AT 4.3.3 WpI MaRisk – Schlankes Risikomanagement & wirksame Stresstests
AT 4.3.3 regelt, wie Du Risiken identifizierst, bewertest und durch Stresstests absicherst.
Für kleine Institute bedeutet das: Du kannst hier viel vereinfachen – solange Deine Wesentlichkeitsprüfung (siehe Artikel 2) solide ist.
Mittlere Institute haben etwas mehr Pflichten, können diese aber gezielt skalieren.
| Abschnitt/Thema | Kernaussage | Kleine WpI | Mittlere WpI | To-do / Nachweis |
|---|---|---|---|---|
| 1) Zielsetzung BaFin | Frühwarnsystem, Schockvermeidung durch Szenarien, Proportionalität | Vereinfachen ist erlaubt – solide Wesentlichkeitsprüfung nötig | Erhöhte Tiefe, aber skalierbar nach Risiko & Komplexität | Grundsatzpapier zu AT 4.3.3 mit Proportionalitätsbegründung |
| 2) Risikoinventur | Systematische Erfassung wesentlicher Risiken | 1× jährlich; Fokus auf wesentliche Risiken | Laufende Erfassung + jährliche Vollinventur | Risikoinventar, Materialitätskriterien (AT 2.2) |
| 2) Stresstests | Szenarien zur Beurteilung der Widerstandsfähigkeit | Einfache Einzelszenarien (z. B. IT-Ausfall, Umsatzrückgang) | Quantitative Modelle/Mehrfach-Szenarien (Kombi-Schocks) | Stresstestplan, Ergebnisse, Maßnahmenpläne |
| 2) Dokumentation | Nachvollziehbarkeit & Prüfungsfestigkeit | Kurzbericht: Szenario, Ergebnis, Maßnahmen | Detailberichte: Methodik, Annahmen, Berechnungen, Ableitungen | Versionierung, Freigaben, Revisionsspur |
| 2) Frequenz | Regelmäßigkeit + Anlassbezug | Mind. jährlich; ad hoc bei Änderungen | Mind. jährlich; quartalsweise Updates wesentlicher Risiken | Jahresplan + Anlass-Trigger (Schwellen/KRI) |
| 2) Interne Kommunikation | Managementeinbindung sicherstellen | Direkt an Geschäftsleitung berichten | Regelberichte an Geschäftsleitung & Risikokomitee | GL-Protokolle, Komitee-Minutes |
| 3) Schritt 1 – Auswahl | Wesentlichkeit filtert Prüfungsumfang | Nur wesentliche Risiken in das Programm | Gleiches Prinzip, aber breiter & datenbasiert (KRI) | AT 2.2-Nachweis, Materialitäts-Memo |
| 3) Schritt 2 – Szenarien | Klar, plausibel, institutsspezifisch | Max. 3–5 einfache Szenarien/Jahr | Mehrdimensionale Szenarien inkl. Markt & Liquidität | Szenario-Steckbriefe mit Parametern |
| 3) Schritt 3 – Wirkung | Auswirkungen qualitativ/quantitativ abschätzen | Qualitativ + grobe €/%-Schätzung optional | Quant-Auswertung, Verlustwahrscheinlichkeiten | Impact-Tabellen, Sensitivitäten |
| 3) Schritt 4 – Maßnahmen | Konkrete Steuerungsimpulse | Notfallpläne, Limits, Kreditlinien anpassen | Kapitalmaßnahmen, Pufferstrategie, Eskalationswege | Maßnahmenplan mit Verantwortlichen & Terminen |
| 3) Schritt 5 – Dokumentieren | Prüfungssichere Ablage | Muster-Tabelle (Risiko, Szenario, Wirkung, Maßnahme …) | Berichte für GL/Risikokomitee, SREP-fähig | Doku-Checkliste, Ablageordnung |
| 4) Mittlere WpI – erweitert | ILAAP-Anbindung & Governance | — | Lfd. Monitoring (KRI), Kombi-Szenarien, ICAAP/ILAAP-Integration | ILAAP-Handbuch, Reporting-Kalender |
| 5) Typische Fehler | Unproportional, zu komplex, ohne Maßnahmen & Rückkopplung | „Keep it simple“, Auswahl begründen | Praxis statt „Papierübung“, Anlass-Stresstests | Lessons-Learned-Log, Abstellmaßnahmen |
| 6) Schnittstellen | Verzahnung mit anderen AT-Bereichen | AT 2.2 (Wesentlichkeit), AT 7 (Notfall) | AT 4.1 (Kapitalplanung), ICAAP/ILAAP | Mapping-Tabelle AT 2.2 / AT 4.1 / AT 7 |
| 7) Praxis-Tipp (klein) | Einfach, aber prüfungssicher | 3–5 Szenarien, klare Begründung, GL-Protokoll | — | Vorlage: Szenario-Steckbrief & Maßnahmenplan |
| 8) Fazit | Wesentlichkeit + klare Szenarien + Maßnahmen = wirksame Steuerung | Ressourcenschonend & proportional | Skaliert & SREP-tauglich | Jährlicher Review, KPIs & Trigger festlegen |
1. Zielsetzung der BaFin bei AT 4.3.3
-
Frühwarnsystem für Risiken
-
Vermeidung von Schocks durch Szenario-Analysen
-
Proportionalität: Aufwand muss zur Größe, Komplexität und Risikostruktur passen
2. Kleine vs. mittlere Institute – die Kernunterschiede
| Kriterium | Kleine Wertpapierinstitute | Mittlere Wertpapierinstitute |
|---|---|---|
| Risikoinventur | 1× jährlich, Fokus auf wesentliche Risiken | Laufende Risikoerfassung + jährliche Vollinventur |
| Stresstests | Nur für wesentliche Risiken, einfache Szenarien (z. B. Umsatzrückgang, IT-Ausfall) | Für alle wesentlichen Risiken, quantitative Modelle oder Szenario-Kombinationen |
| Dokumentationspflicht | Kurzbericht mit Szenario-Beschreibung, Ergebnis & Handlungsempfehlung | Detaillierte Berichte inkl. Methodik, Annahmen, Berechnungen und Ableitungen |
| Frequenz | Min. jährlich, ad hoc bei gravierenden Änderungen | Min. jährlich, quartalsweise Updates bei wesentlichen Risiken |
| Interne Kommunikation | Direkter Bericht an Geschäftsleitung | Regelmäßige Berichte an Geschäftsleitung + Risikokomitee |
Schritt 1 – Risiken auswählen
Nutze Deine Wesentlichkeitsprüfung (AT 2.2) als Filter:
-
Nur Risiken, die wesentlich eingestuft sind, kommen ins Stresstest-Programm.
