Risikomanagement & Compliance

Das Drei-Linien-Modell

Das Drei-Linien-Modell (Three Lines of Defence) ist das konzeptionelle Grundgerüst für die interne Organisation des Risikomanagements und des IKS gemäß MaRisk AT 4.4. Es definiert klare Verantwortlichkeiten zwischen den drei Kontrollebenen.

1. Linie

Markt / Betrieb

Risikoübernahme und primäre Risikoverantwortung. Die Marktbereiche sind für die Einhaltung der regulatorischen und internen Anforderungen im Rahmen ihrer Geschäftstätigkeit selbst verantwortlich.

2. Linie

Risikocontrolling & Compliance

Unabhängige Überwachung und Steuerung. Risikocontrolling (AT 4.4.1 MaRisk) und Compliance-Funktion (AT 4.4.2 MaRisk) überwachen die 1. Linie und berichten direkt an die Geschäftsleitung.

3. Linie

Interne Revision

Unabhängige, prozessunabhängige Prüfung aller Aktivitäten und Bereiche des Instituts. Berichterstattung an Geschäftsleitung und Aufsichtsorgan (MaRisk BT 2).

ICAAP — Internal Capital Adequacy Assessment Process

Der ICAAP ist die institutsinterne Beurteilung der Angemessenheit des Kapitals im Verhältnis zum Risikoprofil des Instituts (MaRisk AT 4.1, Art. 73 CRD V). Er umfasst zwei komplementäre Perspektiven:

Normative Perspektive: Sicherstellung der regulatorischen Kapitaladäquanz über einen Planungshorizont von mindestens drei Jahren. Ausgangspunkt sind die aufsichtlichen Kapitalanforderungen (Säule 1 + Säule 2).

Ökonomische Perspektive: Gegenüberstellung des ökonomisch verfügbaren Risikodeckungspotenzials mit dem ökonomischen Kapitalbedarf auf Basis interner Risikomodelle (Risikotragfähigkeit im engeren Sinne).

Rechtsgrundlagen: § 25a Abs. 1 KWG, AT 4.1 MaRisk, EBA/GL/2018/11 (SREP-Leitlinien), Art. 73 CRD V.

Vollständige Risikoidentifikation

Quantifizierung wesentlicher Risiken

Stressszenarien (AT 4.3.3)

Dreijahresplanung (normativ)

Berichterstattung an GL & AR

ILAAP — Internal Liquidity Adequacy Assessment Process

Das Pendant zum ICAAP auf der Liquiditätsseite. Der ILAAP bewertet institutsintern die Angemessenheit der Liquiditätsausstattung und der Liquiditätsrisikosteuerung (Art. 86 CRD V, MaRisk BTR 3). Er umfasst die Steuerung des kurzfristigen Liquiditätsrisikos (LCR), der strukturellen Liquidität (NSFR) sowie institutsspezifischer Liquiditätspuffer.

Für signifikante Institute (SI) werden ICAAP und ILAAP jährlich von der EZB im Rahmen des SREP bewertet. Die EZB-Leitlinien zum ICAAP/ILAAP (2018) sind maßgebend.

Stresstests

Intern

Institutsindividuelle Stresstests

Verpflichtend gemäß MaRisk AT 4.3.3. Das Institut muss angemessene, auf das individuelle Risikoprofil zugeschnittene Stressszenarien (Sensitivitätsanalysen, Szenarioanalysen, inverse Stresstests) durchführen und dokumentieren.

EU-weit

EBA-Stresstest

Regelmäßiger EU-weiter Stresstest der EBA für eine Stichprobe großer Institute. Bewertet die Widerstandsfähigkeit gegenüber adversen makroökonomischen Szenarien. Ergebnisse werden öffentlich veröffentlicht.

