Vor 15 Jahren – am 4. April 2011 wurde die VIVACIS gegründet. Seitdem haben wir uns mit klarem Branchenfokus auf Financial Services, Liquide Assets, Real Estate, Venture Capital sowie Private Equity und Debt als leistungsstarkes und zuverlässiges Beratungsunternehmen am Markt etabliert.
Wir sind stolz auf das Erreichte und möchten uns bei all unseren Kunden für das nun schon seit vielen Jahren entgegengebrachte Vertrauen bedanken.
Im Bereich Managed Services für Kapitalverwaltungsgesellschaften und Wertpapierinstitute zählt die VIVACIS bei der Übernahme der Funktionen des Compliance-, Geldwäsche-, Datenschutz- und Informationssicherheitsbeauftragten sowie des IKT-Risikomanagers und der Internen Revision im Outsourcing zu den Marktführern unter den Beratungshäusern.
In der Strategie- und Prozessberatung sowie bei der Umsetzung von regulatorischen Anforderungen hat sich die VIVACIS als erfahrene und geschätzte Adresse in der Beratungsbranche etabliert. Zahlreiche Kapitalverwaltungsgesellschaften und Wertpapierinstitute wurden in den vergangenen Jahren erfolgreich bei ihren Lizenzierungs- sowie Auswahl- und Auslagerungsvorhaben begleitet. Hinzu kommt die Schaffung einer praxisorientierten Schriftlich fixierten Ordnung mit effizienten prozessualen Abläufen, die aufsichtsrechtlich konform ausgestaltet sind.
Aktuell prägen Themen wie die Umsetzung der DORA-Anforderungen oder KI(-Verordnung) und die neuen AMLA-Anforderungen im Bereich Geldwäsche unsere Beratungsleistungen – Herausforderungen, die wir mit hohem fachlichem Anspruch und großer Gestaltungsfreude angehen.
Wir freuen uns darauf, unsere Kunden auch in Zukunft hoch kompetent, partnerschaftlich und unserem Namen entsprechend „dauerhaft und nachhaltig“ bei ihren Vorhaben erfolgreich begleiten zu dürfen.
In unserer neuesten Ausgabe #PraxisImpuls geben wir einen Überblick über die Relevant des Global Terrorism Index 2026.
Der Global Terrorism Index ist eine strukturierte, empirisch fundierte Informationsquelle zur Bewertung geografischer Terrorismus- und Terrorismusfinanzierungs-Risiken (TF-Risiken). Als international anerkannte Quelle unterstützt er damit die prüfungsfeste Umsetzung eines risikobasierten Präventionsansatzes.
Wir unterstützen und beraten Ihr Unternehmen gerne im Bereich TF-Risiken. Erfahren Sie mehr über unser Dienstleistungsangebot – oder sprechen Sie uns an:
Die laufenden Jahresabschlussprüfungen zeigen wie wichtig die Schulung von Geschäftsführungen von Kapitalverwaltungsgesellschaften und Wertpapierinstituten zum Nachweis ihrer DORA-Kompetenz sind.
In unserer Geschäftsführerschulung zur DORA-Verordnung erhalten Sie einen kompakten Überblick darüber, welche Pflichten die Geschäftsführung hierbei zu erfüllen hat und welche Haftungsfragen sich ergeben können.
Unsere Referentinnen und Referenten informieren Sie bspw. über:
Die Gründe für DORA (Allgemein)
Einführung in die DORA-Verordnung
Zentrale Vorschriften und Umsetzung von DORA
Abgrenzung DORA zu anderen Regelungen der Informationssicherheit
Verantwortungsbereich des Leitungsorgans
Besonderheiten der schriftlich fixierten Ordnung, IKT-Informationsregisters, IKT-Vorfallsmanagement, IKT-Drittparteienmanagement, etc. (im Allgemeinen)
Operatives Arbeitsmodell (inkl. Quartärlicher IKT-Berichterstattung, Integration des IKT-Risikomanagements in das unternehmensweite Risikomanagement)
Aufgaben des IKT-Risikomanagers
Aus unserer bisherigen intensiven Schulungserfahrung zu diesem Thema veranschlagen wir 90 Minuten, um die Geschäftsführung zum Thema abzuholen und auf wesentliche und vor allem auch kritische Aspekte der DORA aus der Sicht eines Geschäftsführers hinzuweisen.
