Requisitos de MaRisk en 2026: Requisitos Mínimos para la Gestión de Riesgos

Introducción

El MaRisk de BaFin -- Mindestanforderungen an das Risikomanagement -- es el documento de supervisión más influyente que moldea cómo los bancos alemanes gestionan el riesgo. Publicado por primera vez en 2005 y actualizado a través de siete revisiones importantes (más recientemente la 7ª enmienda de MaRisk en 2023), este circular define los requisitos mínimos para la gestión de riesgos en instituciones de crédito y entidades de servicios financieros bajo la Sección 25a del KWG. Cada banco que opera en Alemania, independientemente de su tamaño o complejidad, debe demostrar cumplimiento con MaRisk. Es el estándar contra el cual los auditores de BaFin, los examinadores del Bundesbank y los auditores externos de la Sección 26 del KWG evalúan la adecuación del marco de gestión de riesgos de un banco.

En 2026, MaRisk ocupa una posición única en el panorama regulatorio alemán. DORA ha introducido requisitos a nivel de la UE para la gestión de riesgos de TIC que se superponen parcialmente y en algunas áreas reemplazan los módulos relacionados con la tecnología de MaRisk y sus circulares complementarias (BAIT, ZAIT, VAIT). BaFin ha confirmado que BAIT será retirado y que los estándares técnicos de implementación de DORA tendrán prioridad para los requisitos específicos de TIC. Sin embargo, MaRisk en sí sigue en pleno vigor para todos los requisitos de gestión de riesgos no relacionados con TIC, y su marco organizativo general continúa proporcionando la base estructural dentro de la cual operan los requisitos de TIC de DORA. Comprender lo que MaRisk requiere en 2026 -- y lo que ya no cubre porque DORA ha tomado el relevo -- es esencial para cada equipo de cumplimiento en un banco alemán.

¿Qué es MaRisk?

MaRisk es un circular de BaFin (Rundschreiben) que especifica los requisitos de la Sección 25a del KWG respecto a la organización empresarial adecuada de las instituciones de crédito. Aunque técnicamente es una interpretación administrativa en lugar de una ley, MaRisk se trata como vinculante en la práctica de supervisión. Los auditores de BaFin evalúan el cumplimiento de MaRisk durante exámenes rutinarios y especiales, y los auditores externos evalúan el cumplimiento de MaRisk como parte de la auditoría anual bajo la Sección 26 del KWG.

MaRisk está estructurado en dos partes principales:

AT (Allgemeiner Teil -- Parte General): Establece el marco general para la gestión de riesgos, incluyendo gobernanza, estrategia, apetito de riesgo, estructura organizativa y requisitos generales para procesos, sistemas de TI y documentación.

BT (Besonderer Teil -- Parte Específica): Contiene requisitos detallados para tipos de riesgos específicos y funciones empresariales, organizados en BTO (Besonderer Teil Organisation -- requisitos organizativos) y BTR (Besonderer Teil Risikosteuerung und -controlling -- requisitos de gestión y control de riesgos).

La 7ª enmienda de MaRisk (noviembre de 2023) incorporó varios cambios significativos: requisitos mejorados para la gestión de riesgos ESG (Ambientales, Sociales y de Gobernanza), expectativas actualizadas para la agregación de datos y la presentación de informes de riesgos (alineadas con BCBS 239), requisitos de subcontratación reforzados y ajustes para reflejar el marco emergente de DORA. Estos cambios reflejan las expectativas en evolución tanto de BaFin como del Mecanismo Único de Supervisión del BCE.

MaRisk se aplica a todas las instituciones de crédito y entidades de servicios financieros en Alemania bajo el principio de proporcionalidad (Proportionalitatsprinzip). Esto significa que la implementación específica de cada requisito puede variar según el tamaño, complejidad, perfil de riesgo y modelo de negocio de la institución. Un gran banco universal implementará MaRisk de manera diferente a una pequeña institución de crédito especializada, pero ambas deben abordar el fondo de cada requisito.

Requisitos Clave

AT -- Requisitos Generales

AT 1 -- Observación Preliminar y Alcance (Vorbemerkung): Establece el alcance de MaRisk y el principio de proporcionalidad. Todos los requisitos deben implementarse de manera apropiada a la naturaleza, escala, complejidad y perfil de riesgo de la institución.

AT 2 -- Responsabilidad General de la Dirección (Gesamtverantwortung der Geschaftsleitung): La junta directiva (Geschaftsleitung) tiene la responsabilidad general de la gestión de riesgos. Debe definir una estrategia empresarial coherente y una estrategia de riesgos consistente derivada de ella. La junta directiva debe comprender el perfil de riesgo de la institución y asegurarse de que el marco de gestión de riesgos sea adecuado.

