MaRisk zum ersten Mal verstehen: Warum das Rundschreiben mehr als Papier ist

W

er zum ersten Mal mit den MaRisk in Berührung kommt – den Mindestanforderungen an das Risikomanagement der BaFin – hat meist zwei spontane Reaktionen: Respekt vor dem Umfang und den Verweisen, und Skepsis, ob das wirklich mehr ist als eine Dokumentationspflicht für Prüfer. Genau hier lohnt sich der zweite Blick. MaRisk ist kein Selbstzweck und keine reine Compliance-Schablone. Hinter den Passagen verbirgt sich ein Betriebssystem für Banken, das darüber entscheidet, ob ein Institut gesteuert wird oder sich steuern lässt. Es beschreibt die Logik, nach der Entscheidungen nachvollziehbar getroffen, Risiken bewusst eingegangen und Überraschungen reduziert werden.

In diesem Artikel geht es darum, MaRisk wirklich zu verstehen – nicht aus der Perspektive der Paragraphen, sondern aus der Praxis: Wozu gibt es das Rundschreiben, wie ist es aufgebaut, wo liegt der Nutzen, wie lässt es sich wirksam leben? Dabei kommen wir ohne juristischen Zierat aus und übersetzen die Kerngedanken in Alltagssprache – mit Beispielen, knappen Strukturelementen und einem klaren Ziel: MaRisk als Hebel zu begreifen, nicht als Last.

1. Was MaRisk ist – und was nicht

MaRisk ist ein Rundschreiben, kein Gesetz. Es konkretisiert, wie Institute die gesetzlichen Pflichten aus dem Kreditwesengesetz und dem europäischen Aufsichtsrahmen angemessen umzusetzen haben. Das Schlüsselwort ist Proportionalität. Eine große, international aktive Bank wird vieles detaillierter und mit anderen Werkzeugen regeln müssen als ein regionales Institut. Aber das Prinzip ist für alle dasselbe: wesentliche Risiken erkennen, messen, steuern, überwachen und kommunizieren – systematisch, konsistent und mit klaren Verantwortlichkeiten.

MaRisk ist auch keine IT-Policy, und doch spielt IT eine zentrale Rolle. Für die IT gibt es ergänzend die BAIT (Bankaufsichtliche Anforderungen an die IT). BAIT und MaRisk gehören zusammen: MaRisk sagt, dass du angemessene technische und organisatorische Vorkehrungen brauchst; BAIT präzisiert, was das in IT-Governance, Informationssicherheit, Berechtigungsmanagement, Änderungsprozessen, Betrieb und Notfallvorsorge bedeutet. Aus Sicht eines Vorstandsmitglieds kann man sagen: MaRisk + BAIT = Steuerungs- und Sicherheitsrahmen.

Wichtig: MaRisk ist kein Stopp-Schild für Geschäft. Wer das Rundschreiben als „Nein-Sager-Papier“ liest, verpasst den Kern. Es ist eher ein Leitplanken-System: Es ermöglicht, bewusst Risiken zu übernehmen, aber eben innerhalb eines transparenten Risikoappetits, mit klaren Grenzen, definierten Eskalationen und belastbarem Berichtswesen.

2. Der Aufbau in Alltagssprache

MaRisk teilt sich grob in zwei Teile:

1. AT – Allgemeiner Teil: Hier lebt die Organisation. Themen: Aufbau- und Ablauforganisation, Verantwortlichkeiten, Trennung von Markt und Marktfolge, Risikocontrollingfunktion, Compliance-Funktion, Interne Revision, Notfallmanagement, Auslagerungen, Dokumentation, IT-Grundsätze.
2. BT – Besonderer Teil: Hier werden Risikoarten konkretisiert: Adressenausfall-, Marktpreis-, Liquiditäts-, operationelle und Konzentrationsrisiken sowie übergreifende Stresstests.

