Bauen und transformieren Sie Technologielandschaften, unterstützen Sie Business-Strategien und rücken Sie die Innovationskraft ins Zentrum Ihrer Betriebsabläufe
Mehr erfahrenDas LeanIX-Partnerprogramm passt sich flexibel Ihrem Geschäftsmodell an, damit keine Marktchance an Ihnen vorbeizieht
Mehr erfahrenNutzen Sie unsere vielfältigen Informationsmaterialien und bilden Sie sich kontinuierlich weiter
Alle InhalteMaRisk ist ein bindender Verhaltenskodex für deutsche Kreditinstitute, der verhindern soll, dass Sicherheitsrisiken für Institute und Kunden ignoriert, unterschätzt oder übersehen werden. Erfahren Sie mehr zu den MaRisk in unserem Guide!
Die Sicherheit und Nachhaltigkeit eines Unternehmens sind eng verknüpft mit einem vorausschauenden Risikomanagement. Durch die wachsende Gefahrenlage maroder IT-Infrastrukturen, unregulierter IT-Abläufe und ansteigender Cyberkriminalität veröffentlichte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) am 20. Dezember 2005 die erste Version der Mindestanforderungen an das Risikomanagement (MaRisk BA) in ihrem Rundschreiben 18/2005.
Die MaRisk bauen auf der EU-Richtlinie 2013/36/EU und somit auch auf der CRD-Richtlinie (Capital Requirements Directive) auf, die europäische Finanzdienstleister in ihrem Risikomanagement stärken soll. Als EU-Richtlinie muss die CRD in nationales Recht übertragen werden. Im Grunde galt bereits § 25a Abs. 1 aus dem Kreditwesengesetz (KWG) als entsprechende nationale Regelung. Da der KWG Paragraph jedoch zu viel Interpretationsspielraum ließ, legte die BaFin mit der ersten MaRisk Novelle 2005 detaillierte Regeln fest.
Seit dem Rundschreiben 09/2017 liegt die aktuelle fünfte Novelle der MaRisk (BA) vor. Darin konkretisiert die BaFin ihre Verwaltungsvorschriften zu qualitativem Risikomanagement. Seit dem Ende der Übernahmefrist sind Kreditinstitute ab dem 31.10.2018 verpflichtet, die neuen Vorgaben in ihre Risikoplanung einzubinden.
Warum es regulierender Mindestanforderungen bedurfte, ist leicht nachzuvollziehen. Man erinnere sich an die Weltfinanzkrise ab 2007 und die EU-Finanzkrise ab 2009, die durch mangelndes Risikomanagement und fehlende Kontrollmechanismen weitreichende Konsequenzen für nationale und internationale Wirtschaften hatten.
Im Zuge der Finanzkrise 2008 übernahm die BaFin die Empfehlungen des internationalen Forums für Finanzstabilität zu Risikominimierung und passte die MaRisk mit dem Rundschreiben 15/2009 an.
Vor allem die IT-Landschaft im Bankensektor ist durch eine zögerliche digitale Transformation für IT-Angriffe von Cyberkriminellen und konkurrierenden Nationalstaaten anfällig. Zudem kann durch die enge Verknüpfung der internationalen Finanzmärkte aus dem finanziellen Flügelschlag eines Schmetterlings eine ausgewachsene Finanzkrise am anderen Ende der Welt entstehen. Aus diesen und weiteren Gründen unterliegen die MaRisk permanenter Revision durch das Fachgremium MaRisk.
Seit 2020 ist nun die 6. Novelle der MaRisk im Gespräch. Umso wichtiger also, dass Kreditinstitute das eigene Risikomanagement durch entsprechende IT-Lösungsstrategien und Enterprise Architecture Tools, wie LeanIX sie anbietet, krisensicher machen.
Die MaRisk ist ein bindender Verhaltenskodex für deutsche Kreditinstitute, der verhindern soll, dass Sicherheitsrisiken für Institute und Kunden ignoriert, unterschätzt oder übersehen werden.
Aufbauend auf der EU-weiten CRD-Leitlinie und den EBA-Beschlüssen geben die nationalen MaRisk den Aufbau von Risikomanagementsystemen vor, um Fehlentwicklungen und Strukturschwächen in deutschen Instituten aufzuzeigen. Sie übertragen den § 25a Abs. 1, 1a und 2 des KWG und die Risikoanforderungen von Basel-II und Basel-III in normeninterpretierende Verwaltungsvorschriften und sind für Banken eine bindende Auslegung bestehender Gesetzgebung.
