BaFin

Risikomanagement

Banken und Finanzdienstleister sind einer ganzen Palette von Risiken ausgesetzt, die sie beherrschen müssen, um einerseits erfolgreich am Markt agieren zu können und andererseits ihre Existenz nachhaltig zu sichern. Angesichts der dynamischen Entwicklungen auf den Finanzmärkten kann sich eine moderne Regulierung nicht allein auf die Einhaltung quantitativer Kennziffern verlassen, sondern muss ganz besonders die Qualität des Risikomanagements der Institute im Auge behalten.

Auf dieser Seite:

Mindestanforderungen an das Risikomanagement (MaRisk)

Die Mindestanforderungen an das Risikomanagement (MaRisk) setzen hier an. Auf der Basis von § 25a KWG, der die organisatorischen Pflichten von Instituten mit Blick auf das institutsinterne Risikomanagement regelt, geben die MaRisk einen ganzheitlichen Rahmen für das Management aller wesentlichen Risiken vor. Die gemeinsam mit der Praxis entwickelten MaRisk stecken einen prinzipienorientierten Rahmen ab, der den Instituten jedoch zugleich noch Spielräume für eine individuelle Umsetzung einräumt. Zahlreiche Öffnungsklauseln stellen zudem sicher, dass auch kleinere Institute die Anforderungen flexibel umsetzen können.

Die MaRisk sind modular strukturiert. Der allgemeine Teil (Modul AT) enthält grundlegende Anforderungen an das institutsinterne Risikomanagement und umfasst auch Vorgaben bei Auslagerungen. Besondere Anforderungen an die Ausgestaltung des internen Kontrollsystems für bestimmte Geschäftsarten und Risikoarten sowie an die Ausgestaltung der Internen Revision sind in Modulen des Besonderen Teils (Module BT) niedergelegt.

Neuere Entwicklungen und internationale Regulierungsinitiativen haben dazu geführt, dass die MaRisk mehrfach überarbeitet wurden. Die BaFin hat die derzeit aktuelle Fassung als Rundschreiben 09/2017 (BA) veröffentlicht.

Bankaufsichtliche Anforderungen an die IT (BAIT)

Wie die MaRisk konkretisieren auch die Bankaufsichtlichen Anforderungen an die IT (BAIT) die gesetzlichen Anforderungen des § 25a KWG. Darin wird erläutert, was die Aufsicht unter einer angemessenen technisch-organisatorischen Ausstattung der IT-Systeme, unter besonderer Berücksichtigung der Anforderungen an die Informationssicherheit sowie eines angemessenen Notfallkonzepts, versteht. Da die Institute zunehmend IT-Dienstleistungen von Dritten beziehen, auch im Rahmen von Auslagerungen, werden in den BAIT auch Anforderungen an den externen Bezug von IT-Dienstleistungen gestellt.

Die BaFin hat die derzeit aktuelle Fassung der BAIT als Rundschreiben 10/2017 (BA) veröffentlicht.

geändert am 30.11.2017

Fanden Sie den Beitrag hilfreich?

Wir freuen uns über Ihr Feedback