MaRisk, MaGo, DORA: Warum revisionssichere Prozessdokumentation in Banken und Versicherungen ein Wissensproblem ist

Der Kern der Anforderung

Mit dem Inkrafttreten von DORA hat sich die Aufsichtspraxis im Finanzsektor verschoben. Schon MaRisk und MaGo verlangten von Banken und Versicherungsunternehmen, dass ihre Prozessdokumentation mit der gelebten Praxis übereinstimmt. DORA verstärkt diese Erwartung jetzt mit einer schärferen Prüfungs- und Sanktionspraxis. Damit prüft die Aufsicht in Banken und Versicherungen nicht mehr primär, ob eine Organisation ihre Prozesse dokumentiert hat. Sie prüft, ob die Dokumentation tatsächlich abbildet, was im Tagesgeschäft passiert.

Das ist eine Verschiebung, die in vielen Häusern unterschätzt wird, weil sie das Compliance-Problem aus der Akten-Welt in die Realität der Mitarbeitenden zieht. Wer eine Prozessbeschreibung im Qualitätsmanagement-System ablegt, hat damit noch keine revisionssichere Prozessdokumentation. Er hat ein Stück Papier. Die eigentliche Anforderung beginnt da, wo das Papier auf das tägliche Tun trifft.

Dieser Artikel ordnet die regulatorische Lage ein, beschreibt die strukturelle Lücke zwischen dokumentiertem und gelebtem Prozess und zeigt, wie KI-gestützte Knowledge Intelligence diese Lücke operationalisierbar macht. Siara KI von eEight steht in der zweiten Hälfte exemplarisch für eine solche Lösung; die Argumentation gilt unabhängig vom konkreten System.

Der regulatorische Stack: MaRisk, MaGo, VAIT, BAIT und DORA

Banken und Versicherungen in Deutschland leben in einem Rahmenwerk aus drei Schichten. Eine deutsche Aufsichtsschicht, eine IT-Spezialschicht und ein europäisches Resilienzregime (DORA als regulatorisches Gesamtpaket), das seit 2025 die anderen einrahmt.

Die MaRisk (Mindestanforderungen an das Risikomanagement) ist das zentrale Rundschreiben der BaFin für Kreditinstitute. Eine aktuellere Fassung ist die 8. Novelle vom Mai 2024. Im allgemeinen Teil verlangt sie, dass alle relevanten Geschäftsaktivitäten auf schriftlich dokumentierten Organisationsrichtlinien basieren, die Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen und Kommunikationswege klar regeln. IT-Systeme müssen Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten sicherstellen. Auch ausgelagerte Prozesse bleiben in der vollen aufsichtsrechtlichen Verantwortung des auslagernden Hauses. Der entscheidende Begriff durchzieht alle Module: nachvollziehbar dokumentiert. Ein sachkundiger Dritter, sprich der Prüfer, muss anhand der Dokumentation rekonstruieren können, was wann von wem auf welcher Grundlage entschieden wurde.

Für die Versicherungswirtschaft gilt das Pendant MaGo (Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen). Die MaGo hat das frühere Rundschreiben MaRisk(VA) abgelöst und stützt sich auf das Versicherungsaufsichtsgesetz und die Solvency-II-Architektur. Versicherer müssen die vier Schlüsselfunktionen Risikomanagement, Compliance, Interne Revision und die versicherungsmathematische Funktion durch schriftlich dokumentierte Leitlinien unterlegen. Auch hier wieder: Schriftform, Aktualität, Nachvollziehbarkeit, Funktionstrennung. Erst diese Anforderungen ermöglichen, dass eine Schlüsselfunktion ihre Aufgabe überhaupt unabhängig wahrnehmen kann.

Daneben stehen die IT-Spezialnormen VAIT für Versicherer und BAIT für Banken. Sie konkretisieren, was MaRisk und MaGo zur IT verlangen: schriftliche IT-Strategie, dokumentierte Verantwortlichkeiten, nachvollziehbare Berechtigungs-, Änderungs- und Freigabeprozesse, Anforderungen an Anwendungsentwicklung, Betrieb und Auslagerung.

