MaRisk Vereisten in 2026: Minimale Vereisten voor Risicobeheer

Inleiding

BaFin's MaRisk -- Mindestanforderungen an das Risikomanagement -- is het meest invloedrijke toezichthoudende document dat bepaalt hoe Duitse banken risico's beheren. Voor het eerst gepubliceerd in 2005 en bijgewerkt door zeven belangrijke herzieningen (meest recent de 7e MaRisk wijziging in 2023), definieert deze circulaire de minimale vereisten voor risicobeheer bij kredietinstellingen en financiële dienstverleners onder KWG Sectie 25a. Elke bank die in Duitsland opereert, ongeacht grootte of complexiteit, moet voldoen aan MaRisk. Het is de standaard waaraan BaFin-auditors, Bundesbank-examinatoren en externe auditors onder Sectie 26 KWG de adequaatheid van het risicobeheerframework van een bank beoordelen.

In 2026 neemt MaRisk een unieke positie in het Duitse regelgevingslandschap in. DORA heeft EU-brede vereisten voor ICT-risicobeheer geïntroduceerd die gedeeltelijk overlappen met en in sommige gebieden de technologiegerelateerde modules van MaRisk en zijn bijbehorende circulaires (BAIT, ZAIT, VAIT) vervangen. BaFin heeft bevestigd dat BAIT zal worden ingetrokken en dat de uitvoerende technische normen van DORA voor ICT-specifieke vereisten voorrang zullen hebben. MaRisk zelf blijft echter volledig van kracht voor alle niet-ICT risicobeheervereisten, en het algemene organisatorische kader blijft de structurele basis bieden waarbinnen de ICT-vereisten van DORA functioneren. Begrijpen wat MaRisk in 2026 vereist -- en wat het niet langer dekt omdat DORA het heeft overgenomen -- is essentieel voor elk compliance-team bij een Duitse bank.

Wat is MaRisk?

MaRisk is een BaFin-circulaire (Rundschreiben) die de vereisten van KWG Sectie 25a specificeert met betrekking tot de juiste bedrijfsorganisatie van kredietinstellingen. Hoewel het technisch gezien een administratieve interpretatie is en geen wet, wordt MaRisk als bindend behandeld in de toezichthoudende praktijk. BaFin-auditors beoordelen de naleving van MaRisk tijdens routinematige en speciale onderzoeken, en externe auditors evalueren de naleving van MaRisk als onderdeel van de jaarlijkse audit onder KWG Sectie 26.

MaRisk is gestructureerd in twee hoofdonderdelen:

AT (Allgemeiner Teil -- Algemeen Deel): Vestigt het overkoepelende kader voor risicobeheer, inclusief governance, strategie, risicobereidheid, organisatiestructuur en algemene vereisten voor processen, IT-systemen en documentatie.

BT (Besonderer Teil -- Specifiek Deel): Bevat gedetailleerde vereisten voor specifieke risicotypes en bedrijfsfuncties, georganiseerd in BTO (Besonderer Teil Organisation -- organisatorische vereisten) en BTR (Besonderer Teil Risikosteuerung und -controlling -- risicobeheer en controlling vereisten).

De 7e MaRisk wijziging (november 2023) heeft verschillende belangrijke wijzigingen opgenomen: verbeterde vereisten voor ESG (Environmental, Social, and Governance) risicobeheer, bijgewerkte verwachtingen voor gegevensaggregatie en risicorapportage (afgestemd op BCBS 239), versterkte uitbestedingsvereisten en aanpassingen om het opkomende DORA-kader weer te geven. Deze wijzigingen weerspiegelen de evoluerende verwachtingen van zowel BaFin als het ECB's Single Supervisory Mechanism.

MaRisk is van toepassing op alle kredietinstellingen en financiële dienstverleners in Duitsland onder het proportionaliteitsprincipe (Proportionalitatsprinzip). Dit betekent dat de specifieke uitvoering van elke vereiste kan variëren op basis van de grootte, complexiteit, risicoprofiel en bedrijfsmodel van de instelling. Een grote universele bank zal MaRisk anders implementeren dan een kleine gespecialiseerde kredietinstelling, maar beide moeten de inhoud van elke vereiste aanpakken.

