MaRisk-Anforderungen 2026: Mindestanforderungen an das Risikomanagement
Einleitung
Die Mindestanforderungen an das Risikomanagement (MaRisk) der BaFin gehören seit ihrer Erstveröffentlichung 2005 zu den prägenden Regelwerken für das Risikomanagement deutscher Kreditinstitute. Als Verwaltungsvorschrift auf Grundlage des § 25a Abs. 1 KWG konkretisiert die MaRisk die gesetzlichen Anforderungen an die ordnungsgemäße Geschäftsorganisation und bildet zusammen mit dem KWG und der CRR das regulatorische Fundament für die Risikosteuerung.
Die 7. MaRisk-Novelle von 2023 hat wesentliche Neuerungen eingeführt, darunter die Integration der EBA-Leitlinien zur Kreditvergabe und -überwachung (EBA/GL/2020/06) und Anpassungen im Bereich der IKT-Sicherheit. Gleichzeitig verändert das Inkrafttreten der DORA-Verordnung die regulatorische Landschaft grundlegend: DORA als unmittelbar geltende EU-Verordnung übernimmt wesentliche Bereiche, die bisher durch die sektorspezifischen xAIT-Rundschreiben der BaFin (BAIT, VAIT, KAIT, ZAIT) geregelt waren.
Für Banken stellt sich die Frage, wie die MaRisk-Anforderungen im Zusammenspiel mit DORA zu erfüllen sind und welche Effizienzgewinne durch Automatisierung erzielbar sind. Dieser Beitrag liefert einen praxisnahen Überblick.
Was ist die MaRisk?
Die MaRisk ist ein Rundschreiben der BaFin, das die Anforderungen des § 25a Abs. 1 KWG an die ordnungsgemäße Geschäftsorganisation von Instituten konkretisiert. Sie richtet sich an alle Kreditinstitute und Finanzdienstleistungsinstitute im Sinne des KWG und gilt proportional -- das heißt, der Umfang der Anforderungen richtet sich nach Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten des jeweiligen Instituts.
Die MaRisk verfolgt einen prinzipienbasierten Ansatz. Anders als die detaillierten technischen Standards der CRR oder die konkreten Vorgaben der DORA formuliert die MaRisk Grundsätze und Mindestanforderungen, die von den Instituten unter Berücksichtigung ihrer spezifischen Situation umzusetzen sind. Dieser Ansatz gibt den Instituten Gestaltungsspielraum, erfordert aber auch die Fähigkeit, die eigene Umsetzung gegenüber der Aufsicht zu begründen.
Die Struktur der MaRisk gliedert sich in zwei Hauptteile: den Allgemeinen Teil (AT) mit übergreifenden Anforderungen an die Geschäftsorganisation und den Besonderen Teil (BT) mit spezifischen Anforderungen an einzelne Geschäftsbereiche und Funktionen. Diese Struktur hat sich seit der Erstveröffentlichung bewährt und wurde durch die Novellen fortlaufend erweitert.
Die MaRisk ist rechtlich nicht unmittelbar bindend wie ein Gesetz. Als Verwaltungsvorschrift entfaltet sie ihre Bindungswirkung über die Aufsichtspraxis der BaFin: Institute, die die MaRisk-Anforderungen nicht erfüllen, müssen mit aufsichtlichen Maßnahmen nach §§ 25a Abs. 2, 36 KWG rechnen, die von Anordnungen über Bußgelder bis hin zur Abberufung von Geschäftsleitern reichen können.
Die wichtigsten Anforderungen
Allgemeiner Teil (AT): Übergreifende Anforderungen
Der Allgemeine Teil der MaRisk definiert die Rahmenbedingungen für das Risikomanagement. Die zentralen Module sind:
AT 1 -- Vorbemerkung und Anwendungsbereich: Definiert den Adressatenkreis und den Proportionalitätsgrundsatz. Die MaRisk gilt für alle Institute im Sinne des § 1 Abs. 1b KWG, wobei der Umfang der Anforderungen proportional zur Größe und Komplexität des Instituts ist.
