AT 4.3.3 regelt, wie Du Risiken identifizierst, bewertest und durch Stresstests absicherst.
Für kleine Institute bedeutet das: Du kannst hier viel vereinfachen – solange Deine Wesentlichkeitsprüfung (siehe Artikel 2) solide ist.
Mittlere Institute haben etwas mehr Pflichten, können diese aber gezielt skalieren.
ABSCHNITT/THEMA / KERNAUSSAGE / KLEINE WPI / MITTLERE WPI / TO-DO/NACHWEIS
1) Zielsetzung BaFin
- Frühwarnsystem, Schockvermeidung durch Szenarien, Proportionalität
- Vereinfachen ist erlaubt – solide Wesentlichkeitsprüfung nötig
- Erhöhte Tiefe, aber skalierbar nach Risiko & Komplexität
- Grundsatzpapier zu AT 4.3.3 mit Proportionalitätsbegründung
2) Risikoinventur
- Systematische Erfassung wesentlicher Risiken
- 1× jährlich; Fokus auf wesentliche Risiken
- Laufende Erfassung + jährliche Vollinventur
- Risikoinventar, Materialitätskriterien (AT 2.2)
2) Stresstests
- Szenarien zur Beurteilung der Widerstandsfähigkeit
- Einfache Einzelszenarien (z. B. IT-Ausfall, Umsatzrückgang)
- Quantitative Modelle/Mehrfach-Szenarien (Kombi-Schocks)
- Stresstestplan, Ergebnisse, Maßnahmenpläne
2) Dokumentation
- Nachvollziehbarkeit & Prüfungsfestigkeit
- Kurzbericht: Szenario, Ergebnis, Maßnahmen
- Detailberichte: Methodik, Annahmen, Berechnungen, Ableitungen
- Versionierung, Freigaben, Revisionsspur
2) Frequenz
- Regelmäßigkeit + Anlassbezug
- Mind. jährlich; ad hoc bei Änderungen
- Mind. jährlich; quartalsweise Updates wesentlicher Risiken
- Jahresplan + Anlass-Trigger (Schwellen/KRI)
2) Interne Kommunikation
- Managementeinbindung sicherstellen
- Direkt an Geschäftsleitung berichten
- Regelberichte an Geschäftsleitung & Risikokomitee
- GL-Protokolle, Komitee-Minutes
3) Schritt 1 – Auswahl
- Wesentlichkeit filtert Prüfungsumfang
- Nur wesentliche Risiken in das Programm
- Gleiches Prinzip, aber breiter & datenbasiert (KRI)
- AT 2.2-Nachweis, Materialitäts-Memo
3) Schritt 2 – Szenarien
- Klar, plausibel, institutsspezifisch
- Max. 3–5 einfache Szenarien/Jahr
- Mehrdimensionale Szenarien inkl. Markt & Liquidität
- Szenario-Steckbriefe mit Parametern
3) Schritt 3 – Wirkung
- Auswirkungen qualitativ/quantitativ abschätzen
- Qualitativ + grobe €/%-Schätzung optional
- Quant-Auswertung, Verlustwahrscheinlichkeiten
- Impact-Tabellen, Sensitivitäten
3) Schritt 4 – Maßnahmen
- Konkrete Steuerungsimpulse
- Notfallpläne, Limits, Kreditlinien anpassen
- Kapitalmaßnahmen, Pufferstrategie, Eskalationswege
- Maßnahmenplan mit Verantwortlichen & Terminen
3) Schritt 5 – Dokumentieren
- Prüfungssichere Ablage
- Muster-Tabelle (Risiko, Szenario, Wirkung, Maßnahme …)
- Berichte für GL/Risikokomitee, SREP-fähig
- Doku-Checkliste, Ablageordnung
4) Mittlere WpI – erweitert
- ILAAP-Anbindung & Governance
- —
- Lfd. Monitoring (KRI), Kombi-Szenarien, ICAAP/ILAAP-Integration
- ILAAP-Handbuch, Reporting-Kalender
5) Typische Fehler
- Unproportional, zu komplex, ohne Maßnahmen & Rückkopplung
- „Keep it simple“, Auswahl begründen
- Praxis statt „Papierübung“, Anlass-Stresstests
- Lessons-Learned-Log, Abstellmaßnahmen