DORA, der Digital Operational Resilience Act, ist der jüngste und strengste Baustein. Die EU-Verordnung gilt seit dem 17. Januar 2025 unmittelbar in allen Mitgliedstaaten und adressiert Banken, Versicherer, Kapitalverwaltungsgesellschaften, Zentralverwahrer sowie kritische ICT-Drittdienstleister. DORA verlangt im Originalwortlaut ein „sound, comprehensive and well-documented ICT risk management framework", dazu schriftliche Leitlinien, ein Incident-Reporting mit klar definierten Fristen, regelmäßige Resilience-Tests, dokumentierte Beziehungen zu ICT-Drittdienstleistern mit Audit-Rechten und Mechanismen zum Informationsaustausch. Die ergänzenden Regulatory Technical Standards der europäischen Aufsichtsbehörden wurden im Lauf des Jahres 2024 finalisiert. Die BAIT wird in den kommenden Aufsichtszyklen schrittweise durch DORA abgelöst; die VAIT wird in Kernbereichen ergänzt und teilweise überschrieben.

Praktisch heißt das: Banken müssen MaRisk plus DORA, Versicherer MaGo plus VAIT plus DORA erfüllen. Die Anforderungen überlappen. Die größten Audit-Risiken liegen nicht in der einzelnen Norm, sondern in der Schnittstelle zwischen Norm, Prozess und gelebter Praxis.

Was revisionssichere Prozessdokumentation tatsächlich bedeutet

Revisionssichere Prozessdokumentation ist kein technischer Standard. Sie ist eine organisatorische Fähigkeit, die mehrere Eigenschaften gleichzeitig erfüllen muss.

Zentral ist die Nachvollziehbarkeit für sachkundige Dritte. Die interne Revision oder die Aufsicht muss anhand der Dokumentation rekonstruieren können, wer was wann auf welcher Grundlage entschieden hat. Bei einer Kreditentscheidung sind das Antragsdaten, Bonitätsunterlagen, angewandte Kriterien, Genehmigungspfad, Entscheider, Datum und Begründung. Bei einer Schadenregulierung in der Versicherung sind es der gemeldete Sachverhalt, die geprüften Unterlagen, die angewandten Bedingungen, die Entscheidung, die Eskalationsschritte und die Auszahlung.

Hinzu kommen Authentizität und Unveränderbarkeit. Was einmal dokumentiert ist, darf nicht still und unbemerkt verändert werden. Versionierung, Audit-Trails und Rollenkonzepte sind das technische Fundament, aber die organisatorische Disziplin entscheidet. Die MaRisk verlangt zudem ausdrücklich Aktualität: Eine Prozessbeschreibung, die das Verfahren von vor zwei Jahren beschreibt, ist im Sinne der Aufsicht wertlos. Aktualisierung ist eine kontinuierliche Pflicht, keine Jahresroutine. Schließlich ist die Aufbewahrung geregelt, in der Regel mindestens fünf, bei bestimmten Geschäftsvorfällen länger.

Was die Regulatorik bewusst offen lässt, ist die technische Umsetzung. Es gibt keine Vorschrift, in welchem System Dokumentation liegen muss, ob Hashes oder digitale Signaturen verwendet werden müssen, ob Screen Recordings als Evidenz zählen oder nicht. Das ist gut, weil es Innovation erlaubt. Es ist gleichzeitig anstrengend, weil es jede Aufsichtsprüfung zu einer Auslegungsfrage macht.

Der blinde Fleck: dokumentierter und gelebter Prozess

Hier liegt der eigentliche Schmerzpunkt. Die Regulatorik verlangt Dokumentation, sie verlangt Aktualität, sie verlangt Konsistenz mit der Praxis. Sie sagt aber nicht, wie die Diskrepanz zwischen dokumentiertem Soll und gelebter Realität zu identifizieren und zu schließen ist. In der Aufsichtspraxis und in den jährlichen Findings interner Revisionen taucht dasselbe Muster wieder und wieder auf.

