WpI MaRisk AT 4.3.3 – Risikomanagement & Stresstests: Schlank, wirksam, BaFin-konform

Für kleine Institute bedeutet das: Du kannst hier viel vereinfachen – solange Deine Wesentlichkeitsprüfung (siehe Artikel 2) solide ist.

Mittlere Institute haben etwas mehr Pflichten, können diese aber gezielt skalieren.

ABSCHNITT/THEMA   /   KERNAUSSAGE   /   KLEINE WPI   /   MITTLERE WPI   /   TO-DO/NACHWEIS

1) Zielsetzung BaFin
– Frühwarnsystem, Schockvermeidung durch Szenarien, Proportionalität
– Vereinfachen ist erlaubt – solide Wesentlichkeitsprüfung nötig
– Erhöhte Tiefe, aber skalierbar nach Risiko & Komplexität
– Grundsatzpapier zu AT 4.3.3 mit Proportionalitätsbegründung

2) Risikoinventur
– Systematische Erfassung wesentlicher Risiken
– 1× jährlich; Fokus auf wesentliche Risiken
– Laufende Erfassung + jährliche Vollinventur
– Risikoinventar, Materialitätskriterien (AT 2.2)

2) Stresstests
– Szenarien zur Beurteilung der Widerstandsfähigkeit
– Einfache Einzelszenarien (z. B. IT-Ausfall, Umsatzrückgang)
– Quantitative Modelle/Mehrfach-Szenarien (Kombi-Schocks)
– Stresstestplan, Ergebnisse, Maßnahmenpläne

2) Dokumentation
– Nachvollziehbarkeit & Prüfungsfestigkeit
– Kurzbericht: Szenario, Ergebnis, Maßnahmen
– Detailberichte: Methodik, Annahmen, Berechnungen, Ableitungen
– Versionierung, Freigaben, Revisionsspur

2) Frequenz
– Regelmäßigkeit + Anlassbezug
– Mind. jährlich; ad hoc bei Änderungen
– Mind. jährlich; quartalsweise Updates wesentlicher Risiken
– Jahresplan + Anlass-Trigger (Schwellen/KRI)

2) Interne Kommunikation
– Managementeinbindung sicherstellen
– Direkt an Geschäftsleitung berichten
– Regelberichte an Geschäftsleitung & Risikokomitee
– GL-Protokolle, Komitee-Minutes

3) Schritt 1 – Auswahl
– Wesentlichkeit filtert Prüfungsumfang
– Nur wesentliche Risiken in das Programm
– Gleiches Prinzip, aber breiter & datenbasiert (KRI)
– AT 2.2-Nachweis, Materialitäts-Memo

3) Schritt 2 – Szenarien
– Klar, plausibel, institutsspezifisch
– Max. 3–5 einfache Szenarien/Jahr
– Mehrdimensionale Szenarien inkl. Markt & Liquidität
– Szenario-Steckbriefe mit Parametern

3) Schritt 3 – Wirkung
– Auswirkungen qualitativ/quantitativ abschätzen
– Qualitativ + grobe €/%-Schätzung optional
– Quant-Auswertung, Verlustwahrscheinlichkeiten
– Impact-Tabellen, Sensitivitäten

3) Schritt 4 – Maßnahmen
– Konkrete Steuerungsimpulse
– Notfallpläne, Limits, Kreditlinien anpassen
– Kapitalmaßnahmen, Pufferstrategie, Eskalationswege
– Maßnahmenplan mit Verantwortlichen & Terminen

3) Schritt 5 – Dokumentieren
– Prüfungssichere Ablage
– Muster-Tabelle (Risiko, Szenario, Wirkung, Maßnahme …)
– Berichte für GL/Risikokomitee, SREP-fähig
– Doku-Checkliste, Ablageordnung

4) Mittlere WpI – erweitert
– ILAAP-Anbindung & Governance
– —
– Lfd. Monitoring (KRI), Kombi-Szenarien, ICAAP/ILAAP-Integration
– ILAAP-Handbuch, Reporting-Kalender

