Compliance-Monitoring: Kontinuierliche Überwachung mit KRIs und Dashboards

Compliance-Monitoring ist das Nervensystem eines wirksamen Compliance-Management-Systems (CMS). Es ermöglicht die kontinuierliche, datengetriebene Überwachung von Compliance-Risiken durch Key Risk Indicators (KRIs), automatisierte Alerts und Dashboards. In Zeiten steigender Regulierung (MaComp, DORA, ESG) reichen jährliche Audits nicht mehr aus – Institute müssen Compliance-Risiken in Echtzeit erkennen und steuern.

Regulatorische Grundlagen

MaComp: Anforderungen an Compliance-Monitoring

Die MaComp (AT 4.4.2 MaRisk) fordern:

Kernelemente:

• Kontinuierliche Überwachung: Nicht nur jährliche Prüfungen, sondern laufendes Monitoring
• Risikobasierter Ansatz: Fokus auf wesentliche Compliance-Risiken
• Frühwarnindikatoren: Proaktive Identifikation von Risiken (bevor Verstöße eintreten)
• Berichterstattung: Regelmäßiges Reporting an Geschäftsleitung (mindestens quartalsweise)

IDW PS 980: Compliance-Monitoring-System

Der IDW PS 980 konkretisiert Anforderungen:

Monitoring-Komponenten:

1. Ex-ante-Kontrollen: Prävention vor Regelverstößen (z.B. Genehmigungsprozesse)
2. Ex-post-Kontrollen: Erkennung nach Regelverstößen (z.B. Transaktionsüberwachung)
3. Key Risk Indicators (KRIs): Messbare Indikatoren für Compliance-Risiken
4. Alarmierungsmechanismen: Automatisierte Alerts bei Schwellenwertüberschreitungen

Compliance-Monitoring-Framework

Three Lines of Defense Model

Compliance-Monitoring im Three-Lines-Modell:

1st Line (Fachbereiche):
├─ Eigenverantwortung für Compliance
├─ Self-Assessments (jährlich)
├─ Operative KRIs (täglich/wöchentlich)
└─ Beispiel: Vertrieb überwacht Beratungsqualität (MiFID II)

2nd Line (Compliance-Funktion):
├─ Unabhängiges Monitoring aller Fachbereiche
├─ KRI-Dashboard (Gesamtbank)
├─ Thematische Reviews (z.B. Geldwäsche, Datenschutz)
└─ Berichterstattung an Geschäftsleitung

3rd Line (Interne Revision):
├─ Unabhängige Prüfung des CMS
├─ Prüfung der Wirksamkeit von Kontrollen
├─ Audit-Plan (risikobasiert, jährlich)
└─ Berichterstattung an Aufsichtsrat

Monitoring-Zyklus

Compliance-Monitoring-Zyklus (kontinuierlich):

1. Datenerfassung (täglich/wöchentlich)
    ↓
├─ KRIs automatisiert aus IT-Systemen ziehen
├─ Manuelle Eingaben (z.B. Kundenbeschwerden)
└─ Externe Daten (z.B. Medien-Screening)
    ↓
2. Analyse und Bewertung (wöchentlich/monatlich)
    ↓
├─ KRI-Werte mit Schwellenwerten vergleichen
├─ Trend-Analysen (Entwicklung über Zeit)
└─ Root-Cause-Analysen bei Auffälligkeiten
    ↓
3. Alarmierung (bei Schwellenwertüberschreitung)
    ↓
├─ Automatisierte E-Mail-Alerts
├─ Eskalation an Compliance-Officer
└─ Dringlichkeitsstufe (Red/Amber/Green)
    ↓
4. Maßnahmen (ad-hoc)
    ↓
├─ Ursachenanalyse (warum Schwellenwert überschritten?)
├─ Sofortmaßnahmen (z.B. Transaktionen stoppen)
├─ Korrektivmaßnahmen (Prozessanpassungen)
└─ Dokumentation (Audit Trail)
    ↓
5. Reporting (quartalsweise an Geschäftsleitung)
    ↓
├─ Compliance-Dashboard (KRI-Übersicht)
├─ Trend-Berichte
├─ Vorfallsberichte (Breaches)
└─ Handlungsempfehlungen
    ↓
6. Review und Anpassung (jährlich)
    ↓
├─ KRI-Framework überprüfen (sind KRIs noch relevant?)
├─ Schwellenwerte anpassen (zu streng/zu locker?)
└─ Neue KRIs hinzufügen (z.B. für neue Regulierungen)

Key Risk Indicators (KRIs)

Was sind KRIs?

