Die bis dato in der aufsichtlichen Prüfung und Überwachung stark „vernachlässigten“ Zahlungsinstitute werden nun fast schon vergleichbar zu den Banken in die Verantwortung genommen. Denn die bisherigen Prüfungen fanden mit großen Prüfungsteams über mehrere Wochen vor Ort statt. Aus Sicht der beaufsichtigten Institute ist dies ein schmerzhafter und herausfordernder Prozess. Aus Markt- und Kundenschutzsicht als originäre Zwecke des Aufsichtsrechts geht dies dennoch in die richtige Richtung. Nach den Erfahrungen von EY und den EY bekannten Ergebnissen der Bundesbank-/BaFin-Prüfungen bei Zahlungsdienstleistern ist die Branche nämlich noch weit entfernt von einer angemessenen Erfüllung der nunmehr konkret formulierten Anforderungen.
Wie sind die ZAG-MaRisk ausgestaltet?
Die ZAG-MaRisk im Konsultationsentwurf sind vom prinzipienorientierten Aufbau und der Strukturierung her vergleichbar zu der uns allseits bekannten MaRisk BA, aber natürlich an die heterogenen Geschäfts- und Organisationsmodelle von ZAG-Instituten angepasst.
Der Anspruch der Aufsicht ist es, flexible und praxisnahe Regelungen zu schaffen, die die in ihrer Komplexität und Risikosituation unterschiedlichen Geschäftsmodelle der deutschen Zahlungsdienstleister berücksichtigen.
Der Anspruch der Aufsicht ist es, flexible und praxisnahe Regelungen zu schaffen, die die in ihrer Komplexität und Risikosituation unterschiedlichen Geschäftsmodelle der deutschen Zahlungsdienstleister berücksichtigen. Hierfür hat die Aufsicht zahlreiche Öffnungsklauseln vorgesehen, die eine vereinfachte Umsetzung ermöglichen, wenn das Institut eine geringe Komplexität und ein niedriges Gesamtrisikoprofil aufweist und dies hinreichend begründen kann. Letztendlich kommt es im Rahmen der aufsichtlichen Prüfungen auf die Einschätzung der Aufsicht in Bezug auf die Anwendbarkeit der Regelungen für das geprüfte Institut an.
Was sind die Kernpunkte der neuen Regelungen?
Der Konsultationsentwurf der ZAG-MaRisk konkretisiert die Anforderungen an die erwarteten Risikomanagement- und Kontrollmechanismen und die Ausgestaltung der Prozesse, die für eine ordnungsgemäße Geschäftsorganisation nötig sind.
Die ZAG-MaRisk verlangen eine an das Geschäftsmodell angepasste Abschirmung aller wesentlichen Risiken mit Deckungskapital. Faktisch geht es hier um die Risikotragfähigkeit, obwohl interessanterweise dieser konkrete und in der Finanzindustrie etablierte Begriff nicht verwendet wird. Die Aufsicht legt einen besonderen Fokus auf die operativen Risiken und die Steuerungsprozesse dieser Risiken, die grundsätzlich – ebenso wie IT-Risiken – als wesentlich einzustufen sind. Neben den vorherrschenden „OpRisks“ werden explizit die folgenden Risiken genannt:
- Adressausfallrisiken (einschließlich Erfüllungsrisiken und Charge-back-Risiken)
- Marktpreisrisiken (einschließlich Währungsrisiken, Kursrisiken und Risiken zur Einhaltung der Sicherungsanforderungen)
- Geschäftsmodellrisiken
- Liquiditätsrisiken
Institute sind also aufgefordert, sich im Rahmen ihrer Risikoinventur mindestens mit diesen Risiken auseinanderzusetzen und sollten sie für das Institut nicht wesentlich sein, dies hinreichend zu begründen. Weitere, geschäftsmodellimmanente Risiken sind zu identifizieren und ebenfalls in der Risikoinventur zu berücksichtigen. Zudem wird in den verschiedenen Modulen der ZAG-MaRisk eine Berücksichtigung von Risikokonzentrationen und ESG-Risiken immer wieder herausgestellt.
Institute sind also aufgefordert, sich im Rahmen ihrer Risikoinventur mindestens mit diesen Risiken auseinanderzusetzen und sollten sie für das Institut nicht wesentlich sein, dies hinreichend zu begründen. Weitere, geschäftsmodellimmanente Risiken sind zu identifizieren und ebenfalls in der Risikoinventur zu berücksichtigen.
Das Thema Sicherungsanforderungen spielt – zu Recht – in den ZAG-MaRisk eine wesentlich größere Rolle als in den MaRisk BA, denn die vergangenen Prüfungen der Aufsicht haben deutlich gemacht, dass eine praktikable Lösung notwendig ist. Die großen Kreditkarten-Schemes geben mit ihrer Abrechnungsweise den Zahlungsdienstleistern keine andere Möglichkeit, als am Ausführungstag eine Vermischung hinzunehmen und somit gegen § 17 ZAG zu verstoßen. Mit der Regelung kommt die Aufsicht ihrem Anspruch einer praxisnahen Ausgestaltung zumindest in dieser Hinsicht nach. EY ist gespannt auf die Stellungnahmen aus der Branche, ob diese Regelung nun ausreicht, die Probleme im Zusammenhang mit den Treuhandkonten zu lösen.
