Blogpost

9. MaRisk-Novelle: Die Interne Revision als Schlüsselfaktor der Umsetzung

Die Umsetzung der 9. MaRisk-Novelle wird für viele Institute ein Kraftakt, der quer durch nahezu alle Fachbereiche läuft. Hier kommt der Internen Revision eine Schlüsselrolle zu: Sie ist nach BT 2.1 verpflichtet, wesentliche Projekte zu begleiten. Wie kann diese Begleitung gestaltet werden, so dass Fehlentwicklungen früh erkannt werden, aber die eigene Unabhängigkeit nicht gefährdet wird?

Thorsten Tewes
9
12 Minuten Lesezeit

Einleitung

Die Konsultation zur 9. MaRisk-Novelle liegt auf dem Tisch, die finale Fassung wird von der BaFin für die Jahresmitte avisiert. Die Erfahrung aus früheren Novellen lehrt: Wesentliche inhaltliche Änderungen gegenüber dem Konsultationsentwurf sind nicht zu erwarten, und für Klarstellungen gibt es in der Regel keine Umsetzungsfristen – sie gelten ab Veröffentlichung.

Die Umsetzung wird für viele Institute ein Kraftakt, der quer durch nahezu alle Fachbereiche läuft. Genau hier kommt der Internen Revision eine Schlüsselrolle zu: Nach BT 2.1 ist sie verpflichtet, wesentliche Projekte zu begleiten – und die Umsetzung der MaRisk-Novelle erfüllt alle Kriterien eines wesentlichen Projekts.

Die Kunst besteht darin, diese Begleitung so auszugestalten, dass Fehlentwicklungen früh erkannt werden, ohne die eigene Unabhängigkeit zu gefährden. Dieser Beitrag skizziert, wie das gelingen kann – und an welchen fachlichen Stellen der Novelle die Revision den entscheidenden Unterschied macht.

Was sich ändert – das Wichtigste in Kürze

Um die Revisionsperspektive einordnen zu können, genügt ein verdichteter Blick auf die neueste MaRisk-Novelle. Ihr prägendstes Merkmal ist ein neues Proportionalitätsregime, wonach die Institute in Kategorien eingeteilt werden:

  • sehr kleine Institute (bis ca. 1 Mrd. Euro Bilanzsumme),
  • kleine Institute (1 bis 5 Mrd. Euro) und
  • übrige Institute (bis ca. 15 Mrd. Euro).

Bedeutende Institute oberhalb dieser Schwelle fallen künftig unmittelbar unter die EZB-Aufsicht und nicht mehr unter die MaRisk.

An die Kategorien knüpft eine Vielzahl von Öffnungsklauseln an: vom Verzicht auf inverse Stresstests über vereinfachte Geschäftsmodellanalysen und den Wegfall von Gutachterrotation und Marktschwankungskonzept bis zu Erleichterungen bei Funktionstrennung und Risikoberichtswesen.

Inhaltlich dominieren:

  • die ESG-Risiken (Beurteilung über mindestens zehn Jahre, Resilienzanalysen, ESG-Risikopläne nach § 26c KWG-E),
  • neue Governance-Anforderungen (individuelle Verantwortlichkeitserklärungen nach AT 5, Zustimmungspflicht des Aufsichtsorgans beim Wechsel der Leitung von Schlüsselfunktionen),
  • eine geschärfte Modellvalidierung (Initialvalidierung, Dreijahresturnus, Trennung von Entwicklung und Validierung) sowie
  • die Neuordnung der Auslagerungen (IKT-Dienstleistungen unter DORA-Drittparteienrisikomanagement fallen aus dem AT 9 heraus, das Auslagerungsregister entfällt formal, und die Vollauslagerung von Compliance und Interner Revision bleibt nur noch sehr kleinen Instituten erlaubt).
9. MaRisk-Novelle, Institutskategorien

Abbildung 1: Institutskategorien und Proportionalität in der 9. MaRisk-Novelle (vereinfachte Darstellung nach Konsultationsentwurf) - zum Vergrößern bitte anklicken

Der rote Faden durch all diese Änderungen: Die Aufsicht ersetzt starre Detailvorgaben durch Eigenverantwortung – und verlangt im Gegenzug eine belastbare, dokumentierte Begründung für jede in Anspruch genommene Erleichterung. Genau dieser Paradigmenwechsel macht die Novelle zu einem Revisionsthema erster Ordnung.

