Compliance-Risikoanalyse für Banken: Methoden, Framework und Best Practices

Die Compliance-Risikoanalyse ist das Fundament eines wirksamen Compliance-Management-Systems (CMS). Sie identifiziert, bewertet und priorisiert Compliance-Risiken systematisch und ermöglicht eine risikoorientierte Allokation von Compliance-Ressourcen. In Zeiten explodierender Regulierung (DORA, ESG, Geldwäsche-Vorschriften) ist eine strukturierte Risikoanalyse unverzichtbar.

Regulatorische Grundlagen

MaComp (Mindestanforderungen an die Compliance-Funktion)

Die MaComp (BaFin-Rundschreiben 09/2021) fordern von allen Instituten eine Compliance-Risikoanalyse (AT 4.4.2 MaRisk):

Kernanforderungen:

• Jährliche Durchführung: Compliance-Risikoanalyse mindestens einmal pro Jahr
• Anlassbezogene Updates: Bei wesentlichen Änderungen (neue Geschäftsfelder, Regulierung, Vorfälle)
• Risikoorientierung: Fokus auf wesentliche Compliance-Risiken (Proportionalität)
• Dokumentation: Nachvollziehbare Methodik, Ergebnisse, Maßnahmen
• Reporting: Berichterstattung an Geschäftsleitung und Aufsichtsrat

IDW PS 980 (Prüfungsstandard Compliance-Management-System)

Der IDW PS 980 konkretisiert Anforderungen an CMS und Risikoanalyse:

Compliance-Risiko-Definition (IDW):

"Das Risiko der Nichteinhaltung von Regelungen, aus dem Sanktionen, finanzielle Verluste oder Reputationsschäden resultieren können."

Risikokategorien:

1. Rechtliche Risiken: Verstöße gegen Gesetze, Verordnungen
2. Regulatorische Risiken: Nichteinhaltung aufsichtsrechtlicher Vorgaben
3. Reputationsrisiken: Vertrauensverlust bei Kunden, Öffentlichkeit
4. Finanzielle Risiken: Bußgelder, Schadensersatz, Geschäftsverluste

Compliance-Risikoanalyse: Prozess

Phase 1: Identifikation von Compliance-Risiken

Risikoquellen systematisch erfassen

Methode 1: Regulatorisches Inventar

Alle für das Institut relevanten Regelwerke erfassen:

Regulatorisches Inventar (Beispiel Regionalbank):

EU-Regulierung:
├─ CRR/CRD IV (Eigenkapital, Liquidität)
├─ MiFID II (Wertpapiergeschäft)
├─ DORA (IKT-Risikomanagement)
├─ DSGVO (Datenschutz)
├─ EU-Taxonomie (ESG-Offenlegung)
└─ AMLD 6 (Geldwäscheprävention)

Nationale Gesetze:
├─ KWG (Kreditwesengesetz)
├─ WpHG (Wertpapierhandelsgesetz)
├─ GwG (Geldwäschegesetz)
├─ VersVG (Versicherungsvertriebsgesetz, wenn Versicherungen vermittelt)
└─ HGB, AktG, GmbHG (Gesellschaftsrecht)

BaFin-Rundschreiben:
├─ MaRisk (Risikomanagement)
├─ MaComp (Compliance)
├─ BAIT (IT-Governance)
├─ WpDVerOV (Wertpapierdienstleistungen)
└─ Auslegungshilfen Geldwäsche

Interne Richtlinien:
├─ Code of Conduct
├─ Anti-Korruptionsrichtlinie
├─ Interessenkonflikt-Policy
└─ Whistleblowing-Policy

Geschäftsfelder-spezifisch:
├─ Retail Banking: Verbraucherschutzrecht, SECCI (Kreditinformationen)
├─ Wertpapiergeschäft: MiFID II, WpHG, PRIIPs-Verordnung
├─ Immobilienfinanzierung: Wohnimmobilienkreditrichtlinie
└─ Zahlungsverkehr: PSD2, Instant Payments, AML

Methode 2: Geschäftsprozess-Analyse

Alle wesentlichen Geschäftsprozesse auf Compliance-Risiken durchleuchten:

Geschäftsprozess-Mapping:

Retail Banking:
├─ Kontoeröffnung
│   ├─ Compliance-Risiken: Geldwäsche (KYC unzureichend), Datenschutz
│   └─ Regulierung: GwG § 10, DSGVO Art. 6
├─ Kreditvergabe
│   ├─ Compliance-Risiken: Verbraucherschutz, Interessenkonflikte, ESG
│   └─ Regulierung: EBA/GL/2020/06, Verbraucherkreditrichtlinie
├─ Wertpapierberatung
│   ├─ Compliance-Risiken: Fehlberatung, Interessenkonflikte, Provisionen
│   └─ Regulierung: MiFID II, WpHG § 63ff
└─ Zahlungsverkehr
    ├─ Compliance-Risiken: Geldwäsche, Sanktionsverstöße
    └─ Regulierung: GwG, EU-Sanktionsverordnungen

Corporate Banking:
├─ Großkreditvergabe
│   ├─ Compliance-Risiken: Großkreditlimits, Interessenkonflikte
│   └─ Regulierung: KWG § 13, CRR Art. 395
├─ Syndizierungen
│   ├─ Compliance-Risiken: Market Abuse, Insiderhandel
│   └─ Regulierung: MAR (Marktmissbrauchsverordnung)
└─ Treasury
    ├─ Compliance-Risiken: Marktmanipulation, Front-Running
    └─ Regulierung: MAR, MiFID II

Methode 3: Stakeholder-Interviews

Risiken aus Sicht der Fachbereiche erfassen:

Interview-Leitfaden (Beispiel: Leiter Retail Banking)

1. Welche Regulierungen betreffen Ihren Bereich am stärksten?
   → MiFID II, DSGVO, Verbraucherschutzrecht

2. Wo sehen Sie die größten Compliance-Risiken?
   → Wertpapierberatung (Fehlberatung), Provisionen (Transparenz)

3. Gab es in den letzten 12 Monaten Compliance-Vorfälle?
   → 2 Kundenbeschwerden wegen unklarer Provisionsinformation

4. Welche neuen Regulierungen kommen auf Sie zu?
   → ESG-Offenlegung (ab 2024), Nachhaltigkeitspräferenzen in Beratung

5. Wo fehlen Ihnen Ressourcen oder Prozesse für Compliance?
   → ESG-Datenbeschaffung, automatisierte WpHG-Reports

Risikokatalog erstellen

Ergebnis: Strukturierter Compliance-Risikokatalog

ID	Risiko	Regulierung	Betroffene Bereiche	Potenzielle Sanktion
CR-01	Unzureichende KYC bei Kontoeröffnung	GwG § 10	Retail, Corporate	Bußgeld bis €1 Mio.
CR-02	Fehlberatung Wertpapiere	MiFID II, WpHG	Retail, Private Banking	Schadensersatz, BaFin-Maßnahmen
CR-03	Großkreditüberschreitung	KWG § 13, CRR Art. 395	Corporate, Risk	Bußgeld bis €5 Mio.
CR-04	Datenschutzverletzung	DSGVO	IT, alle kundenkontaktierenden Bereiche	Bußgeld bis €20 Mio. oder 4% Umsatz
CR-05	Sanktionsverstöße (Zahlungsverkehr)	EU-Sanktionsverordnungen	Treasury, Zahlungsverkehr	Strafrechtlich, Bußgelder
CR-06	Marktmanipulation (Trading)	MAR	Treasury, Trading	Strafrechtlich, Bußgeld bis €15 Mio.
CR-07	Interessenkonflikte (Wertpapier)	MiFID II Art. 23	Retail, Private Banking	BaFin-Maßnahmen, Reputation
CR-08	ESG-Greenwashing	EU-Taxonomie, SFDR	Asset Management, Marketing	Reputation, BaFin-Maßnahmen
CR-09	IT-Sicherheitsvorfälle	BAIT, DORA	IT, alle Bereiche	Meldepflicht BaFin, Reputation
CR-10	Korruption (Geschenkeannahme)	StGB § 299, interne Policy	Vertrieb, Einkauf	Strafrechtlich, Reputation

