Erstgespräch
Erstgespräch buchen
Leistungen
Übersicht → Audit Begleitung as a Service GAP-Analyse Implementierung
ISMS
Übersicht → Externer ISB CISIS12 BSI IT-Grundschutz ISO 27001 Regulatorik Cyber Resilience Act DORA NIS-2 NIS-2 Betroffenheit NIS-2 Registrierung B3S KRITIS TISAX®
AIMS
Übersicht → Externer KI-Beauftragter EU AI Act ISO 42001 Thema Schatten-KI
BCMS
Übersicht → Externer BCM-Beauftragter BSI 200-4 ISO 22301 ITSCM Notfallmanagement
RMS
Übersicht → Externer Risikomanager BSI 200-3 ISO 27005 MaRisk
Solutions
Übersicht → Partner Patchmanagement Schwachstellenmanagement SIEM SOC
Wissen
Übersicht → Insights KI-Security Briefing
Über uns
Übersicht → Presse
+49 40-298 4553-0 [email protected]
MaRisk Beratung: Risikomanagement für den Finanzsektor | SECURAM

RMS · BaFin-Rundschreiben MaRisk

MaRisk Beratung für den Finanzsektor

Die Mindestanforderungen an das Risikomanagement (MaRisk) konkretisieren die §25a und §25b KWG und gelten für alle Kreditinstitute und Finanzdienstleister in Deutschland. SECURAM unterstützt bei Risikotragfähigkeitskonzept, Risikocontrolling, Limitsystemen und Dokumentation. Von der GAP-Analyse über die Implementierung bis zur Vorbereitung auf BaFin-Sonderprüfungen nach §44 KWG.

Erstgespräch vereinbaren Leistungsumfang ↓
MaRisk Risikomanagement

Ausgangslage

Warum MaRisk für Finanzinstitute verbindlich ist

Die BaFin erwartet ein angemessenes und wirksames Risikomanagement von jedem Institut.

MaRisk ist kein freiwilliger Leitfaden, sondern eine aufsichtliche Verwaltungsvorschrift der BaFin, die §25a KWG konkretisiert. Jedes Institut im Sinne des KWG muss ein Risikomanagement vorhalten, das Risikosteuerung, Risikocontrolling, interne Kontrollverfahren und eine ordnungsgemäße Geschäftsorganisation umfasst. Die aktuelle Novelle hat die Anforderungen an IKT-Risikomanagement und Auslagerungssteuerung verschärft und damit die Brücke zu DORA geschlagen.

Das Proportionalitätsprinzip erlaubt eine an Größe und Komplexität angepasste Umsetzung. In der Praxis bedeutet das: Ein mittelständisches Finanzdienstleistungsinstitut muss nicht denselben Dokumentationsumfang wie eine Großbank vorhalten. Die Kernprinzipien, insbesondere Risikotragfähigkeitskonzept, funktionsfähige Risikocontrolling-Funktion und Limitsysteme, gelten jedoch ohne Abstufung. In unseren Projekten sehen wir, dass viele mittelständische Institute die Proportionalität zu weit auslegen und bei BaFin-Prüfungen in Erklärungsnot geraten.

Die Schnittstelle zwischen MaRisk und DORA ist für den Finanzsektor besonders relevant. MaRisk AT 7.2 regelt die technisch-organisatorische Ausstattung, DORA konkretisiert diese Anforderungen für den IKT-Bereich mit eigenen Meldepflichten und Resilienztests. Organisationen, die bereits ein strukturiertes Risikomanagement betreiben, können beide Anforderungssets mit deutlich geringerem Aufwand parallel erfüllen. SECURAM berät an dieser Schnittstelle und integriert MaRisk- und ISO-27005-Anforderungen in ein konsistentes Rahmenwerk.

Leistungsumfang

MaRisk: Von der Analyse bis zur BaFin-Prüfung

Acht Leistungsbausteine decken den gesamten MaRisk-Lebenszyklus ab.

01

MaRisk GAP-Analyse

Systematischer Abgleich des IST-Zustands gegen die MaRisk-Anforderungen in der aktuellen Fassung. Ergebnis: priorisierter Handlungsplan mit Aufwandsschätzung je Modul (AT, BT, BTR).

02

Risikotragfähigkeitskonzept

Erstellung oder Überarbeitung des Risikotragfähigkeitskonzepts (RTF). Definition der Risikodeckungsmasse, Festlegung der Risikotoleranz und Ableitung der Limitsysteme für wesentliche Risiken.

