Interim Management · Compliance, Risk & Governance

DORA, MaRisk, VAG/MaGo und NIS2 —
nicht nur beraten. Umgesetzt.

Ich übernehme als Interim Manager die operative Umsetzung regulatorischer und technischer Anforderungen (z. B. Digitalisierung, KI) — auf Projektbasis oder in Linienverantwortung als CIO, Head of IT, CRO oder Head of Compliance & Risk — in Banken, Versicherungen, Zahlungsverkehrsdienstleistern, Kapitalanlagegesellschaften, Dienstleistern und der Industrie. Vom Gap-Assessment bis zur prüfungssicheren Übergabe an Ihre Linienorganisation.

25+ JahreFührungserfahrung im Finanzsektor
Bank · Versicherung · Zahlungsverkehr · KVG · Dienstleister · Industriehochregulierte Branchen
Hands-onUmsetzung in der Linie, nicht auf Folien

Fokusthemen

Klarer Fokus. Ein Anspruch: Umsetzung.

Strukturanalyse und Prozessoptimierung, keine Grundsatzgutachten — konkrete Register, Prozesse, Richtlinien und Nachweise, die einer Prüfung durch Aufsicht, Wirtschaftsprüfer und interne Revision standhalten. Im Zentrum: die Umsetzung von DORA, MaRisk, VAG/MaGo und NIS2 — auf Wunsch auch mit interimistischer Übernahme der Linienfunktion als CIO, Head of IT oder Head of Compliance & Risk.

DORA Art. 5–16 Art. 17–23 Art. 28–30

DORA-Umsetzung

Digital Operational Resilience Act — für Banken, Versicherer, Zahlungsverkehrsdienstleister und Kapitalanlagegesellschaften

  • Informationsregister aufbauen und pflegen — inkl. Erstbewertung und Meldefähigkeit
  • Auslagerungs- & Dienstleistermanagement: Due Diligence, Risikoanalysen, SLA/KPI, Exit-Strategien
  • IKT-Risikomanagement aufbauen und ins Enterprise Risk Management integrieren
  • IKT-Vorfallmanagement und Meldeprozesse etablieren
  • Vertragsprüfung und -anpassung gemäß DORA-Mindestanforderungen
  • BCM & Notfallmanagement — auch für KRITIS-Dienstleister
  • Begleitung von Prüfungen: Aufsicht, Wirtschaftsprüfer, interne Revision
MaRisk VAG / MaGo AT 9 §§ 23 ff. VAG

MaRisk- & MaGo-Umsetzung

Anforderungen an die Geschäftsorganisation nach KWG und VAG — für Banken und Versicherer

  • Gap-Analyse gegen die aktuelle MaRisk-Novelle bzw. die MaGo und Umsetzung in der schriftlich fixierten Ordnung
  • Governance und Geschäftsorganisation nach §§ 23 ff. VAG — Rollen, Schlüsselfunktionen, Gremien
  • Aufbau und Weiterentwicklung des IKS — Kontrollhandbuch, Schlüsselkontrollen, KPI-Reporting
  • Auslagerungs- bzw. Ausgliederungsmanagement (AT 9 / § 32 VAG) — verzahnt mit den DORA-Anforderungen
  • Berechtigungsmanagement nach AT 4.3.1, BAIT und VAIT
  • Aufbau zentrales Risikomanagement und Integration der IKT-Risiken
  • Abarbeitung von Feststellungen aus Prüfungen von Aufsicht und WP
NIS2 Art. 20–21 Art. 23 NIS2UmsuCG

NIS2-Umsetzung

Netz- und Informationssicherheit — für wichtige und besonders wichtige Einrichtungen

  • Betroffenheitsanalyse und Gap-Assessment gegen die Risikomanagementmaßnahmen
  • Governance verankern: Pflichten und Haftung der Leitungsorgane operationalisieren
  • Lieferketten­sicherheit: Dienstleister identifizieren, bewerten und vertraglich einbinden
  • Meldepflichten umsetzen: Prozesse für 24h-Erstmeldung und 72h-Folgemeldung
  • Richtlinien, IKS-Kontrollen und Schulungskonzepte erstellen und einführen
  • Nachweisführung und Audit-Readiness gegenüber Aufsicht und Prüfern

