Ziele der MaRisk (Mindestanforderungen an das Risikomanagement für Banken)

Die MaRisk sind verbindliche, modular aufgebaute Vorgaben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für die Ausgestaltung des Risikomanagements in deutschen Banken und Finanzinstituten. Sie sind für alle nationalen Bankinstitute verpflichtend.

Aufgrund ihrer Geschäftstätigkeit sind Finanzinstitute und Banken besonderen Risiken ausgesetzt. Ein angemessenes und wirksames Risikomanagement umfasst unter Berücksichtigung der Risikotragfähigkeit (Modul AT) insbesondere die Festlegung von Strategien sowie die Einrichtung interner Kontrollverfahren (Modul BT).

Primär muss die Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität der Daten in den IT-Systemen sichergestellt werden. Weitere Vorschriften sind z. B. eine angemessene IT-Berechtigungsvergabe, Test- und Abnahmeverfahren, eine Trennung von Test- und Produktionsumgebungen sowie ein Notfallkonzept mit Geschäftsfortführungs- und Wiederanlaufplänen.

Entstehung und Entwicklung der MaRisk

Derartige Anforderung an das Risikomanagement werden auf Grundlage des § 25a KWG seit 2005 durch entsprechende Verwaltungsanweisungen in Form der MaRisk konkretisiert. 2007 erfolgte eine Neufassung der MaRisk, die vor allem um Regelungen zum Outsourcing ergänzt wurden.

Weitere Novellierungen erfuhr die MaRisk in den Jahren 2009 und 2012, wobei es zum einem um die Schärfung der Anforderungen zum Stresstesting, zum Liquiditätsrisiko und zu Risikokonzentrationen und zum anderen um die Festschreibung, die Compliance- sowie Risikocontrollingfunktionen als eigenständige Prozesse anzusehen, ging.

Obwohl erst im Oktober 2017 die derzeit aktuelle Version der MaRisk durch die BaFin veröffentlicht wurde, ist bereits seit 2019 die 6. Novelle in Arbeit. Nach aktuellem Stand wird es bei der erneuten Überarbeitung um die Umsetzung einzelner Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA) gehen.

 

Links

 

Weitere Informationen zu den Mindestanforderungen an das Risikomanagement für Banken finden Sie

 

• im Rundschreiben 09/2017 (BA) - Mindestanforderungen an das Risikomanagement - MaRisk
• in den Erläuterungen zu den MaRisk in der Fassung vom 27.10.2017
• im Überblick zur MaRisk-Novelle 2017

 

Maßnahmen zur Erfüllung der Anforderungen

Durch weitreichende Maßnahmen wird sichergestellt, dass alle gesetzlich und regulatorisch relevanten Anforderungen erfüllt werden, insbesondere die Regelungen aus dem KWG § 25a und der MaRisk. Es erfolgen hierzu regelmäßige externe Audits:

 

• Regelung interner Produktionszugriffe durch eine umfassende Prozessregelung (Data Leakage Prevention)
• Business Continuity Management nach ISO 22301; Gemäß den Vorgaben an den IT-Grundschutz vom Bundesamt für Sicherheit in der Informationstechnik (BSI) wird eine Vorgehensweise zum Identifizieren und zur Umsetzung von Sicherheitsmaßnahmen der unternehmenseigenen Informationstechnik (IT) umgesetzt.

 

Ziel ist das Erreichen eines angemessenen und ausreichenden Schutzniveaus für IT-Systeme. Hierfür wird ein Katalog von technischen Sicherheitsmaßnahmen sowie infrastrukturellen, organisatorischen und personellen Schutzmaßnahmen umgesetzt.

 

Weiterführende Informationen

Der Bank-Verlag stellt seinen Kunden Informationen zu folgenden Berichten und Dokumenten zur Verfügung:

 

• Regelmäßige Bereitstellung von Revisionsberichten
• Zertifizierung nach PCI-DSS
• ISO 27001 Zertifizierung für den IT-Betrieb/inkl. 27002ff
• Zertifizierung durch den TÜV „Trusted Site Infrastructure“ Level 3 zur Bestätigung einer zuverlässigen IT-Infrastruktur

• RZ-Betrieb: Orientierung an ISO27001/ITIL