ESG-Risikomanagement: Compliance überwacht und Revision prüft!
Seit dem 1. April 2026 sind ESG-Risiken durch das BRUBEG verbindlich im Kreditwesengesetz (§§ 26c, 26d KWG) verankert. Finanzinstitute müssen ESG-Risiken systematisch in ihr Risikomanagement integrieren und einen ESG-Risikoplan erstellen. Entscheidend für die Prüfungsfestigkeit ist das Zusammenspiel von Fachbereich (First Line), Compliance (Second Line) und Interner Revision (Third Line). Nur mit belastbarer Dokumentation, klaren Prozessen und methodischer Tiefe lassen sich regulatorische Anforderungen nachhaltig erfüllen und externe Prüfungen bestehen.
In dieser Collection enthalten:
Collection öffnen
ESG-Risikomanagement: Compliance überwacht und Revision prüft!
MaRisk 2026 - Ausblick auf die Neuausrichtung
Internal Governance 2026: Warum die MaRisk-Compliance allein kein Schutzschild mehr ist
Privilegierung des Mengengeschäfts im Kreditrisikostandardansatz – EBA präzisiert Anforderungen an Granularitätskriterium
Rückblick: Trendkonferenz Aufsichtsrecht 2026
Pauschalwertberichtigung als Steuerungsgröße – GuV und Kapital
Das "§ 18 KWG"-Grab: Warum Deutschlands Banken ihre Kreditrisiken mit den Methoden von gestern verwalten
Mit dem Property Value zum nachhaltigen Wachstumsschub
Im Fokus der Aufsicht: Geopolitische Risiken
Instant Payments Regulation Reporting – bereit für die neuen EU‑Meldepflichten?
Halten Ihre internen Überwachungs- und Prüfinstanzen einer externen Prüfung wirklich stand?
Seit dem 1. April 2026 gelten neue Anforderungen im ESG-Risikomanagement. Damit rückt nicht nur die Umsetzung dieser Vorgaben in den Fokus, sondern auch die Frage, ob die Compliance-Funktion und die Interne Revision die Einhaltung dieser Vorschriften wirksam überwachen und prüfen können.
Mit der wachsenden regulatorischen Verdichtung steigen nicht nur Vorgaben an Methoden, Prozesse und Governance – auch die Erwartungen an die Compliance-Funktion und die Interne Revision nehmen deutlich zu. Nur wenn beide Funktionen den gestiegenen Anforderungen mit der nötigen Tiefe und Konsequenz gerecht werden, bleibt das ESG-Risikomanagement auch in externen Prüfungen dauerhaft standfest.
Vom Aufsichtsthema zur gesetzlichen Pflicht
Die regulatorische Reifephase erreicht ihren Höhepunkt: Mit der Veröffentlichung im Bundesgesetzblatt (BGBl. 2026 I Nr. 81) ist das Bankenrichtlinien-Umsetzungs- und Bürokratieentlastungsgesetz (BRUBEG) abgeschlossen. Damit ist die nationale Umsetzung der CRD VI in deutsches Recht vollzogen. Das Gesetz tritt zum 01. April 2026 in Kraft.
Über die neuen §§ 26c und 26d KWG sind ESG-Risiken erstmals auf Gesetzesebene als integraler Bestandteil des Risikomanagements verankert. Für Institute bedeutet dies den Übergang von regulatorischen Erwartungen hin zu einer gesetzlich verbindlichen Pflicht.
Institute sind nun gesetzlich verpflichtet,
- ESG-Risiken über kurz-, mittel- und langfristige Zeithorizonte zu berücksichtigen,
- geeignete Strategien zur Identifizierung und Steuerung dieser Risiken zu entwickeln und
- einen ESG-Risikoplan als zentrales Steuerungsinstrument vorzuhalten.
Compliance-Funktion
Raus aus dem regulatorischen Blindflug
Die Compliance-Funktion ist verpflichtet, die Einhaltung der komplexen regulatorischen ESG-Anforderungen im Risikomanagement systematisch zu überwachen. Sie bewertet den aktuellen Umsetzungsstand im Institut und prüft die Regelkonformität.
