Was ist das Ziel eines Risk Assessments in der Compliance?

Systematische Erfassung, Bewertung und Steuerung aller relevanten Compliance-Risiken – von Geldwäsche über Marktmissbrauch bis hin zu Datenschutz und Verbraucherschutz.

Welche Rechtsgrundlagen sind wichtig?

MaRisk AT 4.4.2, KWG (§ 25a), WpIG (§ 33), GwG, DSGVO und Verbraucherschutzgesetze bilden den Kern. Ergänzt durch EBA-Guidelines und internationale Standards.

Wie läuft das Risk Assessment ab?

In fünf Schritten: Bestandsaufnahme, Risikoidentifikation, Bewertung mit Scoring-Modell, Maßnahmenentwicklung und Überprüfung/Weiterentwicklung.

Wie funktioniert das Scoring-Modell?

Bewertung nach Auswirkung (RI), Entdeckungsrisiko (ER) und Eintrittswahrscheinlichkeit (EW). Die Multiplikation ergibt den Gesamtscore.

Was bedeutet Wesentlichkeit im Risk Assessment?

Die Wesentlichkeitsgrenze liegt bei 109 Punkten. Oberhalb gilt ein Risiko als wesentlich, darunter ist es dokumentationspflichtig.

Was ist der Unterschied zwischen Bruttorisiko und Nettorisiko?

Bruttorisiko ist das inhärente Risiko ohne Maßnahmen. Nettorisiko ist das Restrisiko nach Einführung von Kontrollen, Schulungen oder Prävention.

Welche internen Sicherheitsvorkehrungen sind üblich?

Compliance-Strategie, Rechtsmonitoring, internes Kontrollsystem (IKS), Schulungen, Whistleblowing-Systeme und Business Continuity Management (BCM).

Wie ist das Risk Assessment in die Governance eingebunden?

Teil des Drei-Linien-Modells: 1. Linie – Fachbereiche, 2. Linie – Compliance-Funktion, 3. Linie – Interne Revision.

Wie erfolgt die Dokumentation und Berichterstattung?

Risiken, Bewertungen und Maßnahmen werden systematisch dokumentiert. Wesentliche Risiken meldest du Ad-hoc innerhalb von 5 Werktagen an den Vorstand.

Welchen Nutzen bringt ein strukturiertes Risk Assessment?

Prüfungssicherheit, klare Risikolandschaft, effizienter Ressourceneinsatz und gestärkte Risikokultur im gesamten Unternehmen.

Risk Assessment Compliance – Dein Leitfaden für eine wirksame Risikoanalyse

Wenn du in einer Organisation für Compliance verantwortlich bist, weißt du: Das Thema Risk Assessment ist nicht nur eine Pflichtübung für die Aufsicht, sondern die Grundlage für eine gelebte Risikokultur.
Gerade unter den Anforderungen der MaRisk AT 4.4.2 und den aufsichtsrechtlichen Leitlinien von BaFin, EBA und internationalen Standards (z. B. Basel Committee, ESMA) musst du sicherstellen, dass Risiken nicht nur erkannt, sondern messbar, steuerbar und nachvollziehbar dokumentiert werden.

In diesem Artikel erfährst du Schritt für Schritt, wie ein Risk Assessment in der Compliance nach MaRisk aufgebaut ist, wie du Risiken systematisch bewertest und wie du aus den Ergebnissen praktische Präventions- und Kontrollmaßnahmen ableitest.

Risk Assessment Compliance – Die wichtigsten Punkte

Merkmal	Beschreibung
Zielsetzung	Systematische Erfassung, Bewertung und Steuerung aller Compliance-Risiken
Rechtsgrundlagen	KWG, WpIG, GwG, DSGVO, Verbraucherschutz, MaRisk AT 4.4.2
Methodik	Fünfstufiger Prozess: Bestandsaufnahme, Risikoidentifikation, Bewertung, Maßnahmen, Überprüfung
Scoring-Modell	Bewertung nach Risikoauswirkung (RI), Entdeckungsrisiko (ER), Eintrittswahrscheinlichkeit (EW)
Wesentlichkeit	Grenze bei 109 Punkten: oberhalb wesentlich, unterhalb dokumentationspflichtig
Brutto- vs. Nettorisiko	Bruttorisiko = ohne Maßnahmen, Nettorisiko = nach Kontrollen/Prävention
Interne Sicherheitsvorkehrungen	Compliance-Strategie, Rechtsmonitoring, IKS, Schulungen, Whistleblowing, BCM
Governance & Reporting	Integration ins 3-Linien-Modell, regelmäßige und Ad-hoc-Berichte an Vorstand

