Source: Deutsche Nachrichten
AT 4.3.3 regelt, wie Du Risiken identifizierst, bewertest und durch Stresstests absicherst.
Für kleine Institute bedeutet das: Du kannst hier viel vereinfachen – solange Deine Wesentlichkeitsprüfung (siehe Artikel 2) solide ist.
Mittlere Institute haben etwas mehr Pflichten, können diese aber gezielt skalieren.
ABSCHNITT/THEMA / KERNAUSSAGE / KLEINE WPI / MITTLERE WPI / TO-DO/NACHWEIS
1) Zielsetzung BaFin
– Frühwarnsystem, Schockvermeidung durch Szenarien, Proportionalität
– Vereinfachen ist erlaubt – solide Wesentlichkeitsprüfung nötig
– Erhöhte Tiefe, aber skalierbar nach Risiko & Komplexität
– Grundsatzpapier zu AT 4.3.3 mit Proportionalitätsbegründung
2) Risikoinventur
– Systematische Erfassung wesentlicher Risiken
– 1× jährlich; Fokus auf wesentliche Risiken
– Laufende Erfassung + jährliche Vollinventur
– Risikoinventar, Materialitätskriterien (AT 2.2)
2) Stresstests
– Szenarien zur Beurteilung der Widerstandsfähigkeit
– Einfache Einzelszenarien (z. B. IT-Ausfall, Umsatzrückgang)
– Quantitative Modelle/Mehrfach-Szenarien (Kombi-Schocks)
– Stresstestplan, Ergebnisse, Maßnahmenpläne
2) Dokumentation
– Nachvollziehbarkeit & Prüfungsfestigkeit
– Kurzbericht: Szenario, Ergebnis, Maßnahmen
– Detailberichte: Methodik, Annahmen, Berechnungen, Ableitungen
– Versionierung, Freigaben, Revisionsspur
2) Frequenz
– Regelmäßigkeit + Anlassbezug
– Mind. jährlich; ad hoc bei Änderungen
– Mind. jährlich; quartalsweise Updates wesentlicher Risiken
– Jahresplan + Anlass-Trigger (Schwellen/KRI)
2) Interne Kommunikation
– Managementeinbindung sicherstellen
– Direkt an Geschäftsleitung berichten
– Regelberichte an Geschäftsleitung & Risikokomitee
– GL-Protokolle, Komitee-Minutes
3) Schritt 1 – Auswahl
– Wesentlichkeit filtert Prüfungsumfang
– Nur wesentliche Risiken in das Programm
– Gleiches Prinzip, aber breiter & datenbasiert (KRI)
– AT 2.2-Nachweis, Materialitäts-Memo
3) Schritt 2 – Szenarien
– Klar, plausibel, institutsspezifisch
– Max. 3–5 einfache Szenarien/Jahr
– Mehrdimensionale Szenarien inkl. Markt & Liquidität
– Szenario-Steckbriefe mit Parametern
3) Schritt 3 – Wirkung
– Auswirkungen qualitativ/quantitativ abschätzen
– Qualitativ + grobe €/%-Schätzung optional
– Quant-Auswertung, Verlustwahrscheinlichkeiten
– Impact-Tabellen, Sensitivitäten
3) Schritt 4 – Maßnahmen
– Konkrete Steuerungsimpulse
– Notfallpläne, Limits, Kreditlinien anpassen
– Kapitalmaßnahmen, Pufferstrategie, Eskalationswege
– Maßnahmenplan mit Verantwortlichen & Terminen
3) Schritt 5 – Dokumentieren
– Prüfungssichere Ablage
– Muster-Tabelle (Risiko, Szenario, Wirkung, Maßnahme …)
– Berichte für GL/Risikokomitee, SREP-fähig
– Doku-Checkliste, Ablageordnung
4) Mittlere WpI – erweitert
– ILAAP-Anbindung & Governance
– —
– Lfd. Monitoring (KRI), Kombi-Szenarien, ICAAP/ILAAP-Integration
– ILAAP-Handbuch, Reporting-Kalender
5) Typische Fehler
– Unproportional, zu komplex, ohne Maßnahmen & Rückkopplung
– „Keep it simple“, Auswahl begründen
– Praxis statt „Papierübung“, Anlass-Stresstests
– Lessons-Learned-Log, Abstellmaßnahmen
6) Schnittstellen
– Verzahnung mit anderen AT-Bereichen
– AT 2.2 (Wesentlichkeit), AT 7 (Notfall)
– AT 4.1 (Kapitalplanung), ICAAP/ILAAP
– Mapping-Tabelle AT 2.2 / AT 4.1 / AT 7
7) Praxis-Tipp (klein)
– Einfach, aber prüfungssicher
– 3–5 Szenarien, klare Begründung, GL-Protokoll
– —
– Vorlage: Szenario-Steckbrief & Maßnahmenplan
8) Fazit
– Wesentlichkeit + klare Szenarien + Maßnahmen = wirksame Steuerung
– Ressourcenschonend & proportional
– Skaliert & SREP-tauglich
– Jährlicher Review, KPIs & Trigger festlegen
1. Zielsetzung der BaFin bei AT 4.3.3
- Frühwarnsystem für Risiken
- Vermeidung von Schocks durch Szenario-Analysen
- Proportionalität: Aufwand muss zur Größe, Komplexität und Risikostruktur passen
2. Kleine vs. mittlere Institute – die Kernunterschiede
KRITERIUM / KLEINE WERTPAPIERINSTITUTE / MITTLERE WERTPAPIERINSTITUTE
Risikoinventur
– 1× jährlich, Fokus auf wesentliche Risiken
– Laufende Risikoerfassung + jährliche Vollinventur
Stresstests
– Nur für wesentliche Risiken, einfache Szenarien (z. B. Umsatzrückgang, IT-Ausfall)
– Für alle wesentlichen Risiken, quantitative Modelle oder Szenario-Kombinationen
Dokumentationspflicht
– Kurzbericht mit Szenario-Beschreibung, Ergebnis & Handlungsempfehlung
– Detaillierte Berichte inkl. Methodik, Annahmen, Berechnungen und Ableitungen
Frequenz
– Min. jährlich, ad hoc bei gravierenden Änderungen
– Min. jährlich, quartalsweise Updates bei wesentlichen Risiken
Interne Kommunikation
– Direkter Bericht an Geschäftsleitung
– Regelmäßige Berichte an Geschäftsleitung + Risikokomitee
Schritt 1 – Risiken auswählen
Nutze Deine Wesentlichkeitsprüfung (AT 2.2) als Filter:
- Nur Risiken, die wesentlich eingestuft sind, kommen ins Stresstest-Programm.