03

Risikocontrolling-Funktion

Aufbau oder Stärkung der Risikocontrolling-Funktion nach MaRisk AT 4.4.1. Sicherstellung der organisatorischen Unabhängigkeit, Berichtslinien und Eskalationswege an die Geschäftsleitung.

04

Risikosteuerung und Limitierung

Einrichtung der Risikosteuerungsprozesse einschließlich Limitsysteme, Frühwarnindikatoren und Eskalationsverfahren bei Limitüberschreitungen. Integration in bestehende Steuerungsinstrumente.

05

Dokumentation und Berichtswesen

Erstellung der MaRisk-konformen Dokumentation: Risikostrategie, Organisationsrichtlinien, Verfahrensbeschreibungen und Management-Reporting. Nachvollziehbarkeit für BaFin-Prüfer sichergestellt.

06

Schulung Geschäftsleitung

Schulung von Vorstand und Geschäftsführung zu Pflichten nach §25a KWG und MaRisk AT 3. Vermittlung der persönlichen Verantwortung für Risikosteuerung und Compliance-Funktion.

07

BaFin-Prüfungsvorbereitung

Strukturierte Vorbereitung auf Sonderprüfungen nach §44 KWG. Dokumentationsreview, Simulation von Prüfungssituationen und Erstellung der Nachweisdokumentation für die BaFin-Prüfer.

08

RMaaS-Übergang

Strukturierte Übergabe an den laufenden Betrieb im RMaaS-Modell. Der externe Risikomanager übernimmt Risikoregister-Pflege, Limitsystem-Monitoring und das regelmäßige Management-Reporting.

Ablauf

MaRisk-Implementierung in 6 Phasen

Kick-off und Scope-Definition

Woche 1–2

Bestimmung des Institutsprofils, der wesentlichen Risikoarten und des angemessenen Umsetzungsumfangs nach dem Proportionalitätsprinzip. Festlegung der Projektorganisation und des Zeitplans.

Ergebnis: Projektauftrag, Scope-Dokument

MaRisk GAP-Analyse

Woche 3–5

Systematische Prüfung der bestehenden Risikomanagement-Strukturen gegen die MaRisk-Module AT, BT und BTR. Identifikation von Erfüllungslücken, priorisiert nach aufsichtlicher Relevanz.

Ergebnis: GAP-Report mit Handlungsplan

Risikomanagement-Framework

Woche 6–10

Aufbau des Risikotragfähigkeitskonzepts, der Risikocontrolling-Funktion und der Limitsysteme. Definition der Risikostrategie, Festlegung der Risikodeckungsmasse und Einrichtung der Frühwarnindikatoren.

Ergebnis: RTF-Konzept, Risikostrategie, Limitsystem

Dokumentation und Prozessintegration

Woche 9–12

Erstellung der vollständigen MaRisk-Dokumentation und Integration der neuen Prozesse in die Aufbau- und Ablauforganisation. Anpassung des Management-Reportings und der Berichtslinien.

Ergebnis: Richtlinien, Verfahrensbeschreibungen, Reportingvorlagen

Schulung und Testlauf

Woche 11–13

Schulung der Geschäftsleitung und der operativ Verantwortlichen. Durchführung eines simulierten Prüfungsdurchlaufs zur Validierung der implementierten Prozesse und Dokumentation.

Ergebnis: Schulungsnachweis, Testprüfungsbericht

BaFin-Vorbereitung und RMaaS-Übergang

Fortlaufend

Zusammenführung der Nachweisdokumentation für aufsichtliche Prüfungen. Vorbereitung der Übergabe an den laufenden Betrieb im RMaaS-Modell für die kontinuierliche MaRisk-Compliance.

Ergebnis: Audit-Checkliste, Übergabedokumentation

Zeitangaben beziehen sich auf ein Erstprojekt im Mittelstand (100–500 Mitarbeiter). Bei bestehenden Managementsystemen oder erfahrenen Organisationen verkürzen sich die Phasen entsprechend.

Erfahrung und Qualifikation

Worauf SECURAM aufbaut

SECURAM Consulting wurde in Hamburg gegründet und berät seit mehr als 20 Jahren mittelständische Unternehmen in der DACH-Region. Die Kombination aus ISMS, BCMS, KI-Governance und Risikomanagement unter einem Dach unterscheidet SECURAM von spezialisierten Einzelnorm-Beratungen, weil Überschneidungen zwischen Standards systematisch genutzt werden.

