MaRisk (Mindestanforderungen an das Risikomanagement) ist das zentrale BaFin-Rundschreiben zur Ausgestaltung des Risikomanagements in deutschen Kreditinstituten. Die aktuelle Version MaRisk 7.0 (2023) konkretisiert die Anforderungen des § 25a KWG und setzt europäische Vorgaben wie die EBA-Leitlinien zur internen Governance um. MaRisk bildet die Grundlage für weitere Konkretisierungen wie BAIT (IT-Anforderungen) und ZAIT (Zahlungsverkehr) und ist seit über 15 Jahren der Maßstab für aufsichtsrechtliche Prüfungen.
Inhalt
Was ist MaRisk?
Die Mindestanforderungen an das Risikomanagement (MaRisk) sind ein Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), das die organisatorischen Pflichten von Kreditinstituten gemäß § 25a Kreditwesengesetz (KWG) konkretisiert. Die MaRisk definieren, wie Banken ihr Risikomanagement, ihre internen Kontrollen und ihre Governance-Strukturen auszugestalten haben.
Die erste Fassung der MaRisk wurde 2005 veröffentlicht und hat seitdem mehrere Novellierungen erfahren. Die aktuelle Version MaRisk 7.0 wurde im Juni 2023 veröffentlicht und bringt wesentliche Neuerungen zu ESG-Risiken, Proportionalität und Auslagerungsmanagement.
Die Historie der MaRisk
MaRisk 1.0
Erstveröffentlichung – Zusammenführung von MaK, MaH und MaIR
MaRisk 5.0
Umfangreiche Novelle mit Fokus auf IT-Risiken und Auslagerungen
MaRisk 6.0
Umsetzung der EBA-Leitlinien zu Kreditvergabe und -überwachung
MaRisk 7.0
Aktuelle Version: ESG-Risiken, Proportionalität, verschärfte Governance
Die Struktur der MaRisk
MaRisk ist modular aufgebaut und besteht aus drei Hauptteilen:
Allgemeiner Teil
Übergreifende Anforderungen an Governance, Organisation, Risikomanagement und interne Kontrollen – gilt für alle Institute.
Besonderer Teil
Spezifische Anforderungen an Organisation, interne Revision und Compliance-Funktion.
Besondere Anforderungen
Detailanforderungen zu einzelnen Risikoarten: Kreditrisiko, Marktrisiko, Liquiditätsrisiko, operationelles Risiko.
Die Bedeutung für die Praxis
MaRisk ist nicht nur ein formales Regelwerk – sie ist der Prüfungsmaßstab der BaFin. Bei Sonderprüfungen nach § 44 KWG wird primär geprüft, ob ein Institut die MaRisk-Anforderungen erfüllt. Verstöße führen zu:
- Feststellungen mit Nachbesserungspflicht und Fristsetzung
- Erhöhter Prüfungsintensität durch die Aufsicht
- Kapitalzuschlägen im SREP-Prozess bei gravierenden Mängeln
- Reputationsschäden bei öffentlicher Bekanntmachung
- Persönlicher Haftung der Geschäftsleitung bei Pflichtverletzungen
Für wen gilt MaRisk?
MaRisk gilt für alle Institute im Sinne des § 1 Abs. 1b KWG sowie für Gruppen, bei denen ein Institut übergeordnetes Unternehmen ist. Konkret bedeutet das:
Direkt betroffene Institute
- Kreditinstitute – Universalbanken, Privatbanken
- Sparkassen und Landesbanken
- Genossenschaftsbanken (Volks- und Raiffeisenbanken)
- Bausparkassen
- Wertpapierinstitute und Wertpapierhandelsbanken
- Finanzdienstleistungsinstitute (z.B. Factoring, Leasing)
- Bürgschaftsbanken
- Kapitalverwaltungsgesellschaften (über KAIT)
Indirekt betroffene Unternehmen
- IT-Dienstleister von Banken
- Rechenzentren (z.B. Finanz Informatik, Fiducia GAD)
- Cloud-Provider mit Bankenkunden
- Outsourcing-Dienstleister
- FinTechs als Kooperationspartner
- Prüfungs- und Beratungsgesellschaften
Diese Unternehmen müssen MaRisk-Anforderungen erfüllen können, da ihre Kunden dies vertraglich einfordern (AT 9).