Eine Prozessbeschreibung existiert. Sie wurde irgendwann auf Basis von Workshops, Interviews und Best Practices erstellt. Sie liegt im Qualitätsmanagement-System, ist freigegeben, hat eine Versionsnummer. Wenn man Mitarbeitende fragt, wie sie den Prozess wirklich ausführen, kommen drei Varianten: die offizielle Variante, die pragmatische Variante mit lokalen Workarounds und die persönliche Variante eines erfahrenen Sachbearbeiters, der über die Jahre gelernt hat, an welcher Stelle die SOP unsauber ist und wie man trotzdem zu einer guten Entscheidung kommt. Die letzte Variante ist oft die fachlich beste. Sie ist gleichzeitig die größte regulatorische Lücke, weil sie in keiner Akte steht.

Dieses Phänomen ist nicht neu. Harold Wilensky hat schon 1967 in seinem Klassiker Organizational Intelligence gezeigt, dass Organisationen über erhebliches Wissen verfügen, das in Entscheidungsprozessen wirksam wird, ohne formal dokumentiert zu sein. Was sich seit 1967 geändert hat, ist die regulatorische Erwartung. Was damals als unvermeidlicher Teil organisationaler Wirklichkeit galt, ist heute aufsichtlicher Befund.

In der Praxis zeigen sich wiederkehrende Befundtypen, die jede interne Revision in Banken und Versicherungen kennt. Da gibt es die klassische Soll-Ist-Lücke: Die SOP beschreibt einen vierstufigen Genehmigungspfad, in der Praxis wird eine Stufe regelmäßig übersprungen, weil das System sie technisch nicht erzwingt. Die Bank kann nicht nachweisen, dass die Kontrolle gewirkt hat. Daneben tritt regelmäßig die Schulungs-Praxis-Lücke auf: Mitarbeitende haben eine Pflichtschulung absolviert, der Schulungsnachweis ist im LMS dokumentiert, im Tagesgeschäft handeln sie nach einer Variante, die zur Schulung im Widerspruch steht. Die formale Pflicht ist erfüllt, die Wirksamkeit nicht. Die MaRisk verlangt implizit, dass Mitarbeitende die dokumentierten Prozesse kennen und anwenden, und Letzteres lässt sich mit klassischen Schulungsnachweisen kaum belegen.

Dazu kommt die Findings-Wiederholungsschleife. Die interne Revision dokumentiert ein Finding, die Behebung wird zugesagt, im nächsten Audit-Zyklus taucht dasselbe Finding wieder auf, weil die Behebung lokal stattgefunden hat, aber nie in die zentrale Prozessdokumentation eingeflossen ist. Hinzu kommen Wissensmonopole, in denen ein einzelner Experte, oft kurz vor der Rente, einen kritischen Prozess über Jahre verfeinert hat und ihn als einziger vollständig beschreiben kann. Aus Compliance-Sicht ein großes Risiko, das in vielen Risiko-Inventuren nicht auftaucht, weil es als Personalfrage und nicht als Prozessfrage gerahmt wird. Und schließlich die ausgelagerte Black Box: Vertraglich ist alles geregelt, in der Praxis weiß im eigenen Haus niemand mehr im Detail, wie der Prozess intern funktioniert. Die Auslagerungsanforderungen der MaRisk und die Drittanbieter-Pflichten unter DORA werden formal eingehalten, die operative Steuerungsfähigkeit ist trotzdem eingeschränkt.

Die Risiko-Dimension

Banken und Versicherungen sind wie Risiko-Bearbeitungsmaschinen. Sie messen Marktrisiko, Kreditrisiko, operationelles Risiko, IT-Risiko, Reputationsrisiko. Was in vielen dieser klassischen Risiko-Frameworks weiterhin fehlt, ist die saubere Erfassung des Wissensrisikos: das Risiko, dass kritisches Prozesswissen nicht verfügbar, nicht aktuell oder nicht überprüfbar ist. Genau dieses Risiko materialisiert sich, wenn Aufsicht oder Revision die Lücke zwischen Doku und Praxis aufdecken.

Die Konsequenzen reichen von harmlosen Findings über Maßnahmen-Auflagen, zusätzliche Kapitalanforderungen und Sonderprüfungen bis zu Bußgeldern. DORA hat diese Sanktionsdimension europaweit deutlich verschärft und erlaubt der Aufsicht Strafen mit materiellem Effekt auf die Gewinn- und Verlustrechnung. Hinzu kommt das oft unterschätzte Reputationsrisiko, wenn ein Vorfall bekannt wird und die Aufsicht öffentlich macht, dass die Prozessdokumentation nicht der gelebten Praxis entsprach.