30+
Implementierte Managementsysteme
50+
Durchgeführte interne Audits
15+
Betreute Organisationen (aaS)
20+
Jahre Beratungserfahrung

Skalierung

Von MaRisk zu DORA: Regulatorik konsolidieren

MaRisk-konforme Strukturen bilden die Grundlage für DORA-Anforderungen im Finanzsektor.

MaRisk-konforme Institute erfüllen bereits 40 bis 60 Prozent der DORA-Anforderungen. Die Lücken liegen vor allem bei Incident Reporting, Resilienztests und IKT-Drittparteiensteuerung.

Weitere Standards in der RMS-Säule
ISO 27005 BSI 200-3

Laufender Betrieb

RMaaS — Externer Risikomanager

Nach Abschluss der MaRisk-Implementierung übernimmt das RMaaS-Modell den laufenden Betrieb des Risikomanagements. Ein externer Risikomanager stellt sicher, dass Risikoregister, Limitsysteme und BaFin-Berichtspflichten dauerhaft auf dem geforderten Niveau bleiben.

MaRisk verlangt in AT 4.4.1 eine funktionsfähige Risikocontrolling-Funktion. Das RMaaS-Modell erfüllt diese Anforderung für Institute, die keine eigene Risikocontrolling-Abteilung aufbauen oder ihre bestehende Funktion durch externe Expertise ergänzen möchten.

  • Risikoregister-Pflege und Risikobewertung
  • Limitsystem-Monitoring und Frühwarnung
  • Management-Reporting an Geschäftsleitung
  • Integration neuer regulatorischer Anforderungen

SECURAM Consulting ist Mitglied der BSI-Allianz für Cybersicherheit, bei ISACA, Bitkom, der IHK Kiel und im Netzwerk Hamburg@work.

Häufige Fragen

FAQ — MaRisk

MaRisk steht für Mindestanforderungen an das Risikomanagement und ist ein BaFin-Rundschreiben, das die §25a und §25b KWG konkretisiert. Die aktuelle Fassung verpflichtet Kreditinstitute und Finanzdienstleister zu einem angemessenen Risikomanagement, das Risikosteuerung, Risikocontrolling, interne Kontrollverfahren und eine funktionsfähige Aufbau- und Ablauforganisation umfasst. MaRisk gilt als zentrale Prüfungsgrundlage der BaFin bei Sonderprüfungen nach §44 KWG.
MaRisk gilt für alle Institute im Sinne des §1 KWG: Kreditinstitute, Finanzdienstleistungsinstitute, Wertpapierinstitute und Factoring-Unternehmen. Das Proportionalitätsprinzip erlaubt eine an Größe, Geschäftsmodell und Risikoprofil angepasste Umsetzung. Kleinere Institute müssen nicht denselben Dokumentationsumfang wie Großbanken vorhalten, die Kernprinzipien der ordnungsgemäßen Geschäftsorganisation gelten jedoch für alle Verpflichteten gleichermaßen.
Der Beratungsaufwand richtet sich nach Institutsgröße, Risikoprofil und Reifegrad der bestehenden Governance-Strukturen. Der Einstieg erfolgt über eine MaRisk GAP-Analyse, die den IST-Zustand gegen die aktuellen BaFin-Anforderungen abgleicht. Im Erstgespräch schätzt SECURAM den voraussichtlichen Aufwand in Personentagen. Institute mit bestehenden Risikomanagement-Strukturen starten mit deutlich geringerem Aufwand als Neugründungen.
DORA ergänzt MaRisk im Bereich des IKT-Risikomanagements. Während MaRisk das gesamte Risikomanagement eines Instituts regelt, fokussiert DORA auf die digitale operationale Resilienz und enthält spezifische Anforderungen an IKT-Risikomanagement, Incident Reporting und Drittparteiensteuerung. In der Praxis bestehen erhebliche Überschneidungen: MaRisk AT 7.2 adressiert technisch-organisatorische Ausstattung, DORA konkretisiert diese Anforderungen für den IKT-Bereich. Institute müssen beide Regelwerke parallel erfüllen.
SECURAM verbindet MaRisk-Beratung mit Kompetenz in DORA, ISO 27001 und Risikomanagement nach ISO 27005. Während reine Finanzberatungen die regulatorische Seite abdecken, adressiert SECURAM das Zusammenspiel von Risikomanagement, Informationssicherheit und IKT-Governance. Die Erfahrung aus ISMS-Implementierungen ermöglicht eine integrierte Sicht auf MaRisk und DORA. Das RMaaS-Modell sichert nach der Implementierung den laufenden Betrieb als externer Risikomanager.
Das Proportionalitätsprinzip erlaubt Instituten, Umfang und Komplexität ihres Risikomanagements an Art, Umfang, Komplexität und Risikogehalt ihrer Geschäftstätigkeit anzupassen. Ein mittelständisches Finanzdienstleistungsinstitut muss weniger aufwändige Strukturen vorhalten als eine Großbank. Die BaFin erwartet jedoch, dass die Kernelemente wie Risikotragfähigkeitskonzept, Risikocontrolling-Funktion und Limitsysteme auch bei kleineren Instituten funktionsfähig sind. In unseren Projekten klären wir den angemessenen Umfang zu Beginn der GAP-Analyse.
Bei Sonderprüfungen nach §44 KWG prüft die BaFin die ordnungsgemäße Geschäftsorganisation des Instituts anhand der MaRisk-Anforderungen. Prüfungsschwerpunkte umfassen das Risikotragfähigkeitskonzept, die Funktionsfähigkeit des Risikocontrollings, die Einhaltung von Limitsystemen, das Berichtswesen an die Geschäftsleitung und die Dokumentation wesentlicher Entscheidungen. Die Prüfer bewerten, ob die implementierten Prozesse den Anforderungen der MaRisk in der jeweils aktuellen Fassung entsprechen.
RMaaS steht für Risikomanagement as a Service. SECURAM übernimmt die Rolle des externen Risikomanagers und kümmert sich um Risikoregister-Pflege, regelmäßige Risikobewertungen, Management-Reporting und die Integration neuer regulatorischer Anforderungen wie der DORA-Novelle. Das Modell eignet sich für Institute, die keine eigene Risikocontrolling-Abteilung aufbauen oder ihre bestehende Funktion durch externe Expertise ergänzen möchten.