AT 2 -- Gesamtverantwortung der Geschäftsleitung: Die Geschäftsleitung trägt die Verantwortung für die ordnungsgemäße Geschäftsorganisation und das Risikomanagement. Sie muss eine Geschäftsstrategie und eine konsistente Risikostrategie festlegen, regelmäßig überprüfen und bei Bedarf anpassen. Diese Strategien bilden die Grundlage für alle weiteren Risikomanagement-Prozesse.
AT 3 -- Allgemeine Anforderungen an das Risikomanagement: Institute müssen über geeignete Risikosteuerungs- und -controllingprozesse verfügen, die sicherstellen, dass alle wesentlichen Risiken identifiziert, bewertet, gesteuert, überwacht und kommuniziert werden. Die Risikotragfähigkeit muss jederzeit gewährleistet sein.
AT 4.1 -- Risikotragfähigkeit: Die Geschäftsleitung muss sicherstellen, dass das Institut jederzeit über ausreichend Kapital verfügt, um die eingegangenen Risiken zu tragen. Dies erfordert eine regelmäßige Berechnung der Risikotragfähigkeit unter Berücksichtigung aller wesentlichen Risikoarten.
AT 4.2 -- Strategien: Die Geschäfts- und Risikostrategie müssen konsistent sein und regelmäßig -- mindestens jährlich -- überprüft und bei Bedarf angepasst werden. Die Strategien sind mit dem Aufsichts- oder Verwaltungsorgan zu erörtern.
AT 4.3 -- Internes Kontrollsystem: Institute müssen ein angemessenes internes Kontrollsystem (IKS) einrichten, das aufbau- und ablauforganisatorische Regelungen, Risikosteuerungs- und -controllingprozesse und eine Interne Revision umfasst.
AT 4.4 -- Besondere Funktionen: Die MaRisk fordert die Einrichtung einer Risikocontrolling-Funktion (AT 4.4.1), einer Compliance-Funktion (AT 4.4.2) und einer Internen Revision (AT 4.4.3). Diese Funktionen müssen unabhängig voneinander und von den überwachten Geschäftsbereichen agieren.
AT 7.2 -- Technisch-organisatorische Ausstattung: Dieser Abschnitt definiert die Anforderungen an die IT-Systeme des Instituts. Die IT-Systeme müssen die Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten gewährleisten. Mit DORA werden wesentliche Teile dieses Abschnitts durch die unmittelbar geltende EU-Verordnung überlagert.
AT 9 -- Auslagerungen: Die Anforderungen an das Auslagerungsmanagement sind durch die 7. MaRisk-Novelle nochmals präzisiert worden. Institute müssen eine Risikoanalyse vor der Auslagerung durchführen, die vertraglichen Anforderungen sicherstellen und die ausgelagerten Tätigkeiten laufend überwachen. DORA Art. 28-30 konkretisiert diese Anforderungen für IKT-Auslagerungen.
Besonderer Teil (BT): Spezifische Anforderungen
BTO (Besonderer Teil Organisation): Der BTO enthält organisatorische Anforderungen an einzelne Geschäftsbereiche. BTO 1 regelt die Kreditgeschäftsorganisation, einschließlich der Trennung von Markt und Marktfolge (BTO 1.1) und der Kreditbearbeitungsprozesse (BTO 1.2). BTO 2 enthält die Anforderungen an die Handelsgeschäfte, einschließlich der Handelsorganisation und der Risikoüberwachung.
BTR (Besonderer Teil Risiken): Der BTR definiert die Anforderungen an die Steuerung einzelner Risikoarten. BTR 1 behandelt die Adressenausfallrisiken, BTR 2 die Marktpreisrisiken, BTR 3 die Liquiditätsrisiken und BTR 4 die operationellen Risiken. Jedes Modul fordert spezifische Identifikations-, Mess-, Steuerungs- und Überwachungsverfahren.
BT 3 -- Anforderungen an die Risikoberichterstattung: Die Risikoberichterstattung muss die Geschäftsleitung und das Aufsichtsorgan regelmäßig, zeitnah und umfassend über die Risikosituation des Instituts informieren. Die Berichte müssen alle wesentlichen Risikoarten abdecken und auch Stresstestergebnisse umfassen.