Weitere Schwerpunkte

Interim CIO / IT IT-Betrieb Budget & Sourcing

Interim IT-Management & IT-Steuerung

IT-Organisationen im laufenden Betrieb führen, stabilisieren und weiterentwickeln

  • Interimistische Übernahme der IT-Leitung / CIO-Verantwortung — neun Jahre Linienerfahrung als CIO & COO mit 60 Mitarbeitenden
  • IT-Budgetplanung und Kostensteuerung inkl. zentraler Einkaufsstrategie und Vertragsverhandlungen
  • Dienstleistersteuerung aus Auftraggebersicht: Auswahl, SLA-/KPI-Management, Eskalation
  • Stabilisierung des Tagesgeschäfts: Priorisierung, Störungs- und Eskalationsmanagement, Reporting- und Kontrollstrukturen
  • Personalauswahl, Einarbeitung und strukturierte Übergabe an die Linie
  • IT-Governance verzahnt mit DORA, BAIT/VAIT und ISO 27001
§ 44 KWG PS 951

Audit-Readiness & Prüfungsbegleitung

Aufsichtliche Prüfungen steuerbar machen — vor, während und nach der Prüfung

  • Vorbereitung: Readiness-Check, Soll-Ist-Abgleich der SfO mit der gelebten Praxis, Briefing von Vorstand und Führungskräften
  • Begleitung: Prüfungsmanagement, Unterlagenbereitstellung, Ad-hoc-Analysen, Sparringspartner gegenüber den Prüfern
  • Abarbeitung: ursachenbasierte Maßnahmen je Feststellung, Umsetzung in der Linie, Nachweise für Folgeprüfungen
  • Erfahrung aus der Begleitung von §44-KWG-, PS-951-, WP- und EZB-Prüfungen — auf Instituts- wie auf Prüferseite (Big Four)
IAM · PAM MaRisk / BAIT Kap. 5 VAIT Kap. 5

Berechtigungsmanagement, das Prüfungen standhält

Identity & Access Management und privilegierte Zugriffe — regulatorisch sauber für Banken und Versicherungen

  • Prüfungsfeste Berechtigungskonzepte und SfO — Rollenmodelle nach RBAC und ABAC
  • Joiner-/Mover-/Leaver-Prozesse, Rezertifizierungen und SoD-Konfliktmanagement inkl. Ausnahmeprozessen
  • Absicherung privilegierter Konten (PAM): Kontrolle, Protokollierung, Notfall-User-Prozesse
  • Tool-Einführung und Migration aus der Praxis — u. a. Garancy, One Identity, Omada, FSP, CyberArk, SailPoint und andere; angebunden an AD, Entra ID, RACF
  • Abarbeitung von IAM-Findings aus EZB-, BaFin- und WP-Prüfungen
KI EU AI Act

Wie setze ich KI richtig ein?

Produktiver KI-Einsatz in Compliance & Risk — nutzbringend und aufsichtskonform

  • Identifikation der Use Cases mit echtem Hebel: Due-Diligence-Auswertung, Vertragsanalyse, Monitoring externer Risikoquellen
  • KI-Governance im Einklang mit EU AI Act, DORA und BaFin-Erwartungen: KI-Register, Risikoklassifizierung, Human Oversight
  • KI-Strategie und Richtlinien — verzahnt mit IKS, Datenschutz und Auslagerungsmanagement
  • Bereits produktiv umgesetzt: KI-Agenten für Fragebogen-Auswertung mit Risikoeinstufung und DORA-konforme Vertragsprüfung
  • Befähigung Ihrer Teams statt Abhängigkeit von externen Tools

Vorgehen

Vom Gap zur prüfungssicheren Linie

Ein erprobter Umsetzungspfad — in jedem Mandat angepasst an Größe, Risikoprofil und Reifegrad Ihrer Organisation.