6) Schnittstellen
- Verzahnung mit anderen AT-Bereichen
- AT 2.2 (Wesentlichkeit), AT 7 (Notfall)
- AT 4.1 (Kapitalplanung), ICAAP/ILAAP
- Mapping-Tabelle AT 2.2 / AT 4.1 / AT 7
7) Praxis-Tipp (klein)
- Einfach, aber prüfungssicher
- 3–5 Szenarien, klare Begründung, GL-Protokoll
- —
- Vorlage: Szenario-Steckbrief & Maßnahmenplan
8) Fazit
- Wesentlichkeit + klare Szenarien + Maßnahmen = wirksame Steuerung
- Ressourcenschonend & proportional
- Skaliert & SREP-tauglich
- Jährlicher Review, KPIs & Trigger festlegen
1. Zielsetzung der BaFin bei AT 4.3.3
KRITERIUM / KLEINE WERTPAPIERINSTITUTE / MITTLERE WERTPAPIERINSTITUTE
Risikoinventur
- 1× jährlich, Fokus auf wesentliche Risiken
- Laufende Risikoerfassung + jährliche Vollinventur
Stresstests
- Nur für wesentliche Risiken, einfache Szenarien (z. B. Umsatzrückgang, IT-Ausfall)
- Für alle wesentlichen Risiken, quantitative Modelle oder Szenario-Kombinationen
Dokumentationspflicht
- Kurzbericht mit Szenario-Beschreibung, Ergebnis & Handlungsempfehlung
- Detaillierte Berichte inkl. Methodik, Annahmen, Berechnungen und Ableitungen
Frequenz
- Min. jährlich, ad hoc bei gravierenden Änderungen
- Min. jährlich, quartalsweise Updates bei wesentlichen Risiken
Interne Kommunikation
- Direkter Bericht an Geschäftsleitung
- Regelmäßige Berichte an Geschäftsleitung + Risikokomitee
Schritt 1 – Risiken auswählen
Nutze Deine Wesentlichkeitsprüfung (AT 2.2) als Filter:
Muster für kleine Institute:
RISIKO / SZENARIO / AUSWIRKUNG / MASSNAHME / DATUM / VERANTWORTLICH
IT-Ausfall
- 2 Tage Downtime
- Verzögerung von Kundenaufträgen, Reputationsschaden
- Redundante Serverstruktur prüfen
- 15.07.2025
- IT-Leiter
Umsatzrückgang
- -30 % in Q4
- Verlust von 200 TEUR, Liquiditätsreserve belastet
- Marketingbudget kürzen, Kreditlinie anpassen
- 15.07.2025
- CFO
4. Umsetzung für mittlere Institute – die erweiterten Anforderungen
- Alles testen, ohne Wesentlichkeit zu prüfen → unnötiger Aufwand, nicht proportional
- Szenarien zu komplex → kleine Institute verlieren Fokus, Ergebnisse werden unverständlich
- Keine klare Ableitung von Maßnahmen → BaFin sieht Stresstests als „Papierübung“
- Ergebnisse nicht ins Risikomanagement zurückgespielt → keine Steuerungswirkung
6. Schnittstellen zu anderen MaRisk-Bereichen
Keep it simple – aber prüfungssicher:
Mit AT 4.3.3 gibt Dir die BaFin ein Werkzeug in die Hand, um Risiken gezielt zu prüfen und steuernd einzugreifen – ohne dass Du als kleines Institut unnötige Ressourcen verschwendest.
Der Schlüssel liegt in der Verknüpfung von Wesentlichkeit, klaren Szenarien und praktischen Maßnahmen.
Tipp: Du kannst unser kostenfreies Whitepaper zu WpI MaRisk 2025 direkt hier anfordern.
WpI MaRisk 2025 – Ressourcen & Praxisleitfäden
Dein Einstieg
AT-Module – Allgemeiner Teil
BTR-Module – Risikomanagement
Für kleine Institute bedeutet das: Du kannst hier viel vereinfachen – solange Deine Wesentlichkeitsprüfung (siehe Artikel 2) solide ist.
Mittlere Institute haben etwas mehr Pflichten, können diese aber gezielt skalieren.
