Mindestanforderungen klangen lange nach Papier, nach Checklisten und nach der Frage: „Welche Dokumente will der Prüfer sehen?“ Wer MaRisk heute noch so liest, verpasst den entscheidenden Punkt. Das Rundschreiben hat sich in den letzten Jahren von einer Sammlungsstelle „guter Ordnung“ zu einem Betriebssystem für Governance & Compliance entwickelt. Es ordnet Rollen und Verantwortlichkeiten, zwingt Entscheidungen in klare Bahnen, verbindet Geschäftsstrategie mit Risikoappetit, verankert Datenqualität als Führungsaufgabe, macht Auslagerungen steuerbar, rückt IT und Informationssicherheit in die erste Reihe und übersetzt Resilienz von der Prosafloskel in geübte Praxis. Kurz: MaRisk ist kein zusätzliches Projekt mehr. Es ist der Rahmen, in dem alles andere vernünftig wird – oder eben scheitert.

Und genau deshalb wirkt der Standard heute wie ein Gamechanger. Nicht, weil neue Seiten entstanden wären, sondern weil sich das Verständnis verschoben hat: weg von der Erfüllung einzelner Anforderungen hin zu einem integrierten Führungs- und Steuerungssystem, das in Aufsichtsrunden, Release-Boards, Kreditkomitees und Krisenstäben tatsächlich den Takt vorgibt. Wo MaRisk ernst genommen wird, sinken Reibungsverluste, eskalieren Probleme früher – und werden schneller gelöst. Wo es als „Papierarbeit“ abgetan wird, steigen Kosten, wächst Frust, und Risiken werden durch Bürokratie nicht kleiner, sondern bloß unsichtbarer.

Vom Regelwerk zum Betriebssystem

Das, was in MaRisk in Randziffern und Modulen steht, ist im Kern eine einfache Architekturidee: Führung, Kontrolle, Prüfung – klar getrennt, sauber verzahnt. Die erste Linie steuert das Geschäft und trägt die Verantwortung für Risiken in Produkten und Prozessen. Die zweite Linie (Risikocontrolling, Compliance, Informationssicherheit u. a.) setzt Leitplanken, challengt, misst und orchestriert. Die dritte Linie prüft, ob das alles funktioniert – und zwar wirksam. Dazwischen läuft ein verbindender Faden: Risikostrategie und Risikoappetit, ausgedrückt in Kennzahlen, Limits, Frühwarnschwellen, Stresstests und klaren Eskalationen.

Dieser Faden ist der Gamechanger. Er macht aus Governance „zum Anfassen“: Ein Limit ist nicht bloß ein Wert im Report, sondern eine Verhaltenszusage. Ein Stresstest ist nicht nur eine Übung, sondern eine Entscheidungsvorlage. Ein Auslagerungsvertrag ist nicht nur Einkaufsthema, sondern ein Steuerungsinstrument mit Prüf- und Zugriffsrechten sowie belastbaren Exit-Klauseln. Und Daten sind nicht „Sache der IT“, sondern Führungsinformation, deren Qualität jeder Entscheidung anzusehen ist.

Proportionalität heißt: „angemessen“ – nicht „weglassen“

MaRisk ist bewusst proportional angelegt. Ein kleines Institut muss nicht dieselbe Apparate-Tiefe bauen wie ein Großhaus. Doch „angemessen“ bedeutet nicht, dass Pflichten verdunsten. Es bedeutet: Komplexität da, wo sie Nutzen stiftet – und Einfachheit, wo klare Prozesse, gute Daten und konsequente Entscheidungen das meiste bewirken. Wer Proportionalität als Freifahrt interpretiert, landet schnell in einem gefährlichen Zwischenland: zu komplex, um stabil zu laufen, zu schlicht, um prüffest zu sein. Der Ausweg: Transparenz über Risiken und Reifegrad, klare Prioritäten, sichtbare Verantwortliche.

Die großen Wirkhebel in der Praxis

1) Governance und Rollen, die wirklich tragen

Die eigentliche Neuerung liegt selten in einem neuen Paragrafen, sondern in der Schärfung von Zuständigkeiten. Die Geschäftsleitung legt Risikoappetit, Limits und Grundsätze fest, verantwortet das Zusammenspiel der Linien, trifft an neuralgischen Punkten bewusste Entscheidungen (Go/No-Go, Stop/Weiter, „mit Auflagen“). Die zweite Linie übersetzt Strategie in Policies und Kennzahlen, challengt Vorlagen fachlich und stellt sicher, dass Maßnahmen wirken. Die dritte Linie prüft fokussiert und früh. Wenn diese Choreografie sitzt, verkürzen sich Meetings, und Berichte werden von Erzählungen zu Entscheidungsmedien.

