Exigences MaRisk en 2026 : Exigences minimales pour la gestion des risques
Introduction
Le MaRisk de BaFin -- Mindestanforderungen an das Risikomanagement -- est le document de supervision le plus influent qui façonne la manière dont les banques allemandes gèrent les risques. Publié pour la première fois en 2005 et mis à jour à travers sept révisions majeures (la plus récente étant le 7ème amendement MaRisk en 2023), cette circulaire définit les exigences minimales pour la gestion des risques au sein des établissements de crédit et des institutions de services financiers selon l'article 25a de la KWG. Chaque banque opérant en Allemagne, quelle que soit sa taille ou sa complexité, doit démontrer sa conformité avec MaRisk. C'est la norme à laquelle les auditeurs de BaFin, les examinateurs de la Bundesbank et les auditeurs externes de l'article 26 de la KWG évaluent l'adéquation du cadre de gestion des risques d'une banque.
En 2026, MaRisk occupe une position unique dans le paysage réglementaire allemand. DORA a introduit des exigences à l'échelle de l'UE pour la gestion des risques ICT qui se chevauchent partiellement et, dans certains domaines, remplacent les modules liés à la technologie de MaRisk et ses circulaires complémentaires (BAIT, ZAIT, VAIT). BaFin a confirmé que le BAIT sera retiré et que les normes techniques d'application de DORA prévaudront pour les exigences spécifiques aux ICT. Cependant, MaRisk lui-même reste pleinement en vigueur pour toutes les exigences de gestion des risques non ICT, et son cadre organisationnel général continue de fournir la base structurelle dans laquelle les exigences ICT de DORA opèrent. Comprendre ce que MaRisk exige en 2026 -- et ce qu'il ne couvre plus parce que DORA a pris le relais -- est essentiel pour chaque équipe de conformité d'une banque allemande.
Qu'est-ce que MaRisk ?
MaRisk est une circulaire de BaFin (Rundschreiben) qui spécifie les exigences de l'article 25a de la KWG concernant l'organisation commerciale appropriée des établissements de crédit. Bien qu'il s'agisse techniquement d'une interprétation administrative plutôt que d'une loi, MaRisk est considéré comme contraignant dans la pratique de supervision. Les auditeurs de BaFin évaluent la conformité par rapport à MaRisk lors des examens de routine et spéciaux, et les auditeurs externes évaluent la conformité à MaRisk dans le cadre de l'audit annuel selon l'article 26 de la KWG.
MaRisk est structuré en deux parties principales :
AT (Allgemeiner Teil -- Partie Générale) : Établit le cadre global pour la gestion des risques, y compris la gouvernance, la stratégie, l'appétit pour le risque, la structure organisationnelle, et les exigences générales pour les processus, les systèmes informatiques et la documentation.
BT (Besonderer Teil -- Partie Spécifique) : Contient des exigences détaillées pour des types de risques spécifiques et des fonctions commerciales, organisées en BTO (Besonderer Teil Organisation -- exigences organisationnelles) et BTR (Besonderer Teil Risikosteuerung und -controlling -- exigences en matière de gestion et de contrôle des risques).
Le 7ème amendement MaRisk (novembre 2023) a incorporé plusieurs changements significatifs : des exigences renforcées pour la gestion des risques ESG (Environnementaux, Sociaux et de Gouvernance), des attentes mises à jour pour l'agrégation des données et le reporting des risques (alignées sur BCBS 239), des exigences de sous-traitance renforcées, et des ajustements pour refléter le cadre émergent de DORA. Ces changements reflètent les attentes évolutives tant de BaFin que du Mécanisme de Supervision Unique de la BCE.