Der Paradigmenwechsel: Vom Sollzustand zur Angemessenheit der Begründung

Für die Prüfungspraxis verschiebt sich damit der Gegenstand. Wo bislang ein eindeutiger, belastbarer Sollzustand existierte – die Lieblingsgrundlage jeder Revisorin –, tritt künftig die Frage nach der Angemessenheit der Begründung: Hat der Fachbereich nachvollziehbar hergeleitet, warum eine Öffnungsklausel für das eigene Haus passt? Sind die Annahmen dokumentiert, die Wesentlichkeitseinstufungen sauber abgeleitet, die Bewertungen für einen externen Dritten rekonstruierbar?

Die Diskussionen mit den Fachbereichen über Risikogehalt, Komplexität und Dokumentationstiefe werden dadurch absehbar zunehmen. Der Fachbereich wird seine Begründung für ausreichend halten, die Revision wird detailliertere Nachweise einfordern müssen – und genau in dieser Reibung liegt der Wertbeitrag. Wer die Umsetzung von Beginn an begleitet, kann die Begründungsqualität dort einfordern, wo sie entsteht, statt sie Jahre später in der Nachschau zu bemängeln. Der Grundsatz „wer schreibt, der bleibt“ gilt künftig mehr denn je – und die Revision ist diejenige Funktion, die seine Einhaltung systematisch sicherstellen kann.

Die Revision im Umsetzungsprojekt

Das Projekt erkennen – und die Wesentlichkeit selbst beurteilen

Die MaRisk-Umsetzung erfüllt alle klassischen Projektkriterien: einmalig, zeitlich und personell begrenzt, mit klarem Ziel (aufsichtskonforme Umsetzung zum Stichtag) und hoher Komplexität.

Trotzdem ist nicht garantiert, dass sie im Haus auch als Projekt aufgesetzt wird – Fachbereiche sind erfahrungsgemäß kreativ darin, den Projektbegriff zu vermeiden, weil er Dokumentations- und Steuerungspflichten auslöst. „Arbeitsgruppe“ und „Qualitätszirkel“ sind beliebte Ausweichbegriffe. Die Revision sollte hier die Augen offen halten und prüfen, ob die im eigenen Regelwerk definierten Projektkriterien faktisch erfüllt sind.

Ebenso wichtig: die eigenständige Wesentlichkeitsbeurteilung. Die Einschätzung der Projektverantwortlichen fällt häufig zugunsten der Unwesentlichkeit aus. Die Revision sollte daher anhand eines eigenen Kriterienkatalogs urteilen – wirtschaftliche Bedeutung, regulatorische Relevanz, Auswirkungen auf Strategien, wesentliche Risikoarten und das interne Kontrollsystem, Komplexität, Ermessensspielräume und Zielvorgaben – mit einer klaren Entscheidungsregel.

Bei der MaRisk-Umsetzung dürfte das Ergebnis eindeutig ausfallen: Regulatorik tangiert, IKS betroffen, hohe Komplexität, große Ermessensspielräume. An einer intensiveren Begleitung führt kein Weg vorbei. Wie intensiv, bleibt eine risikoorientierte Einzelfallentscheidung – von der reinen Projektinformation bis zur vollwertigen projektbegleitenden Prüfung; Orientierung geben der DIIR-Revisionsstandard Nr. 4 und die Global Internal Audit Standards. Auch diese Intensitätsentscheidung will dokumentiert sein, denn der externe Prüfer wird danach fragen.

Rollenklarheit: Begleiten statt verantworten

Das Neutralitätsgebot ist die Existenzfrage der Projektbegleitung. Die Revision darf Beobachterin, Hinweisgeberin und Ratgeberin sein – Sparringspartnerin, die den gröbsten Fehlentwicklungen frühzeitig entgegenwirkt und gerade dadurch Akzeptanz in den Projektteams gewinnt.

Was sie nicht darf: die Projektleitung übernehmen (ein absolutes No-Go), fachliche oder technische Umsetzungsverantwortung tragen, über Maßnahmen entscheiden, Fachkonzepte genehmigen oder Freigaben mit Verantwortungscharakter erteilen.

Warnsignale für eine zu tiefe Einbindung sind die feste Teilnahme an jeder Projektsitzung, selbst entwickelte Kontrollkonzeptionen, verbindliche Umsetzungsvorgaben oder die Steuerung der Mängelbehebung. Besonders tückisch ist der Versuch der Fachbereiche, die Revision als Schiedsrichterin zu instrumentalisieren: Wenn Bereich A links und Bereich B rechts will, sollte sich die Revision einer konkreten Festlegung enthalten – sonst beruft man sich anschließend auf „Vorgaben der Revision“, und die Neutralität ist dahin. Auch die Geschäftsleitung ist vor der Versuchung nicht gefeit, sich die Entscheidung von der Revision abnehmen zu lassen.