2) Risikoappetit, Limits, Frühwarnschwellen

Nichts ist abstrakter – und zugleich wirkungsvoller – als ein gut gesetzter Risikoappetit. Er zwingt zur Prioritätensetzung: Welche Risiken kann und will das Institut tragen? Wo ist die rote Linie? Welche Aktionen folgen bei Gelb? Governance & Compliance werden dort stark, wo Limits und Schwellen konsequent durchdekliniert sind: Kredit-, Markt-, Zins- und Liquiditätsrisiken, operationelle Risiken (inklusive IT & Cyber), Auslagerungs- und Konzentrationsrisiken, Reputations- und Compliance-Risiken. Der Trick ist nicht die Masse an Zahlen, sondern die wenigen, die Verhalten auslösen.

3) Datenqualität als Führungsaufgabe

BCBS-239, Datenhoheit, Konsistenz – all das klingt technisch, ist aber unternehmerisch. Eine Entscheidung ist nur so gut wie ihre Datenbasis. MaRisk hat Datenqualität dorthin gezogen, wo sie hingehört: in die erste Reihe. Golden Sources, abgestimmte Definitionen, nachvollziehbare Herkunft (Lineage), Qualitätsregeln, die gemessen und eskaliert werden, und Berichte, die auf jeder Stufe gleich lesbar sind – das ist kein Luxus, sondern Effizienzgewinn. Und er ist enorm: weniger Rückfragen, weniger Sonderauswertungen, weniger Nacharbeit nach Prüfungen, weniger Streit um Zahlen, mehr Handlung.

4) Auslagerungen und Drittparteien im Griff (AT 9 lässt grüßen)

Auslagerung ist heute Lieferkette. Cloud, SaaS, Plattform, Integrator, Betriebsdienstleister – alles hängt zusammen. MaRisk macht daraus ein Steuerungsthema: Due Diligence mit Blick auf Sub-Auslagerungen, Mindestvertragsinhalte mit Zähnen (Prüf- und Zugriffsrechte, Informationspflichten, Reporting, Exit-Regelungen), regelmäßiges Providermonitoring mit Kennzahlen, Steering-Gremien, die wirklich steuern, und Exit-Szenarien, die nicht nur auf Papier existieren. Wer das ernst nimmt, behält die Kontrolle – auch wenn die eigene Wertschöpfungstiefe sinkt.

5) IT & Informationssicherheit: Von der Werkbank in den Vorstand

Banken sind Software. Deshalb ist IT heute Risikosteuerung – nicht bloß Betrieb. MaRisk verknüpft IT-Governance, Informationssicherheit, Change- und Releasemanagement, Berechtigungen, Observability und Notfallmanagement mit dem Risikorahmen. Das ist der Moment, in dem BAIT-Vorgaben, DORA-Pflichten und MaRisk-Prinzipien sinnvoll zusammenfinden: dokumentierte und gelebte Prozesse, Risikobewertung je Change, testbare Fallbacks, harte Go/No-Go-Entscheidungen, Berechtigungen mit Lebenszyklus und regelmäßiger Rezertifizierung, Überwachung, die nicht nur sammelt, sondern auswertet und handelt.

6) Resilienz, die geübt ist – nicht nur beschrieben

Notfallmanagement, Business-Impact-Analysen, RTO/RPO, Krisenstabsarbeit, Kommunikationslinien – all das zählt erst, wenn es geübt wurde und aus Übungen Änderungen entstehen. MaRisk schiebt die Praxis nach vorne: Vierteljährliche Mini-Szenarien, wechselnde Störungen (IT-Ausfall, Dateninkonsistenz, Lieferant down, Marktstress), Lessons Learned, die in Playbooks, Verträge, Datenflüsse und Verantwortlichkeiten zurückschreiben. Das Ergebnis sind kürzere Reaktionszeiten – und genau die sind in Krisen die wichtigste Währung.