Schritt 2 – Einfache Szenarien definieren
- Beispiel Marktpreisrisiko: Kursrückgang von 20 % innerhalb eines Monats
- Beispiel Liquiditätsrisiko: Umsatzrückgang von 30 % in 3 Monaten
- Beispiel IT-Risiko: Systemausfall von 2 Tagen während Hauptgeschäftszeit
Schritt 3 – Auswirkungen abschätzen
- Qualitativ: Welche Prozesse, Kunden, Umsätze sind betroffen?
- Quantitativ (optional): Grobe Schadensschätzung in EUR oder % vom Ergebnis
Schritt 4 – Maßnahmen ableiten
- Sofortmaßnahmen (Notfallpläne)
- Präventive Anpassungen (z. B. Notfall-IT, Kreditlinien)
- Anpassung von Limits
Schritt 5 – Dokumentieren
Muster für kleine Institute:
RISIKO / SZENARIO / AUSWIRKUNG / MASSNAHME / DATUM / VERANTWORTLICH
IT-Ausfall
– 2 Tage Downtime
– Verzögerung von Kundenaufträgen, Reputationsschaden
– Redundante Serverstruktur prüfen
– 15.07.2025
– IT-Leiter
Umsatzrückgang
– -30 % in Q4
– Verlust von 200 TEUR, Liquiditätsreserve belastet
– Marketingbudget kürzen, Kreditlinie anpassen
– 15.07.2025
– CFO
4. Umsetzung für mittlere Institute – die erweiterten Anforderungen
- Risikoidentifikation: Laufendes Monitoring, z. B. über Key Risk Indicators (KRI)
- Mehrdimensionale Szenarien: Kombination mehrerer Risiken (z. B. Marktcrash + Liquiditätsengpass)
- Quantitative Simulationen: Nutzung von Modellen zur Berechnung von Verlustwahrscheinlichkeiten
- Regelmäßige Berichte: Vorlage im Risikokomitee, Integration in ICAAP
- Ableitung von Kapitalmaßnahmen: Verbindung zur Kapitalplanung (AT 4.1)
5. Typische Fehler – und wie Du sie vermeidest
– Alles testen, ohne Wesentlichkeit zu prüfen → unnötiger Aufwand, nicht proportional
– Szenarien zu komplex → kleine Institute verlieren Fokus, Ergebnisse werden unverständlich
– Keine klare Ableitung von Maßnahmen → BaFin sieht Stresstests als „Papierübung“
– Ergebnisse nicht ins Risikomanagement zurückgespielt → keine Steuerungswirkung
6. Schnittstellen zu anderen MaRisk-Bereichen
- AT 2.2 Wesentlichkeit → Filtert, welche Risiken getestet werden
- AT 4.1 Kapitalplanung → Stresstestergebnisse fließen in Kapitalpuffer ein
- AT 7 Notfallmanagement → Szenarien können als Grundlage für Notfallübungen dienen
7. Praxis-Tipp für kleine Institute
Keep it simple – aber prüfungssicher:
- Max. 3–5 Szenarien pro Jahr
- Klare, verständliche Begründung der Auswahl
- Direkte Verknüpfung zu Maßnahmen & Verantwortlichkeiten
- Ergebnisse immer in der nächsten Geschäftsleitungssitzung protokollieren
8. Fazit
Mit AT 4.3.3 gibt Dir die BaFin ein Werkzeug in die Hand, um Risiken gezielt zu prüfen und steuernd einzugreifen – ohne dass Du als kleines Institut unnötige Ressourcen verschwendest.
Der Schlüssel liegt in der Verknüpfung von Wesentlichkeit, klaren Szenarien und praktischen Maßnahmen.
Tipp: Du kannst unser kostenfreies Whitepaper zu WpI MaRisk 2025 direkt hier anfordern.
WpI MaRisk 2025 – Ressourcen & Praxisleitfäden
Dein Einstieg
AT-Module – Allgemeiner Teil
BTO-Module – Organisation & Abwicklung
BTR-Module – Risikomanagement
Spezialthemen
Kapitalplanung