Das eigentliche Risiko liegt aber tiefer. Es liegt im operativen Geschäft. Wenn eine Organisation nicht weiß, wie ihre kritischen Prozesse tatsächlich ablaufen, kann sie sie auch nicht steuern, nicht verbessern und nicht resilient gegen den Ausfall einzelner Personen oder Systeme machen. Risiko-Reduzierung beginnt deshalb nicht mit der nächsten überarbeiteten SOP. Sie beginnt mit der ehrlichen Erfassung dessen, was wirklich passiert.

Knowledge Intelligence als Antwort

Die Antwort liegt in einer eigenen Schicht oberhalb der formalen Dokumentation, die das implizite Prozesswissen systematisch greifbar macht. Knowledge Intelligence ist der konzeptionelle Rahmen dafür. Siara KI von eEight ist ein Beispiel für ein System, das diese Schicht operativ umsetzt. Der Mechanismus folgt einem einfachen Dreischritt: erfassen, analysieren, nutzen.

Die Erfassung passiert über drei Kanäle. KI-geführte strukturierte Interviews oder Audio-Befragungen mit den Menschen, die den Prozess tatsächlich ausführen, etwa 5-10 Minuten pro Woche pro Expertin oder Experte. Anders als eine einmalige Workshop-Dokumentation läuft die Befragung kontinuierlich und legt jene Lücken, Workarounds und Begründungen frei, die in der SOP nicht stehen. Parallel Screen Recordings für digitale Prozesse: die Sachbearbeiterin zeigt am Bildschirm, wie sie tatsächlich klickt, wo sie Daten eingibt, an welcher Stelle sie eine Abkürzung über das Mailpostfach nimmt und warum. Beides wird transkribiert, indexiert und in einem Knowledge Graph zusammengeführt.

Die Analyse übernehmen spezialisierte KI-Agenten. Sie erkennen Muster, Lücken und Widersprüche. Beschreiben drei Sachbearbeiter denselben Prozess in vier Varianten, liegt eine Soll-Ist-Lücke vor. Eine Workaround-Begründung, die nur eine einzelne Schlüsselperson kennt und die in keiner SOP steht, ist ein Wissensmonopol. Ein Prozessschritt, der in der Doku auftaucht, faktisch aber nicht ausgeführt wird, ist ein Kontrollausfall. Diese Findings werden strukturiert ausgegeben und mit den formalen Prozessbeschreibungen abgeglichen.

Die Nutzung geschieht auf mehreren Ebenen. Auf der individuellen Ebene über einen KI-Assistenten, der Mitarbeitenden in Echtzeit Antworten auf Prozessfragen gibt, mit Quellenlinks und Einbindung der Screencasts. Auf Team-Ebene über eine Wissensabdeckungs-Übersicht, die zeigt, wo Wissen redundant verfügbar ist und wo Lücken entstehen. Auf Bereichs- und Organisationsebene über automatisch generierte Statusreports und ein Wissensrisiko-Dashboard, das genau die Soll-Ist-Lücken sichtbar macht, die später zu Audit-Findings werden würden.

Aus dieser Beobachtung wird Bearbeitung. Die identifizierten Lücken lassen sich direkt im System aufgreifen. Workarounds, die sich als sinnvolle Praxis erweisen, werden in die formale Dokumentation überführt; solche, die ein Risiko tragen, werden eliminiert oder in einen kontrollierten Prozessschritt gehoben. Jeder dieser Schritte erhält einen Audit-Trail mit Autor, Zeitstempel und Begründung, jede Änderung an der Soll-Doku läuft durch einen nachvollziehbaren Freigabepfad. Auf diese Weise wird die formale Prozessdokumentation in dem Sinne revisionssicher, den die Aufsicht meint: nachvollziehbar, aktuell, an der Praxis gespiegelt und gegen unbemerkte Veränderung geschützt.

