Risikomanagement und Treasury
Modell-Risiko-Inventar (Schatten-KI-Erfassung) Vertical
anymize ersetzt Use-Case-Material mit Mandanten-/Engagement-Bezügen vor dem KI-Aufruf. Vertikale Erfassung aller KI-/Modell-Workflows im Risk-/Treasury-Bereich inkl. Schatten-KI nach BaFin-Orientierungshilfe IKT-KI Dez. 2025 entsteht auf pseudonymisiertem Text.
Schwierigkeit: Spezialist · Datenklasse: Mandantendaten · Letztes Review:
Zur Orientierung gedacht. Die anwaltliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.
Anwendungsbereich
Worum geht es hier?
BaFin-Orientierungshilfe IKT-KI macht KI-Inventar Pflicht; DORA Art. 3 Nr. 2 klassifiziert KI als IKT-Asset; § 25a/25b KWG ordnen Risiko-/Auslagerungs-Verantwortung zu. Vertikale Risk-/Treasury-Sicht hat 10–30 Modell-/KI-Workflows.
Für wen passt das?
Zielgruppe und Kontext
- Rolle
- KI-Beauftragte:r, Model Risk Officer, IKT-Risiko-Manager:in (DORA), Compliance Officer.
- Seniorität
- Fortgeschritten — Inventarisierungs-Methodik, DORA-IKT-Verständnis, Modell-Risiko-Lebenszyklus.
- Kanzleigröße
- Alle.
- Spezifische Kontexte
- Vertikale Risk-/Treasury-Sicht; Schnittstelle zu zentralem Bank-KI-Inventar.
Die Situation in der Kanzlei
So bringen Sie Tempo und Sorgfalt zusammen
Im Risk-/Treasury-Bereich existieren typisch 10–30 Modell-/KI-Workflows: IRB-PD/LGD/EAD-Modelle, Marktrisiko-VaR, OpRisk-Modelle, Liquidity-/ALM-Modelle, KI-Reporting-Layer. Zusätzlich Schatten-KI: Mitarbeiter-LLM-Nutzung außerhalb genehmigter Stacks. Manuell 3–8 Tage Voll-Erfassung pro Quartal + Schatten-KI-Aufdeckung mehrwöchig.
Was Sie davon haben
Zeit, Wert, Vertraulichkeit
Zeit pro Voll-Inventur
3–8 Tage
EU-AI-Act-Klassifikation
strukturell
DORA-Asset-Konsistenz
strukturell
Erkennungsrate
>95 %
So gehen Sie vor
In 5 Schritten zum Antrag
Datenquellen: Auslagerungs-Register, zentrales Bank-KI-Inventar, interne Tool-Listen, Risk-/Treasury-Team-Befragung.
Sie
Datenbasis
anymize anonymisiert Use-Case-Material mit Mandanten-/Engagement-Bezügen.
anymize
§ 43 KWG
Vier-Augen-Prinzip bei Schatten-KI-Personenbezügen.
Sie
§ 26 BDSG
CRAFT-Prompt mit Listen + Befragungs-Inputs. Output: strukturiertes Inventar je Workflow-Cluster + Schatten-KI-Risikoeinschätzung.
GPT / Claude / Gemini in anymize
Strukturierung
Faktencheck: Modell-/Workflow-Eigentümer, Genehmigungs-Status, IKT-Asset-Zuordnung.
Sie
BaFin-Orientierungshilfe IKT-KI
Schatten-KI-Erfassung: Interview/Umfrage; KI-Vorschlag konsolidieren. Freigabe KI-Beauftragte:r + Model Risk Officer → Risk-Komitee → Vorstand.
Sie
§ 25a KWG
Womit Sie arbeiten
So setzen Sie anymize konkret ein
Was anymize tut
- Erkennt Mandanten-/Engagement-Bezüge in Use-Case-Material.
- Lässt aggregierte Inventar-Daten und Workflow-Klassifikationen sichtbar.
- Bidirektionale Anonymisierung.
Was Sie tun
- Auslagerungs-Register und zentrales KI-Inventar konsolidieren.
- EU-AI-Act-Klassifikation prüfen (Hochrisiko / minimales Risiko).
