Key Facts

  • § 25a KWG → verlangt ein funktionierendes Risikomanagement.
  • MaRisk → konkretisieren, wie das genau auszusehen hat.
  • Basel II/III → internationale Grundlage
  • Rechtsnatur → keine Gesetze, aber faktisch verbindlich durch Aufsichtspraxis.
  • Prüfungen → durch Abschlussprüfer und Bundesbank (§ 44 KWG, § 7 KWG).

Die Mindestanforderungen an das Risikomanagement (BA), kurz MaRisk (BA), sind Verwaltungsanweisungen der BaFin. Sie werden per Rundschreiben veröffentlicht und regeln das Risikomanagement deutscher Kreditinstitute.

Die Mindestanforderungen an das Risikomanagement konkretisieren die Vorschriften des § 25a Absatz 1 Kreditwesengesetz (KWG).

Darin steht, dass jedes Kreditinstitut eine ordnungsgemäße Geschäftsorganisation haben muss – insbesondere ein angemessenes und wirksames Risikomanagement.

§ 25a Abs. 1 KWG (auszugsweise):

Ein Institut muss über eine ordnungsgemäße Geschäftsorganisation verfügen, die die Einhaltung der gesetzlichen Bestimmungen gewährleistet. Dazu gehören insbesondere angemessene Strategien und Verfahren zur Ermittlung, Beurteilung, Steuerung und Überwachung von Risiken.

Die MaRisk setzen außerdem die qualitativen Anforderungen aus Basel II und Basel III um – also die Regeln, die das Risikomanagement und die Aufsicht über Banken international festlegen.

💡Exkurs: Basel I-III

Basel I (1988)

  • Erstes internationales Regelwerk des Basler Ausschusses für Bankenaufsicht.
  • Ziel: einheitliche Eigenkapitalanforderungen weltweit.
  • Banken mussten mindestens 8 % Eigenkapital im Verhältnis zu ihren risikogewichteten Aktiva halten.
  • Fokus lag ausschließlich auf Kreditrisiken (z. B. Ausfall eines Kreditnehmers).
  • Legte das Fundament moderner Bankenaufsicht.

Basel II (2004)

  • Erweiterte Basel I um ein umfassenderes Risikokonzept und bildet die Grundlage für die MaRisk, die diese Anforderungen in deutsches Recht übertragen.
  • Einführung des „Drei-Säulen-Konzepts“:
    1. Mindestkapitalanforderungen – differenzierter nach Risikoarten (Kredit-, Markt-, operationelle Risiken).
    2. Aufsichtsprozess (Supervisory Review Process) – qualitative Anforderungen an das interne Risikomanagement.
    3. Marktdisziplin (Offenlegungspflichten) – mehr Transparenz gegenüber Marktteilnehmern.

Basel III (2010 ff.)

  • Reaktion auf die Finanzkrise 2008.
  • Ziel: mehr Stabilität und Widerstandsfähigkeit des Bankensystems.
  • Einführung höherer und qualitativ besserer Eigenkapitalanforderungen.
  • Neue Liquiditätskennziffern (LCR, NSFR) und Verschuldungsgrenze (Leverage Ratio).
  • Stärkt die Risikotragfähigkeit und Krisenfestigkeit von Banken.

Bezug zu Deutschland / MaRisk

  • Die MaRisk setzen die qualitativen Vorgaben aus Basel II und III in deutsches Aufsichtsrecht um.
  • Sie konkretisieren den § 25a KWG, der Banken zu einem angemessenen Risikomanagement verpflichtet.
  • Damit sind die MaRisk ein zentrales Element der zweiten Säule von Basel II/III auf nationaler Ebene.

Wie verbindlich sind die MaRisk?

In ihrer Rechtsnatur sind die MaRisk normeninterpretierende Verwaltungsvorschriften.

Das bedeutet:

Sie sind keine Gesetze, binden aber die Aufsichtsbehörden (BaFin und Bundesbank) in ihrer Anwendung des § 25a KWG. Für Banken wirken sie dadurch faktisch verbindlich, weil sich die Aufsicht bei Prüfungen an ihnen orientiert.

Die MaRisk sollen sicherstellen, dass die aufsichtliche Praxis einheitlich und nachvollziehbar ist und die Institute Planungs- und Rechtssicherheit haben.

Überprüfung in der Praxis

Die Einhaltung der MaRisk wird regelmäßig überprüft:

  • durch den Abschlussprüfer im Rahmen der Jahresabschlussprüfung,
  • sowie durch Sonderprüfungen nach § 44 Abs. 1 KWG.

§ 44 Abs. 1 KWG (auszugsweise):

Die Bundesanstalt [BaFin] kann Prüfungen bei Instituten […] durchführen, um die Einhaltung der gesetzlichen Vorschriften sicherzustellen.

Nach der aktuellen Arbeitsteilung gemäß § 7 KWG werden viele dieser Prüfungen von der Deutschen Bundesbank im Auftrag der BaFin durchgeführt.

§ 7 KWG (Kurzfassung):

Regelt die Zusammenarbeit zwischen BaFin und Bundesbank bei der laufenden Bankenaufsicht.

💡Exkurs: Warum spricht man von 3 Säulen?

Basel II / III = Drei-Säulen-Konzept

  1. Säule: Mindestkapitalanforderungen
  2. Säule: Aufsichtsrechtlicher Überprüfungsprozess
  3. Säule: Marktdisziplin / Offenlegung

Alles, was mit internem Risikomanagement, ICAAP, IKS, MaRisk zu tun hat, bezieht sich auf die 2. Säule.

Aufbau der MaRisk

Die MaRisk sind in zwei große Teile gegliedert – einen allgemeinen Teil (AT) und einen besonderen Teil (BT).
Diese Struktur hilft, allgemeine Grundsätze vom konkreten Risikomanagement zu trennen.

Allgemeiner Teil (AT)

Hier stehen die grundsätzlichen Regeln, die für alle Banken gelten.
Dazu gehören:

  • Organisationsprinzipien: wie eine Bank intern aufgebaut sein soll, um Risiken zu erkennen und zu steuern.
  • Dokumentation: wie Entscheidungen und Prozesse nachvollziehbar festgehalten werden müssen.
  • Personalwesen: Anforderungen an Qualifikation, Zuverlässigkeit und Verantwortlichkeiten von Mitarbeitenden.
  • Notfallkonzepte: Pläne, wie der Betrieb bei IT-Ausfällen oder Krisen weiterlaufen kann.
  • Outsourcing: Bedingungen, unter denen Aufgaben an externe Dienstleister vergeben werden dürfen (z. B. IT-Betrieb oder Backoffice-Prozesse).

Besonderer Teil (BT)

Der besondere Teil beschreibt konkrete Anforderungen an das Management verschiedener Risikotypen:

  • Adressenausfallrisiken: Gefahr, dass ein Kunde oder Geschäftspartner seine Zahlungen nicht leisten kann.
  • Marktpreisrisiken: Risiken durch Veränderungen von Zinsen, Aktienkursen oder Wechselkursen.
  • Liquiditätsrisiken: Gefahr, dass eine Bank kurzfristig nicht genug Geld zur Verfügung hat.
  • Operationelle Risiken: Verluste durch interne Fehler, Systemausfälle oder betrügerisches Verhalten.

Außerdem enthält der BT Vorgaben für die interne Revision – also die unabhängige Kontrollinstanz innerhalb der Bank, die regelmäßig prüft, ob alles regelkonform läuft.