Zum Inhalt springen
Horizon Scanner
Demo buchen

Für wen

Group Compliance Officer

Sieben EU-Frameworks gleichzeitig überwachen, ohne ein zwölfköpfiges Team aufzubauen. Jedes regulatorische Finding klassifiziert, geroutet und prüfungsfest dokumentiert am Tag der Veröffentlichung — in unter vier Stunden zwischen Quelle und Sign-off.

Stand:

Ihre Realität

Sie sind verantwortlich für DORA, MiCA, AMLA, EU AI Act, CSRD, TFR und NIS2 gleichzeitig — und für die Konsistenz zwischen ihnen. EBA, EIOPA, ESMA und 22 nationale Aufseher produzieren Mengen, die kein manuelles Tracking-Setup mehr bewältigt. Ihr Postfach läuft über; Sie wissen am Freitag, was am Montag eskaliert hätte werden müssen; jede Inspektion testet ein Detail, das in einem Aufsichts­schreiben vor sechs Monaten stand und niemand gesehen hat.

01Ihre Woche als Group Compliance Officer

Montag, 8:30. Wochenbesprechung mit den Compliance-Heads der Tochterunternehmen. Sie haben über das Wochenende drei EUR-Lex-Publikationen, zwei ESMA-Q&As und vier nationale Aufsichts­schreiben verpasst — wenn sie überhaupt in Ihrem Postfach gelandet sind. Die Wochenliste, die Sie der Geschäfts­leitung präsentieren, beruht auf dem, was Ihre Teams Ihnen freitags geschickt haben. Nicht auf dem, was die Aufseher tatsächlich veröffentlicht haben.

Dienstag — Donnerstag. Drei Inspektions­vorbereitungen parallel: BaFin-DORA-Inspektion in der Konzernmutter (Q3 2026), AMF-MiCA-Genehmigungs­dialog für die französische Tochter, EIOPA-Themed-Review zu AI-Anwendungen im Underwriting. Jedes Thema verlangt eine andere Wissens­basis, ein anderes Datum-Bewusstsein, eine andere interne Koordination.

Freitag, 16:00. Sie schreiben den Wochenbericht für den Vorstand. Die Kennzahl, die Sie nennen, ist: „X Findings diese Woche, davon Y kritisch, Z eskaliert.“ Was sie nicht nennen können, weil Sie es nicht wissen: Wie viele Findings hat das System diese Woche tatsächlich produziert — und wie viele haben Sie übersehen?

02Was sich 2026 für Ihre Rolle verändert

Drei strukturelle Verschiebungen treffen Sie in 2026 gleichzeitig.

Erstens: DORA-Inspektionen verlassen den Setup-Modus. Achtzehn Monate nach Anwendungsbeginn prüfen ESAs und NCAs nicht mehr, ob ein Register existiert, sondern ob es vollständig ist — Sub-Outsourcing-Kette, Konsistenz mit Incident-Reports, Vorstands­briefing-Spur [1]. Das ist die Klasse von Findings, die in der einen Inspektion landen, die Sie nicht voraussehen können.

Zweitens: Hochrisiko-KI wird verbindlich am 02.08.2026. Falls Sie Underwriting- oder Pricing-Systeme einsetzen, die unter Annex III Nr. 5 fallen, müssen FRIA, Datenbank-Eintrag, DSGVO-Art.-22-Konsistenz und DORA-Drittpartei-Verzeichnis bis dahin stehen [2].

Drittens: MiCA-Grandfathering läuft bis 01.07.2026 aus. Falls Ihr Konzern eine CASP-Tochter oder eine Krypto-affine Asset-Manager-Tochter hat, müssen die nationalen Übergangs­regeln durch eine vollständige MiCA-Lizenz ersetzt sein [3]. In Spanien, Italien, Malta und Zypern sind die Fristen bereits abgelaufen.