MaRisk s'applique à tous les établissements de crédit et institutions de services financiers en Allemagne selon le principe de proportionnalité (Proportionalitätsprinzip). Cela signifie que la mise en œuvre spécifique de chaque exigence peut varier en fonction de la taille, de la complexité, du profil de risque et du modèle commercial de l'institution. Une grande banque universelle mettra en œuvre MaRisk différemment d'un petit établissement de crédit spécialisé, mais les deux doivent traiter le fond de chaque exigence.
Exigences clés
AT -- Exigences générales
AT 1 -- Remarque préliminaire et champ d'application (Vorbemerkung) : Établit le champ d'application de MaRisk et le principe de proportionnalité. Toutes les exigences doivent être mises en œuvre d'une manière appropriée à la nature, à l'échelle, à la complexité et au profil de risque de l'institution.
AT 2 -- Responsabilité globale de la direction (Gesamtverantwortung der Geschaftsleitung) : Le conseil de direction (Geschaftsleitung) porte la responsabilité globale de la gestion des risques. Il doit définir une stratégie commerciale cohérente et une stratégie de risque consistante qui en découle. Le conseil de direction doit comprendre le profil de risque de l'institution et s'assurer que le cadre de gestion des risques est adéquat.
AT 3 -- Gestion des risques (Risikomanagement) : Exige un cadre de gestion des risques complet qui couvre tous les risques matériels. Le cadre doit inclure des processus d'identification, de mesure, d'agrégation, de surveillance et de reporting des risques. Le processus d'évaluation interne de l'adéquation des fonds propres (ICAAP) doit démontrer que l'institution détient des fonds propres adéquats pour son profil de risque. AT 3 aborde également la culture du risque et l'attente que la sensibilisation au risque soit intégrée dans toute l'organisation.
AT 4 -- Structure organisationnelle et opérationnelle (Aufbau- und Ablauforganisation) :
AT 4.1 -- Directives organisationnelles : Exige des structures organisationnelles claires avec des responsabilités et des compétences définies. Le modèle des "trois lignes de défense" est attendu : les lignes commerciales comme première ligne, la gestion des risques et la conformité comme deuxième ligne, et l'audit interne comme troisième ligne.
AT 4.2 -- Fonction de gestion des risques et de contrôle : Une fonction de contrôle des risques indépendante est obligatoire. Elle doit avoir un accès direct au conseil de direction et ne doit pas être subordonnée à la direction des lignes commerciales.
AT 4.3 -- Audit interne (Interne Revision) : La fonction d'audit interne doit être indépendante, correctement dotée de ressources et couvrir toutes les activités et processus. Elle doit effectuer une planification d'audit basée sur les risques et rendre compte directement au conseil de direction complet.
AT 4.4 -- Fonctions spéciales : Comprend des exigences pour la fonction de conformité (AT 4.4.2), qui doit être indépendante et disposer de ressources adéquates, ainsi que pour la fonction de protection des données.
AT 5 -- Cadre d'appétit pour le risque (Risikoappetit) : Introduit plus en avant dans le 7ème amendement, cela exige que les institutions définissent leur appétit pour le risque en termes quantitatifs et qualitatifs, approuvé par le conseil de direction et surveillé de manière continue.
AT 7 -- Ressources (Ressourcen) :
- AT 7.1 -- Personnel : Dotation adéquate en personnel en quantité et en qualité pour toutes les fonctions de gestion des risques.
- AT 7.2 -- Ressources techniques et organisationnelles : C'est le module le plus directement affecté par DORA. Il couvrait historiquement la sécurité informatique, l'intégrité des données, la planification de la continuité et la gestion des risques informatiques. Avec DORA désormais en vigueur, BaFin a indiqué que les exigences spécifiques aux TI de l'AT 7.2 seront interprétées à travers le prisme des articles 5-16 de DORA, et le BAIT (qui précisait davantage l'AT 7.2) sera retiré.
- AT 7.3 -- Planification de la continuité : Exige une gestion de la continuité des activités, y compris une analyse d'impact sur les activités, des plans de continuité et des tests réguliers. Ce module interagit avec les exigences de test de résilience de DORA selon les articles 24-27.
