:quality(50))
Erklärung: Was ist MaRisk?
Die Mindestanforderungen an das Risikomanagement (MaRisk) sind das zentrale Regelwerk der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) für Kredit- und Finanzdienstleistungsinstitute in Deutschland. Sie konkretisieren die Anforderungen des § 25a KWG (Kreditwesengesetz) und geben einen flexiblen, praxisnahen Rahmen für das Risikomanagement vor.
Bedeutung und Ziele der MaRisk
Schutz der Vermögenswerte und Interessen der Kunden
Sicherstellung der Risikotragfähigkeit des Instituts
Vermeidung von Interessenkonflikten und Compliance-Verstößen
Stärkung des internen Kontrollsystems (IKS) und der Governance-Strukturen
Funktionstrennung nach MaRisk: Was ist das und warum ist sie so wichtig?
Die Funktionstrennung ist ein zentrales Element des internen Kontrollsystems und in den Mindestanforderungen an das Risikomanagement explizit gefordert. Sie sorgt dafür, dass unvereinbare Tätigkeiten – wie beispielsweise die Initiierung und Kontrolle von Transaktionen – konsequent getrennt und von unterschiedlichen Personen ausgeführt werden. So wird Compliance gemäß MaRisk nachweisbar und Risiken werden messbar reduziert.
Ziele der Funktionstrennung
Vermeidung von Interessenkonflikten
Reduktion von Fehler- und Betrugsrisiken
Sicherstellung einer objektiven Risikobewertung
Nachweisbare Compliance gegenüber Aufsicht und Auditoren
Typische Beispiele
Geschäftsbereich | Funktionstrennung erforderlich zwischen | Ziel |
|---|---|---|
Kreditgeschäft | Markt (Vertrieb) und Marktfolge (Prüfung) | Unabhängige Kreditentscheidung |
Handelsgeschäft | Handel und Risikocontrolling / Abwicklung | Vermeidung von Manipulationen, unabhängige Kontrolle |
IT und Berechtigungen | Vergabe, Kontrolle und Rezertifizierung | Schutz vor unbefugtem Zugriff, Cybersecurity |
MaRisk, BAIT, VAIT und DORA: Wie greifen die Regelwerke ineinander?
MaRisk: Übergreifende Anforderungen an das Risikomanagement und die Organisation (inkl. SoD)
BAIT – Bankaufsichtliche Anforderungen an die IT: Ergänzung der MaRisk um spezifische IT-Anforderungen, insbesondere Identity Governance & Administration (IGA), Identity & Access Management (IAM) und Berechtigungsmanagement
VAIT – Versicherungsaufsichtliche Anforderungen an die IT: Ergänzung für Versicherungen, analog zu BAIT
DORA – Digital Operational Resilience Act: EU-weit verbindliche Anforderungen an die digitale Resilienz, insbesondere im IT- und Cyberbereich
Diese Regelwerke ergänzen sich und setzen auf eine durchgängige Funktionstrennung als zentrales Kontrollprinzip.
Gut zu wissen: Die Bedeutung von DORA wird zunehmen. Sie soll nämlich die BAIT und VAIT in den DORA-relevanten Bereichen ablösen sowie die MaRisk beim Thema IT-Resilienz ergänzen oder überlagern. Die BaFin gibt dazu bekannt: „Mit der unmittelbaren Geltung von Verordnung (EU) 2022/2554 (DORA) werden die BAIT und VAIT in den betroffenen Bereichen durch die europäischen Vorgaben ersetzt. Die BaFin wird die nationalen Regelungen entsprechend anpassen.“ 1
In einer anderen Meldung heißt es: „Durch das Finanzmarktdigitalisierungsgesetz (FinmadiG) wurde § 1a Absatz 2 KWG neu gefasst, wonach ab dem 1. Januar 2027 weitere Institute DORA anwenden müssen. Mit Ablauf des 31. Dezember 2026 werden die BAIT daher vollständig aufgehoben.“ 2
Funktionstrennung nach MaRisk effizient umsetzen
Ein Praxisbeispiel: Ein mittelständisches Kreditinstitut steht vor der Herausforderung, die MaRisk-Anforderungen an die Funktionstrennung in der IT umzusetzen. Die bisherige manuelle Dokumentation und Berechtigungsverwaltung ist fehleranfällig und bindet wertvolle Ressourcen.
Die Lösung
Einführung eines zentralen Identity Governance & Administration (IGA)-Systems wie Garancy
Aufbau einer SoD-Matrix zur Definition unvereinbarer Rechtekombinationen
Automatisierte Prüfung und Dokumentation von Berechtigungen
Regelmäßige Rezertifizierung und Mitarbeiterschulungen
Integration von Drittanwendungen in das zentrale Berechtigungskonzept
Nutzen
Reduzierung des manuellen Aufwands und der Prozesskosten
Nachweisbare Compliance gemäß MaRisk gegenüber Auditoren und Aufsicht
Geringere Risiken durch klare Verantwortlichkeiten und automatisierte Kontrollen
Herausforderungen und Lösungsansätze bei der Umsetzung
Typische Pain Points
Komplexe Prozesslandschaften und heterogene Systemlandschaften
Hoher manueller Dokumentationsaufwand
Fehlende Transparenz über Rollen und Berechtigungen
Widerstand gegen organisatorische Veränderungen
Best Practices
Frühzeitige Einbindung aller relevanten Stakeholder
Aufbau klarer Rollen- und Rechtekonzepte
Einsatz moderner IGA- und IAM-Lösungen
Kontinuierliche Schulung und Sensibilisierung der Mitarbeitenden
Nutzung von Öffnungsklauseln für kleinere Institute zur flexiblen Umsetzung
Fazit: Funktionstrennung als Schlüssel zu Audit-Sicherheit und resilienten Prozessen
Die MaRisk-konforme Funktionstrennung ist kein Selbstzweck, sondern ein wirksames Instrument zur Risikominimierung, Compliance-Sicherung und Prozessoptimierung. Gerade in Zeiten von Digitalisierung und Fachkräftemangel bieten moderne IGA- und IAM-Lösungen die Chance, Aufwand und Kosten zu senken – und gleichzeitig die Anforderungen der Aufsicht nachhaltig zu erfüllen.
Beratung von unseren Experten erhalten
Sie möchten wissen, wie Sie die MaRisk-Anforderungen an die Funktionstrennung in Ihrem Unternehmen effizient und audit-sicher umsetzen können? Lassen Sie sich unverbindlich von unseren IAM-Experten beraten – wählen Sie dafür die gewünschte Ansprechperson und anschließend einen für Sie passenden Termin aus. Wir freuen uns auf den Austausch!
Referenzen:
1 BaFin: „Für wen gelten die BAIT jetzt (seit dem 17.01.2025) noch?“, unter: https://www.bafin.de/ref/19800000 (07.11.2025)
2 BaFin: „DORA kommt: Änderungen bei den aufsichtlichen Anforderungen an die IT“, unter: https://www.bafin.de/ref/19779986 (07.11.2025)
:quality(50))
:quality(50))
:quality(50))
:quality(50))