MaRisk-Novelle: „Viele Banken sind noch unvorbereitet“

Mit der 7. MaRisk-Novelle vom 29. Juni 2023 reguliert die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) das Risikomanagement von Banken. Eine sich verändernde Kreditlandschaft und die Einbindung von Kriterien zu Environmental-, Social- und Governance-Faktoren in das Risikomanagement machen eine Anpassung der bisherigen Gesetzesgrundlage notwendig. Teilweise gibt es keine Übergangsfristen, um die Anforderung zu erfüllen. Schaffen Banken das nicht, droht eine Sonderprüfung gem. § 44 KWG. Worauf bei der Umsetzung zu achten ist, wie diese am besten gelingt und wo es Unterstützung gibt, erklärt Bernd Rieck, Senior Business Consultant bei CRIF Deutschland im folgenden Interview.

Herr Rieck, die Bafin hat ihre Anforderungen an das Risikomanagement deutscher Bankinstitute überarbeitet. Wie ordnen Sie diese Novelle in die bestehende Regulierung ein?

Die bereits siebte Version der MaRisk-Novelle ist am 29.06.2023 in Kraft getreten und für nationale Bankinstitute, die von der Deutschen Bundesbank bzw. der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) beaufsichtigt werden, ab sofort verbindlich. Dabei unterscheidet die BaFin sogenannte Klarstellungen und Neuerungen, für die es noch eine Übergangsfrist zum 01.01.2024 gibt. Sie präzisiert die Paragraphen 25a und b des Kreditwesengesetzes und definiert die Mindeststandards für die individuelle Ausgestaltung des Risikomanagements. Die Novelle ist aber nicht dafür gedacht, eine umweltbewusstere Industrie zu schaffen. Sie soll Banken dazu verpflichten, Risiken offenzulegen und Mechanismen zu schaffen, um diese beurteilen zu können.

Und was gilt es ab jetzt zu beachten?

Ich sehe zwei wesentliche Neuerungen: Zum einen erfordert die Veränderung der Kreditlandschaft, besonders die deutlich gestiegenen Zinsen, eine Anpassung der Rechtsgrundlage. Um dem gerecht zu werden, übernimmt die MaRisk-Novelle die Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA) für die Vergabe und Überwachung von Kreditgeschäften. Zum anderen sollen auch Umwelt-, Sozial- und Governance-Risiken (ESG) bei der Kreditvergabe bewertet werden. Die Grundlage dazu ist die europäische Sustainable Finance Disclosure Regulation, die der Gesetzgeber bereits 2021 umgesetzt hat.

Vor allem die Aufnahme von Nachhaltigkeits-Risiken ist ein Novum im Risikomanagement. Wie stelle ich mich als Bank auf diese neue Entwicklung ein?

Zuerst einmal, so wirklich neu ist die Entwicklung nicht. Bereits seit 2021 müssen von der europäischen Zentralbank regulierte Banken ESG-Risiken in ihre Risikoprüfung integrieren, basierend auf der SFDR-Richtlinie. Dazu stellt die Bafin in ihrem Schreiben fest: „Die Novelle hebt zwar die Bedeutung der ESG-Risiken als neuen Risikotreiber nochmals hervor, stellt in dem Sinne aber keine neuen Anforderungen.“ Die Auswirkung dessen hat mehr Gewicht als es zuerst scheint. Aus Sicht der Bafin hatten die Banken nämlich lange genug Zeit, sich auf Änderungen vorzubereiten. Jetzt sollen Taten folgen. Daher gewährt die BaFin für große Teile der ESG Anforderungen auch keine Übergangsfrist. Das heißt, ab sofort müssen diese jetzt nachvollziehbar, konkret und dokumentiert in allen Kreditprozessen berücksichtigt werden, wobei quantitative Aspekte (etwa die Berücksichtigung in PD/LGD Modellen) ab 2024 vorzusehen sind.

Das klingt nach einer arbeitsintensiven Aufgabe…

Ja und nein. Für Banken reicht es nicht aus, sich jetzt mit ihren Nachhaltigkeitsrisiken zu beschäftigen, sondern sie müssen bereits heute ihre ESG-Risiken in ihren Prozessen nachvollziehbar und dokumentiert umsetzen. Und natürlich ist es aufwendig, einen weiteren Risikofaktor in den Prüfungsprozess zu integrieren. Es müssen neue Schnittstellen geschaffen werden und der Bedarf an Daten wächst. Aber die Bafin weiß um den Aufwand, vor allem für kleine Banken. So erlaubt sie zum einen, dass externe Scores für das Risikomodell genutzt werden können und zum anderen kommt das Proportionalitätsprinzip zum Tragen. Dieses erlaubt, je nachdem wie stark eine Bank gegenüber ESG-Risiken exponiert ist, eine einfachere Risikobetrachtung vorzunehmen. Zum Beispiel können die Komplexität der betrachteten Szenarien reduziert oder langfristige Szenarien rein qualitativ betrachtet werden.

Stichwort Risikomodell: Eine echte Neuerung der Novelle ist, dass nun auch die EBA-Guidelines für deutsche Finanzinstitute bindend werden. Was bedeutet das konkret?