Jede dieser drei Verschiebungen ist für sich machbar. Zusammen — plus AMLA, CSRD, TFR und NIS2 als Hintergrund­rauschen — übersteigen sie die Kapazität jedes manuellen Trackings, das auf Postfach-Sortierung und Spreadsheet-Disziplin beruht.

03Was Ihr Vorstand wirklich von Ihnen sehen will

McKinsey hat in ihrer Compliance-Funktion-Untersuchung 2024 zwei Vorstands-Erwartungen heraus­destilliert, die die Rolle des Group Compliance Officer in der nächsten Dekade definieren: (a) Quantifizierbare Risiko­reduktion, nicht Aktivitäts­berichte — wie viele Findings hat das System produziert, wie viele wurden korrekt klassifiziert, wie ist die Fehler­quote im Vergleich zur Wettbewerbs­bench? (b) Skalierbarkeit ohne Personal­wachstum — die Compliance-Funktion hat einen FTE-Peak erreicht; weitere Skalierung muss aus Technologie kommen [4].

Beide Erwartungen lassen sich nicht erfüllen, wenn die Detection-Schicht — das, was die Findings überhaupt erst sichtbar macht — manuell ist. Sie können nicht messen, was Sie nicht erfassen; Sie können nicht skalieren ohne Personal, wenn jeder neue Framework drei FTE in der Compliance-Operations­leitung verlangt.

Was sich ändert

Sechs Aufgaben, die Horizon Scanner Ihnen abnimmt

Konkrete Mechanik gegen die fünf Friktionen Ihrer Woche. Jedes Element ist im Tool live verfügbar — keine Roadmap.

  • 01

    Sieben Frameworks parallel überwachen

    Horizon Scanner überwacht alle drei ESAs (EBA, EIOPA, ESMA) plus 22 NCAs plus EUR-Lex plus die Kommissions-Konsultations-Portale parallel — DORA, MiCA, AMLA, EU AI Act, CSRD, TFR, NIS2 und 30+ weitere Frameworks ohne zusätzliche Konfiguration. Jeder Publikations-Stream wird stündlich gepollt; jede neue Veröffentlichung läuft binnen 30 Minuten durch die Klassifizierung.

  • 02

    Findings klassifizieren — drei Dimensionen, Vier-Augen-Prinzip ab Score 3

    Jedes Finding wird auf Impact, Reach und Substantiveness gescort (jeweils 1–4). Ein Gesamt-Score ≥ 3 löst automatisch das Vier-Augen-Prinzip aus — eine zweite, bewusst unterschiedliche Verifikations­schicht prüft die Klassifizierung neu, bevor das Finding aus dem Triage-Tab wandert.

  • 03

    An das richtige Team routen — < 4 Stunden Publikation → Sign-off

    Pre-konfigurierte Routing-Regeln je Framework, Sektor und Funktion. DORA-Findings zu Third-Party-Register gehen an IT-Risk; SFDR-PAI-Updates an Sustainability-Reporting; AMLA-Klassifizierungs­änderungen an Geldwäsche­beauftragten. Mehr als 90 % aller Findings sind ab Tag eins korrekt geroutet — der Rest geht in eine human-review-queue.

  • 04

    Prüfungsfest dokumentieren — 5 Jahre Audit-Trail

    Jede Aktion — Klassifizierung, Routing, Re-Classification, Sign-off, Eskalation — wird zeitgestempelt in ein unveränderbares Audit-Log geschrieben. Retentions­dauer: 5 Jahre. Export als CSV oder JSON für Inspektoren. Inspektoren-Frage „wann wussten Sie davon?“ hat eine objektive Antwort.

  • 05

    Vorstands­briefing automatisch zusammenstellen

    Quartals­briefings für den Vorstand werden aus dem Audit-Log automatisch zusammengestellt: alle Critical-Findings, alle Eskalationen, alle übergreifenden Trends. Das Briefing ist eine konsistente Deliverable, nicht ein montag­morgens manuell zusammengeklicktes Excel.

