Die Zeit der Schonfristen ist endgültig vorbei. Was die Europäische Zentralbank (EZB) 2020 als Leitfaden begann, ist im Jahr 2026 zur harten Prüfungsrealität gereift. Mit dem Inkrafttreten des BRUBEG hat der Gesetzgeber die Anforderungen an das Risikomanagement massiv verschärft: Die Integration von ESG-Risiken ist keine Auslegungssache mehr, sondern in den §§ 26c und 26d KWG verbindlich normiert.
Der SREP als Hebel: Kapitalzuschläge bei ESG-Lücken
Der ESG-Risikoplan ist heute ein zentraler Bestandteil des Supervisory Review and Evaluation Process (SREP). Institute müssen lückenlos nachweisen, dass sie ESG-Faktoren nicht nur identifiziert, sondern vollumfänglich und quantitativ in ihre Strategien überführt haben. Wer im SREP-Dialog keine validierten Modelle vorweisen kann, sieht sich unmittelbar mit Kapitalzuschlägen (P2R) konfrontiert.
Besonders kritisch: Die Aufsicht betrachtet den ESG-Risikoplan nun als Messlatte für die langfristige Resilienz des Geschäftsmodells.
Spätestens seit dem Ablauf der EZB-Umsetzungsfristen Ende 2024 ist klar: Die Aufsicht akzeptiert keine Datenlücken mehr. Jedes Institut benötigt heute eine belastbare Compliance-Verteidigungsakte (Defence File), die sowohl ökologische als auch ethische Risiken (Anti-Korruption) revisionssicher dokumentiert. Wer die regulatorischen Anforderungen methodisch durchdringen und rechtssichere Steuerungsansätze implementieren möchte, findet beim S+P Unternehmensforum die notwendigen Werkzeuge. Mit der S+P Tool Box lassen sich ESG-Risiken und Governance-Anforderungen nach aktuellen EBA-Leitlinien steuern, bevor sie im SREP-Bericht zu teuren Kapitalfressern werden.
Die neue Pflichtlektüre: Der ESG-Risikoplan nach § 26d KWG
Das Herzstück der aktuellen Regulatorik nach dem Bankenrichtlinienumsetzungs- und Bürokratieentlastungsgesetz (BRUBEG) ist der spezifische Plan zur Überwachung und Steuerung von ESG-Risiken. Dieser ESG-Risikoplan ist keine bloße Absichtserklärung oder lose Sammlung von Zielen, sondern unterliegt gemäß § 26d KWG strengen gesetzlichen Mindestanforderungen.
Die regulatorische Belastbarkeit des Plans ruht dabei auf fünf zentralen Säulen:
- Adressierung finanzieller ESG-Risiken: Der Plan muss explizit die finanziellen Risiken adressieren, die aus Umwelt-, Sozial- und Unternehmensführungsfaktoren (ESG) resultieren. Hierzu zählen insbesondere Übergangsrisiken im Kontext der regulatorischen Ziele der EU und ihrer Mitgliedstaaten.
- Langfristiger Betrachtungshorizont: Eine kurzfristige Steuerung reicht nicht aus. Die Risiken müssen über einen Zeitraum von mindestens zehn Jahren auf kurze, mittlere und lange Sicht überwacht und gesteuert werden.
- Quantifizierbare Steuerung: Das Institut muss dem Geschäftsmodell und dem Tätigkeitsumfang angemessene, quantifizierbare Ziele und Kennzahlen (KPIs) zur Risikosteuerung festlegen und entsprechende Überwachungsverfahren definieren.
- Einbeziehung wissenschaftlicher Standards: Die Ziele und Verfahren müssen die aktuellsten Berichte und Maßnahmen des Europäischen Wissenschaftlichen Beirats für Klimawandel (ESAC) berücksichtigen, insbesondere im Hinblick auf die Erreichung der EU-Klimaziele.
- Offenlegungskohärenz: Es muss sichergestellt sein, dass der ESG-Risikoplan inhaltlich konsistent mit anderen Veröffentlichungen des Instituts ist, wie etwa der Berichterstattung nach CSRD, der Taxonomie-Verordnung oder den Säule-3-Offenlegungen.
