Die sogenannte KWG 44er Prüfung findet Ihre rechtliche Begründung im §44 des Kreditwesengesetzes (KWG). Dieses gibt der Bankenaufsicht, welche in Deutschland durch die BaFin ausgeübt wird, folgendes Recht:
Die Bundesanstalt kann, auch ohne besonderen Anlass, bei den Instituten und übergeordneten Unternehmen Prüfungen vornehmen und die Durchführung der Prüfungen der Deutschen Bundesbank übertragen; das schließt Unternehmen ein, auf die ein Institut oder übergeordnetes Unternehmen wesentliche Bereiche im Sinne des § 25b ausgelagert hat (Auslagerungsunternehmen).
Hierbei ist das Hauptaugenmerk auf die Formulierung „auch ohne besonderen Anlass“. Dies begründet nicht nur Prüfungen welche z.B. aufgrund von konkreten Prüfintervallen oder auf Nachfrage des Institutes stattfinden, sondern ermöglicht auch die Initiierung der Prüfung zur Erhöhung der Informationsgrundlage für regulatorische Sachverhalte.
In einer kleinen Anfrage aus dem Bundestag vom 15.03.2018 ist der Text der Sonderprüfungsanordnung an die WestLB ersichtlich (1):
„Hiermit ordne ich gemäß § 44 Absatz 1 Satz 2, Absatz 2 Satz 2 und Absatz 3 des Gesetzes über das Kreditwesen (KWG) eine Prüfung der Einhaltung der Anforderungen gemäß § 25a Absatz 1 und 1a KGW in Bezug auf das Handelsgeschäft der WestLB AG und deren Tochterinstitute, soweit diese das Handelsgeschäft betreiben, an.“
Im Falle der WestLB wurde in der Prüfungsanordnung die Begründung noch auf KWG §44 Absatz 2 Satz 2 erweitert, welcher die Prüfungen ohne besonderen Anlass auch auf nachgeordnete Unternehmen (im Sinne von Absatz 2 Satz 1) ausdehnen kann:
Die Bundesanstalt kann, auch ohne besonderen Anlass, bei den in Satz 1 genannten Unternehmen Prüfungen vornehmen und die Durchführung der Prüfungen der Deutschen Bundesbank übertragen; Absatz 1 Satz 2 Halbsatz 2 gilt entsprechend.
Fälle aus der Vergangenheit zeigen die Tragweite der Prüfung von Auslagerungsunternehmen (2): Die Auslagerungen von Einzelinstituten sind insbesondere im Bereich der Sparkassen und Genossenschaftsbanken in Einzelorganisationen wie z.B. der Finanz Informatik oder der Fiducia gebündelt. Sollten bei einer Prüfung eines Einzelinstitutes und der damit zusammenhängenden Auslagerung bei dem Auslagerungsunternehmen gravierende Findings festgestellt werden, stellen diese sofort Risiken für alle angeschlossenen Institute dar, welche auf Auslagerungsebene und individuell zu mitigieren sind. Wir empfehlen daher die Abhängigkeiten von den Auslagerungsunternehmen regelmäßig zu bewerten und ein aktives Provider- und Regulatorikmanagement in den Einzelinstituten einzuführen.
Es existieren drei Arten der Sonderprüfung nach §44 KWG:
Die Antragsgetriebene Sonderprüfung wird durch das Institut selbst bei der Bankenaufsicht beantragt. Die Institute bezwecken mit der selbst initiierten Sonderprüfung meist die Zulassung von neuen Geschäftsmodellen, oder die Überprüfung von unklaren Sachverhalten. Selbst initiierte Sonderprüfungen finden insbesondere im Bereich von Ratingsystemen im Kreditwesen statt.
Die anlassbezogene Sonderprüfung dient der Klärung eines für die BaFin unklaren oder nicht ausreichend durch das Kreditinstitut dargestellten Sachverhaltes.
Aktuelle Marktentwicklungen, wie z.B. im Fall von Wirecard, können auch als Grundlage für Sonderprüfungen durch die BaFin sein, wenn hier ein Interesse an z.B. der transparenteren Darstellung der Risikolage des Institutes besteht.
Die turnusmäßige Sonderprüfung wird im Rahmen von gesetzlich festgelegten Intervallen durchgeführt.
