AMLR definiert die Risikoanalyse neu: Zielbild und Bauplan für eine prüfbare Risikoanalyse

Im zweiten Teil der Serie haben wir gezeigt, warum viele Risikoanalysen in der Praxis wackeln: Daten liegen verteilt, Excel wird zum „System“, Prozesse werden zu Jahresprojekten – und genau dadurch fehlt am Ende das, was die Aufsicht künftig einfordert: Prüfbarkeit.

Die gute Nachricht: Das Zielbild ist klar. Und es fühlt sich erstaunlich „einfach“ an – wenn Institute die Risikoanalyse nicht als Dokument denken, sondern als laufendes, betreibbares System.

Prüfbarkeit nach AMLR: Der Maßstab verschiebt sich

Die AMLR setzt den Anker sehr deutlich: Die unternehmensweite Risikobewertung muss dokumentiert, auf dem neuesten Stand gehalten und regelmäßig überprüft werden – und Aufsehern auf Anfrage zur Verfügung stehen (vgl. Verordnung (EU) 2024/1624, Art. 10 Abs. 2).

Damit verschiebt sich der Maßstab: Prüfbarkeit entsteht nicht durch „mehr Text“, sondern durch eine Risikoanalyse, die jederzeit reproduzierbar ist – inklusive Datenbasis, Bewertungslogik, Änderungen und Freigaben.

Was heißt das konkret im Alltag? Eine prüfbare Risikoanalyse beantwortet jederzeit drei Fragen – ohne Sonderprozess:

1. Welche Risiken sehen wir – und warum?
2. Welche Daten, Quellen und Annahmen stützen die Bewertung?
3. Was hat sich seit der letzten Version geändert – und wer hat das freigegeben?

Zielbild: Wie sich eine AMLR-fähige Risikoanalyse „anfühlt“, wenn sie wirklich läuft

Ein realistisches Zielbild besteht aus fünf Merkmalen – nicht als Theorie, sondern als spürbare Arbeitsweise:

1. Kontinuierlich statt jährlich

Die Risikoanalyse lebt nicht im Kalender, sondern im Geschäft. Wenn interne oder externe Ereignisse die Risiken signifikant beeinflussen, wird sie aktualisiert – nicht „irgendwann im nächsten Zyklus“. Das schafft ein Trigger-Denken: Neue Produkte, neue Kundensegmente, neue geografische Schwerpunkte aber auch neue Verdachtsmeldungen sind keine Sonderfälle mehr, sondern natürliche Anlässe, Risiken vorab zu bewerten und die Risikoanalyse fortzuschreiben.

2. Datengetrieben statt manuell

Im Zielbild spricht die Risikoanalyse die Sprache der Daten: nicht als „Data Lake-Projekt“, sondern als verlässliche Grundlage, die Bewertungen reproduzierbar macht. Genau hier scheitert Praxis oft – weil Daten in Silos liegen und manuelle Konsolidierung keine Stabilität erzeugt.

3. Methodisch transparent statt Black Box

EU-weit steigt der Druck zur Harmonisierung: die AMLA entwickelt RTS, die eine gemeinsame Methodik definieren, wie Aufseher inhärente (Brutto) und residuale (Netto) Risikoprofile einstufen und wie oft sie diese überprüfen. Für Institute heißt das: Bewertungslogiken müssen so gestaltet sein, dass sie konsistent, nachvollziehbar und erklärbar bleiben – auch wenn sich Datenpunkte, Gewichtungen oder Skalen weiterentwickeln.

4. Governance-verankert statt projektgetrieben

Die AMLR verknüpft Verantwortung und Genehmigung explizit: Der Geldwäschebeauftrage (AML-Officer) erstellt die Risikobewertung, das Leitungsorgan billigt sie. Damit ist Governance kein „Nice to have“, sondern Teil der Prüfbarkeit: Wer liefert Daten? Wer bewertet? Wer reviewed? Wer genehmigt?

5. Jederzeit report-ready statt Endspurt

„Auf Anfrage“ bedeutet: jederzeit lieferfähig. Im Zielbild entsteht der Bericht nicht durch Copy-Paste und „Endspurt“, sondern als Ausdruck dessen, was ohnehin im Betrieb sauber geführt wird: Report Readiness als Dauerzustand. Gerade dann hilfreich, wenn die Aufsicht kurzfristig Konsistenz, Nachweise und Historie sehen will.

Zielbild: Welche Bausteine das Zielbild tragen

Braucht es dafür zwingend Software? Nicht als Selbstzweck. Aber das Zielbild braucht Systemeigenschaften, damit Prüfbarkeit nicht vom Heldentum Einzelner abhängt, sondern im Betrieb entsteht.

Hier liegt der große Mehrwert softwaregestützter Ansätze: Sie machen die Risikoanalyse nicht „digitaler“, sondern betriebsfähig – mit Versionierung, Audit‑Trail, Rollen, Workflows, Validierungen und konsistenter Datenführung als Standard, nicht als manuelle Zusatzarbeit. Genau an diesen Punkten stoßen Excel‑Setups typischerweise an Grenzen, weil sie System‑Eigenschaften nur „drumherum“ organisieren – und damit fehleranfällig und schwer revisionssicher machen.

Man kann diese Bausteine als „Bauplan“ lesen – nicht als Projektplan, sondern als Architektur des Zielbilds:

Warum dieses Zielbild nicht nur regulatorisch sinnvoll ist – sondern wirtschaftlich „rechnet“

Auch international gilt: Ein belastbares Risikoverständnis ist ein laufender, dynamischer Prozess, der neue Informationen fortlaufend aufnimmt und auf veränderte Umweltfaktoren reagiert. Genau daraus entstehen Vorteile, die über „Compliance“ hinausgehen:

• Steuerungsnutzen statt Berichtsstress: Wenn Aktualität und Konsistenz im Betrieb entstehen, wird Risikoanalyse ein Instrument für Priorisierung und Planung – nicht nur eine Momentaufnahme.
• Transparenz über Risikotreiber: Das Management sieht, warum Risiken steigen oder fallen – und kann Maßnahmen gezielt dort ansetzen, wo sie wirken.
• Verknüpfung von Risiko und Maßnahmen: Das Zielbild macht sichtbar, welche Maßnahmen welche Risiken adressieren – und unterstützt damit auch die Diskussion über Angemessenheit und Wirksamkeit.
• Report Readiness als Produktivitätsschub: Wenn „auf Anfrage“ keine Sonderleistung mehr ist, sinkt der manuelle Aufwand – und Kapazität wandert von Dokumentation zu inhaltlicher Risikosteuerung.
• Weniger Reibung, mehr Konsistenz: Einheitliche Bewertungslogiken und saubere Historien reduzieren Abstimmungsschleifen, erklären Änderungen schneller – und stärken die Auskunftsfähigkeit gegenüber Aufsicht und internen Gremien.