MaRisk für WpI - Teil 2: Neue Risikotaxonomie , BTR 4 und DORA in der Risikosteuerung

Der erste Teil dieser Serie hat gezeigt, wie im zweiten Entwurf der WpI-MaRisk (Konsultation 05/2026) der Allgemeine Teil von der Banken-MaRisk abweicht. Teil 2 nimmt nun die Risikosteuerung in den Blick – von der Risikoinventur über BTR 4 bis zur DORA-Abgrenzung.

Die WpI-Risikoinventur: RtC, RtM und RtF statt der Banken-Risikobegriffe

Die Risikoinventur der WpI-MaRisk bricht mit dem Banken-Risikobegriff. Die Banken-MaRisk denkt Risiko konsequent aus der Perspektive des Kreditinstituts: Adressenausfallrisiken, Marktpreisrisiken, Liquiditätsrisiken, operationelle Risiken – ein Katalog der Risiken, der historisch aus dem klassischen Einlagen- und Kreditgeschäft gewachsen ist (Banken-MaRisk AT 2.2 Tz. 1). Für Wertpapierinstitute, die weder Einlagen halten noch Kredite vergeben, passt dieser Rahmen nicht.

Der Risikobegriff der WpI-MaRisk orientiert sich hingegen an den drei WpIG-spezifischen Schadensdimensionen – Risiken für Kunden (Risk-to-Client – RtC), Risiken für den Markt (Risk-to-Market – RtM) und Risiken für das Institut selbst (Risk-to-Firm – RtF) (WpI-MaRisk AT 2.2 Tz. 1) Es bedeutet, dass Risikoinventur, Stresstests und interne Risikoberichte künftig nicht mehr an Banken-Kategorien gespiegelt, sondern am tatsächlichen Geschäftsmodell eines Wertpapierinstituts ausgerichtet werden müssen (BTR 1.1–1.3; BT 2).

Die neue BTR-Struktur macht diesen Wandel operativ greifbar: Risikomanagementprozesse werden nach BTR 1.1 (Risiken für Kunden), BTR 1.2 (Risiken für den Markt) und BTR 1.3 (Risiken für das Institut) gegliedert – nicht mehr nach klassischen Bankkategorien.

BTR 4: das Risiko einer ungeordneten Abwicklung (Wind-down)

Konsequenter Ausdruck des wirkungsorientierten Risikobegriffs ist eine Risikoart, die die Banken-MaRisk in dieser Form nicht kennt: das Risiko einer ungeordneten Abwicklung. Die Wind-down- und Abwicklungslogik sind dem Bankensektor zwar nicht fremd – diese sind dort aber in der Sanierungs- und Abwicklungsplanung (MaSanV, SAG/ BRRD) verortet und werden wesentlich von der Abwicklungsbehörde getragen. Die WpI-MaRisk verlagert dies demgegenüber direkt in das laufende Risikomanagement des Instituts: Mittlere Wertpapierinstitute müssen regelmäßig und anlassbezogen bestimmen, in welchem Zeitraum eine geordnete Abwicklung erfolgen könnte und welche abwicklungsspezifischen und laufenden Kosten in diesem Zeitraum anfielen – maßgeblich ist der Zeitraum bis zur Einstellung und Abwicklung der Wertpapierdienstleistungen beziehungsweise bis zur Rückgabe der Erlaubnis (BTR 4 Tz. 1). Diese Wind-down-Logik ist die aufsichtliche Übersetzung des Gedankens aus IFR/ IFD, dass bei einem Wertpapierinstitut nicht die Fortführung um jeden Preis, sondern die geordnete Marktaustritts-Fähigkeit im Vordergrund steht. Sie wirkt bereits in die Risikoinventur hinein: Mittlere Institute müssen das Abwicklungsrisiko dort nachvollziehbar betrachten (AT 2.2 Tz. 2). Die Ergebnisse sind schriftlich niederzulegen, auf Verlangen der Aufsicht zu erläutern und kritisch auf Handlungsbedarf zu prüfen (BTR 4 Tz. 1–2). Verschafft sich das Institut Eigentum oder Besitz an Kundengeldern oder -wertpapieren, müssen die Ergebnisse detaillierter ausfallen (BTR 4 Tz. 1). Für die Praxis heißt das: Wer Kundengelder hält, muss hier tiefer dokumentieren – ein Punkt, der in der internen Ressourcenplanung früh eingepreist werden sollte.

