Blogpost

ZAG-MaRisk – Mindestanforderungen an das Risikomanagement von ZAG-Instituten

Im September 2023 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ein neues Rundschreiben zu den Mindestanforderungen an das Risikomanagement von ZAG-Instituten (ZAG-MaRisk) zur Konsultation veröffentlicht. Das Rundschreiben richtet sich an alle Institute, die nach dem Zahlungsdiensteaufsichtsgesetz (ZAG) beaufsichtigt werden.

541
4 Minuten Lesezeit
ZAG-MaRisk

In dieser Collection enthalten:

Collection öffnen

Hintergrund

Im September 2023 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ein neues Rundschreiben zu den Mindestanforderungen an das Risikomanagement von ZAG-Instituten (ZAG-MaRisk) zur Konsultation veröffentlicht.

Das Rundschreiben ist Teil einer ganzen Reihe von Rundschreiben, die die BaFin im Zuge von diversen neuen europäischen Regulierungspaketen herausgegeben hat, auch um den Besonderheiten einzelner Branchen bzw. Geschäftsmodelle besser gerecht werden zu können.

Zuvor hatte die Aufsicht schon im Bereich IT- und Cybersicherheit entsprechende Rundschreiben veröffentlicht, so etwa die BAIT (für Banken), die VAIT (für Versicherungen), die KAIT (für Kapitalanlagegesellschaften) und auch die ZAIT (für Zahlungsdienstleiter).

Die ZAIT bildet nunmehr mit der ZAG-MaRisk das geschäftsmodellspezifische Regulierungspaket für Zahlungsdienstleister in Deutschland, während die ZAIT auf die IT- und Cybersicherheit von Zahlungsdienstleistern abstellt und ZAG-MaRisk mehr auf das Risikomanagement beziehungsweise das Prozess- und Kontrollumfeld.

Nun müssen sich auch Zahlungsdienstleister deutlich intensiver mit ihrem Risikomanagement befassen. Nach dem Rundschreiben zur ZAG-MaRisk gilt es für die Branche, die neuen Vorgaben (auch zur Betrugsprävention, Haftungsrisiken und Kundenbeschwerden) in einen angemessenen Rahmen zu bringen.

Dr. Christian Engel Zahlungsverkehrsexperte bei msg for banking

Bevor die ZAG-MaRisk veröffentlicht wurde, hatte die Aufsicht die schon für Banken anwendbare MaRisk analog auch auf Zahlungsdienstleister angewendet. Mit Inkrafttreten der ZAG-MaRisk wird diese analoge Anwendung künftig obsolet und die ZAG-MaRisk ist als geschäftsmodell-spezifisches Rundschreiben künftig unmittelbar anzuwenden.

Aufbau und Inhalt der ZAG-MaRisk – Vergleich mit den MaRisk (Banken)

Schaut man sich die ZAG-MaRisk etwas genauer an, so fällt auf, dass diese in weiten Teilen mit der schon bekannten MaRisk übereinstimmt, wobei jedoch seitens der BaFin einige geschäftsmodellspezifische Besonderheiten berücksichtigt wurden:

Gegenüberstellung MaRisk Banken vs. ZAG-MaRisk

Abbildung 1: Gegenüberstellung MaRisk Banken vs. ZAG-MaRisk (Quelle: Eigene stark vereinfachte Darstellung) Zum Vergrößern anklicken.

Zusammenfassend lässt sich sagen:

  • Aufbau und Inhalt der ZAG-MaRisk ähnelt stark den MaRisk für Banken.
  • Operationelle Risiken werden in der ZAG-MaRisk als per se „wesentlich“ eingestuft, während in den MaRisk für Banken zudem die Adressenausfallrisiken (einschließlich Länderrisiken), die Marktpreisrisiken und die Liquiditätsrisiken als „wesentlich“ zu betrachten sind.
  • Auch Zahlungsdienstleister müssen ihre Risikotragfähigkeit sicherstellen, indem jederzeit ausreichend Risikodeckungspotenzial vorhanden sein muss.
  • Die ZAG-MaRisk weist keine Anforderungen zu Internen Modellen oder zur Risikodatenaggregation auf, auch nicht zum Kreditgeschäft.
  • Jedoch macht die ZAG-MaRisk geschäftsmodell-spezifische Vorgaben zu Sicherheitsvorfällen, Betrugsprävention, Haftungsrisiken, Kundenbeschwerden und Agenten.
  • ESG-Risiken und auch ein angemessenes Auslagerungsmanagement sind genauso zu beachten, wie bei der MaRisk für Banken.
  • Zudem ist eine angemessene Compliance-Funktion sowie Interne Revision vorzuhalten.

Warum sehen wir Handlungsbedarf und was ist zu tun?