Das Proportionalitätsprinzip
Ein zentrales Konzept der MaRisk ist die Proportionalität: Die Anforderungen sind im Verhältnis zu Art, Umfang, Komplexität und Risikogehalt der Geschäftstätigkeit umzusetzen. Das bedeutet:
Größenabhängige Umsetzung
Ein kleines Wertpapierinstitut muss nicht die gleiche Komplexität im Risikomanagement aufweisen wie eine Großbank. Die Strukturen müssen angemessen sein.
Risikoorientierung
Institute mit komplexen Geschäftsmodellen (z.B. Eigenhandel, Derivate) haben höhere Anforderungen als reine Retailbanken.
Dokumentationspflicht
Die Anwendung des Proportionalitätsprinzips muss dokumentiert und begründet werden – Prüfer fordern Nachvollziehbarkeit.
Besondere Kategorien in MaRisk 7.0
Mit MaRisk 7.0 wurden erstmals vereinfachte Anforderungen für kleine, nicht-komplexe Institute eingeführt. Diese LSIs (Less Significant Institutions) mit geringem Risikoprofil können in bestimmten Bereichen reduzierte Anforderungen anwenden, etwa bei:
- Risikotragfähigkeitskonzeption (vereinfachte Ansätze)
- Stresstesting (reduzierter Umfang)
- Vergütungssysteme (vereinfachte Offenlegung)
- Berichtswesen (reduzierte Frequenz)
Wo steht Ihr Institut?
Unser kostenloser MaRisk Health-Check gibt Ihnen in 15 Minuten einen Überblick über Ihren Compliance-Status und identifiziert die wichtigsten Handlungsfelder.
MaRisk Health-Check starten →Die wichtigsten MaRisk-Module (AT, BT, BTR)
MaRisk ist in logische Module gegliedert, die aufeinander aufbauen. Für die tägliche Praxis sind besonders drei Bereiche relevant:
AT – Allgemeiner Teil
Der Allgemeine Teil enthält die übergreifenden Anforderungen, die für alle Institute gelten:
Vorbemerkung
Anwendungsbereich und Grundsätze. Definition von Proportionalität und Risikoorientierung.
Gesamtverantwortung
Verantwortung der Geschäftsleitung. "Tone at the Top" und Risikokultur. Kollektivverantwortung und Ressortaufteilung.
Organisationsrichtlinien
Schriftlich fixierte Ordnung. Dokumentation von Prozessen, Zuständigkeiten und Kontrollen.
Risikomanagement
Kernmodul: Strategien, Risikotragfähigkeit, IKS (AT 4.3), Risikocontrolling, Compliance.
Organisationsstruktur
Aufbau- und Ablauforganisation. Funktionstrennung zwischen Markt und Marktfolge.
Dokumentation
Aufzeichnungspflichten und Aufbewahrung. Prüfungssichere Dokumentation.
IT & Ressourcen
IT-Anforderungen: Basis für BAIT. Personal, technische Ausstattung, Notfallmanagement.
Anpassungsprozesse
Neue-Produkte-Prozess (NPP). Wesentliche Änderungen in der Geschäftstätigkeit.
Auslagerungen
Auslagerungsmanagement: Risikoanalyse, Verträge, Steuerung, Exit-Strategien.
BT – Besonderer Teil (Organisation)
Der Besondere Teil regelt spezifische Organisationsanforderungen:
| Modul | Inhalt | Relevanz |
|---|---|---|
| BTO | Besondere Anforderungen an die Aufbau- und Ablauforganisation | Kreditgeschäft, Handelsgeschäft |
| BTO 1 | Kreditgeschäft | Kreditprozesse, Risikoklassifizierung |
| BTO 2 | Handelsgeschäft | Front/Back-Office-Trennung, Limitsysteme |
| BT 1 | Interne Revision | Unabhängige Prüfungsfunktion |
| BT 2 | Compliance-Funktion | Gesetzeskonformität, MiFID II |
BTR – Besondere Anforderungen an Risikosteuerung
BTR konkretisiert die Steuerung einzelner Risikoarten:
- BTR 1: Adressenausfallrisiken – Kreditrisiko, Kontrahentenrisiko
- BTR 2: Marktpreisrisiken – Zinsänderungsrisiko, Währungsrisiko
- BTR 3: Liquiditätsrisiken – Funding, Liquiditätspuffer
- BTR 4: Operationelle Risiken – IT-Risiken, Rechtsrisiken, Personalrisiken
AT 4.3: Das Interne Kontrollsystem (IKS)
Das Interne Kontrollsystem (IKS) nach AT 4.3 MaRisk ist das Herzstück der internen Governance. Es stellt sicher, dass Geschäftsprozesse ordnungsgemäß ablaufen, Risiken beherrscht werden und Regelverstöße verhindert werden.