5) Typische Fehler
– Unproportional, zu komplex, ohne Maßnahmen & Rückkopplung
– „Keep it simple“, Auswahl begründen
– Praxis statt „Papierübung“, Anlass-Stresstests
– Lessons-Learned-Log, Abstellmaßnahmen

6) Schnittstellen
– Verzahnung mit anderen AT-Bereichen
– AT 2.2 (Wesentlichkeit), AT 7 (Notfall)
– AT 4.1 (Kapitalplanung), ICAAP/ILAAP
– Mapping-Tabelle AT 2.2 / AT 4.1 / AT 7

7) Praxis-Tipp (klein)
– Einfach, aber prüfungssicher
– 3–5 Szenarien, klare Begründung, GL-Protokoll
– —
– Vorlage: Szenario-Steckbrief & Maßnahmenplan

8) Fazit
– Wesentlichkeit + klare Szenarien + Maßnahmen = wirksame Steuerung
– Ressourcenschonend & proportional
– Skaliert & SREP-tauglich
– Jährlicher Review, KPIs & Trigger festlegen

1. Zielsetzung der BaFin bei AT 4.3.3

• Frühwarnsystem für Risiken
• Vermeidung von Schocks durch Szenario-Analysen
• Proportionalität: Aufwand muss zur Größe, Komplexität und Risikostruktur passen

2. Kleine vs. mittlere Institute – die Kernunterschiede

KRITERIUM   /   KLEINE WERTPAPIERINSTITUTE   /   MITTLERE WERTPAPIERINSTITUTE

Risikoinventur
– 1× jährlich, Fokus auf wesentliche Risiken
– Laufende Risikoerfassung + jährliche Vollinventur

Stresstests
– Nur für wesentliche Risiken, einfache Szenarien (z. B. Umsatzrückgang, IT-Ausfall)
– Für alle wesentlichen Risiken, quantitative Modelle oder Szenario-Kombinationen

Dokumentationspflicht
– Kurzbericht mit Szenario-Beschreibung, Ergebnis & Handlungsempfehlung
– Detaillierte Berichte inkl. Methodik, Annahmen, Berechnungen und Ableitungen

Frequenz
– Min. jährlich, ad hoc bei gravierenden Änderungen
– Min. jährlich, quartalsweise Updates bei wesentlichen Risiken

Interne Kommunikation
– Direkter Bericht an Geschäftsleitung
– Regelmäßige Berichte an Geschäftsleitung + Risikokomitee

Schritt 1 – Risiken auswählen

Nutze Deine Wesentlichkeitsprüfung (AT 2.2) als Filter:

• Nur Risiken, die wesentlich eingestuft sind, kommen ins Stresstest-Programm.

Schritt 2 – Einfache Szenarien definieren

• Beispiel Marktpreisrisiko: Kursrückgang von 20 % innerhalb eines Monats
• Beispiel Liquiditätsrisiko: Umsatzrückgang von 30 % in 3 Monaten
• Beispiel IT-Risiko: Systemausfall von 2 Tagen während Hauptgeschäftszeit

Schritt 3 – Auswirkungen abschätzen

• Qualitativ: Welche Prozesse, Kunden, Umsätze sind betroffen?
• Quantitativ (optional): Grobe Schadensschätzung in EUR oder % vom Ergebnis

Schritt 4 – Maßnahmen ableiten

• Sofortmaßnahmen (Notfallpläne)
• Präventive Anpassungen (z. B. Notfall-IT, Kreditlinien)
• Anpassung von Limits

Schritt 5 – Dokumentieren

Muster für kleine Institute:

RISIKO   /    SZENARIO   /   AUSWIRKUNG   /   MASSNAHME   /   DATUM   /   VERANTWORTLICH

IT-Ausfall
– 2 Tage Downtime
– Verzögerung von Kundenaufträgen, Reputationsschaden
– Redundante Serverstruktur prüfen
– 15.07.2025
– IT-Leiter

