Mindestanforderungen an das Risikomanagement BA Die abgekürzt MaRisk BA sind Verwaltungsanweisungen die mit einem Rundsc

Das MaRisk-Rundschreiben ist modular strukturiert: Im allgemeinen Teil (Modul AT) befinden sich grundsätzliche Prinzipien für die Ausgestaltung des Risikomanagements, Organisationsrichtlinien, Dokumentation, Personalwesen oder Notfallvorsorge und der Rahmen für die Ausgestaltung von Outsourcing. Im besonderen Teil (Modul BT) sind spezifische Anforderungen an die Organisation bzw. die Prozesse für das Management und Controlling von Adressenausfallrisiken, Marktpreisrisiken, Liquiditätsrisiken sowie operationellen Risiken niedergelegt. Außerdem werden dort Rahmen für die Ausgestaltung der internen Revision vorgegeben.

Zur Diskussion von Auslegungs- und Anwendungsfragen in der Praxis tagt in gewissen Abständen das sog. Fachgremium MaRisk. Dieses setzt sich aus Experten der Industrie, Prüfern, Verbandsvertretern und Bankenaufsehern (BaFin, Bundesbank) zusammen. Im Gremium werden Vorschläge zu Anpassungen diskutiert. Bei Annahme durch die BaFin wird eine angepasste Formulierung der MaRisk vorgenommen. Die Protokolle und Änderungsentwürfe (Arbeitsversionen) werden im Internet veröffentlicht.

Am 30. Oktober 2007 erfolgte eine Neufassung der MaRisk, in dem die MaRisk vor allem um Regelungen zum Outsourcing ergänzt wurden.

Als Reaktion auf die Finanzmarktkrise wurden vom Financial Stability Forum, in dem die Bankenaufsichten, Zentralbanken und Finanzministerien zahlreicher wirtschaftlich bedeutender Länder vertreten sind, im April 2008 Empfehlungen veröffentlicht, die unter anderem auch das Risikomanagement in den Instituten betreffen. Im Februar 2009 wurde von der BaFin ein Entwurf der MaRisk veröffentlicht, der entsprechende Anpassungen enthält. Dieser Entwurf war Grundlage für die am 14. August 2009 veröffentlichte überarbeitete Fassung. Zitat Rundschreiben der BaFin:

Im Abschnitt AT 7.2 werden an die unterstützenden IT-Systeme konkrete Anforderungen an Berechtigungssysteme gestellt.

Ende 2010 wurden die MaRisk (BA) erneut überarbeitet (Rundschreiben 11/2010 (BA) vom 15. Dezember 2010). Die Regelungen zu den Vergütungssystemen der Banken wurden im Zuge der Überarbeitung aus den MaRisk herausgenommen und finden sich nunmehr in detaillierterer Form in der Instituts-Vergütungsverordnung (InstitutsVergV).

Am 26. April 2012 wurde von der BaFin der Entwurf einer weiteren Überarbeitung der MaRisk veröffentlicht. Die endgültige Fassung der MaRisk²⁰¹² wurde am 14. Dezember 2012 veröffentlicht und trat zum 1. Januar 2013 in Kraft. Die neue Fassung stellt u. a. die Compliance- sowie Risikocontrollingfunktionen in den Instituten stärker als eigenständige Prozesse dar, die unabhängig und aufbauorganisatorisch getrennt zu den überwachten Bereichen aufgestellt sein müssen. Zusätzlich werden konkretere Regelungen zu Risikotragfähigkeitsuntersuchungen gegeben.

Im Jahr 2016 wurde eine fünfte MaRisk-Novelle angekündigt. Schwerpunkte sind die Risikodatenaggregation und Risikoberichterstattung, die Risikokultur in den Instituten sowie Auslagerungen. Die Konsultation wurde am 18. Februar 2016 veröffentlicht. In den Stellungnahmen insbesondere der Bankenverbände wurde kritisiert, dass die regulatorischen Anforderungen teilweise deutlich über internationale Vorgaben hinausgingen und gerade im Bezug auf die Auslagerungen für die Banken teilweise nur mit erheblichem zusätzlichem Aufwand umsetzbar seien. Am 24. Juni 2016 hat die BaFin den Bankenverbänden einen weiteren inoffiziellen Zwischenstand für eine finale Konsultation bereitgestellt. Die Endfassung sollte zunächst noch in der zweiten Jahreshälfte 2016 veröffentlicht werden. Die endgültige Fassung der MaRisk²⁰¹⁷ wurde am 27. Oktober 2017 durch das Rundschreiben 09/2017 (BA) veröffentlicht. Wesentliche Neuerungen sind

• die Einführung einer Risikokultur,
• die Umsetzung der Anforderungen des BCBS 239 in deutsches Recht,
• verbindliche Einführung eines Produktkataloges sowie
• Verschärfungen in Bezug auf Auslagerungen,
• Einführung eines Liquiditätsplanungsprozesses.