- DORA-Kritikalität bestimmen.
- Schatten-KI durch Tool-Log-Analyse und Befragung identifizieren.
Daten-Input
Auslagerungs-Register (DORA Art. 31), zentrales Bank-KI-Inventar, Tool-Listen, Browser-Log-Analyse, Befragungs-Inputs, neue regulatorische Auslöser (BaFin RiF 2026, EU AI Act Annex III 5(b)).
Output-Kontrolle
Pseudonymisierter Datensatz an die KI. Strukturiertes Inventar je Cluster + Schatten-KI-Verdachtsfälle.
Freigabeprozess
KI-Beauftragte:r + Model Risk Officer → Risk-Komitee → Vorstand.
Die KI-Anweisung
Prompt zum Kopieren
1. Auslagerungs-Register + zentrales Bank-KI-Inventar + Tool-Logs in anymize einfügen.
2. Use-Case-Material mit Mandantenbezug wird zu Platzhaltern.
3. Prompt anhängen.
4. Re-identifizierter Output gegen Auslagerungs-Register verifizieren.
# Context (C)
Vertikales KI-/Modell-Inventar für die Risk-/Treasury-Funktion einer deutschen
Bank nach BaFin-Orientierungshilfe IKT-KI 18.12.2025, DORA Art. 3 Nr. 2 + Art. 28,
§ 25a/25b KWG, MaRisk BTR + AT 4.3, EU AI Act (insb. Annex III 5(b)),
BaFin RiF 2026 (Agentic-AI). Rechtsstand: <heutiges Datum>.
# Role (R)
Du agierst als KI-Inventar-Strukturierungs-Assistenz mit Kenntnis: IKT-Asset-
Klassifikation, Modell-Risiko-Lebenszyklus, Schatten-KI-Indikatoren, EU-AI-Act-
Risikoklassifikation, DORA-Kritikalität.
# Action (A)
1. Strukturiere das Inventar je Workflow-Cluster:
(1) IRB-Modelle (PD/LGD/EAD).
(2) Marktrisiko-Modelle (VaR/ES).
(3) OpRisk-Schadens-Modelle.
(4) Liquidity-/ALM-Modelle.
(5) Stresstest-Modelle.
(6) KI-Reporting-Layer.
(7) Schatten-KI (mitarbeiter-initiierte Public-LLM-Nutzung).
2. Pro Item: Workflow-ID, Funktion, Anbieter/Modell, Eigentümer, DORA-Kritikalität,
Datenklasse, EU-AI-Act-Risiko, Genehmigungs-Status, Lifecycle-Phase,
Re-Validation-Termin, Auslagerungs-Register-Eintrag, Bemerkung.
3. Für Schatten-KI: Verdachtsfälle mit Empfehlung Klärung.
4. Konsistenz-Hinweise: Workflows ohne Genehmigung markieren.
# Format (F)
Tabellen je Cluster + Konsolidierungs-Zusammenfassung.
# Target Audience (T)
KI-Beauftragte:r; Model Risk Officer; Risk-Komitee; Vorstand; BaFin im SREP.
# Verbote
KEIN Workflow ohne Owner.
KEIN Schatten-KI-Disziplinarverfahren als KI-Output.So sieht der Sachverhalt aus
Pseudonymisierter Eingabetext
Vertical-Inventar-Quellen Stichtag [[Datum-7f2a]]
Bekannte Risk-/Treasury-Workflows:
1. IRB-PD-Modell [[Modell-9b3d]] (Firmenkunden) — Validation [[Datum-3a8b]] —
Lifecycle: Produktion — DORA-kritisch ja (Kreditrating).
2. IRB-LGD-Modell [[Modell-7e2a]] — Validation [[Datum-3a8b]] — Produktion —
DORA-kritisch ja.
3. Marktrisiko-VaR-Engine — intern entwickelt — Produktion — DORA-wichtig.
4. ALM-Modell [[Modell-d5f3]] — Produktion — DORA-wichtig.
5. ICAAP-Reporting-Workflow mit Cloud-LLM-API [[Anbieter-c4d1]] — wichtige
Funktion — Auslagerungs-Register-Eintrag aktiv.
