Vor-Ort-Prüfungen der Aufsicht: Die aktuellen Schwerpunkte der EZB

So bereiten sich Banken vor und setzen 2026 die richtigen Prioritäten

veröffentlicht am 12.05.2026 | Lesezeit: ca. 8 Minuten
Dr. Henning Dankenbring
Dr. Henning Dankenbring
Omar Mauri
Omar Mauri

Keyfacts:

  • Vor-Ort-Prüfungen sind weiter ein zentrales Aufsichtsinstrument im Werkzeugkasten der Europäischen Zentralbank.
  • Aktuell liegen die Schwerpunkte von On-Site Inspections (OSI) vor allem auf mehreren großen Risiko‑ und Steuerungsthemen der Banken – unter anderem auf dem Kreditrisiko sowie auf Natur- und Klimarisiken.
  • Banken sollten sich gezielt vorbereiten und insbesondere ihre Governance, das Thema Daten und ihr Risikomanagement weiterentwickeln.

Die Europäische Zentralbank hält an Vor-Ort-Prüfungen (On-Site Inspections, OSIs) als einem zentralen Aufsichtsinstrument fest. OSIs werden auf das gesamte Spektrum der Aufsichtsprioritäten angewendet. Hierzu zählen das Kreditrisiko, aber auch aktuelle Schwerpunktbereiche wie die operationelle Widerstandsfähigkeit.

Die in Vor-Ort-Prüfungen festgestellten Schwachstellen können, sofern sie nicht behoben werden, die Eskalationsmaßnahmen nach sich ziehen. Vor diesem Hintergrund sollten sich Banken frühzeitig und angemessen vorbereiten. Auf Grundlage unseres Austauschs mit von der EZB beaufsichtigten Instituten lassen sich die folgenden Bereiche als potenzielle Schwerpunkte künftiger OSIs identifizieren.

1. Kreditrisiko

Die Gewährleistung einer umsichtigen Risikobereitschaft und solider Kreditstandards zählt zu den zentralen Aufsichtsprioritäten der EZB für den Zeitraum 2026–2028. On-Site Inspections zum Kreditrisiko werden sich voraussichtlich auf Schlüsselelemente der Kreditvergabe und des Kredit-Underwritings konzentrieren, darunter insbesondere die Bewertung von Sicherheiten, die risikobasierte Preisgestaltung, die Datenqualität sowie die Dokumentation.

Ebenso wurden die Messung des Refinanzierungsrisikos, die Underwriting‑Praktiken sowie die eingesetzten Frühwarnsysteme (Early Warning Systems, EWS) als verbesserungsbedürftig identifiziert. Mit Blick auf das Kredit‑Underwriting hat die EZB vor dem Hintergrund steigender geopolitischer Risiken und zunehmenden Wettbewerbsdrucks die Bedeutung einer frühzeitigen Identifikation von Schwachstellen hervorgehoben. Es wurde angekündigt, dass im Jahr 2026 eine thematische Überprüfung (thematic reviews) durchgeführt wird, die unter anderem eine gezielte Datenerhebung umfasst. Diese fokussiert sich auf Underwriting‑Kennzahlen, die die Qualität neuer Kreditvergaben angemessen abbilden.

Mögliche Schwachstellen für Banken können unter anderem sein:

  • Inkonsistente IFRS-9- und Kreditrisiko-Rahmenwerke, beispielsweise in Form eines willkürlichen Overlay‑Managements, einer unzureichenden Berücksichtigung zukunftsorientierter Risiken sowie uneinheitlicher Staging‑ und Risikovorsorgepraktiken.
    ,,
  • Unzureichend ausgestaltete Berichts-, Überwachungs- und Abhilfemaßnahmen mit unterentwickelten Frühwarnsystemen, die sich fast ausschließlich auf Ratings oder einfachen quantitativen Auslösern stützen.
    ,,
  • Defizite in Qualität und Aktualität der Berichterstattung, einschließlich fragmentierter Datenflüsse und inkonsistenter Informationen.
    ,,
  • Schwächen im internen Kontrollumfeld zur Identifizierung und Minderung von Kreditrisiken mit unklaren oder sich überschneidenden Rollen und Verantwortlichkeiten.
  • Was sind Vor-Ort-Prüfungen oder On-Site Inspections (OSI) der EZB?
  • Womit müssen Banken bei On-Site Inspections rechnen?