Die Anforderungen ermöglichen es Instituten, ein Gesamtrisikoprofil zu erstellen und Risiken durch eine unternehmensweite Risikoinventur zu erfassen, unabhängig von Abteilung oder Bereich.
Die MaRisk gliedert sich in den Allgemeinen Teil, bestehend aus neun Abschnitten (AT 1 bis AT 9) und den Besonderen Teil, bestehend aus drei Kapiteln (BT 1, BT 2 und BT 3). Der AT enthält übergeordnete Anforderungen an die Strukturierung des Risikomanagements, ohne direkten Bezug zu Geschäftsbereichen und Risikoformen. Der BT konkretisiert die Risikokontrollvorschriften für Kreditinstitute.
Auf die Abschnitte AT 4 „Allgemeine Anforderungen an das Risikomanagement“ und AT 9 „Auslagerung“ soll später genauer eingegangen werden, daher folgt hier zuerst ein allgemeiner Überblick über die Kernpunkte des Allgemeinen Teils.
AT 1 Vorbemerkung: Weist auf Gesetze und Richtlinien hin, in deren Rahmen sich die MaRisk bewegen und welche Funktionen MaRisk erfüllt. Dazu zählen Ermittlungs-, Steuerungs-, Überwachungs- und Kommunikationsmethoden für Risikofelder. Die Vorbemerkung betont, dass die MaRisk nur Mindestanforderungen sind, die Institute auch übertreffen können.
AT 2 Anwendungsbereich: Erläutert die von MaRisk betroffenen Bereiche. Dazu zählen sowohl Risikopotentiale, Gesamtrisikoprofile und Risikoinventuren. Auch Geschäftsbereiche im Sinne von Kredit- und Handelsgeschäften werden berücksichtigt.
AT 3 Gesamtverantwortung der Geschäftsleitung: Hebt hervor, dass die Gesamtverantwortung für Geschäftsorganisation und effektive Einhaltung der MaRisk auch im Falle von Auslagerungen bei der Geschäftsleitung liegt.
AT 5 Organisationsrichtline / AT 6 Dokumentation: AT 5 und AT 6 verpflichten die Geschäftsleitung zur schriftlichen Dokumentation aktueller Organisationsrichtlinien. Diese sind zuständigen Mitarbeitern zugänglich zu machen. Geschäfts-, Kontroll- und Überwachungsunterlagen müssen Maßnahmen zur Risikoanalyse, -kontrolle und -kommunikation dokumentieren und für Dritte einsehbar sein.
AT 7 Ressourcen: Legt Anforderungen zu Personal, technisch-organisatorischer Ausstattung und Notfallkonzepten fest. Anzahl und Qualifikation des Personals soll der Risikolage und den Geschäftserfordernissen entsprechen. IT-Systeme müssen qualitativ die MaRisk erfüllen, Datensicherheit gewährleisten und durch Überwachung und Wartung auf aktuellem Stand sein. Notfallkonzepte sollen Schaden abwehren und Geschäftsfortführungspläne beinhalten.
AT 8 Anpassungsprozesse: Neue Methoden oder Technologien und daraus resultierende Risiken sollen durch Anpassungskonzepte kontrollier- und steuerbar sein. Die Anpassungsprozesse enthalten auch Maßnahmen, die bei Übernahmen und Fusionen zu bedenken sind.
Der Besondere Teil konzentriert sich auf drei wesentliche Anforderungsbereiche für Kreditinstitute:
BT 1 Besondere Anforderungen an das interne Kontrollsystem: BT 1 teilt sich in die zwei Untermodule BT 0 Aufbau- und Ablauforganisation und BT R Risikosteuerungs- und -controllingprozesse. BT O konzentriert sich auf Kredit- und Handelsgeschäfte im Bereich Markt, Marktfolge und Handel. Das Modul erläutert das Risikocontrolling und die Steuerung von Handelsgeschäften. BT R definiert für Risikosteuerung und -controlling vier Risikoarten: Adressenausfallrisiken, Marktpreisrisiken, Liquiditätsrisiken und operationelle Risiken.
BT 2 Anforderungen an die interne Revision: Erläutert die Einrichtung einer Internen Revision, die alle Bereiche und Prozesse eines Instituts in den Blick nimmt. Die Revision muss unabhängig und frei von Interessenkonflikten sein und parallel zu den Geschäftsprozessen arbeiten. Revisionszuständige dürfen keine Aufgabe außerhalb der Revision übernehmen. Bei MaRisk Auslagerung kann die Revision zum Teil abgegeben werden, insofern die Revisionshandlungen den Anforderungen von AT 4 und BT 2 entsprechen. Prüfungsresultate sind zu dokumentieren und zu kommunizieren. Der Prüfungsplan ist jährlich fortzusetzen und risikoorientiert anzupassen.