7) Kreditprozesse & Produktgovernance

Vom Neuproduktprozess (NPP) bis zur laufenden Überwachung zieht MaRisk die Linie: Wer entscheidet, auf welcher Basis, mit welchen Szenarien, in welcher Frequenz wird nachgesteuert? Das gilt für Kreditvergaben genauso wie für Zinspolitik, Gebühren und neue digitale Angebote. Produktgovernance ist kein Marketingthema; sie ist Risikosteuerung am Point of Sale – mit Daten, Schwellen, Zuständigkeiten.

8) Modelle, Methoden, Messfehler

Ob Scoring, Pricing, Stresstest oder Limit-Calibration: Modelle steuern den Alltag. MaRisk erwartet kein mathematisches Museum, sondern Model Governance: Klarheit über Ziel und Geltung, Datenbasis und Annahmen, Validierungsrhythmus und Grenzen. Und – ganz wichtig – eine Praxis, die abweichendes Verhalten ernst nimmt: Wenn die Realität das Modell schlägt, muss das Modell entweder lernen oder weichen.

9) ESG- und Klimarisiken in der Gesamtsicht

Das Thema ist gekommen, um zu bleiben: physische und transitorische Effekte auf Sicherheiten, Geschäftsmodelle, Kreditportfolios, Reputations- und Rechtsrisiken. MaRisk verlangt keine Klimaforschung, aber Strukturen, die solche Risiken identifizieren, bewerten, überwachen und steuern – proportional, aber nachvollziehbar. Das wirkt ganz bodenständig: Exposure-Landkarten, sensible Branchen, angepasste Standards, längerfristige Szenarien, klare Verantwortliche.

Compliance wird messbar – und damit wirksam

Der größte Fortschritt ist unscheinbar: Nachweisbarkeit. Wer heute Governance betreibt, kann Wirkung zeigen – in Kennzahlen, in Entscheidungslogs, in Maßnahmenlisten, in Vertragsanhängen, in Übungsprotokollen, in Audit-Trails. Das ist mehr als Prüfungsromantik. Es verkürzt Debatten, weil Dokumentation nicht Verteidigung ist, sondern geteiltes Gedächtnis. Es senkt operative Risiken, weil „Wer macht was bis wann?“ nicht im Flurfunk, sondern im Steuerungssystem lebt. Und es spart Geld, weil Sondererhebungen verschwinden und Wiederverwendung möglich wird.

Change-Druck beherrschen, statt ihm zu erliegen

Die meisten Institute scheitern nicht an Inhalten, sondern an Gleichzeitigkeit. Neue Leitlinien, Vertragsanpassungen, zusätzliche KPIs, geänderte Reports, neue Tools, neue Übungen – alles parallel. Der einzige Weg hindurch ist Orchestrierung: Ein klarer Takt, Abhängigkeiten auf dem Tisch, eindeutige Prioritäten, Stop-Kriterien, die benutzt werden, wenn Ressourcen nicht reichen, und ein Verständnis, dass „fertig“ bedeutet: in Betrieb, gemessen, gelebt. Wer das beherzigt, verändert zwei Dinge: die Qualität von Entscheidungen – und das Tempo, mit dem gute Entscheidungen wirksam werden.

Das Zusammenspiel mit BAIT, DORA und EBA-Leitlinien

Viele Fragmente – ein System. MaRisk schafft die Management-Klammer: Strategie, Risikoappetit, Rollen, Limits, Eskalationen. BAIT präzisiert technische und organisatorische Anforderungen an IT und Informationssicherheit. DORA definiert EU-weit einen verbindlichen Rahmen für IKT-Risikomanagement, Vorfallmeldungen, Resilienztests und Drittparteiensteuerung. EBA-Guidelines vertiefen Spezialthemen (z. B. Auslagerung, IKT-Sicherheit, Kreditvergabe, IRRBB). Wer das als Stapel parallel erfüllter Regeln sieht, baut Doppelarbeit. Wer es als integriertes Managementsystem begreift, gewinnt: ein Satz Rollen, ein Satz Daten, ein Satz Kennzahlen, ein Satz Gremien – und ein Steuerungsrhythmus.

Typische Fallstricke – und wie man sie vermeidet

Die Kennzahlen, die zählen

Nicht die Menge macht’s, sondern die Schärfe:

Diese „few vital few“ sind die Landebahnen guter Führung. Alles andere darf ergänzen, aber nicht verdecken.