Man kann sich das wie ein Haus vorstellen: Der AT-Teil ist Statik und Grundriss (wer darf was, wie werden Entscheidungen vorbereitet, wer kontrolliert wen, wie läuft der Notfall). Der BT-Teil sind die Räume mit ihren spezifischen Anforderungen (Kreditprozesse, Limits, Bewertungs- und Messverfahren, Stresstests).

2.1 Der AT-Teil: Kultur, Rollen, Verlässlichkeit

• Risikokultur: MaRisk verlangt keinen Hochglanz-Kodex, sondern gelebte Verantwortung. Führungskräfte müssen Risikothemen vorleben – etwa indem sie Zielkonflikte zwischen Vertrieb und Kontrolle offen benennen und Entscheidungen dokumentieren.
• Trennung von Funktionen: Markt und Marktfolge werden organisatorisch getrennt; die Risikocontrollingfunktion ist unabhängig und berichtet direkt an die Geschäftsleitung. Die Interne Revision ist die dritte Verteidigungslinie.
• IT-Angemessenheit: Über AT 7.2 spielt die IT hinein. Die BAIT konkretisiert: IT-Strategie, Informationssicherheitsmanagement inklusive Informationssicherheitsbeauftragter (ISB), Berechtigungen, Change/Release, Betrieb, Notfallmanagement, Auslagerung von IT-Leistungen.
• Auslagerungen (AT 9): Leistungen, die wesentlichen Einfluss auf Geschäftsablauf oder Risiko haben, dürfen ausgelagert werden – Verantwortung bleibt im Haus. Gefordert sind Risikoanalysen, Mindestinhalte in Verträgen (Prüf- und Zugriffsrechte, Unterauslagerungen, Informations- und Meldepflichten), laufende Überwachung sowie Ausstiegs- bzw. Exit-Pläne.
• Daten und Berichte: MaRisk macht klar, dass Datenqualität und Risikoberichterstattung entscheidend sind. Berichte sollen entscheidungsfähig sein: Ampeln, Limits, Schwellen, Trends – nicht bloß Seitenzahlen.

2.2 Der BT-Teil: Risikoarten ohne Jargon

• Adressenausfallrisiko: Wie werden Kredite vergeben, überwacht, restrukturiert? Welche Kompetenzen gelten? Wie funktionieren Ratings/Scorings, Sicherheitenmanagement, Frühwarnindikatoren?
• Marktpreisrisiken: Zins-, Aktien-, FX-, Rohstoff-, Credit-Spread-Risiken. Gefordert sind Limits, Sensitivitätsmaße, Stresstests, tägliche/regelmäßige Überwachung in Abhängigkeit vom Geschäft.
• Liquiditätsrisiken: Steuerung der Liquiditätspositionen und -puffer, Funding-Pläne, Intraday-Aspekte, Notfallkonzepte. Die aufsichtsrechtlichen Kennzahlen (z. B. regulatorische Quoten) bilden den Rahmen, ersetzen aber nicht die institutseigene Steuerung.
• Operationelle Risiken: Verlustdaten erfassen, Kontrollen definieren, Self-Assessments und Szenarien durchführen, Rechtsrisiken berücksichtigen, neue Produkte/Prozesse risikoorientiert prüfen.
• Konzentrationsrisiken: Klumpen an Gegenparteien, Branchen, Regionen, Sicherheiten – auch über Risikoarten hinweg – identifizieren, limitieren, berichten.
• Stresstests: Schwerwiegende, aber plausible Szenarien betrachten und Maßnahmen ableiten (nicht nur Zahlen drucken).