Phase 2: Bewertung von Compliance-Risiken

Bewertungsmethodik

Risikobewertung = Eintrittswahrscheinlichkeit × Schadensauswirkung

Eintrittswahrscheinlichkeit (1-5):

Stufe	Bezeichnung	Definition	Beispiel
5	Sehr hoch	Mehrmals pro Jahr	Kleinere DSGVO-Verstöße (z.B. E-Mail-Fehler)
4	Hoch	Einmal pro Jahr	KYC-Lücken bei Neukundenprozess
3	Mittel	Alle 2-3 Jahre	Fehlberatung Wertpapiere
2	Niedrig	Alle 5 Jahre	Großkreditüberschreitung
1	Sehr niedrig	Seltener als alle 5 Jahre	Marktmanipulation durch Mitarbeiter

Schadensauswirkung (1-5):

Stufe	Bezeichnung	Finanzielle Auswirkung	Reputation	Regulatorisch
5	Kritisch	> €10 Mio.	Nationale Medien, Kundenabwanderung	Lizenzverlust, Abberufung Geschäftsleitung
4	Hoch	€1-10 Mio.	Regionale Medien	Bußgeld, BaFin-Maßnahmen
3	Mittel	€100k-1 Mio.	Branchenpresse	Verwarnungen, Auflagen
2	Niedrig	€10k-100k	Einzelne Kundenbeschwerden	Interne Maßnahmen
1	Unwesentlich	< €10k	Keine	Keine

Risikomatrix

Compliance-Risikomatrix:

Schadensauswirkung (Impact)
    ↑
  5 │ 5  │ 10 │ 15 │ 20 │ 25 │ ← KRITISCH
  4 │ 4  │ 8  │ 12 │ 16 │ 20 │
  3 │ 3  │ 6  │ 9  │ 12 │ 15 │ ← HOCH
  2 │ 2  │ 4  │ 6  │ 8  │ 10 │
  1 │ 1  │ 2  │ 3  │ 4  │ 5  │ ← MITTEL/NIEDRIG
    └─────────────────────────→
      1    2    3    4    5
         Eintrittswahrscheinlichkeit (Likelihood)

Risiko-Kategorisierung:
├─ Kritisch (≥ 15): Sofortige Maßnahmen, quartalsweise Review
├─ Hoch (10-14): Priorisierte Behandlung, halbjährliche Review
├─ Mittel (5-9): Standard-Überwachung, jährliche Review
└─ Niedrig (< 5): Monitoring, Review bei Bedarf

Beispiel-Bewertung

Risiko CR-02: Fehlberatung Wertpapiere

Eintrittswahrscheinlichkeit:
├─ Historische Daten: 5 Fälle in letzten 3 Jahren
├─ Komplexität: Hoch (MiFID II, PRIIPs sehr komplex)
├─ Mitarbeiter-Kompetenz: Mittel (nicht alle Berater voll ausgebildet)
├─ Kontrollmaßnahmen: Stichproben (nicht 100% Coverage)
└─ Bewertung: 3 (Mittel – alle 2-3 Jahre wahrscheinlich)

Schadensauswirkung:
├─ Finanziell: Schadensersatz €50k-500k pro Fall
├─ Reputation: Regionale Medien bei größerem Fall
├─ Regulatorisch: BaFin-Maßnahmen (Verschärfte Aufsicht möglich)
├─ Kundenverlust: 10-50 Kunden bei größerem Skandal
└─ Bewertung: 4 (Hoch – finanzielle und reputatorische Auswirkung)

Risikoscore: 3 × 4 = 12 (HOCH)

Maßnahmen:
├─ Verstärkte Schulungen (quartalsweise MiFID-II-Training)
├─ Erhöhung Stichprobenquote (von 5% auf 10%)
├─ Automatisierte WpHG-Checks (IT-Lösung implementieren)
├─ Mystery Shopping (externe Tests der Beratungsqualität)
└─ Ziel: Risikoscore auf 6 reduzieren (Likelihood von 3 auf 2)