Definition:

Messbare Indikatoren, die frühzeitig auf steigende Compliance-Risiken hinweisen und ein Handeln ermöglichen, bevor Regelverstöße eintreten.

Unterschied KRI vs. KPI:

Merkmal	KRI (Key Risk Indicator)	KPI (Key Performance Indicator)
Fokus	Risiken, Früherkennung	Leistung, Zielerreichung
Orientierung	Zukunft (was könnte passieren?)	Vergangenheit/Gegenwart (was ist passiert?)
Beispiel	Anzahl fehlende KYC-Dokumente	Anzahl Neukunden
Aktion	Präventiv (Risiko reduzieren)	Optimierung (Leistung steigern)

KRI-Design-Prinzipien

SMART-Kriterien für KRIs:

• Specific: Klar definiert, eindeutig messbar
• Measurable: Quantifizierbar (Zahl, Prozent, Ratio)
• Actionable: Auslöser für konkrete Maßnahmen
• Relevant: Aussagekräftig für Compliance-Risiko
• Timely: Rechtzeitig verfügbar (nicht zu spät)

Zusätzliche Kriterien:

• Automatisierbar: Aus IT-Systemen ziehbar (nicht manuell)
• Vergleichbar: Benchmarking über Zeit und mit Peers
• Schwellenwertfähig: Klare Red/Amber/Green-Zonen

KRI-Katalog für Banken

1. Geldwäsche (AML) KRIs

KRI	Formel	Schwellenwert	Frequenz	Datenquelle
Unvollständige KYC-Quote	Anzahl Kunden mit fehlenden KYC-Dokumenten / Gesamtkunden	< 2% (Green), 2-5% (Amber), > 5% (Red)	Monatlich	CRM-System
Due-Diligence-Verzögerung	Ø Tage bis KYC-Vervollständigung	< 10 Tage (Green), 10-20 (Amber), > 20 (Red)	Monatlich	Onboarding-System
Hochrisiko-Kunden ohne Enhanced Due Diligence	Anzahl PEPs/High-Risk ohne EDD / Alle PEPs	0% (Green), > 0% (Red)	Wöchentlich	AML-System
Verdachtsmeldungen (SAR)	Anzahl SAR pro Monat	Trend-Analyse (Abweichung > 50% vom Durchschnitt)	Monatlich	AML-System
Alert-Backlog	Anzahl offener AML-Alerts > 30 Tage	< 10 (Green), 10-50 (Amber), > 50 (Red)	Wöchentlich	AML-System

Beispiel-Nutzung:

KRI-Alert: Unvollständige KYC-Quote

Monatswert November 2024: 6.2% (Red)
├─ Schwellenwert überschritten: > 5%
├─ Trend: Steigend (Oktober: 4.8%, September: 3.5%)
├─ Root-Cause: Neue Mitarbeiter im Onboarding (unzureichend geschult)
└─ Aktion:
    ├─ Sofortmaßnahme: Manuelle Nachverfolgung aller offenen Fälle (Deadline 15. Dezember)
    ├─ Mittelfristig: Zusätzliche Schulung neuer Mitarbeiter (Dezember)
    └─ Langfristig: Automatisierung KYC-Reminder (IT-Projekt Q1 2025)

Monitoring: Wöchentlicher Check bis Quote < 3%

2. Datenschutz (DSGVO) KRIs

KRI	Formel	Schwellenwert	Frequenz	Datenquelle
Datenschutzvorfälle	Anzahl DSGVO-Breaches pro Quartal	0-2 (Green), 3-5 (Amber), > 5 (Red)	Quartalsweise	Incident-Management
Betroffenenanfragen (DSAR) Backlog	Anzahl offener DSAR > 30 Tage	0 (Green), 1-5 (Amber), > 5 (Red)	Wöchentlich	DSAR-Tracking-Tool
Datenminimierung-Verstöße	Anzahl Systeme mit Daten > Aufbewahrungsfrist	0 (Green), 1-3 (Amber), > 3 (Red)	Monatlich	Data-Retention-Tool
Unautorisierte Zugriffe	Anzahl Zugriffe auf Kundendaten ohne Business-Grund	< 5 (Green), 5-20 (Amber), > 20 (Red)	Monatlich	Access-Log-Analyse