Die drei Verteidigungslinien (Three Lines of Defense)
MaRisk AT 4.3 fordert die Umsetzung des Three-Lines-of-Defense-Modells:
Erste Verteidigungslinie
Operative Einheiten
Die Fachbereiche sind für ihre Risiken selbst verantwortlich. Sie führen Kontrollen durch, dokumentieren Prozesse und eskalieren Auffälligkeiten.
- Prozessinhärente Kontrollen
- Vier-Augen-Prinzip
- Funktionstrennung
- Limitüberwachung
Zweite Verteidigungslinie
Risikocontrolling & Compliance
Unabhängige Überwachungsfunktionen, die nicht in operative Prozesse eingebunden sind. Sie setzen Standards und überwachen deren Einhaltung.
- Risikocontrolling-Funktion
- Compliance-Funktion
- Informationssicherheit
- Geldwäschebeauftragter
Dritte Verteidigungslinie
Interne Revision
Unabhängige Prüfungsfunktion, die alle Aktivitäten und Prozesse des Instituts risikoorientiert prüft.
- Prozess- und Systemprüfungen
- Follow-up von Feststellungen
- Direkte Berichtslinie zur GL
- Keine operativen Aufgaben
Anforderungen an das IKS
MaRisk AT 4.3 fordert konkret:
- Regelungen zur Aufbau- und Ablauforganisation: Klare Zuständigkeiten, dokumentierte Prozesse, angemessene Ausstattung
- Risikosteuerungs- und -controllingprozesse: Identifikation, Bewertung, Steuerung und Überwachung aller wesentlichen Risiken
- Interne Revision: Unabhängige Prüfung aller Aktivitäten, risikoorientierter Prüfungsplan
Kontrollarten im IKS
| Kontrolltyp | Beschreibung | Beispiele |
|---|---|---|
| Präventive Kontrollen | Verhindern Fehler vor Entstehung | Zugriffsberechtigungen, Limitprüfungen, Freigabeprozesse |
| Detektive Kontrollen | Erkennen eingetretene Fehler | Abstimmungen, Stichproben, Log-Analysen |
| Direktive Kontrollen | Geben Rahmen vor | Richtlinien, Schulungen, Arbeitsanweisungen |
| Korrektive Kontrollen | Beheben erkannte Fehler | Incident Management, Mängelbehebung |
Für eine detaillierte Darstellung des IKS siehe unsere IKS Pillar Page.
AT 7: IT-Anforderungen und der Übergang zu BAIT
MaRisk AT 7 regelt die Anforderungen an Ressourcen – insbesondere Personal, technisch-organisatorische Ausstattung und Notfallmanagement. Der IT-Bereich wird durch die BAIT (Bankaufsichtliche Anforderungen an die IT) konkretisiert.
Die Kernforderungen von AT 7
Personal
Qualitative und quantitative Personalausstattung entsprechend der Geschäftstätigkeit.
- Ausreichende Personalressourcen
- Fachliche Eignung und Qualifikation
- Vertretungsregelungen
- Fortbildung und Schulung
Technisch-organisatorische Ausstattung
IT-Systeme müssen Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit gewährleisten.
- Angemessene IT-Systeme
- Informationssicherheit
- Benutzerberechtigungen
- Change Management
Notfallmanagement
Notfallkonzept für zeitkritische Aktivitäten und Prozesse.