Am 16. August 2021 wurde die 6. Novelle veröffentlicht. In Summe sind 79 Änderungen zu verzeichnen, wobei 49 Klarstellungen und 30 Neuerungen zu konstatieren sind. Diese mussten in der Regel bis zum 31. Dezember 2021 umgesetzt sein. Schwerpunkt der Novelle lag auf den folgenden Punkten:

• NPL (Non Performing Loans) | 21 Änderungen
• Auslagerungen | 16 Änderungen
• Kreditprozesse | 7 Änderungen
• Notfallmanagement | 5 Änderungen

Diese 49 Änderungen umfassen 83,3 % der Neuerungen, ebenfalls 83,3 % der Aspekte, die einen hohen Umsetzungsaufwand mit sich bringen sowie 100 % der kritischen Aspekte (10) bei der Umsetzung.

Die aktuelle Fassung der MaRisk erschien am 29. Juni 2023. Mit der 7. Novelle werden unter anderem Änderungen im Kontext von Immobiliengeschäften und der Kreditvergabe verbindlich. Die Neufassung ist mit Veröffentlichung in Kraft getreten.

Die MaRisk sind der zentrale Baustein in der Weiterentwicklung der qualitativen Bankenaufsicht, deren Entwicklung 1975 mit den Mindestanforderungen für bankinterne Kontrollmaßnahmen bei Devisengeschäften begann. Entscheidende Änderung ist dabei der ganzheitliche Ansatz, der die bisherigen Regelungen für Teilbereiche ablöst. Dies betrifft insbesondere Strategien, Risikotragfähigkeit, Liquiditätsrisiken und operationelle Risiken. Die Regelungen der MaH und MaK bleiben dabei i. W. erhalten, die Anforderungen sind wie bisher vom Geschäftsumfang abhängig (Grundsatz der Proportionalität).

In den MaRisk hat die BaFin als Aufsichtsbehörde zur Konkretisierung des § 25a KWG die bis dahin gültigen

• Mindestanforderungen an das Betreiben von Handelsgeschäften (MaH). Als Vorläufer der MaH gab es die
  • Mindestanforderungen für bankinterne Kontrollmaßnahmen bei Devisengeschäften (Schreiben I4-32 des BaKred vom 24. Februar 1975)
  • Mindestanforderungen an das Wertpapiergeschäft (Schreiben V3-Gr 8/77 des BaKred vom 30. Dezember 1980)
• Mindestanforderungen an die Ausgestaltung der internen Revision (MaIR)
• Mindestanforderungen an das Kreditgeschäft (MaK)

konsolidiert, aktualisiert und ergänzt.

Sämtliche aus den MaH, MaIR und MaK in die MaRisk überführten Anforderungen galten ab der Veröffentlichung im Dezember 2005. Neu hinzugekommene Anforderungen mussten jedoch erst mit Inkrafttreten von Basel II zum 1. Januar 2007 umgesetzt werden. Instituten, die das Wahlrecht gemäß Art. 152 Abs. 7 Eigenkapitalrichtlinie in Anspruch nahmen, erlaubten die EU-rechtlichen Vorgaben einen Anwendungsaufschub von Basel II bis zum 1. Januar 2008.

Durch die 2009 erfolgte erste Veröffentlichung der an das Versicherungswesen gerichteten Mindestanforderungen an das Risikomanagement (VA), abgekürzt MaRisk (VA), wurde der Klammerzusatz „(BA)“ bei den Vorgaben für das Bankwesen nötig.

Die Informationstechnik ist die Basisinfrastruktur für sämtliche fachlichen, aber auch alle nichtfachlichen Prozesse bei Banken. Die Bankaufsichtlichen Anforderungen an die IT, abgekürzt BAIT, sind Verwaltungsanweisungen, die mit dem Rundschreiben 10/2017 (BA) der BaFin veröffentlicht wurden. Die BAIT konkretisieren die gesetzlichen Anforderungen des § 25a Absatz 1 Satz 3 Nr. 4 und 5 Kreditwesengesetz (KWG). Darin wird erläutert, was unter einer angemessenen technisch-organisatorischen Ausstattung der IT-Systeme, unter besonderer Berücksichtigung der Anforderungen an die Informationssicherheit sowie eines angemessenen Notfallkonzepts, verstanden wird. Da Kreditinstitute zunehmend IT-Dienstleistungen von Dritten beziehen, auch im Rahmen von Auslagerungen, wird auch der § 25b KWG in diese Konkretisierung einbezogen.