Belangrijke Vereisten

AT -- Algemene Vereisten

AT 1 -- Voorlopige Opmerking en Toepassingsgebied (Vorbemerkung): Vestigt het toepassingsgebied van MaRisk en het proportionaliteitsprincipe. Alle vereisten moeten op een manier worden geïmplementeerd die geschikt is voor de aard, schaal, complexiteit en het risicoprofiel van de instelling.

AT 2 -- Algemene Verantwoordelijkheid van het Management (Gesamtverantwortung der Geschaftsleitung): De raad van bestuur (Geschaftsleitung) draagt de algemene verantwoordelijkheid voor risicobeheer. Het moet een coherente bedrijfsstrategie en een consistente risicostrategie afgeleid daarvan definiëren. De raad van bestuur moet het risicoprofiel van de instelling begrijpen en ervoor zorgen dat het risicobeheerframework adequaat is.

AT 3 -- Risicobeheer (Risikomanagement): Vereist een uitgebreid risicobeheerframework dat alle materiële risico's dekt. Het framework moet processen voor risico-identificatie, -meting, -aggregatie, -monitoring en -rapportage omvatten. Het interne proces voor de beoordeling van de kapitaaladequaatheid (ICAAP) moet aantonen dat de instelling voldoende kapitaal aanhoudt voor haar risicoprofiel. AT 3 behandelt ook de risicocultuur en de verwachting dat risicobewustzijn in de hele organisatie is ingebed.

AT 4 -- Organisatorische en Operationele Structuur (Aufbau- und Ablauforganisation):

• AT 4.1 -- Organisatorische Richtlijnen: Vereist duidelijke organisatorische structuren met gedefinieerde verantwoordelijkheden en bevoegdheden. Het "drie lijnen van verdediging" model wordt verwacht: bedrijfsfuncties als de eerste lijn, risicobeheer en compliance als de tweede lijn, en interne audit als de derde lijn.

• AT 4.2 -- Risicobeheer en Controlling Functie: Een onafhankelijke risicocontrolling functie is verplicht. Deze moet directe toegang hebben tot de raad van bestuur en mag niet ondergeschikt zijn aan het management van de bedrijfsfuncties.

• AT 4.3 -- Interne Audit (Interne Revision): De interne auditfunctie moet onafhankelijk, adequaat gefinancierd en alle activiteiten en processen dekken. Het moet risicogebaseerde auditplanning uitvoeren en rechtstreeks rapporteren aan de volledige raad van bestuur.

• AT 4.4 -- Speciale Functies: Bevat vereisten voor de compliancefunctie (AT 4.4.2), die onafhankelijk moet zijn en over adequate middelen moet beschikken, en de functie voor gegevensbescherming.

AT 5 -- Risicobereidheid Framework (Risikoappetit): Meer prominent geïntroduceerd in de 7e wijziging, vereist dit dat instellingen hun risicobereidheid in kwantitatieve en kwalitatieve termen definiëren, goedgekeurd door de raad van bestuur en continu worden gemonitord.

AT 7 -- Middelen (Ressourcen):

• AT 7.1 -- Personeel: Voldoende personeel in zowel kwantiteit als kwaliteit voor alle risicobeheerfuncties.
• AT 7.2 -- Technische en Organisatorische Middelen: Dit is de module die het meest direct door DORA wordt beïnvloed. Het dekte historisch IT-beveiliging, gegevensintegriteit, continuïteitsplanning en IT-risicobeheer. Met DORA nu van kracht, heeft BaFin aangegeven dat de IT-specifieke vereisten van AT 7.2 zullen worden geïnterpreteerd door de lens van DORA's Artikelen 5-16, en BAIT (dat AT 7.2 verder specificeerde) zal worden ingetrokken.
• AT 7.3 -- Continuïteitsplanning: Vereist bedrijfscontinuïteitsbeheer, inclusief bedrijfsimpactanalyse, continuïteitsplannen en regelmatige tests. Deze module heeft interactie met DORA's vereisten voor veerkrachtstests onder Artikelen 24-27.