- Business Impact Analyse
- Notfallpläne
- Regelmäßige Tests
- Wiederanlaufplanung
Der Übergang zu BAIT
Die BAIT (Bankaufsichtliche Anforderungen an die IT) konkretisiert AT 7.2 und wurde erstmals 2017 veröffentlicht. Die aktuelle BAIT-Fassung (2021) umfasst folgende Module:
| BAIT-Modul | Inhalt | MaRisk-Bezug |
|---|---|---|
| 1. IT-Strategie | Strategische IT-Planung, IT-Governance | AT 4.2 (Strategien) |
| 2. IT-Governance | Aufbauorganisation, Rollen und Verantwortlichkeiten | AT 4.3.1 (Organisation) |
| 3. Informationsrisikomanagement | Identifikation und Steuerung von IT-Risiken | AT 4.3.2 (Risikocontrolling) |
| 4. Informationssicherheitsmanagement | ISMS, Sicherheitsrichtlinien, Awareness | AT 7.2 |
| 5. Benutzerberechtigungsmanagement | Zugriffskontrollen, Rezertifizierung | AT 7.2 |
| 6. IT-Projekte und Anwendungsentwicklung | Projektmanagement, SDLC, Testing | AT 7.2, AT 8.2 |
| 7. IT-Betrieb | Change Management, Datensicherung, Monitoring | AT 7.2 |
| 8. Auslagerungen | IT-Auslagerungen, Cloud-Nutzung | AT 9 |
| 9. Kritische Infrastrukturen | KRITIS-Anforderungen für relevante Institute | – |
Von BAIT zu DORA
Mit dem Inkrafttreten von DORA (Digital Operational Resilience Act) im Januar 2025 werden viele BAIT-Anforderungen durch europäische Vorgaben überlagert. Die Hierarchie sieht folgendermaßen aus:
- DORA: EU-Verordnung, direkt anwendbar, höchste Stufe
- MaRisk AT 7: Nationale Grundlage, bleibt gültig
- BAIT: Wird perspektivisch angepasst oder in DORA aufgehen
Mehr zur DORA-BAIT-Transition finden Sie in unserem DORA-Leitfaden.
AT 9: Auslagerungen
MaRisk AT 9 regelt das Auslagerungsmanagement – ein Bereich, der angesichts zunehmender Cloud-Nutzung und FinTech-Kooperationen immer wichtiger wird. Die Grundidee: Ein Institut kann Tätigkeiten auslagern, aber nicht die Verantwortung.
Was ist eine Auslagerung?
Eine Auslagerung liegt vor, wenn ein anderes Unternehmen (Auslagerungsunternehmen) mit der Wahrnehmung von Aktivitäten und Prozessen im Zusammenhang mit Bankgeschäften oder Finanzdienstleistungen beauftragt wird, die ansonsten vom Institut selbst erbracht würden.
MaRisk unterscheidet:
Wesentliche Auslagerungen
Betreffen bankaufsichtlich relevante Prozesse, deren Ausfall erhebliche Auswirkungen hätte.
- Kernbankensysteme
- Zahlungsverkehr
- Wertpapierabwicklung
- Risikocontrolling
- Compliance-Kernfunktionen
→ Anzeigepflicht bei BaFin
Sonstige Auslagerungen
Unterstützende Prozesse mit geringerer Kritikalität.
- Facility Management
- Standard-Software ohne Bankbezug
- Schulungsdienstleistungen
- Marketingagenturen
→ Vereinfachte Anforderungen
Der Auslagerungsprozess nach AT 9
Risikoanalyse vor Auslagerung
Vor jeder Auslagerung ist eine umfassende Risikoanalyse durchzuführen. Dabei werden die Risiken der Auslagerung gegen die Risiken der Eigenerbringung abgewogen.
- Wesentlichkeitsbewertung
- Abhängigkeitsrisiken
- Konzentrationsrisiken
- Datenschutz und Informationssicherheit
Due Diligence des Dienstleisters
Sorgfältige Prüfung des Auslagerungsunternehmens vor Vertragsschluss.
- Fachliche Eignung und Erfahrung
- Finanzielle Stabilität
- IT-Sicherheitsniveau
- Subunternehmer und Weiterverlagerungen
Vertragliche Regelungen
Der Auslagerungsvertrag muss Mindestinhalte nach AT 9 enthalten.
- Eindeutige Leistungsbeschreibung (SLAs)
- Weisungs- und Kontrollrechte
- Prüfungsrechte (Institut, BaFin, Bundesbank)
- Informations- und Meldepflichten
- Kündigungsrechte
Laufende Steuerung
Kontinuierliche Überwachung der Auslagerung während der gesamten Vertragslaufzeit.
- Regelmäßige Leistungsbewertung
- SLA-Monitoring
- Risikobeurteilung (mindestens jährlich)
- Eskalationsmanagement
Exit-Strategie
Für wesentliche Auslagerungen muss ein dokumentierter Exit-Plan vorliegen.