SREP

Aufsichtliche Stresstests

Im Rahmen des SREP führen EZB (für SI) und BaFin (für LSI) aufsichtliche Stresstests durch, um die Kapitaladäquanz unter Stressbedingungen zu beurteilen. Die Ergebnisse fließen in die SREP-Kapitalanforderungen (Säule 2) ein.

Klima

Klimarisiko-Stresstests

Seit der 6. MaRisk-Novelle (2021) sind Klimarisiken in die Stresstest-Rahmenwerke zu integrieren. EZB und EBA haben spezifische Klimastresstests durchgeführt und entsprechende Leitlinien veröffentlicht.

Internes Kontrollsystem (IKS)

Das IKS umfasst die Gesamtheit der internen Kontrollen, Prozesse und Strukturen, die eine ordnungsgemäße und regelkonforme Geschäftsabwicklung sicherstellen sollen (MaRisk AT 4.4). Es gliedert sich in aufbau- und ablauforganisatorische Regelungen sowie Kontroll- und Überwachungsprozesse.

Aufbauorganisation: Funktionstrennung zwischen Markt und Marktfolge, klare Verantwortlichkeiten, Vermeidung von Interessenkonflikten

Ablauforganisation: Vier-Augen-Prinzip, Zugangs- und Berechtigungskonzepte, prozessintegrierte Kontrollen

Risikocontrolling: Unabhängige Überwachung und Steuerung aller wesentlichen Risiken (AT 4.4.1)

Compliance: Überwachung der Einhaltung regulatorischer Anforderungen und interner Richtlinien (AT 4.4.2)

Auslagerungsmanagement (AT 9 MaRisk)

AT 9 MaRisk regelt die Anforderungen an das Auslagerungsmanagement. Kernpunkt ist die Wesentlichkeitsbeurteilung: Wesentliche Auslagerungen unterliegen erhöhten Anforderungen an Vertragsgestaltung, Monitoring, Kontrollrechte und Exit-Strategien.

Kriterium	Wesentlich	Nicht wesentlich
Auswirkung auf Risikoprofil	Erheblich	Gering
Schriftlicher Vertrag	Pflicht (AT 9.7)	Empfehlen
Auditrecht / Kontrollrechte	Pflicht	Optional
Anzeigepflicht BaFin	Ja (§ 24 KWG)	Nein
Exit-Strategie	Pflicht	Optional
Monitoring / Reporting	Regelmäßig	Anlassbezogen

Ergänzend: EBA-Leitlinien zu Auslagerungsvereinbarungen (EBA/GL/2019/02), DORA Art. 28–44 für IKT-Auslagerungen (ab 17.01.2025).

Compliance-Funktion (AT 4.4.2 MaRisk)

Die Compliance-Funktion ist eine unabhängige Überwachungseinheit der 2. Linie. Ihre Kernaufgabe ist die Identifikation, Bewertung und Überwachung von Compliance-Risiken — insbesondere aus der Verletzung rechtlicher Regelungen und Vorgaben, die zu Sanktionen, finanziellen Verlusten oder Reputationsschäden führen können.

Unabhängigkeit: Organisatorische Trennung von Marktbereichen, direktes Berichtsrecht an GL

Risikoanalyse: Jährliche Compliance-Risikoanalyse als Basis der Prüfungsplanung

Berichterstattung: Regelmäßige Berichte an Geschäftsleitung und Aufsichtsorgan

Neue Produkte & Märkte (AT 8 MaRisk)

Vor Einführung neuer Produkte, Dienstleistungen oder Märkte (inkl. wesentlicher Änderungen bestehender Produkte) ist ein strukturierter Einführungsprozess durchzuführen (AT 8 MaRisk). Dieser umfasst die Analyse aller relevanten Risiken, die Klärung der prozessualen und systemtechnischen Voraussetzungen sowie die Einbindung aller betroffenen Bereiche — insbesondere Risikocontrolling, Compliance, Recht und IT. Das Ergebnis ist schriftlich zu dokumentieren (NPP-Votum).