AT 9 -- Uitbesteding (Auslagerungen): Uitgebreide vereisten voor het risicobeheer van uitbesteding, inclusief risicobeoordeling vóór uitbesteding, contractuele vereisten, voortdurende monitoring en exitstrategieën. De 7e wijziging heeft deze vereisten versterkt en afgestemd op de uitbestedingsrichtlijnen van de EBA. DORA Artikel 28 voegt verdere vereisten toe voor ICT-derde partijen die AT 9 aanvullen.

BTO -- Organisatorische Vereisten

BTO 1 -- Kredietbedrijf (Kreditgeschaft): Gedetailleerde vereisten voor de organisatie van kredietbedrijf, inclusief scheiding van front office en back office (Markt und Marktfolge), kredietgoedkeuringsprocessen, kredietmonitoring en probleemleningenbeheer. Dit is een van de meest gedetailleerde modules in MaRisk.

BTO 2 -- Handelsbedrijf (Handelsgeschaft): Vereisten voor handelsactiviteiten, inclusief de scheiding van front office, back office en risicocontrolling, mark-to-market waardering en handelslimieten.

BTR -- Risicobeheer en Controlling

BTR 1 -- Tegenpartij- en Kredietrisico (Adressenausfallrisiken): Vereisten voor kredietrisico-identificatie, -meting en -monitoring, inclusief portfoliomanagement, concentratierisico en landenrisico.

BTR 2 -- Marktprijsrisico (Marktpreisrisiken): Vereisten voor markt risicobeheer, inclusief VaR-modellen, stresstests en limietsysteem.

BTR 3 -- Liquiditeitsrisico (Liquiditatsrisiken): Vereisten voor liquiditeitsrisicobeheer, inclusief financieringsplannen, liquiditeitsbuffers en stresstests over verschillende tijdshorizonten.

BTR 4 -- Operationeel Risico (Operationelle Risiken): Vereisten voor het identificeren, beoordelen en beheren van operationele risico's, inclusief verliesgegevensverzameling, scenarioanalyse en risicovoorzieningen.

Relatie tot DORA en Andere Kaders

De interactie tussen MaRisk en DORA is de belangrijkste regelgevende ontwikkeling voor Duitse banken in 2026. Het belangrijkste principe is dat DORA voorrang heeft voor ICT-gerelateerde vereisten, terwijl MaRisk gezaghebbend blijft voor alle andere vereisten voor risicobeheer.

Specifiek:

• AT 7.2 (Technische en Organisatorische Middelen) en BAIT worden vervangen door DORA Artikelen 5-16 (ICT-risicobeheerframework), Artikelen 17-23 (ICT-incidentrapportage) en Artikelen 24-27 (digitale operationele veerkrachtstests).
• AT 7.3 (Continuïteitsplanning) overlapt met DORA's vereisten voor veerkrachtstests, maar blijft relevant voor niet-ICT bedrijfscontinuïteitsscenario's.
• AT 9 (Uitbesteding) wordt aangevuld door DORA Artikel 28 (ICT-derde partij risicobeheer) voor technologie-uitbesteding, maar blijft het primaire kader voor niet-ICT uitbesteding.
• BTR 4 (Operationeel Risico) blijft van toepassing voor alle operationele risico's, met DORA die extra specificiteit biedt voor ICT-gerelateerde operationele risico's.

De bijbehorende circulaires BAIT (Bankaufsichtliche Anforderungen an die IT), ZAIT (Zahlungsdiensteaufsichtliche Anforderungen an die IT) en VAIT (Versicherungsaufsichtliche Anforderungen an die IT) -- gezamenlijk aangeduid als xAIT -- worden ingetrokken naarmate DORA's uitvoerende en regelgevende technische normen volledig van kracht worden. Dit vereenvoudigt het regelgevingslandschap op sommige manieren, maar vereist dat banken hun compliancecontroles opnieuw in kaart brengen van de vertrouwde xAIT-structuur naar DORA's kader.

