AT 4.3.3 regelt, wie Du Risiken identifizierst, bewertest und durch Stresstests absicherst.
Für kleine Institute bedeutet das: Du kannst hier viel vereinfachen – solange Deine Wesentlichkeitsprüfung (siehe Artikel 2) solide ist.
Mittlere Institute haben etwas mehr Pflichten, können diese aber gezielt skalieren.
ABSCHNITT/THEMA / KERNAUSSAGE / KLEINE WPI / MITTLERE WPI / TO-DO/NACHWEIS
1) Zielsetzung BaFin
– Frühwarnsystem, Schockvermeidung durch Szenarien, Proportionalität
– Vereinfachen ist erlaubt – solide Wesentlichkeitsprüfung nötig
– Erhöhte Tiefe, aber skalierbar nach Risiko & Komplexität
– Grundsatzpapier zu AT 4.3.3 mit Proportionalitätsbegründung
2) Risikoinventur
– Systematische Erfassung wesentlicher Risiken
– 1× jährlich; Fokus auf wesentliche Risiken
– Laufende Erfassung + jährliche Vollinventur
– Risikoinventar, Materialitätskriterien (AT 2.2)
2) Stresstests
– Szenarien zur Beurteilung der Widerstandsfähigkeit
– Einfache Einzelszenarien (z. B. IT-Ausfall, Umsatzrückgang)
– Quantitative Modelle/Mehrfach-Szenarien (Kombi-Schocks)
– Stresstestplan, Ergebnisse, Maßnahmenpläne
2) Dokumentation
– Nachvollziehbarkeit & Prüfungsfestigkeit
– Kurzbericht: Szenario, Ergebnis, Maßnahmen
– Detailberichte: Methodik, Annahmen, Berechnungen, Ableitungen
– Versionierung, Freigaben, Revisionsspur
2) Frequenz
– Regelmäßigkeit + Anlassbezug
– Mind. jährlich; ad hoc bei Änderungen
– Mind. jährlich; quartalsweise Updates wesentlicher Risiken
– Jahresplan + Anlass-Trigger (Schwellen/KRI)
2) Interne Kommunikation
– Managementeinbindung sicherstellen
– Direkt an Geschäftsleitung berichten
– Regelberichte an Geschäftsleitung & Risikokomitee
– GL-Protokolle, Komitee-Minutes
3) Schritt 1 – Auswahl
– Wesentlichkeit filtert Prüfungsumfang
– Nur wesentliche Risiken in das Programm
– Gleiches Prinzip, aber breiter & datenbasiert (KRI)
– AT 2.2-Nachweis, Materialitäts-Memo
3) Schritt 2 – Szenarien
– Klar, plausibel, institutsspezifisch
– Max. 3–5 einfache Szenarien/Jahr
– Mehrdimensionale Szenarien inkl. Markt & Liquidität
– Szenario-Steckbriefe mit Parametern
3) Schritt 3 – Wirkung
– Auswirkungen qualitativ/quantitativ abschätzen
– Qualitativ + grobe €/%-Schätzung optional
– Quant-Auswertung, Verlustwahrscheinlichkeiten
– Impact-Tabellen, Sensitivitäten
3) Schritt 4 – Maßnahmen
– Konkrete Steuerungsimpulse
– Notfallpläne, Limits, Kreditlinien anpassen
– Kapitalmaßnahmen, Pufferstrategie, Eskalationswege
– Maßnahmenplan mit Verantwortlichen & Terminen
3) Schritt 5 – Dokumentieren
– Prüfungssichere Ablage