DORA und die Ablösung der xAIT
Mit dem Inkrafttreten der DORA-Verordnung verändert sich die regulatorische Architektur für IT-Anforderungen im Finanzsektor grundlegend. Die BaFin hat angekündigt, die sektorspezifischen xAIT-Rundschreiben -- BAIT (Bankaufsichtliche Anforderungen an die IT), VAIT (Versicherungsaufsichtliche Anforderungen an die IT), KAIT (Kapitalverwaltungsaufsichtliche Anforderungen an die IT) und ZAIT (Zahlungsdienstaufsichtliche Anforderungen an die IT) -- an die DORA-Anforderungen anzupassen.
Konkret bedeutet dies: Bereiche, die durch DORA abschließend geregelt werden, werden aus den xAIT entfernt, da eine Doppelregulierung vermieden werden soll. Dazu gehören insbesondere die Anforderungen an das IKT-Risikomanagement (DORA Art. 5-15), das IKT-bezogene Vorfallmanagement (DORA Art. 17-23), die Prüfung der digitalen operativen Resilienz (DORA Art. 24-27) und das Management von IKT-Drittparteienrisiken (DORA Art. 28-44).
Für die MaRisk bedeutet dies, dass der Abschnitt AT 7.2 (Technisch-organisatorische Ausstattung) in Teilen durch DORA überlagert wird. Die grundlegenden Anforderungen an die IT-Governance bleiben jedoch in der MaRisk verankert, da DORA primär die IKT-Sicherheit und -Resilienz adressiert, nicht aber die gesamte IT-Governance des Instituts.
Institute müssen sich auf ein Drei-Säulen-Modell einstellen: Die MaRisk als Rahmenwerk für das allgemeine Risikomanagement, DORA als verbindliche Regelung für die IKT-Sicherheit und die (angepassten) xAIT als nationale Konkretisierung für Bereiche, die weder von der MaRisk noch von DORA abschließend geregelt werden.
Compliance-Automatisierung mit Matproof
Die Vielschichtigkeit der MaRisk-Anforderungen und ihre Verzahnung mit DORA, KWG und den xAIT machen ein manuelles Compliance-Management zunehmend unwirtschaftlich. Matproof bietet als EU-First-Plattform eine integrierte Lösung.
Integriertes Rahmenwerk-Mapping: Matproof bildet die MaRisk-Anforderungen systematisch ab und verknüpft sie mit den korrespondierenden DORA-Artikeln, KWG-Paragraphen und xAIT-Anforderungen. Dies ermöglicht es Instituten, auf einen Blick zu erkennen, welche MaRisk-Anforderung durch welches Regelwerk konkretisiert wird -- und welche Nachweise übergreifend verwendbar sind.
Automatisierte Nachweissammlung für AT-Anforderungen: Für die organisatorischen Anforderungen der MaRisk (AT 4.3 IKS, AT 4.4 besondere Funktionen, AT 7.2 IT-Ausstattung, AT 9 Auslagerungen) sammelt Matproof Nachweise automatisiert: Organigramme und Funktionsbeschreibungen, Protokolle des Risikocontrollings, IT-Sicherheitskonfigurationen, Auslagerungsverträge und Überwachungsberichte werden zentral erfasst und den MaRisk-Modulen zugeordnet.
BTO- und BTR-Unterstützung: Für die spezifischen Anforderungen des Besonderen Teils unterstützt Matproof bei der Dokumentation der Kreditprozesse (BTO 1), der Handelsorganisation (BTO 2) und der Risikosteuerung (BTR 1-4). Die Nachweise für die Trennung von Markt und Marktfolge, die Risikolimitierung und die Risikoberichterstattung werden strukturiert erfasst und nachvollziehbar dokumentiert.
Prüfungsvorbereitung für § 44 KWG: Matproof generiert Nachweispakete, die auf die typischen Prüfungsschwerpunkte der BaFin bei MaRisk-Prüfungen zugeschnitten sind. Die Pakete decken die Module AT, BTO und BTR systematisch ab und können direkt an das Prüfungsteam übergeben werden.
DORA-Transition: Matproof unterstützt Institute bei der Transition von den xAIT zu DORA, indem es automatisch identifiziert, welche bestehenden MaRisk/xAIT-Nachweise die DORA-Anforderungen abdecken und wo zusätzliche Nachweise erforderlich sind. Dies reduziert den Übergangsaufwand erheblich.