Es versteht sich von selbst, dass die Aufsicht kein neues Rundschreiben veröffentlicht, ohne nicht anschließend genauer hinzuschauen, ob die Vorgaben aus diesem Rundschreiben auch umgesetzt wurden. Dies lässt sich bei allen oben genannten Rundschreiben seit vielen Jahren beobachten.

Zwar lässt die Aufsicht eine gewisse Proportionalität bei der Umsetzung gelten, wir wissen jedoch aus vielen Prüfungen, dass es hier oft zu eklatanten Meinungsverschiedenheiten zwischen der Aufsicht und den betroffenen Häusern kommt, was denn nun „noch angemessen“ sei und was nicht. Dies führt dann leider in der Folge zu einer engeren Beaufsichtigung und zudem zu unangenehmen und kostenintensiven Maßnahmen der Aufsicht.

Aus Erfahrung wissen wir auch, dass dies meist zu verhindern gewesen wäre, wenn man sich frühzeitig und strukturiert mit den Anforderungen auseinandergesetzt hätte. Dabei muss man das Rad nicht neu erfinden, denn mit Augenmaß und mit Blick auf die Erwartungshaltung der Aufsicht kann man hier schon mit verhältnismäßig wenig Aufwand viel erreichen.

Unser Angebot an Sie – Sinnvolle Arbeitspakete für eine Umsetzung der ZAG-MaRisk

Erfahrungsgemäß bieten sich folgende Arbeitspakete an, um auch für Ihr Haus eine strukturierte und passgenaue Umsetzung der ZAG-MaRisk anzugehen und damit auch die Erwartungshaltung der Aufsicht zu treffen:

AP1 – Risikomanagement, Risikotragfähigkeit und ESG-Risiken
Bewertung und Anpassung der übergeordneten Steuerungs- sowie Aufbau- und Ablauforganisation und der Risikotragfähigkeit, unter besonderer Berücksichtigung der operationellen Risiken sowie der relevanten ESG-Risiken. Idealerweise wird dabei auch gleich das aktuelle Rundschreiben der BaFin zur Meldung von Risiken im Zahlungsverkehr (wesentliche Risiken, Mitigierungsmaßnahmen, Eintrittswahrscheinlichkeiten, Erläuterungen, etc.) aufgegriffen.

AP2 – Auslagerungen und Third-Party Management (mit Verzahnung zu den ZAIT)
Aufnahme, Bewertung und Anpassung der Auslagerungssteuerung sowie geltender Verträge, unter besonderer Berücksichtigung der Mindestanforderungen nach ZAG-MaRisk sowie ZAIT.

AP3 – Compliance-Organisation sowie geschäftsmodell-spezifische Risiken (Betrug, AML, etc.)
Aufnahme, Einwertung und Anpassung ihrer aktuellen Compliance-Organisation, inklusive Risikoanalyse, wesentlicher Prozess- und Kontrollbeschreibungen und Maßnahmen, unter besonderer Berücksichtigung geschäftsmodell-spezifischer Risiken aus Haftung, Kundenbeschwerden etc.

AP4 – Interne Revision und Prüfungsplanung
Aufnahme, Einwertung und Anpassung ihrer aktuellen Internen Revision, mit Risikoeinschätzung, Prüfungsplanung, Prüfvorgehen etc.

Sie entscheiden, ob Sie lediglich eine Bestandsaufnahme (strukturierte GAP-Analyse mit Handlungsempfehlungen) durch uns vornehmen lassen möchten oder ob wir Ihnen auch bei der Umsetzung von identifizierten Schwächen helfen sollen. Wir berücksichtigen dabei neben der Komplexität ihres Geschäftsmodells selbstverständlich auch ihre personelle Ausstattung.

Unser Tipp – Aber bitte nicht weitersagen 😉

Wie so oft im Leben, zählt auch in diesem Fall der erste Eindruck und die innere Einstellung, die Sie der Aufsicht gegenüber vermitteln. Wir empfehlen Ihnen also tatsächlich, die Anforderungen der ZAG-MaRisk ernst zu nehmen und hierzu eine strukturierte Vorgehensweise (Reifegrads des Status quo feststellen, identifizierte Schwachstellen schließen) zu wählen, ganz gleich, ob Sie sich Unterstützung von außen holen oder das Thema selbst angehen möchten.

Christian Engel

Dr. Christian Engel

ist Zahlungsverkehrsexperte und bei msg for banking als Principal Business Consultant im Bereich Payments im Einsatz. Seine Hauptthemen sind Consumer/Merchant-Payments im POS und E-Commerce, Regularien (z.B. Instant Payment, CESOP) und Rulebooks des Zahlungsverkehrs sowie Payments-Transformation bei Banken und Corporates. Er verfügt über langjährige Berufserfahrungen als fachlicher Spezialist und Referent im Projekt- und Produktmanagement bei Zahlungsdienstleistern und Finanzinstituten.

Schreiben Sie einen Kommentar

Sie müssen sich anmelden, um einen Kommentar zu schreiben.