Modellvalidierung: Parallelen zwischen WpI-MaRisk und Banken-MaRisk

An dieser Stelle lohnt sich der Blick auf die 9. MaRisk-Novelle für Banken (Konsultation 02/2026): Auch dort schreitet die Entlastung kleinerer Häuser voran, indem die BaFin das Proportionalitätsprinzip über die Größenklassen „sehr kleine Institute" (Bilanzsumme im Vierjahresdurchschnitt ≤ 1 Mrd. €) und „kleine Institute" (SNCIs gemäß Art. 4 Abs. 1 Nr. 145 CRR, i. d. R. ≤ 5 Mrd. €) im geänderten Abschnitt AT 1 Tz. 3 (Erläuterung) fest verankert. Bei methodischen Steuerungsfragen zeigt sich eine deutliche Parallelität: So sieht der Banken-Entwurf in AT 4.1 Tz. 9 vor, dass der Mindestturnus für Folgevalidierungen von Risikomodellen einheitlich auf mindestens drei Jahre (sowie anlassbezogen) festgelegt wird. Zudem stellt die Banken-MaRisk in AT 4.1 Tz. 9 klar, dass kleine Institute (SNCIs) auf die strikte personelle Funktionstrennung zwischen Modellentwicklung und Validierung verzichten können.

Die WpI-MaRisk zieht hier prinzipienbasiert gleich: Während das Modul zur Risikotragfähigkeit (AT 4.1.1) ohnehin erst für mittlere Wertpapierinstitute verpflichtend ist, legt AT 4.1.1 Tz. 5 die Wahl der Methoden in die alleinige Verantwortung des Instituts. Anstatt starre Trennungsvorgaben für eine formale Validierung zu normieren, fordert das Regelwerk lediglich eine kritische Reflexion, ob die Verfahren die Risiken hinreichend konservativ abbilden.

Risikotragfähigkeit und Kapitalplanung: gespaltene Anwendung, neues Zielsystem

Bei Risikotragfähigkeit und Kapitalplanung differenziert der Entwurf bewusst zwischen den Größenklassen. Das Modul zur Risikotragfähigkeit (AT 4.1.1) gilt ausschließlich für mittlere Wertpapierinstitute (AT 4.1.1 Tz. 1) – die Kapitalplanung mit mehrjährigem Horizont und mindestens einem adversen Szenario verpflichtet hingegen Kleine und Mittlere gleichermaßen (AT 4.1.2). Kleine Institute sind damit nicht vollständig außen vor: Die BaFin kann über ihre Anordnungsbefugnis nach § 39 Abs. 3 WpIG auch von ihnen die Einhaltung der Tragfähigkeitsanforderungen verlangen (AT 4.1.1 Tz. 1). Inhaltlich noch bedeutsamer ist der konzeptionelle Bruch mit der Banken-Logik: Während die Banken-MaRisk die Risikotragfähigkeit primär aus der Fortführungsperspektive denkt, müssen die Verfahren der WpI-MaRisk neben der Fortführung des Instituts ausdrücklich auch den Anlegerschutz und die Marktintegrität angemessen berücksichtigen (AT 4.1.1 Tz. 3). Geschützt wird nicht in erster Linie die Bilanz des Instituts, sondern das anvertraute Kundenvermögen und die Funktionsfähigkeit des Markts.

Liquiditätsrisiken: gespalten nach Größenklasse, geschärft beim Eigenhandel (BTR 3)

Liquidität gehört zu den drei in der Risikoinventur explizit zu prüfenden Kernrisikoarten (AT 2.2 Tz. 1). Der Entwurf verlangt zunächst grundsätzlich, dass jedes Institut seine Zahlungsverpflichtungen jederzeit erfüllen kann (BTR 3 Tz. 1) und einen sich abzeichnenden Engpass frühzeitig erkennt, um gegensteuern zu können (BTR 3 Tz. 2).

Die eigentliche Differenzierung liegt im „Wie". Für Kleine Wertpapierinstitute genügt im Regelfall eine aussagekräftige Liquiditätsübersicht für einen geeigneten Zeitraum, die voraussichtliche Mittelzu- und -abflüsse gegenüberstellt – einschließlich der Auswirkungen verspäteter Zahlungseingänge und Ausfälle (BTR 3 Tz. 2). Mittlere Wertpapierinstitute trifft dagegen eine spürbar höhere Last: Sie müssen ihre liquiden Aktiva und sonstigen Liquiditätsressourcen so bemessen, dass der Liquiditätsbedarf sowohl in normalen Marktphasen als auch in vorab definierten Stressszenarien vollständig überbrückt werden kann – und sicherstellen, dass der Nutzung dieser Aktiva keine rechtlichen, regulatorischen, technischen oder operationellen Restriktionen entgegenstehen (BTR 3 Tz. 2). Maßnahmen zur Verhinderung bzw. Überwindung von Engpässen sind festzulegen und regelmäßig auf Angemessenheit zu überprüfen.

