Risikocontrolling in Entscheidungen einbinden (MaRisk AT 4.4.1)

Die Leitung der Risikocontrolling-Funktion ist bei wesentlichen risikopolitischen Entscheidungen der Geschäftsleitung zu beteiligen – insbesondere bei Risikostrategie, Risikobegrenzungssystemen und der Festlegung von Limiten (MaRisk AT 4.4.1 Tz. 2). Ziel ist eine stärkere Risikoperspektive in der Geschäftssteuerung und robuste Governance-Strukturen.

Aufgaben der Risikocontrolling-Funktion

Gemäß MaRisk AT 4.4.1 Tz. 2 umfasst das Risikocontrolling u. a.:

Strategische Unterstützung: Mitarbeit bei Entwicklung/Umsetzung der Risikostrategie und beim System zur Risikobegrenzung.
Risikoinventur & Gesamtrisikoprofil: Planung, Durchführung und konsolidierte Darstellung.
Prozess-Exzellenz: Aufbau und Weiterentwicklung von Risikosteuerungs- und -controllingprozessen.
Kennzahlen & Frühwarnung: Definition eines Risikokennzahlensystems inkl. Früherkennungsverfahren (KRIs).
Überwachung & Tragfähigkeit: Laufende Risikolage, Risikotragfähigkeit und Limiteinhaltung.
Reporting: Regelmäßige Risikoberichte an Geschäftsleitung/Aufsichtsgremien.
Eskalation: Unverzügliche Weitergabe wesentlicher Risiko-Informationen an Management, Verantwortliche und ggf. Interne Revision.

Aufgaben der Funktion

Aufgabe	Kurzbeschreibung
Strategie & Risikobegrenzung	Mitarbeit an Risikostrategie, Methoden & Policies zur Begrenzung.
Risikoinventur & Profil	Planen, durchführen und Gesamtrisikoprofil konsolidieren.
Prozesse & Methoden	Risikosteuerungs- und -controllingprozesse aufbauen/weiterentwickeln.
KRIs & Frühwarnung	Risikokennzahlen definieren, Schwellen festlegen, Trends monitoren.
Überwachung & Tragfähigkeit	Laufende Risikolage, Limiteinhaltung und Risikotragfähigkeit prüfen.
Reporting	Regel- und Ad-hoc-Berichte an Geschäftsleitung/Aufsicht erstellen.
Eskalation	Wesentliche Risiken/Abweichungen unverzüglich adressieren.
Stresstests & Szenarien	Annahmen abstimmen, Ergebnisse bewerten und einbinden.

Vom „Zahlenlieferanten“ zum Sparrings-Partner

Auf Basis der EBA-Guidelines on internal governance agiert das Risikocontrolling heute als unabhängige, beratende Instanz und Sparrings-Partner der Geschäftsleitung – mit vollem Informationszugang, klaren Befugnissen und direkter Berichtslinie.

Organisatorische Verankerung (CRO-Rolle)

Systemrelevante Institute: Erwartet wird ein CRO auf Vorstandsebene.
Nicht systemrelevante Institute: Trennung von Marktfolge und Risikocontrolling bis in die 2. / 3. Führungsebene – mit direkter Berichtslinie zur Geschäftsleitung.
Wechsel in der Leitung: Aufsichtsorgan ist zu informieren (inkl. Wechselgründen).
Zulässige Bündelungen: Bei max. drei Geschäftsleitern kann eine einheitliche Leitung der 2. Ebene zulässig sein, sofern Interessenkonflikte ausgeschlossen sind, keine Geschäftsanbahnung erfolgt und Votierungskompetenzen sauber geregelt sind.

Frühzeitige Einbindung in Entscheidungen

Die Funktion ist frühzeitig zu beteiligen – insbesondere bei:

Änderungen der Geschäfts-/Risikostrategie
Anpassungen von Risikoappetit und Limiten
Planungs-, Anlage- und Portfoliobeschlüssen mit wesentlichem Risikoimpact

Prinzipien:

Risikoperspektive muss im Entscheidungsprozess angemessen berücksichtigt werden.
Verantwortung für Entscheidungen verbleibt bei Linie/Management.
Direkte Kommunikation zwischen Leiter Risikocontrolling und GL/Aufsichtsausschüssen ist sicherzustellen – auch bei Abweichungen von Risikoappetit/Strategie.

Praxisbeispiele:

Adressenrisikostrategie: Mitwirkung des Risikocontrollings auf Strategie-, nicht zwingend auf Einzelgeschäftsebene. Bei Abweichungsbeschlüssen erneute Beteiligung.
Limite im Anlageausschuss: Marktfolge sitzt im Gremium; Überstimmen ausgeschlossen bzw. Votierung liegt bei Marktfolge.

„Beteiligen“ vs. „Einbeziehen“

Die BaFin hält an „beteiligen“ fest (statt „einbeziehen“):
Beteiligung stärkt Unabhängigkeit und Gewicht der Funktion, ohne die Überwachungsrolle zu kompromittieren.