3. Warum das alles? Der praktische Nutzen hinter dem Rundschreiben

MaRisk schafft Steuerungsfähigkeit. Der Wert liegt nicht in der hübschen Policy-Mappe, sondern in fünf Effekten, die jedes Institut spürt, wenn es das Rundschreiben lebt:

1. Geschwindigkeit: Klare Schwellen, definierte Eskalationen, vorbereitete Maßnahmen. In Stresssituationen wird gehandelt statt verhandelt.
2. Transparenz: Die Geschäftsleitung kennt Risikoappetit, Limitnutzung, Modellgrenzen und Datenblinde Flecken. Diskussionen drehen sich um Steuerung, nicht um Datenbeschaffung.
3. Kohärenz: Vertrieb, Risikocontrolling, Marktfolge, Compliance und Revision arbeiten synchron, weil Rollen und Reports ineinandergreifen.
4. Verlässlichkeit: Modelle werden genutzt und hinterfragt, Stresstests sind Generalproben, Notfallpläne sind geübt.
5. Glaubwürdigkeit: Im Dialog mit Aufsicht, Prüfern, Investoren und Ratingagenturen zahlt sich gelebtes MaRisk aus – anhand konsistenter Entscheidungen und sauberer Unterlagen.

4. Vom Dokument zur Wirkung: Wie MaRisk den Alltag besser macht

4.1 Risikoappetit: Der strategische Dialog

MaRisk fordert eine Risikostrategie und deren Übersetzung in Risikoappetit. Das klingt theoretisch, ist aber der Kern: Der Vorstand definiert bewusst den Spielraum, in dem Risiken eingegangen werden. Beispiel: „Wir wachsen im Immobilienkredit nur, wenn der Zinsänderungs-Gap innerhalb definierter Bandbreiten bleibt, die Concentration Limits nicht reißen und die Datenqualität die Modellnutzung erlaubt.“ Plötzlich wird aus „mehr Volumen“ eine risikoadjustierte Steuerung.

4.2 Frühwarnsysteme, die wie ABS funktionieren

Frühwarnindikatoren sind keine reinen Hinweisschilder, sondern Bremsassistenten. Sie verknüpfen beobachtbare Signale (z. B. Kontoüberziehungen, negative Auskunftei-Meldungen, Sicherheitenwert-Volatilität, Sektor-News) mit vordefinierten Aktionen: zusätzliche Sicherheiten anfordern, Kundenkontakt intensivieren, Neuengagement stoppen, Portfolio-Review auslösen. So entsteht Handlung statt Statistik.

4.3 Stresstests mit Drehbuch

Der Praxisfehler Nummer eins: Stresstests generieren Zahlenkolonnen, aber keine Entscheidungen. MaRisk will das Gegenteil. Gute Häuser koppeln Szenarien an Maßnahmenschwellen: Hedging wird ab einer Verlust- oder Sensitivitätsmarke verpflichtend, Neugeschäft in bestimmten Segmenten wird temporär gestoppt, Funding-Backups werden aktiviert, Sicherheitenpuffer werden aufgebaut. Das ist Generalprobe statt Tabellenakrobatik.

4.4 Auslagerungen: Steuerung bleibt im Haus

Cloud-Services, Rechenzentrumsbetrieb, Datenanalysen, Berechtigungsmanagement – vieles kann ausgelagert werden. Aber: Verantwortung lässt sich nicht outsourcen. Wer AT 9 ernst nimmt, führt ein zentrales Auslagerungsregister, bewertet Kritikalität, definiert KPIs (z. B. Verfügbarkeit, Change-Fehlerquote, ICS-Befunde), verankert Audit-/Zugriffsrechte in Verträgen, verhindert unkontrollierte Unterauslagerungsketten und übt den Exit. Das ist kein Verhinderungsprogramm, sondern ein Airbag für Geschäftsmodelle, die auf Partnern aufbauen.

4.5 IT und Informationssicherheit: BAIT als Praxisverstärker

Mit BAIT wird greifbar, was IT-Angemessenheit heißt: ISMS (inklusive ISB-Rolle), Berechtigungsmanagement mit Vier-Augen-Prinzip und Rezertifizierungen, geregelte Changes und Releases, Trennung von Entwicklung/Betrieb, Notfallmanagement mit Übungen, Protokollierung und Auswertung von IT-Sicherheitsvorfällen. Gerade in heterogenen Systemlandschaften ist BAIT der Brückenschlag zwischen IT-Alltag und Managementanforderungen aus MaRisk.

