7 Minuten Lesezeit 12 Dezember 2023
Lass uns einen schönen Platz zum Ausruhen buchen

Was Sie über die ZAG-MaRisk wissen müssen

Autoren
Max Weber

EY Germany FSO Consulting Partner and EY EMEIA Climate Change Risk Pillar Lead, EY Consulting GmbH | Deutschland

Leiter der FSRM Services in Deutschland Sponsoringpartner für Climate Change Risk in EMEIA Glücklich verheiratet, drei Kinder. Lebt in Stuttgart.

Nora von Obstfelder

Senior Manager, Financial Services, EY Strategy & Transactions GmbH | Deutschland

Als Payments Growth Driver verantwortlich für Account Coverage und Go-to-Market-Strategien im Payments Sektor in Deutschland.

7 Minuten Lesezeit 12 Dezember 2023
Verwandte Themen Finanzdienstleistungen Banken & Kapitalmärkte Consulting Zahlungsverkehr
Gefällt mir

Weitere Materialien

Die BaFin veröffentlichte den lang erwarteten Entwurf der ZAG-MaRisk, der die Geschäftsorganisation von Zahlungsinstituten stark beeinflusst.

Überblick
  • Neues BaFin-Rundschreiben bringt aufsichtsrechtliche Umsetzungssicherheit für Zahlungsinstitute.
  • Die ZAG-MaRisk erfordern eine gezielte Abschirmung insbesondere von operativen, Liquiditäts- und Geschäftsmodellrisiken sowie verstärkte Sicherheitsanforderungen.
  • Die ZAG-MaRisk befinden sich in der Konsultationsphase und treten voraussichtlich im ersten Halbjahr 2024 in Kraft.

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat einen schon lange erwarteten Entwurf zu den Mindestanforderungen an das Risikomanagement von Zahlungsinstituten und -dienstleistern (ZAG-MaRisk) veröffentlicht und diesen bis 6. Dezember 2023 zur Konsultation gestellt. Wir nehmen das neue Rundschreiben unter die Lupe und stellen die wichtigsten Punkte vor.

Warum ist dieser Entwurf so wichtig für die deutsche Payment-Branche?

Zahlungs- wie auch E-Geld-Institute sind als Institute nach dem Zahlungsdiensteaufsichtsgesetz (ZAG) zu einer ordnungsmäßigen Geschäftsorganisation verpflichtet. Was genau dies bedeutet und umfasst, stand bislang im nationalen Aufsichtsrecht nur generisch in § 25 ZAG beschrieben – und es wurden immer wieder die MaRisk BA (Banken) als Anhaltspunkte für eine ordnungsgemäße Geschäftsführung von der Aufsicht herangezogen, ohne dass diese wirklich formale Geltung für ZAG-Institute hatten. Diese fehlende Klarheit über das Verständnis beziehungsweise die Auslegung barg viel Unsicherheit und Spielraum für die Zahlungsdienstleister. Beispielsweise wurde die Einrichtung einer Compliance-Funktion von der Aufsicht als obligatorisch unterstellt, obwohl der Begriff „Compliance“ im gesamten ZAG (im Gegensatz zum KWG) nicht zu finden ist.

Seit knapp zwei Jahren laufen intensive Prüfungen der Aufsicht nach § 19 Abs. 1 ZAG bei ZAG-Instituten zur Ordnungsmäßigkeit der (aufsichtskonformen) Geschäftsorganisation. In diesen Prüfungen – denen aufgrund der erwähnten fehlenden Spezifizierung und Kodifizierung die MaRisk BA zugrunde gelegt wurden – zeigte sich immer wieder das zum Teil weite auseinanderklaffende Verständnis der Geltung der MaRisk BA für ZAG-Institute zwischen den Prüfern der Aufsichtsbehörden (BaFin/Bundesbank) und den Instituten.