6. IRRBB-Reporting-Workflow mit On-Premises-LLM-Stack [[Stack-a3f9]] —
wichtige Funktion.
Schatten-KI-Verdachtsfälle aus Tool-Log-Analyse:
- 3 Mitarbeiter mit privatem Public-LLM-Account.
- 1 Verdachtsfall Public-LLM-Upload Schadensfall-Akte (UC-V-FIN-RIS-003).
Neue regulatorische Auslöser:
- BaFin RiF 2026: Agentic-AI als neuer Risikofaktor.
- EU AI Act Annex III 5(b): Kredit-Scoring Hochrisiko (ab 02.08.2026 /
02.12.2027).So liefert anymize zurück
Der Antrags-Entwurf
## 1. IRB-Modelle
| Workflow-ID | Funktion | Modell | Eigentümer | DORA | Datenklasse | EU-AI-Act | Genehmigung | Lifecycle | Re-Validation |
|---|---|---|---|---|---|---|---|---|---|
| RIS-IRB-PD-01 | Firmenkunden-PD | [[Modell-9b3d]] | Model Risk Team | kritisch | A | Hochrisiko ab 02.08.2026 | aufsichtl. genehmigt | Produktion | [[Datum-3a8b]] |
| RIS-IRB-LGD-01 | Firmenkunden-LGD | [[Modell-7e2a]] | Model Risk Team | kritisch | A | Hochrisiko | aufsichtl. genehmigt | Produktion | [[Datum-3a8b]] |
## 2. Marktrisiko-Modelle
| Workflow-ID | Funktion | Modell | Eigentümer | DORA | Datenklasse | EU-AI-Act | Genehmigung | Lifecycle |
|---|---|---|---|---|---|---|---|---|
| RIS-MR-VAR-01 | VaR | intern | Marktrisiko-Team | wichtig | A | nicht Hochrisiko | intern genehmigt | Produktion |
## 3. ALM-Modelle
| Workflow-ID | Funktion | Modell | Eigentümer | DORA | Datenklasse | EU-AI-Act | Genehmigung | Lifecycle |
|---|---|---|---|---|---|---|---|---|
| RIS-ALM-01 | ALM/IRRBB | [[Modell-d5f3]] | Treasury/ALM-Team | wichtig | A | nicht Hochrisiko | intern genehmigt | Produktion |
## 4. KI-Reporting-Layer
| Workflow-ID | Funktion | Anbieter | Eigentümer | DORA | Datenklasse | EU-AI-Act | Genehmigung | Auslagerungs-Register |
|---|---|---|---|---|---|---|---|---|
| RIS-REP-ICAAP-01 | ICAAP-Drafting | Cloud-LLM [[Anbieter-c4d1]] | Risk-Reporting-Team | wichtig | A (pseudonymisiert) | minimal | genehmigt | aktiv |
| RIS-REP-IRRBB-01 | IRRBB-Drafting | On-Prem [[Stack-a3f9]] | Treasury | wichtig | A | minimal | genehmigt | n/a |
## 5. Schatten-KI-Verdachtsfälle
| ID | Verdacht | Quelle | Empfehlung |
|---|---|---|---|
| RIS-SHADOW-01 | 3 Mitarbeiter mit privatem Public-LLM-Account | Browser-Log-Analyse | Vier-Augen-Gespräch + Schulung; Tool-Block prüfen |
| RIS-SHADOW-02 | Upload Schadensfall-Akte | Forensik-Bericht | Disziplinarverfahren prüfen; technischer Public-LLM-Block |
## 6. Konsolidierung + Hinweise
- 2 Hochrisiko-Items (IRB-PD/LGD) ab 02.08.2026 / 02.12.2027 EU-AI-Act-pflichtig:
FRIA + DPIA vorbereiten.
- 2 Schatten-KI-Verdachtsfälle: Sofortmaßnahmen empfohlen.
- Auslagerungs-Register-Konsistenz mit DORA Art. 31 sichergestellt.