5. Typische Missverständnisse – und wie man sie vermeidet

• „MaRisk ist Dokumentation.“
  Falsch. Dokumentation ist Nebenprodukt. Entscheidend ist die Wirkung: klare Grenzen, gelebte Rollen, Datenqualität, Entscheidungen. Faustregel: Jede Seite ohne erkennbaren Steuerungsnutzen ist Ballast.
• „Modelle sind Wahrheit.“
  Auch die besten PD-, LGD-, VaR- oder Liquiditätsmodelle sind Hypothesen. MaRisk verlangt Backtesting, Challenger und Use-Tests. Modelle, die das Geschäft nicht beeinflussen, sind Schmuck.
• „Auslagerung heißt Lastenheft abgeben.“
  Nein. Ohne zentrales Register, Kritikalitätsbewertung, Mindestvertragsinhalte, laufende Überwachung und Exit-Plan wird Auslagerung zum Blindflug.
• „IT ist Sache der IT.“
  Falsch. IT-Risikomanagement ist Führungsthema. Vorstand und Aufsichtsorgan müssen wissen, wo ihre kritischen Assets liegen, welchen Bedeckungsgrad Notfallpläne haben und wie Berechtigungen kontrolliert werden.
• „Stresstests macht das Controlling einmal im Jahr.“
  MaRisk versteht Stresstests als Steuerungsinstrument. Wer die Ergebnisse nicht in Schwellen, Maßnahmen und Limits übersetzt, verschenkt Potenzial.

6. Eine Fallgeschichte: Vom Papierstapel zur Steuerungslogik

Ein mittelgroßes Institut mit starkem Regionalfokus kämpfte mit dicken Berichten, fragmentierten Auslagerungsinformationen und heterogenen IT-Kontrollen. Die Geschäftsleitung erhielt monatlich 80 Seiten Risikobericht – informativ, aber zu spät und ohne klare „so-what“-Botschaft.

Was wurde geändert?

• Risikobericht neu geschnitten: 20 Seiten mit Ampeln, Top-5-Risiken, Limitnutzung, wichtigen Sensitivitäten, drei konkreten Entscheidungsvorlagen pro Sitzung.
• Risk Appetite kalibriert: Leitplanken für Zinsänderungs-, Konzentrations- und Liquiditätsrisiken; qualitative No-Gos (kein Wachstum in Portfolien mit schlechter Datenqualität).
• Stresstests mit Maßnahmen verknüpft: klare Trigger für Hedging, Neugeschäftsstopps, Sicherheitenpflichten, Funding-Backups.
• Auslagerungsregister zentralisiert: Kritikalitätsmatrix, KPIs pro Provider, vertragliche Audit- und Zugriffsrechte, definierte Unterauslagerungsregeln.
• BAIT-Quick-Wins: Berechtigungsmanagement vereinheitlicht, Notfallübung mit Business-Beteiligung, ISMS-Rollen geschärft.

Ergebnis: Deutlich schnellere Reaktionszeiten, weniger Überraschungen, bessere Prüferfeststellungen, spürbar strategischerer Vertrieb. Der Papierberg wurde kleiner – die Steuerung stärker.

7. Daten als Blutkreislauf: Ohne Qualität kein Risiko

MaRisk fordert kein High-End-Data-Warehouse – aber verlässliche Daten. Drei pragmatische Ankerpunkte, die in jedem Institut funktionieren:

1. Data Ownership: Jedes kritische Feld (z. B. Gegenpartei, Limit, Sicherheitenart, Rating, Cashflow) hat einen fachlichen Eigentümer, der Qualität verantwortet.
2. Einfache Data-Quality-KPIs: Vollständigkeit, Plausibilität, Stetigkeit – sichtbar im Risikobericht, mit Abweichungsanalyse und Maßnahmen.
3. Keine Schatten-Excel: Wo möglich, nur eine Quelle. Jede Abweichung muss erklärbar sein.

So wird aus dem abstrakten BCBS-239-Gedanken ein nutzbarer Alltag: verlässliche Steuerung statt Excel-Lotterie.