AT 9 -- Sous-traitance (Auslagerungen) : Exigences complètes pour la gestion des risques de sous-traitance, y compris l'évaluation des risques avant la sous-traitance, les exigences contractuelles, la surveillance continue et les stratégies de sortie. Le 7ème amendement a renforcé ces exigences et les a alignées sur les lignes directrices de l'EBA en matière de sous-traitance. L'article 28 de DORA ajoute d'autres exigences pour les fournisseurs tiers ICT qui complètent l'AT 9.
BTO -- Exigences organisationnelles
BTO 1 -- Activité de crédit (Kreditgeschaft) : Exigences détaillées pour l'organisation de l'activité de crédit, y compris la séparation entre le front office et le back office (Markt und Marktfolge), les processus d'approbation de crédit, la surveillance des crédits et la gestion des prêts problématiques. C'est l'un des modules les plus granulaires de MaRisk.
BTO 2 -- Activité de trading (Handelsgeschaft) : Exigences pour les activités de trading, y compris la séparation entre le front office, le back office et le contrôle des risques, l'évaluation à la valeur de marché et les limites de trading.
BTR -- Gestion et contrĂ´le des risques
BTR 1 -- Risque de contrepartie et de crédit (Adressenausfallrisiken) : Exigences pour l'identification, la mesure et la surveillance des risques de crédit, y compris la gestion de portefeuille, le risque de concentration et le risque pays.
BTR 2 -- Risque de prix de marché (Marktpreisrisiken) : Exigences pour la gestion des risques de marché, y compris les modèles VaR, les tests de résistance et les systèmes de limites.
BTR 3 -- Risque de liquidité (Liquiditätsrisiken) : Exigences pour la gestion des risques de liquidité, y compris les plans de financement, les buffers de liquidité et les tests de résistance sur différentes horizons temporels.
BTR 4 -- Risque opérationnel (Operationelle Risiken) : Exigences pour identifier, évaluer et gérer les risques opérationnels, y compris la collecte de données sur les pertes, l'analyse de scénarios et les indicateurs de risque.
Relation avec DORA et d'autres cadres
L'interaction entre MaRisk et DORA est le développement réglementaire le plus significatif pour les banques allemandes en 2026. Le principe clé est que DORA prévaut pour les exigences liées aux ICT tandis que MaRisk reste autoritaire pour toutes les autres exigences de gestion des risques.
Plus précisément :
- AT 7.2 (Ressources techniques et organisationnelles) et BAIT sont remplacés par les articles 5-16 de DORA (cadre de gestion des risques ICT), les articles 17-23 (reporting des incidents ICT), et les articles 24-27 (tests de résilience opérationnelle numérique).
- AT 7.3 (Planification de la continuité) chevauche les exigences de test de résilience de DORA mais conserve sa pertinence pour les scénarios de continuité des activités non ICT.
- AT 9 (Sous-traitance) est complété par l'article 28 de DORA (gestion des risques tiers ICT) pour la sous-traitance technologique, mais reste le cadre principal pour la sous-traitance non ICT.
- BTR 4 (Risque opérationnel) continue de s'appliquer à tous les risques opérationnels, DORA fournissant une spécificité supplémentaire pour les risques opérationnels liés aux ICT.
Les circulaires complémentaires BAIT (Bankaufsichtliche Anforderungen an die IT), ZAIT (Zahlungsdiensteaufsichtliche Anforderungen an die IT), et VAIT (Versicherungsaufsichtliche Anforderungen an die IT) -- collectivement appelées xAIT -- sont retirées alors que les normes techniques d'application et réglementaires de DORA entrent pleinement en vigueur. Cela simplifie le paysage réglementaire d'une certaine manière mais nécessite que les banques re-cartographient leurs contrôles de conformité de la structure xAIT familière au cadre de DORA.