Insbesondere der Fall der anlassbezogenen Sonderprüfung findet in den letzten Jahren häufig den Weg in die Medien (3): So wurde beispielsweise nach der Insolvenz des Apothekenabrechners AvP weitere Factoring-Anbieter mit ähnlichen Geschäftsmodellen durch die BaFin auf Schwachstellen mittels Sonderprüfungen überprüft. Neben den konkreten Anlässen, wie z.B. der beschriebenen Insolvenz, können auch eingegangen Hinweise auf aufsichtsrechtliche Verfehlungen bei der BaFin über die Hinweisgeberstelle (4) einen vertieften Informationsbedarf über den Sachverhalt und somit eine Sonderprüfung bedingen.
Abweichungen von der aufsichtsrechtlich geforderten Umsetzung von Vorschriften, Gesetzten und Vorgaben wird durch die BaFin wie folgt dokumentiert:
Die Behebung der Findings kann z.B. im Rahmen einer Nachprüfung nachgewiesen werden.
Ein Großteil der Sonderprüfungen nach §44 KWG entfällt heute auf die Einhaltung der MaRisk, den Mindestanforderungen auf das Risikomanagement. Die regulatorische Grundlage bildet hier §25a Abs. 1 KWG.
Der Anwenderkreis der MaRisk (Mindestanforderungen an das Risikomanagement) als Hauptprüfgegenstand wurde in der konsolidierten Novelle erstmals auf Handelsgeschäfts mit Kryptowerten erweitert. Wir gehen daher davon aus dass die derzeit im Vergleich zu Finanzinstituten gering regulierte Kryptobranche stärker in den Fokus der Aufsichtsbehörden rückt. Die Formulierung des „Geschäfts mit Kryptowerten“ lässt hier den Interpretationsspielraum zu, dass es nicht nur um die Regulierung von Kryptowährungen geht, sondern z.B. auch die Tokenization of Assets unter die MaRisk gestellt wird da diese faktisch auch Handelsgeschäfte abbilden.
Die MaRisk ist derzeit in der Fassung vom 27.10.2017 gültig, befindet sich jedoch aktuell (06/2021) in Überarbeitung. Die aktuelle Konsultationsversion vom 26.10.2020 (5), welche vermutlich in großen Teilen in die finale Version überführt wird, ist Bestandteil der aktuellen Analyse. Im Rahmen des Blog-Artikel wird auf die aus unserer, praktischen, Sicht auf die kritischsten und wesentlichsten Punkte der Novelle der MaRisk eingegangen.
Im Bereich des Risikomanagements werden nicht nur die operativen Instrumente und Kennzahlen zur Bemessung und Analyse der Risikotragfähigkeit geprüft, sondern auch die zu Grunde liegenden Prozesse und die organisatorische Verankerung in den Instituten. Dies bedeutet zukünftig insbesondere die Definition von kurz-, mittel- und langfristigen Risikostrategien zu den jeweiligen Risikopositionen. Darüber hinaus wird zukünftig erstmalig die Beurteilung des operativen Geschäftsumfeldes gefordert, hier sind neben einer Eigeneinschätzung auch Umfeldanalysen einzubeziehen. Wir empfehlen hier ein ganzheitliches Risikomanagement und die strategische Steuerung der Risiken über einen fest definierten Risk Appetite pro Risikotyp mittels der TopEase Risk Management Solution.
Zukünftig wird eine eigenständige Comliance-Einheit für alle großen und komplexen Institute gefordert, in welcher auch „Compliance-nahe Bereiche“ angesiedelt werden können. Wir empfehlen hier ein ganzheitliches und gemeinsames Regulatorik-Monitoring über alle Compliance Bereiche um Synergien in der Identifikation von Handlungsbedarfen zu identifieren. Dies kann z.B. mittels des TopEase Gap-Finders umgesetzt werden, welche die Analysen von mehreren Compliance Bereichen wie z.B. dem Datenschutz oder der Cybersecurity umsetzen kann. Die einheitliche Organisations- und Softwaregestaltung hebt darüber hinaus Effizienzen in den Instituten.
Die MaRisk wurde in wesentlichen Teilen im Bereich des Notfallmanagements, vormals Notfallkonzept, überarbeitet. Im Vergleich zur bisherigen MaRisk findet sich die Forderung nach detaillierten Wiederanlaufplänen bis hin zu internen und externen Kommunikationsplänen, sowie ein Abstimmung mit den Auslagerungsunternehmen über gemeinsame Pläne – eine einfache Auslagerungsvereinbarung mit Vorgaben wird dieser Anforderung voraussichtlich nicht mehr gerecht. Wir empfehlen als Handlungsleitfaden für die Umsetzung die Orientierung an dem BSI-Standard 100-4. Dieser wird vsl. im Rahmen der Einführung des BSI Standards 200-4 Business Continuity Management System (BCMS) aktualisiert oder abgelöst, durch die derzeit nur als Community Draft verfügbare Version empfehlen wir hier weiter die Orientierung am Standard 100-4.