3. Wertpapiergeschäft (MiFID II) KRIs

KRI	Formel	Schwellenwert	Frequenz	Datenquelle
Fehlberatungs-Quote	Kundenbeschwerden Wertpapierberatung / Beratungsgespräche	< 0.5% (Green), 0.5-1% (Amber), > 1% (Red)	Quartalsweise	CRM
Geeignetheitserklärung fehlend	Transaktionen ohne dokumentierte Geeignetheitsprüfung / Gesamt-Transaktionen	0% (Green), > 0% (Red)	Monatlich	Wertpapier-System
Interessenkonflikt-Offenlegung fehlend	Beratungen ohne IK-Offenlegung / Gesamt-Beratungen	0% (Green), > 0% (Red)	Monatlich	CRM
Execution-Only-Warnung fehlend	Execution-Only-Orders ohne Warnung / Gesamt-Execution-Only	< 5% (Green), 5-10% (Amber), > 10% (Red)	Monatlich	Wertpapier-System

4. IT-Sicherheit (BAIT, DORA) KRIs

KRI	Formel	Schwellenwert	Frequenz	Datenquelle
Ungepatchte kritische Schwachstellen	Anzahl offener CVEs (Critical) > 30 Tage	0 (Green), 1-5 (Amber), > 5 (Red)	Wöchentlich	Vulnerability-Scanner
Phishing-Klickrate	Klicks auf Phishing-Simulationen / Gesendete Mails	< 5% (Green), 5-10% (Amber), > 10% (Red)	Quartalsweise	Phishing-Simulation
MFA-Abdeckung	Accounts mit MFA / Gesamt-Accounts (kritische Systeme)	> 95% (Green), 90-95% (Amber), < 90% (Red)	Monatlich	IAM-System
Security-Incidents	Anzahl Security-Incidents (Major) pro Monat	0-1 (Green), 2-3 (Amber), > 3 (Red)	Monatlich	SIEM
Backup-Erfolgsrate	Erfolgreiche Backups / Geplante Backups	> 99% (Green), 95-99% (Amber), < 95% (Red)	Täglich	Backup-System

5. ESG / Nachhaltigkeit KRIs

KRI	Formel	Schwellenwert	Frequenz	Datenquelle
ESG-Datenlücken	Kredite ohne ESG-Assessment / Gesamt-Kredite (> €1 Mio.)	< 10% (Green), 10-20% (Amber), > 20% (Red)	Quartalsweise	Kredit-System
Finanzierung fossiler Brennstoffe	Volumen Kredite fossile Brennstoffe / Gesamt-Kreditportfolio	< 5% (Ziel 2030)	Quartalsweise	Portfolio-Analyse
Green-Asset-Ratio (GAR)	EU-Taxonomie-konforme Assets / Gesamt-Assets	> 10% (Green), 5-10% (Amber), < 5% (Red)	Halbjährlich	Reporting-System
Greenwashing-Beschwerden	Kundenbeschwerden wegen irreführender ESG-Claims	0 (Green), 1-2 (Amber), > 2 (Red)	Quartalsweise	Beschwerdemanagement

KRI-Dashboard

Beispiel: Compliance-Dashboard (Executive Level)

Compliance-Dashboard Q4 2024 (Geschäftsleitung)

Gesamtstatus: 🟡 AMBER (2 kritische KRIs, 5 erhöhte KRIs)

AML / Geldwäsche:
├─ Unvollständige KYC-Quote: 6.2% 🔴 Red (Schwellenwert: 5%)
├─ SAR-Anzahl: 15 🟢 Green (Durchschnitt: 12-18)
└─ Alert-Backlog: 8 🟢 Green (Schwellenwert: 10)

Datenschutz (DSGVO):
├─ Datenschutzvorfälle: 1 🟢 Green (Schwellenwert: 2)
├─ DSAR-Backlog: 0 🟢 Green
└─ Unautorisierte Zugriffe: 3 🟢 Green (Schwellenwert: 5)