Das Problem in der Praxis:
Der Überwachungsauftrag setzt voraus, dass zu allen Einzelanforderungen ein belastbarer Status quo vorliegt. Dieser muss fachlich begründet und nachvollziehbar dokumentiert sein. In der Praxis fehlt diese umfassende Dokumentation jedoch häufig. Ohne die vorbereitenden Informationen der Fachbereiche rückt die Compliance-Funktion unfreiwillig in eine operative Rolle. Dadurch verschwimmen die Rollengrenzen, und die unabhängige Überwachungsinstanz wird zur „operativen Hilfskraft“. Ohne verlässliche Grundlage agiert sie faktisch im regulatorischen Blindflug.
Die Gap-Analyse der First Line: Das unverzichtbare Fundament
Bevor Überwachung und Prüfung greifen können, muss die Basis stimmen. Der erste Schritt zu einem belastbaren ESG-Risikomanagement ist die Erstellung einer Gap-Analyse durch die operativen Einheiten (First-Line). Hier wird der Soll-Zustand aller regulatorischen Anforderungen im ESG-Risikomanagement (z.B. EBA-Guidelines, MaRisk, KWG) gegen die gelebte Praxis gespiegelt und dokumentiert. Die Fachbereiche müssen Farbe bekennen: Wo werden bereits die regulatorischen Anforderungen vollumfänglich umgesetzt und wo bestehen operative Lücken? Nur wer seine Hausaufgaben in der Fachabteilung erledigt, schafft die Voraussetzung für ein überwachungs- und prüfungsfähiges Gesamtsystem.
Analyse der Umsetzungsvoraussetzungen
Im Kern dieser Compliance-Überprüfung steht die Frage, ob die operativen Einheiten in der Lage sind, die regulatorischen Anforderungen dauerhaft umzusetzen. Hierzu sind insbesondere die personellen, fachlichen und organisatorischen Voraussetzungen zur Umsetzung der regulatorischen ESG-Risikomanagement-Anforderungen zu analysieren. Fehlen Know-how oder Kapazitäten, ist eine regelkonforme Umsetzung faktisch unmöglich.
Handlungsempfehlungen als Steuerungsinstrument
Die bloße Identifikation von Umsetzungslücken genügt nicht. Entscheidend ist, dass die Compliance-Funktion daraus konkrete Handlungsempfehlungen ableitet, um auf die regelkonforme Umsetzung der regulatorischen Anforderungen hinzuwirken. Diese Empfehlungen dienen als Steuerungsinstrument: Sie helfen den operativen Einheiten, identifizierte Umsetzungslücken gezielt zu schließen.
Dokumentation – Keine Angriffsfläche bieten
Damit die Compliance-Funktion ihrem Auftrag nachkommt und gegenüber Dritten, wie der Aufsicht oder der Internen Revision, prüfungsfest agiert, ist eine angemessene und lückenlose Dokumentation ihrer Überwachungshandlungen unverzichtbar. Nur durch diesen lückenlosen Nachweis der eigenen Überwachungshandlungen stellt die Compliance-Funktion sicher, dass sie ihre Rolle als unabhängige Überwachungsinstanz erfüllt hat.
Interne Revision
Das Sicherheitsnetz unter dem Brennglas
Während die Compliance-Funktion die laufende Einhaltung überwacht, obliegt der Internen Revision die unabhängige Prüfung der Angemessenheit und Wirksamkeit des ESG-Risikomanagements. Mit dem Inkrafttreten des BRUBEG und der expliziten Verankerung der ESG-Risiken in den §§ 26c und 26d KWG rückt die Interne Revision stärker in den Fokus: Die Prüfung der Umsetzung der ESG-Risikomanagement-Anforderungen ist nun gesetzlich verbindlich und gewinnt dadurch erheblich an Bedeutung.
Besonders brisant: Mit dem Stichtag 01. April 2026 sind diese Anforderungen unmittelbar verbindlich.