Dem klassischen Vorwurf „ihr wart doch im Projekt dabei und habt nichts gesagt“ lässt sich nur mit dokumentierter Zurückhaltung begegnen: Rolle vorab schriftlich festlegen, Hinweise und Empfehlungen konsequent dokumentieren, Vorbefassungen (einschließlich eigener Recherchen) festhalten – und die spätere Nachschauprüfung möglichst personell von der Projektbegleitung trennen.

9. MaRisk-Novelle, Rollanabgrenzung interne Revision

Abbildung 2: Rollenabgrenzung der Internen Revision in der Umsetzungsbegleitung - zum Vergrößern bitte anklicken

AT 8.2 als strenge Nebenbedingung

Unverändert gilt: Vor wesentlichen Veränderungen der Aufbau- und Ablauforganisation sowie der IT-Systeme sind die Auswirkungen auf Kontrollverfahren und Kontrollintensität zu analysieren – unter Einbindung der später betroffenen Organisationseinheiten sowie von Compliance und Revision.

Die MaRisk-Umsetzung wird solche Veränderungen in Serie produzieren: neue Übersichten und Erklärungen, angepasste Berichtswege, gestrichene und neue Kontrollen. Gerade in der Projekteuphorie wird die AT 8.2-Analyse gern übersehen; die Revision sollte sie bei jedem Umsetzungspaket aktiv einfordern und sich die Analyse der Kontrollauswirkungen vorlegen lassen.

Prüffelder der Umsetzungsbegleitung

Im Kern lässt sich die Begleitung entlang von sieben Feldern strukturieren, die für jedes wesentliche Projekt gelten – und die sich auf die MaRisk-Umsetzung unmittelbar übertragen lassen:

Projektanlass und Gap-Analyse: Gibt es einen formalen Projektauftrag mit Zielbild und Scope? Vor allem aber: Ist die Betroffenheitsanalyse vollständig? Hier validiert die Revision, ob alle Themenfelder der Novelle erfasst sind – von den DORA-Schnittstellen über die ESG-Anforderungen bis zur Proportionalitätseinstufung des eigenen Hauses. Eine lückenhafte Gap-Analyse ist der teuerste Fehler, weil er sich durch das gesamte Projekt fortpflanzt.

Governance und Verantwortlichkeiten: Ist die Projektleitung eindeutig zugewiesen? Es gilt das Highlander-Prinzip: Es kann nur einen geben – auch wenn nahezu alle Fachbereiche betroffen sind. Die Revision selbst scheidet als Projektleiterin aus; in Frage kommen je nach Haus Organisation, Controlling oder der Vorstandsstab. Rollen, Eskalations- und Entscheidungswege müssen schriftlich fixiert sein.

Projektplanung und -steuerung: Meilensteinplan mit Blick auf die zu erwartenden Umsetzungsfristen, Ressourcen- und Budgetplanung, regelmäßiges Statusreporting mit Eskalationsschwellen, dokumentierte Scope-Änderungen. Bei einer Umsetzung mit hartem Stichtag ist die Terminverfolgung kein Formalismus, sondern das zentrale Frühwarnsystem.

Projektrisikomanagement: Werden Umsetzungsrisiken systematisch identifiziert, bewertet und aktualisiert? Projektrisiken sind klassisches OpRisk – bei größeren Vorhaben gehören sie nach reiner Lehre auch in die OpRisk-Betrachtung des Hauses.

Fachkonzeption und Zielprozesse: Liegt eine vollständige, konsistente Fachkonzeption vor – etwa auf Basis von Verbands- oder Dienstleistermustern, die institutsindividuell anzupassen sind? Sind Sollprozesse, Kontrollpunkte, Sonderfälle und Prozessverantwortlichkeiten beschrieben?

Internes Kontrollsystem: Das liebste Kind der Revision – und bei dieser Novelle besonders relevant, weil Regelungen sowohl wegfallen (EBA-Verweise, Auslagerungsregister, Detailvorgaben im AT 7.2) als auch neu entstehen. Welche Kontrollen entfallen, wie werden sie kompensiert, welche neuen Kontrollen braucht es, wer führt sie wie oft durch, und sind sie wirksam? Übergangsrisiken zwischen Alt- und Neuprozess dürfen keine Kontrolllücken reißen – Projekte sollten bestehende Lücken schließen, nicht neue aufmachen.