La norme ISO 27001 reste une approche reconnue pour démontrer l'état de l'art en matière de sécurité informatique que MaRisk et DORA référencent. Un ISMS certifié ISO 27001 fournit une base structurée pour répondre aux exigences techniques des deux cadres.
Les exigences CRR/CRD en matière d'adéquation des fonds propres et de gestion des risques fonctionnent parallèlement à MaRisk. MaRisk spécifie comment le cadre de gestion des risques doit être organisé et opéré, tandis que CRR/CRD prescrivent les exigences quantitatives en matière de fonds propres et de liquidité. Ensemble, ils forment le cadre prudentiel complet pour les banques allemandes.
Automatisation de la conformité avec Matproof
La conformité à MaRisk consiste fondamentalement à démontrer que les processus de gestion des risques ne sont pas seulement conçus mais fonctionnent effectivement. L'audit annuel selon l'article 26 de la KWG, les examens réguliers de BaFin et les inspections de la Bundesbank exigent tous des preuves que les exigences de MaRisk sont respectées de manière continue -- pas seulement à un moment donné.
Matproof automatise la collecte de preuves qui rend cette démonstration continue possible. La plateforme cartographie les modules MaRisk à des contrôles spécifiques et des éléments de preuve à travers les sections AT et BT. Pour les exigences organisationnelles de l'AT 4.1, elle collecte des preuves des définitions de rôle, des contrôles d'accès et de la séparation des fonctions. Pour l'AT 7.2/DORA, elle surveille les contrôles de sécurité informatique, les procédures de sauvegarde et la disponibilité des systèmes. Pour l'AT 9 sur la sous-traitance, elle suit la documentation de sous-traitance, la conformité aux SLA et les évaluations des risques des fournisseurs.
La capacité inter-cadres de la plateforme est particulièrement précieuse compte tenu de la transition MaRisk-DORA. Matproof maintient des cartographies entre MaRisk AT 7.2, les anciennes exigences BAIT, et les articles correspondants de DORA. Alors que les banques passent de la structure xAIT au cadre de DORA, la plateforme s'assure que les preuves collectées sous l'ancienne structure sont correctement cartographiées aux nouvelles exigences, évitant ainsi des lacunes de conformité pendant la période de transition.
Pour l'audit annuel de l'article 26, Matproof génère des paquets de preuves structurées organisées par module MaRisk. Les auditeurs reçoivent une trace de preuves claire et traçable pour chaque exigence plutôt qu'une collection de documents disparates. Cela réduit le temps de préparation de l'audit de semaines à jours et réduit considérablement le risque de constatations d'audit causées par des lacunes de documentation plutôt que par de réelles carences de contrôle.
Toutes les données de conformité sont stockées dans des centres de données allemands avec une pleine résidence des données de l'UE, répondant aux attentes de BaFin en matière de souveraineté des données et aux exigences de protection des données qui s'appliquent aux informations sensibles de gestion des risques que contiennent les preuves MaRisk.
Feuille de route de mise en Ĺ“uvre
Phase 1 (Semaines 1-4) : Cartographie MaRisk et analyse des lacunes. Créez une cartographie complète de toutes les exigences MaRisk applicables à votre institution, en tenant compte du principe de proportionnalité. Pour chaque module AT et BT, identifiez l'état actuel de la conformité et documentez les lacunes éventuelles. Portez une attention particulière à la frontière entre MaRisk et DORA -- déterminez quelles exigences sont désormais traitées par DORA et lesquelles restent des obligations purement MaRisk.
Phase 2 (Semaines 5-8) : Alignement du cadre de contrôle. Alignez votre cadre de contrôle interne avec la cartographie MaRisk. Assurez-vous que chaque exigence MaRisk a au moins un contrôle, que chaque contrôle a des preuves définies, et que la collecte de preuves est soit automatisée, soit dispose d'un processus manuel clair avec une propriété assignée. Traitez la transition BAIT vers DORA en re-cartographiant les contrôles informatiques de l'ancienne structure BAIT à la structure des articles de DORA.