Phase 1

Analyse & Betroffenheit

Gap-Assessment gegen DORA, MaRisk, VAG/MaGo und NIS2, Priorisierung nach Risiko und Frist, belastbare Entscheidungsgrundlage für die Geschäftsleitung.

Phase 2

Zielbild & Fahrplan

Target Operating Model, Rollen, Gremien und Reporting-Linien — inklusive Entscheidungsvorlagen für Vorstand und Geschäftsführung.

Phase 3

Umsetzung in der Linie

Register, Prozesse, Richtlinien, Verträge und Tools werden aufgebaut — mit Führung interdisziplinärer Teams aus Compliance, Risk, IT und Legal.

Phase 4

Prüfungssicherheit & Übergabe

Nachweisführung, Begleitung von Audits und geordnete Übergabe an Ihre Linienorganisation — inklusive Befähigung der Mitarbeitenden.

Interim heißt: Ich komme, setze um und übergebe. Keine Dauerberatung — eine funktionierende Organisation, die ohne mich weiterläuft.

Referenzen

Ausgewählte Mandate

Aufbau- und Umsetzungsmandate in Banken, Versicherungen und bei Finanzdienstleistern.

Große Auslandsbank, Frankfurt

CIO & COO — Gesamtverantwortung IT & Operations

Neun Jahre Linienverantwortung mit Führung von 60 Mitarbeitenden. IT-Budgetplanung und Kostensteuerung im zweistelligen Millionenbereich, Auswahl und Steuerung externer IT-Dienstleister inkl. Vertrags- und SLA-Verhandlungen, Personalaufbau sowie Stabilisierung und Weiterentwicklung des laufenden IT-Betriebs.

Versicherungsunternehmen

Aufbau Compliance-Organisation & DORA-Operationalisierung

Gesamtverantwortung für den Aufbau einer Compliance-, Governance- und Risk-Organisation. Integriertes GRC-Modell, Executive-Reporting für den Vorstand, KI-gestützte Automatisierung von Due-Diligence-Auswertung und Vertragsanalyse.

IT- & Mediendienstleister der Banken (KRITIS)

Auslagerungsmanagement & zentraler Einkauf unter DORA, NIS2, PSD2

Vollständiges Informations- und Auslagerungsregister, Dienstleistermanagement mit SLA/KPI-Modell, BCM für einen KRITIS-Dienstleister, Übergabe der Abteilung an die Linie.

Versicherungsgruppe

DORA-Umsetzung im Dienstleistermanagement

Informationsregister, Definition kritischer Funktionen und Dienstleister, Due-Diligence-Prozesse, Vertragsanpassungen gemäß DORA, Exit-Planung und -Strategie.

Internationaler Versicherungskonzern

Strategieberatung VAIT / DORA

Schriftlich fixierte Ordnung für alle VAIT/DORA-Themen, Richtlinien für IAM und Informationssicherheit, Einführung eines GRC-Tools, Informationsregister mit Erstbewertung.

IT-Dienstleister für Banken

IKS, IAM & Begleitung regulatorischer Prüfungen

Einführung Garancy, SoD-Konfliktmanagement inkl. Ausnahmeprozessen, prüfungsfeste Berechtigungskonzepte. Begleitung von §44-KWG-, PS-951-, WP- und Datenschutzprüfungen sowie Umsetzung der Findings.

Depotbank / Fondsplattform

Projektleitung & IAM-Architektur

Fachliche Führung eines 10-köpfigen Projektteams, Transformation der IAM-Lösung in die Cloud, Aufbau IT-Notfallmanagement und Auslagerungsprozesse, Schutzbedarfsanalyse und Informationssicherheit.

Weitere Stationen (Auswahl): Big-Four-Wirtschaftsprüfung · Direktbank · Landesbank · Genossenschaftliche Zentralbank · Europäische Energiebörse · IT-Dienstleister einer Großbank · Wertpapierhaus der Sparkassen

Partnernetzwerk

Ein Ansprechpartner — und rund 50 Spezialisten im Rücken.