MaRisk-Konformität sicherstellen

Sprechen Sie mit unseren Beraterinnen über Risikotragfähigkeit, Risikocontrolling und BaFin-Prüfungsvorbereitung.

Erstgespräch vereinbaren →

Nächster Schritt

Ihr Einstieg in die MaRisk-Umsetzung

GAP-Analyse

MaRisk GAP-Analyse

Wo steht Ihr Institut im Vergleich zu den MaRisk-Anforderungen? Die GAP-Analyse gleicht Ihre bestehenden Strukturen gegen die Module AT, BT und BTR ab und liefert einen priorisierten Handlungsplan.

GAP-Analyse anfragen →
Internes Audit

MaRisk Compliance Audit

Prüfung der MaRisk-Implementierung auf Wirksamkeit und Vollständigkeit. Das Audit bewertet Risikotragfähigkeitskonzept, Risikocontrolling-Funktion und Limitsysteme anhand der aktuellen BaFin-Anforderungen.

Audit anfragen →
Implementierung

MaRisk implementieren

Aufbau des vollständigen MaRisk-Rahmenwerks von Risikostrategie über Risikocontrolling bis zur BaFin-konformen Dokumentation. Integration bestehender Governance-Strukturen in den neuen Rahmen.

Implementierung anfragen →

Kontakt

Wir freuen uns auf Ihre Nachricht.

Ich habe die Datenschutzhinweise gelesen und bin einverstanden, dass meine Angaben zur Beantwortung meiner Anfrage verarbeitet und per E-Mail an SECURAM Consulting übermittelt werden. *

Ihre Ansprechpartnerin

Nadine Eibel – SECURAM Consulting

Nadine Eibel

Gründerin & Geschäftsführerin
SECURAM Consulting GmbH

Über 20 Jahre Erfahrung in IT-Security und Informationssicherheit. Zertifiziert als CISM, Lead Auditorin ISO 27001 und ITIL Expert.

Kontaktdaten

Colonnaden 5
20354 Hamburg
040 298 4553-0
contact@securam-consulting.com

Direkter Kontakt

Lieber direkt sprechen?
Buchen Sie ein kostenloses Erstgespräch.

Termin buchen