Eine dritte Stufe schaltet der Entwurf für das Geschäftsmodell hinzu, nicht für die Größenklasse: Bei Instituten, die Handel auf eigene Rechnung oder das Emissionsgeschäft betreiben, wird grundsätzlich auch die Steuerung des untertägigen Liquiditätsrisikos erwartet (Erläuterung „Untertägiges Liquiditätsrisiko" zu BTR 3 Tz. 1). Das ist die liquiditätsseitige Entsprechung zur abgestuften Logik, die sich durch den gesamten Entwurf zieht – nicht der Institutstyp allein entscheidet über die Anforderungstiefe, sondern das tatsächliche Aktivitätsprofil.

WpI-MaRisk und DORA: Abgrenzung beim IKT-Drittparteienrisiko

Hinsichtlich der Abgrenzung von WpI-MaRisk und DORA grenzt sich der Entwurf beim IKT-Drittparteienrisikomanagement klar vom DORA-Anwendungsbereich ab (AT 9 Tz. 1). IKT-Risiken sind aber weiterhin explizit in die Risikoinventur einzubeziehen (AT 2.2 Tz. 1). Das ist strukturell richtig und vermeidet Doppelregulierung: Institute, die ihre DORA-Compliance bereits aufgebaut haben, können diese Grundlage direkt nutzen – parallele, nationale Banken-Prozesse für das IKT-Risikomanagement sind für Wertpapierinstitute ohne Kundeneinlagen nicht erforderlich.

Der Haken: DORA-Compliance bedeutet nicht automatisch WpI-MaRisk-Compliance. Da DORA das Management von IKT-Drittparteienrisiken europarechtlich abschließend normiert (DORA Art. 28–30), legt die WpI-MaRisk für alle Nicht-IKT-Auslagerungen (wie die externe Vergabe von logistischen oder klassischen Backoffice-Tätigkeiten) eigene vertragliche Mindestanforderungen fest (AT 9 Tz. 7). Institute müssen im Rahmen einer klaren Abgrenzung prüfen, wo DORA endet und wo die spezifischen vertraglichen Pflichten der WpI-MaRisk greifen, um blinde Flecken im Auslagerungscontrolling zu vermeiden.

Beweislast und Dokumentation: der erhöhte Argumentationsbedarf

Hier verschiebt sich die Beweislast – der Kernpunkt, den viele Institute unterschätzen. Die Banken-MaRisk arbeitet mit einem dichten Netz aus Textziffern, Erläuterungen und eingespielten Prüfungserwartungen der Aufsicht. Wer die etablierten, konkretisierten Prüfungserwartungen abgearbeitet hatte, war regulatorisch weitgehend abgesichert.

Die WpI-MaRisk ist zwar – wie die Banken-MaRisk – prinzipienorientiert, ihr fehlt aber der über zwei Jahrzehnte gewachsene Auslegungs- und Erläuterungsapparat. Die geringere Regelungsdichte verlagert die Last auf das Institut: Es muss proaktiv begründen, warum seine konkrete Ausgestaltung dem Proportionalitätsprinzip entspricht (AT 1 Tz. 4), statt sich auf eine eingespielte Prüfungserwartung stützen zu können. Die BaFin gibt lediglich den Rahmen vor – die Argumentation liefert das Institut (AT 6 Tz. 2). Das gilt insbesondere für:

• Wesentlichkeitseinstufung nach AT 2.2: Die Ergebnisse der Risikoinventur steuern aktiv den Umfang und die Ausgestaltung der nachgelagerten BTR-Anforderungen. Diese Einstufungsentscheidung ist der Ausgangspunkt jeder regulatorischen Argumentation gegenüber der Aufsicht und muss lückenlos dokumentiert sein.
• Verzicht auf die Interne Revision: Eine Befreiung ist nur unter der strikten Einhaltung und expliziten Dokumentation der Kriterien gemäß AT 4.4.3 Tz. 1 zulässig.
• Personalunion in Kontrollfunktionen: Es ist der lückenlose Nachweis zu erbringen, dass trotz der organisatorischen Zusammenführung keine Interessenkonflikte entstehen (AT 4.4.1 Tz. 1; AT 4.4.2 Erläuterung zu Tz. 4; AT 4.4.3 Tz. 1).
• Stresstests: schlankere Anforderungen für mittlere WpI. Das Stresstest-Regime ist für mittlere Wertpapierinstitute verpflichtend (AT 4.3.3 Tz. 1); diese müssen jedoch die proportionale, reduzierte Ausgestaltung ihrer Szenarioanalysen gegenüber der Aufsicht sauber herleiten.
• Auslagerungsentscheidungen: Die vertragliche Verankerung der Überwachungsregelungen für das verbleibende Nicht-IKT-Umfeld wird zur dokumentierten Pflicht (AT 9 Tz. 7).