Regulatorik, Test und Migration: Sind alle tangierten Anforderungen nachvollziehbar abgearbeitet, gibt es Test- und Abnahmekonzepte mit definierten Kriterien, Migrations- und Cut-over-Pläne mit Rückfalloption und gesicherter Datenqualität? Bei IKT-Bezug gehört ein IT-Fachprüfer ins Begleitteam – die Generalistin stößt hier an Grenzen.

Wo die Revision fachlich den Unterschied macht

Nicht jede Änderung der Novelle braucht die gleiche Revisionsaufmerksamkeit. An fünf Stellen ist der Beitrag der Revision aber entscheidend – weil dort Ermessensspielräume, Dokumentationspflichten und Prüfungsrisiken zusammenlaufen.

Erstens: der Öffnungsklausel-Check. Jede in Anspruch genommene Erleichterung steht und fällt mit ihrer Begründung. Die Revision sollte früh einen Qualitätsmaßstab etablieren: Annahmen schriftlich hergeleitet, Vorstandsbeschluss wo erforderlich (etwa beim Verzicht auf das Marktschwankungskonzept oder bei der Festlegung eines geringen Risikoappetits), Wiederauffindbarkeit der Dokumentation gesichert. „Qualifizierte Expertenschätzung“ ohne niedergelegte Herleitung wird in der externen Prüfung nicht tragen.

Zweitens: ESG-Risiken. Da belastbare Zehnjahresmodelle fehlen, werden die Institute zunächst mit qualitativen Ansätzen, Puffern im Risikodeckungspotenzial und erweiterten adversen Szenarien arbeiten. Die Revision prüft hier weniger das Modell als die Methodik: Sind die qualitativen Ansätze als solche nachgewiesen, die Annahmen dokumentiert, die Pufferhöhe und die abgedeckten Risikoarten begründet? Und ist die Abgrenzung zwischen querschnittlicher Wirkung und der Zuordnung zu den operationellen Risiken konsistent geregelt?

Drittens: die Governance-Erklärungen nach AT 5. Individuelle Verantwortlichkeitserklärungen für Geschäftsleitung, nachgelagerte Führungsebene und Schlüsselfunktionen plus eine laufend aktuelle institutsweite Übersicht der Berichtslinien – das ist eine dauerhafte Linienaufgabe, um die sich niemand reißen wird. Die Revision sollte prüfen, ob der Personenkreis vollständig erfasst ist (einschließlich Funktionen, die dem Vorstand faktisch unmittelbar unterstellt sind, ohne Bereichsleitung zu sein), ob ein Aktualisierungsprozess mit klaren Verantwortlichkeiten existiert und ob der Überwachungsmechanismus – wer stellt fest, dass jemand seinen Aufgaben nicht nachkommt, und wer ergreift dann Maßnahmen – zu Ende gedacht ist.

Viertens: Auslagerungen. Der formale Wegfall des Auslagerungsregisters verführt zum Wegwerfen – ein Fehler. DORA deckt nur IKT-Dienstleistungen ab; für alle übrigen Auslagerungen bleibt ein Inventar faktisch notwendig. Die Revision sollte darauf hinwirken, dass die Übersicht (in welcher Form auch immer) fortgeführt wird, dass die Abgrenzung zwischen AT 9 und DORA-Drittparteienrisikomanagement sauber dokumentiert ist und dass beim neuen Dreijahresturnus der Risikoanalysen ein Prozess für anlassbezogene Überprüfungen existiert – etwa bei kritischen Prüfungsfeststellungen beim Dienstleister oder nachhaltigen SLA-Verletzungen.

Fünftens: die Einlagenmodellierung im BTR 2.3. Einlagen von Finanzkunden dürfen künftig nur noch modelliert werden, wenn sie operationelle Einlagen im Sinne der Liquiditätsregulierung sind. Ein dankbares Prüffeld mit klarem Sollzustand: Die Kriterien sind der Aufsicht ohnehin anzuzeigen – die Revision kann sich die Anzeige vorlegen lassen und abgleichen, ob das Controlling die Parametrisierung des variablen Zinsbuchs entsprechend umgesetzt hat.

Und schließlich in eigener Sache: Die Validierungspflicht trifft auch die Revision selbst. Das Modell der risikoorientierten Prüfungsplanung ist nach aktueller Prüfungspraxis der Aufsicht ein Modell wie jedes andere – eine rein qualitative Jahresrückschau genügt zunehmend nicht mehr, gefordert wird eine methodisch nachvollziehbare Herleitung, insbesondere für Prüffelder an den Turnusgrenzen. Wer den neuen Fünfjahresturnus für unwesentliche Aktivitäten nutzt, sollte die sich abzeichnende Faustregel von maximal etwa zehn Prozent der Prüffelder im Blick behalten. Und mit der neuen Betonung der wirksamen Umsetzung der Risikostrategie erhält die Revision ein Prüffeld, das Fingerspitzengefühl verlangt: nicht die Strategie selbst bewerten, sondern prüfen, ob zu strategischen Zielen Maßnahmen und Zeithorizonte definiert sind und ob die Umsetzung tatsächlich auf die Ziele einzahlt.