Ein weiteres wichtiges Thema, zu dem in methodischer, prozessualer beziehungsweise organisatorischer und vertraglicher Hinsicht noch viel Handlungsbedarf besteht, ist das Auslagerungsmanagement. Der Fokus liegt, wie auch in den anderen Bereichen, hier stark auf einem risikoorientierten Prüfungsansatz, und die neuen Regelungen konkretisieren die Erwartungen der Aufsicht an das Vendor Risk Management. Dabei ist zu beachten, dass die Aufsicht das Thema Auslagerung weit auslegt und gerade bei Unternehmen, die sowohl reguliertes als auch unreguliertes Geschäft betreiben, insbesondere bei IT-Auslagerungen den gesamten Geschäftsbetrieb betrachtet und nicht nur den regulierten Teil des Geschäfts.
Gewisse Vereinfachungen halten die neuen ZAG-MaRisk für Konzerne und Gruppen bereit: So können diese ihr Auslagerungsmanagement im Konzern zusammenzufassen.
Was sind die Herausforderungen für die Branche?
Bei Betrachtung der Entwicklung der MaRisk BA ist davon auszugehen, dass der Konsultationsentwurf der ZAG-MaRisk ebenfalls nur den Beginn einer gerade erst angetretenen langen Reise entlang immer neuer Regularien markiert. Zahlungsinstitute stehen unter Druck, diese neuen Regelungen möglichst schnell umzusetzen, um auch auf künftige Änderungen und Erweiterungen des Aufsichtsrechts entsprechend reagieren zu können. Wie bei den Banken wird weiterhin viel Arbeit auf die Branche zukommen und es wird über Jahre kein größeres Ausruhen auf dieser Reise mehr geben.
Zahlungsinstitute stehen unter Druck, diese neuen Regelungen möglichst schnell umzusetzen, um auch auf künftige Änderungen und Erweiterungen des Aufsichtsrechts entsprechend reagieren zu können. Wie bei den Banken wird weiterhin viel Arbeit auf die Branche zukommen und es wird über Jahre kein größeres Ausruhen auf dieser Reise mehr geben.
Die nächsten wichtigen Etappenziele, die hier nur kurz erwähnt werden sollen, sind die folgenden:
- die glaubhafte und damit wirksame Etablierung eines echten „Tone from the Top“ hinsichtlich aller wesentlichen, vor allem neuen Herausforderungen
- eine angemessene Verankerung des „Three-Lines-of-Defence-Modells“ mit einer sauberen Abgrenzung unterschiedlicher Aufgaben, Kompetenzen und Verantwortlichkeiten
- eine selbstkritische Reflexion der Risk-Controlling-Funktion hinsichtlich der bis dato etablierten Verfahren und Methodiken und der Einflusssphäre ihrer Tätigkeit
- eine schriftlich fixierte Ordnung in Form einer Dokumentenpyramide, die methodisch in sich schlüssig beziehungsweise abgestimmt, verhältnismäßig vollständig und zudem aktuell ist
- Entwicklung einer Prozesslandkarte, die aus betriebswirtschaftlicher/ökonomischer Sicht das Geschäftsmodell abdeckt und zudem den zahlreichen aufsichtsrechtlichen Themen dient, die eine solche Landkarte erforderlich macht, u. a. Notfallmanagement, IT-Anwendungen, IKS/Kontrollen, Informations-Schutzbedarfe oder Auslagerungsüberwachung
- eine Risikotragfähigkeitsrechnung, die den spezifischen Anforderungen von Zahlungsdienstleistern aus der ZAG-MaRisk entspricht
Wie ist der Zeitplan für die ZAG-MaRisk?
Die Aufsicht hat die Entwurfsfassung der ZAG-MaRisk zur öffentlichen Konsultation vorgestellt und nimmt bis 6. Dezember 2023 Stellungnahmen der Branche entgegen. Die eingereichten Stellungnahmen sollen auf der Internetseite der BaFin veröffentlicht werden. Den bisherigen Erfahrungen folgend ist dann mit einer Finalisierung im ersten Halbjahr 2024 und einer anschließend sofortigen Wirksamkeit der Regelungen zu rechnen.
Fazit
Die BaFin veröffentlichte den lang erwarteten Entwurf der ZAG-MaRisk, der aufsichtsrechtliche Umsetzungssicherheit für Zahlungsinstitute bringt und die Geschäftsorganisation von Zahlungsinstituten stark beeinflusst. Das neue Rundschreiben berücksichtigt die verschiedenen Geschäftsmodelle der Institute und verlangt eine gezielte Abschirmung von Risiken, insbesondere von operativen, Liquiditäts- und Geschäftsmodellrisiken. Das Thema Sicherungsanforderungen und Auslagerungsmanagement gewinnt an Bedeutung. Die Branche muss sich auf kontinuierliche regulatorische Änderungen einstellen. Die ZAG-MaRisk befinden sich derzeit in der Konsultationsphase und werden voraussichtlich im ersten Halbjahr 2024 in Kraft treten. Zur Unterstützung stehen multidisziplinäre Teams wie die EY Payments Practice bereit.