Zentrale Verantwortung der Geschäftsführung
Ein kritischer Aspekt der neuen Gesetzgebung ist die persönliche Verantwortung: Die Geschäftsleiter haben persönlich dafür Sorge zu tragen, dass der ESG-Risikoplan sowie die Prozesse zu seiner Umsetzung und Anpassung erstellt werden. Diese sogenannte „Overarching Accountability“ (Gesamtverantwortung) unterstreicht, dass die strategische Steuerung der ESG-Risiken eine nicht delegierbare Führungsaufgabe ist.
Die methodische Bruchstelle: Transformation der Risikomodelle
Klassisch lassen sich die ESG-Risiken in zwei Gruppen einteilen. Die physischen Risiken erfassen die finanziellen Wirkungen, die direkt und indirekt durch Extremwetterereignisse, Hochwasser, Dürresommer oder langfristig steigende Meeresspiegel verursacht werden. Die Transitionsrisiken treffen den wirtschaftlichen und regulatorischen Wandel zu einer kohlenstoffarmen Wirtschaft: CO2-Bepreisung, technologische Disruptionen, veränderte Konsummuster.Beide Risiken stellen die traditionellen Risikomodelle vor dasselbe Problem. Für die physischen Risiken gibt es Geodaten, Katastrophenmodelle, Versicherungsstatistiken, aber um sie in institutsindividuelle Kreditrisikoparameter zu übersetzen, ist eine Datengranularität nötig, die viele Institute noch nicht erreicht haben. Die Transitionsrisiken wirken über sehr lange Zeiträume von zehn bis dreißig Jahren, die weit jenseits der VaR-Betrachtungsfenster liegen.
Der Baseler Ausschuss für Bankenaufsicht (BCBS) hat mit seinen Principles for the effective management and supervision of climate-related financial risks bereits 2022 den globalen Standard gesetzt. Während Grundsatz 7 damals primär die methodische Einführung der Szenarioanalyse forderte, ist diese 2026 zum harten Prüfungsmaßstab im SREP gereift. Die Aufsicht verlangt heute, dass Institute Klimaszenarien – etwa die des NGFS – nutzen, um nicht nur Risiken zu identifizieren, sondern diese trotz bestehender Unsicherheiten belastbar zu quantifizieren. Im Jahr 2026 wird eine mangelhafte Umsetzung dieser Szenarioanalysen nicht mehr als methodische Schwäche, sondern zunehmend als strukturelles Organisationsversäumnis gewertet.
Die Verzahnung mit dem „G“ (Governance) in ESG ist dabei entscheidend: Nach der formellen Verabschiedung der neuen EU-Anti-Korruptionsrichtlinie im Frühjahr 2026 schaut die Aufsicht verstärkt darauf, ob die Risikosteuerung auf einer robusten Compliance-Struktur basiert. Ein Institut, das physische oder Transitionsrisiken in seinen Modellen unterschätzt, setzt sich dem Risiko des Organisationsverschuldens aus, da die Geschäftsleitung ihrer Präventionspflicht nicht nachgekommen ist.
Die Herausforderung im Jahr 2026 bleibt die Übersetzung qualitativer Daten in Kapitalgrößen.
- Physische Risiken: Hierfür sind Geodaten und Szenarioanalysen (z.B. IPCC, NGFS) heute zwingend vorgeschrieben.
- Transitionsrisiken: Der wirtschaftliche Wandel muss über den gesetzlich geforderten Zeitraum von mindestens 10 Jahren modelliert werden.
- Governance & Compliance: Das „G“ wird durch die neue EU-Anti-Korruptionsrichtlinie (Frühjahr 2026) neu definiert. Mangelhafte Präventionsstrukturen werden nun als Indikator für ein schwaches Gesamtrisikomanagement gewertet.
