ZAG-MaRisk – Neues von der BaFin zur internen Organisation von Zahlungsdienstleistern

Für Banken und Finanzdienstleister gibt es bereits seit langem die MaRisk, welche die Mindestanforderungen an das Risikomanagement festlegen und die von bei der BaFin zugelassenen Instituten einzuhalten sind. Solche Mindestanforderungen sollen in Zukunft durch die Veröffentlichung von ZAG-MaRisk auch für ZAG-Institute vorgegeben werden. Einen entsprechenden Entwurf hatte die BaFin im September 2023 veröffentlicht und die Marktteilnehmer im Rahmen eines Konsultationsverfahrens zum Austausch hierüber aufgefordert. Was insoweit auf die Zahlungsdienstleister zukommen dürfte, wird nachfolgend dargestellt.

Ausgangspunkt klassische MaRisk nach KWG

Die BaFin definiert mit den klassischen MaRisk für Banken und Finanzdienstleistungsinstitute die Richtlinien für das Risikomanagement und die Geschäftsorganisation für nach dem KWG oder dem WpIG zugelassene Institute. Trotz ihres nicht-gesetzlichen Charakters sind diese maßgeblich für die aufsichtsrechtliche Bewertung der Struktur und Abläufe bei den beaufsichtigten Instituten.

Erwartungsgemäß geht der jetzige Entwurf der ZAG-MaRisk von den bereits in der siebten überarbeiteten Auflage erschienen MaRisk nach dem KWG aus. Dieser gliedert sich in einen allgemeinen Teil (AT) und einen besonderen Teil (BT).

Der AT wurde mehr oder weniger eins zu eins in den Entwurf des ZAG-MaRisk übernommen. Der BT wurde dagegen auf die Besonderheiten von Zahlungsinstituten hin angepasst.

Risiken und Proportionalitätsgrundsatz

Die ZAG-MaRisk regelt den Umgang mit solchen Risiken, welche ein ZAG-Institut aufgrund des sich aus seinem Geschäftsmodell ergebenden Gesamtrisikoprofils als wesentlich einstuft.

Bei ZAG-Instituten stehen dabei die operationellen Risiken im Vordergrund, während Adressausfall-, Marktpreis- und Liquiditätsrisiken, anders als bei Banken und Finanzdienstleistungsinstituten, eher im Hintergrund stehen.

Die BaFin folgt dabei dem Proportionalitätsprinzip. Danach muss sich die Geschäftsorganisation an dem jeweiligen besonderen Geschäftsmodell des ZAG-Instituts und den damit verbundenen spezifischen Risiken orientieren. Ergeben sich daraus besondere Risiken, bedarf es entsprechend verschärfter Maßnahmen, um diesen zu begegnen.

Überblick über die Anforderungen

Die ZAG-Institute sind verpflichtet ein internes Kontrollsystem einzurichten, welches dem spezifischen Risikoprofil Rechenschaft trägt. Im Rahmen dieses Systems ist ein Risikomanagement, ein Controlling, eine tragfähige Compliance und eine interne Revision einzurichten.

Sofern wesentliche Funktionen an Dritte (z. B. IT oder interne Revision) ausgelagert werden, sieht das ZAG-MaRisk, ebenso wie die klassischen MaRisk, detaillierte Vorgaben zu den mit der Auslagerung spezifisch verbundenen Risiken vor.

Die organisatorischen Anforderungen im besonderen Teil (BTO) enthalten Vorgaben für Prozesse zu den Sicherungsanforderungen bei den betrieblichen Abläufen und zur Absicherung von Haftungsfällen. Umfang und Komplexität haben sich dabei an den mit dem betriebenen Geschäft verbundenen Risiken zu orientieren.

Die erforderliche Aufgabenteilung sowie Vorgaben zu Risikosteuerungs- und Controllingprozessen sind detailliert schriftlich niederzulegen und für deren Einhaltung Sorge zu tragen. Außerdem ist eine interne Revision einzurichten, welche an die Geschäftsleitung oder das sonst zuständige Aufsichtsorgan zu berichten hat. ZAG-Institute brauchen dabei nur einmal im Jahr einen Bericht vorzulegen, nicht quartalsweise wie Banken.

Anders als in den klassischen MaRisk sind die Anforderungen an Marktpreis- und Adressausfallrisiken dagegen in den ZAG-MaRisk deutlich reduziert, da diese im Rahmen des ZAG eine untergeordnete Rolle spielen.

Ausblick

Mit dem Inkrafttreten der ZAG-MaRisk ist dann im nächsten Jahr nach Abschluss des Konsultationsprozesses zu rechnen. Viel ändern wird sich durch die Implementierung in der Aufsichtspraxis allerdings nicht. Denn die dort niedergelegten Anforderungen hat die BaFin im Wesentlichen bereits in der Vergangenheit bei der Überwachung von ZAG-Instituten zugrunde gelegt. Durch die schriftliche Abfassung im Rahmen des Konsultationsprozesses wird somit für die unbeaufsichtigten Institute lediglich ein klarer Orientierungsrahmen geschaffen.

Für Unternehmen, welche mit dem Gedanken spielen eine ZAG-Erlaubnis zu erwerben, sind die Anforderungen bezüglich der Organisation im Hinblick auf das Risikomanagement dadurch jetzt deutlich transparenter.