Die finalen Auswirkungen der Covid-19 Pandemie auf das Bankenwesen sind derzeit noch unbekannt, Themen wie Lieferkettenrisiken können noch nicht finanziell berpreist werden. Vor dem Hintergrund der fortlaufenden Covid-19 Pandemie hat die EZB die Aufsichtsprioritäten nach einer Risiko- und Schwachstellenanalyse auf die Absenkung der Kreditrisiken sowie auf die Behebung struktureller Mängel und die Mitigation neuer Risiken wie z.B. den Klima- und Umweltrisiken gelegt. In Summe wurden drei Aufsichtsprioritäten verabschiedet, welche vsl. die Basis für die Prüfungsarbeit der Jahre 2022 – 2024 darstellen werden:
Die oberste Priorität betrifft die Stabilität der Banken in der Krise, hier stehen insbesondere die Verbesserung von Rahmenwerken zur Steuerung des Kreditrisikos, sowie die Überwachung von Risikopositionen in während der Covid-19 Krise besonders exponierten Sektoren im Fokus. Der Schwerpunkt der Verbesserung von Rahmenwerken lässt auf nationaler Ebene auf eine erneute Anpassung der MaRisk schließen, insbesondere in Verbindung mit der sektorspezifischen Risikobetrachtung sowie den neuen Risikoarten der Klima- und Umweltrisiken, mögliche wäre aber auch eine Nachschärfung der Cyberabwehr vor dem Hintergrund der aktuellen Ukraine-Krise sowie weitere Forderungen an die Residenz und Abwicklungsfähigkeit der Institute.
Mit zweiter Priorität wird die Behebung von strukturellen Mängeln im Bankensektor gefordert, was insbesondere die Digitalisierung der Geschäftsmodelle und die Governance der Institute betrifft. Wir sehen dies als Chance die längst überfällige Digitalisierung im GRC Bereich voranzutreiben, da die Steuerung u.a. über Echtzeit-Dashboards nicht nur die Reaktionsfähigkeit der Institutsleitung erhöht, sondern auch Kosten einspart.
Die dritte Aufsichtsrechtliche Priorität sind die neu aufgetretenen Risiken, neben den Klimarisiken und Umweltrisiken sind insbesondere Gegenparteirisiken (Counter-Party Risks) genannt, sowie die Themen der IT Auslagerung und Cyberresilienz. Dadurch dass es derzeit noch kein einheitliches Regelwerk zur Erfassung und Bewertung von Klima- und Umweltrisiken auf die Geschäftsmodelle von Kreditinstituten gibt, besteht hier von Seiten der BaFin Regelungsbedarf. Die korrekte Bewertung von Gegenparteiausfallrisiken verlangt von den Banken, wie auch in zweiter Priorität gefordert, digitalere Geschäftsmodelle mit deutlich verbesserten Analysefähigkeiten und erweiterte Fähigkeiten zur Datenaggregation der Kunden und Geschäftspartnern. Wir empfehlen das Thema mittels digitaler Lageberichte zu lösen, welche die relevanten Kundenrisiken beim Kunden erfassen, und in den Instituten aggregierten und auf die Auswirkung des Institutes bewerten. Im Bereich der Cyberresilienz sehen wir eine deutliche Aufwandserhöhung durch eine höhere Frequenz and Business Impact Analysen (BIA’s), welche seit der Novellierung der MaRisk 2021 nicht nur jährlich, sondern anlassbezogen vorzunehmen sind. Wir gehen derzeit davon aus dass zukünftig alle Prozesse, unabhängig von Ihrer Kritikalität auf den Geschäftsbetrieb, bewertet werden müssen. Die Ausweitung horizontale Ausweitung der Business Impact Analysen sowie die erhöhte Frequenz können nur dann aufsichtsrechtlich einwandfrei abgearbeitet werden, wenn die durchführenden Mitarbeiter größtmögliche Systemunterstützung erhalten, d.h. durch automatisierte Aggregation der Daten, vordefinierte Reports, etc.
ThiemeBieg & Associates unterstützt Finanzinstitute in der Abarbeitung der Findings welche im Rahmen von Sonderprüfungen nach KWG §44 festgestellt wurden. Unser Schwerpunkt liegt im Bereich des aufsichtsrechtlich konformen Risikomanagments, sowie der Einführung von IT Security und BCM Lösungen.