Verknüpfen wir das Datenproblem mit einer steuerbaren Kennzahl: Was funktionierende Scoring-Ansätze leisten
Die strukturierte Antwort auf diese Herausforderungen liegt in der Entwicklung von ESG-Scoring-Modellen, die sich konsistent in bestehende Kreditratingverfahren integrieren lassen. Ein Großteil der Kreditnehmer im Firmenkundengeschäft, insbesondere im Mittelstand, veröffentlicht keine nichtfinanzielle Berichterstattung im Sinne der Corporate Sustainability Reporting Directive (CSRD). Risikocontroller müssen also mit Proxies, Branchenschätzungen und Scoringmodellen arbeiten, um ein vertretbares ESG-Risikoprofil auf Kreditnehmerebene zu erstellen. Die EU-Taxonomieverordnung liefert einen Referenzrahmen zur Bewertung ökologischer Nachhaltigkeit, ersetzt jedoch keine institutseigene Risikoquantifizierung. Dazu werden ESG-relevante Faktoren wie die CO2-Intensität einer Branche, der Standort physischer Risiken eines Unternehmens, Governance-Qualität oder Abhängigkeiten von fossilen Energieträgern in quantifizierbare Adjustierungsfaktoren umzurechnen. Diese modifizieren das klassische Probability-of-Default-Modell und erlauben eine risikoadjustierte Bepreisung im Neugeschäft sowie eine Bewertung von Konzentrationsrisiken im Bestandsportfolio.Für diesen Anwendungsfall hat S+P konkret Instrumente entwickelt. Die S+P Tool Box umfasst Scoring-Modelle, die auf die Anforderungen der europäischen Aufsichtsbehörden abgestimmt sind und einen direkten Einsatz in der täglichen Risikosteuerung ermöglichen, ohne dass Institute zunächst aufwendige Eigenentwicklungen hochziehen müssen. Der Ansatz folgt der Logik einer schrittweisen Quantifizierung: von der ESG-Datenpunkteerfassung auf Kreditnehmerebene über die Portfolioaggregation bis hin zur Integration in die Risikotragfähigkeitsrechnung.Ein solches Modell erlaubt es dann, konkrete Fragen zu beantworten: Welcher Anteil des Kreditportfolios ist in Sektoren mit hohem Transitionsrisiko konzentriert? Wie verändert sich der Kapitalbedarf unter einem 1,5-Grad-Szenario gegenüber einem Basisszenario? Und welche Einzelkreditnehmer haben eine Risikoexposition, die bisher nicht in der Ratingeinstufung reflektiert ist?
Risikocontrolling als strategische Funktion: Der Schritt vom Berichterstatter zum Steuerer
Die regulatorische Entwicklung fordert von Risikocontrollern ein radikales Umdenken. Wer bis dato in erster Linie garantieren musste, dass Risiken erfasst und innerhalb von Limiten gehalten wurden, muss heute zukunftsgerichtete Szenarioannahmen in strategische Entscheidungsgrundlagen übersetzen. Dies erfordert tiefgreifendes Wissen um Klimaökonomie, Sektoranalyse und quantitative Modellierung – Fähigkeiten, die heute das Rückgrat einer modernen Risikoausbildung bilden.
Klimaszenarien als operativer Kompass
Konkret ist der Risikocontroller 2026 in der Lage, Klimaszenarien (z. B. die NGFS-Standardszenarien) in portfoliospezifische Impact-Analysen zu übersetzen. Es geht um die Beantwortung kritischer Fragen: Welche Sektoren sind unter einem „Disorderly Transition“-Pfad exponiert? Wie entwickelt sich die Defaultwahrscheinlichkeit (PD), wenn der CO2-Preis in der EU die Marke von 150 Euro pro Tonne überschreitet? Hierauf geben moderne Modellsimulationen Antworten, die heute fester Bestandteil des Aufsichtsdialogs sind.
Governance 2026: Anti-Korruption als SREP-Faktor Besondere Schärfe erhält das Risikocontrolling durch das „G“ in ESG. Mit der formellen Verabschiedung der neuen EU-Anti-Korruptionsrichtlinie im ersten Halbjahr 2026 ist die Prävention von Korruption zu einer zentralen Führungsaufgabe gereift. Ein mangelhaftes Compliance-System gilt heute als strukturelles Defizit, für das die Geschäftsleitung unmittelbar haftbar gemacht werden kann. Das Risikocontrolling muss hier die notwendigen Kontrollmechanismen und Daten für die Compliance-Verteidigungsakte (Defence File) liefern, um im Ernstfall eine Haftungsminderung zu ermöglichen.
