Heterogene Rechtspflichten – konsolidiert, materialitätsbewertet, prüffähig.
Avalon Compliance führt Ihre Rechts- und Regulatorikquellen über ein dreistufiges Verfahren nach MaRisk AT 4.4.2 und EBA/GL/2021/05: von der Relevanzanalyse über die 5-Kriterien-Materialitätsbewertung bis zum kontrollierten Risiko-Score. Mehrmandantenfähig, gruppenkonsolidiert und mit lückenloser Auditspur – damit Vorstand und Aufsicht eine belastbare Gesamtsicht erhalten.
Drei Gründe für Avalon Compliance
Dreistufiges Verfahren nach MaRisk AT 4.4.2 und EBA/GL/2021/05 – Relevanz, Materialität, Risiko in einer durchgängigen Methodik.
5-Kriterien-Materialität mit fixen Gewichten und Risiko-Score 1-25 – nachvollziehbar, mit Expert-Override und Begründungspflicht.
Gruppenkonsolidierung über alle Gesellschaften – aggregiertes Dashboard und Reports für Vorstand und Aufsichtsgremien.
Drei Stufen verengen eine Norm bis zum belastbaren Risiko-Score
Wählen Sie eine Norm: Das aufsichtskonforme Verfahren führt sie durch Relevanz, gewichtete Materialität und Risiko – und konsolidiert die Gesellschaften zu einer Gruppensicht.
Audit · Override mit Pflichtbegründung protokolliert
Beispieldaten · Illustration
Belegt: Verfahren nach MaRisk AT 4.4.2 und EBA/GL/2021/05; Materialitäts-Gewichte 30 · 25 · 20 · 15 · 10; BaFin-Bereiche (AML/Datenschutz/Verbraucherschutz) automatisch materiell. Avalon unterstützt die Umsetzung; die Konformitätsverantwortung verbleibt beim Kunden.
Was das Compliance-Modul im Detail leistet
Legal Inventory mit zentraler Longlist
Aus einer zentral gepflegten Master-Longlist mit über 1.000 Rechtsquellen (EU-Verordnungen, nationale Gesetze, Richtlinien, Rundschreiben) übernehmen Ihre Gesellschaften die für sie relevanten Normen in ein eigenes Legal Inventory. Excel-Import mit flexiblem Spalten-Mapping und Export sind unterstützt. So bewertet jede Gesellschaft auf einheitlicher Methodik individuell – ohne die Normen mehrfach zu erfassen.
Relevanzanalyse als Stufe 1
Drei Faktoren – Typ (Hard Law / Supervisory Binding / Soft Law), Bindungsgrad und Geschäftsmodellrelevanz – ergeben einen Relevanz-Score (High / Medium / Low). Nur Medium und High gehen in die nächste Stufe.
5-Kriterien-Materialitätsbewertung
Fünf gewichtete Kriterien – Legal/Sanction Severity (30 %), Business Model Relevance (25 %), Market/Consumer Impact (20 %), Reputation Impact (15 %), Change/Complexity (10 %) – plus Supervisory-Importance-Bonus. BaFin-vordefinierte Bereiche (AML, Datenschutz, Verbraucherschutz) sind automatisch materiell; die Gewichte sind zentral konfigurierbar.
Risikobewertung mit Score 1-25 und Expert-Override
Für jede materielle Rechtsquelle entstehen Risikoszenarien: Inherent Risk aus Eintrittswahrscheinlichkeit (1-5) × Durchschnitt der Impact-Dimensionen (Financial, Regulatory, Reputational), reduziert um effektive Mitigationen abzüglich Impairment-Faktoren. Der Compliance Officer kann mit ±1 bis ±8 Punkten und schriftlicher Pflichtbegründung übersteuern; das Residualrisiko fällt in definierte Bänder (Very Low 0-5 … Critical 21-25). Finalisieren sperrt die Bearbeitung revisionssicher.
Kontrollplan für High/Critical-Risiken
Für jedes High- und Critical-Risiko dokumentieren Sie Kontrollen mit Ziel, Typ (präventiv/detektiv), Frequenz, Laufzeit, Testmethode und Status (geplant/laufend/abgeschlossen). Findings werden über die Stufen F0-F4 erfasst, Control Owner zugeordnet und mit Remediation-Plan und Reporting-Anforderung verknüpft – die Brücke von der Bewertung zur Wirksamkeit.
Mehrmandantenfähigkeit und Gruppenkonsolidierung
Jede Gesellschaft führt ihr eigenes, isoliertes Inventar – dieselbe Norm kann je Geschäftsmodell unterschiedlich bewertet werden. Auf Gruppenebene konsolidieren Dashboard, Heatmap, Vergleichsmatrix und Control-Coverage alle Gesellschaften zu einer Sicht.
Business-Unit-Anwendbarkeit
Je Rechtsquelle legen Sie die Anwendbarkeit pro Business Unit fest – Applicable, Partly Applicable oder Not Applicable. So bildet die Materialität nicht nur die Norm, sondern auch ihre tatsächliche Reichweite in Ihrer Organisationsstruktur ab. Die Matrix ist direkt in die Detailansicht der Rechtsquelle integriert.