2. Klima- und Naturrisiken

Als weitere Priorität hat die EZB das umsichtige Management von klima- und naturbezogenen Risiken (Climate & Nature Risks, C&N) identifiziert. Zur Beurteilung, ob Institute kurz‑, mittel‑ und langfristige Risiken aus Klimawandel und Naturdegradation wirksam identifizieren und steuern, setzt die EZB zunehmend Vor‑Ort‑Prüfungen (OSIs) ein, entweder als eigenständige Prüfungen oder im Rahmen von Überprüfungen anderer Risikoarten.

Im Mittelpunkt der aufsichtlichen Beurteilung steht insbesondere die Integration von Klima- und Naturrisiken in Governance-Strukturen, Risikomanagement-Rahmenwerke und geschäftliche Entscheidungsprozesse. Die EZB blickt aber auch auf die Behebung von Mängeln, die im Rahmen anderer aufsichtlicher Initiativen festgestellt wurden.

Mögliche Schwachstellen bei Banken können sein:

  • Schwächen bei der Risikoidentifizierung, -modellierung und -quantifizierung (mit der Folge erheblicher Risiko-Unterschätzung), sowie Datenlücken und Methoden, die die tatsächlichen Risiken über Portfolios oder Regionen hinweg nicht abbilden
    ,,
  • Unvollständige Integration von Klima- und Naturrisiken in Governance-Strukturen, den Risikoappetit, die Kreditprozesse oder die Kapital- und Liquiditätsplanung
    ,,
  • Unzureichende Fähigkeiten zur Steuerung von Klima- und Naturrisiken über unterschiedliche Zeithorizonte hinweg, einschließlich einer begrenzten Nutzung von Szenarioanalysen und der Fähigkeit, Auswirkungen auf das Geschäftsmodell oder die Portfolios zu bewerten

 

Transitionspläne für Naturrisiken

ESG-Regulierung zwingt Finanzinstitute, Naturrisiken systematisch zu steuern. Was das für Transitionspläne bedeutet – und warum jetzt Handlungsbedarf besteht.

Jetzt mehr erfahren

Darüber hinaus müssen Banken gemäß den Anforderungen der Capital Requirements Directive (CRD VI) Übergangspläne (prudential transition plans) entwickeln, die von den Aufsichtsbehörden im Einklang mit den EBA-Leitlinien zum Management von ESG-Risiken überprüft werden. Die EZB wird einen schrittweisen und zielgerichteten Ansatz verfolgen und sich dabei auf die durch die Leitlinien eingeführten neuen Elemente konzentrieren.

3. Digitale und operationelle Resilienz

Die Aufsichtsbehörden haben bereits DORA-fokussierte OSIs in Ländern wie Spanien, Deutschland, Belgien und Griechenland durchgeführt. Unsere Auswertung zeigt: Die Prüfungen sind deutlich anspruchsvoller als frühere IKT-Risikoinspektionen und konzentrieren sich zunehmend auf die praktische Wirksamkeit von Rahmenwerken zur digitalen und operativen Resilienz. Dabei werden auch Cybersicherheitsaspekte sowie die Fähigkeiten im Management von Drittparteirisiken berücksichtigt

Die Aufsichtsteams konzentrieren sich auf zentrale Elemente der IKT-Risikomanagement-Rahmenwerke:

  • auf die Angemessenheit der Richtlinien, Key Performance Indicators (KPIs) zur Verfolgung der Umsetzung der DORA‑Strategie, die Einbindung kritischer IKT‑Drittanbieter sowie Exit‑Strategien.
    ,,
  • auf die IKT-Betriebs- und die IKT-Sicherheitprozesse (zum Beispiel das Schwachstellenmanagement, Backups und Wiederherstellungsprozesse).
    ,,
  • auf das IKT-Incident Management (zum Beispiel die Qualität der Erkennung, Eskalation und Meldung von Vorfällen).
    ,,
  • auf die Notfall‑ und Business‑Continuity‑Planung (z. B. Umfang und Tiefe von Business‑Impact‑Analysen und Resilienztests).

