ZAG-MaRisk – Besondere Teile
Am 27.09.2023 stellte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ihren Entwurf für das Rundschreiben „Mindestanforderungen an das Risikomanagement von ZAG Instituten – ZAG-MaRisk“ zur Konsultation vor. In unserem Beitrag ZAG-MaRisk AT haben wir bereits einen Überblick über den Allgemeinen Teil der ZAG-MaRisk gegeben. In dem folgenden Beitrag wagen wir einen Blick auf die Besonderen Teile der ZAG-MaRisk.
Besondere Anforderungen an das interne Kontrollsystem (BT 1)
Ebenso wie die MaRisk erläutert die ZAG-MaRisk im Besonderen Teil (BT 1) die besonderen Anforderungen an das interne Kontrollsystem. Die Anforderungen beziehen sich vor allem auf die Aufbau- und Ablauforganisation beim Erbringen von Zahlungsdiensten und Betreiben von E-Geld-Geschäften (BTO). In einem zweiten Teil werden dann, wie auch schon in der MaRisk, die Anforderungen an die angemessene Ausgestaltung der Risikosteuerungs- und Risikocontrollingprozesse für operationelle Risiken, Adressenausfallrisiken, Marktpreisrisiken und Liquiditätsrisiken dargestellt (BTR).
Organisatorische Anforderungen (BTO)
In diesem Modul werden besondere Anforderungen an die Ausgestaltung der Prozesse der ZAG-Institute gestellt. Die Anforderungen beziehen sich vor allem auf die Prozesse für Sicherungsanforderungen und Absicherung von Haftungsfällen, Verfahren bei Sicherheitsvorfällen und sicherheitsbezogener Kundenbeschwerden und die Inanspruchnahme von Agenten.
Je nach Komplexität und Risikogehalt der jeweiligen Geschäftsaktivitäten, ist eine vereinfachte Umsetzung der organisatorischen Anforderungen des BTO möglich.
Grundsätzlich haben ZAG-Institute jedoch differenzierte Bearbeitungsgrundsätze zu formulieren, eine klare und geeignete Kompetenzordnung zu schaffen und ihren Geschäften wirksame rechtliche Vereinbarungen zu Grunde zu legen.
Sicherungsanforderungen und Absicherung von Haftungsfällen (BTO 1)
BTO 1 der ZAG-MaRisk regelt die Anforderungen an die Sicherung der Gelder der Zahlungsdienstnutzer bzw. E-Geld-Inhaber.
Wenig überraschend sind die Anforderungen an die Nutzung von Treuhandkonten durch die ZAG-Institute. Diese entsprechen der bisherigen Verwaltungspraxis der BaFin. Hiernach muss das ZAG-Institut mit dem treuhandkontoführenden Institut eine geeignete Treuhandvereinbarung schließen. Es werden in nicht abschließender Weise einige Vertragsklauseln genannt, die in eine Treuhandvereinbarung aufzunehmen sind. Die ZAG-MaRisk stellen entsprechend der bisherigen Verwaltungspraxis der BaFin klar, dass eingehende Gelder unmittelbar auf dem Treuhandkonto entgegenzunehmen sind und zu keinem Zeitpunkt eigene Gelder des ZAG-Instituts auf das Treuhandkonto gelangen dürfen. Rücklastschriften dürfen nur auf Treuhandeinzelkonten zugelassen werden, nicht auf Treuhandsammelkonten. Das ZAG-Institut hat Kontenabstimmungsprozesse einzurichten, die außerhalb des operativen Geschäftsbereiches anzusiedeln sind.
Die Ausführungen zur Sicherung der Gelder über die Investition in sichere, liquide Aktiva oder durch eine Versicherung oder eine vergleichbare Garantie sind dürftig und wenig erhellend. Dies spiegelt die relativ geringe Bedeutung dieser Sicherungsmethoden in der Praxis wider.