ISO 27001 blijft een erkende benadering voor het aantonen van de "staat van de techniek" IT-beveiliging waar zowel MaRisk als DORA naar verwijzen. Een ISO 27001-gecertificeerd ISMS biedt een gestructureerde basis voor het voldoen aan de technische vereisten van beide kaders.

CRR/CRD vereisten voor kapitaaladequaatheid en risicobeheer opereren naast MaRisk. MaRisk specificeert hoe het risicobeheerframework georganiseerd en uitgevoerd moet worden, terwijl CRR/CRD de kwantitatieve kapitaal- en liquiditeitsvereisten voorschrijven. Samen vormen ze het volledige prudentiële kader voor Duitse banken.

Compliance Automatisering met Matproof

De naleving van MaRisk draait in wezen om het aantonen dat risicobeheerprocessen niet alleen zijn ontworpen, maar ook daadwerkelijk effectief functioneren. De jaarlijkse audit onder KWG Sectie 26, reguliere BaFin-onderzoeken en Bundesbank-inspecties vereisen allemaal bewijs dat aan de MaRisk-vereisten wordt voldaan op een doorlopende basis -- niet alleen op een bepaald moment.

Matproof automatiseert de bewijsverzameling die deze voortdurende demonstratie mogelijk maakt. Het platform koppelt MaRisk-modules aan specifieke controles en bewijsitems in de AT- en BT-secties. Voor AT 4.1 organisatorische vereisten verzamelt het bewijs van roldefinities, toegangscontroles en scheiding van taken. Voor AT 7.2/DORA monitort het IT-beveiligingscontroles, back-upprocedures en systeembeschikbaarheid. Voor AT 9 uitbesteding volgt het de documentatie van uitbesteding, SLA-naleving en leveranciersrisicobeoordelingen.

De cross-framework functionaliteit van het platform is bijzonder waardevol gezien de MaRisk-DORA overgang. Matproof onderhoudt koppelingen tussen MaRisk AT 7.2, de voormalige BAIT-vereisten en de bijbehorende DORA-artikelen. Terwijl banken overstappen van de xAIT-structuur naar DORA, zorgt het platform ervoor dat bewijs dat onder de oude structuur is verzameld correct wordt gekoppeld aan de nieuwe vereisten, waardoor compliance-gaten tijdens de overgangsperiode worden vermeden.

Voor de jaarlijkse audit onder Sectie 26 genereert Matproof gestructureerde bewijs pakketten georganiseerd per MaRisk-module. Auditors ontvangen een duidelijk, traceerbaar bewijs spoor voor elke vereiste in plaats van een verzameling van verschillende documenten. Dit vermindert de tijd voor auditvoorbereiding van weken tot dagen en vermindert aanzienlijk het risico op auditbevindingen veroorzaakt door documentatiegaten in plaats van daadwerkelijke controle tekortkomingen.

Alle compliance-gegevens worden opgeslagen in Duitse datacenters met volledige EU-gegevensresidentie, wat voldoet aan de verwachtingen van BaFin voor gegevenssoevereiniteit en de vereisten voor gegevensbescherming die van toepassing zijn op de gevoelige risicobeheerinformatie die MaRisk-bewijs bevat.

Implementatie Roadmap

Fase 1 (Weken 1-4): MaRisk Mapping en Gap Analyse. Maak een uitgebreide mapping van alle MaRisk-vereisten die van toepassing zijn op uw instelling, rekening houdend met het proportionaliteitsprincipe. Voor elke AT- en BT-module, identificeer de huidige staat van naleving en documenteer eventuele hiaten. Besteed bijzondere aandacht aan de grens tussen MaRisk en DORA -- bepaal welke vereisten nu door DORA worden behandeld en welke puur MaRisk-verplichtingen blijven.

Fase 2 (Weken 5-8): Afstemming van het Controle Framework. Stem uw interne controleframework af op de MaRisk-mapping. Zorg ervoor dat elke MaRisk-vereiste ten minste één controle heeft, dat elke controle gedefinieerd bewijs heeft, en dat de bewijsverzameling ofwel geautomatiseerd is of een duidelijk handmatig proces heeft met toegewezen eigenaarschap. Behandel de BAIT-naar-DORA overgang door IT-controles opnieuw in kaart te brengen van de voormalige BAIT-structuur naar DORA's artikelstructuur.