Selbstverständlich bringen wir hier auch unsere gesammelten Erfahrungen aus bereits vorliegenden Prüfungsergebnissen und Rückmeldungen von Wirtschaftsprüfern, Internen Revisionen oder der Aufsicht und – damit einhergehend – deren Anforderungen zur Umsetzung der DORA bei regulierten Finanzunternehmen ein.
Sollten wir mit unseren Ausführungen ihr Interesse für einen weiteren Austausch geweckt haben oder sollten sie Rückfragen haben, kommen sie jederzeit auf uns zu.
Seit über einem Jahr ist nun DORA (Digital Operational Resilience Act) verbindlich von Finanzunternehmen anzuwenden.
Erfahrungsberichte zur DORA‑Einführung zeigen ein relativ einheitliches Muster: Viele Finanzunternehmen unterschätzen den Aufwand, insbesondere in der operativen Umsetzung. DORA wird als deutliche Verschärfung gegenüber bisherigen IT‑Rundschreiben (z.B. BAIT oder KAIT) empfunden, insbesondere wegen der neuen Detailtiefe und des EU‑weit einheitlichen Anspruchs. DORA-Compliance bedeutet aber nicht nur die Erstellung von Dokumenten, sondern Prüfer und Aufsicht erwarten vielmehr, dass digitale Resilienz tatsächlich im Tagesgeschäft gelebt wird.
Aufsichtsbehörden kündigen zudem an, DORA als Schwerpunkt in (Sonder-)Prüfungen zu setzen.
Wie wichtig der deutschen Aufsicht das Thema ist, zeigen auch mittlerweile regelmäßig von der BaFin stattfindende Veranstaltungen zum Thema. Zuletzt am 4. Februar 2026 kündigte sie unter dem Titel „DORA: BaFin-Workshop zur Einreichung der Informationsregister 2026“ für den 24. und 26. Februar 2026 zwei Online-Workshops über die Anforderungen an Informationsregister an; ein Schwerpunkt soll hierbei die Erfahrungen aus dem vergangenen Jahr 2025 sein.
Bereits am 4. Dezember 2025 hatte die BaFin in einem virtuellen Event unter dem Titel „IT‑Aufsicht im Finanzsektor: Das erste Jahr DORA“ über 4 500 Teilnehmer:innen über ihre Erwartungshaltung zu DORA informiert. Gemeinsam mit Nikolas Speer, Exekutivdirektor Bankenaufsicht der BaFin, wurden hierbei zentrale Erkenntnisse aus dem ersten Jahr DORA gezogen. Die BaFin hat anhand der Praxiserfahrung deutlich gemacht, dass DORA nicht nur formale Vorgabe ist, sondern aktiv im täglichen Risikomanagement verankert werden muss. Insbesondere mit Blick auf vermehrte IKT-Vorfälle und -Konzentrationsrisiken stellt die BaFin klare Erwartungen an die Branche und positioniert sich selbst als zentraler Akteur zur Beobachtung und Steuerung dieser Risiken.
Die Erwartungshaltung der BaFin spiegelt sich auch im bereits im August 2025 vom Institut der Wirtschaftsprüfer veröffentlichten Entwurf des IDW EPS 528 wider, der die Prinzipien für Abschlussprüfer zur Beurteilung der Einhaltung der DORA im Finanzsektor und damit auch Kapitalverwaltungsgesellschaften und Wertpapierinstituten festlegen wird. Mit der Finalisierung des Standards wird in den nächsten Wochen gerechnet. Zwar hat die BaFin mit den IDW-Erleichterungen für das Prüfungsjahr 2025 in dem Sinne vereinbart, über im Jahr der Erstprüfung der Umsetzung der DORA-Anforderungen festgestellte Mängel bei betroffenen Finanzunternehmen, die bereits während dieses Jahres vollständig behoben werden, nicht näher berichten zu müssen; dies gilt aber nicht für die zum Ende des Berichtszeitraums weiterhin bestehenden Mängel.