- Rückholszenarien
- Alternative Dienstleister
- Datenmigration
- Übergangsfristen
Cloud-Auslagerungen
Cloud-Nutzung ist grundsätzlich möglich, unterliegt aber den vollständigen AT-9-Anforderungen. Besondere Herausforderungen:
- Prüfungsrechte: Hyperscaler wie AWS, Azure oder GCP akzeptieren in der Regel keine individuellen Vor-Ort-Prüfungen – Pooled Audits und SOC-2-Reports sind Alternativen
- Datenlokation: Sensible Daten sollten in der EU/EWR verbleiben (DSGVO, Bankgeheimnis)
- Konzentrationsrisiken: Die Abhängigkeit von wenigen Cloud-Providern muss bewertet werden
- Weiterverlagerungen: Cloud-Provider nutzen oft Subunternehmer, die im Griff behalten werden müssen
MaRisk vs. BAIT vs. DORA
Die regulatorische Landschaft für IT-Anforderungen im Finanzsektor ist komplex. Hier eine Einordnung der drei wichtigsten Regelwerke:
| Aspekt | MaRisk | BAIT | DORA |
|---|---|---|---|
| Rechtscharakter | BaFin-Rundschreiben (Verwaltungsvorschrift) | BaFin-Rundschreiben (Verwaltungsvorschrift) | EU-Verordnung (direkt anwendbar) |
| Geltungsbereich | Deutsche Institute | Deutsche Institute | EU-weiter Finanzsektor |
| Fokus | Gesamtes Risikomanagement | IT-spezifische Anforderungen | Digitale operationelle Resilienz |
| IT-Tiefe | Grundsätzlich (AT 7) | Detailliert | Sehr detailliert + Testing |
| Auslagerungen | AT 9 | Kapitel 8 | Kapitel V + Informationsregister |
| Testing | Notfalltests (AT 7.3) | Penetrationstests empfohlen | TLPT verpflichtend (bei SIs) |
| Incident Reporting | Ad-hoc-Meldung | – | 4h/72h/1M Meldefristen |
| Sanktionen | Aufsichtsrechtliche Maßnahmen | Aufsichtsrechtliche Maßnahmen | Bis 10 Mio. € / 5% Umsatz |
Wie hängen die Regelwerke zusammen?
Die Regelwerke bilden eine hierarchische Struktur:
MaRisk
Basis
Das übergreifende Regelwerk für alle Risikomanagement-Aspekte. AT 7 bildet die Grundlage für IT-Anforderungen.
BAIT
IT-Konkretisierung
Detailliert die IT-Anforderungen aus MaRisk AT 7. Bleibt als nationale Ergänzung bestehen.
DORA
EU-Harmonisierung
Überlagert BAIT in weiten Teilen. Bringt neue Anforderungen (TLPT, Informationsregister) und EU-weite Standards.
Praktische Empfehlung
Für Institute empfehlen wir einen integrierten Compliance-Ansatz:
- MaRisk als Fundament: Die MaRisk-Compliance bleibt die Basis – sie wird durch Prüfungen verifiziert
- DORA als Zielbild: Nutzen Sie die DORA-Umsetzung, um IT-GRC ganzheitlich zu modernisieren
- BAIT als Checkliste: BAIT bietet praktische Detaillierung für die tägliche IT-Governance
- Synergien nutzen: Viele Anforderungen überlappen – einmal richtig implementiert, erfüllen Sie alle drei
Integrierte Compliance-Beratung
Niagon verbindet MaRisk, BAIT und DORA zu einem kohärenten Rahmenwerk. Wir helfen Ihnen, Redundanzen zu vermeiden und Synergien zu nutzen.
Beratungsgespräch vereinbaren →MaRisk Umsetzung: Schritt für Schritt
Eine strukturierte MaRisk-Implementierung folgt einem bewährten Vorgehen. Ob Erstimplementierung oder Optimierung nach einer Prüfung – diese Schritte haben sich in der Praxis bewährt:
Gap-Analyse durchführen
Erfassen Sie den Ist-Zustand systematisch und vergleichen Sie mit den MaRisk-Anforderungen. Nutzen Sie unseren kostenlosen MaRisk Health-Check als Einstieg.