AT 3 -- Gestión de Riesgos (Risikomanagement): Requiere un marco integral de gestión de riesgos que cubra todos los riesgos materiales. El marco debe incluir procesos de identificación, medición, agregación, monitoreo e informes de riesgos. El proceso de evaluación de la adecuación del capital interno (ICAAP) debe demostrar que la institución posee capital adecuado para su perfil de riesgo. AT 3 también aborda la cultura de riesgo y la expectativa de que la conciencia del riesgo esté integrada en toda la organización.

AT 4 -- Estructura Organizativa y Operativa (Aufbau- und Ablauforganisation):

• AT 4.1 -- Directrices Organizativas: Requiere estructuras organizativas claras con responsabilidades y competencias definidas. Se espera el modelo de "tres líneas de defensa": líneas de negocio como la primera línea, gestión de riesgos y cumplimiento como la segunda línea, y auditoría interna como la tercera línea.

• AT 4.2 -- Función de Gestión de Riesgos y Control: Se requiere una función de control de riesgos independiente. Debe tener acceso directo a la junta directiva y no debe estar subordinada a la gestión de la línea de negocio.

• AT 4.3 -- Auditoría Interna (Interne Revision): La función de auditoría interna debe ser independiente, adecuadamente dotada de recursos y cubrir todas las actividades y procesos. Debe realizar una planificación de auditoría basada en riesgos y reportar directamente a la junta directiva completa.

• AT 4.4 -- Funciones Especiales: Incluye requisitos para la función de cumplimiento (AT 4.4.2), que debe ser independiente y tener recursos adecuados, y la función de protección de datos.

AT 5 -- Marco de Apetito de Riesgo (Risikoappetit): Introducido de manera más prominente en la 7ª enmienda, esto requiere que las instituciones definan su apetito de riesgo en términos cuantitativos y cualitativos, aprobado por la junta directiva y monitoreado de manera continua.

AT 7 -- Recursos (Ressourcen):

• AT 7.1 -- Personal: Dotación adecuada de personal en cantidad y calidad para todas las funciones de gestión de riesgos.
• AT 7.2 -- Recursos Técnicos y Organizativos: Este es el módulo más afectado directamente por DORA. Históricamente cubría seguridad de TI, integridad de datos, planificación de contingencias y gestión de riesgos de TI. Con DORA ahora en vigor, BaFin ha indicado que los requisitos específicos de TI de AT 7.2 se interpretarán a través de los Artículos 5-16 de DORA, y BAIT (que especificó aún más AT 7.2) será retirado.
• AT 7.3 -- Planificación de Contingencias: Requiere gestión de continuidad del negocio, incluyendo análisis de impacto empresarial, planes de continuidad y pruebas regulares. Este módulo interactúa con los requisitos de pruebas de resiliencia de DORA bajo los Artículos 24-27.

AT 9 -- Subcontratación (Auslagerungen): Requisitos integrales para la gestión de riesgos de subcontratación, incluyendo evaluación de riesgos antes de la subcontratación, requisitos contractuales, monitoreo continuo y estrategias de salida. La 7ª enmienda reforzó estos requisitos y los alineó con las directrices de subcontratación de la EBA. El Artículo 28 de DORA añade requisitos adicionales para los proveedores de TIC de terceros que complementan AT 9.

BTO -- Requisitos Organizativos

BTO 1 -- Negocio de Crédito (Kreditgeschaft): Requisitos detallados para la organización del negocio de crédito, incluyendo separación de front office y back office (Markt und Marktfolge), procesos de aprobación de crédito, monitoreo de crédito y gestión de préstamos problemáticos. Este es uno de los módulos más granulares en MaRisk.

BTO 2 -- Negocio de Trading (Handelsgeschaft): Requisitos para actividades de trading, incluyendo la separación de front office, back office y control de riesgos, valoración a precio de mercado y límites de trading.

BTR -- Gestión de Riesgos y Control

BTR 1 -- Riesgo de Contraparte y Crédito (Adressenausfallrisiken): Requisitos para la identificación, medición y monitoreo del riesgo de crédito, incluyendo gestión de cartera, riesgo de concentración y riesgo país.

BTR 2 -- Riesgo de Precio de Mercado (Marktpreisrisiken): Requisitos para la gestión del riesgo de mercado, incluyendo modelos de VaR, pruebas de estrés y sistemas de límites.

BTR 3 -- Riesgo de Liquidez (Liquiditatsrisiken): Requisitos para la gestión del riesgo de liquidez, incluyendo planes de financiación, colchones de liquidez y pruebas de estrés a través de diferentes horizontes temporales.

BTR 4 -- Riesgo Operacional (Operationelle Risiken): Requisitos para identificar, evaluar y gestionar riesgos operacionales, incluyendo recopilación de datos de pérdidas, análisis de escenarios e indicadores de riesgo.

