiken gefordert.
3. Bestimmte Anforderungen erfordern ein besonderes Augenmerk
a) Sicherheitenanforderungen und Führung der Treuhandkonten
Die großen Kreditkartengesellschaften machen den Zahlungsdienstleistern bezüglich ihrer Abrechnungsweise häufig Vorgaben bis wann Zahlungen ausgeführt werden müssen. Dies kann dazu führen, dass es gerade am Ausführungstag zu einer Vermischung von Zahlungen kommen kann. Mit den Anforderungen des BTO 1 bis 3 ZAG MaRisk gibt die Aufsicht nun konkrete Ausgestaltungsmöglichkeiten vor, die von den ZAG-Instituten umgesetzt werden müssen.
Die Anforderungen an die Prozesse zur Einhaltung des Vermischungsverbots bezüglich der Treuhandgelder nach § 17 ZAG werden nun im Abschnitt BTO 1 der ZAG-MaRisk weiter konkretisiert. Hierzu sind entsprechende institutsinterne Arbeitsanweisungen zu erstellen und im Rahmen der Vorgaben auszugestalten. Darüber hinaus sind auch weitergehende organisatorische Vorgaben zu beachten, z.B. dass Kontrolleinheiten außerhalb des operativen Geschäfts anzusiedeln sind. Die Art der Treuhandkontenführung bzw. deren Konzeption hat dabei die Ausgestaltung der Kontrollfunktionen, die Prozesse zur Sicherstellung des Vermischungsverbots sowie der Sicherstellung der Wirksamkeit zu umfassen.
b) Umgang mit Betrug, Sicherheitsvorfällen und Kundenbeschwerden
Die MaRisk (ZAG) konkretisieren nun auch die Anforderungen für den Umgang mit Betrugsfällen, Sicherheitsvorfällen und Kundenbeschwerden. Hierbei ist eine spezielle Kontaktstelle zur schnellen Bearbeitung solcher Vorfälle erforderlich. Ziel ist es, die Reaktionsfähigkeit der Institute zu verbessern und die Kommunikation transparenter und effizienter zu gestalten. Dies kann zusätzliche Ressourcen erfordern und bringt ggf. die Herausforderung für die ZAG-Institute, Systeme zu implementieren, die eine korrekte Meldung und Bearbeitung aller relevanten Vorfälle gewährleisten.
c.) Auslagerungsmanagement und Inanspruchnahme von Agenten
Beim Auslagerungsmanagement liegt die Herausforderung insbesondere in der Erwartungshaltung der Aufsicht hinsichtlich der Art der Risikoanalysen, deren Bewertungen sowie dem so genannten Vendor Risk Management. Um den Anforderungen hier Rechnung tragen zu können, ist es sinnvoll die vorhanden Prozesse und Verfahren einer gezielten Qualitätssicherung oder einem Benchmarking zu unterziehen. Auch für die Nutzung von Agenten hat die Aufsicht die Anforderungen nach § 25 Abs. 2 Satz 1 ZAG weiter konkretisiert. So ist zukünftig eine fachliche Eignung der Agenten sicherzustellen und eine entsprechende Dokumentation vorzuhalten. Ebenso sind schriftliche Vereinbarungen zu treffen, die Pflichten und Rechte beider Parteien festlegen.
4. Was hat sich geändert gegenüber der Entwurfsfassung?
Gegenüber der Entwurfsfassung der ZAG-MaRisk vom 27. September 2023 ergeben sich überwiegend Konkretisierungen, jedoch keine wesentlichen inhaltlichen Änderungen. Die BaFin unterstreicht damit, dass sie trotz der Diskussionen über den Umfang der Anforderungen im Rahmen der Konsultation weiterhin die Erwartungshaltung hat, bankähnliche Standards bei ZAG-Instituten unter Berücksichtigung des Proportionalitätsprinzips zu fordern. Folgende Konkretisierungen sind insbesondere hervorzuheben:
- Erweiterte Klarstellungen und Definitionen: Es wurden zusätzliche Klarstellungen hinzugefügt, um die Praxisrelevanz und Integrität der Prozesse zu stärken. Dazu gehört beispielsweise die Einführung von Übergangsfristen beim Wechsel von Mitarbeiter:innen in die Risikocontrolling- und Compliance-Funktion sowie die genaue Definition der operativen Geschäftsbereiche.
- Spezifische Anpassungen im Bereich der Auslagerung: Es wurden detailliertere Vorgaben und Klarstellungen zu den Anforderungen bei der Auslagerung von Funktionen und Prozessen eingeführt. Insbesondere wurde klargestellt, dass die vollständige Auslagerung von besonderen Funktionen wie Risikocontrolling und Compliance nur unter bestimmten Bedingungen zulässig ist und es wurden spezifische Erleichterungen für gruppeninterne Auslagerungen festgelegt.
In unserem Fachartikel vom 15. Februar 2024 hatten wir Ihnen auch einen umfassenden Überblick über die Anforderungen aus den ZAG-MaRisk gegeben. Jetzt ist es Zeit zu handeln und die Zeit bis zum 1. Januar 2025 für die aufsichtskonforme Umsetzung der neuen Anforderungen der ZAG-MaRisk (einschließlich der entsprechenden schriftlichen Dokumentation im Anweisungswesen) zu nutzen.
Unsere Expert:innen beraten Sie gerne bei der Umsetzung der neuen Anforderungen der ZAG-MaRisk. PwC unterstützt Sie dabei, die regulatorischen Veränderungen im Blick zu behalten, frühzeitig strategische Maßnahmen zu ergreifen und Ihr Risikomanagement optimal auszugestalten. Gerne helfen wir Ihnen auch in einem ersten Schritt etwaige Lücken oder Unklarheiten zu identifizieren und daraus entsprechende Handlungsmaßnahmen abzuleiten.
Laufende Updates zum Thema erhalten Sie über das regulatorische Horizon Scanning in unserer Recherche-Applikation PwC Plus. Lesen Sie hier mehr über die Möglichkeiten und Angebote. |
---|