Regulatorische Historie

MaRisk — Novellen & Versionshistorie

Die Mindestanforderungen an das Risikomanagement (MaRisk) wurden seit ihrer Erstveröffentlichung im Jahr 2005 in sieben Novellen fortgeschrieben. Rechtsgrundlage ist § 25a Abs. 1 KWG.

Hinweis: Die MaRisk sind kein formelles Gesetz, sondern ein BaFin-Rundschreiben auf Basis von § 25a Abs. 1 KWG. Sie konkretisieren die gesetzlichen Anforderungen an ein ordnungsgemäßes Risikomanagement und haben faktisch verbindlichen Charakter für beaufsichtigte Institute.
18. DEZEMBER 2005
1. Novelle — Erstfassung
BaFin-Rundschreiben 18/2005 (BA)
  • Erstmalige Konsolidierung der zuvor separaten Mindestanforderungen (MaH, MaK, MaIR) in einem einheitlichen Regelwerk
  • Einführung des prinzipienorientierten Ansatzes (Proportionalitätsprinzip)
  • Etablierung der Grundstruktur: Allgemeiner Teil (AT) und besonderer Teil (BT)
  • Anforderungen an Risikosteuerungs- und -controllingprozesse für Adressenausfall-, Markt-, Liquiditäts- und operationelle Risiken
  • Einführung des Drei-Linien-Modells als Grundkonzept (implizit)
14. AUGUST 2009
2. Novelle
BaFin-Rundschreiben 15/2009 (BA)
  • Reaktion auf die globale Finanzkrise 2007/2008 — Verschärfung der Anforderungen an das Risikomanagement
  • Stärkung der Anforderungen an Stresstests (AT 4.3.3)
  • Erweiterte Anforderungen an die Risikoberichterstattung
  • Konkretisierung der Anforderungen an Vergütungssysteme (erste Grundlagen)
  • Schärfung der Anforderungen an das Liquiditätsrisikomanagement
15. DEZEMBER 2010
3. Novelle
BaFin-Rundschreiben 11/2010 (BA)
  • Umsetzung der Anforderungen aus der CRD II (Vergütungsregeln)
  • Einführung detaillierter Anforderungen an Vergütungssysteme (AT 7.1)
  • Neue Anforderungen an die Ausgestaltung von Risikoausschüssen
  • Konkretisierung der Anforderungen an das Auslagerungsmanagement (AT 9)
  • Erweiterung der Anforderungen an das Risikocontrolling und die Compliance-Funktion
14. DEZEMBER 2012
4. Novelle
BaFin-Rundschreiben 10/2012 (BA)
  • Grundlegende Überarbeitung und Neustrukturierung des Regelwerks
  • Stärkung der Risikotragfähigkeitskonzepte (ICAAP — AT 4.1)
  • Neue Anforderungen an das Risikoappetit-Framework
  • Erweiterung der Anforderungen an die Interne Revision (BT 2)
  • Einführung expliziter Anforderungen an die Risikokultur
  • Konkretisierung der Governance-Anforderungen an die Geschäftsleitung
27. OKTOBER 2017
5. Novelle
BaFin-Rundschreiben 09/2017 (BA)
  • Umfassende Überarbeitung — stärkste inhaltliche Erweiterung seit der Erstfassung
  • Umsetzung der EBA-Leitlinien zu internen Governance-Anforderungen (EBA/GL/2017/11)
  • Neue Anforderungen an das Kreditgeschäft (BT 1) — Risikoklassifizierungsverfahren
  • Explizite Anforderungen an Risikokultur und Risikoappetit (AT 3)
  • Erweiterte Anforderungen an das Auslagerungsmanagement inkl. Wesentlichkeitsbeurteilung
  • Neue Anforderungen an den Umgang mit notleidenden Krediten (NPL)
  • Stärkung der Anforderungen an die Compliance-Funktion (AT 4.4.2)
  • Einführung von Anforderungen an Recovery-Indikatoren im Kontext der BRRD
16. AUGUST 2021
6. Novelle
BaFin-Rundschreiben 10/2021 (BA)
  • Integration von ESG-Risiken in das Risikomanagement (AT 4.1, AT 4.2)
  • Neue Anforderungen an das Auslagerungsmanagement — vollständige Neufassung AT 9 mit stärkerem Fokus auf IKT-Auslagerungen
  • Anforderungen an das Management von IKT-Risiken (Vorarbeit zu DORA)
  • Überarbeitung der Anforderungen an die Risikotragfähigkeit im Einklang mit dem EBA-Leitfaden (EBA/GL/2018/11 — normativer vs. ökonomischer ICAAP)
  • Stärkung der Anforderungen an das Datenmanagement und Datenqualität
  • Neue Anforderungen an die Notfallplanung (BCM)
29. JUNI 2023 Aktuelle Fassung
7. Novelle — Aktuelle Fassung
BaFin-Rundschreiben 06/2023 (BA)
  • Weiterentwicklung der Anforderungen an das Datenmanagement — Einführung expliziter Grundsätze für Datenaggregation und Risikoberichterstattung (angelehnt an BCBS 239)
  • Schärfung der Anforderungen an das Auslagerungsmanagement — Stärkung der Kontrollrechte und Exit-Strategien
  • Anpassung der IKT-Anforderungen zur Vorbereitung auf DORA (Anwendbarkeit ab 17.01.2025)
  • Neue Anforderungen an den Umgang mit Immobilienrisiken im Kreditgeschäft
  • Konkretisierung der Anforderungen an das interne Kontrollsystem (IKS) — Drei-Linien-Modell (AT 4.4)
  • Überarbeitung der Anforderungen an Stresstests unter Berücksichtigung von Klimarisiken
  • Anpassungen im Bereich Vergütung in Reaktion auf EBA-Leitlinien

Aufbau der MaRisk (aktuelle Fassung)

Modul Bezeichnung Wesentliche Inhalte
AT 1 Vorbemerkung Anwendungsbereich, Proportionalitätsprinzip
AT 2 Anwendungsbereich Betroffene Institute, Gruppenanwendung
AT 3 Gesamtverantwortung der Geschäftsleitung Risikokultur, Risikoappetit, Governance
AT 4 Allgemeine Anforderungen an das Risikomanagement Risikotragfähigkeit (ICAAP), Risikosteuerung, IKS, Stresstests
AT 5 Organisationsrichtlinien Dokumentation, Prozessorganisation
AT 6 Dokumentation Anforderungen an die Dokumentationspflichten
AT 7 Ressourcen Personal, technisch-organisatorische Ausstattung, Notfallmanagement
AT 8 Anpassungsprozesse Neue Produkte, neue Märkte (NPP)
AT 9 Auslagerungen Wesentlichkeit, Steuerung, Kontrollrechte, Exit-Management
BT 1 Besondere Anforderungen — Kreditgeschäft Kreditvergabe, Risikoklassifizierung, NPL, Sicherheiten
BT 2 Besondere Anforderungen — Interne Revision Prüfungsplanung, Berichterstattung, Follow-up
BT 3 Besondere Anforderungen — Handelsgeschäfte Marktpreisrisiken, Handelsorganisation, Limite