Betrugsprävention, Sicherheitsvorfälle und sicherheitsbezogene Kundenbeschwerden (BTO 2)
Im Hinblick auf die Betrugsprävention sowie die Überwachung, Handhabung und Folgemaßnahmen bei Sicherheitsvorfällen und sicherheitsbezogene Kundenbeschwerden haben ZAG-Institute geeignete organisatorische Maßnahmen und Verfahren zu implementieren. Zudem haben ZAG-Institute eine Kontaktstelle als Anlaufstelle für Kunden im Falle von Betrugsfällen, technischen Problemen oder Anliegen beim Forderungsmanagement einzurichten. In BTO 2 der ZAG-MaRisk werden hierzu jedoch nur generelle Vorgaben formuliert, ohne weiter ins Detail zu gehen.
Inanspruchnahme von Agenten (BTO 3)
Die in BTO 3 der ZAG-MaRisk formulierten organisatorischen Anforderungen bei der Inanspruchnahme von Agenten geben nur die in § 25 Abs. 2 ZAG enthaltenen Vorgaben wieder. Auch die Anforderung, mit dem Agenten eine schriftliche Vereinbarung zu treffen, welche die Pflichten des Agenten und die Rechte des ZAG-Instituts einschließlich Weisungs- und Kündigungsrechte sowie Kontrollrechte des Instituts und dessen Prüfern festschreibt, ist schon durch § 2 Abs. 1 der Agentennachweisverordnung vorgegeben.
Anforderungen an die Risikosteuerungs- und Risikocontrollingprozesse (BTR)
Die ZAG-MaRisk verpflichten die ZAG-Institute, ebenso wie die MaRisk, zur Einrichtung von Risikosteuerungs- und -controllingprozessen in Bezug auf operationelle Risiken, Adressenausfallrisiken, Marktpreisrisiken und Liquiditätsrisiken, wobei auch ESG-Risiken angemessen zu berücksichtigen sind.
Aus dem Umstand, dass die operationellen Risiken (BTR 1 der ZAG-MaRisk) an vorderster Stelle behandelt werden, lässt sich ableiten, dass nach Ansicht der BaFin die operationellen Risiken für ZAG-Institute die bedeutsamste Risikokategorie darstellen. Die Anforderungen an die Prozesse zur Steuerung und zum Controlling der operationellen Risiken entsprechen hierbei den Anforderungen der MaRisk.
Die Adressenausfallsrisiken (BTR 2 der MaRisk) sind insbesondere durch die Festsetzung und Überwachung von Limiten, durch die Identifizierung von Risikokonzentrationen und durch die regelmäßige Risikobewertung von Geschäftsbeziehungen zu steuern. Die MaRisk enthält hierzu ähnliche – wenn auch ausführlichere – Vorgaben.
Deutlich „abgespeckt“ im Vergleich zur MaRisk fallen die Anforderungen der ZAG-MaRisk für Marktpreisrisken (BTR 3 der ZAG-MaRisk) und Liquiditätsrisiken (BTR 4 der ZAG-MaRisk) aus. Die Eingehung von Marktpreisrisiken sind hiernach zu begrenzen und einer laufenden, vom Geschäftsabschluss unabhängigen Kontrolle zu unterziehen. In Bezug auf die Steuerung von Liquiditätsrisiken schreibt die ZAG-MaRisk u.a. die Aufstellung eines internen Finanzierungsplans vor, der in der Regel einen mehrjährigen Zeitraum umfasst.
Besondere Anforderungen an die Ausgestaltung der Internen Revision (BT 2)
Die Anforderungen an die Ausgestaltung der Internen Revision von ZAG-Instituten findet sich in Modul BT 2 der ZAG-MaRisk. Sie decken sich mit den entsprechenden Anforderungen in der MaRisk. Maßgeblicher Unterschied ist, dass die Vorlage eines Quartalsberichts an die Geschäftsleitung und das Aufsichtsorgan des ZAG-Instituts nicht zwingend erforderlich ist. Ausreichend ist grundsätzlich ein Jahresbericht.
Anforderung an die Risikoberichterstattung (BT 3)
Das Modul BT 3 der ZAG-MaRisk stellt die Anforderungen an die Risikoberichterstattung dar. Die inhaltlichen Anforderungen an die Risikoberichte sind im Vergleich zur den in den MaRisk aufgestellten Anforderungen etwas geringer. Die ZAG-MaRisk geben einen jährlichen Regelberichtszyklus vor, wohingegen die MaRisk einen vierteljährlichen Regelberichtszyklus vorschreiben.