Umsatzrückgang
– -30 % in Q4
– Verlust von 200 TEUR, Liquiditätsreserve belastet
– Marketingbudget kürzen, Kreditlinie anpassen
– 15.07.2025
– CFO

4. Umsetzung für mittlere Institute – die erweiterten Anforderungen

1. Risikoidentifikation: Laufendes Monitoring, z. B. über Key Risk Indicators (KRI)
2. Mehrdimensionale Szenarien: Kombination mehrerer Risiken (z. B. Marktcrash + Liquiditätsengpass)
3. Quantitative Simulationen: Nutzung von Modellen zur Berechnung von Verlustwahrscheinlichkeiten
4. Regelmäßige Berichte: Vorlage im Risikokomitee, Integration in ICAAP
5. Ableitung von Kapitalmaßnahmen: Verbindung zur Kapitalplanung (AT 4.1)

5. Typische Fehler – und wie Du sie vermeidest

– Alles testen, ohne Wesentlichkeit zu prüfen → unnötiger Aufwand, nicht proportional
–  Szenarien zu komplex → kleine Institute verlieren Fokus, Ergebnisse werden unverständlich
–  Keine klare Ableitung von Maßnahmen → BaFin sieht Stresstests als „Papierübung“
–  Ergebnisse nicht ins Risikomanagement zurückgespielt → keine Steuerungswirkung

6. Schnittstellen zu anderen MaRisk-Bereichen

• AT 2.2 Wesentlichkeit → Filtert, welche Risiken getestet werden
• AT 4.1 Kapitalplanung → Stresstestergebnisse fließen in Kapitalpuffer ein
• AT 7 Notfallmanagement → Szenarien können als Grundlage für Notfallübungen dienen

7. Praxis-Tipp für kleine Institute

Keep it simple – aber prüfungssicher:

• Max. 3–5 Szenarien pro Jahr
• Klare, verständliche Begründung der Auswahl
• Direkte Verknüpfung zu Maßnahmen & Verantwortlichkeiten
• Ergebnisse immer in der nächsten Geschäftsleitungssitzung protokollieren

8. Fazit

Mit AT 4.3.3 gibt Dir die BaFin ein Werkzeug in die Hand, um Risiken gezielt zu prüfen und steuernd einzugreifen – ohne dass Du als kleines Institut unnötige Ressourcen verschwendest.
Der Schlüssel liegt in der Verknüpfung von Wesentlichkeit, klaren Szenarien und praktischen Maßnahmen.

Tipp: Du kannst unser kostenfreies Whitepaper zu WpI MaRisk 2025 direkt hier anfordern.

WpI MaRisk 2025 – Ressourcen & Praxisleitfäden

Dein Einstieg

• WpI MaRisk 2025 – Was sich für kleine und mittlere Institute ändert

AT-Module – Allgemeiner Teil

• AT 2.2 Wesentlichkeitsprüfung – Dein Praxisleitfaden
• AT 4.3.3 Risikomanagement & Stresstests
• AT 4.3.3 Stresstests für kleine Institute
• AT 7.3 Notfallmanagement – kompakt erklärt

BTO-Module – Organisation & Abwicklung

• BTO 1 – Organisation des Handels
• BTO 1.2.2 Abwicklung – Fehler vermeiden

BTR-Module – Risikomanagement

• BTR – Allgemeine Anforderungen
• BTR 1 – Risiken aus laufender Tätigkeit
• BTR 2 – Sonstige Risiken der laufenden Tätigkeit
• BTR 3 – Liquiditätsrisiken wirksam steuern
• BTR 4 – Risiko einer ungeordneten Abwicklung
• Risikomanagement – Anforderungen in BT 2, BTR 3 & BTR 4

Spezialthemen

• Risikomanagement nach WpI MaRisk – Umsetzung in der Praxis
• ILAAP 2025 – Anforderungen für kleine und mittlere Institute

Kapitalplanung

• Kapitalplanung nach WpI MaRisk – Dein Leitfaden 2025