Datengetriebene Steuerung statt Checklisten
Die EZB hat Klima- und Umweltrisiken sowie Governance-Strukturen mittlerweile vollständig in den regulären SREP-Zyklus eingebettet. Institute, die hier methodische Lücken aufweisen, sehen sich unmittelbar mit Kapitalzuschlägen (Pillar 2 Requirements) konfrontiert. Datengetriebene Steuerung bedeutet 2026: ESG-Risiken und Anti-Korruptions-Checks fließen direkt in die Kapitalplanung, die Kreditvergabe und die Portfoliostrategie ein.
Wettbewerbsvorteil durch ESG-Risikoreife
Institute, die diesen Schritt vollziehen, verschaffen sich einen messbaren Vorteil gegenüber Investoren und Ratingagenturen. Moody’s und S&P Global bewerten heute explizit, ob Banken ESG-Risiken und die neuen Anforderungen an die Korruptionsprävention in ihrer internen Steuerung operationalisiert haben. Risikoreife ist damit kein reines Regulierungsthema mehr, sondern ein hartes Kriterium, das Refinanzierungskosten und Marktwahrnehmung direkt beeinflusst.
Strategische Weichenstellung: Drei Hebel für eine rechtssichere ESG-Steuerung
Um den ESG-Risikoplan nicht nur regulatorisch „abzuhaken“, sondern als wirksames Steuerungsinstrument zu nutzen, sollten Institute folgende drei Praxis-Aspekte priorisieren:
1. Den Joker der Proportionalität ziehen (Fokus SNCI)
Für kleine und nicht komplexe Institute (SNCI) bietet das BRUBEG wertvolle Spielräume, die den Implementierungsdruck kurzfristig mindern können.
- Phasierung der Risikoarten: SNCIs dürfen ihren ESG-Risikoplan bis zum 31. Dezember 2029 auf Umwelt- und Klimarisiken beschränken. Sozial- und Governance-Risiken müssen erst ab 2030 vollumfänglich integriert sein.
- Qualitative Steuerung: Wenn eine quantitative Messung unzumutbar ist, erlaubt der Gesetzgeber SNCI die Nutzung qualitativer Ziele und Kennzahlen. Dies erfordert jedoch eine explizite Anzeige bei der BaFin und der Deutschen Bundesbank.
2. Formale Governance: Mehr als nur ein Vorstandsbeschluss
Die Aufsicht prüft im SREP nicht nur den Inhalt, sondern auch den Prozess. Ein ESG-Risikoplan ohne die korrekte formale Flankierung gilt als schwerwiegender Governance-Mangel.
- Genehmigungskette: Der Plan muss zwingend vom Aufsichts- oder Verwaltungsorgan genehmigt werden (§ 25d Abs. 1 Nr. 16 KWG).
- Anzeigepflicht: Jede erstmalige Erstellung sowie wesentliche Änderungen des Plans müssen unverzüglich der BaFin und der Bundesbank unter Vorlage des Dokuments angezeigt werden.
3. ESG-Risiken über die Vergütung steuern
Ein ESG-Risikoplan entfaltet nur dann Wirkung, wenn er das Verhalten der Entscheidungsträger beeinflusst.
- Anreizsysteme: Die Vergütungssysteme für Geschäftsleiter und Mitarbeiter müssen ESG-Risiken angemessen berücksichtigen.
- Kontrolle: Das Aufsichtsorgan ist explizit dazu verpflichtet, die Vergütungsanreizstruktur im Hinblick auf ESG-Risiken regelmäßig zu überprüfen.
Der ESG-Risikoplan ist das neue „Navigationssystem“ für die Banksteuerung. Wer die im BRUBEG verankerten Erleichterungen für SNCI klug nutzt und gleichzeitig die formalen Anzeigepflichten wahrt, schützt sich effektiv vor teuren SREP-Kapitalzuschlägen. Die S+P Tool Box bietet hierfür die methodische Basis, um diese Anforderungen revisionssicher und effizient in den Bankalltag zu integrieren.