Die VIVACIS Consulting GmbH hat sich bereits frühzeitig als Beratungshaus auf die Umsetzung der neuen DORA-Regelungen spezialisiert. Zwischenzeitlich können wir auf eine Praxiserfahrung von sehr zahlreichen DORA-Umsetzungsprojekten insbesondere bei Kapitalverwaltungsgesellschaften und Wertpapierinstituten aller Größenklassen zurückschauen. Unsere Beauftragung erfolgte zuletzt auch als Reaktion zur Beseitigung von stattgefundenen § 44-Sonderprüfungen der BaFin zum Thema DORA. Die Ergebnisse unserer Umsetzungsprojekte haben in den letzten Wochen zudem bereits zahlreiche Überprüfungen von (Konzern-)Revisionen, Vorprüfungen der Big4 oder Next15 Wirtschaftsprüfer oder die sog. „Quick Checks“ von anderen Beratungshäusern durchlaufen, in denen sich jeweils unser hoher Qualitätsstandard in der Umsetzung herausgestellt hat.
Ergänzt wird unsere DORA-Expertise durch die Übernahme der mit DORA neu geschaffenen Funktion des „IKT-Risikomanagers“, den wir operativ im Zuge der Auslagerung im Sinne von § 36 KAGB bzw. § 40 WpIG bei unseren Kunden übernehmen. Beginnend mit dem DORA-Reporting in Q1/2025 haben sich bisher bereits zahlreiche Gesellschaften für diese Zusammenarbeit mit der VIVACIS entschieden.
Neben der Durchführung von eigenen Schulungen von Geschäftsführungen und Mitarbeitern von Kapitalverwaltungsgesellschaften und Wertpapierinstituten zum Nachweis der DORA-Kompetenz, besuchen unsere Mitarbeiter ebenfalls regelmäßig Zertifikatslehrgänge zu DORA und arbeiten in Fachgremien von Verbänden mit, um ihr Wissen stets aktuell zu halten.
Sollten wir mit unseren Ausführungen ihr Interesse für einen weiteren Austausch geweckt haben oder sollten sie Rückfragen haben, kommen sie jederzeit auf uns zu.
Die Finanzbranche steht vor bedeutenden Veränderungen durch die neuen regulatorischen Entwicklungen im Bereich der Bekämpfung von Geldwäsche und Terrorismusfinanzierung (kurz AML/CFT). Die im Sommer 2024 verabschiedete AML-Verordnung (EU) 2024/1620 und die 6. AML-Richtlinie (EU) 2024/1640 bringen weitreichende Änderungen mit sich, die sowohl Chancen als auch Herausforderungen für alle Finanzinstitute darstellen.
Um die neue Dringlichkeit in diesem regulatorischen Themenfeld zu erhöhen, befindet sich aktuell mit der Authority for Anti-Money Laundering and Countering the Financing of Terrorism (AMLA) eine neue und thematisch eigenständige Europäische Aufsichtsbehörde im operativen Aufbau. Die europäische Finanzindustrie blickt daher zukünftig nicht nur wegen der Europäischen Zentralbank EZB nach Frankfurt am Main, sondern auch zur AMLA.
Die AML-Verordnung und die AML-Richtlinie zielen darauf ab, die Bekämpfung von AML/CFT innerhalb der EU zu stärken und zu harmonisieren. Sie markieren einen Paradigmenwechsel in der Geldwäschebekämpfung innerhalb der EU. Die AML-Verordnung wird Juli 2027 unmittelbar in allen Mitgliedsländern der EU gelten. Die 6. AML-Richtlinie ergänzt und ersetzt die bisherigen Geldwäsche-Richtlinien und erfordert die Umsetzung in nationales Recht innerhalb von drei Jahren. Das bisherige Geldwäschegesetz (GwG) verliert somit an Bedeutung.
Ein zentrales Thema vieler Diskussionen ist die (künftige) Rolle der AMLA und das neue AML/CFT Single Rulebook, das EU-weit einheitliche Regelungen für die Bekämpfung von AML/CFT schafft. In ihrer in Fachkreisen viel beachteten Rede anlässlich des „European Anti-Financial Crime Summit“ am 7. Mai 2025 in Dublin hat AMLA Chair Bruna Szego die Kernaufgaben der Aufsicht sowie deren erste Prioritäten skizziert. Dabei wird die Notwendigkeit einer engen Zusammenarbeit zwischen Finanzinstituten und Aufsichtsbehörden betont, um eine effektive Umsetzung zu gewährleisten. Damit in der Bekämpfung der Finanzkriminalität zukünftig „europäisch“ gesprochen wird, strebt die AMLA ein Aufbrechen der nationalen Interpretationen an; so hat die BaFin hat mit ihrer vermutlich letzten großen Novellierung ihrer Auslegungs- und Anwendungshinweise zum GwG im November 2024 bereits deren Auslaufen ab Mitte 2027 angekündigt.
