- Published on
KI MaRisk AT 9 Bericht: -40% Zeit, höhere Compliance-Sicherheit
- Authors

- Name
- Phillip Pham
- @ddppham
KI-gestützte MaRisk AT 9 Berichte: Effizienz & Compliance für Finanzinstitute
TL;DR
Die 9. MaRisk-Novelle verstärkt die Anforderungen an interne Kontrollberichte, insbesondere gemäß AT 9. Finanzinstitute können mithilfe von KI die Erstellung dieser Berichte um bis zu 40% beschleunigen. Dies reduziert manuelle Fehler, verbessert die Qualität der Findings und erhöht die Compliance-Sicherheit, was pro Bericht bis zu 50 Arbeitsstunden einsparen kann.
Die BaFin MaRisk (Mindestanforderungen an das Risikomanagement) sind das Rückgrat der Risikosteuerung in deutschen Finanzinstituten. Mit jeder Novellierung steigen die Anforderungen an die Interne Revision und Compliance-Funktionen, insbesondere im Bereich der Berichterstattung. Die 9. MaRisk-Novelle, die voraussichtlich 2026 in Kraft treten wird, bringt hier nochmals Präzisierungen und Verschärfungen mit sich. Gerade AT 9, der Allgemeine Teil 9, der sich mit der Internen Revision befasst, steht im Fokus. Doch wie können mittelständische Banken, Sparkassen oder Finanzdienstleister diese wachsende Berichtslast nicht nur bewältigen, sondern gleichzeitig die Qualität und Effizienz steigern? Die Antwort liegt in intelligenten KI-Lösungen.
Was die 9. MaRisk-Novelle konkret fordert
Die Konsultationsfassung der 9. MaRisk-Novelle unterstreicht die Bedeutung einer robusten Internen Governance und eines effektiven Risikomanagements. Für die Interne Revision (AT 9) bedeutet dies konkret:
- Detailliertere Berichterstattung an die Geschäftsleitung: Die Interne Revision muss einen umfassenden Bericht erstellen und der Geschäftsleitung vorlegen. Dieser Bericht hat wesentliche Mängel, die dazu ergriffenen Maßnahmen sowie deren Status und die Einhaltung des Prüfungsplans transparent darzulegen.
- Meldung schwerwiegender Feststellungen: Schwerwiegende Mängel und Verstöße sind der Geschäftsleitung und dem Aufsichtsrat unverzüglich zu melden. Die Schnelligkeit und Präzision dieser Meldungen sind entscheidend für die Risikosteuerung.
- Regelmäßige Information des Aufsichtsorgans: Die Geschäftsleitung ist verpflichtet, das Aufsichtsorgan (z.B. Verwaltungsrat) mindestens vierteljährlich schriftlich über die Geschäfts- und Risikolage zu informieren. Diese Berichte müssen auf soliden, aktuellen Daten basieren.
- Compliance-Berichterstattung: Auch die Compliance-Funktion muss der Geschäftsleitung jährlich einen Bericht über die Einhaltung der regulatorischen Anforderungen vorlegen.
Diese Anforderungen führen zu einem erheblichen Mehraufwand bei der Datensammlung, -analyse und -aufbereitung. Genau hier können KI-Systeme ansetzen und wertvolle Unterstützung leisten.
Herausforderungen bei der manuellen Berichterstellung
Wenn Sie als Finanzinstitut diese Anforderungen rein manuell erfüllen, kennen Sie die Herausforderungen:
- Hoher Zeitaufwand: Die manuelle Aggregation von Daten aus verschiedenen Systemen (Core-Banking, CRM, Risikomanagement-Tools, Ticket-Systeme der Fachabteilungen) ist extrem zeitintensiv. Praxis-Erfahrung zeigt, dass für einen umfassenden AT 9 Bericht schnell 80 bis 120 Arbeitsstunden anfallen können.
- Fehleranfälligkeit: Menschliche Fehler bei der Dateneingabe, -verknüpfung oder -interpretation sind unvermeidlich. Eine Fehlinterpretation von Findings kann weitreichende Konsequenzen haben.
- Mangelnde Aktualität: Bis ein manueller Bericht fertiggestellt ist, können sich die zugrundeliegenden Daten bereits wieder geändert haben. Echtzeit-Einblicke sind so kaum möglich.
- Ressourcenbindung: Hochqualifizierte Mitarbeiter aus der Internen Revision und Compliance verbringen ihre Zeit mit Routinetätigkeiten, anstatt sich auf die eigentliche Risikoanalyse und strategische Beratung zu konzentrieren.