- Dokumentenanalyse (Richtlinien, Handbücher)
- Interviews mit Schlüsselpersonen
- Prozessbegehungen
- Abgleich mit Prüfungsfeststellungen
Priorisierung und Roadmap
Nicht alle Gaps haben die gleiche Dringlichkeit. Priorisieren Sie nach Risiko und Prüfungsrelevanz.
- Kritische Gaps mit sofortigem Handlungsbedarf
- Mittelfristige Verbesserungen
- Nice-to-have Optimierungen
- Ressourcenplanung und Budget
Governance-Strukturen etablieren
Die Grundlage für MaRisk-Compliance ist eine klare Governance. Three Lines of Defense müssen etabliert sein.
- Rollen und Verantwortlichkeiten definieren
- Risikocontrolling-Funktion stärken
- Compliance-Funktion etablieren
- Berichtswege an Geschäftsleitung
Prozesse und Kontrollen implementieren
Entwickeln und implementieren Sie die erforderlichen Prozesse, Kontrollen und Dokumentation.
- Risiko-Kontroll-Matrix aufbauen
- Key Controls definieren
- Arbeitsanweisungen erstellen
- IT-Systeme konfigurieren
Dokumentation vervollständigen
MaRisk verlangt eine lückenlose Dokumentation. "Nicht dokumentiert = nicht existent" gilt bei Prüfungen.
- Schriftlich fixierte Ordnung aktualisieren
- Handbücher und Richtlinien finalisieren
- Kontrollnachweise etablieren
- Auslagerungsverträge überprüfen
Schulung und Awareness
Die besten Prozesse nützen nichts, wenn Mitarbeiter sie nicht kennen oder verstehen.
- Schulungskonzept entwickeln
- Zielgruppenspezifische Trainings
- Awareness-Kampagnen
- Dokumentation der Teilnahme
Kontinuierliche Verbesserung
MaRisk-Compliance ist kein Projekt, sondern ein fortlaufender Prozess.
- Regelmäßige Self-Assessments
- Integration von Prüfungsfeststellungen
- Anpassung an neue MaRisk-Versionen
- Lessons Learned aus Vorfällen
Typischer Zeitrahmen
| Ausgangssituation | Typische Dauer | Externer Aufwand |
|---|---|---|
| Einzelne Module (z.B. AT 9) | 3-6 Monate | 15.000 – 40.000 € |
| Gap-Schließung nach Prüfung | 6-12 Monate | 30.000 – 100.000 € |
| Gesamtbank-Implementierung | 12-24 Monate | 80.000 – 250.000 € |
Die Kosten variieren stark je nach Institutsgröße, Komplexität und internen Ressourcen. Ein hoher Anteil interner Umsetzung reduziert externe Kosten, erfordert aber entsprechende Kapazitäten.
Warum Niagon für Ihre MaRisk-Compliance?
Spezialisierung auf Finanzsektor
MaRisk ist unsere Kernkompetenz. Wir beraten ausschließlich Banken und Finanzdienstleister und kennen die Erwartungen der BaFin aus zahlreichen Projekten.
Prüfungserfahrung
Unsere Berater haben jahrelange Erfahrung in Wirtschaftsprüfung und IT-Revision. Wir wissen, worauf BaFin-Prüfer achten – und bereiten Sie darauf vor.
Integrierter Ansatz
Wir verbinden MaRisk, BAIT und DORA zu einem kohärenten Rahmenwerk. Einmal richtig implementiert, erfüllen Sie alle regulatorischen Anforderungen.
Unsere MaRisk-Leistungen
- MaRisk Health-Check: Kostenlose Standortbestimmung mit unserem Online-Assessment
- Gap-Analyse: Systematische Analyse gegen alle MaRisk-Module
- IKS-Aufbau: Implementierung des Internen Kontrollsystems nach AT 4.3
- BAIT-Implementierung: IT-Governance und IT-Kontrollen
- Auslagerungsmanagement: AT 9 Compliance und Cloud-Governance
- Dokumentation: Erstellung prüfungsfähiger Richtlinien und Handbücher
- Prüfungsvorbereitung: Fit für die 44er-Prüfung
- Mängelbehebung: Strukturierte Abarbeitung von Prüfungsfeststellungen
Bereit für MaRisk-Compliance?
Starten Sie mit unserem kostenlosen MaRisk Health-Check und erfahren Sie in 15 Minuten, wo Ihr Institut steht.