• Ralf Hannemann, Andreas Schneider, Thomas Weigl: Mindestanforderungen an das Risikomanagement (MaRisk). Schäffer-Poeschel Verlag, Stuttgart 2013, 4. Auflage, ISBN 978-3-7910-3307-5
• Axel Becker, Walter Gruber, Dirk Wohlert (Hrsg.): Handbuch MaRisk. Mindestanforderungen an das Risikomanagement in der Bankpraxis. Fritz Knapp Verlag, Frankfurt am Main 2006, ISBN 3-8314-0777-0
• Carl Th. Samm, Axel Kokemoor (Hrsg.): Gesetz über das Kreditwesen (KWG). C.F. Müller Verlag, Heidelberg. Kommentar in Loseblattsammlung, 129. Aktualisierung Februar 2008, ISBN 978-3-8114-5670-9

• 7. MaRisk-Novelle: Rundschreiben 05/2023 (BA) vom 29. Juni 2023
• MaRisk 7.0 / 6. Novelle: Rundschreiben 10/2021 (BA) vom 26. August 2021
• Rundschreiben 09/2017 (BA) vom 27. Oktober 2017
• Rundschreiben 10/2012 (BA) vom 14. Dezember 2012
• MaRisk-Fachgremium auf der Website Bundesanstalt für Finanzdienstleistungsaufsicht
• MaRisk-Leitfaden (PDF; 6,3 MB), umfangreicher Interpretationsleitfaden des Deutschen Sparkassen- und Giroverbands zu den MaRisk, Version 8 vom Oktober 2023
• Reuse, S. (2017): MaRisk 6.0 – Würdigung der finalen Version vom 27. Oktober 2017, Darstellung von Umsetzungsempfehlungen und Aufbau eines Projektplans, Stand 3. November 2017, erhältlich auf: https://www.fc-heidelberg.de/banken-times-spezial-sonderausgabe-marisk-2/, Abfrage vom 14. Januar 2018.
• Konsultation 14/2020: Entwurf der MaRisk in der Fassung vom 26. Oktober 2020 (Stand 09/2020)

1. Rundschreiben 05/2023 (BA) – Mindestanforderungen an das Risikomanagement – MaRisk. In: bafin.de. BaFin, 5. November 2021, abgerufen am 16. Januar 2022. 
2. Bankenaufsicht. In: bafin.de. BaFin, 20. März 2019, abgerufen am 16. Januar 2022. 
3. Detlef Hellenkamp: Bankwirtschaft. Springer Gabler, 2015, ISBN 978-3-658-06764-9, S. 85 f. (Google Books). 
4. Rundschreiben 05/2007. (PDF; 0,2 MB) In: bundesbank.de. BaFin, 30. Oktober 2007, abgerufen am 13. Januar 2022. 
5. (Memento des Originals vom 24. Juli 2008 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.fsforum.org (PDF, englisch; 409 kB), veröffentlicht am 7. April 2008
6. BaFinJournal, (Memento vom 30. Januar 2012 im Internet Archive)
7. (Memento vom 30. Januar 2012 im Internet Archive)
8. (Memento vom 20. Februar 2011 im Internet Archive)
9. (Memento vom 20. Februar 2011 im Internet Archive)
10. (Memento des Originals vom 26. Juli 2012 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.bafin.de
11. (Memento des Originals vom 31. Dezember 2012 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.bundesbank.de
12. Konsultation MaRisk (BA) 2016. Abgerufen am 12. Juni 2016. 
13. (Nicht mehr online verfügbar.) 1. Juli 2016, archiviert vom Original am 6. Juli 2016; abgerufen am 6. Juli 2016.  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/blogs.pwc.de 
14. Bundesanstalt für Finanzdienstleistungsaufsicht: Rundschreiben 09/2017 (BA) – Mindestanforderungen an das Risikomanagement – MaRisk. Abgerufen am 9. November 2017. 
15. Svend Reuse: MaRisk 6.0 – Würdigung der finalen Version vom 27. Oktober 2017, Darstellung von Umsetzungsempfehlungen und Aufbau eines Projektplans. In: Finanz Colloquium Heidelberg (Hrsg.): Banken-Times SPEZIAL Sonderausgabe MaRisk. Heidelberg 3. November 2017 (fc-heidelberg.de [abgerufen am 14. Januar 2018]). 
16. BaFin (2021) - Rundschreiben 10/2021 (BA) - Mindestanforderungen an das Risikomanagement - MaRisk. Abgerufen am 19. Februar 2022. 
17. ↑ Svend Reuse, Gebhard Zemke: Einführung in die MaRisk 7.0 Einleitende Worte und Strukturierung der neuen Anforderungen, in: MaRisk WIKI, 3. Auflage. FC Heidelberg, abgerufen am 12. Februar 2022. 
18. Wolfgang Stützle: Der Prozess der Weiterentwicklung der Mindestanforderungen (MaH, MaIR, MaK) zu den Mindestanforderungen an das Risikomanagement. In Becker, Gruber, Wohlert (Hrsg.): Handbuch MaRisk.
19. Dirk Wohlert: MaRisk versus MaH/MaK. In Becker, Gruber, Wohlert (Hrsg.): Handbuch MaRisk.
20. Bundesanstalt für Finanzdienstleistungsaufsicht: Rundschreiben 10/2017 (BA) – Bankaufsichtliche Anforderungen an die IT (BAIT). Abgerufen am 9. November 2017.