BT 3 Anforderungen an die Risikoberichterstattung: Das Modul verpflichtet die Geschäftsleitung, sich durch Risikoberichterstattungen über aktuelle und prognostizierte Risikosituationen zu informieren und eine Risikoeinschätzung samt Maßnahmen einzuleiten. Die Berichte müssen Stresstests, Auswirkungen von Risiken, Risikodeckungspotentiale und Risikokonzentrationen betrachten und turnusmäßig oder kurzfristig lieferbar sein.
AT 4.1 Risikotragfähigkeit: Ein Gesamtrisikoprofil soll den prozessgestützten Risikoschutz durch Risikodeckungspotential und resultierende Risikotragfähigkeit garantieren. Die Risikostrategie muss sich am Risikotragfähigkeitskonzept orientieren. Die Angemessenheit der Konzepte und Methoden ist jährlich zu prüfen.
AT 4.2 Strategien: Fordert von der Geschäftsleitung zukunftsorientierte Geschäftsstrategien, die äußere Faktoren wie Markt- und Wettbewerbssituation und innere Faktoren wie Risikotragfähigkeit und personelle/technisch-organisatorische Ressourcen berücksichtigen.
AT 4.3 Internes Kontrollsystem: Unter Berücksichtigung der Geschäftsprozesse sind zur Steuerung und Kontrolle Aufbau- und Ablauforganisationsregelungen (AT 4.3.1), Risikosteuerungs- und -controllingprozesse sowie Risikocontrolling- und Compliance-Funktionen (AT 4.3.2) einzurichten.
Regelmäßige Stresstests (AT 4.3.3) sollen Risikopotentiale und -faktoren ermitteln und durch unternehmensinterne oder übergreifende Szenarien aktuelle Geschäfts- und Risikostrategien anpassen. Risikopotentiale sollen erkannt und begrenzt werden. Die Geschäftsleitung muss über Kontrollabläufe stets informiert sein.
Das Modul AT 4.3. verpflichtet die Geschäftsleitung zudem zur Festlegung von umfassenden Grundsätzen für ein effektives Datenmanagement, Datenqualität und Aggregation von Risikodaten (AT 4.3.4). Die Geschäftsdatenstruktur und -hierarchie muss die Vollständigkeit und Verfügbarkeit von Geschäfts- und Risikodaten gewährleisten. Das Institut muss die Daten anhand festgelegter Kriterien überwachen, kommunizieren und zeitnah oder langfristig analysieren können.
AT 4.4 Besondere Funktionen: Das Modul umfasst die Bereiche Risikocontrolling (AT 4.4.1), Compliance (AT 4.4.2) und Interne Revision (AT 4.4.3).
Risikocontrolling überwacht und kommuniziert Risiken und ist unabhängig von Geschäftsaktivitäten. Risikoinventur, Risikosteuerung/-controlling und Risikoberichte überwachen Risikotragfähigkeit des Instituts. Die Funktion Compliance überwacht die Einhaltung rechtlicher Regelungen durch Kontroll- und Überwachungsmechanismen. Sie ist der Geschäftsleitung untergeordnet und zu jährlichen Berichten verpflichtet. Die Interne Revision prüft und bewertet die Effektivität des Risikomanagement und des internen Kontrollsystems. Analyseresultate sind der Geschäftsleitung regelmäßig zu übermitteln.
AT 4.5 Risikomanagement auf Gruppenebene: Geschäftsleiter eines übergeordneten Unternehmens im Rahmen einer Institutsgruppe, einer Finanzholding-Gruppe oder Geschäftsleiter in einem übergeordneten Finanzkonglomerat haben ein MaRisk gerechtes Risikomanagement zu erstellen. Die Risikotragfähigkeit muss gruppenweit gelten. Überwachungsprozesse und Steuerungsmaßnahmen müssen dem Gruppenrisiko gerecht werden und das Risikomanagement auf Risikosteuerungs- und -controllingprozessen aufbauen.
Modulpunkt AT 9 Auslagerung der 5. MaRisk Novelle von 2017 hat für Kreditinstitute vor allem durch die ordnungsgemäße MaRisk Auslagerung von IT-Prozessen, das allgemeine Auslagerungsmanagement und die Risikobewertung und -steuerung von Auslagerungen Einfluss auf das Risikomanagement.