Wertpapiergeschäft (MiFID II):
├─ Fehlberatungs-Quote: 0.8% 🟡 Amber (Schwellenwert: 1%)
├─ Geeignetheitserklärung fehlend: 0.2% 🔴 Red (Sollwert: 0%)
└─ IK-Offenlegung fehlend: 0% 🟢 Green

IT-Sicherheit (BAIT):
├─ Ungepatchte Schwachstellen: 2 🟡 Amber (Schwellenwert: 5)
├─ Phishing-Klickrate: 7% 🟡 Amber (Schwellenwert: 10%)
└─ MFA-Abdeckung: 92% 🟡 Amber (Ziel: 95%)

ESG / Nachhaltigkeit:
├─ ESG-Datenlücken: 18% 🟡 Amber (Schwellenwert: 20%)
├─ Fossile Brennstoffe: 7.2% 🟢 Green (Ziel 2030: < 5%)
└─ GAR: 8.5% 🟡 Amber (Ziel: 10%)

Kritische Maßnahmen:
1. KYC-Quote reduzieren (Verantwortlich: Leiter Onboarding, Deadline: 31.12.2024)
2. Geeignetheitserklärung 100% sicherstellen (Verantwortlich: Leiter Private Banking, sofort)

Nächste Review: Januar 2025

Monitoring-Technologie

Monitoring-Tools und Plattformen

1. GRC-Software (Governance, Risk & Compliance)

Tool	Funktionen	Geeignet für
SAP GRC	KRI-Dashboards, Workflow-Automation, Integration SAP	Große Banken mit SAP-Landschaft
IBM OpenPages	Enterprise GRC, AI-basierte Analysen	Komplexe Institute
MetricStream	Cloud-basiert, Compliance-Monitoring, Audit	Mittelgroße bis große Banken
ServiceNow GRC	Integriert mit IT-Service-Management	IT-fokussierte Compliance
MEGA HOPEX	Process Mining, Compliance-Mapping	Prozessorientierte Institute

2. Spezialisierte Compliance-Tools

Bereich	Tool	Funktion
AML	NICE Actimize, SAS AML, Fiserv AML	Transaktionsüberwachung, SAR-Management
DSGVO	OneTrust, TrustArc, Securiti.ai	DSAR-Management, Data Mapping
MiFID II	FIS Regulatory Compliance, Confluence	Best Execution, Transaction Reporting
Cyber	Splunk, IBM QRadar, CrowdStrike	SIEM, Threat Detection

3. BI-Tools für Dashboards

• Power BI (Microsoft): Weit verbreitet, gute Integration
• Tableau: Leistungsstarke Visualisierungen
• Qlik Sense: Self-Service-Analytics
• Looker (Google): Cloud-native, moderne UI

Automatisierung von KRIs

Data Pipeline für KRI-Monitoring:

Datenquellen:
├─ Core Banking System (Kreditdaten, Kundendaten)
├─ CRM-System (Beschwerden, Beratungsprotokolle)
├─ AML-System (KYC-Status, Alerts, SARs)
├─ IAM-System (User-Accounts, MFA-Status)
├─ SIEM (Security-Incidents, Access-Logs)
└─ Externe Daten (Regulatorische Updates, Medien-Screening)
    ↓
ETL-Prozess (Extract, Transform, Load):
├─ Nächtliche Batch-Jobs (täglich 01:00 Uhr)
├─ Daten in Data Warehouse (z.B. Snowflake, Azure Synapse)
├─ Datenqualitätsprüfungen (Plausibilität, Vollständigkeit)
└─ Berechnung aller KRIs (automatisiert)
    ↓
KRI-Datenbank:
├─ Historische KRI-Werte (Zeitreihen)
├─ Schwellenwerte (konfigurierbar)
├─ Alert-Regeln (wenn KRI > Schwellenwert)
└─ Metadata (Definition, Verantwortlicher, Datenquelle)
    ↓
Dashboard-Layer:
├─ Power BI / Tableau Dashboards (Echtzeit-Refresh)
├─ E-Mail-Alerts (automatisiert bei Schwellenwertüberschreitung)
├─ Mobile App (für Geschäftsleitung)
└─ API für GRC-Tool (Integration)

Beispiel-Code (vereinfacht, SQL):