26c KWG: ESG-Risiken als integrale Risikotreiber
Mit dem neuen § 26c KWG ist das ESG-Risikomanagement im Maschinenraum der Institutssteuerung angekommen. Die Regulatorik verlangt nun unmissverständlich, dass ESG-Risiken nicht isoliert betrachtet, sondern als wesentliche Treiber innerhalb der bestehenden Risikoarten identifiziert und gesteuert werden. Für die Interne Revision rückt damit die objektive Beurteilung der Risikorelevanz in den Fokus ihrer Prüfungshandlungen.
Aus Sicht der Internen Revision ist zu beurteilen, ob das Finanzinstitut die Auswirkungen von ESG-Faktoren über kurze, mittlere und lange Zeithorizonte hinweg konsistent und nachvollziehbar in die Risikoinventur sowie in die Stresstests einbezogen hat. Die besondere Herausforderung für die Interne Revision liegt hier in der Methodenprüfung unter Unsicherheit: Da belastbare Daten oft noch fehlen, beurteilt die Interne Revision, ob das Institut mit nachvollziehbaren, konservativen Herleitungen arbeitet oder ob man sich blind auf pauschale Annahmen verlässt. Nur eine methodisch saubere Herleitung schützt das Institut vor dem Vorwurf eines „regulatorischen Blindflugs“ bei der Risikotragfähigkeit.
26d KWG: Der ESG-Risikoplan als strategisches Prüfungsfeld
Ein völlig neues und hochkritisches Prüfungsobjekt ergibt sich aus § 26d KWG. Finanzinstitute sind nun gesetzlich verpflichtet, einen ESG-Risikoplan vorzuhalten, der die Steuerung von ESG-Risiken über einen Zeitraum von mindestens zehn Jahren festlegt. Für die Interne Revision ist dies kein gewöhnliches Strategiepapier, sondern ein verbindliches Dokument mit hoher Relevanz für die Organisationspflichten des Instituts.
Aus Sicht der Internen Revision ist insbesondere zu prüfen, ob der Plan inhaltlich konsistent ausgestaltet ist und mit der Geschäftsstrategie in Einklang steht. Dabei ist insbesondere zu analysieren, ob die definierten Meilensteine mit den langfristigen Zielsetzungen sowie dem aktuellen Risikoprofil des Instituts vereinbar sind. Ein lückenhafter oder widersprüchlicher ESG-Risikoplan stellt ab heute einen direkten Verstoß gegen gesetzliche Anforderungen dar.
Methodische Sauberkeit als Schutzschild
Im neuen regulatorischen Umfeld des BRUBEG steht die Interne Revision selbst im Fokus der Aufsicht. Bei externen Prüfungen ist davon auszugehen, dass verstärkt analysiert wird, mit welcher methodischen Tiefe und kritischen Distanz die Interne Revision die Umsetzung der §§ 26c und 26d KWG geprüft hat. Eine lückenlose und fachlich fundierte Dokumentation der Prüfungshandlungen ist daher unumgänglich, um der Rolle als dritte Verteidigungslinie gerecht zu werden.
Fazit
Ein belastbares ESG-Risikomanagement stellt keine isolierte Einzelleistung dar, sondern ist das Ergebnis eines präzise abgestimmten Zusammenspiels im Drei-Linien-Modell. Die regulatorische Standfestigkeit gegenüber externen Prüfungen entscheidet sich dabei an der Tiefe und methodischen Schärfe der internen Überwachungs- und Prüfprozesse:
- Die Fachabteilung (1st-Line) schafft durch eine Gap-Analyse sämtlicher Einzelanforderungen das Fundament und verantwortet die operative Umsetzung der regulatorischen Anforderungen.
- Die Compliance-Funktion (2nd-Line) verlässt den „regulatorischen Blindflug“ und überwacht die regelkonforme Umsetzung der Vorgaben.
- Die Interne Revision (3rd-Line) sichert das System schließlich durch objektive Prüfungshandlungen ab.
Nur durch dieses reibungslose Ineinandergreifen von operativer Umsetzung, systematischer Überwachung und unabhängiger Prüfung wandelt sich der regulatorische Druck in echte organisatorische Sicherheit. Die regulatorische Belastbarkeit steht und fällt dabei mit der praktischen Verzahnung der drei Verteidigungslinien.
Sie müssen sich anmelden, um einen Kommentar zu schreiben.