Schritt 2 – Einfache Szenarien definieren
-
Beispiel Marktpreisrisiko: Kursrückgang von 20 % innerhalb eines Monats
-
Beispiel Liquiditätsrisiko: Umsatzrückgang von 30 % in 3 Monaten
-
Beispiel IT-Risiko: Systemausfall von 2 Tagen während Hauptgeschäftszeit
Schritt 3 – Auswirkungen abschätzen
-
Qualitativ: Welche Prozesse, Kunden, Umsätze sind betroffen?
-
Quantitativ (optional): Grobe Schadensschätzung in EUR oder % vom Ergebnis
Schritt 4 – Maßnahmen ableiten
-
Sofortmaßnahmen (Notfallpläne)
-
Präventive Anpassungen (z. B. Notfall-IT, Kreditlinien)
-
Anpassung von Limits
Schritt 5 – Dokumentieren
Muster für kleine Institute:
| Risiko | Szenario | Auswirkung | Maßnahme | Datum | Verantwortlich |
|---|---|---|---|---|---|
| IT-Ausfall | 2 Tage Downtime | Verzögerung von Kundenaufträgen, Reputationsschaden | Redundante Serverstruktur prüfen | 15.07.2025 | IT-Leiter |
| Umsatzrückgang | -30 % in Q4 | Verlust von 200 TEUR, Liquiditätsreserve belastet | Marketingbudget kürzen, Kreditlinie anpassen | 15.07.2025 | CFO |
4. Umsetzung für mittlere Institute – die erweiterten Anforderungen
-
Risikoidentifikation: Laufendes Monitoring, z. B. über Key Risk Indicators (KRI)
-
Mehrdimensionale Szenarien: Kombination mehrerer Risiken (z. B. Marktcrash + Liquiditätsengpass)
-
Quantitative Simulationen: Nutzung von Modellen zur Berechnung von Verlustwahrscheinlichkeiten
-
Regelmäßige Berichte: Vorlage im Risikokomitee, Integration in ICAAP
-
Ableitung von Kapitalmaßnahmen: Verbindung zur Kapitalplanung (AT 4.1)
5. Typische Fehler – und wie Du sie vermeidest
❌ Alles testen, ohne Wesentlichkeit zu prüfen → unnötiger Aufwand, nicht proportional
❌ Szenarien zu komplex → kleine Institute verlieren Fokus, Ergebnisse werden unverständlich
❌ Keine klare Ableitung von Maßnahmen → BaFin sieht Stresstests als „Papierübung“
❌ Ergebnisse nicht ins Risikomanagement zurückgespielt → keine Steuerungswirkung
6. Schnittstellen zu anderen MaRisk-Bereichen
-
AT 2.2 Wesentlichkeit → Filtert, welche Risiken getestet werden
-
AT 4.1 Kapitalplanung → Stresstestergebnisse fließen in Kapitalpuffer ein
-
AT 7 Notfallmanagement → Szenarien können als Grundlage für Notfallübungen dienen
7. Praxis-Tipp für kleine Institute
💡 Keep it simple – aber prüfungssicher:
-
Max. 3–5 Szenarien pro Jahr
-
Klare, verständliche Begründung der Auswahl
-
Direkte Verknüpfung zu Maßnahmen & Verantwortlichkeiten
-
Ergebnisse immer in der nächsten Geschäftsleitungssitzung protokollieren
8. Fazit
Mit AT 4.3.3 gibt Dir die BaFin ein Werkzeug in die Hand, um Risiken gezielt zu prüfen und steuernd einzugreifen – ohne dass Du als kleines Institut unnötige Ressourcen verschwendest.
Der Schlüssel liegt in der Verknüpfung von Wesentlichkeit, klaren Szenarien und praktischen Maßnahmen.