Rollenmodell und revisionssicheres Audit-Log
Vier gesellschaftsbezogene Rollen trennen Verantwortung sauber: Compliance Officer (Vollzugriff inkl. Override und Finalisierung), Compliance Analyst (Bearbeitung ohne Override), Compliance Viewer (rein lesend, z. B. Vorstand) und Control Owner (zugewiesene Kontrollen). Jede Änderung wird revisionssicher auf Datensatzebene protokolliert und ist gefiltert und nachvollziehbar abrufbar – die lückenlose Auditspur für Prüfung und Aufsicht.
Welche Rahmenwerke das Compliance-Modul abbildet
- MaRisk AT 4.4.2
- EBA/GL/2021/05
- BaFin-Vorgaben
- DSGVO
- EU AI Act 2024/1689
- MaRisk AT 4.4.2
- Das dreistufige Verfahren – Relevanzanalyse, Materialitätsbewertung, Risikobewertung – ist direkt aus MaRisk AT 4.4.2 abgeleitet und als durchgängiger Workflow im Modul verankert. Die Kontrollfunktion erhält damit eine prüffähige, methodisch konsistente Gesamtsicht über die Compliance-relevanten Rechtsnormen.
- EBA/GL/2021/05
- Die Bewertungskriterien und Gewichtungen der Materialitätsbewertung orientieren sich an EBA/GL/2021/05. Die fünf Kriterien mit ihren fixen Gewichten und der Supervisory-Bonus bilden die regulatorisch vorgezeichnete Logik ab – konfigurierbar über die zentrale Methodik, damit Änderungen einmal gepflegt und gruppenweit gelten.
- BaFin-Vorgaben
- BaFin-vordefinierte Bereiche – Geldwäscheprävention (AML), Datenschutz und Verbraucherschutz – werden automatisch als materiell behandelt, sodass aufsichtlich besonders relevante Themen nicht durch die Materialitätsschwelle fallen können.
- EU AI Act 2024/1689
- KI-bezogene Rechtsquellen lassen sich im Legal Inventory erfassen und bewerten; vorgesehen ist die Verknüpfung solcher Normen als relevante Obligation im AI-Governance-Modul, damit regulatorische und KI-Governance-Sicht zusammenlaufen. Die durchgängige EU-AI-Act-Abdeckung selbst leistet das dedizierte AI-Governance-Modul.
- DSGVO
- Datenschutz zählt zu den BaFin-vordefinierten, automatisch materiellen Bereichen und ist als Kategorie im Legal Inventory führbar. Der Betrieb erfolgt On-Premise ohne Datenabfluss – Ihre Rechts- und Bewertungsdaten verbleiben in Ihrer Hoheit.
Avalon unterstützt die Umsetzung dieser Rahmenwerke. Die Konformität bleibt in der Verantwortung Ihrer Organisation.
KI mit Kontrolle: Vorbefüllung mit oder ohne KI
- Human-in-the-Loop: die KI-Vorbefüllung schlägt Relevanz, Materialität und Risiko vor – der Compliance Officer prüft, editiert oder verwirft jeden Wert.
- Live: KI-Vorbefüllung und der „Regulatory Radar“ sind produktiv – und jeder Workflow funktioniert vollständig auch ohne KI.
- Audit-Trail: jede Bewertung und jeder Override (Pflichtbegründung) wird im Compliance-Audit-Log auf Entitätsebene protokolliert.
Häufige Fragen zum Compliance-Modul
- Welche Regelwerke sind vorgepflegt?
- Aus einer zentralen Longlist von Rechtsquellen – etwa MaRisk, DORA, DSGVO, KWG, GwG und BaFin-Rundschreiben. Eigene Quellen und interne Richtlinien sind strukturiert ergänzbar.
- Wie werden Pflichten auf Kontrollen abgebildet?
- Über Mappings zwischen regulatorischen Anforderungen und Kontrollen. Eine Maßnahme deckt ggf. mehrere Pflichten gleichzeitig ab – Maintenance erfolgt nur einmal.
- Wie schnell sind wir bei einer neuen Regulierung handlungsfähig?
- Standardregelwerke werden gepflegt; neue Quellen lassen sich strukturiert importieren und Pflichten KI-gestützt vorschlagen – jeder Vorschlag wird mit Quelle und Confidence-Score angezeigt und von Ihnen geprüft und bestätigt (Human-in-the-Loop).
- Sind Audit-Nachweise direkt aus Avalon erzeugbar?
- Ja. Reports und Evidenzpakete sind auf Knopfdruck verfügbar – mit Versionierung, Audit-Trail und Begründung pro Bewertung.
Welches Modul passt zu Ihrem nächsten Schritt?
Wir zeigen Ihnen Avalon entlang Ihrer aktuellen Fragestellung – konkret, in Ihrem Kontext, ohne Standard-Sales-Demo.
- On-Premise
- Human-in-the-Loop
- EU-AI-Act-konform by Design
On-Premise · Ihre Daten verlassen das Haus nicht