8. MaRisk und „Neue Welt“: Innovation ohne Blindflug

Digitale Kanäle, Embedded Finance, FinTech-Partnerschaften, Cloud-Infrastrukturen – all das lässt sich MaRisk-kompatibel gestalten. Schlüssel bleibt die Kontrollierbarkeit: Wer ist verantwortlich, welche KPIs messen Leistung und Risiko, wie sieht die Eskalation aus, wie funktioniert der Exit? Gerade in der Cloud helfen klare Kriterien (Kritikalität, Datenkategorien, Betriebs- und Sicherheitskonzept, Standort, Unterauslagerungen, Testatlage). MaRisk verhindert Innovation nicht – es sorgt dafür, dass sie überlebt, wenn es ruckelt.

9. Einstieg ohne Drama: fünf Schritte, die wirken

1. Eine Seite Gesamtbild: Geschäftsmodell, Kernrisiken, Top-Auslagerungen, Daten-Pain-Points, IT-Kronjuwelen.
2. Risikodialog im Vorstand: Risikoappetit mit drei harten Leitplanken und ein paar qualitativen No-Gos festlegen.
3. Risikobericht entschlacken: weniger Seiten, mehr Ampeln und „so-what“.
4. Auslagerungen zentralisieren: Register, Kritikalität, Mindestvertragsinhalte, laufende KPIs, Exit-Plan.
5. Stresstests mit Maßnahmen: Trigger definieren, Entscheidungslogik beschließen, einmal pro Jahr üben.

Keiner dieser Schritte braucht Großprojekte. Aber sie verändern die Qualität der Steuerung sofort.

10. Mini-Glossar

• MaRisk: Mindestanforderungen an das Risikomanagement der deutschen Bankenaufsicht; Rundschreiben, das gesetzliche Pflichten konkretisiert.
• BAIT: Bankaufsichtliche Anforderungen an die IT; Präzisierung der IT-Vorgaben aus MaRisk.
• AT/BT: Allgemeiner Teil (Organisation) / Besonderer Teil (Risikoarten).
• Risk Appetite: Bereitschaft und Fähigkeit, Risiken im Einklang mit der Strategie einzugehen; in Leitplanken und Limits übersetzt.
• FRWI: Frühwarnindikatoren – Ampeln, die Handlungen auslösen.
• Kritische Auslagerung: Externe Leistung mit wesentlichem Einfluss auf Geschäftsablauf oder Risiko; braucht besondere Sorgfalt.
• Risikotragfähigkeit: Fähigkeit, Verluste zu absorbieren; wird über Szenarien und Limitlogiken gesteuert.
• ISMS: Informationssicherheitsmanagementsystem; in BAIT und MaRisk verankert.

11. Die Quintessenz: Von der Checkliste zum Betriebssystem

Wer MaRisk nur als Pflicht versteht, baut Papier. Wer MaRisk als Betriebssystem lebt, gewinnt dreifach:

• Bessere Entscheidungen: Risiko wird Teil der Strategie, nicht deren Nachwort.
• Mehr Ruhe im Sturm: Wenn es ruckelt, greifen Schwellen, Maßnahmen und Notfallroutinen – statt Ad-hoc-Hektik.
• Glaubwürdigkeit: Gegenüber Aufsicht, Prüfern, Investoren und Kundschaft zeigt sich ein Institut, das weiß, was es tut.

Am Ende ist das Rundschreiben tatsächlich mehr als Papier. Es ist der rote Faden, der das Tagesgeschäft mit dem Risiko-Kompass verbindet. Es verwandelt Bauchgefühl in belastbare Steuerung, Silos in Zusammenarbeit und Excel-Tapeten in Entscheidungen. Wer diesen Faden aufnimmt, merkt schnell: MaRisk ist kein Bremsklotz. Es ist Tempo mit Verstand – und der Unterschied zwischen gutem Wetter-Banking und echter Widerstandsfähigkeit.