-- KRI: Unvollständige KYC-Quote (monatlich)

WITH customer_kyc AS (
  SELECT
    customer_id,
    CASE
      WHEN id_document IS NULL OR address_proof IS NULL THEN 1
      ELSE 0
    END AS kyc_incomplete
  FROM customers
  WHERE status = 'ACTIVE'
),
kri_value AS (
  SELECT
    COUNT(*) FILTER (WHERE kyc_incomplete = 1) AS incomplete_count,
    COUNT(*) AS total_count,
    (COUNT(*) FILTER (WHERE kyc_incomplete = 1) * 100.0 / COUNT(*))::NUMERIC(5,2) AS incomplete_percentage
  FROM customer_kyc
)
INSERT INTO compliance_kri_values (kri_id, measurement_date, value, threshold_status)
SELECT
  'KRI-AML-001', -- KRI-ID
  CURRENT_DATE,
  incomplete_percentage,
  CASE
    WHEN incomplete_percentage > 5 THEN 'RED'
    WHEN incomplete_percentage BETWEEN 2 AND 5 THEN 'AMBER'
    ELSE 'GREEN'
  END
FROM kri_value;

-- Alert-Trigger (wenn Red)
INSERT INTO compliance_alerts (kri_id, alert_level, message, recipient)
SELECT
  'KRI-AML-001',
  'CRITICAL',
  'KYC Incomplete-Quote überschreitet kritischen Schwellenwert (6.2% > 5%)',
  'compliance-officer@bank.de'
FROM kri_value
WHERE incomplete_percentage > 5;

Best Practices

1. Start Small, Scale Fast

Empfehlung:

• Beginnen Sie mit 10-15 kritischen KRIs (nicht 100+)
• Fokus auf Hochrisiko-Bereiche (AML, IT-Sicherheit, Wertpapier)
• Nach 6 Monaten: Auswertung, Anpassung, Erweiterung

2. Ownership klar definieren

Jeder KRI braucht:

• Data Owner: Verantwortlich für Datenqualität
• KRI Owner: Verantwortlich für Interpretation, Maßnahmen
• Escalation Path: Wer wird informiert bei Red-Status?

3. Schwellenwerte regelmäßig kalibrieren

Problem: Zu strikte Schwellenwerte → zu viele False Positives (Alert Fatigue)

Lösung:

• Historische Daten analysieren (12 Monate)
• Statistische Ansätze (z.B. 2-Sigma-Regel für Trend-KRIs)
• Benchmarking mit Peers (wo möglich)

4. Visualisierung für verschiedene Zielgruppen

Dashboard-Strategie:

Executive Dashboard (Geschäftsleitung):
├─ High-Level-KPIs (Ampel-Status)
├─ Trend-Charts (Entwicklung über 12 Monate)
├─ Top-5-Risiken (nach Score)
└─ Aktualisierung: Wöchentlich

Operational Dashboard (Compliance-Officer):
├─ Alle KRIs (detailliert)
├─ Drilldown-Funktionen (Root-Cause-Analysen)
├─ Maßnahmen-Tracking (Status offener Actions)
└─ Aktualisierung: Täglich

Departmental Dashboard (Fachbereiche):
├─ Nur relevante KRIs (z.B. nur AML für AML-Unit)
├─ Operational Metrics (KPIs zusätzlich zu KRIs)
└─ Aktualisierung: Echtzeit

5. Continuous Improvement

Quartalsweise KRI-Review:

• Sind alle KRIs noch relevant? (Regulierung geändert?)
• Gibt es neue Risiken, die KRIs erfordern? (z.B. DORA ab 2025)
• Sind Schwellenwerte angemessen? (zu viele/zu wenige Alerts?)
• Datenqualität ausreichend? (Missing Data, Verzögerungen?)

---

Fazit: Compliance-Monitoring mit KRIs ist die Zukunft des Compliance-Managements. Institute, die von reaktiven Audits zu proaktivem, datengetriebenem Monitoring übergehen, erkennen Compliance-Risiken frühzeitig, vermeiden Verstöße und optimieren Ressourcenallokation. Mit steigender Regulierung und zunehmender Digitalisierung wird automatisiertes Compliance-Monitoring zur Pflicht – die Technologie ist verfügbar, entscheidend ist die strukturierte Implementierung.