MaRisk Health-Check starten →Häufige Fragen zu MaRisk (FAQ)
Was ist MaRisk?
MaRisk (Mindestanforderungen an das Risikomanagement) ist ein BaFin-Rundschreiben, das die organisatorischen Anforderungen an das Risikomanagement von Kreditinstituten in Deutschland regelt. Die aktuelle Version MaRisk 7.0 wurde 2023 veröffentlicht und setzt die EBA-Leitlinien zur internen Governance und zum Kreditrisiko um.
Für wen gilt MaRisk?
MaRisk gilt für alle Kreditinstitute und Finanzdienstleistungsinstitute in Deutschland, die dem KWG unterliegen. Dazu gehören Banken, Sparkassen, Genossenschaftsbanken, Wertpapierinstitute und Bausparkassen. IT-Dienstleister von Banken sind indirekt betroffen, da ihre Kunden MaRisk-Konformität vertraglich einfordern.
Was ist der Unterschied zwischen MaRisk und BAIT?
MaRisk regelt das gesamte Risikomanagement von Banken, während BAIT (Bankaufsichtliche Anforderungen an die IT) eine Konkretisierung der IT-spezifischen Anforderungen aus MaRisk AT 7 darstellt. BAIT detailliert Themen wie IT-Strategie, Informationsrisikomanagement, Benutzerberechtigungen und IT-Betrieb.
Was kostet eine MaRisk Gap-Analyse?
Eine MaRisk Gap-Analyse kostet typischerweise zwischen 20.000€ und 80.000€, abhängig vom Umfang (Gesamtbank vs. einzelne Module), der Institutsgröße und der Komplexität der Geschäftstätigkeit. Für spezifische Module wie AT 9 Auslagerungen liegt der Aufwand meist bei 15.000-30.000€.
Was ist AT 4.3 der MaRisk?
AT 4.3 MaRisk regelt das Interne Kontrollsystem (IKS). Es fordert angemessene Regelungen zur Aufbau- und Ablauforganisation, Risikosteuerungs- und -controllingprozesse sowie eine interne Revision. Die drei Verteidigungslinien (Three Lines of Defense) bilden das Grundgerüst.
Welche IT-Anforderungen stellt MaRisk AT 7?
MaRisk AT 7 fordert, dass IT-Systeme und -Prozesse die Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten gewährleisten. Die konkreten Anforderungen werden durch BAIT konkretisiert und umfassen IT-Strategie, Informationsrisikomanagement, IT-Betrieb und Notfallmanagement.
Was regelt AT 9 zu Auslagerungen?
MaRisk AT 9 regelt das Auslagerungsmanagement. Es fordert eine Risikoanalyse vor Auslagerung, vertragliche Mindestinhalte, laufende Überwachung der Dienstleister und Exit-Strategien. Wesentliche Auslagerungen müssen der BaFin angezeigt werden und erfordern besondere Sorgfalt.
Was ändert sich durch MaRisk 7.0?
MaRisk 7.0 (2023) bringt verschärfte Anforderungen an ESG-Risiken, Proportionalität bei kleinen Instituten, erweiterte Anforderungen an die Geschäftsleiterqualifikation und Präzisierungen beim Auslagerungsmanagement. Zudem wurden die Anforderungen an das IKS und die IT-Governance modernisiert.
Wie hängen MaRisk, BAIT und DORA zusammen?
MaRisk ist das übergeordnete Regelwerk für Risikomanagement. BAIT konkretisiert die IT-Anforderungen aus MaRisk AT 7. DORA als EU-Verordnung harmonisiert seit 2025 die IKT-Anforderungen europaweit und geht in vielen Bereichen über BAIT hinaus. Alle drei Regelwerke müssen koordiniert umgesetzt werden.
Wie unterstützt Niagon bei MaRisk-Compliance?
Niagon bietet einen ganzheitlichen MaRisk-Beratungsansatz: Kostenloser Health-Check zur Standortbestimmung, detaillierte Gap-Analyse gegen alle MaRisk-Module, Aufbau und Optimierung des IKS, Begleitung bei Auslagerungsprojekten, BAIT-Implementierung und Vorbereitung auf BaFin-Prüfungen.
Bereit für MaRisk-Compliance?
Starten Sie jetzt mit unserem kostenlosen MaRisk Health-Check und erfahren Sie in 15 Minuten, wo Ihr Institut steht.