Besonders hervorzuheben ist die Bedeutung von Technologie und Innovation bei der Bekämpfung von Finanzkriminalität. Die AMLA hat den eigenen Anspruch kommuniziert, zukünftig eine Vorreiterrolle in der Nutzung sicherer und effizienter digitaler Tools einzunehmen und vorzuleben – um technologisch auf Augenhöhe mit denjenigen zu sein, denen sie das Handwerk legen möchte. Die AMLA wird sich an der Dublin-Rede ihrer Vorsitzenden messen lassen müssen. Welche Erwartungshaltungen die AMLA daraus an die Verpflichteten ableiten wird, wird mit Spannung erwartet.
Zusätzlich werden die europäischen Financial Intelligence Units (FIUs) – die Zentralstellen für Finanztransaktionsuntersuchungen und Verdachtsmeldungen im Bereich Geldwäsche – strategisch gestärkt, da die AMLA zusätzlich auch die zentrale Koordinierungsrolle über die FIUs übernehmen wird. Somit wurde die AMLA mit Zuständigkeiten in einem breiten Kompetenzspektrum befugt, von dem weitere Synergieeffekte zu erwarten sind.
Mit der AML-Verordnung rückt darüber hinaus ein zusätzliches Themenfeld in den in den Blickpunkt von Aufsicht und Prüfern: Sanktionen (Sanctions). Für Verpflichtete wird ab Juli 2027 zusätzlich die explizite Pflicht bestehen, das Risiko der Nichtumsetzung und Umgehung gezielter finanzieller Sanktionen zu mindern und zu steuern. Bisher ergaben sich rechtliche Verpflichtungen lediglich aus dem Außenwirtschaftsgesetz (AWG), flankiert durch erläuternde Erwartungshaltungen der Deutschen Bundesbank. Dass nun AML/CFT/Sanctions den Dreiklang der AML-Verordnung bilden, wird zwangsläufig mit methodischen Brüchen in der Umsetzung verbunden sein. Während sich in Hinblick auf AML/CFT der risikobasierte Ansatz als Leitmotiv herausgebildet hat, liegt dem Themenfeld Sanctions eine binäre Logik zugrunde – entweder ist eine natürliche bzw. juristische Person mit gezielten finanziellen Sanktionen belegt und wird auf Sanktionslisten geführt oder eben nicht. Sanctions-Screening wird somit zur unerlässlichen Teildisziplin aufgewertet und ist von allen Verpflichteten umfassend in der Ablauforganisation zu integrieren; dies kann insbesondere kleinere Marktteilnehmer vor Herausforderungen stellen.
Verpflichtete müssen ein Mitglied des Leitungsorgans in seiner Leitungsfunktion benennen, das dafür verantwortlich ist, sicherzustellen, dass insbesondere die AML-Verordnung und von Aufsehern erlassene Verwaltungsakte eingehalten werden. Falls das Leitungsorgan in seiner Leitungsfunktion für seine Entscheidungen kollektiv verantwortlich ist, so ist das benannte Mitglied dafür zuständig, es zu unterstützen, zu beraten sowie Entscheidungen vorzubereiten. Hinsichtlich AML/CFT/Sanctions haftet die Geschäftsleitung künftig in vergleichbarer Weise zur DORA-Regulierung.
Mit der neuen Geldwäscheregulierung kommen neue Transparenz- und Sorgfaltspflichten auf die Finanzinstitute zu. Umfassende Änderungen hinsichtlich der Compliance- und Risikomanagementstrategien müssen von den betroffenen Gesellschaften vorgenommen werden. Neue interne Kontrollmechanismen sind zu implementieren und geeignete Schulungskonzepte innerhalb der Gesellschaften zu entwickeln, um den neuen Anforderungen gerecht zu werden.
Vor dem Hintergrund des Komplexitätsgrades der Vorgaben und des tiefen Hineinwirkens in die Aufbau- und Ablauforganisation der Verpflichteten ist eine zeitnahe proaktive Auseinandersetzung mit dem neuen Geldwäscheregime wesentlich für eine erfolgreiche Umsetzung. Dass zum aktuellen Zeitpunkt noch nicht alle technischen Regulierungsstandards, Leitlinien etc. ausformuliert vorliegen, ist als Chance zu begreifen, sich als Verpflichteter gemeinsam mit der Regulatorik weiterzuentwickeln – um von der zu erwartenden Dynamik nicht überrollt zu werden, wenn die AMLA als europäischer Standardsetzerin mit ihrer angestrebten Personalstärke von größer 400 Mitarbeitenden erst einmal operativ volle Fahrt aufgenommen haben wird.