Fazit: WpI-MaRisk-Gap-Analyse und die nächsten Umsetzungsschritte

Wer die Zeit bis zum Inkrafttreten am 1. Januar 2027 (AT 1 Tz. 5) für eine strukturierte WpI-MaRisk-Gap-Analyse nutzen will, sollte drei Schritte priorisieren:

• Risikoinventur neu ausrichten & AT 2.2 nutzen: Bestehende Risikokategorien gegen die WpIG-spezifischen Schadensdimensionen (RtC, RtM, RtF) spiegeln (AT 2.2 Tz. 1). Die Wesentlichkeitseinstufung nach AT 2.2 sauber dokumentieren (AT 6 Tz. 2), da diese die konkrete Ableitung und den Umfang der BTR-Pflichten bestimmt (BTR Erläuterung „Wesentliche Risiken").
• DORA-WpI-MaRisk-Gap-Analyse: Abgleich des bestehenden Dienstleister-Portfolios zur sauberen Trennung von IKT-Verträgen (DORA Art. 28–30; Erläuterung zu AT 9 Tz. 1) und Nicht-IKT-Auslagerungen (WpI-MaRisk AT 9 Tz. 7).
• Proportionalitätsbegründung dokumentieren: Für jede in Anspruch genommene Erleichterung eine prüfungssichere, schriftliche Begründung auf Basis des spezifischen Risikoprofils vorbereiten (AT 1 Tz. 3; AT 1 Tz. 4; AT 6 Tz. 2).

Institute, die diese Schritte jetzt einleiten, sichern sich einen fundamentalen Vorteil – sowohl in zukünftigen Sonderprüfungen als auch bei der effizienten Gestaltung ihrer internen Steuerungsressourcen.

FAQ

Welche Risikoarten kennt die WpI-MaRisk?

Die WpI-MaRisk gliedert die Risiken aus laufender Tätigkeit in drei wirkungsorientierte Dimensionen: Risiken für die Kunden (Risk-to-Client, RtC), Risiken für den Markt (Risk-to-Market, RtM) und Risiken für das Institut selbst (Risk-to-Firm, RtF). Hinzu kommen sonstige Risiken, Liquiditätsrisiken und das Risiko einer ungeordneten Abwicklung (AT 2.2 Tz. 1; BTR). IKT-Risiken sind explizit in die Risikoinventur einzubeziehen.

Was ist das Risiko einer ungeordneten Abwicklung nach BTR 4?

Mittlere Wertpapierinstitute müssen regelmäßig und anlassbezogen bestimmen, in welchem Zeitraum eine geordnete Abwicklung erfolgen könnte und welche abwicklungsspezifischen und laufenden Kosten dabei anfallen würden.

Wie grenzt die WpI-MaRisk Auslagerungen von DORA ab?

Ausgelagerte oder fremdbezogene IKT-Dienstleistungen, die dem IKT-Drittparteienrisikomanagement nach Art. 28–30 DORA unterliegen, fallen nicht in den Anwendungsbereich der Auslagerungsregeln (AT 9 Tz. 1). Für Nicht-IKT-Auslagerungen gelten dagegen die vertraglichen Mindestanforderungen der WpI-MaRisk (AT 9 Tz. 7). IKT-Risiken bleiben unabhängig davon Teil der Risikoinventur.

Für wen gilt die Risikotragfähigkeit nach der WpI-MaRisk?

Das Modul zur Risikotragfähigkeit (AT 4.1.1) gilt grundsätzlich nur für mittlere Wertpapierinstitute (AT 4.1.1 Tz. 1). Die Kapitalplanung mit mehrjährigem Horizont und mindestens einem adversen Szenario verpflichtet hingegen kleine und mittlere Institute gleichermaßen (AT 4.1.2).

Müssen kleine Wertpapierinstitute Stresstests durchführen?

Die regelmäßige Stresstest-Pflicht trifft ausdrücklich mittlere Wertpapierinstitute (AT 4.3.3 Tz. 1); kleine Wertpapierinstitute sind hier weitgehend entlastet.

Warum steigt unter der WpI-MaRisk die Dokumentationslast?

Weil die schlankere, prinzipienorientierte Norm weniger Detailvorgaben macht: Das Institut muss eigenständig begründen, warum seine Ausgestaltung dem Proportionalitätsprinzip entspricht (AT 1 Tz. 4), und wesentliche Festlegungen dokumentieren (AT 6 Tz. 2).