Zielsetzung und Anwendungsbereich

Die Risikoanalyse verfolgt ein klares Ziel: alle relevanten rechtlichen Risiken zu identifizieren, zu bewerten und durch wirksame Maßnahmen zu steuern. Dabei geht es nicht nur um klassische Felder wie WpHG, GwG oder WpIG, sondern auch um Datenschutz, Verbraucherschutz und Zahlungsdienste.

Wichtig: Nicht alles gehört in den Scope. Arbeitsrecht, Steuerrecht oder Kartellrecht fallen nur dann in deine Betrachtung, wenn sie Schnittstellenrisiken für dein Institut schaffen. Das Fachkonzept sorgt so für Fokus und Effizienz.

Regulatorischer Rahmen

Damit du das Risk Assessment korrekt aufsetzt, musst du die wichtigsten Rechtsgrundlagen kennen:

§ 25a KWG: Verpflichtet Institute zu einer ordnungsgemäßen Geschäftsorganisation inklusive unabhängiger Compliance-Funktion.
§ 33 WpIG: Spezifische Anforderungen für Wertpapierinstitute.
GwG: Zentrale Vorschriften zur Verhinderung von Geldwäsche und Terrorismusfinanzierung.
Datenschutz (DSGVO, BDSG): Verstöße ziehen hohe Bußgelder und Reputationsschäden nach sich.
Verbraucherschutz: Regelt u. a. AGB, Verbraucherdarlehen und Zahlungsdienste.

Dazu kommen die MaRisk (AT 4.4.2), die MaComp sowie Prüfungsstandards wie IDW PS 982. Auf europäischer Ebene geben die EBA-Guidelines und internationale Standards von BCBS oder ESMA die Richtung vor.

Methodik des Risk Assessments

Die Risikobewertung ist ein fünfstufiger Prozess:

Bestandsaufnahme
– Erfasse deine Geschäftsaktivitäten, Produkte, Vertriebskanäle, Organisation und IKT-Systeme.
– Analysiere regulatorisches Umfeld und bestehende Kontrollen.
Identifikation von Risiken
– Pflege ein Legal Inventory mit allen relevanten Gesetzen.
– Trenne klar: Was gehört in deinen Scope? Was nicht?
– Analysiere mögliche Risiken, z. B. durch Änderungen der Marktbedingungen.
Kategorisierung und Bewertung
– Nutze ein Scoring-Modell mit den Dimensionen:
- Risk Impact (RI) – Schadenshöhe, Reputationsrisiken, rechtliche Folgen.
- Entdeckungsrisiko (ER) – Wahrscheinlichkeit, dass Risiken unentdeckt bleiben.
- Eintrittswahrscheinlichkeit (EW) – wie wahrscheinlich ein Risiko tatsächlich eintritt.
Maßnahmen entwickeln
– Setze präventive und korrektive Kontrollen auf.
– Dokumentiere Verantwortlichkeiten, Fristen und Wirksamkeitsindikatoren.
Überprüfung & Weiterentwicklung
– Kontrolliere regelmäßig die Wirksamkeit.
– Nutze Prüfungsberichte, OpRisk-Datenbanken und Lessons Learned.
– Stelle sicher, dass dein Prozess dynamisch und anpassungsfähig bleibt.

Das Scoring-Modell – Herzstück der Bewertung

Ein mehrdimensionales Scoring-Modell macht Risiken vergleichbar und prüfungssicher.