– Muster-Tabelle (Risiko, Szenario, Wirkung, Maßnahme …)
– Berichte für GL/Risikokomitee, SREP-fähig
– Doku-Checkliste, Ablageordnung
4) Mittlere WpI – erweitert
– ILAAP-Anbindung & Governance
– —
– Lfd. Monitoring (KRI), Kombi-Szenarien, ICAAP/ILAAP-Integration
– ILAAP-Handbuch, Reporting-Kalender
5) Typische Fehler
– Unproportional, zu komplex, ohne Maßnahmen & Rückkopplung
– „Keep it simple“, Auswahl begründen
– Praxis statt „Papierübung“, Anlass-Stresstests
– Lessons-Learned-Log, Abstellmaßnahmen
6) Schnittstellen
– Verzahnung mit anderen AT-Bereichen
– AT 2.2 (Wesentlichkeit), AT 7 (Notfall)
– AT 4.1 (Kapitalplanung), ICAAP/ILAAP
– Mapping-Tabelle AT 2.2 / AT 4.1 / AT 7
7) Praxis-Tipp (klein)
– Einfach, aber prüfungssicher
– 3–5 Szenarien, klare Begründung, GL-Protokoll
– —
– Vorlage: Szenario-Steckbrief & Maßnahmenplan
8) Fazit
– Wesentlichkeit + klare Szenarien + Maßnahmen = wirksame Steuerung
– Ressourcenschonend & proportional
– Skaliert & SREP-tauglich
– Jährlicher Review, KPIs & Trigger festlegen
1. Zielsetzung der BaFin bei AT 4.3.3
Frühwarnsystem für Risiken
Vermeidung von Schocks durch Szenario-Analysen
Proportionalität: Aufwand muss zur Größe, Komplexität und Risikostruktur passen
2. Kleine vs. mittlere Institute – die Kernunterschiede
KRITERIUM / KLEINE WERTPAPIERINSTITUTE / MITTLERE WERTPAPIERINSTITUTE
Risikoinventur
– 1× jährlich, Fokus auf wesentliche Risiken
– Laufende Risikoerfassung + jährliche Vollinventur
Stresstests
– Nur für wesentliche Risiken, einfache Szenarien (z. B. Umsatzrückgang, IT-Ausfall)
– Für alle wesentlichen Risiken, quantitative Modelle oder Szenario-Kombinationen
Dokumentationspflicht
– Kurzbericht mit Szenario-Beschreibung, Ergebnis & Handlungsempfehlung
– Detaillierte Berichte inkl. Methodik, Annahmen, Berechnungen und Ableitungen
Frequenz
– Min. jährlich, ad hoc bei gravierenden Änderungen
– Min. jährlich, quartalsweise Updates bei wesentlichen Risiken
Interne Kommunikation
– Direkter Bericht an Geschäftsleitung
– Regelmäßige Berichte an Geschäftsleitung + Risikokomitee
Schritt 1 – Risiken auswählen
Nutze Deine Wesentlichkeitsprüfung (AT 2.2) als Filter:
Nur Risiken, die wesentlich eingestuft sind, kommen ins Stresstest-Programm.
Schritt 2 – Einfache Szenarien definieren
Beispiel Marktpreisrisiko: Kursrückgang von 20 % innerhalb eines Monats
Beispiel Liquiditätsrisiko: Umsatzrückgang von 30 % in 3 Monaten
Beispiel IT-Risiko: Systemausfall von 2 Tagen während Hauptgeschäftszeit
Schritt 3 – Auswirkungen abschätzen
Qualitativ: Welche Prozesse, Kunden, Umsätze sind betroffen?