Abgrenzung zur Internen Revision

Risikocontrolling: Beratend, überwachend, ohne Stimm-/Vetorecht in der operativen Entscheidungsfindung; mit Eskalations- und Informationsrechten.
Interne Revision: Unabhängig, prüfend; kein direkter Einfluss auf Entscheidungen (insb. kein Stimm-/Vetorecht).

DSGV-Auslegung zum „Veto“

Beteiligung ist verbindlich, ein Veto-Recht des Risikocontrollings ist nicht vorgesehen.
Mindestens zu beteiligen bei allen Entscheidungen im AT 4.4.1-Zuständigkeitsbereich sowie bei grundlegenden Auswirkungen auf das Risikoprofil (Planung, Anlageausschuss, wesentliche Vorstandspunkte).
Liegt die Leitung unterhalb der Geschäftsleiterebene, ist unmittelbare Stellungnahme zur Entscheidung sicherzustellen.

Umsetzungs-Checkliste (Quick Wins)

Mandat & Rollen: schriftlich fixierte Beteiligungspflichten in Policies/GO.
Frühwarn-Trigger: klare Eskalationsschwellen (KRI-Schwellwerte, Limit-Nutzung).
Sitzungsdesign: Fixplatz für Risikocontrolling in Strategie-/Limit-/Planungsgremien.
Reporting-Takt: Monats-/Quartalsberichte plus Ad-hoc-Meldungen.
Datenzugriff: Vollständiger, zeitnaher Zugang zu Risiko-, Finanz- und Marktdaten.
Konflikttrennung: Saubere Trennung von Markt/Marktfolge/Risikocontrolling bis in die Ebenen.

Mit dieser Struktur verankern Institute das Risikocontrolling sichtbar, wirksam und prüfungssicher im Entscheidungsprozess – genau dort, wo strategische Weichen gestellt und Risikoappetit, Limite und Resilienz definiert werden.

Weiterführend: Wie Sie Interessenkonflikte, Geschäftsfortführungspläne und die Rolle der Internen Revision im Auslagerungscontrolling sicher regeln, lesen Sie im Beitrag „Auslagerung: Interessenkonflikte, Geschäftsführungspläne und Interne Revision“.

Praxisbeispiele: Risikocontrolling in Entscheidungen einbinden (MaRisk AT 4.4.1)

Praxisbeispiel	Umsetzung & Rolle des Risikocontrollings
Adressenrisikostrategie	Risikocontrolling wirkt bei der Entwicklung und Anpassung der Strategie mit; auf Einzelgeschäftsebene nicht zwingend. Bei Abweichungsbeschlüssen erneute Beteiligung erforderlich.
Limite im Anlageausschuss	Marktfolge sitzt im Gremium. Überstimmen des Risikocontrollings ist ausgeschlossen, Votierungskompetenz liegt bei der Marktfolge. Risikocontrolling gibt unabhängige Einschätzung ab.
Risikostrategie & Risikoappetit	Frühzeitige Einbindung bei Änderungen von Risikoappetit und Risikolimiten. Risikocontrolling liefert Szenario-Analysen und Tragfähigkeitsbewertungen.
Planungs- & Portfolioentscheidungen	Beteiligung bei wesentlichen Beschlüssen mit Risikoimpact (z. B. Kapitalallokation, Investitionen). Risikocontrolling prüft Limitauslastung und Risikotragfähigkeit.
Stresstests & Szenarioanalysen	Ergebnisse werden in Entscheidungsprozesse eingebracht. Risikocontrolling stimmt Annahmen mit der Geschäftsleitung ab und bewertet Auswirkungen auf Risikoappetit.
Eskalation wesentlicher Risiken	Bei Abweichungen von Limits oder Risikoappetit unmittelbare Information an Geschäftsleitung und ggf. Aufsichtsorgan. Direkter Kommunikationsweg zum CRO oder Leiter Risikocontrolling.

Quick Wins: Umsetzung MaRisk AT 4.4.1

Handlungsfeld	Maßnahme
Mandat & Rollen	Beteiligungspflichten schriftlich fixieren (Policies, Geschäftsordnung)
Frühwarn-Trigger	Definierte KRI-Schwellen & Limit-Auslastungen als Eskalationspunkte
Sitzungsdesign	Fester Platz des Risikocontrollings in Strategie-, Limit- und Planungsgremien
Reporting-Takt	Monatliche/Quartalsberichte plus Ad-hoc-Meldungen bei Abweichungen
Datenzugriff	Vollständiger, zeitnaher Zugriff auf Risiko-, Finanz- und Marktdaten
Konflikttrennung	Saubere organisatorische Trennung von Markt, Marktfolge und Risikocontrolling

Stärken Sie Ihre Steuerungskompetenz mit unserem kompakten Update für Führungskräfte im Risikomanagement:

Stärken Sie Ihre Steuerungskompetenz mit unserem kompakten Update für Führungskräfte: KPIs, Predictive Analytics & AI praxisnah anwenden, Controlling als Führungsinstrument nutzen und Performance messbar verbessern. Sie arbeiten mit der S+P Tool Box (Templates, Checklisten, Quick-Guides) und schließen auf Wunsch mit S+P Certified ab.

Mehr zu diesem Thema

Seminare

Über S+P

Kontakt

Kontakt