ABSCHNITT/THEMA / KERNAUSSAGE / KLEINE WPI / MITTLERE WPI / TO-DO/NACHWEIS
1) Zielsetzung BaFin
- Frühwarnsystem, Schockvermeidung durch Szenarien, Proportionalität
- Vereinfachen ist erlaubt – solide Wesentlichkeitsprüfung nötig
- Erhöhte Tiefe, aber skalierbar nach Risiko & Komplexität
- Grundsatzpapier zu AT 4.3.3 mit Proportionalitätsbegründung
2) Risikoinventur
- Systematische Erfassung wesentlicher Risiken
- 1× jährlich; Fokus auf wesentliche Risiken
- Laufende Erfassung + jährliche Vollinventur
- Risikoinventar, Materialitätskriterien (AT 2.2)
2) Stresstests
- Szenarien zur Beurteilung der Widerstandsfähigkeit
- Einfache Einzelszenarien (z. B. IT-Ausfall, Umsatzrückgang)
- Quantitative Modelle/Mehrfach-Szenarien (Kombi-Schocks)
- Stresstestplan, Ergebnisse, Maßnahmenpläne
2) Dokumentation
- Nachvollziehbarkeit & Prüfungsfestigkeit
- Kurzbericht: Szenario, Ergebnis, Maßnahmen
- Detailberichte: Methodik, Annahmen, Berechnungen, Ableitungen
- Versionierung, Freigaben, Revisionsspur
2) Frequenz
- Regelmäßigkeit + Anlassbezug
- Mind. jährlich; ad hoc bei Änderungen
- Mind. jährlich; quartalsweise Updates wesentlicher Risiken
- Jahresplan + Anlass-Trigger (Schwellen/KRI)
2) Interne Kommunikation
- Managementeinbindung sicherstellen
- Direkt an Geschäftsleitung berichten
- Regelberichte an Geschäftsleitung & Risikokomitee
- GL-Protokolle, Komitee-Minutes
3) Schritt 1 – Auswahl
- Wesentlichkeit filtert Prüfungsumfang
- Nur wesentliche Risiken in das Programm
- Gleiches Prinzip, aber breiter & datenbasiert (KRI)
- AT 2.2-Nachweis, Materialitäts-Memo
3) Schritt 2 – Szenarien
- Klar, plausibel, institutsspezifisch
- Max. 3–5 einfache Szenarien/Jahr
- Mehrdimensionale Szenarien inkl. Markt & Liquidität
- Szenario-Steckbriefe mit Parametern
3) Schritt 3 – Wirkung
- Auswirkungen qualitativ/quantitativ abschätzen
- Qualitativ + grobe €/%-Schätzung optional
- Quant-Auswertung, Verlustwahrscheinlichkeiten
- Impact-Tabellen, Sensitivitäten
3) Schritt 4 – Maßnahmen
- Konkrete Steuerungsimpulse
- Notfallpläne, Limits, Kreditlinien anpassen
- Kapitalmaßnahmen, Pufferstrategie, Eskalationswege
- Maßnahmenplan mit Verantwortlichen & Terminen
3) Schritt 5 – Dokumentieren
- Prüfungssichere Ablage
- Muster-Tabelle (Risiko, Szenario, Wirkung, Maßnahme …)
- Berichte für GL/Risikokomitee, SREP-fähig
- Doku-Checkliste, Ablageordnung
4) Mittlere WpI – erweitert
- ILAAP-Anbindung & Governance
- —
- Lfd. Monitoring (KRI), Kombi-Szenarien, ICAAP/ILAAP-Integration
- ILAAP-Handbuch, Reporting-Kalender
5) Typische Fehler
- Unproportional, zu komplex, ohne Maßnahmen & Rückkopplung
- „Keep it simple“, Auswahl begründen
- Praxis statt „Papierübung“, Anlass-Stresstests
- Lessons-Learned-Log, Abstellmaßnahmen
6) Schnittstellen
- Verzahnung mit anderen AT-Bereichen
- AT 2.2 (Wesentlichkeit), AT 7 (Notfall)
- AT 4.1 (Kapitalplanung), ICAAP/ILAAP
- Mapping-Tabelle AT 2.2 / AT 4.1 / AT 7
7) Praxis-Tipp (klein)
- Einfach, aber prüfungssicher
- 3–5 Szenarien, klare Begründung, GL-Protokoll
- —
- Vorlage: Szenario-Steckbrief & Maßnahmenplan
8) Fazit
- Wesentlichkeit + klare Szenarien + Maßnahmen = wirksame Steuerung
- Ressourcenschonend & proportional
- Skaliert & SREP-tauglich
- Jährlicher Review, KPIs & Trigger festlegen
1. Zielsetzung der BaFin bei AT 4.3.3
- Frühwarnsystem für Risiken
- Vermeidung von Schocks durch Szenario-Analysen
- Proportionalität: Aufwand muss zur Größe, Komplexität und Risikostruktur passen
KRITERIUM / KLEINE WERTPAPIERINSTITUTE / MITTLERE WERTPAPIERINSTITUTE
Risikoinventur
- 1× jährlich, Fokus auf wesentliche Risiken
- Laufende Risikoerfassung + jährliche Vollinventur
Stresstests
- Nur für wesentliche Risiken, einfache Szenarien (z. B. Umsatzrückgang, IT-Ausfall)
- Für alle wesentlichen Risiken, quantitative Modelle oder Szenario-Kombinationen
Dokumentationspflicht
- Kurzbericht mit Szenario-Beschreibung, Ergebnis & Handlungsempfehlung
- Detaillierte Berichte inkl. Methodik, Annahmen, Berechnungen und Ableitungen
Frequenz
- Min. jährlich, ad hoc bei gravierenden Änderungen
- Min. jährlich, quartalsweise Updates bei wesentlichen Risiken
Interne Kommunikation
- Direkter Bericht an Geschäftsleitung
- Regelmäßige Berichte an Geschäftsleitung + Risikokomitee
Schritt 1 – Risiken auswählen
Nutze Deine Wesentlichkeitsprüfung (AT 2.2) als Filter:
- Nur Risiken, die wesentlich eingestuft sind, kommen ins Stresstest-Programm.