- Schwierige Auditierbarkeit: Ohne eine automatisierte, nachvollziehbare Prozesskette ist die Auditierbarkeit des Berichtserstellungsprozesses selbst eine Herausforderung.
Ein mittelständisches Finanzinstitut mit 200 Mitarbeitern und durchschnittlich 10-15 Prüfungen pro Jahr könnte beispielsweise jährlich 800-1.200 Stunden allein für die manuelle Berichtserstellung im Kontext von AT 9 aufwenden. Die Kosten hierfür addieren sich schnell zu einem sechsstelligen Betrag.
So funktioniert KI-gestützte AT 9 Berichterstellung
Ein KI-System kann die komplexen Aufgaben der Datensammlung, -analyse und -synthese automatisieren und damit die Effizienz drastisch steigern. Hier skizzieren wir einen pragmatischen Ansatz:
Automatisierte Datenaggregation: KI-Modelle können an unterschiedliche Datenquellen angebunden werden:
- Unstrukturierte Daten: E-Mails, interne Notizen, Berichte in Word- oder PDF-Formaten, Prüfungsdokumentationen, Protokolle aus Meetings (Natural Language Processing - NLP).
- Strukturierte Daten: Datenbanken aus dem Core-Banking-System, CRM, ERP, Ticketsysteme, Risikomanagement-Software.
- APIs: Anbindung an BaFin-Schnittstellen (sofern verfügbar) oder interne Tools zur automatischen Extraktion relevanter Kennzahlen. Die KI identifiziert und extrahiert relevante Informationen zu Mängeln, Maßnahmen und deren Status.
Mängelanalyse und Kategorisierung: Ein Large Language Model (LLM), das auf interne Richtlinien und MaRisk-Vorgaben trainiert wurde, kann:
- Findings erkennen und bewerten: Das System identifiziert in den extrahierten Daten relevante Mängel und schätzt deren Schweregrad ein, basierend auf vordefinierten Kriterien und historischer Daten.
- Maßnahmen zuordnen: Die KI verknüpft Mängel mit den zugehörigen Korrekturmaßnahmen und verfolgt deren Implementierungsstatus.
- Risikoklassifizierung: Mängel werden automatisiert den relevanten Risikokategorien zugeordnet (z.B. operationelles Risiko, IT-Risiko, Compliance-Risiko).
Entwurf von Berichtskomponenten: Basierend auf den analysierten Daten generiert die KI Entwürfe für einzelne Sektionen des AT 9 Berichts. Dies umfasst:
- Zusammenfassungen wesentlicher Mängel.
- Statusberichte zu Maßnahmen.
- Einschätzungen zur Einhaltung des Prüfungsplans.
- Automatische Identifikation von "schwerwiegenden Feststellungen", die eine umgehende Meldung erfordern.
Reporting und Visualisierung: Die aufbereiteten Informationen können in anpassbaren Dashboards und Berichtsvorlagen visualisiert werden. Dies ermöglicht der Geschäftsleitung und dem Aufsichtsrat einen schnellen Überblick über die aktuelle Risiko- und Compliance-Lage. Ein Beispiel für eine solche Prozesskette könnte die Nutzung eines auf die Finanzbranche zugeschnittenen LLM sein, das durch RAG (Retrieval-Augmented Generation) mit den aktuellen MaRisk-Vorgaben und internen Leitlinien gespeist wird.
Konkrete Vorteile und ROI für Finanzinstitute
Die Einführung einer KI-gestützten Lösung für MaRisk AT 9 Berichte bietet handfeste Vorteile und einen klaren Return on Investment:
| Merkmal | Manuelle Erstellung | KI-gestützte Erstellung |
|---|---|---|
| Erstellungszeit pro Bericht | 80-120 Stunden (Beispielrechnung) | 40-70 Stunden (Praxis-Erfahrung), -40% Zeitersparnis |
| Fehlerquote bei Daten | Mittel bis hoch (menschliche Fehler) | Gering (automatisierte Konsistenzprüfung) |
| Aktualität der Daten | Gering (momentaufnahme) | Hoch (near Echtzeit-Updates) |
| Identifikation "Findings" | Reaktiv, zeitintensiv | Proaktiv, beschleunigt um 40% (Praxis-Erfahrung) |
| Kosten (Personalaufwand) | Ca. €8.000 - €12.000 pro Bericht | Ca. €4.000 - €7.000 pro Bericht (ohne KI-Kosten) |
| Compliance-Sicherheit | Abhängig von Sorgfalt | Deutlich erhöht, da konsistent |
Konkrete Einsparungen und Verbesserungen:
- Zeitliche Effizienz: Unsere Praxis-Erfahrung zeigt, dass sich der Aufwand für die Berichterstellung um 30-50% reduzieren lässt. Für ein mittelständisches Finanzinstitut können dies jährlich Einsparungen im sechsstelligen Bereich bedeuten.