3 Punkte = niedriges Risiko
6 Punkte = mittleres Risiko
9 Punkte = hohes Risiko

Die Gesamtrisiko-Punktzahl errechnet sich aus:

RI × ER × EW = Gesamtrisiko

Damit stellst du sicher, dass Risiken nicht nur nach Schadenshöhe, sondern auch nach Erkennbarkeit und Wahrscheinlichkeit gewichtet werden.

Beispiel:

Ein Risiko mit

RI = hoch (9),
ER = mittel (6),
EW = hoch (9)

ergibt 486 Punkte.
→ Klar oberhalb der Wesentlichkeitsgrenze (109 Punkte) und damit wesentlich.

Wesentlichkeit als Steuerungsgröße

Die Wesentlichkeitsgrenze von 109 Punkten ist entscheidend:

Unterhalb: Dokumentation reicht, keine intensive Bearbeitung nötig.
Oberhalb: Vertiefte Analyse und priorisierte Maßnahmen erforderlich.

So konzentrierst du deine Ressourcen auf die Risiken, die dein Institut wirklich bedrohen.

Bruttorisiko und Nettorisiko

Um die Wirksamkeit deiner Maßnahmen zu zeigen, unterscheidest du:

Bruttorisiko (inhärent): Risiko ohne jegliche Kontrollen.
Nettorisiko (Restrisiko): Risiko nach Einführung deiner Maßnahmen.

Diese Differenzierung macht transparent, was du tatsächlich bewirkst. Akzeptierst du das Restrisiko, reduzierst du es oder eliminierst du es durch zusätzliche Maßnahmen? Diese Fragen gehören ins Reporting an die Geschäftsleitung.

Interne Sicherheitsvorkehrungen

Deine Ergebnisse münden in ein Set von internen Präventionsmaßnahmen. Beispiele:

PM 1: Compliance-Strategie & CMS nach MaRisk.
PM 2: Regelmäßige und Ad-hoc-Berichte an Vorstand und Aufsichtsorgane.
PM 5: Permanentes Rechtsmonitoring.
PM 6: Integration ins interne Kontrollsystem.
PM 8: Schulungen für Mitarbeiter.

Alle Maßnahmen werden nach dem IDW PS 982-Schema dokumentiert: WER? WAS? WIE? WO? WANN?

Integration ins Drei-Linien-Modell

Das Risk Assessment ist nicht isoliert, sondern eingebettet in das Governance-System:

Erste Linie – Geschäftsbereiche: Verantwortung für die regelkonforme Umsetzung.
Zweite Linie – Compliance-Funktion: unabhängige Überwachung und Beratung.
Dritte Linie – Interne Revision: unabhängige Prüfung der Angemessenheit und Wirksamkeit.

So schaffst du ein belastbares Kontrollsystem, das regulatorischen Prüfungen standhält.

Angemessenheit und Wirksamkeit

Ein zentraler Punkt: Nicht nur die Maßnahmen aufschreiben – sondern prüfen, ob sie wirklich wirken.

Angemessenheit: Stimmen Prozesse und Regelwerke mit den Anforderungen überein?
Wirksamkeit: Wurden sie tatsächlich umgesetzt und haben sie das Risiko reduziert?

Dafür nutzt du Prüfungen, interne Kontrollen, externe Audits und OpRisk-Datenbanken.

Dokumentation und Reporting

Dein Risk Assessment ist nur so gut wie seine Dokumentation.
Du musst sicherstellen, dass die Ergebnisse:

nachvollziehbar,
prüfbar,
aktuell und
adressatengerecht aufbereitet sind.

Berichte gehen regelmäßig an Vorstand, Aufsichtsorgane und bei Bedarf an BaFin oder externe Prüfer. Wesentliche Risiken musst du Ad-hoc (innerhalb von 5 Werktagen) melden.

Governance- und Eskalationsmatrix

Eine klare Matrix sorgt für Struktur:

Wesentliche Risiken → sofortige Meldung an Vorstand/CEO/CCO, Maßnahmenplan erforderlich.
Nicht wesentliche Risiken → periodisches Reporting an das Compliance-Komitee.