Phase 3: Steuerung von Compliance-Risiken

Risikobehandlungsstrategien

1. Vermeiden (Avoid)

• Definition: Geschäftstätigkeit, die Risiko verursacht, einstellen
• Beispiel: Kein Geschäft mit Hochrisiko-Ländern (FATF-Blacklist)

2. Vermindern (Mitigate)

• Definition: Maßnahmen zur Reduktion von Likelihood oder Impact
• Beispiel: Verstärkte Kontrollen, Schulungen, IT-Systeme
• Häufigste Strategie bei Compliance-Risiken

3. Übertragen (Transfer)

• Definition: Risiko auf Dritte übertragen (Versicherung, Outsourcing mit Haftung)
• Beispiel: Cyber-Versicherung für DSGVO-Bußgelder
• Einschränkung: Compliance-Risiken oft nicht vollständig versicherbar

4. Akzeptieren (Accept)

• Definition: Bewusste Risikoübernahme (nur für niedrige Risiken)
• Beispiel: Kleinere DSGVO-Risiken bei internen E-Mails (akzeptiert, aber dokumentiert)

Maßnahmen-Katalog

Compliance-Risiko CR-01: Unzureichende KYC

IST-Zustand:
├─ Likelihood: 4 (häufig Lücken bei Neukundenprozess)
├─ Impact: 4 (Bußgeld bis €1 Mio., Reputation)
├─ Risikoscore: 16 (KRITISCH)
└─ Ursachen: Manuelle Prozesse, unzureichende Schulung, hoher Zeitdruck

Maßnahmen (Mitigate):

1. Prozessverbesserung
├─ Digitale KYC-Plattform (Video-Ident, automatisierte Prüfungen)
├─ Checkliste für Kundenbetreuer (verpflichtend)
├─ Vier-Augen-Prinzip bei Hochrisiko-Kunden
└─ Kosten: €200k (IT), Umsetzung: 6 Monate

2. Schulung
├─ Jährliches Pflicht-E-Learning zu GwG (90% Bestehensquote)
├─ Quartalsweise Updates zu neuen Anforderungen
├─ Zertifizierung aller Kundenbetreuer (extern)
└─ Kosten: €50k/Jahr

3. Technologie
├─ AML-Screening-Software (PEP, Sanktionen, Watchlists)
├─ Automatisierte Risikobewertung (Risk Scoring)
├─ Alert-System bei fehlenden Dokumenten
└─ Kosten: €150k (Lizenz, Integration)

4. Kontrollen
├─ Stichprobenprüfung: 10% aller Neukunden (bisher 5%)
├─ Zusätzlich: 100% bei Hochrisiko-Segmenten
├─ Quartalsweise Compliance-Audits
└─ Ressourcen: +2 FTE Compliance

SOLL-Zustand (nach Umsetzung):
├─ Likelihood: 2 (selten, durch Automatisierung und Kontrollen)
├─ Impact: 4 (unverändert, aber Wahrscheinlichkeit stark reduziert)
├─ Risikoscore: 8 (MITTEL)
└─ Restrisiko: Akzeptiert (residual risk)

Kosten/Nutzen:
├─ Investition: €400k (einmalig) + €100k/Jahr (laufend)
├─ Vermiedene Bußgelder (erwartungswert): €200k/Jahr
├─ ROI: Positiv nach 2 Jahren
└─ Zusatznutzen: Reputationsschutz, Prozesseffizienz

Phase 4: Dokumentation und Reporting

Compliance-Risikoregister

Mindestinhalte:

Compliance-Risikoregister (Excel oder GRC-Tool):

Für jedes Risiko:
├─ Risiko-ID (eindeutig)
├─ Risikobezeichnung
├─ Beschreibung
├─ Regulierung/Rechtsgrundlage
├─ Betroffene Bereiche
├─ Risikokategorie (Recht, Regulierung, Reputation, Finanzen)
├─ Eintrittswahrscheinlichkeit (1-5, IST und SOLL)
├─ Schadensauswirkung (1-5, IST und SOLL)
├─ Risikoscore (IST und SOLL)
├─ Risikobehandlung (Avoid/Mitigate/Transfer/Accept)
├─ Maßnahmen (konkret, mit Verantwortlichen und Fristen)
├─ Kontrollmaßnahmen (bestehend und geplant)
├─ Status (offen/in Umsetzung/umgesetzt)
├─ Letzte Bewertung (Datum)
├─ Nächste Review (Datum)
└─ Verantwortlicher (Risk Owner)