- Qualitätssteigerung: KI-Systeme erkennen Muster und Anomalien in großen Datenmengen präziser als der Mensch. Dies führt zu einer besseren Identifikation von Risiken und einer fundierteren Maßnahmenableitung.
- Erhöhte Compliance-Sicherheit: Durch die konsistente Anwendung der MaRisk-Vorgaben und die lückenlose Dokumentation des KI-Prozesses minimieren Sie das Risiko von Compliance-Verstößen und erleichtern Audits.
- Fokus auf Kernaufgaben: Ihre hochqualifizierten Compliance- und Revisionsmitarbeiter können sich auf die strategische Analyse, die Bewertung komplexer Risiken und die Beratung der Geschäftsleitung konzentrieren, anstatt repetitive Aufgaben zu erledigen.
- Schnellere Reaktion auf Veränderungen: Die Fähigkeit, Berichte schneller zu generieren und anzupassen, ermöglicht es Ihrem Institut, flexibler auf neue regulatorische Anforderungen oder unerwartete Risikoereignisse zu reagieren.
Worauf Sie bei der Implementierung achten sollten
Die Einführung einer KI-Lösung im hochregulierten Finanzsektor erfordert sorgfältige Planung und Implementierung. Hier sind die wichtigsten Punkte:
- Datenhoheit und -sicherheit: Stellen Sie sicher, dass alle Daten DSGVO-konform verarbeitet werden und keine sensiblen Informationen das eigene Rechenzentrum verlassen, es sei denn, es ist explizit genehmigt und vertraglich geregelt. Eine On-Premise-Lösung oder eine spezialisierte Cloud-Lösung mit Standort Deutschland ist hier oft die bevorzugte Wahl.
- MaRisk- und BaFin-Konformität: Das KI-System muss in der Lage sein, die spezifischen Anforderungen der MaRisk und BaFin zu erfüllen und nachvollziehbare, auditierbare Ergebnisse zu liefern. Dokumentation des KI-Prozesses ist unerlässlich.
- Transparenz und Erklärbarkeit (Explainable AI - XAI): Insbesondere im Audit- und Compliance-Kontext ist es wichtig, die Entscheidungen der KI nachvollziehen und erklären zu können. Ein "Black-Box"-Ansatz ist hier nicht akzeptabel.
- Integration in bestehende Systeme: Die Lösung sollte sich nahtlos in Ihre vorhandene Systemlandschaft integrieren lassen, z.B. über APIs an Ihr Risikomanagement-System, Ihr Core-Banking und Ihr Dokumentenmanagementsystem. Wenn Sie auch Tools wie DATEV nutzen, kann die KI hier ebenfalls zur Effizienzsteigerung beitragen, wie unser Artikel "KI + DATEV: 60% weniger manuelle Kontierung" zeigt.
- Schrittweise Einführung: Beginnen Sie mit einem Pilotprojekt für einen spezifischen Bereich, um Erfahrungen zu sammeln und das System iterativ zu optimieren.
- Schulung der Mitarbeiter: Ihre Mitarbeiter müssen im Umgang mit der neuen KI-Lösung geschult werden. Die KI ist ein Werkzeug, das die Expertenarbeit unterstützt, nicht ersetzt.
Die Auswahl des richtigen Anbieters mit Expertise im Finanzsektor und tiefem Verständnis für regulatorische Anforderungen ist entscheidend für den Erfolg.
Häufig gestellte Fragen
Was kostet eine KI-Lösung zur MaRisk AT 9 Berichterstellung?
Die Kosten variieren stark je nach Komplexität des Systems, dem Umfang der Integration und der Datenmenge. Eine grundlegende Lösung für den Mittelstand kann ab 50.000 € bis 150.000 € für Implementierung und initiale Lizenzen liegen, mit jährlichen Wartungs- und Lizenzkosten. Der ROI durch Zeitersparnis und Risikominimierung rechtfertigt diese Investition jedoch oft binnen 12-24 Monaten.