Was dabei entsteht, ist kein neues Dokumentationssystem neben dem alten. Es ist eine Abbildung des gelebten Prozesses, die als zweite Wahrheit neben die formale Doku tritt, mit ihr verglichen wird und in eine kontrollierte Bearbeitung mündet. Diese Differenz ist die Grundlage einer belastbaren Gap-Analyse. Sie ist auch die Grundlage einer Risiko-Reduzierung, die über das übliche Compliance-Theater hinausgeht.

Übertragen auf die drei Regime ergibt sich folgendes Bild.

Unter MaRisk lassen sich die Anforderungen an dokumentierte Organisationsrichtlinien mit einer dynamischen, jederzeit aktualisierbaren Erfassung der gelebten Prozesse unterlegen. Die Doku wird so vom statischen Artefakt zum Spiegel der Praxis. Findings der internen Revision können systematisch in die Wissensbasis zurückgespielt werden, statt in lokalen Notizen zu versanden.

Unter MaGo profitieren besonders die Schlüsselfunktionen. Risikomanagement, Compliance, Interne Revision und die versicherungsmathematische Funktion können ihre eigenen Prozesse über Interviews und Screen Recordings dokumentieren und gleichzeitig den Prozessen der Fachbereiche eine zusätzliche Evidenzschicht hinzufügen. Die Schlüsselfunktion wird unabhängiger, weil sie Zugriff auf das implizite Wissen der Fachbereiche bekommt, ohne auf deren Bereitschaft zur formalen Dokumentation angewiesen zu sein.

Unter DORA wird die Anforderung „well-documented" überhaupt erst belastbar erfüllbar. Incident-Logs, Resilience-Tests und Beziehungen zu ICT-Drittdienstleistern sind oft nur formal dokumentiert, der dahinterliegende Erfahrungsschatz steckt in Köpfen. Knowledge Intelligence macht ihn auditierbar und senkt damit das Risiko, dass die nächste Aufsichtsprüfung in einem grundlegenden DORA-Befund mündet.

Was klassische Dokumentationssysteme nicht leisten

Eine häufig gestellte Frage in regulierten Branchen lautet: Reicht das vorhandene Qualitätsmanagement-System nicht, ergänzt um SharePoint, Confluence oder ein BPMN-Tool? Für die explizite Dokumentation reicht das. Für die implizite Schicht nicht. Klassische Dokumentationssysteme arbeiten mit dem, was Menschen aktiv aufschreiben. Knowledge Intelligence arbeitet mit dem, was Menschen tun, sagen und zeigen, und macht es strukturiert verfügbar. Das ist eine andere Kategorie, und sie lässt sich durch eine weitere Confluence-Seite nicht ersetzen.

Wer in einer regulierten Branche unterwegs ist, sollte beide Schichten betreiben. Die explizite Doku im QMS, weil sie regulatorisch vorgeschrieben ist. Die implizite Schicht über ein Knowledge-Intelligence-System, weil sie regulatorisch immer relevanter wird und operativ ohnehin wertvoll ist. Siara KI kann beides mit Leben füllen. Und dies in großen Teilen automatisiert.

Konsequenzen für die Schulungslogik

Eine oft übersehene Folge betrifft die Trainings- und Awareness-Architektur. Wer die Diskrepanz zwischen Soll-Doku und Ist-Praxis ehrlich erfasst, stellt schnell fest, dass die Schulungsinhalte regelmäßig an der gelebten Praxis vorbeigehen. Mitarbeitende werden auf SOPs trainiert, die sie im Alltag in modifizierter Form anwenden. Das ist meist Ausdruck der Tatsache, dass die SOPs nicht alle Praxisfälle abdecken.

Sinnvoll ist deshalb eine zweistufige Schulungslogik. Die erste Stufe ist die regulatorische Pflichtschulung, die das normative Soll abbildet und über das LMS belegbar gemacht wird. Die zweite Stufe ist eine Praxisschulung, die auf der Knowledge-Intelligence-Schicht aufsetzt und die tatsächlich gelebten Verfahren, einschließlich der dokumentierten und begründeten Workarounds, vermittelt. Diese zweite Stufe ist näher an der täglichen Wirklichkeit der Mitarbeitenden, sie reduziert die kognitive Spannung zwischen „was ich gelernt habe" und „was ich tue", und sie macht Awareness messbar, weil sich das, was geschult wurde, in der Knowledge Base wiederfinden lässt. Zumindest zum Start empfiehlt sich dieses Vorgehen, um die Prozesse schrittweise so anzupassen, dass diese Trennung nicht mehr notwendig ist, oder nur noch die Ausnahmen behandelt werden.

