Mindestanforderungen an das Risikomanagement (MaRisk)

Definition des Begriffs

Die Mindestanforderungen an das Risikomanagement (MaRisk) sind eine von der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) erlassene Verwaltungsvorschrift in Form eines Rundschreibens. Sie konkretisieren insbesondere die in den §§ 25a und 25b sowie § 53b des Kreditwesengesetzes (KWG) verankerten organisatorischen Anforderungen an Institute. Ziel der MaRisk ist es, eine ordnungsgemäße Geschäftsorganisation von Kredit- und Finanzdienstleistungsinstituten sicherzustellen – insbesondere im Hinblick auf die Identifikation, Bewertung, Steuerung, Überwachung und Kommunikation von Risiken. Das Rahmenwerk formuliert verbindliche Anforderungen an die Governance-Strukturen, das interne Kontrollsystem (IKS), das Risikocontrolling und die interne Revision. Zudem regelt es den Umgang mit Auslagerungen wesentlicher Aktivitäten sowie mit IT- und ESG-Risiken.

Einordnung der Relevanz

Die MaRisk gelten für alle Institute in Deutschland, die dem Kreditwesengesetz (KWG) oder bestimmten Vorschriften des Wertpapierhandelsgesetzes (WpHG) unterliegen. Dazu zählen insbesondere Kreditinstitute, Finanzdienstleistungsinstitute sowie Zweigniederlassungen ausländischer Institute mit einer Erlaubnis nach § 53b KWG. Als zentrales Instrument der deutschen Bankenaufsicht dienen die MaRisk der Überprüfung der institutsinternen Organisationsstruktur und Risikosteuerung durch die Aufsicht. Dabei gilt der Grundsatz der Proportionalität: Die konkreten Anforderungen richten sich nach Art, Umfang, Komplexität und Risikogehalt der jeweiligen Geschäftstätigkeit.

Betroffene

Betroffen sind sämtliche nach dem KWG beaufsichtigten Institute, also unter anderem Banken, Sparkassen, Genossenschaftsbanken, Finanzdienstleistungsinstitute sowie Zweigstellen ausländischer Institute. Aus den MaRisk ergeben sich Pflichten für verschiedene Funktionen innerhalb der Institute:

• Geschäftsleitung: Gesamtverantwortung für eine ordnungsgemäße Risikokultur und Festlegung der Risikostrategie
• Risikocontrolling (2nd Line of Defence): Überwachung aller wesentlichen Risiken, Methodenvalidierung und Stresstests
• Interne Revision (3rd Line of Defence): Prüfung der Wirksamkeit der Organisation sowie Berichterstattung an das Leitungsorgan
• Fachbereiche (1st Line of Defence): Operative Risikoidentifikation, -steuerung und -berichterstattung
• Compliance-Funktion: Überwachung regulatorischer Vorgaben und Schnittstellenfunktion zu weiteren Regelwerken

Anforderungen und Pflichten

Die MaRisk verlangen eine Vielzahl konkreter organisatorischer und prozessualer Maßnahmen, darunter:

• Risikostrategie: Dokumentation der Risikopositionen, Festlegung von Limiten, Integration in Geschäfts- und Vergütungsstrategie
• Aufbau- und Ablauforganisation: Trennung von Kontroll- und Ausführungsfunktionen, klare Verantwortlichkeiten
• Risikosteuerungsprozesse: Vollständige Risikoerfassung (inkl. ESG-Risiken), Anwendung geeigneter Steuerungsinstrumente sowie die Durchführung von Szenarioanalysen und Stresstests
• Auslagerungen: Risikoorientierte Auswahl und Kontrolle von Dienstleistern, Mindestanforderungen an Auslagerungsverträge und die Berücksichtigung von Cloud-Services
• IT- und Cyberrisiken (IT-MaRisk): Anforderungen an Informationssicherheit, Notfallmanagement sowie die Klassifizierung kritischer Systeme
• ESG-Risiken: Integration von Nachhaltigkeitsaspekten in Strategie, Governance und Risikomanagement
• Interne Revision: Unabhängige Prüfplanung sowie systematische Kontrolle und Follow-up

Aktuelle Entwicklungen:

• MaRisk-Novelle 2023: Konkretisierung der Anforderungen an Auslagerungen (EBA/GL/2019/02), Notfallmanagement sowie ESG-Risiken und mobile Arbeitsformen
• BaFin-Rundschreiben 07/2023: Einführung spezifischer Vorgaben zur Steuerung von Nachhaltigkeitsrisiken
• Verstärkte IT-Aufsicht: Anpassungen der IT-MaRisk zur Umsetzung der EBA-Leitlinien zu IKT-Risiken
• Ausblick DORA: Im Kontext der EU-Verordnung DORA sind weitere nationale Anpassungen in Vorbereitung. Diese sollen spätestens bis 2025 in Kraft treten.

Weitere Informationen

Die jeweils aktuelle Version der MaRisk ist über das Rundschreiben-Angebot der BaFin einsehbar. Die jüngste Fassung trat am 29. Juni 2023 in Kraft. Für einige Neuerungen – insbesondere im Bereich ESG – gelten Übergangsfristen bis zum 1. Januar 2025. Weiterführende Kommentierungen, Musterverträge, Fachbeiträge sowie Umsetzungshilfen finden sich auf Regupedia unter:
🔗https://www.regupedia.de/

Dort sind auch die konsolidierten Fassungen, Interpretationshilfen zur Proportionalitätsanwendung sowie technische Konkretisierungen (z. B. IT-MaRisk, Outsourcing-Leitfaden) abrufbar.