MaRisk (Mindestanforderungen an das Risikomanagement)
MaRisk sind ein Rundschreiben der deutschen Bankenaufsicht, das die gesetzlichen Anforderungen an eine ordnungsgemäße Geschäftsorganisation und ein angemessenes Risikomanagement konkretisiert.
MaRisk (Mindestanforderungen an das Risikomanagement)
MaRisk sind ein Rundschreiben der deutschen Bankenaufsicht, das die gesetzlichen Anforderungen an eine ordnungsgemäße Geschäftsorganisation und ein angemessenes Risikomanagement in Kredit‑ und Finanzdienstleistungsinstituten konkretisiert. Sie definieren, wie wesentliche Risiken – etwa Kredit‑, Markt‑, Liquiditäts‑, operationelle und zunehmend auch ESG‑/Klimarisiken – zu identifizieren, zu messen, zu steuern und zu überwachen sind.
Struktur und Inhalte der MaRisk schaffen einen verbindlichen Orientierungsrahmen für Aufbau‑ und Ablauforganisation, Risikocontrolling, Compliance, Auslagerungsmanagement und Interne Revision. Durch fortlaufende Novellen werden internationale Standards und europäische Leitlinien in das deutsche Aufsichtsrecht übersetzt, sodass die MaRisk als „lebendes” Regelwerk regelmäßig aktualisiert werden. Für Institute sind sie faktisch der maßgebliche Prüf‑ und Beurteilungsmaßstab, an dem sich sowohl Abschlussprüfer als auch Aufsicht bei der Bewertung der Governance und des Risikomanagements orientieren.
Häufige Fragen
Was bedeuten MaRisk konkret für den Aufsichtsrat?
MaRisk beschreiben sehr klar, wie die Geschäftsorganisation und das Risikomanagement ausgestaltet sein müssen – der Aufsichtsrat muss überwachen, ob der Vorstand diese Vorgaben angemessen umsetzt. Praktisch sind sie damit ein Prüf‑ und Gesprächsleitfaden für die Beurteilung von Risikostrategie, Kontrollfunktionen und internen Prozessen. Gerade Risiko‑ und Prüfungsausschuss nutzen MaRisk häufig als Referenz bei der Jahresplanung.
Welche Pflichten ergeben sich aus MaRisk indirekt für Aufsichtsräte?
Rechtlich adressieren MaRisk primär das Institut und die Geschäftsleitung, aber die Überwachungspflicht des Aufsichtsrats knüpft daran an. Wenn das Risikomanagement oder die Kontrollfunktionen nicht MaRisk‑konform ausgestaltet sind, kann das auf eine unzureichende Überwachung hindeuten. Aufsichtsräte müssen sich daher zumindest in Grundzügen mit relevanten MaRisk‑Elementen vertraut machen.
Welche Fragen sollte ich dem Vorstand zur MaRisk-Umsetzung stellen?
Zentrale Fragen sind: Wie ist das Risikomanagement organisatorisch verankert? Welche wesentlichen Risiken sehen Sie, und wie werden sie gemessen und aggregiert? Wie sind Risikocontrolling, Compliance und Interne Revision personell und fachlich ausgestattet? Welche wesentlichen Feststellungen haben Prüfer oder Aufsicht zuletzt gemacht und wie wurden sie abgearbeitet?
Welche Rolle spielen MaRisk bei Auslagerungen und IT/IKT-Risiken?
MaRisk enthalten konkrete Anforderungen an das Auslagerungsmanagement sowie an Notfall‑ und IT‑Organisation. Für Aufsichtsräte ist wichtig, dass kritische Funktionen und Dienstleistungen (inkl. Cloud und IT‑Dienstleister) unter Risikogesichtspunkten sauber gesteuert werden. Der Ausschuss sollte sich regelmäßig über die Risikosituation und etwaige Konzentrationen bei Dienstleistern berichten lassen.
Wie betreffen MaRisk ESG- und Klimarisiken?
In den neueren Fassungen wird erwartet, dass Institute auch ESG‑ und insbesondere Klimarisiken in ihren Risiko‑ und Geschäftsstrategien sowie in ihren Prozessen berücksichtigen. Für Aufsichtsräte heißt das: Sie sollten hinterfragen, wie physische und transitorische Klimarisiken im Risikomanagement verankert sind und welche Auswirkungen auf Portfolio, Geschäftsmodell und Kapitalplanung gesehen werden.
Welche typischen Schwachstellen sieht man in MaRisk-Prüfungen?
Oft findet man unklare oder zu generische Risikostrategien, unzureichende Dokumentation, zu schwach ausgestattete Kontrollfunktionen oder Defizite im Auslagerungsmanagement. Für den Aufsichtsrat sind solche Feststellungen ein wichtiges Frühwarnsignal. Er sollte nachfassen, bis klar ist, wie Abhilfemaßnahmen geplant sind und wer sie überwacht.
Wie kann ich mich als Aufsichtsrätin/Aufsichtsrat zu MaRisk aktuell halten?
Empfehlenswert sind regelmäßige Kurzbriefings im Risiko‑ oder Prüfungsausschuss, gezielte Fortbildungen sowie knappe Management‑Summaries bei jeder MaRisk‑Novelle. Zusätzlich können institutsexterne Newsletter und Fachveranstaltungen helfen, die wesentlichen Neuerungen schnell einzuordnen. Wichtig ist, dass das Gremium ein gemeinsames Mindestverständnis entwickelt.