Mindestanforderungen für Risikomanagement bei ZAG Instituten (1)

Mindestanforderungen für Risikomanagement bei ZAG Instituten | von Annerton Anwalt Joerg Streissle

Update: Die ZAG-MaRisk wurde nach verlängerter Konsultation am 27.5.2024 veröffentlicht.

Laut Begleitschreibens der BaFin zur Veröffentlichung weicht die finale Fassung von den vorangegangenen Entwürfen, auf denen dieser Blogartikel beruht, ab. Die nun veröffentlichte Fassung entspricht mit nur wenigen, eher marginalen Änderungen dem Entwurf, den die BaFin acht Monate zuvor zur Konsultation stellte. Wir haben diese Fassung in einem Beitrag zusammengefasst.

Der aktualisierte Entwurf der BaFin ist hier einsehbar.

ZAG-MaRisk – Allgemeiner Teil

Am 27.09.2023 stellte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ihren Entwurf für das Rundschreiben „Mindestanforderungen an das Risikomanagement von ZAG Instituten – ZAG-MaRisk“ zur Konsultation vor.

Wenig überraschend ist der Entwurf für die ZAG-MaRisk der für Kredit- und Finanzdienstleistungsinstitute geltenden MaRisk nachgebaut, deren nunmehr schon 7. Novelle im Mai dieses Jahres veröffentlicht wurde (https://paytechlaw.com/von-esg-risiken-die-siebte-marisk-novelle/). Insbesondere der Allgemeine Teil (AT) der MaRisk wurde weitgehend in den Entwurf für die ZAG-MaRisk übernommen.

In diesem Beitrag beschäftige ich mit dem Allgemeinen Teil (AT) der ZAG-MaRisk. In einem Folgebeitrag werden wir uns mit den Besonderen Teilen der ZAG-MaRisk auseinandersetzen.

Was sind die MaRisk?

Mit den MaRisk bringt die BaFin zum Ausdruck, welche Anforderungen sie an ein angemessenes und wirksames Risikomanagement der Kredit- und Finanzdienstleistungsinstitute stellt. Bei den ZAG-MaRisk geht die BaFin zumindest sprachlich gar einen Schritt weiter und spricht global von einem Rahmen für die Ausgestaltung der Geschäftsorganisation von Zahlungs- und E-Geld-Instituten.

Auch wenn MaRisk und ZAG-MaRisk rechtlich gesehen keinen Gesetzescharakter haben, kommt ihnen in der Praxis überragende Bedeutung zu. An ihnen muss sich die Aufbau- und Ablauforganisation der der Aufsicht der BaFin unterstehenden Institute messen lassen.

An wen wendet sich die ZAG-MaRisk?

Das Rundschreiben richtet sich an alle Institute im Sinne des ZAG, mithin an alle Zahlungs- und E-Geld-Institute (ZAG-Institute). Die ZAG-MaRisk gilt somit auch für Zahlungsauslöse- und Kontoinformationsdienste. Zweigniederlassungen deutscher ZAG-Institute im Ausland haben die ZAG-MaRisk ebenfalls zu beachten. Für Zweigniederlassungen von Unternehmen mit Sitz in einem anderen Mitgliedsstaat des Europäischen Wirtschaftsraums (EWR) finden sie hingegen keine Anwendung.

Proportionalitätsgrundsatz

Die ZAG-MaRisk sind sehr abstrakt gehalten. Sie folgen ebenso wie die MaRisk dem Prinzip der sogenannten doppelten Proportionalität. Die institutsspezifische Ausgestaltung der Geschäftsorganisation orientiert sich demnach zum einen an Art und Umgang der vom jeweiligen ZAG-Institut betriebenen Geschäfte und zum anderen an deren spezifischem Risikoprofil. Beiden Aspekten müssen die vom ZAG-Institut getroffenen Maßnahmen in angemessener Weise Rechnung tragen.

Risiken

Die Anforderungen der ZAG-MaRisk beziehen sich auf das Management derjenigen Risiken, die ein ZAG-Institut auf Basis seines Gesamtrisikoprofils für sich als wesentlich beurteilt.

Operationelle Risiken einschließlich der IT-Risiken sind grundsätzlich als wesentlich einzustufen. Adressenausfall-, Marktpreis-, Geschäftsmodell- und Liquiditätsrisiken betrachtet die ZAG-MaRisk hingegen nur in Abhängigkeit des Geschäftsmodells als wesentlich und setzt sich insofern von der MaRisk ab.

Allgemeine Anforderungen an das Risikomanagement

Allgemein fordern die ZAG-MaRisk, dass die wesentlichen Risiken eines ZAG-Instituts ausreichend abgeschirmt sind. Der zentrale Begriff der MaRisk, nämlich die Risikotragfähigkeit (RTF), und die sehr detaillierten Regelungen zu deren Sicherstellung fanden keinen Eingang in die ZAG-MaRisk.

Ebenso wie die KWG-Institute sind auch ZAG-Institute verpflichtet, ein Internes Kontrollsystem (IKS) zu implementieren. Hierbei ist – dem Proportionalitätsgrundsatz entsprechend – Art, Umfang Komplexität und Risikogehalt der Geschäftsaktivitäten Rechnung zu tragen. Die Vorgaben in der ZAG-MaRisk betreffen sowohl die Aufbau- und Ablauforganisation der ZAG-Institute als auch die Einrichtung von Prozessen zur Risikosteuerung und – -controlling und die Schaffung entsprechender Funktionen. Regelmäßig sind Stresstests zur Validierung der getroffenen Maßnahmen durchzuführen.

ZAG-Institute müssen – wiederum im Gleichklang zu ihren Cousins und Cousinen aus der Bank- oder Finanzdienstleistungsbranche – über eine Risikomanagement bzw. -controlling-, eine Compliance- und eine Interne Revision- bzw. Audit-Funktion verfügen. Deren jeweilige Ansiedelung im Organigramm eines ZAG-Instituts, Aufgaben und Kompetenzen gibt die ZAG-MaRisk sehr detailliert vor.

Outsourcing

Geradezu berühmt-berüchtigt sind die Anforderungen an wesentliche Auslagerungen von KWG- Instituten in AT 9 der MaRisk. Diese hat die ZAG-MaRisk nunmehr fast wortgleich übernommen. Sehr detailliert werden die Anforderungen an die Analyse von auslagerungsspezifischen Risiken, die notwendigen Regelung in einem Auslagerungsvertrag und die Überwachung der ausgelagerten Tätigkeit durch das auslagernde ZAG-Institut vorgegeben.



Indem Sie fortfahren, akzeptieren Sie unsere Datenschutzerklärung.
You May Also Like