  • 06

    Cross-Framework-Konsistenz prüfen

    DORA-Drittparteienregister vs. AI-Act-Datenbank-Eintrag vs. DSGVO-Verzeichnis-der-Verarbeitungs­tätigkeiten — Horizon Scanner zeigt Inkonsistenzen zwischen den Compliance-Registern eines KI-Pricing-Systems in einer Übersicht. Die häufigste Inspektions­frage 2026 wird damit pre-emptiv beantwortet.

Die Zahlen, die Ihr Vorstand sieht

Übersetzt von Compliance-Sprache in Vorstands-Sprache.

  • < 4 Stunden

    Mediane Zeit von Aufsichts-Veröffentlichung bis Sign-off durch das verantwortliche Team. Die zentrale Effizienz-KPI für den Vorstand.

  • ≥ 90 %

    Default-Routing-Genauigkeit Tag 1 — der Anteil aller Findings, der ohne manuelle Korrektur ans richtige Team gelangt. Benchmark gegenüber 60–70 % bei manuellem Setup.

  • 5 Jahre

    Audit-Trail-Retention für alle Klassifizierungs-, Routing- und Sign-off-Aktionen — passt zu DORA-, MiCA- und AI-Act-Dokumentations­anforderungen ohne separate Konfiguration.

  • 0 FTE

    Zusätzliche Compliance-FTE pro neuem EU-Framework. McKinseys 2024-Compliance-Studie identifizierte FTE-freies Skalieren als Vorstands-Erwartung Nr. 2.

Fragen, die Sie sich stellen werden

  • Wie integriert sich Horizon Scanner in unsere bestehenden GRC-Tools?

    Über REST-APIs und Webhook-Subscriptions. Jedes Finding kann als Event in Archer, MetricStream, ServiceNow oder ein eigenes Risk-Register gepusht werden. Wir wahren die Klassifizierungs- und Audit-Trail-Logik, die GRC-Tools die Workflow-Logik — kein Duplikat-Tracking.

  • Wer ist verantwortlich, wenn ein Finding falsch klassifiziert wird?

    Der Beaufsichtigte. Horizon Scanner ist ein Werkzeug, keine outsourced Compliance-Funktion. Aber: Die Vier-Augen-Prinzip-Logik (ab Score 3) und die Cross-Framework-Konsistenz­prüfungen reduzieren die Fehler­quote signifikant gegenüber manueller Klassifizierung. Inspektionen werden eine technologie­gestützte Klassifizierungs­spur konsistenter finden als eine manuelle.

  • Was passiert mit historischen Findings beim Onboarding?

    Wir laden auf Wunsch das letzte regulatorische Quartals-Backfill in den Audit-Trail nach, sodass eine Inspektion auch vor der Plattform-Einführung erfassbar bleibt. Im Standard-Onboarding (30 Tage) ist die Erfassung ab Tag eins live; historische Daten werden auf Anfrage extrahiert.

  • Wer haftet, wenn ein Finding nicht erfasst wird?

    Wir betreiben den Erfassungs-Stream gegen 45 Aufsichts­quellen mit dokumentierter Coverage-SLA. Eine fehlende Aufsichts­quelle ist ein Service-Mangel auf unserer Seite. Eine Klassifizierungs- oder Routing-Entscheidung bleibt in der Verantwortung des Instituts. Der AVV-Vertrag legt die Haftungs­verteilung präzise fest.

Quellen

  1. [1]EIOPA Supervisory Convergence Plan 2025/2026
  2. [2]Verordnung (EU) 2024/1689 (AI Act) — Anwendungsdatum Art. 113
  3. [3]Verordnung (EU) 2023/1114 (MiCA) — Art. 143 Übergangsbestimmungen
  4. [4]McKinsey — The compliance function at an inflection point (2024)

Lassen Sie uns die Realität Ihrer Woche durchgehen.

Zwanzig Minuten. Konkrete Use-Cases aus Ihrem Konzern.

Gespräch vereinbaren