- Beispiel Marktpreisrisiko: Kursrückgang von 20 % innerhalb eines Monats
- Beispiel Liquiditätsrisiko: Umsatzrückgang von 30 % in 3 Monaten
- Beispiel IT-Risiko: Systemausfall von 2 Tagen während Hauptgeschäftszeit
- Qualitativ: Welche Prozesse, Kunden, Umsätze sind betroffen?
- Quantitativ (optional): Grobe Schadensschätzung in EUR oder % vom Ergebnis
- Sofortmaßnahmen (Notfallpläne)
- Präventive Anpassungen (z. B. Notfall-IT, Kreditlinien)
- Anpassung von Limits
Muster für kleine Institute:
RISIKO / SZENARIO / AUSWIRKUNG / MASSNAHME / DATUM / VERANTWORTLICH
IT-Ausfall
- 2 Tage Downtime
- Verzögerung von Kundenaufträgen, Reputationsschaden
- Redundante Serverstruktur prüfen
- 15.07.2025
- IT-Leiter
Umsatzrückgang
- -30 % in Q4
- Verlust von 200 TEUR, Liquiditätsreserve belastet
- Marketingbudget kürzen, Kreditlinie anpassen
- 15.07.2025
- CFO
4. Umsetzung für mittlere Institute – die erweiterten Anforderungen
- Risikoidentifikation: Laufendes Monitoring, z. B. über Key Risk Indicators (KRI)
- Mehrdimensionale Szenarien: Kombination mehrerer Risiken (z. B. Marktcrash + Liquiditätsengpass)
- Quantitative Simulationen: Nutzung von Modellen zur Berechnung von Verlustwahrscheinlichkeiten
- Regelmäßige Berichte: Vorlage im Risikokomitee, Integration in ICAAP
- Ableitung von Kapitalmaßnahmen: Verbindung zur Kapitalplanung (AT 4.1)
- Alles testen, ohne Wesentlichkeit zu prüfen → unnötiger Aufwand, nicht proportional
- Szenarien zu komplex → kleine Institute verlieren Fokus, Ergebnisse werden unverständlich
- Keine klare Ableitung von Maßnahmen → BaFin sieht Stresstests als „Papierübung“
- Ergebnisse nicht ins Risikomanagement zurückgespielt → keine Steuerungswirkung
6. Schnittstellen zu anderen MaRisk-Bereichen
- AT 2.2 Wesentlichkeit → Filtert, welche Risiken getestet werden
- AT 4.1 Kapitalplanung → Stresstestergebnisse fließen in Kapitalpuffer ein
- AT 7 Notfallmanagement → Szenarien können als Grundlage für Notfallübungen dienen
Keep it simple – aber prüfungssicher:
- Max. 3–5 Szenarien pro Jahr
- Klare, verständliche Begründung der Auswahl
- Direkte Verknüpfung zu Maßnahmen & Verantwortlichkeiten
- Ergebnisse immer in der nächsten Geschäftsleitungssitzung protokollieren
Mit AT 4.3.3 gibt Dir die BaFin ein Werkzeug in die Hand, um Risiken gezielt zu prüfen und steuernd einzugreifen – ohne dass Du als kleines Institut unnötige Ressourcen verschwendest.
Der Schlüssel liegt in der Verknüpfung von Wesentlichkeit, klaren Szenarien und praktischen Maßnahmen.
Tipp: Du kannst unser kostenfreies Whitepaper zu WpI MaRisk 2025 direkt hier anfordern.
WpI MaRisk 2025 – Ressourcen & Praxisleitfäden
Dein Einstieg
AT-Module – Allgemeiner Teil
- AT 2.2 Wesentlichkeitsprüfung – Dein Praxisleitfaden
- AT 4.3.3 Risikomanagement & Stresstests
- AT 4.3.3 Stresstests für kleine Institute
- AT 7.3 Notfallmanagement – kompakt erklärt
BTR-Module – Risikomanagement
- BTR – Allgemeine Anforderungen
- BTR 1 – Risiken aus laufender Tätigkeit
- BTR 2 – Sonstige Risiken der laufenden Tätigkeit
- BTR 3 – Liquiditätsrisiken wirksam steuern
- BTR 4 – Risiko einer ungeordneten Abwicklung
- Risikomanagement – Anforderungen in BT 2, BTR 3 & BTR 4
- Risikomanagement nach WpI MaRisk – Umsetzung in der Praxis
- ILAAP 2025 – Anforderungen für kleine und mittlere Institute