Seit 25 Jahren arbeite ich in einer erfolgreichen, gewachsenen Partnerschaft mit rund 50 selbstständigen Beraterinnen und Beratern zusammen — Spezialisten, die auf Abruf zur Verfügung stehen. So lassen sich auch größere Programme stemmen, ohne dass Sie den Overhead einer großen Beratung einkaufen.

Der entscheidende Unterschied: Diese Teams sind eingespielt. Wir kennen unsere Arbeitsweisen, Stärken und Schnittstellen aus vielen gemeinsamen Mandaten — und können deshalb auch kurzfristig arbeitsfähige Teams aufbauen, passgenau zu Ihrem Projekt. Sie behalten dabei stets einen Ansprechpartner: mich.

~50 Beraterauf Abruf verfügbar
25 Jahregewachsene Partnerschaft
Kurzfristigeingespielte Teams einsatzbereit

Abgedeckte Fachbereiche (Auswahl)

Einkauf Backoffice Wertpapiere Wertpapierabwicklung Geldhandel Devisenhandel Handel Derivatehandel Derivateabwicklung Fondsabwicklung Depotgeschäft Treasury Liquiditätssteuerung Zahlungsverkehr Kredite Marktfolge Kreditrisikomanagement Rechnungswesen Controlling Meldewesen Steuern Rechtsabteilung Vertragswesen Geldwäscheprävention / AML KYC / Kunden-Onboarding Interne Revision Datenschutz Informationssicherheit BCM Notfallplanung IKT-Vorfallsmanagement IT-Betrieb Datenmanagement / BCBS 239 Testmanagement Projektmanagement / PMO
Porträt Michael Schwendemann

Michael Schwendemann

Interim CIO, CRO / Head of Compliance & Risk / Head of Governance

Über 25 Jahre Führungserfahrung in Banken, Versicherungen, im Zahlungsverkehr, bei Kapitalanlagegesellschaften, Dienstleistern und in der Industrie — davon neun Jahre Linienverantwortung als CIO und COO einer großen Auslandsbank in Frankfurt mit Führung von 60 Mitarbeitenden und Gesamtverantwortung für IT, Operations und Budget. Spezialisiert auf den Aufbau und die Transformation von Compliance-, Risk- und Governance-Organisationen in hochregulierten Unternehmen — mit nachweisbaren Erfolgen bei der Umsetzung regulatorischer Großprogramme und der Begleitung aufsichtsrechtlicher Prüfungen.

Ich verbinde strategische Beratung auf Vorstandsebene mit einer ausgeprägten Hands-on-Mentalität: Entscheidungsvorlagen, die getroffen werden. Register, die gepflegt werden. Prozesse, die gelebt werden.

Standort
Hamburg — Einsätze europaweit & remote
Sprachen
Deutsch, Englisch, Italienisch (Grundkenntnisse)
Rollen
Interim Manager · Projektleiter · Sparringspartner der Geschäftsleitung
Schwerpunkte
Regulatorik, Governance & Standards: DORA, MaRisk, BAIT, VAIT, NIS2 sowie Informationssicherheits- und Resilienzstandards nach ISO/IEC 27001, 27002, 27005 und ISO 22301; ergänzend Datenschutz-Governance und Privacy-Anforderungen im Kontext DSGVO / ISO 27701 sowie Prüfungs- und Attestierungsstandards nach SOC 2

Kurzprofil als PDF herunterladen

Sprechen wir über Ihre Umsetzung.

Ob Gap-Assessment, Informationsregister oder kompletter Organisationsaufbau — im Erstgespräch klären wir unverbindlich, wo Sie stehen und was der schnellste Weg zur Prüfungssicherheit ist.

m.schwendemann@sifor.eu Antwort in der Regel innerhalb von 1 Stunde +49 171 4453 822 Mobil — auch kurzfristig erreichbar

Hamburg · Einsätze europaweit