Reporting an Geschäftsleitung

Jährlicher Compliance-Risikobericht:

Compliance-Risikobericht 2024

Executive Summary:
├─ Anzahl identifizierter Risiken: 35 (Vorjahr: 32, +3 neue Regulierungen)
├─ Kritische Risiken: 3 (KYC, IT-Sicherheit, ESG-Reporting)
├─ Hohe Risiken: 8
├─ Mittlere/Niedrige Risiken: 24
└─ Neue Risiken 2024: DORA (IKT), ESG-Offenlegung, NIS2

Top-5-Risiken (nach Score):
1. Unzureichende KYC (Score 16): Maßnahmen in Umsetzung (Q1 2025 Abschluss)
2. IT-Sicherheitsvorfälle (Score 15): DORA-Compliance-Programm gestartet
3. ESG-Greenwashing (Score 12): Gap-Analyse abgeschlossen, Roadmap erstellt
4. Fehlberatung Wertpapiere (Score 12): Schulungen verstärkt, Stichproben erhöht
5. DSGVO-Verstöße (Score 10): Privacy-by-Design in allen IT-Projekten

Maßnahmen-Status:
├─ 15 Maßnahmen abgeschlossen (43%)
├─ 12 Maßnahmen in Umsetzung (34%)
├─ 8 Maßnahmen geplant (23%)
└─ Budget-Auslastung: 85% (€1.7 Mio. von €2 Mio.)

Compliance-Vorfälle 2024:
├─ 12 Minor Breaches (intern geregelt)
├─ 2 Kundenbeschwerden (Wertpapierberatung, geregelt)
├─ 0 Behördenmeldungen
└─ Trend: Stabil gegenüber Vorjahr

Ausblick 2025:
├─ DORA-Compliance (kritisch, Deadline 17. Januar 2025)
├─ ESG-Reporting (EU-Taxonomie, SFDR)
├─ NIS2-Umsetzung (IT-Sicherheit)
└─ Zusätzlicher Ressourcenbedarf: +3 FTE Compliance

Tools und Technologie

Governance, Risk & Compliance (GRC) Software

Führende GRC-Tools:

• SAP GRC: Enterprise-Lösung, Integration mit SAP
• IBM OpenPages: Umfassendes Risk Management
• MetricStream: Cloud-basiert, Banking-fokussiert
• MEGA HOPEX: Compliance-Mapping, Process Mining
• Navex Global: Spezialist für Compliance und Ethics

Funktionen:

• Zentrales Risikoregister
• Automatisierte Workflows (Maßnahmen-Tracking)
• Compliance-Kalender (Fristen, Meldungen)
• Reporting und Dashboards
• Integration mit anderen Systemen (HR, IT, Risk)

DIY-Ansatz (für kleinere Institute)

Excel-basiert:

• Risikoregister (strukturierte Excel-Tabelle)
• Maßnahmen-Tracking (Pivot-Auswertungen)
• Dashboards (Excel-Charts)

Vorteile: Flexibel, kostengünstig Nachteile: Keine Automatisierung, manuelle Pflege, Skalierungsprobleme

---

Fazit: Eine strukturierte Compliance-Risikoanalyse ist das Herzstück eines wirksamen CMS. Sie ermöglicht eine risikoorientierte Priorisierung von Compliance-Ressourcen, proaktive Steuerung kritischer Risiken und transparentes Reporting an Geschäftsleitung und Aufsicht. Institute, die Compliance-Risikoanalysen professionell durchführen, erfüllen nicht nur regulatorische Anforderungen (MaComp), sondern schaffen echten Mehrwert durch Vermeidung von Bußgeldern, Reputationsschäden und Geschäftsverlusten.