Quantitativ (optional): Grobe Schadensschätzung in EUR oder % vom Ergebnis
Schritt 4 – Maßnahmen ableiten
Sofortmaßnahmen (Notfallpläne)
Präventive Anpassungen (z. B. Notfall-IT, Kreditlinien)
Anpassung von Limits
Schritt 5 – Dokumentieren
Muster für kleine Institute:
RISIKO / SZENARIO / AUSWIRKUNG / MASSNAHME / DATUM / VERANTWORTLICH
IT-Ausfall
– 2 Tage Downtime
– Verzögerung von Kundenaufträgen, Reputationsschaden
– Redundante Serverstruktur prüfen
– 15.07.2025
– IT-Leiter
Umsatzrückgang
– -30 % in Q4
– Verlust von 200 TEUR, Liquiditätsreserve belastet
– Marketingbudget kürzen, Kreditlinie anpassen
– 15.07.2025
– CFO
4. Umsetzung für mittlere Institute – die erweiterten Anforderungen
Risikoidentifikation: Laufendes Monitoring, z. B. über Key Risk Indicators (KRI)
Mehrdimensionale Szenarien: Kombination mehrerer Risiken (z. B. Marktcrash + Liquiditätsengpass)
Quantitative Simulationen: Nutzung von Modellen zur Berechnung von Verlustwahrscheinlichkeiten
Regelmäßige Berichte: Vorlage im Risikokomitee, Integration in ICAAP
Ableitung von Kapitalmaßnahmen: Verbindung zur Kapitalplanung (AT 4.1)
5. Typische Fehler – und wie Du sie vermeidest
– Alles testen, ohne Wesentlichkeit zu prüfen ? unnötiger Aufwand, nicht proportional
– Szenarien zu komplex ? kleine Institute verlieren Fokus, Ergebnisse werden unverständlich
– Keine klare Ableitung von Maßnahmen ? BaFin sieht Stresstests als „Papierübung“
– Ergebnisse nicht ins Risikomanagement zurückgespielt ? keine Steuerungswirkung
6. Schnittstellen zu anderen MaRisk-Bereichen
AT 2.2 Wesentlichkeit ? Filtert, welche Risiken getestet werden
AT 4.1 Kapitalplanung ? Stresstestergebnisse fließen in Kapitalpuffer ein
AT 7 Notfallmanagement ? Szenarien können als Grundlage für Notfallübungen dienen
7. Praxis-Tipp für kleine Institute
Keep it simple – aber prüfungssicher:
Max. 3–5 Szenarien pro Jahr
Klare, verständliche Begründung der Auswahl
Direkte Verknüpfung zu Maßnahmen & Verantwortlichkeiten
Ergebnisse immer in der nächsten Geschäftsleitungssitzung protokollieren
8. Fazit
Mit AT 4.3.3 gibt Dir die BaFin ein Werkzeug in die Hand, um Risiken gezielt zu prüfen und steuernd einzugreifen – ohne dass Du als kleines Institut unnötige Ressourcen verschwendest.
Der Schlüssel liegt in der Verknüpfung von Wesentlichkeit, klaren Szenarien und praktischen Maßnahmen.
Tipp: Du kannst unser kostenfreies Whitepaper zu WpI MaRisk 2025 direkt hier anfordern.
WpI MaRisk 2025 – Ressourcen & Praxisleitfäden
Dein Einstieg
WpI MaRisk 2025 – Was sich für kleine und mittlere Institute ändert
AT-Module – Allgemeiner Teil
AT 2.2 Wesentlichkeitsprüfung – Dein Praxisleitfaden
AT 4.3.3 Risikomanagement & Stresstests
AT 4.3.3 Stresstests für kleine Institute
AT 7.3 Notfallmanagement – kompakt erklärt
BTO-Module – Organisation & Abwicklung
BTO 1 – Organisation des Handels
BTO 1.2.2 Abwicklung – Fehler vermeiden
BTR-Module – Risikomanagement
BTR – Allgemeine Anforderungen
BTR 1 – Risiken aus laufender Tätigkeit
BTR 2 – Sonstige Risiken der laufenden Tätigkeit
BTR 3 – Liquiditätsrisiken wirksam steuern
BTR 4 – Risiko einer ungeordneten Abwicklung
Risikomanagement – Anforderungen in BT 2, BTR 3 & BTR 4
Spezialthemen
Risikomanagement nach WpI MaRisk – Umsetzung in der Praxis
ILAAP 2025 – Anforderungen für kleine und mittlere Institute
Kapitalplanung