Aufsicht im Fokus: Warum BaFin-regulierte Institute 2026 ihre Risikostrukturen neu bewerten müssen

Seit 2026 verfolgen BaFin und Bundesbank einen nochmals geschärften, stärker risikoorientierten Prüfungsansatz, der sich in engeren Prüfzyklen, spezifischen Schwerpunkten und einer konsequenteren Nachverfolgung von Mängeln widerspiegelt. Die bloße Existenz eines Regelwerks reicht für Finanzdienstleister längst nicht mehr aus. Stattdessen greift die Aufsicht zukünftig tiefer in die Unternehmensorganisation ein, um die Wirksamkeit von Kontroll- und Risikomanagementsystemen zu kontrollieren. Für Banken und Versicherungen bedeutet das: Ein klassisches Risikomanagement ist längst nicht mehr ausreichend. Wer den Anforderungen an ICAAP / ILAAP sowie der KI-Governance gerecht werden möchte, braucht umfassendere Kenntnisse in Sachen Regulatorik und Haftung.

Engmaschigere Kontrollen erfordern ein gezielteres Risikomanagement

Mit einer verstärkten Prüfung von Risikostrukturen im Finanzsektor will die BaFin zukünftig nicht nur die Stabilität der Finanzbranche fördern, sondern auch den Verbraucherschutz. Daher agiert die Aufsichtsbehörde zunehmend risikoorientiert.
Dementsprechend fallen Kontrollen von Finanzdienstleistern spürbar strenger aus. Das Hauptaugenmerk der verschärften Aufsicht liegt dabei vor allem auf:

den Kredit- und Ausfallrisiken von Banken und Versicherern
der Geldwäscheprävention
der Cyber-Resilienz

Insbesondere interne Kontrollsysteme sowie Governance-Strukturen von Finanzdienstleistern stehen auf dem Prüfstand. Dabei achtet die BaFin hauptsächlich darauf, ob vorhandene Risikomanagementstrategien potenzielle Risiken realistisch abbilden und steuerbar machen.
Durch die konsequentere Prüfung kommt es auch zu einer strengeren Auslegung in Sachen MaRisk, also der Mindestanforderungen an das Risikomanagement. Formal bleiben sie gleich, ihre Bewertung ändert sich jedoch.
So achten die Prüfer inzwischen mehr auf:

die Konsistenz einer Risikostrategie
die Risikotragfähigkeit sowie
die operative Umsetzung

Diese regulatorische Verdichtung unterschätzen noch immer zahlreiche Institute. Auch jene im gehobenen Mittelstand. Doch während Großbanken auf massive Compliance-Abteilungen setzen können, müssen kleinere Institute heute Wege finden, die regulatorischen Anforderungen effizient, prüfungssicher und gleichzeitig wirtschaftlich abzubilden.
Daher sollten sie gezielt auf eine Qualifizierung ihrer Fachabteilungen in den Bereichen Risikomanagement & Haftungssicherheit setzen.
Für Risikomanager und Risikocontroller kommt etwa ein CRO-Lehrgang infrage, mit dem sie ihre persönliche Haftung proaktiv minimieren können. Denn er hilft dabei:

Mindestanforderungen an das Risikomanagement professionell zu erfüllen
ICAAP und ILAAP in Limitsysteme zu integrieren
Nachhaltigkeitsrisiken systematisch zu analysieren und zu berichten

Um die entsprechenden Seminarinhalte schnell nachschlagen und bei Bedarf auffrischen zu können, empfiehlt sich die S+P-Toolbox. Sie enthält nicht nur Vorträge als PDF-Dateien sowie Vorlagen für die Durchführung einer umfassenden Risikoinventur. Ebenso bietet sie Tools für die Erstellung solider Risikoanalysen und aussagekräftiger Risikoreports.

Veraltete Strukturen ziehen spürbare Konsequenzen nach sich

Die verschärften Prüfungen der BaFin betreffen nicht nur die Mindestanforderungen an das Risikomanagement. Auch IT- und ESG-Risiken stehen zunehmend auf dem Prüfstand.
So gelten erstere inzwischen als eigener Risikoschwerpunkt mit unmittelbarer Relevanz für die Stabilität eines Instituts. Der Digital Operational Resilience Act, kurz DORA, soll Finanzunternehmen dazu verpflichten, ihre digitale Widerstandsfähigkeit zu steigern. Die BaFin überwacht die Durchführung der EU-Verordnung und legt dabei großen Wert auf:

klar definierte Prozesse für den Umgang mit IT-Vorfällen
regelmäßige Resilienz-Tests sowie
die strukturierte Steuerung der IT-Risiken

Dabei ist es für Banken und Versicherungen unerlässlich, externe Dienstleister vollständig in ihr Risikomanagement zu integrieren.
Auch ESG-Risiken sind für BaFin-regulierte Institute inzwischen kein Randthema mehr, sondern integraler Bestandteil des Risikomanagements. Mit § 26c KWG verpflichtet der Gesetzgeber die Institute, im Rahmen der Risikostrategie einen ESG-Risikoplan zu erstellen, ESG-Risiken systematisch in Risikoinventur, ICAAP/ILAAP, Stresstests und Limitsysteme zu integrieren und sie über einen Zeithorizont von mindestens zehn Jahren zu steuern.
Die Anforderungen reichen von klar dokumentierten Zielen und Kennzahlen für ESG-Risiken über angepasste Prozesse und Modelle bis hin zu Governance-Fragen: Geschäftsleiter und Aufsichtsorgane müssen die kurz-, mittel- und langfristigen ESG-Risiken verstehen, entsprechende Kompetenzen aufbauen und sicherstellen, dass Vergütungssysteme die Risikoneigung des Instituts in Bezug auf ESG-Risiken angemessen widerspiegeln.
Institute, die ihre bestehenden Strukturen nicht rechtzeitig an diese neuen Vorgaben anpassen, laufen Gefahr, dass Prüfungsfeststellungen zu ESG-Themen nicht mehr als „Soft Findings“ behandelt werden, sondern direkt in Auflagen, verschärfte Sonderprüfungen oder mittelbar in Einschränkungen der Geschäftstätigkeit münden.
Vor diesem Hintergrund ist Regulatorik kein lästiges Übel, sondern Voraussetzung für dauerhafte Lizenzsicherheit. Wer ESG-, IT- und traditionelle Finanzrisiken in einem konsistenten Rahmenwerk – inklusive ESG-Risikoplan nach § 26c KWG – steuert, reduziert nicht nur Aufsichtsrisiken, sondern stärkt zugleich die Widerstandsfähigkeit und Glaubwürdigkeit seines Geschäftsmodells.