Mögliche Schwachstellen bei Banken können sein:

  • das Fehlen einer konsistenten End-to-End-Sicht auf die operative Resilienz über IKT-Risiken, IKT- Betrieb, Incident Management und das Business-Continuity-Management (BCM) hinweg
    ,,
  • unzureichend entwickelte IKT-Incident Prozesse, wobei BCM-Rahmenwerke nicht vollständig auf IKT-Risiken oder Abhängigkeiten von Drittanbietern abgestimmt sind und Tests in Umfang und Realitätsnähe begrenzt sind
    ,,
  • unvollständige KPIs, Schwellenwerte und Überwachungsmechanismen, die das rechtzeitige Erkennen aufkommender IKT-Risiken einschränken

4. BCBS 239 und Risk Data Aggregation and Risk Reporting (RDARR)

Seit Jahren bestehen Schwachstellen in der Qualität der RDARR und stehen somit auch in den kommenden Jahren ganz oben auf der Schwerpunktliste der EZB. Ein besonderer Fokus liegt dabei auf der vollständigen Einhaltung der Grundsätze von BCBS 239.

Zentrale Prüfungsschwerpunkte sind:

  • die Wirksamkeit des Managements, die Rechenschaftspflicht des Leistungsorgans sowie die Klarheit der Governance-Strukturen
    ,,
  • die Angemessenheit zentraler Kontrollen zur Sicherstellung der Datenqualität sowie der Datenqualitätsberichterstattung
    ,,
  • die zeitnahe Berichterstattung unter Stressbedingungen sowie die Fähigkeit zur ad‑hoc‑Risikoberichterstattung
    ,,
  • die Abstimmung mit Finanzdaten, sowie
    ,,
  • die Vollständigkeit und Nachvollziehbarkeit der Datenherkunft (Data Lineage)

Jede BCBS 239-Vor-Ort-Prüfung wird mit einer hohen Wahrscheinlichkeit diese Bereiche gezielt und umfassend untersuchen.

Mögliche Schwachstellen für Banken können sein:

  • Inkonsistente oder ineffektive Kontrollen zur Sicherstellung der Datenqualität und Datenqualitätsberichterstattung, verbunden mit hoher Abhängigkeit von manuellen Prozessen sowie Datenlücken, die sich über die drei Verteidigungslinien erstrecken
    ,,
  • Verzögerungen in regulären Berichtszyklen und begrenzte Kapazitäten zur Erstellung von Ad-hoc-Risikoberichten
    ,,
  • Unfähigkeit, eine klare und durchgängige Data Lineage für alle kritischen Datenelemente hinweg zu etablieren, oder dies nur mit erheblichem Aufwand zu ermöglichen

5. Risikogewichteten Aktiva (RWA)-Berechnung und CRR-III-Umsetzung

In den vergangenen Monaten ist eine Zunahme von OSIs mit Fokus auf die RWA-Berechnung und die CRR-III-Umsetzung zu beobachten. Betroffen sind dabei besonders große Institute beispielsweise aus Deutschland und Spanien.

Diese anspruchsvollen Prüfungen haben die Berechnung, Dokumentation und Validierung der Eigenmittel sowie die Berechnung der risikogewichteten Aktiva, die Prozesse zum Management regulatorischer Änderungen, die Governance-Rahmenwerke rund um Eigenmittel und Kapitaladäquanzberechnungen sowie unterstützende Instrumente in Bereichen wie der Angemessenheit, der Zuverlässigkeit, der Datenqualität und -integrität unter die Lupe genommen.

Mögliche Schwachstellen für Banken können sein:

  • Schwache Kontrollrahmenwerke rund um die RWA-Berechnungen, die sich zum Beispiel aus falschen Risikopositionsklassifizierungen, Risikogewichtszuweisungen und Sicherheitenbewertungen ergeben. Dies gilt insbesondere angesichts der zunehmenden Bedeutung des Standardansatzes bei der Bestimmung der Solvenz von Banken, unter anderem durch die Berechnung des neuen Output-Floors.
    ,,
  • Inkonsistente Auslegung regulatorischer Anforderungen, die zu Schwächen bei der Umsetzung der Anforderungen über Portfolios und Methoden hinweg führt
    ,,
  • Notwendigkeit einer stärkeren Governance im Zusammenhang mit regulatorischen Dateneingaben, wie das Verfahren zur Minderung manueller Fehler, veralteter Informationen und Prozesslücken

6. Weitere Schwerpunkte und Risikobereiche der EZB-Aufsichtsaktivität

Ergänzend dazu weisen Beobachtungen aus unserem Netzwerk auf eine Reihe weiterer Bereiche hin, die in OSIs der EZB derzeit eine Rolle spielen:

  • Geschäftsmodell und Rentabilität: mit Schwerpunkt auf Rentabilitätsfaktoren, Preisgestaltungs- und Kostenallokation, Annahmen und Prognosen in Geschäftsplänen sowie deren Tragfähigkeit, insbesondere unter Berücksichtigung geopolitischer und makroökonomischer Belastungen
    ,,
  • Digitalisierung: Bewertung der digitalen Transformationsinitiativen der Institute, der Governance‑ und Kontrollrahmen im Zusammenhang mit neuen Technologien sowie dem damit verbundenen Risikomanagement zur Unterstützung der Wettbewerbsfähigkeit und einer nachhaltigen Transformation
    ,,
  • Liquiditäts- und Refinanzierungsrisiken: Überprüfung von Governance-Rahmenwerken für die Liquiditätsrisikosteuerung und für Liquiditäts-Stresstests
    ,,
  • Marktrisiko: betrifft Bewertungsanpassungen, unabhängige Preisüberprüfung, Limit-Rahmenwerke und FRTB-Readiness
    ,,
  • IRRBB/CSRBB: Credit-Spread-Risiken einschließlich Einlagenverhaltensmodellen, der Vorfälligkeits- und Optionsmodellierung sowie von Net-Interest-Income (NII)-Simulationsrahmenwerken
    ,,
  • Compliance-Funktion: mit Schwerpunkt auf der Wirksamkeit interner Verfahren, Kontrollrahmenwerken zur Bekämpfung von Geldwäsche (AML) und Terrorismusfinanzierung (CFT), Überwachungs- und Eskalationsprozessen sowie der Rolle der Funktion bei risikorelevanten Entscheidungsprozessen

Mit Blick auf die Zukunft gibt es zudem Anzeichen dafür, dass die Digitalisierung und insbesondere künstliche Intelligenz Gegenstand von OSIs sein könnten. Obwohl wir noch nicht absehen können, wie diese konkret ausgestaltet sein werden, ist davon auszugehen, dass OSIs herangezogen werden, um KI-bezogene Strategien, Governance-Strukturen und das Risikomanagement von Banken zu überprüfen.

Das schließt die Frage ein, ob Governance- und Kontrollrahmenwerke wirksam in den operativen Einsatz von KI eingebettet sind und nicht nur auf politischer oder konzeptioneller Ebene bestehen.

Zusammenfassend sollten Banken davon ausgehen, dass sich OSIs im Jahr 2026 und darüber hinaus auf eine begrenzte Anzahl wahrscheinlicher Risikofelder konzentrieren werden.

Banken sollten bedenken, dass festgestellte Schwachstellen Anpassungen der SREP-Bewertung sowie weitere Maßnahmen im Rahmen des Eskalationsmechanismus der EZB auslösen könnten. Ein klares Verständnis der Erwartungen und das Antizipieren wahrscheinlicher OSI-Verfahren sowie eine gezielte Fokussierung von Ressourcen auf die richtigen Bereiche sind daher entscheidend für eine wirksame Vorbereitung.

Das könnte Sie auch interessieren

Regulatorik und Compliance

DORA-Compliance: Erfahrungen aus den ersten Prüfungen

02.01.2026 | ca. 4 Minuten Lesezeit

Plattform-Governance als Schlüssel zur Compliance und Resilienz

Florian Göltl
Florian Göltl
Julian Dersch
Julian Dersch
Frankfurter Skyline EZB Onboarding
Finance und Risk

Wechsel unter EZB-Aufsicht: Was Banken beim Onboarding beachten sollten

11.12.2025 | ca. 8 Minuten Lesezeit

Als bedeutendes Institut gelten besondere Aufsichtsanforderungen.

Dr. Henning Dankenbring
Dr. Henning Dankenbring
Tim Breitenstein
Tim Breitenstein
Maureen Finglass
Maureen Finglass
Finance und Risk

EZB-Stresstest 2026: Geopolitische Risiken im Fokus und eine neue Methodik

22.10.2025 | ca. 4 Minuten Lesezeit

Beim ersten inversen Stresstest müssen Banken ein eigenes Extremszenario entwickeln.

Tim Breitenstein
Tim Breitenstein
Andreas Dittmaier
Andreas Dittmaier
Stefan Lell
Stefan Lell
Suche
Schliessen
© 2025 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.