Umsetzungsfahrplan
Phase 1 -- Bestandsaufnahme (3-4 Wochen): Erfassen Sie den aktuellen Erfüllungsgrad aller MaRisk-Module (AT und BT). Dokumentieren Sie die bestehenden Nachweisprozesse und identifizieren Sie Bereiche, in denen die Dokumentation lückenhaft oder veraltet ist. Berücksichtigen Sie dabei die Anforderungen der 7. MaRisk-Novelle.
Phase 2 -- DORA-Abgleich (4-6 Wochen): Führen Sie einen systematischen Abgleich der MaRisk-Anforderungen im Bereich IT (AT 7.2, xAIT) mit den DORA-Anforderungen durch. Identifizieren Sie Überschneidungen und zusätzliche DORA-Anforderungen, die über die bisherige MaRisk/xAIT-Compliance hinausgehen. Matproof bietet hierzu vorkonfigurierte Mapping-Templates.
Phase 3 -- Automatisierung der Nachweissammlung (6-8 Wochen): Verbinden Sie Ihre IT-Systeme, Risikocontrolling-Werkzeuge und Dokumentenmanagement-Systeme mit Matproof. Richten Sie die automatisierte Nachweissammlung für die priorisierten MaRisk-Module ein.
Phase 4 -- Integration in den Aufsichtszyklus (laufend): Nutzen Sie Matproof für die Vorbereitung auf aufsichtliche Prüfungen, die Erstellung der MaRisk-konformen Risikoberichte (BT 3) und die laufende Überwachung des Compliance-Status.
Häufig gestellte Fragen
Wie unterscheidet sich die MaRisk von der DORA?
Die MaRisk ist eine nationale Verwaltungsvorschrift der BaFin, die auf Grundlage des § 25a KWG die Anforderungen an das Risikomanagement von Instituten konkretisiert. DORA ist eine EU-Verordnung, die unmittelbar gilt und spezifische Anforderungen an die IKT-Sicherheit und die digitale operative Resilienz von Finanzunternehmen stellt. Die MaRisk ist breiter gefasst und adressiert das gesamte Risikomanagement (Kredit-, Markt-, Liquiditäts- und operationelle Risiken), während DORA auf die IKT-Dimension fokussiert. In der Praxis müssen Institute beide Regelwerke parallel beachten.
Werden die BAIT durch DORA vollständig abgelöst?
Nicht vollständig, aber in weiten Teilen. Die BaFin hat angekündigt, die xAIT-Rundschreiben an DORA anzupassen und Bereiche, die durch DORA abschließend geregelt werden, aus den xAIT zu streichen. Bereiche, die DORA nicht adressiert -- etwa spezifisch nationale Anforderungen oder Detailregelungen, die über DORA hinausgehen -- können in angepasster Form bestehen bleiben. Matproof bildet die aktuelle Zuordnung zwischen xAIT und DORA transparent ab.
Wie oft werden MaRisk-Prüfungen durch die BaFin durchgeführt?
Die BaFin führt keine festgelegten Prüfungszyklen durch. Die Prüfungsfrequenz richtet sich nach dem Risikoprofil des Instituts, den Ergebnissen vorheriger Prüfungen und aktuellen Anlässen. Signifikante Institute unter EZB-Aufsicht werden in der Regel häufiger geprüft als kleinere Institute. Darüber hinaus wird die MaRisk-Compliance im Rahmen der jährlichen Prüfung nach § 29 KWG durch den Wirtschaftsprüfer bewertet.
Welche MaRisk-Module sind für die Automatisierung besonders geeignet?
Die größten Effizienzgewinne durch Automatisierung ergeben sich in den Modulen AT 7.2 (IT-Ausstattung), AT 9 (Auslagerungen), BT 3 (Risikoberichterstattung) und BTR 4 (operationelle Risiken). In diesen Bereichen fallen regelmäßig umfangreiche Dokumentations- und Nachweispflichten an, die sich durch automatisierte Datenerfassung und strukturierte Zuordnung zu den MaRisk-Anforderungen erheblich vereinfachen lassen. Matproof ermöglicht typischerweise eine Aufwandsreduzierung von 40 bis 60 Prozent in diesen Bereichen.