Relación con DORA y Otros Marcos

La interacción entre MaRisk y DORA es el desarrollo regulatorio más significativo para los bancos alemanes en 2026. El principio clave es que DORA tiene prioridad para los requisitos relacionados con TIC, mientras que MaRisk sigue siendo autoritativo para todos los demás requisitos de gestión de riesgos.

Específicamente:

• AT 7.2 (Recursos Técnicos y Organizativos) y BAIT están siendo reemplazados por los Artículos 5-16 de DORA (marco de gestión de riesgos de TIC), Artículos 17-23 (informes de incidentes de TIC) y Artículos 24-27 (pruebas de resiliencia operativa digital).
• AT 7.3 (Planificación de Contingencias) se superpone con los requisitos de pruebas de resiliencia de DORA, pero mantiene relevancia para escenarios de continuidad del negocio no relacionados con TIC.
• AT 9 (Subcontratación) es complementado por el Artículo 28 de DORA (gestión de riesgos de terceros en TIC) para la subcontratación tecnológica, pero sigue siendo el marco principal para la subcontratación no relacionada con TIC.
• BTR 4 (Riesgo Operacional) continúa aplicándose a todos los riesgos operacionales, con DORA proporcionando especificidad adicional para los riesgos operacionales relacionados con TIC.

Las circulares complementarias BAIT (Bankaufsichtliche Anforderungen an die IT), ZAIT (Zahlungsdiensteaufsichtliche Anforderungen an die IT) y VAIT (Versicherungsaufsichtliche Anforderungen an die IT) -- referidas colectivamente como xAIT -- están siendo retiradas a medida que los estándares técnicos de implementación y regulación de DORA entran en plena vigencia. Esto simplifica el panorama regulatorio en algunos aspectos, pero requiere que los bancos re-mapeen sus controles de cumplimiento desde la estructura familiar de xAIT al marco de DORA.

La ISO 27001 sigue siendo un enfoque reconocido para demostrar el "estado del arte" en seguridad de TI que tanto MaRisk como DORA mencionan. Un ISMS certificado por ISO 27001 proporciona una base estructurada para cumplir con los requisitos técnicos de ambos marcos.

Los requisitos de CRR/CRD para la adecuación de capital y gestión de riesgos operan junto a MaRisk. MaRisk especifica cómo debe organizarse y operarse el marco de gestión de riesgos, mientras que CRR/CRD prescriben los requisitos cuantitativos de capital y liquidez. Juntos, forman el marco prudencial completo para los bancos alemanes.

Automatización del Cumplimiento con Matproof

El cumplimiento de MaRisk se trata fundamentalmente de demostrar que los procesos de gestión de riesgos no solo están diseñados, sino que realmente están operando de manera efectiva. La auditoría anual bajo la Sección 26 del KWG, las inspecciones rutinarias de BaFin y las inspecciones del Bundesbank requieren evidencia de que los requisitos de MaRisk se cumplen de manera continua -- no solo en un momento dado.

Matproof automatiza la recopilación de evidencia que hace posible esta demostración continua. La plataforma mapea los módulos de MaRisk a controles específicos y elementos de evidencia a través de las secciones AT y BT. Para los requisitos organizativos de AT 4.1, recopila evidencia de definiciones de roles, controles de acceso y segregación de funciones. Para AT 7.2/DORA, monitorea controles de seguridad de TI, procedimientos de respaldo y disponibilidad del sistema. Para la subcontratación de AT 9, rastrea la documentación de subcontratación, el cumplimiento de SLA y las evaluaciones de riesgo de proveedores.

La capacidad de la plataforma para cruzar marcos es particularmente valiosa dado la transición de MaRisk a DORA. Matproof mantiene mapeos entre MaRisk AT 7.2, los antiguos requisitos de BAIT y los artículos correspondientes de DORA. A medida que los bancos transitan del marco xAIT a DORA, la plataforma asegura que la evidencia recopilada bajo la antigua estructura esté correctamente mapeada a los nuevos requisitos, evitando brechas de cumplimiento durante el período de transición.

Para la auditoría anual de la Sección 26, Matproof genera paquetes de evidencia estructurados organizados por módulo de MaRisk. Los auditores reciben un rastro de evidencia claro y rastreable para cada requisito en lugar de una colección de documentos dispares. Esto reduce el tiempo de preparación de la auditoría de semanas a días y reduce significativamente el riesgo de hallazgos de auditoría causados por brechas de documentación en lugar de deficiencias reales de control.

Todos los datos de cumplimiento se almacenan en centros de datos alemanes con plena residencia de datos de la UE, cumpliendo con las expectativas de BaFin para la soberanía de datos y los requisitos de protección de datos que se aplican a la información sensible de gestión de riesgos que contiene la evidencia de MaRisk.