Kann KI die Interne Revision oder Compliance-Mitarbeiter ersetzen?
Nein, KI ersetzt keine Mitarbeiter, sondern entlastet sie von Routinetätigkeiten. Sie fungiert als leistungsstarkes Werkzeug, das es Prüfern und Compliance-Managern ermöglicht, sich auf komplexere Analysen, strategische Bewertungen und persönliche Kommunikation zu konzentrieren. Die finale Beurteilung und Entscheidungsfindung bleibt stets in menschlicher Hand.
Wie sicher sind meine Daten bei der Nutzung von KI für MaRisk-Berichte?
Datensicherheit und Datenschutz sind im Finanzsektor von höchster Priorität. Seriöse Anbieter setzen auf Ende-zu-Ende-Verschlüsselung, Zugriffsrechteverwaltung und Serverstandorte in Deutschland. Achten Sie auf Lösungen, die eine vollständige Datenhoheit gewährleisten und den strengen regulatorischen Anforderungen der BaFin entsprechen.
Welche Rolle spielt Künstliche Intelligenz generell im Risikomanagement von Finanzinstituten?
KI kann weit über die Berichterstattung hinaus im Risikomanagement eingesetzt werden. Dazu gehören Betrugserkennung, Kreditrisikobewertung, Marktrisikoanalyse und die Optimierung des Mahnwesens. Zum Beispiel können Sie im KI-Mahnwesen Banken bis zu 20% Ausfälle reduzieren und €150.000 einsparen.
Ist die Nutzung von KI für regulatorische Berichte von der BaFin zugelassen?
Die BaFin bewertet technologieoffen, solange die regulatorischen Anforderungen erfüllt sind. Entscheidend ist, dass die Prozesse transparent, nachvollziehbar und auditierbar sind und die Verantwortung klar zugewiesen wird. KI ist ein Werkzeug, das im Rahmen der bestehenden Compliance-Vorschriften genutzt werden kann und die Einhaltung dieser Vorschriften sogar erleichtern kann.
Fazit und nächster Schritt
Die 9. MaRisk-Novelle ist keine Belastung, die man nur passiv ertragen muss. Sie ist eine Chance, die interne Revision und Compliance durch den Einsatz von KI zukunftssicher und effizient aufzustellen. Wer frühzeitig in intelligente Lösungen investiert, sichert sich nicht nur die Compliance, sondern auch einen Wettbewerbsvorteil durch schlankere Prozesse und einen besseren Überblick über die eigene Risikoposition.
Wenn Sie evaluieren, wie KI die Berichterstellung gemäß MaRisk AT 9 in Ihrem Finanzinstitut optimieren kann, nehmen Sie Kontakt mit uns auf. Wir analysieren Ihre spezifische Situation und zeigen Ihnen konkrete Schritte auf, wie Sie die Effizienz steigern und die Compliance-Sicherheit erhöhen können.
📖 Verwandte Artikel
Weitere interessante Beiträge zu ähnlichen Themen
KI-IKS MaRisk Compliance: 40% mehr Effizienz, €150k sparen
Automatisieren Sie MaRisk-Compliance für Ihr IKS. KI-gestützte Systeme reduzieren manuelle Kontrollen um 40%, senken Risiken und sparen €150.000 Kosten p.a. – speziell für den Finanz-Mittelstand.
DORA-KI-Anbieter-Checkliste: 10 Kriterien für Finanzinstitute
DORA konforme KI-Anbieter auswählen: Diese Checkliste hilft Finanzinstituten, 10 essenzielle Kriterien zu prüfen, um Risiken zu minimieren und Compliance bis 2025 zu sichern.
WpHG-Compliance mit Presidio: PII-Daten on-premise, 70% Zeitersparnis
Finanzdienstleister stehen vor WpHG-Herausforderungen. Erfahren Sie, wie Microsoft Presidio PII-Daten on-premise anonymisiert und bis zu 70% manuelle Prüfzeit einspart, für revisionssichere Protokolle.
Bereit für KI im Mittelstand?
Nutzen Sie unsere 10 kostenlosen KI-Tools und Praxis-Guides – oder sprechen Sie direkt mit unseren Experten.
Pexon Consulting – KI-Beratung für den Mittelstand | Scaly Academy – Geförderte KI-Weiterbildung (KI-Spezialist, KI-Experte, Workflow-Automatisierung)