Für Institute stellt sich durch AT 9 der MaRisk unter anderem die Frage, welche IT- und Softwareverträge regelkonform sind und ob Auslagerungsverträge für IT ebenfalls die MaRisk Vorgaben enthalten müssen bzw. ab wann eine IT-Auslagerung die MaRisk erfüllen muss.
Laut Novelle definiert MaRsik Auslagerung also die Übernahme und Wahrnehmung von institutstypischen Aufgaben und Aktivitäten durch ein anderes Unternehmen. Als institutstypisch gelten zum Beispiel Aktivitäten wie Bankgeschäfte und Finanzdienstleistungen. Nach dieser Definition definieren die MaRisk von Auslagerung abgrenzten Fremdbezug von Software oder Dienstleistungen, bei denen es sich um einmalige oder sporadische Leistungen, Güter oder Waren handelt. Der Fremdbezug muss sich auf Aufgaben beziehen, die nicht vom Institut übernommen werden könnten.
Eine regelkonforme Auslagerung liegt demnach vor, wenn die ausgelagerte IT einen zweckgebundenen Zusammenhang mit institutstypischen Prozessen hat und das Kriterium der Nachhaltigkeit erfüllt. Die Aufgabe darf also nicht nur einmalig oder sporadisch ausgelagert werden. Die Auslagerung muss auf Aufgaben beschränkt sein, die üblicherweise dem Institut obliegen.
IT darf ausgelagert werden, wenn sie die Anforderungen nach § 25 KWG und MaRisk Auslagerung (AT 9) erfüllt und es sich aus Risikosicht um eine sogenannte wesentliche Auslagerung handelt. Aufgaben, die dieses Kriterium erfüllen, muss die Geschäftsleitung eigenverantwortlich definieren und durch eine Interne Revision regelmäßig überprüfen. Die ausgelagerte IT bzw. Aufgabe darf die Ordnungsmäßigkeit der Geschäftsorganisation nicht beeinträchtigen. Nicht regelkonforme Auslagerungen sind demnach Aufgaben, die in den direkten Verantwortungsbereich der Geschäftsleitung fallen. Aufgaben und IT-Dienste, die Verantwortlichkeiten der Geschäftsleitung reduzieren oder auf Fremdunternehmen auslagern, sind gemäß MaRisk Auslagerung nicht erlaubt. Die Auslagerungen müssen zudem durch schriftliche Vereinbarungen erfolgen.
AT 9 definiert Drittsoftware, die im Risikomanagement zum Einsatz kommt, als Auslagerungstatbestand. Banken sind demnach verpflichtet, Vorkehrungen zu treffen, die neue Softwareverträge oder bisherige IT-Vereinbarungen MaRisk konform gestalten, die Informationssicherheit der ausgelagerten IT-Aufgaben garantieren und Kontinuität und Qualität bei Vertragsänderungen gewährleisten. Eine weitere Herausforderung ist die enge Verknüpfung der MaRisk mit den bankaufsichtlichen Anforderungen an die IT (BAIT) und dem Leitfaden zum Outsourcing des Committee of European Banking Supervisors. Institute sind somit dazu angehalten, ihre Softwarelösungen zeitnah in das Risikomanagement zu integrieren und auf die MaRisk abzustimmen.
Durch die zunehmende Digitalisierung im Bankensektor sieht sich das Risikomanagement von Banken jährlich neuen und konkreteren Herausforderungen gegenüber. Veraltete Risikoanalysemechanismen und IT-Infrastrukturen sind nicht nachhaltig und müssen flexibleren Analysetools und effizienten, modernen Enterprise Architecture Tools, wie LeanIX, weichen.
Die Einhaltung der MaRisk ermittelt jährlich die Jahresabschlussprüfung sowie § 44 Sonderprüfungen. Die Einhaltung der MaRisk Richtlinien, sollte jedoch nicht nur im Interesse positiven Prüfungsresultate, sondern auch im Eigeninteresse von Kreditinstituten und ihrem Risikomanagement liegen. Denn in einer Welt nahezu unbegrenzter digitaler Möglichkeiten wachsen auch unbegrenzte digitalen Risiken, wie sie IT-Auslagerungen im Finanzsektor mit sich bringen. Daten- und Informationssicherheit sollte für Banken im 21. Jahrhundert eine der wichtigsten Währungen auf dem Markt sein.
Gratis White Paper