Lass uns einen schönen Platz zum Ausruhen buchen

EY Payments Connect Roundtable

ZAG-MaRisk - Mindestanforderungen an das Risikomanagement von Zahlungsinstituten und -dienstleistern

Jetzt anmelden

Die bis dato in der aufsichtlichen Prüfung und Überwachung stark „vernachlässigten“ Zahlungsinstitute werden nun fast schon vergleichbar zu den Banken in die Verantwortung genommen. Denn die bisherigen Prüfungen fanden mit großen Prüfungsteams über mehrere Wochen vor Ort statt. Aus Sicht der beaufsichtigten Institute ist dies ein schmerzhafter und herausfordernder Prozess. Aus Markt- und Kundenschutzsicht als originäre Zwecke des Aufsichtsrechts geht dies dennoch in die richtige Richtung. Nach den Erfahrungen von EY und den EY bekannten Ergebnissen der Bundesbank-/BaFin-Prüfungen bei Zahlungsdienstleistern ist die Branche nämlich noch weit entfernt von einer angemessenen Erfüllung der nunmehr konkret formulierten Anforderungen.

Wie sind die ZAG-MaRisk ausgestaltet?

Die ZAG-MaRisk im Konsultationsentwurf sind vom prinzipienorientierten Aufbau und der Strukturierung her vergleichbar zu der uns allseits bekannten MaRisk BA, aber natürlich an die heterogenen Geschäfts- und Organisationsmodelle von ZAG-Instituten angepasst.

Der Anspruch der Aufsicht ist es, flexible und praxisnahe Regelungen zu schaffen, die die in ihrer Komplexität und Risikosituation unterschiedlichen Geschäftsmodelle der deutschen Zahlungsdienstleister berücksichtigen.

Der Anspruch der Aufsicht ist es, flexible und praxisnahe Regelungen zu schaffen, die die in ihrer Komplexität und Risikosituation unterschiedlichen Geschäftsmodelle der deutschen Zahlungsdienstleister berücksichtigen. Hierfür hat die Aufsicht zahlreiche Öffnungsklauseln vorgesehen, die eine vereinfachte Umsetzung ermöglichen, wenn das Institut eine geringe Komplexität und ein niedriges Gesamtrisikoprofil aufweist und dies hinreichend begründen kann. Letztendlich kommt es im Rahmen der aufsichtlichen Prüfungen auf die Einschätzung der Aufsicht in Bezug auf die Anwendbarkeit der Regelungen für das geprüfte Institut an.

Was sind die Kernpunkte der neuen Regelungen?

Der Konsultationsentwurf der ZAG-MaRisk konkretisiert die Anforderungen an die erwarteten Risikomanagement- und Kontrollmechanismen und die Ausgestaltung der Prozesse, die für eine ordnungsgemäße Geschäftsorganisation nötig sind.

Die ZAG-MaRisk verlangen eine an das Geschäftsmodell angepasste Abschirmung aller wesentlichen Risiken mit Deckungskapital. Faktisch geht es hier um die Risikotragfähigkeit, obwohl interessanterweise dieser konkrete und in der Finanzindustrie etablierte Begriff nicht verwendet wird. Die Aufsicht legt einen besonderen Fokus auf die operativen Risiken und die Steuerungsprozesse dieser Risiken, die grundsätzlich – ebenso wie IT-Risiken – als wesentlich einzustufen sind. Neben den vorherrschenden „OpRisks“ werden explizit die folgenden Risiken genannt:

  • Adressausfallrisiken (einschließlich Erfüllungsrisiken und Charge-back-Risiken)
  • Marktpreisrisiken (einschließlich Währungsrisiken, Kursrisiken und Risiken zur Einhaltung der Sicherungsanforderungen)
  • Geschäftsmodellrisiken
  • Liquiditätsrisiken

Institute sind also aufgefordert, sich im Rahmen ihrer Risikoinventur mindestens mit diesen Risiken auseinanderzusetzen und sollten sie für das Institut nicht wesentlich sein, dies hinreichend zu begründen. Weitere, geschäftsmodellimmanente Risiken sind zu identifizieren und ebenfalls in der Risikoinventur zu berücksichtigen. Zudem wird in den verschiedenen Modulen der ZAG-MaRisk eine Berücksichtigung von Risikokonzentrationen und ESG-Risiken immer wieder herausgestellt.

So unterstützen wir Sie

EY ifb Finance & Risk Transformation für Finanzunternehmen

EY ifb entwickelt eine integrierte Daten-, Prozess- und Anwendungslandschaft für Ihre Finanz- und Risikomanagementsysteme. Erfahren Sie mehr.