Fase 3 (Weken 9-12): Implementatie van Automatisering. Implementeer geautomatiseerde bewijsverzameling voor controles die elektronisch kunnen worden gemonitord. Verbind het complianceplatform met IT-infrastructuur, HR-systemen, risicobeheersystemen en repositories voor governance-documentatie. Configureer dashboards die het management real-time inzicht geven in de status van MaRisk-naleving.

Fase 4 (Doorlopend): Continue Monitoring en Auditgereedheid. Onderhoud geautomatiseerde bewijsverzameling het hele jaar door. Voer kwartaal interne beoordelingen van MaRisk-naleving uit. Bereid u voor op de jaarlijkse audit onder Sectie 26 door vooraf gestructureerde bewijs pakketten te genereren vanuit het complianceplatform. Werk de MaRisk-mapping bij telkens wanneer BaFin circulaire wijzigingen of nieuwe toezichthoudende richtlijnen publiceert.

FAQ

Zal MaRisk worden vervangen door DORA?

Nee. DORA vervangt de ICT-specifieke componenten van MaRisk (voornamelijk AT 7.2 en de gedetailleerde specificatie ervan via BAIT), maar MaRisk als geheel blijft volledig van kracht. De algemene organisatorische vereisten (AT 1-6, AT 8-9), alle BTO-modules voor krediet- en handelsorganisatie, en alle BTR-modules voor specifieke risicotypes blijven zonder wijziging van toepassing. MaRisk is het overkoepelende risicobeheerframework; DORA behandelt de ICT-specifieke subset binnen dat framework.

Hoe vaak wordt MaRisk geaudit?

De naleving van MaRisk wordt jaarlijks beoordeeld als onderdeel van de externe audit onder KWG Sectie 26. Daarnaast voeren BaFin en de Bundesbank routinematige en speciale toezichthoudende onderzoeken uit die de beoordeling van de naleving van MaRisk omvatten. De frequentie van speciale onderzoeken hangt af van het risicoprofiel van de instelling en de toezichthoudende prioriteiten van BaFin. Belangrijke instellingen onder directe supervisie van de ECB zijn onderworpen aan on-site inspecties die worden gecoördineerd via het SSM-kader, dat ook de naleving van MaRisk beoordeelt.

Wat zijn de gevolgen van niet-naleving van MaRisk?

Niet-naleving van MaRisk resulteert in toezichthoudende bevindingen (Feststellungen) die de instelling binnen een door BaFin gespecificeerde termijn moet verhelpen. Aanhoudende niet-naleving kan escaleren naar formele toezichthoudende maatregelen onder KWG Sectie 25a(2), inclusief beperkingen op bedrijfsactiviteiten, kapitaaltoeslagen of vereisten om de raad van bestuur te versterken. In ernstige gevallen kan BaFin administratieve boetes opleggen onder KWG Sectie 49 van maximaal EUR 5 miljoen per overtreding. Externe auditors onder Sectie 26 zijn verplicht om tekortkomingen in MaRisk in hun auditrapport te rapporteren, dat door BaFin wordt beoordeeld en waarop actie kan worden ondernomen.

Hoe werkt het proportionaliteitsprincipe in de praktijk?

Het proportionaliteitsprincipe (Proportionalitatsprinzip) in MaRisk AT 1 betekent dat de specifieke uitvoering van elke vereiste in verhouding moet staan tot de aard, schaal, complexiteit en het risicoprofiel van de instelling. Een kleine spaarbank (Sparkasse) met eenvoudige retailbankactiviteiten implementeert MaRisk anders dan een grote universele bank met complexe handelsactiviteiten. Echter, proportionaliteit betekent niet vrijstelling -- elke instelling moet de inhoud van elke MaRisk-vereiste aanpakken. BaFin evalueert proportionaliteit op basis van individuele gevallen tijdens toezichthoudende onderzoeken en verwacht dat instellingen hun redenering documenteren voor hoe zij het principe hebben toegepast.