Das heißt: Bei den Modellen werden die Scoring-Verfahren zur Risikoeinschätzung oder der Umsetzung einer Kreditentscheidung jetzt noch umfassender. Die Regulierung will sicherstellen, dass Kunden in Zukunft als Ganzes betrachtet werden und jede Art von Entscheidung über den gesamten Lebenszyklus nachvollziehbar bleiben, auch mit der entsprechenden Datenhaltung verbunden. Im Hinblick auf mögliche Einsatzgebiete von Künstlicher Intelligenz sagt die Bafin aber dazu auch gleich, dass die Transparenz immer gewährleistet sein muss. In meinem Datenmodell muss ich also den Spagat zwischen Genauigkeit des Modells und Erklärbarkeit der Ergebnisse schaffen. Weil das ein neuerer Ansatz ist, haben Banken auch für diesen Teil der Novelle die erwähnte Übergangsfrist 01. Januar 2024.

CRIF betreut ja viele Banken bei den unterschiedlichsten Themen. Aus ihrer Erfahrung, auf welche Probleme werden deutsche Banken bei der Umsetzung der MaRisk stoßen?

Eine der größten Herausforderungen wird sicherlich sein, die Anforderungen an Transparenz bei der Risikoprüfung zu gewährleisten. Die dafür notwendigen Berichte und Reportings erfordern nicht nur zeitlichen Aufwand, sondern auch eine gute Datenbasis. Auch wenn es dafür mittlerweile Lösungen gibt, werden nur wenige Banken ausreichend ESG-bezogene Daten zu ihren Kunden haben. Diese zu sammeln, zu analysieren und zu speichern ist eine echte Aufgabe. Daraus entsteht die Gefahr, dass Banken die MaRisk-Novelle so interpretieren, dass sie Geschäfte nicht abschließen, wenn keine ausreichenden Daten zur Verfügung stehen. Das kann nicht die Lösung sein. Vielmehr sollten Banken Wege finden, um mit weiteren Auflagen, wie zum Beispiel einer höheren Sicherheit, dem Kreditnehmer ein faires Angebot unterbreiten zu können. Im Umkehrschluss bedeutet das: Wer im Vergleich zum Wettbewerb ein kostengünstiges Angebot machen will, ist auf bessere Daten angewiesen, denn mehr Daten bedeuten ein besseres Risikomanagement und ein besseres Risikomanagement bedeutet nun mal günstigere Konditionen.
Die jährliche Wiederbewertung der Risiken erlaubt dann auch einen Rückschluss auf die Risikoentwicklung innerhalb meines Kreditportfolios.

Sie haben Lösungen für das Datenproblem angesprochen, welche meinen Sie damit?

Lösungen gibt es nicht nur für das Problem der Datenbeschaffung, sondern auch für die verwendeten Modelle. Denn die MaRisk-Novelle stellt klar, dass Banken ihre ESG-Risiken auch mit Hilfe von externen Scores prüfen können, solange diese auf wissenschaftlich fundierten Szenarien basieren. Bei CRIF haben wir solche Modelle selbst entwickelt und die Erfahrung lässt den Schluss zu, dass es für Banken auch nicht ratsam wäre, eigene Modelle zu entwickeln. Zu groß wären die benötigte Expertise und damit der Zeitaufwand. Ich erinnere nochmal daran, dass der ESG-Teil der Novelle bereits einzuhalten ist!

Für Banken ist es jetzt an der Zeit, das eigene Institut selbstkritisch zu hinterfragen und sich klarzumachen, wo man steht. Von dem Punkt aus können externe Partner den Prozess vereinfachen. Wir bei CRIF helfen zum Beispiel mit einer umfassenden Beratung, stellen ESG-Scores zur Verfügung oder unterstützen bei der Berichterstattung. Das sind Prozesse, die wir einfach schneller und leichter bewältigen können. Es ist unser Kerngeschäft, Daten aus verschiedenen Quellen zu einer in sich schlüssigen Bewertung zusammenfügen. Außerdem haben wir Zugriff auf große Datenmengen von Unternehmen und haben uns als Ratingagentur schon länger mit der Frage beschäftigt, wie ESG-Faktoren auf das Rating eines Unternehmens wirken.

Angenommen ich bin Verantwortlicher in einer Bank, was wären meine nächsten Schritte, um die Gesetzgebung bei mir im Haus umzusetzen?

Dass es zu der Frage noch Aufklärungsbedarf gibt, zeigt das hohe Interesse an Informationsveranstaltungen zur MaRisk-Novelle. Nicht alle Institute scheinen in dem Maße vorbereitet zu sein, indem sie es sein sollten.

Als Bank habe ich jetzt zwei Aufgaben: Der erste ist eine umfassende Risikoinventur, also die Darstellung welche Relevanz und Bedeutung haben die ESG-Risikotreiber oder Scores für mein Portfolio. Mit der daraus gewonnenen Transparenz muss ich mich im zweiten Schritt mit der Frage beschäftigen, was das für meine Prozesse wie eine Kreditentscheidung bedeutet. Hinzukommt, dass ich beides nach außen kommunizieren muss – das ist aus meiner Erfahrung sogar einer der wesentlichen Faktoren. Bei anderen Gesetzesänderungen war es oft so, dass die Aufsichtsbehörden es zu schätzen wissen und anrechnen, wenn sich jemand glaubwürdig mit dem Thema beschäftigt. Es muss nicht alles sofort umgesetzt werden. Wichtig ist, dass der Prozess dokumentiert wird und ein Ansatz erkennbar ist.

Daher mein wichtigster Tipp an Banken: jetzt die am Markt vorhandenen Daten nutzen und Transparenz herstellen!