Mehr lesen

Institute sind also aufgefordert, sich im Rahmen ihrer Risikoinventur mindestens mit diesen Risiken auseinanderzusetzen und sollten sie für das Institut nicht wesentlich sein, dies hinreichend zu begründen. Weitere, geschäftsmodellimmanente Risiken sind zu identifizieren und ebenfalls in der Risikoinventur zu berücksichtigen.

Das Thema Sicherungsanforderungen spielt – zu Recht – in den ZAG-MaRisk eine wesentlich größere Rolle als in den MaRisk BA, denn die vergangenen Prüfungen der Aufsicht haben deutlich gemacht, dass eine praktikable Lösung notwendig ist. Die großen Kreditkarten-Schemes geben mit ihrer Abrechnungsweise den Zahlungsdienstleistern keine andere Möglichkeit, als am Ausführungstag eine Vermischung hinzunehmen und somit gegen § 17 ZAG zu verstoßen. Mit der Regelung kommt die Aufsicht ihrem Anspruch einer praxisnahen Ausgestaltung zumindest in dieser Hinsicht nach. EY ist gespannt auf die Stellungnahmen aus der Branche, ob diese Regelung nun ausreicht, die Probleme im Zusammenhang mit den Treuhandkonten zu lösen.

Ein weiteres wichtiges Thema, zu dem in methodischer, prozessualer beziehungsweise organisatorischer und vertraglicher Hinsicht noch viel Handlungsbedarf besteht, ist das Auslagerungsmanagement. Der Fokus liegt, wie auch in den anderen Bereichen, hier stark auf einem risikoorientierten Prüfungsansatz, und die neuen Regelungen konkretisieren die Erwartungen der Aufsicht an das Vendor Risk Management. Dabei ist zu beachten, dass die Aufsicht das Thema Auslagerung weit auslegt und gerade bei Unternehmen, die sowohl reguliertes als auch unreguliertes Geschäft betreiben, insbesondere bei IT-Auslagerungen den gesamten Geschäftsbetrieb betrachtet und nicht nur den regulierten Teil des Geschäfts.

Gewisse Vereinfachungen halten die neuen ZAG-MaRisk für Konzerne und Gruppen bereit: So können diese ihr Auslagerungsmanagement im Konzern zusammenzufassen.

Was sind die Herausforderungen für die Branche?

Bei Betrachtung der Entwicklung der MaRisk BA ist davon auszugehen, dass der Konsultationsentwurf der ZAG-MaRisk ebenfalls nur den Beginn einer gerade erst angetretenen langen Reise entlang immer neuer Regularien markiert. Zahlungsinstitute stehen unter Druck, diese neuen Regelungen möglichst schnell umzusetzen, um auch auf künftige Änderungen und Erweiterungen des Aufsichtsrechts entsprechend reagieren zu können. Wie bei den Banken wird weiterhin viel Arbeit auf die Branche zukommen und es wird über Jahre kein größeres Ausruhen auf dieser Reise mehr geben.

Zahlungsinstitute stehen unter Druck, diese neuen Regelungen möglichst schnell umzusetzen, um auch auf künftige Änderungen und Erweiterungen des Aufsichtsrechts entsprechend reagieren zu können. Wie bei den Banken wird weiterhin viel Arbeit auf die Branche zukommen und es wird über Jahre kein größeres Ausruhen auf dieser Reise mehr geben.

Die nächsten wichtigen Etappenziele, die hier nur kurz erwähnt werden sollen, sind die folgenden:

  • die glaubhafte und damit wirksame Etablierung eines echten „Tone from the Top“ hinsichtlich aller wesentlichen, vor allem neuen Herausforderungen
  • eine angemessene Verankerung des „Three-Lines-of-Defence-Modells“ mit einer sauberen Abgrenzung unterschiedlicher Aufgaben, Kompetenzen und Verantwortlichkeiten
  • eine selbstkritische Reflexion der Risk-Controlling-Funktion hinsichtlich der bis dato etablierten Verfahren und Methodiken und der Einflusssphäre ihrer Tätigkeit
  • eine schriftlich fixierte Ordnung in Form einer Dokumentenpyramide, die methodisch in sich schlüssig beziehungsweise abgestimmt, verhältnismäßig vollständig und zudem aktuell ist
  • Entwicklung einer Prozesslandkarte, die aus betriebswirtschaftlicher/ökonomischer Sicht das Geschäftsmodell abdeckt und zudem den zahlreichen aufsichtsrechtlichen Themen dient, die eine solche Landkarte erforderlich macht, u. a. Notfallmanagement, IT-Anwendungen, IKS/Kontrollen, Informations-Schutzbedarfe oder Auslagerungsüberwachung
  • eine Risikotragfähigkeitsrechnung, die den spezifischen Anforderungen von Zahlungsdienstleistern aus der ZAG-MaRisk entspricht

Wie ist der Zeitplan für die ZAG-MaRisk?

Die Aufsicht hat die Entwurfsfassung der ZAG-MaRisk zur öffentlichen Konsultation vorgestellt und nimmt bis 6. Dezember 2023 Stellungnahmen der Branche entgegen. Die eingereichten Stellungnahmen sollen auf der Internetseite der BaFin veröffentlicht werden. Den bisherigen Erfahrungen folgend ist dann mit einer Finalisierung im ersten Halbjahr 2024 und einer anschließend sofortigen Wirksamkeit der Regelungen zu rechnen.

  • So kann EY Ihnen helfen

    Kommen Sie mit Fragen rund um die ZAG-MaRisk sowie den derzeit laufenden Prüfungen der Aufsicht gerne auf EY zu. Die EY Payments Practice ist ein multidisziplinäres Team von Zahlungsverkehrs-, aufsichtsrechtlichen sowie IT-Fachleuten, die Sie im Rahmen der Umsetzung der ZAG-MaRisk unterstützen und Sie vor, während und nach einer IT- oder Geschäftsprüfung durch die Aufsicht mit maßgeschneiderten Lösungen begleiten können.

  • Co-Autor: Dirk Brechfeld

    Dirk Brechfeld hat über 20 Jahre Erfahrung mit verschiedenen Prüfungs- und Beratungsleistungen für zahlreiche Finanzinstitute und ist verantwortlich für Projekte und Prüfungen im Themenbereich Governance, Risk and Compliance (GRC) sowie für verschiedene andere aktuelle regulatorische Themen der Finanzindustrie. Er leitet innerhalb der FSO Advisory Deutschland als Knowledge Expert die Themencluster GRC sowie das Thema Recovery and Resolution Planning.

Fazit

Die BaFin veröffentlichte den lang erwarteten Entwurf der ZAG-MaRisk, der aufsichtsrechtliche Umsetzungssicherheit für Zahlungsinstitute bringt und die Geschäftsorganisation von Zahlungsinstituten stark beeinflusst. Das neue Rundschreiben berücksichtigt die verschiedenen Geschäftsmodelle der Institute und verlangt eine gezielte Abschirmung von Risiken, insbesondere von operativen, Liquiditäts- und Geschäftsmodellrisiken. Das Thema Sicherungsanforderungen und Auslagerungsmanagement gewinnt an Bedeutung. Die Branche muss sich auf kontinuierliche regulatorische Änderungen einstellen. Die ZAG-MaRisk befinden sich derzeit in der Konsultationsphase und werden voraussichtlich im ersten Halbjahr 2024 in Kraft treten. Zur Unterstützung stehen multidisziplinäre Teams wie die EY Payments Practice bereit.

Über diesen Artikel

Autoren
Max Weber

EY Germany FSO Consulting Partner and EY EMEIA Climate Change Risk Pillar Lead, EY Consulting GmbH | Deutschland

Leiter der FSRM Services in Deutschland Sponsoringpartner für Climate Change Risk in EMEIA Glücklich verheiratet, drei Kinder. Lebt in Stuttgart.

Nora von Obstfelder

Senior Manager, Financial Services, EY Strategy & Transactions GmbH | Deutschland

Als Payments Growth Driver verantwortlich für Account Coverage und Go-to-Market-Strategien im Payments Sektor in Deutschland.

Verwandte Themen Finanzdienstleistungen Banken & Kapitalmärkte Consulting Zahlungsverkehr
Gefällt mir