- Agentic-AI nach BaFin RiF 2026: aktuell keine eigene Agentic-Workflow im
Risk-Bereich; Beobachtung.Was das Berufsrecht verlangt
Pflichten — und wie anymize sie abdeckt
BaFin-Orientierungshilfe IKT-KI 18.12.2025 (SRC-0119)
Inventar-Pflicht inkl. Schatten-KI.
DORA Art. 3 Nr. 2 + Art. 28 (SRC-0128)
KI = IKT-Asset; Kritikalitäts-Einstufung Pflicht.
§ 25a/25b KWG (SRC-0106 / SRC-0107)
Risiko-/Auslagerungs-Verantwortung.
EU AI Act (SRC-0126)
Hochrisiko-KI im Inventar markieren (insb. Kredit-Scoring Annex III 5(b)).
BaFin RiF 2026 (SRC-0125) + MaRisk AT 4.3
Agentic-AI als neuer Faktor; IKS-Pflicht. BaFin BDAI (SRC-0120) — Modell-Risiko-Transparenz.
Schatten-KI-Disziplinar (§ 26 BDSG)
Vier-Augen-Prinzip; KI-Output darf kein Disziplinarverfahren präjudizieren.
Datenschutz und Vertraulichkeit
So funktioniert das mit anymize
Bei vertikalem KI-Inventar sieht der KI-Anbieter Inventar-Listen und Schatten-KI-Verdachtsfälle. anymize ersetzt Use-Case-Material mit Mandantenbezug und ggf. Mitarbeiter-Namen aus Schatten-KI-Erfassung. Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 25a KWG; § 26 BDSG bei Schatten-KI-Personenbezug.
Alternativen
- OneTrust AI Governance, Microsoft Purview, ServiceNow IT Asset Management.
- Bank-interne KI.
- Voraussetzung: AVV, Auslagerungs-Register, KI-Inventar.
Sicherheitscheck vor der Einreichung
Was anymize liefert — was Sie souverän entscheiden
Vor dem KI-Aufruf
- Auslagerungs-Register und zentrales KI-Inventar aktuell?
- Tool-Log-Analyse für Schatten-KI durchgeführt?
- Vier-Augen-Prinzip bei Personenbezügen?
Nach der KI-Antwort
- Alle Risk-/Treasury-Workflows erfasst?
- EU-AI-Act-Risiko-Klassifikation korrekt?
- DORA-Kritikalität konsistent mit Auslagerungs-Register?
- Schatten-KI-Verdachtsfälle mit Maßnahmen?
Vor Freigabe
- Hochrisiko-Items → Vorstand?
- Schatten-KI-Disziplinar → Compliance + HR?
Typische Fehlermuster — und wie anymize gegensteuert
- →KI vergisst On-Premises-Stacks im Inventar.
- →KI stuft Kredit-Scoring nicht als EU-AI-Act-Hochrisiko ein.
- →KI vermischt DORA-Kritikalität mit Datenklasse.
- →KI präjudiziert Disziplinar-Maßnahme.
- →KI ignoriert abgelaufene Re-Validation-Termine.
Rechtsgrundlagen
Normen, Urteile, Belege
Primärnormen
- Risikomanagement
- Auslagerung
- IKS
- Inventar-Pflicht
- Modell-Risiko-Transparenz
- Agentic AI
- Annex III 5(b) Kredit-Scoring
- Art. 3 Nr. 2 KI als IKT-Asset
- AVV
Sekundärquellen
Stand: · Nächste Überprüfung:
Hinweis zur Nutzung
Zur Orientierung — nicht als Mandatsersatz
Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die anwaltliche Würdigung im Einzelfall noch eine fachanwaltliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt rechtlich zu bewerten ist, welche Anträge in Ihrem konkreten Mandat richtig sind — das bleibt selbstverständlich bei Ihnen.
KI-Outputs müssen vor jeder Verwendung anwaltlich geprüft werden. Insbesondere Urteils-Aktenzeichen, Norm-Verweise und Fristen sind gegen Primärquellen zu verifizieren. anymize gewährleistet die Vertraulichkeit der Mandantendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit des Outputs liegt in Ihrer Verantwortung.
Jetzt starten.
14 Tage kostenlos testen.
Alle Modelle. Alle Features. Keine Kreditkarte.
Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.
Dein KI-Arbeitsplatz wartet.