Hoja de Ruta de Implementación

Fase 1 (Semanas 1-4): Mapeo de MaRisk y Análisis de Brechas. Crear un mapeo completo de todos los requisitos de MaRisk aplicables a su institución, teniendo en cuenta el principio de proporcionalidad. Para cada módulo AT y BT, identificar el estado actual de cumplimiento y documentar cualquier brecha. Prestar especial atención al límite entre MaRisk y DORA -- determinar qué requisitos ahora son abordados por DORA y cuáles siguen siendo obligaciones puramente de MaRisk.

Fase 2 (Semanas 5-8): Alineación del Marco de Control. Alinear su marco de control interno con el mapeo de MaRisk. Asegurarse de que cada requisito de MaRisk tenga al menos un control, que cada control tenga evidencia definida y que la recopilación de evidencia esté automatizada o tenga un proceso manual claro con propiedad asignada. Abordar la transición de BAIT a DORA re-mapeando los controles de TI de la antigua estructura de BAIT a la estructura de artículos de DORA.

Fase 3 (Semanas 9-12): Implementación de Automatización. Desplegar la recopilación automatizada de evidencia para controles que pueden ser monitoreados electrónicamente. Conectar la plataforma de cumplimiento a la infraestructura de TI, sistemas de recursos humanos, sistemas de gestión de riesgos y repositorios de documentación de gobernanza. Configurar paneles que proporcionen a la dirección visibilidad en tiempo real del estado de cumplimiento de MaRisk.

Fase 4 (Continuo): Monitoreo Continuo y Preparación para Auditorías. Mantener la recopilación automatizada de evidencia durante todo el año. Realizar revisiones internas trimestrales del cumplimiento de MaRisk. Prepararse para la auditoría anual de la Sección 26 generando paquetes de evidencia preestructurados desde la plataforma de cumplimiento. Actualizar el mapeo de MaRisk cada vez que BaFin publique enmiendas a la circular o nuevas orientaciones de supervisión.

Preguntas Frecuentes

¿Se reemplazará MaRisk por DORA?

No. DORA reemplaza los componentes específicos de TIC de MaRisk (principalmente AT 7.2 y su especificación detallada a través de BAIT), pero MaRisk en su totalidad sigue en pleno vigor. Los requisitos organizativos generales (AT 1-6, AT 8-9), todos los módulos BTO para la organización del negocio de crédito y trading, y todos los módulos BTR para tipos de riesgos específicos continúan aplicándose sin cambios. MaRisk es el marco general de gestión de riesgos; DORA aborda el subconjunto específico de TIC dentro de ese marco.

¿Con qué frecuencia se audita MaRisk?

El cumplimiento de MaRisk se evalúa anualmente como parte de la auditoría externa de la Sección 26 del KWG. Además, BaFin y el Bundesbank realizan exámenes de supervisión rutinarios y especiales que incluyen la evaluación del cumplimiento de MaRisk. La frecuencia de los exámenes especiales depende del perfil de riesgo de la institución y de las prioridades de supervisión de BaFin. Las instituciones significativas bajo la supervisión directa del BCE están sujetas a inspecciones in situ coordinadas a través del marco del SSM, que también evalúan el cumplimiento de MaRisk.

¿Cuáles son las consecuencias del incumplimiento de MaRisk?

El incumplimiento de MaRisk resulta en hallazgos de supervisión (Feststellungen) que la institución debe remediar dentro de un plazo especificado por BaFin. El incumplimiento persistente puede escalar a medidas formales de supervisión bajo la Sección 25a(2) del KWG, incluyendo restricciones a las actividades comerciales, recargos de capital o requisitos para fortalecer la junta directiva. En casos severos, BaFin puede imponer multas administrativas bajo la Sección 49 del KWG de hasta 5 millones de EUR por violación. Los auditores externos de la Sección 26 están obligados a informar sobre deficiencias de MaRisk en su informe de auditoría, que BaFin revisa y puede actuar en consecuencia.

¿Cómo funciona el principio de proporcionalidad en la práctica?

El principio de proporcionalidad (Proportionalitatsprinzip) en MaRisk AT 1 significa que la implementación específica de cada requisito debe ser proporcional a la naturaleza, escala, complejidad y perfil de riesgo de la institución. Un pequeño banco de ahorros (Sparkasse) con operaciones bancarias minoristas sencillas implementa MaRisk de manera diferente a un gran banco universal con actividades de trading complejas. Sin embargo, la proporcionalidad no significa exención -- cada institución debe abordar el fondo de cada requisito de MaRisk. BaFin evalúa la proporcionalidad caso por caso durante los exámenes de supervisión y espera que las instituciones documenten su razonamiento sobre cómo han aplicado el principio.