Verschärfte BaFin-Prüfungen 2026
10.04.2026
Foto: © Light Impression - stock.adobe.com
Die Prüfungen der Finanzaufsicht werden präziser, konsequenter und in vielen Bereichen kompromissloser. Für Banken und Versicherungen zeichnet sich bereits heute ab, dass die Aufsicht in den kommenden Jahren deutlich tiefer in die Organisation eingreifen wird als bisher.
Was lange als ausreichend galt, steht zunehmend auf dem Prüfstand. Im Fokus der Bundesanstalt für Finanzdienstleistungsaufsicht steht nicht mehr die bloße Existenz von Regelwerken. Es geht um deren tatsächliche Wirksamkeit. Interne Modelle, Kontrollsysteme und Governance-Strukturen werden daraufhin untersucht, ob sie Risiken realistisch abbilden und steuerbar machen.
Abweichungen zwischen dokumentierter Theorie und gelebter Praxis rücken damit stärker in den Mittelpunkt. Vor diesem Hintergrund investieren zahlreiche Institute gezielt in die Qualifizierung ihrer Fachbereiche, etwa im Rahmen spezialisierter Programme wie der Weiterbildung zum Risikomanager. Damit lässt sich die eigene Audit-Readiness sichern und die regulatorischen Anforderungen können nicht nur formal, sondern auch operativ belastbar umgesetzt werden.
MaRisk: Die Messlatte liegt deutlich höher als noch vor wenigen Jahren
Die Mindestanforderungen an das Risikomanagement haben sich über viele Jahre etabliert. In der aktuellen Aufsichtspraxis zeigt sich jedoch eine deutlich strengere Auslegung. Die Anforderungen bleiben formal gleich. Ihre Bewertung hat sich jedoch verändert.
Die Prüfer:innen legen inzwischen besonders viel Wert auf die Konsistenz von Strategie, Risikotragfähigkeit und operativer Umsetzung. Eine formulierte Risikostrategie reicht nicht aus, wenn sie im Tagesgeschäft keine Rolle spielt. Entscheidungen müssen nachvollziehbar auf diese Strategie zurückgeführt werden können.
Auch das interne Kontrollsystem rückt stärker in den Fokus. Einzelne Kontrollen genügen nicht, wenn sie isoliert stehen. Gefordert ist dagegen ein durchgängiges System, das Risiken früh erkennt, bewertet und adressiert. Schwächen in diesem Bereich werden zunehmend als strukturelles Risiko gewertet.
Ein weiterer kritischer Punkt liegt in der Datenbasis. Risikoreports müssen zeitnah, konsistent und belastbar ausfallen. Inkonsistente Daten oder manuelle Schnittstellen führen regelmäßig zu Beanstandungen.
DORA: IT-Risiken werden zum Prüfungsstandard
Mit dem Digital Operational Resilience Act verschiebt sich die Perspektive der Aufsicht deutlich. IT-Risiken werden nicht mehr als unterstützendes Thema behandelt. Sie gelten als eigenständiger Risikobereich mit unmittelbarer Relevanz für die Stabilität eines Instituts.
DORA verpflichtet Finanzunternehmen dazu, ihre digitale Widerstandsfähigkeit systematisch zu organisieren. Das bedeutet klar definierte Prozesse für den Umgang mit IT-Vorfällen, regelmäßige Tests der Resilienz sowie eine strukturierte Steuerung der IT-Risiken.
Besonders relevant zeigt sich in diesem Zusammenhang die Einbindung externer Dienstleister. Cloud-Anbieter, Softwarepartner und ausgelagerte Prozesse müssen vollständig in das Risikomanagement integriert werden. Verträge, Zugriffsmöglichkeiten und Sicherheitsstandards werden im Rahmen der Prüfungen detailliert hinterfragt.
Die Verantwortung liegt vollständig beim Institut. Eine Auslagerung reduziert zwar die operative Komplexität, nicht jedoch die aufsichtsrechtliche Verantwortung.
ESG-Risiken: Neue Anforderungen an langfristige Steuerung
Parallel dazu gewinnen die ESG-Risiken weiter an Bedeutung. Auf europäischer Ebene fordern auch Institutionen wie die Europäische Bankenaufsichtsbehörde eine systematische Integration dieser Faktoren in das Risikomanagement.
Im Zentrum davon stehen insbesondere die klimabezogenen Risiken. Übergangsrisiken durch regulatorische Veränderungen oder technologische Entwicklungen können die Geschäftsmodelle schließlich erheblich beeinflussen. Zudem wirken sich physische Risiken auf Kreditportfolios und Versicherungsmodelle aus.
Die Herausforderung liegt jedoch weniger in der grundsätzlichen Relevanz als in der Umsetzung. ESG-Risiken sind in der Regel schwer zu quantifizieren. Es fehlen Daten oder diese sind nicht vergleichbar. Dennoch erwartet die Aufsicht nachvollziehbare Bewertungsansätze und eine klare Einbindung in bestehende Steuerungsprozesse.
Prüfungen werden intensiver und konsequenter
Ein Blick auf die aktuelle Prüfungspraxis zeigt bereits, wie stark sich die Situation entwickelt. Die Prüfungen erfolgen häufiger und mit klar definierten Schwerpunkten. Sie greifen außerdem wesentlich tiefer in die operative Umsetzung ein.
Die Prüfer:innen verlassen sich nicht mehr ausschließlich auf die Dokumentationen. Sie prüfen die Prozesse vor Ort, führen Gespräche mit den Verantwortlichen und analysieren konkrete Einzelfälle. Das bedeutet: Entscheidungswege müssen nachvollziehbar sein und Zuständigkeiten klar geregelt werden.
Im Fokus stehen insbesondere:
- die tatsächliche Wirksamkeit des Risikomanagements,
- die Qualität des internen Kontrollsystems,
- die Einbindung der Geschäftsleitung,
- sowie die Konsistenz der Datenbasis.
Ein System, das nur formal existiert, fällt unter diesen Bedingungen schnell auf.
Veraltete Strukturen führen zu spürbaren Konsequenzen
Die Aufsicht hat in den vergangenen Jahren deutlich gemacht, dass festgestellte Mängel nicht folgenlos bleiben. Werden strukturelle Defizite im Risikomanagement identifiziert, reagiert die Aufsicht konsequent.
Mögliche Maßnahmen reichen von weitreichenden Auflagen über Sonderprüfungen bis hin zu Einschränkungen im Geschäftsbetrieb. In schwerwiegenden Fällen kann sogar die persönliche Verantwortung der Geschäftsleitung durchgesetzt werden.
Für Institute geht damit eine neue Realität einher: Das Risikomanagement ist nicht mehr nur ein interner Steuerungsmechanismus − es wird zu einem zentralen Prüfstein für die Stabilität und Verlässlichkeit der gesamten Organisation.
Lesen Sie weiter auf der nächsten Seite
Trotz Nahostkonflikt Exportwachstum erwartet