Wenn kein formales Projekt aufgesetzt wird

Erfolgt die Umsetzung in der Linie statt im Projekt, entbindet das die Revision nicht von der Begleitung – sie wird nur mühsamer. Dann gilt: ein eigenes Prüfungsdokument anlegen, Unterlagen und Sitzungsprotokolle aktiv bei den Fachbereichen anfordern, sich zu Abstimmungsterminen einladen lassen, Risiken und Zeitplan eigenständig nachhalten.

Die formalen Projektelemente (Projektauftrag, Projektrisikomanagement) entfallen, die inhaltliche Begleitung nicht. Verstöße gegen eine bestehende Arbeitsanweisung Projektmanagement sollten adressiert werden – idealerweise zunächst im direkten Gespräch mit den Beteiligten, bevor sie Eingang in den Prüfungsbericht finden. Der Nebeneffekt der Linienlösung: Die Arbeit wird nicht weniger, nur intransparenter – ein Punkt, den die Revision gegenüber der Geschäftsleitung ruhig deutlich machen darf.

Berichterstattung mit Fingerspitzengefühl

Über jede Prüfung ist nach MaRisk zeitnah schriftlich zu berichten. Bei überschaubarem Projektportfolio hat sich eine ganzjährig angelegte projektbegleitende Prüfung bewährt: Alle Begleitungen werden laufend darin dokumentiert, zum Jahresende folgt ein Gesamtbericht – wesentliche Feststellungen sind selbstverständlich unverzüglich zu berichten und dürfen nicht bis Jahresende warten.

Bei der Formulierung empfiehlt sich Zurückhaltung und Neutralität, solange nichts Gravierendes vorliegt. Wer jede Projektdiskussion in eine Feststellung verwandelt, zerstört das Vertrauen, das die Grundlage offener Zusammenarbeit ist – und wird künftig schlicht nicht mehr eingeladen. Es muss für die Fachbereiche erkennbar bleiben, dass man mit der Revision offen reden kann, ohne dass jedes Wort im Prüfungsbericht landet. Die Auseinandersetzung soll über die Sache geführt werden, nicht über die Frage, was die Revision hätte sagen dürfen.

Fazit

Die 9. MaRisk-Novelle verlagert Verantwortung von der Aufsicht in die Institute – und macht die Qualität von Begründungen und Dokumentation zum entscheidenden Erfolgsfaktor.

Genau dort liegt die Stärke der Internen Revision: Als frühzeitig eingebundene, klar abgegrenzte Begleiterin des Umsetzungsvorhabens sichert sie die Vollständigkeit der Gap-Analyse, die Tragfähigkeit der Öffnungsklausel-Begründungen und die Wirksamkeit des Kontrollsystems im Übergang – ohne selbst in die Umsetzungsverantwortung zu rutschen. Wer die Rolle vorab schriftlich fixiert, Hinweise konsequent dokumentiert und die spätere Nachschau personell trennt, gibt dem Vorstand die Sicherheit, dass das Haus zum Stichtag konform ist – und bewahrt sich zugleich die Unabhängigkeit, das Ergebnis später unbefangen zu prüfen.

Die Begleitung beginnt am besten jetzt: mit der eigenen Wesentlichkeitsbeurteilung, einem klaren Rollenpapier und dem Blick auf die Gap-Analyse, noch bevor die finale Fassung veröffentlicht ist.

Share: LinkedIn Xing X Facebook

Verwandte Beiträge

Entdecken Sie noch mehr interessante Beiträge zu diesem Thema.

Video
8 Minuten Lesezeit

Fachliche Eignung als Geschäftsleiter: Was KWG, BaFin-Merkblatt und MaRisk verlangen – und was in der Praxis zählt

Roland Helbig
Fachartikel
5 Minuten Lesezeit

Kreditspreadrisiken im Anlagebuch – Die „neue“ Risikoart im Überblick

Blogpost
2 Minuten Lesezeit

9. MaRisk-Novelle 2026: Welche Erleichterungen bringt die Konsultation für kleine und sehr kleine Institute (SNCIs)?

Marco Lesser