Was sich für Schlüsselrollen konkret ändert

Vorstand
Weniger Folien, mehr Entscheidungen. Risikoappetit zeichnen – und leben. Maßnahmen priorisieren, Ressourcen bündeln, Konsequenzen ziehen, wenn Eskalationen eintreffen. Reporting verdichten: ein Front-Sheet, das verständlich, vergleichbar, verbindlich ist.

CRO / Risikocontrolling
Vom Reporter zum Co-Steuerer. Szenarien kuratieren, Frühwarnindikatoren scharf stellen, Datenqualität mitverantworten, Limitrisse in Aktionen übersetzen, statt in Erklärungen.

CIO/CTO und CISO
IT als Primärhebel operativer Risiken. Change-Disziplin, Observability, Berechtigungs-Hygiene, Security-Zyklen – alles mit Management-Reife und Nachweisbarkeit. BAIT-Erfüllung und DORA-Pflichten nicht als zusätzliche Schubladen, sondern als ein Regelkreis.

Compliance
Vom Regelhüter zum Enabler. Policies schlank, anschlussfähig und umsetzbar entwickeln, Monitoring dahin legen, wo es Verhalten prägt, Gremiengeschäft straffen, damit Klarheit wächst.

Einkauf/Sourcing
Vom Besteller zum Risikomanager. Mindestvertragsinhalte, Sub-Auslagerungssicht, Providersteuerung, Exit-Design – alles im Alltag, nicht im Krisenfall zum ersten Mal.

Interne Revision
Vom Allesprüfer zum Katalysator. Fokussiert, früh, wirksam: Feststellungen, die Ursachen treffen, Maßnahmen, die schließen, Follow-ups, die nicht loslassen.

Kosten runter, Qualität rauf – der stille Effekt

Richtig gedacht verteuert MaRisk den Betrieb nicht – es entlastet ihn. Nicht in der Theorie, sondern in der alltagspraktischen Bilanz: weniger Ad-hoc-Anfragen, weniger Doppelarbeiten, weniger Firefighting nach Releases, weniger Schleifen in Gremien, weniger Überraschungen in Prüfungen, weniger Korrekturen in „Nachnächten“. Die eigentliche Einsparung heißt Klarheit: Sie spart Zeit. Und Zeit ist in einer regulierten Organisation die knappste Ressource.

Warum MaRisk heute der Unterschied ist

Das alles macht MaRisk zum Gamechanger: Es liefert keine Zaubertricks, sondern Disziplinen, die zusammen den Unterschied zwischen „kontrolliert“ und „nur kontrolliert wirkend“ ausmachen. In einer Welt, in der Technologie Zyklen verkürzt, Lieferketten Risiken importieren, Daten die neue Schwerkraft sind und Öffentlichkeit schneller reagiert als jede interne Kette, ist ein verlässlicher Rahmen für Governance & Compliance kein Nachteil, sondern Vorsprung.

Vorsprung, weil Entscheidungen schneller fallen, wenn Leitplanken klar sind. Vorsprung, weil Risiken früher bemerkbar werden, wenn Signale gut gebaut sind. Vorsprung, weil Auslagerungen tragfähig sind, wenn Verträge wirken. Vorsprung, weil IT stabil bleibt, wenn Change-Disziplin gelebt wird. Vorsprung, weil Resilienz nicht behauptet, sondern bewiesen ist. Und Vorsprung, weil Menschen eher gut arbeiten, wenn sie wissen, woran sie sind – und warum.

Fazit: Mehr als Papier – ein Praxisrahmen, der wirkt

MaRisk ist heute unverzichtbar, weil es Ordnung in Bewegung bringt. Es zwingt nicht zur Bürokratie, sondern zur Wirksamkeit: zur Verbindung von Strategie und Alltag, von Kennzahl und Handlung, von Vertrag und Steuerung, von Übung und Änderung. Wer das nutzt, wird nicht stabil, weil er weniger wagt, sondern robust, weil er besser steuert.

Der Gamechanger ist also nicht der Text an sich, sondern die Entscheidung, ihn als Betriebssystem zu führen – nicht als Ordner im Sharepoint. Dort, wo das gelingt, werden Governance & Compliance vom Kostenblock zum Wettbewerbsvorteil. Und genau darum geht es: nicht nur bestehen, sondern bestehen können – mit System.