Die VIVACIS Consulting GmbH möchte Sie dabei unterstützen, die Neuerungen zu verstehen, die Einhaltung der hiermit verbunden Vorschriften sicherzustellen und eine dauerhaft, nachhaltige Umsetzung zu gewährleisten.
Unterstützungsleistungen der VIVACIS bei der planvollen und effizienten Umsetzung der neuen Vorgaben im Themenkomplex Geldwäsche, Terrorismusfinanzierung und Sanktionen (AML/CFT/Sanctions)
Unterstützung bei der vollständigen Umsetzung der Vorgaben
Zur vollständigen Abarbeitung der sich aus den neuen Vorgaben ergebenden Herausforderungen hat die VIVACIS einen Vier-Phasenansatz entwickelt.
Durchführung AML/CFT/Sanctions-Readiness Checks zur Qualitätssicherung
Wurden von der betroffenen Gesellschaft bereits Umsetzungsmaßnahmen zum neuen Regulierungsregime bzgl. AML/CFT/Sanctions vorgenommen, bietet die VIVACIS die Durchführung eines Readiness Checks zur Qualitätssicherung an. Dieser gliedert sich in drei Projektschritte:
Schritt 1: Projekt-Kick-Off
Schritt 2: Review GAP-Analyse VIVACIS führt einen Review der bisher gemachten Ergebnisse der GAP-Analyse durch. Themenschwerpunkte sind hierbei u.a.: Governance- und Kontrollrahmen (einschließlich interne Strategien und Verfahren), Risikomanagementrahmen bzgl. AML/CFT/Sanctions (einschließlich unternehmensweite Risikobewertung), Sorgfaltsmaßnahmen gegenüber Kunden (KYC), Abklärung des Wirtschaftlichen Eigentümers, Maßnahmen in Bezug auf die Umsetzung gezielter finanzieller Sanktionen, Verdachtsmeldewesen, Aufzeichnungspflichten, ggf. Berücksichtigung von gruppenweiten Anforderungen. In der Bewertung der VIVACIS werden die kunden- bzw. assetklassenspezifischen Gegebenheiten berücksichtigt sowie die Auswirkungen der Anforderungen auf die Organisation und Prozesse des Verpflichteten beurteilt. Im Rahmen von Reviews gibt die VIVACIS auch Hinweise zu ggfs. noch zu regelnden Aspekten. Die Ergebnisse des Reviews werden schriftlich (in Excel) dokumentiert, anschließend besprochen und finalisiert.
Schritt 3: Review der bereits erstellten AML/CFT/Sanctions-Dokumentation bzw. Umsetzungsmaßnahmen Zunächst erfolgt ein Festlegen des Dokumentenuniversums (Teile der „Schriftlich Fixierten Ordnung“ (SFO)), welches im Rahmen des Reviews untersucht werden soll. Anschließend erfolgt die Durchführung des Reviews durch die VIVACIS hinsichtlich der definierten SFO zu AML/CFT/Sanctions.
Die Ergebnisse des Reviews werden schriftlich dokumentiert, anschließend besprochen und finalisiert.
Nach erfolgter Umsetzung der Anforderungen bzgl. AML/CFT/Sanctions übernimmt die VIVACIS die Funktion des Geldwäschebeauftragten. Unsere langjährigen Funktionsträger sind in der Szene bestens vernetzt, bei Prüfern anerkannt und engagieren sich in einschlägigen Berufsverbänden, wie z.B. im Bundesverband Geldwäscheprävention e.V.. Um am Puls der regulatorischen Zeit zu bleiben, nehmen unsere Spezialisten regelmäßig an relevanten Fachveranstaltungen und Kongressen teil, wirken an Stellungnahmen zu Konsultationen von Aufsichtsbehörden oder Gesetzesentwürfen mit und werden regelmäßig als externe Referenten angefragt.
Sollten wir Interesse geweckt haben oder Fragen zur Umsetzung der neuen Vorgaben im Bereich AML/CFT/Sanctions haben, kommen Sie gerne auf uns zu.