Aus dem Knowledge Graph lässt sich darüber hinaus präzise ablesen, wo welche Lernbedarfe bestehen. Beschreiben mehrere Mitarbeitende denselben Prozessschritt in unterschiedlichen Varianten, signalisiert das ein gemeinsames Klärungsbedürfnis. Eine kritische Begründung, die nur in einem einzigen Kopf liegt, ist eine Multiplikator-Aufgabe. Weicht die Praxis nach einem Audit-Finding weiterhin von der überarbeiteten SOP ab, fehlt offenbar die Übersetzung zwischen Norm und Anwendung. Aus diesen Signalen lassen sich gezielte Lernpfade ableiten, kurz, kontextspezifisch, am tatsächlichen Bedarf justiert. KI-gestützte Lernformate verbinden Erfassung und Training zu einem geschlossenen Loop. Dazu zählen interaktive Frage-Antwort-Szenarien auf Basis realer Fälle, geführte Walkthroughs durch die im System hinterlegten Screen Recordings sowie personalisierte Mikro-Lerneinheiten, die genau die Lücke einer einzelnen Person adressieren. Bis hin zu Performance Support Assistenten, die im Fluss der Arbeit bei Fragen unterstützen. Auf Basis des eigenen, gesicherten Wissens. Was im Interview als Wissenslücke auffiel, wird im Training adressiert; was im Training gelernt wurde, lässt sich im nächsten Erfassungszyklus überprüfen. Schulungs-Wirksamkeit wird auf diese Weise messbar, statt durch Teilnahmebescheinigungen ersetzt zu werden.

Das ist auch ein Hebel zur Risiko-Reduzierung. Wer die Trainings auf die echten Prozesse kalibriert und sie an den im Knowledge Graph sichtbaren Bedarfen ausrichtet, sorgt dafür, dass kritische Schritte tatsächlich verstanden und ausgeführt werden, statt nur abgenickt zu werden.

Bewertung und Ausblick

MaRisk, MaGo und DORA verschieben die Compliance-Frage von der Existenz der Dokumentation zu ihrer Übereinstimmung mit der gelebten Praxis. Diese Verschiebung ist mit klassischen Dokumentationswerkzeugen kaum zu bewältigen, weil sie die implizite Wissensschicht der Organisation adressiert, also genau das, was nicht aufgeschrieben ist und was sich auch nicht durch noch eine Workshop-Runde aufschreiben lässt.

Die strukturelle Antwort ist Knowledge Intelligence. Eine Schicht, die das gelebte Prozesswissen durch KI-geführte Interviews und Screen Recordings systematisch erfasst, gegen die formale Doku spiegelt, die entstehenden Lücken als Risiko transparent macht und sie in einem auditierbaren Bearbeitungs- und Lernloop schließt. Wer diese Schicht etabliert, reduziert nicht nur das aufsichtliche Risiko, sondern auch das operative Risiko. Er macht seine Organisation belastbarer gegenüber Personalwechseln und unerkannten Wissensmonopolen.

Banken und Versicherer, die früh in eine eigene Knowledge-Intelligence-Schicht investieren, werden in den nächsten Aufsichtszyklen einen messbaren Vorteil haben. Banken und Versicherer, die das nicht tun, werden ihn in Form von Findings, Auflagen und Bußgeldern ausgleichen müssen. Entscheidend ist die Reihenfolge. Wer zuerst seine implizite Wissensschicht sichtbar macht, hat danach eine belastbare Grundlage für jede SOP-Überarbeitung, jedes Training und jede Antwort auf einen Aufsichtsbrief. Wer zuerst die SOP überarbeitet und das implizite Wissen ignoriert, sortiert nur Papier.