Das schafft Transparenz und verhindert, dass Risiken „unter den Tisch fallen“.

Dein Nutzen als Compliance Officer

Ein strukturiertes Risk Assessment bietet dir viele Vorteile:

Prüfungssicherheit gegenüber Aufsicht und Abschlussprüfern.
Transparente Risikolandschaft, die jederzeit belegbar ist.
Effiziente Ressourcennutzung durch Priorisierung nach Wesentlichkeit.
Integration in Governance und Risikomanagement, sodass Compliance kein Fremdkörper, sondern Teil der Unternehmenssteuerung ist.
Stärkung der Risikokultur: Mitarbeiter werden sensibilisiert, Führungskräfte eingebunden.

Fazit

Ein Risk Assessment Compliance nach MaRisk ist weit mehr als eine regulatorische Pflicht.
Es ist das strategische Werkzeug, mit dem du:

Risiken systematisch erkennst,
Maßnahmen priorisierst,
Restrisiken steuerst und
dein Institut langfristig vor Sanktionen, finanziellen Verlusten und Reputationsschäden schützt.

Wenn du den Prozess konsequent umsetzt, baust du Vertrauen auf – intern wie extern – und sicherst die Zukunftsfähigkeit deines Instituts.

FAQ: Risk Assessment Compliance

Was ist das Ziel eines Risk Assessments in der Compliance?

Ziel ist die systematische Erfassung, Bewertung und Steuerung aller relevanten Compliance-Risiken – von Geldwäsche über Marktmissbrauch bis hin zu Datenschutz und Verbraucherschutz.
Welche Rechtsgrundlagen sind wichtig?

MaRisk AT 4.4.2, KWG (§ 25a), WpIG (§ 33), GwG, DSGVO und Verbraucherschutzgesetze bilden den Kern. Dazu kommen europäische Leitlinien wie EBA-Guidelines und internationale Standards.
Wie läuft das Risk Assessment ab?

In fünf Schritten: Bestandsaufnahme, Risikoidentifikation, Bewertung mit Scoring-Modell, Maßnahmenentwicklung und Überprüfung/Weiterentwicklung.
Wie funktioniert das Scoring-Modell?

Risiken werden nach Auswirkung (RI), Entdeckungsrisiko (ER) und Eintrittswahrscheinlichkeit (EW) bewertet. Die Multiplikation ergibt einen Gesamtscore (3, 6 oder 9 Punkte je Dimension).
Was bedeutet Wesentlichkeit im Risk Assessment?

Die Wesentlichkeitsgrenze liegt bei 109 Punkten. Risiken oberhalb gelten als wesentlich und werden priorisiert, Risiken darunter nur dokumentiert.
Was ist der Unterschied zwischen Bruttorisiko und Nettorisiko?

Bruttorisiko ist das inhärente Risiko ohne Maßnahmen. Nettorisiko berücksichtigt bestehende Kontrollen, Prävention und Schulungen – also das Restrisiko.
Welche internen Sicherheitsvorkehrungen sind üblich?

Compliance-Strategie, Rechtsmonitoring, internes Kontrollsystem (IKS), Schulungen, Whistleblowing-Systeme und Business Continuity Management (BCM) sind zentrale Elemente.
Wie ist das Risk Assessment in die Governance eingebunden?

Es ist Teil des Drei-Linien-Modells: 1. Linie – Fachbereiche, 2. Linie – Compliance-Funktion, 3. Linie – Interne Revision. Zusätzlich erfolgt eine enge Verzahnung mit Risikomanagement und AML.
Wie erfolgt die Dokumentation und Berichterstattung?

Risiken, Bewertungen und Maßnahmen werden systematisch dokumentiert. Wesentliche Risiken meldest du Ad-hoc innerhalb von 5 Werktagen an den Vorstand, nicht wesentliche im regulären Reporting.
Welchen Nutzen bringt ein strukturiertes Risk Assessment?

Prüfungssicherheit, transparente Risikolandschaft, effiziente Ressourcennutzung und eine gestärkte Risikokultur im gesamten Institut.

FAQ Schema: Risk Assessment Compliance