Phase 3 (Semaines 9-12) : Déploiement de l'automatisation. Déployez la collecte automatisée de preuves pour les contrôles pouvant être surveillés électroniquement. Connectez la plateforme de conformité à l'infrastructure informatique, aux systèmes RH, aux systèmes de gestion des risques et aux dépôts de documentation de gouvernance. Configurez des tableaux de bord qui fournissent à la direction une visibilité en temps réel sur l'état de conformité à MaRisk.
Phase 4 (En cours) : Surveillance continue et préparation à l'audit. Maintenez la collecte automatisée de preuves tout au long de l'année. Réalisez des examens internes trimestriels de la conformité à MaRisk. Préparez-vous à l'audit annuel de l'article 26 en générant des paquets de preuves pré-structurés à partir de la plateforme de conformité. Mettez à jour la cartographie MaRisk chaque fois que BaFin publie des amendements circulaires ou de nouvelles orientations de supervision.
FAQ
MaRisk sera-t-il remplacé par DORA ?
Non. DORA remplace les composants spécifiques aux ICT de MaRisk (principalement l'AT 7.2 et sa spécification détaillée à travers le BAIT), mais MaRisk dans son ensemble reste pleinement en vigueur. Les exigences organisationnelles générales (AT 1-6, AT 8-9), tous les modules BTO pour l'organisation des activités de crédit et de trading, et tous les modules BTR pour des types de risques spécifiques continuent de s'appliquer sans changement. MaRisk est le cadre global de gestion des risques ; DORA aborde le sous-ensemble spécifique aux ICT dans ce cadre.
À quelle fréquence MaRisk est-il audité ?
La conformité à MaRisk est évaluée annuellement dans le cadre de l'audit externe selon l'article 26 de la KWG. De plus, BaFin et la Bundesbank effectuent des examens de supervision de routine et spéciaux qui incluent l'évaluation de la conformité à MaRisk. La fréquence des examens spéciaux dépend du profil de risque de l'institution et des priorités de supervision de BaFin. Les institutions significatives sous la supervision directe de la BCE sont soumises à des inspections sur site coordonnées par le biais du cadre SSM, qui évaluent également la conformité à MaRisk.
Quelles sont les conséquences de la non-conformité à MaRisk ?
La non-conformité à MaRisk entraîne des constatations de supervision (Feststellungen) que l'institution doit remédier dans un délai spécifié par BaFin. La non-conformité persistante peut escalader vers des mesures de supervision formelles en vertu de l'article 25a(2) de la KWG, y compris des restrictions sur les activités commerciales, des majorations de capital, ou des exigences de renforcement du conseil de direction. Dans les cas graves, BaFin peut imposer des amendes administratives en vertu de l'article 49 de la KWG pouvant atteindre 5 millions d'euros par violation. Les auditeurs externes de l'article 26 sont tenus de signaler les lacunes de MaRisk dans leur rapport d'audit, que BaFin examine et peut agir en conséquence.
Comment le principe de proportionnalité fonctionne-t-il en pratique ?
Le principe de proportionnalité (Proportionalitätsprinzip) dans MaRisk AT 1 signifie que la mise en œuvre spécifique de chaque exigence doit être proportionnelle à la nature, à l'échelle, à la complexité et au profil de risque de l'institution. Une petite banque d'épargne (Sparkasse) avec des opérations bancaires de détail simples met en œuvre MaRisk différemment d'une grande banque universelle avec des activités de trading complexes. Cependant, la proportionnalité ne signifie pas exemption -- chaque institution doit traiter le fond de chaque exigence de MaRisk. BaFin évalue la proportionnalité au cas par cas lors des examens de supervision et s'attend à ce que les institutions documentent leur raisonnement sur la manière dont elles ont appliqué le principe.